数据库安全与企业管理器融合解决方案

1、1Copyright 2014 Oracle and/or its affiliates. All rights reserved. |数据库安全与企业管理器融合解决方案2目录Oracle数据库安全解决方案介绍EM企业管理器方案介绍参考案例分析1233数据等级分类数据加密、通道加密数据屏蔽、脱敏配置变更管理数据备份和恢复身份和权限管理、职责分离Advanced Security Data MaskingDatabase VaultSecure Backup Lifecycle Management Label SecurityIdentity ManagementDBA行为追踪和分析用户行追踪

2、和分析IP行为追踪和分析用户增改删追踪权限增改删追踪数据增改删追踪存储过程增改删追踪配置增改删追踪Audit VaultTotal Recall Database FirewallLifecycle ManagementIdentity ManagementSQL注入拦截非法访问拦截数据破坏拦截敏感数据访问拦截Database FirewallDatabase Vault事后审计事前防范事中拦截数据安全管理的三个阶段Database VaultLabel SecurityIdentity ManagementAdvanced SecuritySecure BackupData MaskingO

3、racle数据安全纵深防护方案Audit VaultTotal RecallConfiguration Management加密和屏蔽访问控制审计Database Firewall监视和阻止在威胁到达数据库之前监视和阻止它们控制对数据库中数据的访问,阻止非法访问数据安全预警核心数据加密跟踪更改并审计数据库活动从非生产环境中删除敏感数据 事前阻止 事中防护、预警 事后追溯用户访问“进不来”敏感数据“看不见”核心数据“拿不走”系统数据 “改不了”运维操作“跑不掉”5Oracle Database Firewall第一道防线策略内置报告警报自定义报告应用程序块日志记录允许警报替代监视数据库活动防止未

4、授权的数据库访问、SQL 注入、权限或角色升级、对敏感数据的非法访问等。通过高度精确的 SQL 语法分析避免代价高昂的误报。基于白名单和黑名单的灵活的 SQL 级实施选项可伸缩的体系结构让企业可以适应各种部署模式适用于 SOX、PCI 和其他法规的内置和自定义合规性报告 6可以为任何用户或应用程序定义“允许的”行为白名单可以包括诸如时间、日期、网络、应用程序等内置因素为任何应用程序自动生成白名单立即拒绝不符合策略的事务数据库将只按照您的要求和愿望来处理数据白名单应用程序阻止允许Oracle Database Firewall主动安全模型7Oracle Database Firewall被动安全

5、模型停止不接受的特定 SQL 命令、用户或模式的访问防止权限或角色提升以及对敏感数据的未授权访问黑名单中可以包括诸如时间、日期、网络、应用程序等内置因素根据您的业务和安全目标有选择地阻止事务的任何部分阻止允许黑名单应用程序8Oracle Database Firewall快速和灵活的部署串联：所有数据库流量都经过 Oracle Database Firewall并联/被动：数据库防火墙连接到 SPAN 端口或 TAP可选的基于主机的远程或本地监视器可将网络流量从数据库主机发送到数据库防火墙可将非网络数据库活动发送到数据库防火墙，以识别本地控制台或远程会话的未授权使用数据库服务器用户并联数据库防

6、火墙应用服务器串联基于主机的代理路由器9Database Vault是什么？ 一般的 Oracle Database DBA控制所有的权限数据库管理员DBA账户管理员应用管理员数据库起动/停止不能访问实际的数据！用户的创建修改、配置文件的创建変更修改、访问的授权不能访问实际的数据！应用数据的管理、访问权限的分配从DB的起动停止到所有用户对象以及安全设置、系统权限的执行都可以控制。存在着由于DBA自身引起数据泄露、非法数据操作等等的极大风险！数据库管理安全规则管理应用数据的管理数据库管理账户管理应用数据的管理账户管理安全管理员基于安全规则对访问控制进行设置、管理不能访问实际的数据！安全规则管理

7、Oracle Database Vault 将管理权限分配到各个管理员强大而灵活的访问安全控制选件回避将管理权限集中到一元的风险，根据工作要求分配恰当的权限给多个管理员，加强数据库管理的安全Database Vault的工作机制 一般的 Oracle Database 有权限就可以访问 Oracle Database Vault 必须满足条件才可以访问有合适的系统/对象权限的角色有合适的系统/对象权限的角色CONNECT 角色检查控制要求禁止允许CONNECT 角色基于安全规则设置一些复杂条件的访问控制只有满足条件的情况下、才允许使用相应的系统/对象权限可以时间星期IP地址客户信息等等、组合多

