《Oracle数据库安全方案概述》由会员分享,可在线阅读,更多相关《Oracle数据库安全方案概述(37页珍藏版)》请在金锄头文库上搜索。
1、1内部威胁内部威胁内部威胁内部威胁隐私隐私隐私隐私合规性合规性合规性合规性刘军刘军刘军刘军 电信行业方案架构师电信行业方案架构师电信行业方案架构师电信行业方案架构师电信行业数据库安全方案电信行业数据库安全方案电信行业数据库安全方案电信行业数据库安全方案3内部威胁内部威胁内部威胁内部威胁当前的数据安全推动因素当前的数据安全推动因素当前的数据安全推动因素当前的数据安全推动因素 有很大比重的威胁无法发现 外包及离岸外包的成为一种趋势 客户希望监视公司内部人员/DBA合规性合规性合规性合规性 SOX、J-SOX、PCI、隐私法 适当的 IT 控制 职责分离 合规性证明 风险评估与监视4法规要求不断增多
2、法规要求不断增多法规要求不断增多法规要求不断增多美国美国美国美国 健康保险可携性及责任性法案健康保险可携性及责任性法案健康保险可携性及责任性法案健康保险可携性及责任性法案(HIPAA) 联邦法规第联邦法规第联邦法规第联邦法规第21章第章第章第章第11部分部分部分部分 总统管理与预算局公告总统管理与预算局公告总统管理与预算局公告总统管理与预算局公告A-123 美国证交会和国防部的记录保留要求美国证交会和国防部的记录保留要求美国证交会和国防部的记录保留要求美国证交会和国防部的记录保留要求 美国爱国者法案美国爱国者法案美国爱国者法案美国爱国者法案 Gramm-Leach-Bliley法案法案法案法案
3、 美国联邦量刑指南美国联邦量刑指南美国联邦量刑指南美国联邦量刑指南 美国反海外腐败法美国反海外腐败法美国反海外腐败法美国反海外腐败法关于市场工具的第关于市场工具的第关于市场工具的第关于市场工具的第52款款款款 (加拿大加拿大加拿大加拿大)欧洲欧洲欧洲欧洲、中东和非洲中东和非洲中东和非洲中东和非洲 欧盟隐私法令欧盟隐私法令欧盟隐私法令欧盟隐私法令 英国公司法英国公司法英国公司法英国公司法 危害物质限用指令危害物质限用指令危害物质限用指令危害物质限用指令 (ROHS/WEE) 亚太地区亚太地区亚太地区亚太地区 J-SOX (日本日本日本日本) CLERP 9:审计改革和公司信息披露法案审计改革和公
4、司信息披露法案审计改革和公司信息披露法案审计改革和公司信息披露法案(澳澳澳澳 大利亚大利亚大利亚大利亚) 泰国股票交易所关于公司治理的规定泰国股票交易所关于公司治理的规定泰国股票交易所关于公司治理的规定泰国股票交易所关于公司治理的规定 中国上市公司内部控制指引中国上市公司内部控制指引中国上市公司内部控制指引中国上市公司内部控制指引 全球全球全球全球 国际会计准则国际会计准则国际会计准则国际会计准则 新巴塞尔协议新巴塞尔协议新巴塞尔协议新巴塞尔协议(针对全球企业针对全球企业针对全球企业针对全球企业) OECD公司治理原则公司治理原则公司治理原则公司治理原则 个人卡信息数据安全标准个人卡信息数据安
5、全标准个人卡信息数据安全标准个人卡信息数据安全标准5Oracle Audit Vault Oracle Database Vault第第第第 19 次数据库安全性评估次数据库安全性评估次数据库安全性评估次数据库安全性评估 透明数据加密透明数据加密透明数据加密透明数据加密 EM 配置扫描配置扫描配置扫描配置扫描 细粒度审计细粒度审计细粒度审计细粒度审计 (9i) 安全应用程序角色安全应用程序角色安全应用程序角色安全应用程序角色 客户端标识符客户端标识符客户端标识符客户端标识符 / 身份传播身份传播身份传播身份传播 Oracle Label Security (2000) 代理验证代理验证代理验证
6、代理验证 企业用户安全性企业用户安全性企业用户安全性企业用户安全性 全局角色全局角色全局角色全局角色 虚拟专用数据库虚拟专用数据库虚拟专用数据库虚拟专用数据库 (8i) 数据库加密数据库加密数据库加密数据库加密API 强身份验证强身份验证强身份验证强身份验证 (PKI, Kerberos, RADIUS) 原生网络加密原生网络加密原生网络加密原生网络加密 (Oracle7) 数据库审计数据库审计数据库审计数据库审计 政府客户政府客户政府客户政府客户Oracle 数据库安全性数据库安全性数据库安全性数据库安全性 历经历经历经历经 30 年的创新年的创新年的创新年的创新1977200719776O
7、racle 身份管理身份管理身份管理身份管理安全备份强认证网络加密企业用户安全SecurityClearancePII细粒度访问控制透明数据加密Database Vault域因子&命令规则集数据分类基于行的访问控制AuditVaultEM 配置&监控Oracle Oracle Oracle Oracle 数据库安全性数据库安全性数据库安全性数据库安全性7Oracle数据库安全产品数据库安全产品数据库安全产品数据库安全产品DatabaseDatabase VaultVault多因子多因子多因子多因子多因子多因子多因子多因子 DBADBA控制控制控制控制控制控制控制控制高级安全高级安全高级安全高级
8、安全高级安全高级安全高级安全高级安全加密数据加密数据加密数据加密数据加密数据加密数据加密数据加密数据标签安全标签安全标签安全标签安全标签安全标签安全标签安全标签安全数据分类数据分类数据分类数据分类数据分类数据分类数据分类数据分类AuditAudit VaultVault监控监控监控监控,警报警报警报警报监控监控监控监控,警报警报警报警报 整合整合整合整合整合整合整合整合8数据安全数据安全数据安全数据安全: Oracle 产品产品产品产品身份管理 Oracle Identity Management Enterprise User Security数据保护 Oracle Advanced Sec
