收藏
下载资源

Oracle安全技术概述.ppt

上传人:hs****ma 文档编号:571872028 上传时间:2024-08-12 格式:PPT 页数:38 大小:1.93MB
返回 下载 相关 举报
Oracle安全技术概述.ppt_第1页
第1页 / 共38页
Oracle安全技术概述.ppt_第2页
第2页 / 共38页
Oracle安全技术概述.ppt_第3页
第3页 / 共38页
Oracle安全技术概述.ppt_第4页
第4页 / 共38页
Oracle安全技术概述.ppt_第5页
第5页 / 共38页
点击查看更多>>
资源描述

《Oracle安全技术概述.ppt》由会员分享,可在线阅读,更多相关《Oracle安全技术概述.ppt(38页珍藏版)》请在金锄头文库上搜索。

1、Oracle数据安全数据安全整体解决方案整体解决方案徐懿徐懿资深解决方案专家内部威胁内部威胁隐私隐私合规性合规性议程议程安全的业务驱动因素数据安全解决方案用户管理访问控制数据保护监控成功案例Q&A大部分信息泄漏源自内部很大比例的内部威胁没有被察觉对内部人员/DBA没有监控手段IT服务外包日益增多企业并购或机构合并日益集中的数据中心多个系统整合成一个系统一个应用外包商同时为多个客户服务(例如呼叫中心)内部威胁内部威胁IT 整合整合数据安全的业务驱动数据安全的业务驱动萨班斯法案 (SOX), 企业内部控制基础规范(中国版SOX)支付卡行业规范 (PCI)个人信息保护法即将发布IT治理, COBIT

2、, ITIL职责分离, 风险评估和监控法规遵循法规遵循4安全现状安全现状安全产品应用安全产品应用主机应用网络物理环境数据数据库1 1、容灾、容灾2 2、防火墙、防火墙、IDSIDS、VPNVPN、HTTPSHTTPS3、CA、HTTPS、USER /PASSWORD4、操作系统安全、操作系统安全 USER/PASSWORD5、数据库访问安全、数据库访问安全 USER/PASSWORD?Oracle 数据安全解决方案数据安全解决方案Oracle 数据安全体系结构数据安全体系结构设置安全的密码集中式用户管理强认证代理认证安全的基本配置加强对特权用户的控制控制谁、什么时间、什么地点、如何(3W1H)

3、访问了数据库、数据和应用系统行级别和列级别的多角度安全控制对数据进行分类管理数据加密网络加密对外发数据进行数据屏蔽加密导出的数据 对备份数据进行加密启动数据审计细粒度的审计对审计数据进行集中管理、生成报表和监控定时进行安全配置扫描用户管理用户管理 访问控制访问控制 数据保护数据保护 监控监控 访问控制访问控制更强的、透明的访问控制需求更强的、透明的访问控制需求关键驱动因素限制特权用户对数据的完全访问管理员开发人员/QA应用程序用户轻松实现基于环境的访问控制用户参数网络参数数据库参数关键要求适用于现有的应用程序支持自定义策略难以规避性能影响最小访问控制访问控制Oracle Database Va

4、ult合规性和内部威胁合规性和内部威胁控制特权用户控制特权用户限制 DBA 访问应用程序数据提供职责分离数据库和信息整合安全性实施数据访问安全性策略实施数据访问安全性策略控制访问数据的对象、时间、地点和方式根据 IP 地址、时间、作者来制定决策在在 Oracle 10g R2 / 11g 和和 Oracle 9.2.0.8 中提供中提供在在 PeopleSoft、EBS、Siebel 等应等应用系统中得到认证用系统中得到认证报表保护领域多因素授权职责分离命令规则访问控制访问控制防止特权用户访问其无权访问的应用程序数据安全地将应用程序数据整合至一个数据库中实施预防控制措施职责分离最低权限特权用户

5、控制特权用户控制使用保护域使用保护域 DBAHR 应用系应用系统统 DBASELECT * FROM HR.EMPFIN 应用应用系统系统 DBA HR HR 域域 FIN FIN 域域使用了域的影响使用了域的影响针对对象的授权,不会受到域的影响,例如:SELECT ON HR.EMPLOYEESEXECUTE ON HR.GIVE_RAISE当然,使用系统权限访问被域保护的对象,会受到影响,例如:SELECT ANY TABLEEXECUTE ANY PROCEDURECREATE TABLE域的属性域的属性当定义一个域时,需要指定以下属性:域名称与描述;状态:Enabled 或 Disab

6、led审计选项域保护的对象:用户对象类型对象名称授权:被授权用户授权类型:participant 或 owner授权的规则集 (可选)域的使用案例域的使用案例HR schemaSALES_DBA can drop an HR tablebecause he has the DBA role:SQL CONNECT sales_dba/passwordSQL DROP TABLE hr.bonus_it;Table dropped.DVO creates a realm to secure the HR tables:SQL DROP TABLE hr.bonus_it;ORA-20401: R

