Oracle数据安全方案.ppt
《Oracle数据安全方案.ppt》由会员分享,可在线阅读,更多相关《Oracle数据安全方案.ppt(32页珍藏版)》请在冰点文库上搜索。
完整的信息资产安全方案,黄志东OracleProductStrategy数据安全专家,Oracle全面技术解决核心数据安全问题,说到保护IT资产安全,各种方案应有尽有,6,网络加密,VPN,网络访问控制,身份识别,防火墙,入侵检测,数据遮蔽,Web防火墙,入侵防护,防病毒,网络访问控制,防间谍软件,网络防火墙,入侵检测,行为审计,权限管理,设备控制,数据库防火墙,维基解密,安全也是云计算中的主要问题,随着数据库规模变大,数据库成为企业信息资产的同时,也被越来越多的不良之徒所觊觎数据被违规访问、删、改、复制和缺乏审计的安全问题,已经成为IT系统最大的威胁根据IOUG和VerizonBusiness的最新市场调查,2010年全球造成严重后果的IT安全事件中92%是针对数据库的侵入,89%的黑客采用了SQL注入技术,84%的外部攻击利用了管理不善的数据库用户权限数据库安全造成的IT系统损失是100%的,什么IT信息安全的最大威胁?
被侵犯数据的主要来源:
92%的记录源自被侵入的数据库服务器,2010数据侵犯调查报告,普遍缺乏对核心数据实施保护,2010IOUG数据安全报告,Oracle数据安全方案在整个安全体系中的位置,核心数据,复杂业务系统的安全方案越发困难,解决方案:
完全数据安全体系架构,。
。
各业务部门维护人员,信息技术部门维护人员,应用开发商维护人员,系统用户,中间件服务器AS/Web,数据库服务器,磁盘系统,DataWarehouse,威胁数据安全手段方式示意图,Backup,客户端的SQL恶意注入,网络传输过程中的SQL替换,应用层的程序预埋,数据库层面的合法和非法操作,数据库内的存储过程预埋,测试过程获得敏感数据,备份过程中的敏感数据获得,日常工作和维护过程的敏感数据修改和获得,。
。
各地业务部门维护人员,各地信息中心维护人员,应用开发商维护人员,系统用户,中间件服务器AS/Web,数据库服务器,磁盘系统,安全配置和管理企业管理器,敏感数据遮蔽,LabelSecurity,ActiveDataGuard,安全备份,DataWarehouse,数据安全方案产品部署层次示意图,Backup,完全数据库操作审计,库外网络防范,数据库内防范,行为监控,AdvancedSecurity,用户访问控制,数据安全方案应具有的基本功能,数据账户分层管理,三权分立企业内部和外协公司账户的分层管理技术维护和企业业务人员账户的分层管理访问和操作权限控制何时、何地、何人、有何访问和操作权限防止对核心数据的越权操作和误操作敏感操作的记录和分析记录关键操作的业务人员或维护人员的ID、时间、地点、和具体动作对规模化的合法动作进行分析和挖掘,找出可能的安全管理漏洞随着企业内部业务信息化的推进,以及互联网业务的逐步推广,需要记录和分析内部和外部用户的行为习惯和具体操作。
。
。
各地业务部门维护人员,各地信息中心维护人员,应用开发商维护人员,系统用户,中间件服务器AS/Web,数据库服务器,磁盘系统,安全配置和管理企业管理器,敏感数据遮蔽,LabelSecurity,ActiveDataGuard,安全备份,DataWarehouse,数据安全方案产品部署层次示意图,Backup,完全数据库操作审计,库外网络防范,数据库内防范,行为监控,AdvancedSecurity,用户访问控制,按照业务划分的职责和授权,限制各种应用用户的使用权限,对关键数据采取保护措施,对用户登录进行审计,对敏感操作进行审计,数据保护系统综合报告,数据保护方案的基本功能和策略,对于关键操作进行完全回放,功能逐步细化,实现逐步简化,旁路监听串联阻断,DatabaseFirewall-单位传达室,监控模式数据库审计服务器,监测(MonitorOnly)模式不阻止也被称为“SPAN”、“Spanport”、“Mirrored”或者“Tap”只进行SQL操作的记录和报告易于部署,对数据库和应用没有影响,数据库防火墙模式,阻止和监测密切监测SQL通信,并对照安全策略进行检验也被称为“Bridge”或者“TransparentBridge”有时,只有在没有OutofBand端口时使用,数据库防火墙高可用性策略,策略分析器创建安全策略在Windows桌面上运行,数据库防火墙管理服务器报告,归档信息库防火墙管理,策略管理报警,集成,数据库防火墙(HA模式),阻止未授权的访问监视数据访问,数据库防火墙,远程/本地监测,发送网络流量信息,数据库防火墙完善的报表系统,DatabaseFirewall日志数据被整合到报告数据库中130多个可修改、可自定义的内置报告用于数据库查证和审计的授权报告数据库活动和授权用户报告支持演示PCI、SOX、HIPAA/HITECH等控件,DatabaseVault-数据库级的门禁保护,数据账户分层管理,三权分立企业内部和外协公司账户的分层管理技术维护和核心业务人员账户的分层管理访问和操作权限控制何时、何地、何人、有何访问和操作权限,OracleDatabaseVault法规遵循和防止来自内部的威胁,对授权用户的控制限制数据库管理员访问应用程序的数据提供职责分离的功能保证数据库和信息整合的安全性执行数据访问的安全策略控制何人、何时、何地以及如何访问数据可根据IP地址、时间或授权等情况作出访问决定可应用于Oracle9iR2Oracle10gR2Oracle11g,报表,领域,多因子授权,职责分离,命令规则,22,AuditVault-敏感操作监控摄像头,在实际工作地点家装摄像头,记录关键工作的动作。
全库操作的监控审计,代理,AuditVaultServer,库内文件,操作系统,REDO,代理,数据库1,数据库2,数据库3,库内文件,操作系统,REDO,库内文件,操作系统,REDO,RUEI安全功能:
安全事件关键页面定制捕获回放,Oracle数据库配置管理保护您的数据库环境,发现数据库并将其分类到策略组依据400多个最佳实践和行业标准以及自定义的企业专用配置策略对数据库进行扫描检测进而防止未授权的数据库配置更改更改管理信息板与合规性报告,监视,配置管理与审计,漏洞管理,修复,分析与解析,确定优先级,策略管理,评估,分类,监视,发现,资产管理,OracleTotalRecall跟踪和恢复被篡改数据,selectsalaryfromempASOFTIMESTAMP02-MAY-0912.00AMwhereemp.title=admin,透明地跟踪应用程序数据随时间的更改数据库中高效、抗干扰的归档存储使用SQL实时访问应用程序的历史数据简化的突发事件取证和恢复,根据业务因素对用户和数据进行分类在数据库中实施行级访问控制通过OracleIdentityManagementSuite对用户进行分类分类标签可以是其他策略中的因素,OracleLabelSecurity对数据和用户进行分类以便实现自动访问控制,机密,敏感,事务,报告数据,报告,敏感,机密,公共,OracleAdvancedSecurity数据网络加密和库内数据透明加密,对静止的应用程序数据完全加密,防止IT人员或操作系统用户直接访问存储在数据库文件中、磁带上、导出的数据和其他数据无需更改应用程序即可对应用程序数据实现高效加密使用HSM/KMS既可实现针对SoD的内置双层密钥管理又支持集中密钥管理数据库用户的强身份验证实现了更安全的身份保证,应用程序,OracleDataMasking对敏感数据的遮蔽,使应用程序数据安全地使用于非生产环境防止应用程序开发人员和测试人员看到生产数据用于数据屏蔽自动化的可扩展模板库和策略自动保留引用完整性,以便应用程序能够继续正常运行,生产数据库,非生产数据库,数据永不离开数据库,Oracle安全产品唯一获得数据保护高等级安全认证的产品,EvaluationAssuranceLevel4Augmented(EAL4+)EAL4+是欧美高标准安全认证的最高等级意味着产品方案可以在全球范围内可以放心使用,DatabaseVault,DataMasking,SecureConfigurationScanning,TransparentEncryption,LabelSecurity,AuditVault,SecureBackup,最完整的数据安全方案和产品系列,紧贴数据库,无法绕行攻击全面,完整随数据库自动升级,DBFirewall,
升级会员 