数据库的安全性与合规性纵深防御.ppt

数据库的安全性与合规性的“纵深防御”,裘海生SeniorSalesConsultanthanson.qiu,Agenda,数据库安全的业务驱动因素Oracle的数据安全性的发展加密与数据屏蔽的产品访问控制层面的产品监控层面的产品结合安全审计产品的案例Q,altertable.,高度机密,机密的,公共,中间层,Oracle数据库安全性信息安全的挑战,Agenda,数据库安全的业务驱动因素Oracle的数据安全性的发展加密与数据屏蔽的产品访问控制层面的产品监控层面的产品结合安全审计产品的案例Q&A,数据屏蔽TDE表加密OracleTotalRecallOracleAuditVaultOracleDatabaseVault透明数据加密（TDE）实时屏蔽安全配置扫描细粒度审计OracleLabelSecurity企业用户安全性虚拟专用数据库（VPD）数据库加密API强身份验证自带网络加密数据库审计政府客户,Oracle数据库安全性持续创新,Oracle7,Oracle8i,Oracle数据库9i,Oracle数据库10g,Oracle数据库11g,Oracle数据库安全性为实现安全性与合规性的“纵深防御”,DatabaseVault,标签安全性,访问控制,配置管理,AuditVault,TotalRecall,监视,数据屏蔽,高级安全性,安全备份,加密与屏蔽,Agenda,数据库安全的业务驱动因素Oracle的数据安全性的发展加密与数据屏蔽的产品访问控制层面的产品监控层面的产品结合安全审计产品的案例Q&A,Oracle高级安全选件ASO透明加密和强认证,通过RMAN能够加密整个备份输出到磁盘,透明网络加密,强认证(PKI,Kerberos),Oracle高级安全选件ASO表空间加密TablespaceEncryption,加密所有应用数据加密整个数据库文件不用担心需要逐列的加密高效高性能与Oracle数据的压缩集成应用无需改变支持所有的数据类型索引范围扫描,SQLLayer,datablocks“*M$bs%&d7”,undoblocks,tempblocks,flashbacklogs,redologs,BufferCache,“SSN=987-65-.”,Oracle高级安全选件ASO网络、磁盘和磁带中的数据都得到保护,透明数据加密(TDE)应用不必变化表空间和列加密加密的备份(RMAN)加密的数据泵输出加密OracleSecurefiles(LOBS)内置的密钥管理透明，自动硬件安全模块(HSM)网络加密SSL/TLS本地的无认证要求强认证Kerberos,PKI,#*,75000,加密输出到磁盘的备份,网络加密,),(,强认证,透明数据加密TDE总结,不必改变现在应用无触发器，无视图最小化的性能影响内置的密钥管理无额外的加密和密钥管理的开销；只需关注业务逻辑简单的altertable语句,OracleE-BusinessSuite和SAP支持TDE,透明数据加密TDE列加密的布署方法,识别包含敏感数据的表CreditCards,SSN,确认TDE支持的数据类型?TDEsupportsmostallcommonlyuseddatatypes,确认列不是外键的一部分?SimpleDataDictionaryQuery,加密已存在的数据或新数据SQL*DeveloperGUIorCommandlineDDL,AlterTable.,1,2,3,4,理解Oracle安全备份OSB,在分布式环境中多平台的统一备份管理完整的磁带数据保护：Unix/Linux/Windows/NASfilesystemsOracleDatabase:Oracle9i至OracleDatabase11g,安全的跨域通信对分布的备份环境管理服务器提供的集中化的管理支持超过200种SCSI和SAN环境下可动态共态共享驱动器的磁带设备,Oracle安全备份SecureBackup集成的磁带备份管理,OracleSecureBackup集中的磁带备份管理,文件系统数据,UNIX,Linux,Windows,NAS,磁带,OracleDatabases,与RMAN的集成,被保护的备份数据库和文件系统的备份加密自动的密钥管理高性能无须备份（读）已提交的undo高级的介质管理在多地点间转移时提供了循环保护基于策略的磁带备份,数据屏蔽(DataMasking)是什么？,定义将客户数据、财务数据或公司保密数据匿名化来创建可以使用的新数据。这些数据保留了原来数据的属性，如宽度、类型及格式。原因当开发人员或离岸外包供应商在测试环境中使用保密数据时对这些数据进行保护当与第三方共享客户数据时不披露个人身份信息,主要特性屏蔽主键时自动进行数据库引用完整性检查隐式在数据库中执行显式在应用程序中执行数据屏蔽格式库屏蔽前查看示例数据应用程序屏蔽模板一次定义，多次执行,企业管理器数据屏蔽包,生产,预备,屏蔽,测试,测试,克隆,克隆,Agenda,数据库安全的业务驱动因素Oracle的数据安全性的发展加密与数据屏蔽的产品访问控制层面的产品监控层面的产品结合安全审计产品的案例Q&A,Oracle数据库保护DatabaseVault减少内部威胁，加强合规性,控制授权用户限制DBA访问应用程序数据实现职责分离保障数据库整合的安全性实施数据访问安全策略控制进行数据访问的人员、时间、地点