Oracle数据安全---电信行业

InsertPictureHereOracle数据安全解决方案叶梁高级解决方案专家内部威胁隐私合规性来自于电信行业客户提出的数据安全问题问题一：应用系统的数据维护中偶尔会出现误操作造成重大损失（比如说误删除表数据），如何能够尽量避免这些误操作的发生？问题二：应用系统中有很多的敏感数据(比如说客户资料、账户余额)，如何能够防止对这些敏感数据的违规访问？问题三：应用系统中存在合法但是违规的数据操作(比如说绕过应用程序直接去篡改部分数据），如何能够防止这些合法但是违规的数据操作的发生？问题四：应用系统出现意外的违规数据操作或者对敏感数据的访问，如何才能事后追查出来是谁在什么时间和地点进行的操作？问题五：应用系统出现违规的数据访问，如何及时发现入侵行为并进行安全预警和数据责任追踪，防止安全问题进一步扩散？议程•目前企业的安全概况•Oracle数据安全解决方案•数据访问控制安全•数据监控安全•Q&A企业信息安全外部网络攻击人为误操作人员安全管理违规操作非法访问合法访问物理硬件安全事后追查…………目前企业面临的信息安全-------外部和内部的安全外部信息安全内部数据安全目前企业的安全现状安全产品应用主机应用网络物理环境数据数据库1、物理隔离2、防火墙、IDS、VPN、堡垒机3、CA、HTTPS、USER/PASSWORD4、操作系统安全USER/PASSWORD5、数据库访问安全USER/PASSWORD??Oracle数据安全的五个维度数据访问控制的安全数据备份的安全数据传输存储的安全数据监控审计的安全数据安全数据展现的安全重要!!重要！！Oracle身份管理安全备份强认证网络加密企业级用户安全细粒度审计透明数据加密DatabaseVault域、因子&命令规则集OracleLabelSecurity基于行的访问控制AuditVaultEM数据遮蔽&安全配置Oracle最大数据安全架构数据访问控制的安全提高访问控制能力报表域多因素授权职责分离命令规则审计•系统中存储有大量用户资料和使用记录的私密数据，通过DBVault进行增强的数据保护•通过不同条件组合定制数据访问安全策略•控制进行数据访问的人员、时间、地点和方式•基于IP地址、时间、验证方式等进行决策•减少维护中的高危误操作，保障安全生产•对应用透明，不影响应用的开发和部署OracleDataBaseVault•尽量避免在数据维护过程中发生错误的Drop，Truncate，Delete以及对数据库结构修改等这些的高危误操作，从而保障安全生产，提高生产效率尽量避免发生误操作维护人员维护人员GZYY•数据库维护人员在未经充许的环境进行数据库访问更改系统…….基于IP地址的规则阻止动作create…•维护人员在未经充许的时间段试图进行数据访问周一下午3点基于日期和时间的规则阻止动作营业数据实时访问控制基于规则的多因素授权域违规报告可证明的预防控制措施•内置审计和报告功能•域违规报告•权限报告，如“谁担任着DBA角色？”•共有20多种报告•易于设置和管理•Web界面•API数据监控审计的安全监控所有敏感操作10gR210gR1Oracle9iR2监控策略报表安全•收集并整合审计数据•生产数据与审计数据相分离•在业务支撑域实现统一的数据安全审计平台•检测及预防内部威胁•提早检测及警报嫌疑活动•监控及检测数据变化•采用审计策略降低IT成本•多数据库集中管理•统一Web图形界面•供应审计设置•简化合规性报告•内建的报告•定制的报告•可伸缩性和安全性•强壮的Oracle数据库技术•高级安全，DatabaseVault•分区技术OracleAuditVault功能强健、灵活、高精确度的审计AuditVault报表预置的审计评估与定制的报表•预置的报表•授权用户的操作•访问敏感数据•角色授予•DDL操作•系统管理•登录/注销•用户定义的报表•合法用户对账户数据库进行了哪些操作？•哪些非应用程序用户访问了敏感数据？•定制的报表•OracleBIPublisher、ApplicationExpress或第三方工具FINANCEDBFINANCEDBFINANCEDBFINANCEDBFINANCEDBFINANCEDBFINANCEDBFINANCEDBFINANCEDBFINANCEDBFINANCEDBHRDBCUSTOMERDBHRDBAuditVault警报利用警报进行早期监测•可以定义警报来监测以下情形•非应用程序用户尝试查看敏感列•敏感系统中的新用户•敏感系统中的角色授权•所有系统中的“DBA”授权•应用程序用户登录失败•……•评估接受到的审计数据后发出警报•能够向电子邮件或短信发送警报•针对可疑操作产生报警报表OracleAuditVault数据仓库可伸缩的、灵活的数据仓库•审计数据仓