数据库安全与企业管理器融合解决方案

Copyright©2014Oracleand/oritsaffiliates.Allrightsreserved.|数据库安全与企业管理器融合解决方案Copyright©2014Oracleand/oritsaffiliates.Allrightsreserved.|目录Oracle数据库安全解决方案介绍EM企业管理器方案介绍参考案例分析123Copyright©2014Oracleand/oritsaffiliates.Allrightsreserved.|•数据等级分类•数据加密、通道加密•数据屏蔽、脱敏•配置变更管理•数据备份和恢复•身份和权限管理、职责分离•AdvancedSecurity•DataMasking•DatabaseVault•SecureBackup•LifecycleManagement•LabelSecurity•IdentityManagement•DBA行为追踪和分析•用户行追踪和分析•IP行为追踪和分析•用户增改删追踪•权限增改删追踪•数据增改删追踪•存储过程增改删追踪•配置增改删追踪•AuditVault•TotalRecall•DatabaseFirewall•LifecycleManagement•IdentityManagement•SQL注入拦截•非法访问拦截•数据破坏拦截•敏感数据访问拦截•DatabaseFirewall•DatabaseVault事后审计事前防范事中拦截数据安全管理的三个阶段Copyright©2014Oracleand/oritsaffiliates.Allrightsreserved.|DatabaseVaultLabelSecurityIdentityManagementAdvancedSecuritySecureBackupDataMaskingOracle数据安全纵深防护方案AuditVaultTotalRecallConfigurationManagement加密和屏蔽访问控制审计DatabaseFirewall监视和阻止在威胁到达数据库之前监视和阻止它们控制对数据库中数据的访问,阻止非法访问数据安全预警核心数据加密跟踪更改并审计数据库活动从非生产环境中删除敏感数据事前阻止事中防护、预警事后追溯用户访问“进不来”敏感数据“看不见”核心数据“拿不走”系统数据“改不了”运维操作“跑不掉”Copyright©2014Oracleand/oritsaffiliates.Allrightsreserved.|OracleDatabaseFirewall第一道防线策略内置报告警报自定义报告应用程序块日志记录允许警报替代•监视数据库活动防止未授权的数据库访问、SQL注入、权限或角色升级、对敏感数据的非法访问等。•通过高度精确的SQL语法分析避免代价高昂的误报。•基于白名单和黑名单的灵活的SQL级实施选项•可伸缩的体系结构让企业可以适应各种部署模式•适用于SOX、PCI和其他法规的内置和自定义合规性报告Copyright©2014Oracleand/oritsaffiliates.Allrightsreserved.|•可以为任何用户或应用程序定义“允许的”行为•白名单可以包括诸如时间、日期、网络、应用程序等内置因素•为任何应用程序自动生成白名单•立即拒绝不符合策略的事务•数据库将只按照您的要求和愿望来处理数据白名单应用程序阻止允许OracleDatabaseFirewall主动安全模型Copyright©2014Oracleand/oritsaffiliates.Allrightsreserved.|OracleDatabaseFirewall被动安全模型•停止不接受的特定SQL命令、用户或模式的访问•防止权限或角色提升以及对敏感数据的未授权访问•黑名单中可以包括诸如时间、日期、网络、应用程序等内置因素•根据您的业务和安全目标有选择地阻止事务的任何部分阻止允许黑名单应用程序Copyright©2014Oracleand/oritsaffiliates.Allrightsreserved.|OracleDatabaseFirewall快速和灵活的部署•串联：所有数据库流量都经过OracleDatabaseFirewall•并联/被动：数据库防火墙连接到SPAN端口或TAP•可选的基于主机的远程或本地监视器•可将网络流量从数据库主机发送到数据库防火墙•可将非网络数据库活动发送到数据库防火墙，以识别本地控制台或远程会话的未授权使用数据库服务器用户并联数据库防火墙应用服务器串联基于主机的代理路由器Copyright©2014Oracleand/oritsaffiliates.Allrightsreserved.|10DatabaseVault是什么？～一般的OracleDatabase～DBA控制所有的权限数据库管理员DBA账户管理员应用管理员数据库起动/停止※不能访问实际的数据！用户的创建・修改、配置文件的创建・変更・修改、访问的授权※不能访问实际的数据！应用数据的管理、访问权限的分配从DB的起动停止到所有用户对象以及安全设置、系统权限的执行都可以控制。存在着由于DBA自身引起数据泄露、非法数据操作等等的极大风险！数据库管理安全规则管理应用・数据的管理数据库管理账户管理应用・数据的管理账户管理安全管理员基于安全规则对访问控制进行设置、管理※不能访问实际的数据！安全规则管理～OracleDatabaseVault～将管理权限分配到各个管理员强大而灵活的访问安全控制选件回避将管理权限集中到一元的风险，根据工作要求分配恰当的权限给多个管理员，加强数据库管理的安全Copyright©2014Oracleand/oritsaffiliates.Allrightsreserved.