数据库的安全性与合规性纵深防御.ppt

《数据库的安全性与合规性纵深防御.ppt》由会员分享，可在线阅读，更多相关《数据库的安全性与合规性纵深防御.ppt（39页珍藏版）》请在三一办公上搜索。

1、数据库的安全性与合规性的“纵深防御”,裘海生 Senior Sales C,Agenda,数据库安全的业务驱动因素Oracle 的数据安全性的发展加密与数据屏蔽的产品访问控制层面的产品 监控层面的产品 结合安全审计产品的案例Q&A,数据库安全的业务驱动因素Oracle 的数据安全性的发展加密与数据屏蔽的产品 访问控制层面的产品 监控层面的产品 结合安全审计产品的案例Q&A,Oracle 数据库安全性 业务驱动因素,数据合并 全球化 权力外包,DBA,select SIN from user_clients;,alter table.,高度机密,机密的,公共,中间层,Oracle 数据库安全性

2、信息安全的挑战,Agenda,数据库安全的业务驱动因素Oracle 的数据安全性的发展加密与数据屏蔽的产品访问控制层面的产品监控层面的产品结合安全审计产品的案例Q&A,数据屏蔽 TDE 表加密 Oracle Total Recall Oracle Audit Vault Oracle Database Vault 透明数据加密（TDE）实时屏蔽 安全配置扫描 细粒度审计 Oracle Label Security 企业用户安全性 虚拟专用数据库（VPD）数据库加密 API 强身份验证 自带网络加密 数据库审计 政府客户,Oracle 数据库安全性持续创新,Oracle7,Oracle8i,Or

3、acle 数据库 9i,Oracle 数据库 10g,Oracle 数据库 11g,Oracle 数据库安全性为实现安全性与合规性的“纵深防御”,Database Vault,标签安全性,访问控制,配置管理,Audit Vault,TotalRecall,监视,数据屏蔽,高级安全性,安全备份,加密与屏蔽,Agenda,数据库安全的业务驱动因素Oracle 的数据安全性的发展加密与数据屏蔽的产品访问控制层面的产品监控层面的产品结合安全审计产品的案例Q&A,Oracle 高级安全选件ASO透明加密和强认证,通过RMAN能够 加密整个备份输出到磁盘,透明网络加密,强认证(PKI,Kerberos),

4、Oracle 高级安全选件ASO 表空间加密Tablespace Encryption,加密所有应用数据加密整个数据库文件不用担心需要逐列的加密高效高性能与Oracle 数据的压缩集成应用无需改变支持所有的数据类型索引范围扫描,SQL Layer,data blocks“*M$bs%&d7”,undo blocks,temp blocks,flashback logs,redo logs,Buffer Cache,“SSN=987-65-.”,Oracle 高级安全选件ASO网络、磁盘和磁带中的数据都得到保护,透明数据加密(TDE)应用不必变化表空间和列加密加密的备份(RMAN)加密的数据泵输

5、出加密Oracle Securefiles(LOBS)内置的密钥管理透明，自动硬件安全模块(HSM)网络加密SSL/TLS本地的 无认证要求强认证Kerberos,PKI,#*,75000,加密输出到磁盘的备份,网络加密,),(,强认证,透明数据加密 TDE总结,不必改变现在应用无触发器，无视图最小化的性能影响内置的密钥管理无额外的加密和密钥管理的开销；只需关注业务逻辑简单的 alter table 语句,Oracle E-Business Suite 和 SAP支持TDE,透明数据加密TDE列加密的布署方法,识别包含敏感数据的表 Credit Cards,SSN,确认TDE 支持的数据类型?

6、TDE supports most all commonly used datatypes,确认列不是外键的一部分?Simple Data Dictionary Query,加密已存在的数据或新数据 SQL*Developer GUI or Command line DDL,Alter Table.,1,2,3,4,理解 Oracle 安全备份OSB,在分布式环境中多平台的统一备份管理完整的磁带数据保护：Unix/Linux/Windows/NAS file systemsOracle Database:Oracle9i 至Oracle Database 11g,安全的跨域通信对分布的备份环境

7、管理服务器提供的集中化的管理支持超过 200 种SCSI 和 SAN 环境下可动态共态共享驱动器的磁带设备,Oracle 安全备份Secure Backup 集成的磁带备份管理,Oracle Secure Backup集中的磁带备份管理,文件系统数据,UNIX,Linux,Windows,NAS,磁带,Oracle Databases,与 RMAN的集成,被保护的备份数据库和文件系统的备份加密 自动的密钥管理高性能无须备份（读）已提交的undo高级的介质管理在多地点间转移时提供了循环保护 基于策略的磁带备份,数据屏蔽(Data Masking)是什么？,定义将客户数据、财务数据或公司保密数据匿

8、名化来创建可以使用的新数据。这些数据保留了原来数据的属性，如宽度、类型及格式。原因当开发人员或离岸外包供应商在测试环境中使用保密数据时对这些数据进行保护当与第三方共享客户数据时不披露个人身份信息,主要特性屏蔽主键时自动进行数据库引用完整性检查隐式 在数据库中执行显式 在应用程序中执行数据屏蔽格式库屏蔽前查看示例数据应用程序屏蔽模板一次定义，多次执行,企业管理器数据屏蔽包,生产,预备,屏蔽,测试,测试,克隆,克隆,Agenda,数据库安全的业务驱动因素Oracle 的数据安全性的发展加密与数据屏蔽的产品访问控制层面的产品监控层面的产品结合安全审计产品的案例Q&A,Oracle数据库保护Datab