7、ealm Violation for drop table on HR.BONUS_ITSALES_DBA attempts to drop the restored HR table:123实时访问控制实时访问控制基于规则的多因素授权基于规则的多因素授权HR 应用程序用应用程序用户户FIN 应用程序应用程序 DBA HR FINCONNECT DROP 根据考虑了多因素的规则授予应用程序数据的访问权限防止应用程序绕行和即席访问保护应用程序数据免受无意伤害预防不受监视的更改需要对 DBA 实行强身份验证命令规则命令规则命令行命令行对象对象用户用户规则集的结果必须为:规则集的结果必须为:TRUE

8、Command typeObjectOwnerRule setCommand rule内置内置 Database Vault 因子因子可通过可通过 API 扩展扩展内置因素内置因素用户用户网络网络数据库数据库运行时运行时名称计算机名称 数据库 IP 地址语言身份验证类型客户端 IP 地址数据库 SID日期会话用户网络协议数据库实例时间代理企业身份网络 IP 地址数据库主机名星期几职责分离职责分离Database Vault 控制控制安全管理员帐户管理员应用管理员数据库管理员扩展的(如:测试人员)域违规报告域违规报告 可证明的预防控制措施可证明的预防控制措施内置审计和报告功能域违规报告权限报告,

9、如“谁担任着谁担任着 DBA DBA 角色?角色?”共有 20 多种报告易于设置和管理Web 界面 API监控监控数据库活动的审计需求数据库活动的审计需求 关键驱动因素合规性(SOX、PCI、私密性)风险评估和补偿控制证明对合规性的控制安全性检测特权滥用关键要求从多个审计孤岛收集审计数据自动查看审计数据,并发出警报集中审计策略管理保护审计线索尽量降低对生产系统的性能影响监控监控Oracle 数据库中的审计功能数据库中的审计功能强健、灵活、高精确度的审计强健、灵活、高精确度的审计业界最高级别的审计功能自 Oracle 7 开始提供的强健审计功能 (1993)审计语句、权限、语句事件、失败或成功、

10、SYS 审计Oracle9i 引入了细粒度审计 (2001)灵活的格式,支持 XML、SYSLOG、数据库表、Windows 事件查看器目前,其客户遍及近乎各级市场金融医疗保健政府监控监控Oracle 数据库审计数据库审计概述概述语句审计 有选择地审计与特定类型的数据库结构或模式对象相关的 DDL/DML 语句组可以为所有用户或者仅为一个选择列表指定权限审计 审计需要使用系统权限的语句可以为所有用户或者仅为一个选择列表指定对象审计审计需要使用模式对象权限的所有 SELECT 和 DML 语句针对所有用户;无法针对特定用户列表设置监控监控Oracle 数据库审计数据库审计概述概述细粒度审计在 O

11、racle9i 中引入基于策略/条件的审计审计策略存储在数据库中,与表关联在访问表时调用策略(已测试审计条件);可以审计在何时访问特定列生成审计记录生成审计记录在数据库中实施审计策略在数据库中实施审计策略.Where Salary 500000AUDIT COLUMN = SalarySelect name, salary from emp where.监控监控企业级审计的需求企业级审计的需求收集审计数据 存在许多不同地点的审计数据报告审计数据 从分散各点的审计数据生成统一报告很困难需要为审计者定制审计报告监控审计数据需要集中化扫描的效率管理审计数据审计数据的安全性大规模审计数据的管理审计数据

12、的归档管理审计设置需要可通过系统方便地对审计设置进行供应和监控的能力Oracle Audit Vault 概要概要Trust-but-Verify收集并整合审计数据Oracle 9i Release 2 以上版本SQL Server 2000 and 2005IBM DB2 8.2 and 9.5 Sybase ASE 12.5 and 15.0简化合规性报告内建的报告定制的报告检测及预防内部威胁提早检测及警报嫌疑活动监控及检测数据变化可伸缩性和安全性强壮的Oracle数据库技术Database Vault, Advanced SecurityPartitioning集中管理/供应审计设置10

13、gR210gR1Oracle 9iR2其他数据库其他数据库监控监控策略策略报表报表安全安全Audit Vault Architecture OverviewManagement and MonitoringAudit Settings ManagementAudit Data CollectionData Warehouse Reports AlertsSecurity InfrastructureCollectorsREDO, DBAUD, OSAUDAudit Vault AgentAV AdminAV AuditorAudit sourcesAudit data Configuratio

14、n metricsAdministrationReporting and alertsAudit Vault ServerDeploying Audit VaultSource 1AgentAudit Vault ServerSource 2DBAUDOSAUDREDODBAUDOSAUDREDOAgentSource 3DBAUDOSAUDREDOHost 2Host 3Host 1Audit Vault 报表报表预置的审计评估与定制的报表预置的报表授权用户的操作访问敏感数据角色授予DDL 操作系统管理登录/注销用户定义的报表授权用户对财务数据库进行了哪些操作?用户 A 对多个数据库进行了哪

