oracle数据库10g安全性概述.ppt

,SudhaIyer资深产品经理甲骨文公司,Oracle数据库10g安全性保护应用程序安全工具,议程,全球安全的推动因素Oracle安全性/身份管理平台安全性的最佳应用问题与解答,安全性推动因素,外包、电子商务对全球的影响,安全现状美国,90%的被调查者*在过去十二个月中曾检测到计算机安全侵害。80%的被调查者承认由于计算机安全侵害而导致经济损失。可计算的损失为455,848,000美元专利信息被盗损失为170,827,000美元金融诈骗损失为115,753,000美元74%的被调查者称其互联网连接经常受到攻击33%的被调查者称其内部系统经常受到攻击,*来源：2002CSI/FBI计算机犯罪和安全调查,欧洲的安全管理规程,皇家法令994/1999（西班牙）针对个人数据文件的安全性法规欧洲隐私管理规程关于个人身份信息的安全措施，包含对收集、使用和访问数据的限制欧洲电子签名管理规程有效电子签名的要求欧洲计算机犯罪条约委员会,8,亚太地区安全性准则,用于保护隐私的OECD准则澳大利亚隐私法案1988用于保护数据的协同方案信息隐私法规=国家隐私法规香港个人数据（隐私）条例1995日本新的隐私保护法律将于2005年4月1日生效,从客户的观点来看，,10,身份管理和安全性的商业推动因素,Web应用程序非常优秀,开发成本较低易于部署可从任何位置访问,但是,12,这些应用程序是否安全？,能否在任何地点、任何时间进行访问？,采用新技术,消失的边界,是否符合法规？,13,基本需求,以安全的方式对数据进行智能分析符合法规在多个技术层中跟踪身份尽量减少由于数据丢失、被盗和过于暴露而带来的风险具备验证及访问管理的端到端安全性易于使用、易于管理并且安全的终端安全性基于标准的安全性（互操作性）,Oracle数据库10g=25年以上的安全性领导地位,1977,2004,标签安全性+身份管理列安全策略17项安全评估身份管理版本细粒度审计通用标准(EAL4)Oracle标签安全性(2000)虚拟专用数据库(1998)企业用户安全性Oracle互联网目录数据库加密API推出Oracle高级安全性网络加密、RADIUS、Kerberos、PKI第一个橘皮书B1评估(1993)可信的Oracle7多级安全数据库(1992)政府客户,安全性的最佳应用,使用数据库安全特性的策略,16,风险管理,在可负担性、可用性和安全性之间找到一个平衡点风险管理非常重要通过以下方法预防风险全局式安全分析安式式设计安全式编程安全式部署,17,基本的安全性原则,了解您的用户最低权限原则监控的合法性,数据,审计,访问控制,验证,安全性的两个方面管理开发,安全性的管理方面,19,应用程序中的互操作性及标准,由“标识”所建立的认证与可信身份建立信任关系使用多种应用程序技术OCIJDBC、.NETOracleForms/OracleReportsOC4JWeb服务,平台的安全性和身份管理,外部安全性服务,Oracle平台安全性,应用程序安全性,电子商务套件,职责、角色,协作套件,S-MIME、相互权利,OracleASPortal/Wireless,Roles,PrivilegeGroups,OracleInternetDirectory,OracleAS认证授权,目录集成和供应,OracleAS一次性登录,委托管理服务,第三方应用程序,授权、隐私、审计,OracleAS门户/无线,角色、权限组,Oracle数据库,企业用户、VPD、加密标签安全性,Oracle身份管理,Oracle应用服务器,JAAS、WS安全性Java2许可,21,Oracle数据库10g集成身份管理功能,数据库企业用户安全性功能在Oracle应用服务器10g身份管理基础架构中管理数据库用户统一的用户模型单一应用服务器Web一次性登录与数据库口令=增强的安全性！全面集成Oracle标签安全性与Oracle身份管理在Oracle应用服务器10g身份管理基础架构中管理用户和安全检查,22,在进行身份管理和EUS部署之前,DBA：创建用户名和口令重新设置口令管理角色设置口令策略将用户名与身份相匹配,应用程序数据库,23,在进行身份管理和EUS部署之后,用户身份管理员,应用程序数据库,Oracle身份管理,其他企业目录（可选）,Oracle标签安全性,应用程序表,敏感：ACME,敏感度标签敏感：ACME敏感：WIDGET高度敏感：ACME一般：ACME,存储IDAX703B789CJFS845SF78SD,收入10200.3418020.3415045.2321004.45,部门财务工程法律人力资源,OK,OK,Oracle标签安全性身份管理集成,集中管理Oracle标签安全性策略敏感度标签用户标签授权益处对目录用户执行标签授权集中执行统一的策略辅助网格计算为网格进行安全检查减轻管理负担10g中的新增特性,Oracle高级安全性选项,网络安全性加密（Net8本地、SSL、Java）强大的认证功能KerberosPKI一次性登录（委托、PKI）