9、urity Oracle Secure Backup访问控制 Oracle Database Vault Oracle Label Security监控监控监控监控 Oracle Audit Vault EM Configuration Pack核心平台 安全9客户痛点客户痛点客户痛点客户痛点 多个数据库中孤立的用户帐号 职员流动需要删除/失效帐号 不集中的授权管理WWLDAP 认证目录认证目录认证目录认证目录8i or 9i clientOracle Net/ SSLOracle Net 存储存储存储存储 jsmith, scott, sarah, 所有用户的证书所有用户的证书所有用户的证书
10、所有用户的证书、口令口令口令口令、 其角色其角色其角色其角色LDAP/SSLsqlplusOWM or ELAbrowserW= WalletWOracle Data ServerWOracle Data ServerAll three models can work withProxy Authentication9i client8i or 9i clientSSL用户用户用户用户口令用户口令用户口令用户口令用户中间件服务中间件服务中间件服务中间件服务 器器器器10企业用户安全性企业用户安全性企业用户安全性企业用户安全性(EUS) 集中的数据库帐户管理 用户管理合规性 集中的用户管理 使用
11、共享数据库Schema整合数据库账户 集中管理DBA 与Oracle虚拟目录验证 企业强认证 Kerberos (MSFT, MIT) PKI (x.509v3) Password SYSDBA Strong Auth 企业版数据库特性 需要Oracle目录服务 从Oracle 8.1.6以来可用财务数据库财务数据库财务数据库财务数据库客户数据库客户数据库客户数据库客户数据库HR 数据库数据库数据库数据库Oracle Identity ManagementEUSEUS用户用户用户用户:tbooth、hcollinsDBA:jsmith、srollins拥有超级权限的拥有超级权限的拥有超级权限的
12、拥有超级权限的 DBA: asmith11数据安全数据安全数据安全数据安全: Oracle 产品产品产品产品身份管理 Oracle Identity Management Enterprise User Security数据保护 Oracle Advanced Security Oracle Secure Backup访问控制 Oracle Database Vault Oracle Label Security监控监控监控监控 Oracle Audit Vault EM Configuration Pack核心平台 安全12为为为为什么什么什么什么用用用用使使使使用用用用Database V
13、ault?13职责分离(Segregation of Duties) Database Vault 控制安全管理员帐户管理员应用程序管理员数据库管理员可扩展(如数 据库测试人员)14Oracle Database Vault 域域域域DBA人力资源部人力资源部人力资源部人力资源部 DBAHR 人力资源部域人力资源部域人力资源部域人力资源部域HR数据库数据库数据库数据库 DBA 查看人力资源查看人力资源查看人力资源查看人力资源 数据数据数据数据 select * from HR.emp合规性和防止内部人员查合规性和防止内部人员查合规性和防止内部人员查合规性和防止内部人员查 看信息看信息看信息看信
14、息Fin财务部财务部财务部财务部 DBAHR DBA 查看财务数据查看财务数据查看财务数据查看财务数据消除服务器整合后的消除服务器整合后的消除服务器整合后的消除服务器整合后的 风险风险风险风险财务域财务域财务域财务域Fin可以很容易的将域应用于现有的应用程可以很容易的将域应用于现有的应用程可以很容易的将域应用于现有的应用程可以很容易的将域应用于现有的应用程 序中序中序中序中,对性能影响极小对性能影响极小对性能影响极小对性能影响极小15Oracle Database Vault 规则和多因素授权规则和多因素授权规则和多因素授权规则和多因素授权DBA人力资源部人力资源部人力资源部人力资源部 DBA
15、HR数据库数据库数据库数据库 DBA 试图远程试图远程试图远程试图远程“更改更改更改更改 系统系统系统系统”更改系统更改系统更改系统更改系统.基于基于基于基于 IP 地址的地址的地址的地址的规则规则规则规则 阻止动作阻止动作阻止动作阻止动作create 在运营过程中人力资源部在运营过程中人力资源部在运营过程中人力资源部在运营过程中人力资源部 DBA 执行未经授权的操作执行未经授权的操作执行未经授权的操作执行未经授权的操作周一下午周一下午周一下午周一下午3点点点点基于日期和时间的规则阻基于日期和时间的规则阻基于日期和时间的规则阻基于日期和时间的规则阻 止动作止动作止动作止动作人力资源部域人力资源
16、部域人力资源部域人力资源部域HR因素和命令规则提供因素和命令规则提供因素和命令规则提供因素和命令规则提供 灵活和可修改的安全控制灵活和可修改的安全控制灵活和可修改的安全控制灵活和可修改的安全控制16数据安全数据安全数据安全数据安全: Oracle 产品产品产品产品身份管理 Oracle Identity Management Enterprise User Security数据保护 Oracle Advanced Security Oracle Secure Backup访问控制 Oracle Database Vault Oracle Label Security监控监控监控监控 Oracle Audit Vault