9、ase Vault 减少内部威胁，加强合规性,控制授权用户限制DBA 访问应用程序数据实现职责分离保障数据库整合的安全性实施数据访问安全策略控制进行数据访问的人员、时间、地点和方式基于IP 地址、时间、验证等确定支持Oracle9iR2 以上版本,Reports,Realms,Multi-FactorAuthorization,Separationof Duty,CommandRules,Oracle 数据库保护Database Vault 特权用户的控制,Database DBA 浏览HR信息,合规和对内部人员的控制,HR 系统使用人员访问 FIN 数据,从服务整合的层面杜绝风险,DBA,H

10、R App,SELECT*FROM HR.EMP,FIN App,Oracle Database Vault内置因子,用户因子NameAuthentication typeSession UserProxy Enterprise Identity网络因子Machine nameClient IPNetwork Protocols扩展Define custom factors,数据库因子Database IPDatabase InstanceDatabase HostnameDatabase SID运行时因子LanguageDateTime,Oracle 标签安全性Label Security基

11、于标签的访问控制,基于标签授权的用户,保护敏感数据给表中的行分配数据标签给应用的用户分配用户标签使用内置的算法实现对表的透明访问控制灵活性和用户化基于策略的架构增强的选件权限可信任的存储过程完整的 API,Agenda,数据库安全的业务驱动因素Oracle 的数据安全性的发展加密与数据屏蔽的产品 访问控制层面的产品 监控层面的产品 结合安全审计产品的案例Q&A,数据库安全性评估自动化数据库参数数据库配置文件数据库访问数据库文件权限安装之后的检查跟踪数据库间的“配置偏差”持续的合规可见性合规性分数（0-100%）违规通知跟踪一定时间段的合规性进展映射到 COBIT、CIS 和 Oracle 的最

12、佳实践现成的最佳实践250 多个策略支持 Oracle 8i 及更高版本,企业管理器配置包安全配置扫描,主机检测开放的端口检测不安全的服务确保 NTFS 文件系统类型(Windows)应用服务器HTTPD 具有最低权限使用 HTTP/S应当启用 Apache 日志记录禁用演示应用程序禁用默认的标题页面禁用对未使用目录的访问禁用目录索引禁止对某些程序包的访问禁用 DAD 所有者未使用的程序包移除未使用的 DAD 配置支持复杂的口令,数据库服务启用监听器日志记录口令保护监听器不接受默认的监听器名称确保监听器日志文件有效且为 Oracle 所有确保监听器主机名与 IP 对应数据库文件权限Init.o

13、ra 应具有受限的文件权限$OH/bin 中的文件应归 Oracle 所有数据文件应归 Oracle 所有数据库配置文件/配置默认口令不允许固定用户链接访问对象不允许默认表空间设置为 SYSTEM设置 password_grace_time限制或禁止对 DBMS_LOB 的访问设置 password_reuse_max避免使用 utl_file_dir 参数,企业管理器配置包 250 多条内置策略规则,Oracle Total Recall实时的数据库归档,好处：历史数据的合规性和证据分析透明的跟踪变化审计的补充 谁 vs.什么使用“AS OF”flashback SQL很容易的访问历史数据使

14、用压缩的形式最小化所需空间防止篡改,select*from product_information AS OF TIMESTAMP 02-MAY-05 12.00 AM where product_id=3060,Audit Vault集中的数据库审计保护谁、何时、何地、做过何事以及如何做,提供数据按计划使用的保证证明并记录用户的活动制止用户不恰当的行为 发现异常行为和非法闯入尽早发现可疑的行为审计关键事件访问和修改敏感数据修改数据库结构授权用户的活动帐户/角色的管理,Oracle 数据库 10gR2,监视,策略,报表,安全性,Oracle 数据库 11gR1,Oracle 数据库 10gR1

15、,Oracle 数据库 9iR2,其他数据源、数据库,Oracle 数据库中的审计强健的、灵活的、高忠实度的审计,行业中最为先进的语句 对 schema 对象的 DDL/DML审计 权限 审计使用系统权限的语句指定用户或组用户精细粒度审计基于策略的条件审计灵活性审计表和 OS 文件目标 支持XML格式Windows 事件浏览和 SYSLOG,Oracle Audit Vault Alerts威胁检测告警,有效的扫描内在的审计数据扫描告警可定义为直接浏览敏感列在敏感系统中创建用户在敏感系统中赋予角色“DBA”在所有系统中的赋予应用用户登录失败.,Agenda,数据库安全的业务驱动因素Oracle

16、 的数据安全性的发展加密与数据屏蔽的产品 访问控制层面的产品 监控层面的产品 结合安全审计产品的案例Q&A,安全监控背景：信任但要验证外部完全监控：成熟全面内部安全监控：未被充分重视非授权访问监控特权用户监控外来人员监控,电信行业内部数据库审计及安全监控,数据库审计背景：法规遵从Sarbanes-Oxley(SOX)法案安然，世通等公司的财务丑闻现存问题审计数据存放分散审计数据缺乏保护审计报告困难,数据库审计的逻辑架构,数据库审计的系统架构,审计报告编制用户行为审计系统关键状态审计系统关键数据审计,数据库安全审计的主要应用,集中展示界面多样化的展示形式支持海量数据审计审计多业务环境数据审计数据加密,电信行业应用场景一：多系统数据审计,电信行业应用场景二：批量查询用户资料,发现该用户查询访问超过系统设置,应用场景二：批量查询用户资料,