Radius,PKCS#11支持允许在智能卡或硬件上使用Oracle钱夹=10g中的新增特性,Oracle数据库10g应用Kerberos的企业用户,目录用户使用Kerberos证书认证到数据库中益处利用桌面登录的端到端安全性实质上没有管理成本在异种环境中进行集中管理,28,网络加密：线路中的保密,#yu1(*tp4e,-行业标准算法多达256位的RCARC4、AES、3DES（2个密钥和3个密钥）-可以方便的建立在数据库客户端与服务器之间通过FIPS评估防止数据更改、数据重放和中间人攻击,%oiu*hjktyot,标准客户端,Oracle10g数据库,Oracle10gAS,29,企业管理器帮助实施安全性的最佳应用,供应用户适当的访问权限检查系统中权限过多的帐户为EM用户管理提供相关环境的链接使用安全的配置Oracle产品部署在一个普通的不安全配置环境中，则向客户报警部署安全的安装版本、补丁提供Oracle产品安全性补丁的快速通知便于安全性补丁的应用,30,Oracle数据库10g审计,细粒度审计(FGA)增加对插入、更新和删除操作的粒度审计支持利用新视图增强对审计记录的访问在数据库中提供新的单一审计视图Oracle9i只支持对选择操作的审计,在数据库中执行审计策略,.WhereSalary500000AUDITCOLUMN=Salary,31,审计的最佳应用,建立正常行为和异常行为对于高度重要的事务进行FGA创建AuditManager角色AUDITANY权限在DBA_AUDIT_TRAIL上进行选择操作在AUD$上进行删除操作为AuditManager角色授权并停止使用SYS！,Oracle数据库10g的应用程序安全性,33,Oracle数据库10g中的新功能,虚拟专用数据库增强功能升级的加密工具包公共密钥基础架构增强功能默认的安全性Oracle企业管理器安全性,34,Oracle数据库10g虚拟专用数据库,在Oracle8i中开始推出数据库强制执行可编程的行级安全性,VPD策略,35,Oracle数据库10g虚拟专用数据库,列相关策略只有在访问特定列的时候才强制执行该策略提高行级安全性的粒度,36,Oracle数据库10g虚拟专用数据库,列筛选可选的VPD配置返回所有行，但滤除那些不符合标准的行的列值,37,Oracle数据库10g虚拟专用数据库,性能增强静态策略动态策略静态策略不变的策略有助于进行托管动态策略在策略返回不同的谓词时，这是个好的选择每日定时执行,38,Oracle数据库10g加密工具包,Oracle10g具有一个简单的加密/解密接口DBMS_CRYPTO程序包DES、3DES、AES加密MD5校验和编程密钥管理10g的增强用户接口加密blob数据类型应用程序必须提供密钥生成、管理和恢复功能加密密钥必须存储在某处可以存储在数据库文件中、操作系统中、磁盘上等等,全局应用程序环境,应用服务器,1.用户A连接,2.应用程序确定用户A为Gold,3.应用程序创建Gold、Silver、Bronze全局环境,4.应用程序重新设置client_identifier为Gold,5.用户B连接,6.应用程序确定用户B为Bronze,7.应用程序重新设置client_identifier为Bronze,Oracle9i,40,安全的应用程序角色,安全的应用程序角色是指由程序包所实施的角色程序包在设置角色（SETROLE）完成之前能够执行任何所需的验证为用户访问提供灵活性,OracleInternetDirectory,用户A,用户B,用户C,用户D,Oracle9i,41,代理认证,Oracle9i,1.用户认证到中间层,2.中间层代理用户（DN、证书）身份到数据库,用户A,用户B,用户C,用户D,用户A,用户B,用户C,用户D,应用服务器,3.数据库检索用户角色，连接到应用程序模式,OracleInternetDirectory,Oracle高级安全性选项,网络安全性加密（Net8本地、SSL、Java）强大的认证功能KerberosPKI一次性登录（委托、PKI）Radius,PKCS#11支持允许在智能卡或硬件上使用Oracle钱夹安全性模块=10g中的新增特性,Oracle数据库10g经过Kerberos处理的企业用户,目录用户使用Kerberos证书认证到数据库益处利用桌面登录的端到端安全性实质上没有管理成本在异种环境中进行集中管理,44,网络加密：在线路中保密,#yu1(*tp4e,-行业标准算法多达256位的RCARC4、AES、3DES（2个密钥和3个密钥）-易于建立在数据库客户与服务器之间通过FIPS评估防止数据更改、数据中继和中间人攻击,%oiu*hjktyot,标准客户端,Oracle10g数据库,Oracle10gAS,45,企业管理器帮助实现安全性的最佳应用,利用适当的访问方式来供应用户检查系统中具有过多权限的帐户为EM用户管理提供相关环境的链接使用安全的配置如果利用普通的不安全配置来部署Oracle产品，则向客户报警部署安全的安装文件、补丁提供关