和方式基于IP地址、时间、验证等确定支持Oracle9iR2以上版本,Reports,Realms,Multi-FactorAuthorization,SeparationofDuty,CommandRules,Oracle数据库保护DatabaseVault特权用户的控制,DatabaseDBA浏览HR信息,合规和对内部人员的控制,HR系统使用人员访问FIN数据,从服务整合的层面杜绝风险,DBA,HRApp,SELECT*FROMHR.EMP,FINApp,OracleDatabaseVault内置因子,用户因子NameAuthenticationtypeSessionUserProxyEnterpriseIdentity网络因子MachinenameClientIPNetworkProtocols扩展Definecustomfactors,数据库因子DatabaseIPDatabaseInstanceDatabaseHostnameDatabaseSID运行时因子LanguageDateTime,Oracle标签安全性LabelSecurity基于标签的访问控制,基于标签授权的用户,保护敏感数据给表中的行分配数据标签给应用的用户分配用户标签使用内置的算法实现对表的透明访问控制灵活性和用户化基于策略的架构增强的选件权限可信任的存储过程完整的API,Agenda,数据库安全的业务驱动因素Oracle的数据安全性的发展加密与数据屏蔽的产品访问控制层面的产品监控层面的产品结合安全审计产品的案例Q&A,数据库安全性评估自动化数据库参数数据库配置文件数据库访问数据库文件权限安装之后的检查跟踪数据库间的“配置偏差”持续的合规可见性合规性分数（0-100%）违规通知跟踪一定时间段的合规性进展映射到COBIT、CIS和Oracle的最佳实践现成的最佳实践250多个策略支持Oracle8i及更高版本,企业管理器配置包安全配置扫描,主机检测开放的端口检测不安全的服务确保NTFS文件系统类型(Windows)应用服务器HTTPD具有最低权限使用HTTP/S应当启用Apache日志记录禁用演示应用程序禁用默认的标题页面禁用对未使用目录的访问禁用目录索引禁止对某些程序包的访问禁用DAD所有者未使用的程序包移除未使用的DAD配置支持复杂的口令,数据库服务启用监听器日志记录口令保护监听器不接受默认的监听器名称确保监听器日志文件有效且为Oracle所有确保监听器主机名与IP对应数据库文件权限Init.ora应具有受限的文件权限$OH/bin中的文件应归Oracle所有数据文件应归Oracle所有数据库配置文件/配置默认口令不允许固定用户链接访问对象不允许默认表空间设置为SYSTEM设置password_grace_time限制或禁止对DBMS_LOB的访问设置password_reuse_max避免使用utl_file_dir参数,企业管理器配置包250多条内置策略规则,OracleTotalRecall实时的数据库归档,好处：历史数据的合规性和证据分析透明的跟踪变化审计的补充谁vs.什么使用“ASOF”flashbackSQL很容易的访问历史数据使用压缩的形式最小化所需空间防止篡改,select*fromproduct_informationASOFTIMESTAMP02-MAY-0512.00AMwhereproduct_id=3060,AuditVault集中的数据库审计保护谁、何时、何地、做过何事以及如何做,提供数据按计划使用的保证证明并记录用户的活动制止用户不恰当的行为发现异常行为和非法闯入尽早发现可疑的行为审计关键事件访问和修改敏感数据修改数据库结构授权用户的活动帐户/角色的管理,Oracle数据库10gR2,监视,策略,报表,安全性,Oracle数据库11gR1,Oracle数据库10gR1,Oracle数据库9iR2,其他数据源、数据库,Oracle数据库中的审计强健的、灵活的、高忠实度的审计,行业中最为先进的语句对schema对象的DDL/DML审计权限审计使用系统权限的语句指定用户或组用户精细粒度审计基于策略的条件审计灵活性审计表和OS文件目标支持XML格式Windows事件浏览和SYSLOG,OracleAuditVaultAlerts威胁检测告警,有效的扫描内在的审计数据扫描告警可定义为直接浏览敏感列在敏感系统中创建用户在敏感系统中赋予角色“DBA”在所有系统中的赋予应用用户登录失败.,Agenda,数据库安全的业务驱动因素Oracle的数据安全性的发展加密与数据屏蔽的产品访问控制层面的产品监控层面的产品结合安全审计产品的案例Q&A,安全监控背景：信任但要验证外部完全监控：成熟全面内部安全监控：未被充分重视非授权访问监控特权用户监控外来人员监控,电信行业内部数据库审计及安全监控,数据库审计背景：法规遵从Sarbanes-Oxley(SOX)法案安然，世通等公司的财务丑闻现存问题审计数据存放分散审计数据缺乏保护审计报告困难,数据库审计的逻辑架构,数据库审计的系统架构,审计报告编制用户行为审计系统关键状态审计系统关键数据审计,数据库安全审计的主要应用,集中展示界面多样化的展示形式支持海量数据审计审计多业务环境数据审计数据加密,电信行业应用场景一：多系统数据审计,电信行业应用场景二：批量查询用户资料,发现该用户查询访问超过系统设置,应用场景二：批量查询用户资料,