库•可进行商业智能分析•拥有报表功能•AuditVault数据仓库维度•时间、主机、数据源、用户、事件…•被证明和发布的Schema•允许使用第三方报表工具•性能和伸缩性•内建分区•可扩展到TB级•可在OracleRAC上部署OracleAuditVault安全性审计数据与实际的数据一样敏感•内建的安全性•审计数据传输加密•内置的安全选件•OracleDatabaseVault防止特权用户随意修改审计数据•OracleAdvancedSecurity电信行业案例分析电信行业系统中敏感数据统计账户余额消费金额消费积分缴费记录消费账单消费趋势„„集团客户资料、个人大客户资料、普通客户资料渠道合作伙伴资料-票据管理充值卡充值记录积分变更记录„„营业数据账务数据某电信行业系统核心数据访问途径程序连接账号：①使用数据库账号登录数据库进行数据访问所有数据库账号均有权限进行数据查询，目前数据库中的账号主要包括右边几种类型目前通过以下几种途径可以访问到核心系统数据库的核心数据维护账号：1.开发商维护账号2.厂商、服务商维护账号3.省、市公司维护账号4.系统割接账号某电信行业系统核心数据访问途径数据同步类型市公司数据同步包括地市公司，每天晚上定时将生产数据同步至市公司服务器（服务器目前由市公司自己维护）应急系统数据同步每天晚上定时将生产数据同步至应急系统数据库②通过数据同步方式获取数据到本地访问数据同步方式主要有两种类型，分别是市公司数据同步、应急系统数据同步某电信行业系统核心数据访问途径通过测试环境获取数据系统割接测试环境如建立OCE，OCS割接环境时，须将生产库整个市公司的数据同步至测试库程序调试环境应开发商的需求，不定期将生产数据同步至测试库，供调试程序使用③通过测试环境获取数据由于系统割接、功能测试、培训环境、需求开发等情况，需要从生产环境同步或恢复用户数据到测试环境培训环境应开发商的需求，需不定期将生产环境数据同步至测试库的全省培训环境某电信行业系统Oracle数据安全加固解决方案Databasevault安全保护STDB2GZDB1GZDB2GZDBSTDB1STDBSZDB1SZDB2SZDBDGDB1DGDB2DGDBFSDB1FSDB2FSDBREPOR1GZDB1REPORTCDR1CDR2CDR安全域安全域命令规则命令集Auditvault服务器审计数据库管理、分析工作终端使用OracleDatabaseVault实现数据安全保护使用OracleAuditVault实现统一的数据安全审计Oracle针对中国移动某省BOSS系统内部数据安全加固管理建议•加强维护操作管理•针对账号实现“人机绑定”等安全措施，在源头上堵住安全问题发生。•实施敏感数据访问“实时告警”、“违规查询”。实时掌控数据安全状态、防止安全问题进一步扩散“人机绑定”：特定的用户必须通过指定客户机、指定程序、指定的时间段才能进行数据访问，实现人、机、时的有效绑定，建立起数据的安全访问通道，防止资料的外泄人机绑定对关键业务的参数表、敏感数据表的操作进行细粒度监控，通过短信告警平台将敏感数据的访问过程实时发送给相关安全管理人员，做到实时监控数据的安全状态，如有安全问题发生，管理人员能尽快介入分析原因，防止安全问题进一步扩散报表清单营账(未来)其他数据库监控策略报表安全实时告警通过运维决策系统建立起数据违章访问分析页面，通过WEB界面，开发商、管理人员可以方便、快捷地分析每日数据访问审计结果，确认维护操作是否有违规问题发生，做到审计信息日清日结，针对出现的问题及时进行整改违规查询某电信行业系统数据安全加固性能压力测试•前台业务性能压力测试业务平均响应时间的差比在-5%～+5%的范围之内，波动较小业务处理速度的差比在-5%～+5%的范围之内，波动较小来自于客户提出的数据安全问题问题一：应用系统中有很多的敏感数据(比如说客户资料、账户余额)，如何能够防止对这些敏感数据的访问？DatabaseVault问题二：应用系统中存在合法但是违规的数据操作(比如说绕过应用程序直接去篡改部分数据），如何能够防止这些合法但是违规的数据操作的发生？DatabaseVault问题三：应用系统偶尔会出现数据维护误操作造成重大损失（比如说误删除表数据），如何能够尽量避免这些误操作的发生？DatabaseVault问题四：应用系统出现意外的违规数据操作或者对敏感数据的访问，如何才能事后追查出来是谁在什么时间和地点进行的操作？AuditVault问题五：应用系统出现数据安全问题，如何及时发现入侵行为进行安全预警和数据责任追踪，防止安全问题进一步扩散？AuditVaultOracle数据安全解决方案的优势杜绝企业内部的违规操作的发生！保证企业内敏感数据的合法操作！保证企业实现统一的数据审计以供事后追查！降低企业数据误操作的发生！