Oracle安全技术概述

《Oracle安全技术概述》由会员分享，可在线阅读，更多相关《Oracle安全技术概述（38页珍藏版）》请在装配图网上搜索。

1、,Oracle数据安全整体解决方案,徐懿 资深解决方案专家,内部威胁,隐私,合规性,议程,安全的业务驱动因素 数据安全解决方案 用户管理 访问控制 数据保护 监控 成功案例 Q Table dropped.,DVO creates a realm to secure the HR tables:,SQL DROP TABLE hr.bonus_it; ORA-20401: Realm Violation for drop table on HR.BONUS_IT,SALES_DBA attempts to drop the restored HR table:,1,2,3,实时访问控制基于规则

2、的多因素授权,HR 应用程序用户,FIN 应用程序 DBA,CONNECT ,DROP ,根据考虑了多因素的规则授予应用程序数据的访问权限 防止应用程序绕行和即席访问 保护应用程序数据免受无意伤害 预防不受监视的更改 需要对 DBA 实行强身份验证,命令规则,命令行,对象,用户,规则集的结果必须为：TRUE,Command type,Object,Owner,Rule set,Command rule,内置 Database Vault 因子可通过 API 扩展,职责分离Database Vault 控制,域违规报告 可证明的预防控制措施,监控,数据库活动的审计需求,关键驱动因素 合规性（SO

3、X、PCI、私密性） 风险评估和补偿控制 证明对合规性的控制 安全性 检测特权滥用 关键要求 从多个审计孤岛收集审计数据 自动查看审计数据，并发出警报 集中审计策略管理 保护审计线索 尽量降低对生产系统的性能影响,Oracle 数据库中的审计功能强健、灵活、高精确度的审计,业界最高级别的审计功能 自 Oracle 7 开始提供的强健审计功能 (1993) 审计语句、权限、语句事件、失败或成功、SYS 审计 Oracle9i 引入了细粒度审计 (2001) 灵活的格式，支持 XML、SYSLOG、数据库表、Windows 事件查看器 目前，其客户遍及近乎各级市场 金融 医疗保健 政府,Oracl

4、e 数据库审计概述,语句审计 有选择地审计与特定类型的数据库结构或模式对象相关的 DDL/DML 语句组 可以为所有用户或者仅为一个选择列表指定 权限审计 审计需要使用系统权限的语句 可以为所有用户或者仅为一个选择列表指定 对象审计 审计需要使用模式对象权限的所有 SELECT 和 DML 语句 针对所有用户；无法针对特定用户列表设置,Oracle 数据库审计概述,细粒度审计 在 Oracle9i 中引入 基于策略/条件的审计 审计策略存储在数据库中，与表关联 在访问表时调用策略（已测试审计条件）；可以审计在何时访问特定列,企业级审计的需求,收集审计数据 存在许多不同地点的审计数据 报告审计数

5、据 从分散各点的审计数据生成统一报告很困难 需要为审计者定制审计报告 监控审计数据 需要集中化扫描的效率 管理审计数据 审计数据的安全性 大规模审计数据的管理 审计数据的归档 管理审计设置 需要可通过系统方便地对审计设置进行供应和监控的能力,Oracle Audit Vault 概要Trust-but-Verify,收集并整合审计数据 Oracle 9i Release 2 以上版本 SQL Server 2000 and 2005 IBM DB2 8.2 and 9.5 Sybase ASE 12.5 and 15.0 简化合规性报告 内建的报告 定制的报告 检测及预防内部威胁 提早检测及警

6、报嫌疑活动 监控及检测数据变化 可伸缩性和安全性 强壮的Oracle数据库技术 Database Vault, Advanced Security Partitioning 集中管理/供应审计设置,Audit Vault Architecture Overview,Audit Vault Agent,AV Admin,AV Auditor,Audit sources,Audit data Configuration metrics,Administration,Reporting and alerts,Audit Vault Server,Deploying Audit Vault,Sourc

7、e 1,Agent,Audit Vault Server,Source 2,DBAUD,OSAUD,REDO,DBAUD,OSAUD,REDO,Agent,Source 3,DBAUD,OSAUD,REDO,Host 2,Host 3,Host 1,Audit Vault 报表预置的审计评估与定制的报表,预置的报表 授权用户的操作 访问敏感数据 角色授予 DDL 操作 系统管理 登录/注销 用户定义的报表 授权用户对财务数据库进行了哪些操作？ 用户 A 对多个数据库进行了哪些操作？ 哪些非应用程序用户访问了敏感数据？ 定制的报表 Oracle BI Publisher、Application

8、Express 或第三方工具,Audit Vault 警报利用警报进行早期监测,可以定义警报来监测以下情形 非应用程序用户尝试查看敏感列 敏感系统中的新用户 敏感系统中的角色授权 所有系统中的 “DBA” 授权 应用程序用户登录失败 评估接受到的审计数据后发出警报 能够向电子邮件或 PDA 发送警报 针对可疑操作产生报警报表,Oracle Audit Vault 数据仓库可伸缩的、灵活的数据仓库,审计数据仓库 可进行商业智能分析 拥有报表功能 Audit Vault 数据仓库维度 时间、主机、数据源、用户、事件 被证明和发布的Schema 允许使用第三方报表工具 性能和伸缩性 内建分区 可扩展

9、到TB级 可在Oracle RAC上部署,Oracle Audit Vault 安全性审计数据与实际的数据一样敏感,内建的安全性 审计数据传输加密 职责的分离 Audit Vault Administrator Audit Vault Auditor 内置的安全选件 Oracle Database Vault 防止DBA 访问审计数据 Oracle Advanced Security,Oracle Audit Vault仪表板,企业范围的视图 关于审计事件的警报 逐级细化的报表 Audit Vault 监管,与 Oracle Audit Vault 集成应用集成的各个层次,找出业务敏感的数据库

10、 找出包含敏感的数据的数据库，为了满足合规性需要对这些数据库进行审计 在应用程序下的数据库审计 审计高权限的数据库活动（例如DBA 登录、DDL ） 对敏感表实行细粒度审计 (FGA) 利用 OS 审计线索记录降低性能影响 应用用户审计 为应用用户定义“客户端标识符” 从中间件层传递到数据库，这些“客户端标识符”均记录在审计记录中 可扩展的报表 根据 Audit Vault 数据仓库生成客户报表,Oracle 数据安全解决方案,Oracle IDM Suite,Database Vault Label Security Virtual Private Database,Advanced Sec

11、urity Data Masking Pack Secure Backup,Oracle Audit Audit Vault Configuration Management Pack,Audit Vault 提供了数据访问审计数据仓库,Advanced Security 加密与数据库连接的所有协议防止嗅探及篡改,数据私密性,审计,Label Security行标签安全增强行级数据安全,Advanced Security 存储数据加密保护超级敏感数据,数据安全,网络安全,Database Vault 保护敏感信息免遭内部威胁,内部风险控制,备份,Secure Backup数据加密功能的磁带备份管理软件,遮蔽,Data Masking Pack保护敏感的生产数据,安全漏洞扫描,Configuration Management Pack扫描数据库的安全漏洞和关键补丁,A,