Oracle银行业数据管理架构

InsertPictureHereOracle银行业数据管理架构李珈技术咨询总监2Oracle数据库30年的持续创新…审计保管库数据库保管库网格计算自我管理的数据库XML数据库Oracle数据卫士真正应用集群闪回查询虚拟专用数据库内置的Java虚拟机分区支持内置的消息对象关系型支持多媒体支持数据仓库优化并行操作分布式SQL和事务支持集群和大规模并行处理支持多版本读一致性客户/服务器支持跨平台可移植商业化SQL实现19772007Oracle2Oracle9iOracle5Oracle6Oracle7Oracle8Oracle8iOracle10g…continuingwithOracleDatabase11g3关系型数据库管理系统的市场领导者Other15.5%Microsoft15.6%IBM22.1%Oracle46.8%Source:GartnerMay2006,WorldwideRDBMSTotalSoftwareRevenueSource:GartnerDataQuestJune2007,basedonTotalSoftwareRevenue2005年2006年Oracle47.1%IBM21.1%Microsoft17.4%Other14.3%4性能最好的数据库TPC-C基准测试•集群•2003年12月8日发布•HP16台，每台4颗CPU（安腾2）•Oracle10g•所有结果•2007年2月27日发布•HP1台，64颗双核CPU（安腾2）•Oracle10gR21,184,893（每分钟事务数）4,092,799（每分钟事务数）集群非集群Source:,AsofNov29,20075Ÿ高性能Ÿ高可用性Ÿ不受限的可扩展能力Ÿ易于管理Ÿ数据安全审计ŸVLDB快速响应，支持大量并发用户ŸNearzerodowntime,7x24灾难备份和恢复Ÿ海量数据管理，随业务发展在线扩展Ÿ统一的整个业务系统的管理包括数据库，应用服务器，存储，主机与应用本身Ÿ数据存贮和传输、访问的安全性控制，集中审计金融行业数据库建设要求6•高性能、可伸缩•大型SMP的纵向扩展•集群的横向扩展•并行所有操作•Query,DML,DDL,Loads,Unloads,Recovery•不需升级的行级锁•多版本并发控制•海量数据的存储管理•表分区•自动存储管理（ASM）•Bigfile表空间•可传输的表空间•9个索引类型•高可用性•真正应用集群（RAC）•闪回•数据卫士•恢复管理器•在线表重定义•高安全性•高级安全•数据库保管库•审计保管库•集中管理•网格控制•自动化应用和SQL的性能调整•数据库资源管理•自动工作负载管理Oracle金融行业数据库建设的先进技术7数据库网格存储网格NAS/SAN内部互连内部互连Oracle网格控制连接(光纤或IP)交换设备交换设备负载均衡设备数据中心A数据中心B异地容灾数据卫士镜像Oracle数据库真正应用集群分区应用网格Oracle应用服务器TimesTenCoherence最为开放完整和领先的架构Grid+SOA高可用、易伸缩、低成本、集中管理用户8集群的数据库服务器镜像的磁盘子系统高速的交换或互连集线器或交换机网络集中的管理控制台用户互连共用的缓冲区共用的缓冲区存储区域网真正应用集群（RAC）高可用、高性能、易伸缩9•可移植到所有平台•低成本•不需要购买附加的软件•易于安装管理•易于使用•可在几小时完成部署•增强的单一系统映像•单一供应商支持•对第三方集群件保持开放集成的集群件硬件/操作系统核心Oracle集群件10•是推荐的和最好的Oracle数据库存储管理方式•比文件系统易于管理•相当于裸卷的性能•内置在Oracle数据库•所有数据库的共享存储池•免费,广泛使用•65%的10gRAC部署在ASM•25%的10g用户在使用ASM•许多VLDB超过10TBASMDiskASMDiskASMDiskASMDiskASMDisk自动存储管理ASM11012345678NbrStepsInstallAddStorageRemoveStorageMigrateStorageTuneI/OManageSpaceASMTraditional776866522400“节省成本的最好方法是减少复杂性”使用ASM降低数据管理成本12中彩在线集群测试-RAC优秀的可扩展性01234567812345理想XYPKDJPKXYDC13Oracle分区（Partitioning）高性能、高可用、易管理大表难于管理分区（范围、哈希、列表）分而治之易于管理提高性能组合分区（范围-哈希，范围-列表）更高性能更灵活的适合业务需求ORDERSORDERSJanFebORDERSJanFebEuropeUSA14•Oracle的独特能力管理商业信息生命周期•细粒度的ILM•Oracle可以在记录级管理一组商业信息的生命周期•应用程序透明的ILM•Oracle分级商业数据对应用是透明的•低成本的ILM•Oracle可以使用低成本的存储来减少保留数据的成本ActiveRecentordersLessActiveThisyearsordersHistoricalLast5yearsordersLowCostStorageTierHistoricalStorageTierHighPerformanceStorageTierPartitioning信息生命周期管理ILM15多媒体多媒体Multimediamanagement位置和空间位置和空间LocationandProximitySearchingXMLXMLIntegratedNativeXMLDatabase文本文本TextProcessingEngine关系型关系型Characters,Numbers,Dates,LOBs安全企业搜索安全企业搜索EnterpriseSearchSolution内容数据库和档案数据库内容数据库和档案数据库ContentandRecordsManagement全面的、集成的银行信息管理16系统故障数据故障系统改变数据改变非计划停机计划停机真正应用集群（RAC）自动存储管理（ASM）闪回（Flashback）恢复管理器和Oracle安全备份数据卫士（DataGuard）流（Streams）在线重配置滚动升级在线重定义OracleMAA最佳实践Oracle的高可用性17StorageDataGuard完全激活故障切换到复制点RecoveryManager&OracleSecureBackup低成本高性能数据保护&归档RealApplicationClusters&Clusterware容错服务器水平扩展Flashback退回到指定时间点修正错误联机重定义联机重定义表DatabaseDatabaseStorageOracle最大可用性体系结构AutomaticStorageManagement容错存储水平扩展最佳HA技术的完整集合-每个都是可以水平扩展的,完全激活的,以数据为中心的最高可用性和最低的成本联机升级联机升级硬件和软件18ASM镜像存储器故障保护闪回人为错误保护数据卫士站点故障保护闪回恢复区毁坏保护以最低的成本实现最高数据保护19网络Broker生产数据库逻辑备用数据库可用于报表操作SQL应用将重做转换成SQL额外的索引和物化视图物理备用数据库DIGITALDATASTORAGEDIGITALDATASTORAGE备份重做应用同步或异步重做传输数据卫士（DataGuard）灾备方案实时查询20内部威胁当前的数据安全推动因素•有很大比重的威胁无法发现•外包及离岸外包的成为一种趋势•客户希望监视公司内部人员/DBA合规性•SOX、J-SOX、PCI、隐私法•适当的IT控制•职责分离•合规性证明•风险评估与监视21法规要求不断增多•美国•健康保险可携性及责任性法案(HIPAA)•联邦法规第21章第11部分•总统管理与预算局公告A-123•美国证交会和国防部的记录保留要求•美国爱国者法案•Gramm-Leach-Bliley法案•美国联邦量刑指南•美国反海外腐败法•关于市场工具的第52款（加拿大）欧洲、中东和非洲•欧盟隐私法令•英国公司法•危害物质限用指令(ROHS/WEE)亚太地区•J-SOX（日本）•CLERP9：审计改革和公司信息披露法案（澳大利亚）•泰国股票交易所关于公司治理的规定•中国上市公司内部控制指引全球•国际会计准则•新巴塞尔协议（针对全球企业）•OECD公司治理原则•个人卡信息数据安全标准22Oracle信息安全解决方案核心平台安全用户管理•Oracle身份管理•企业用户安全数据保护•Oracle高级安全•Oracle安全备份访问控制•Oracle数据库保管库•Oracle标签安全监控•Oracle审计保管库•企业管理器配置包23提供数据库的审计功能。Audit和FGA提供用户身份认证、网络传输加密和透明数据存储加密等功能AdvancedSesurity可以实现内控和岗则分开；限制DBA和超级用户对业务数据的访问；通过安全策略的规则引擎定制安全策略；提供安全报告用于法规审计。DatabaseVault磁带库备份时实现备份文件的自动加密。SecureBackup功能简介模块名称可以为每条记录设置安全标签，来控制访问权限。如保密级别、部门、组织层级标签等。可以配合Oracle的目录服务器来统一管理企业级用户，能更好地发挥LabelSecurity的功能。LabelSecurity数据库提供端到端的安全保护措施24高级安全写入数据时自动的加密读取数据时自动的解密透明数据加密透明数据加密使用RMAN可以加密整个备份网络加密网络加密强认证强认证25OracleDatabaseVault合规和防止内部欺诈•控制已授权的用户•限制DBA访问应用数据•提供责任分离（SoD）•数据和信息集中安全•加强数据访问安全策略•控制谁，什么时间，什么地点和怎样访问数据•基于IP地址、时间、授权等决定报告域多因素授权责任分离命令规则26•HR的DBA查看财务数据DBA•数据库的DBA查看HR的数据HRDBAHR•HR的DBA在生产系统执行未授权的操作createprocedure…多因素授权3pmMondayHRRealmHRFinFINDBA减少服务器集中的安全风险FinRealmFinselect*fromHR.emp遵守规章和防止内部风险DatabaseVault27案例：Citigroup•“在核心提供保护”-企业级防火墙级的保护•实施自动的安全操作策略•自动的合规管理•按地域的数据库安全访问控制和策略业务挑战•保护高度机密的金融信息•降低本地和全球隐私法规的合规风险•按地域保护访问金融数据•保护生产系统，避免常规的系统故障结果ORACLE的解决方案•OracleDatabaseVault(DBV)•DBV提供企业级的责任分离策略•DBV通过命令规则策略提供额外的数据库高可用保证28企业审计客户面临的挑战•收集审计数据•存在许多不同地点的审计数据•报告审计数据•需要为审计者定制审计报告•监控审计数据•需要集中化监察的效率•管理审计数据•审计数据的安全性•大规模审计数据的管理•审计数据的归档•管理审计设置•需要可通过系统方便地对审计设置进行供应和监控的能力29OracleAuditVault集中审计10gR210gR1Oracle9iR211gR1监控策略报告安全统一收集审计数据简化合规报告侦查和防止内部欺诈易伸缩和安全使用审计策略降低IT成本30OracleAuditVault概要Trust-but-Verify•收集并整合审计数据•Oracle9iR2或更高版本•简化合规性报告•内建的报告•定制的报告•检测及预防内部威胁•提早检测及警报嫌疑活动•监控及检测数据变化•可伸缩性和安全性•强壮的Oracle数据库技术•DatabaseVault,AdvancedSecurity•分区•采用审计策略导致更低的IT成本•集中管理