|11DatabaseVault的工作机制～一般的OracleDatabase～有权限就可以访问～OracleDatabaseVault～必须满足条件才可以访问有合适的系统/对象权限的角色有合适的系统/对象权限的角色CONNECT角色检查控制要求禁止允许CONNECT角色基于安全规则设置一些复杂条件的访问控制只有满足条件的情况下、才允许使用相应的系统/对象权限可以时间・星期・IP地址・客户信息等等…、组合多种条件灵活地控制访问Copyright©2014Oracleand/oritsaffiliates.Allrightsreserved.|12域违规报告可证明的预防控制措施•内置审计和报告功能•域违规报告•权限报告，如“谁担任着DBA角色？”•共有20多种报告•易于设置和管理•Web界面•APICopyright©2014Oracleand/oritsaffiliates.Allrightsreserved.|OracleDatabaseVault在数据库内部实施安全策略•自动的、可自定义的DBA职责分离及受保护的领域•使用规则和因素管理人员、地点、时间和方式•对特权数据库用户执行最小权限•防止应用程序绕行、实施企业数据治理•安全地整合应用程序数据或支持多承租方数据管理应用程序DBAselect*fromfinance.customersDBA安全DBA应用程序采购HR财务Copyright©2014Oracleand/oritsaffiliates.Allrightsreserved.|OracleDatabaseVault域保护DBA人力资源部DBAHR人力资源部域HR•数据库DBA查看人力资源数据合规性和防止内部人员查看信息select*fromHR.empFin财务部DBA•HRDBA查看财务数据消除服务器整合后的风险财务域Fin可以很容易的将域应用于现有的应用程序中，对性能影响极小Copyright©2014Oracleand/oritsaffiliates.Allrightsreserved.|OracleDatabaseVault规则和多因素授权DBA人力资源部DBAHR•数据库DBA试图远程“更改系统”更改系统…….基于IP地址的规则阻止动作create…•在运营过程中人力资源部DBA执行未经授权的操作周一下午3点基于日期和时间的规则阻止动作人力资源部域HR因素和命令规则提供灵活和可修改的安全控制Copyright©2014Oracleand/oritsaffiliates.Allrightsreserved.|Oracle高级安全性动态和静态数据备份文件数据加密应用服务器/客户端数据存盘自动加密数据读取自动解密Oracle高级安全网络加密Oracle高级安全强认证Oracle高级安全透明数据加密redologs包含加密数据备份数据库RedoapplyCopyright©2014Oracleand/oritsaffiliates.Allrightsreserved.|OracleAdvancedSecurity写入数据时自动加密^#^**读取数据时自动解密75000加密磁带备份、磁盘备份及数据导出(RC4、DES)网络加密(RC4、DES、AES))(强身份认证(Kerberos,PKI、SSL)透明数据加密(TDE)Oracle8i首先引入了OracleAdvancedSecurity，其中融合了网络加密、数据库加密和强身份验证，有助于客户解决隐私与合规性要求。透明数据加密(TDE)–无需应用修改–表空间加密与列级加密–内置密钥管理–加密RMAN备份集和数据泵导出集–加密OracleSecurefiles(LOBS)网络加密–SSL/TLS强验证–Kerberos,PKI–RADIUSCopyright©2014Oracleand/oritsaffiliates.Allrightsreserved.|OracleDataMasking对身缠数据进行不可逆的数据脱敏再用于非生产环境•使应用程序数据安全地使用于非生产环境•防止应用程序开发人员和测试人员看到生产数据•用于数据屏蔽自动化的可扩展模板库和策略•自动保留引用完整性，以便应用程序能够继续正常运行LAST_NAMESSNSALARYANSKEKSL111—23-111160,000BKJHHEIEDK222-34-134540,000LAST_NAMESSNSALARYAGUILAR203-33-323440,000BENSON323-22-294360,000生产数据库非生产数据库数据永不离开数据库Copyright©2014Oracleand/oritsaffiliates.Allrightsreserved.|OracleAuditVault实时审计数据库活动•将数据库审计线索整合到安全集中的信息库中•检测并警告可疑活动，包括特权用户•适用于SOX、PCI和其他法规的现成的合规性报告•例如，特权用户审计、权限、失败的登录、受管制数据更改•使用报告生成、通知、证明、存档等简化了审计。CRM数据ERP数据数据库HR数据审计数据策略内置报告警报自定义报告!审计人员Copyright©2014Oracleand/oritsaffiliates.Allrightsreserved.|OracleTotalRecall跟踪对敏感数据的更改selectsalaryfromempASOFTIMESTAMP'02-MAY-0912.00AM‘whereemp.title=‘admin’•透明地跟踪应用程序数据随时间的更改•数据库中高效、抗干扰的归档存储•使用SQL实时访问应用程序的历史数据•简化的突发事件取证和恢复Copyright©2014Oracleand/oritsaffiliates.Allrightsreserved.|OracleTotalRecall功能简介•Oracle11g数据库的新选件；•用于生成和管理历史数据；•帮助企业利用历史数据来了解市场趋势和客户行为；主要特点•易于配置，轻松地实现历史数据的捕获，不需要更改任何应用程序；•捕获过程性能开销低，捕获到的历史数据以压缩形式存储，