15、些操作?哪些非应用程序用户访问了敏感数据?定制的报表Oracle BI Publisher、Application Express 或第三方工具FINANCE DB FINANCE DBFINANCE DBFINANCE DBFINANCE DBFINANCE DBFINANCE DBFINANCE DBFINANCE DBFINANCE DBFINANCE DBHR DBCUSTOMER DB HR DBAudit Vault 警报警报利用警报进行早期监测可以定义警报来监测以下情形非应用程序用户尝试查看敏感列敏感系统中的新用户敏感系统中的角色授权所有系统中的 “DBA” 授权应用程序用户登录

16、失败评估接受到的审计数据后发出警报能够向电子邮件或 PDA 发送警报针对可疑操作产生报警报表Oracle Audit Vault 数据仓库数据仓库可伸缩的、灵活的数据仓库审计数据仓库可进行商业智能分析拥有报表功能Audit Vault 数据仓库维度时间、主机、数据源、用户、事件被证明和发布的Schema允许使用第三方报表工具性能和伸缩性内建分区可扩展到TB级可在Oracle RAC上部署Oracle Audit Vault 安全性安全性审计数据与实际的数据一样敏感内建的安全性审计数据传输加密职责的分离Audit Vault AdministratorAudit Vault Auditor内置的

17、安全选件Oracle Database Vault 防止DBA 访问审计数据Oracle Advanced SecurityOracle Audit Vault仪表板仪表板企业范围的视图关于审计事件的警报逐级细化的报表Audit Vault 监管与与 Oracle Audit Vault 集成集成应用集成的各个层次应用集成的各个层次找出业务敏感的数据库找出包含敏感的数据的数据库,为了满足合规性需要对这些数据库进行审计在应用程序下的数据库审计审计高权限的数据库活动(例如DBA 登录、DDL )对敏感表实行细粒度审计 (FGA)利用 OS 审计线索记录降低性能影响应用用户审计为应用用户定义“客户端

18、标识符”从中间件层传递到数据库,这些“客户端标识符”均记录在审计记录中可扩展的报表根据 Audit Vault 数据仓库生成客户报表Oracle 数据安全解决方案数据安全解决方案选择安全的密码集中式用户管理强认证代理认证安全的基本配置加强对特权用户的控制控制谁、什么时间、什么地点、如何(3W1H)访问了数据库、数据和应用系统行级别和列级别的多角度安全控制对数据进行分类管理数据加密网络加密对外发数据进行数据屏蔽加密导出的数据 对备份数据进行加密启动数据审计细粒度的审计对审计数据进行集中管理、生成报表和监控定时进行安全配置扫描用户管理用户管理 访问控制访问控制 数据保护数据保护 监控监控 Orac

19、le IDM SuiteDatabase VaultLabel SecurityVirtual Private DatabaseAdvanced SecurityData Masking PackSecure BackupOracle AuditAudit VaultConfiguration Management PackAudit Vault Audit Vault 提供了数据访问审计数据仓库提供了数据访问审计数据仓库提供了数据访问审计数据仓库提供了数据访问审计数据仓库Advanced SecurityAdvanced Security加密与数据库连接的所有协议加密与数据库连接的所有协议加

20、密与数据库连接的所有协议加密与数据库连接的所有协议防止嗅探及篡改防止嗅探及篡改防止嗅探及篡改防止嗅探及篡改加密加密加密加密数据私密性数据私密性数据私密性数据私密性审计审计审计审计Label SecurityLabel Security行标签安全行标签安全行标签安全行标签安全增强行级数据安全增强行级数据安全增强行级数据安全增强行级数据安全Advanced SecurityAdvanced Security存储数据加密存储数据加密存储数据加密存储数据加密保护超级敏感数据保护超级敏感数据保护超级敏感数据保护超级敏感数据数据安全数据安全数据安全数据安全网络安全网络安全网络安全网络安全嗅探嗅探嗅探嗅探篡

21、改篡改篡改篡改Database VaultDatabase Vault保护敏感信息免遭内部威胁保护敏感信息免遭内部威胁保护敏感信息免遭内部威胁保护敏感信息免遭内部威胁内部风险控制内部风险控制内部风险控制内部风险控制备份备份备份备份Secure BackupSecure Backup数据加密功能的磁带备份管理软件数据加密功能的磁带备份管理软件数据加密功能的磁带备份管理软件数据加密功能的磁带备份管理软件遮蔽遮蔽遮蔽遮蔽Data Masking PackData Masking Pack保护敏感的生产数据保护敏感的生产数据保护敏感的生产数据保护敏感的生产数据安全漏洞扫描安全漏洞扫描安全漏洞扫描安全漏洞扫描 Configuration Management PackConfiguration Management Pack扫描数据库的安全漏洞和关键补丁扫描数据库的安全漏洞和关键补丁扫描数据库的安全漏洞和关键补丁扫描数据库的安全漏洞和关键补丁AQ&

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 高等教育 > 研究生课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号