8、种条件灵活地控制访问域违规报告 可证明的预防控制措施内置审计和报告功能域违规报告权限报告，如“谁担任着 DBA 角色？”共有 20 多种报告易于设置和管理Web 界面 APIOracle Database Vault在数据库内部实施安全策略自动的、可自定义的 DBA 职责分离及受保护的领域使用规则和因素管理人员、地点、时间和方式对特权数据库用户执行最小权限防止应用程序绕行、实施企业数据治理安全地整合应用程序数据或支持多承租方数据管理应用程序DBAselect * from finance.customersDBA安全 DBA应用程序采购HR财务13Oracle Database Vault 域

9、保护 DBA人力资源部 DBA HR人力资源部域 HR数据库 DBA 查看人力资源数据合规性和防止内部人员查看信息select * from HR.emp Fin财务部 DBAHR DBA 查看财务数据消除服务器整合后的风险财务域 Fin可以很容易的将域应用于现有的应用程序中，对性能影响极小14Oracle Database Vault 规则和多因素授权 DBA人力资源部 DBA HR数据库 DBA 试图远程“更改系统”更改系统.基于 IP 地址的规则阻止动作create 在运营过程中人力资源部 DBA 执行未经授权的操作 周一下午3点基于日期和时间的规则阻止动作人力资源部域 HR因素和命令规

10、则提供灵活和可修改的安全控制15Oracle 高级安全性动态和静态数据备份文件数据加密应用服务器/客户端数据存盘自动加密数据读取自动解密Oracle高级安全网络加密Oracle 高级安全强认证Oracle高级安全透明数据加密redo logs 包含加密数据备份数据库Redo apply16Oracle Advanced Security写入数据时自动加密#*读取数据时自动解密75000加密磁带备份、磁盘备份及数据导出(RC4、DES)网络加密(RC4、DES、 AES)(强身份认证(Kerberos, PKI、SSL)透明数据加密(TDE)Oracle8i 首先引入了 Oracle Advan

11、ced Security，其中融合了网络加密、数据库加密和强身份验证，有助于客户解决隐私与合规性要求。透明数据加密(TDE)无需应用修改表空间加密与列级加密内置密钥管理加密RMAN备份集和数据泵导出集加密Oracle Securefiles (LOBS)网络加密SSL/TLS强验证Kerberos, PKIRADIUS17Oracle Data Masking对身缠数据进行不可逆的数据脱敏再用于非生产环境使应用程序数据安全地使用于非生产环境防止应用程序开发人员和测试人员看到生产数据用于数据屏蔽自动化的可扩展模板库和策略自动保留引用完整性，以便应用程序能够继续正常运行 LAST_NAMESSNS

12、ALARY ANSKEKSL11123-111160,000 BKJHHEIEDK222-34-134540,000 LAST_NAMESSNSALARYAGUILAR203-33-323440,000BENSON323-22-294360,000生产数据库非生产数据库数据永不离开数据库18Oracle Audit Vault实时审计数据库活动将数据库审计线索整合到安全集中的信息库中检测并警告可疑活动，包括特权用户适用于 SOX、PCI 和其他法规的现成的合规性报告例如，特权用户审计、权限、失败的登录、受管制数据更改使用报告生成、通知、证明、存档等简化了审计。CRM 数据ERP 数据数据库HR

13、 数据审计数据策略内置报告警报自定义报告!审计人员19Oracle Total Recall跟踪对敏感数据的更改select salary from emp AS OF TIMESTAMP 02-MAY-09 12.00 AM where emp.title = admin 透明地跟踪应用程序数据随时间的更改数据库中高效、抗干扰的归档存储使用 SQL 实时访问应用程序的历史数据简化的突发事件取证和恢复20Oracle Total Recall功能简介Oracle11g数据库的新选件；用于生成和管理历史数据；帮助企业利用历史数据来了解市场趋势和客户行为；主要特点易于配置，轻松地实现历史数据的捕获

14、，不需要更改任何应用程序；捕获过程性能开销低，捕获到的历史数据以压缩形式存储，减少存储的开销；完善的保护机制，任何人（甚至管理员）都不能直接修改已保存的历史数据；无缝地查看过去的任何时间点上的归档数据；自动执行历史数据管理，数据库自动实施规则、发送警报，无需DBA介入；21Database VaultLabel SecurityIdentity ManagementAdvanced SecuritySecure BackupData MaskingOracle数据安全纵深防护方案Audit VaultTotal RecallConfiguration Management加密和屏蔽访问控制审计

15、Database Firewall监视和阻止在威胁到达数据库之前监视和阻止它们控制对数据库中数据的访问,阻止非法访问数据安全预警核心数据加密跟踪更改并审计数据库活动从非生产环境中删除敏感数据 事前阻止 事中防护、预警 事后追溯用户访问“进不来”敏感数据“看不见”核心数据“拿不走”系统数据 “改不了”运维操作“跑不掉”22议程Oracle数据库安全解决方案介绍EM企业管理器方案介绍参考案例分析目录Oracle数据库安全解决方案介绍EM企业管理器方案介绍参考案例分析12324关于EM 12c应用管理（Oracle Apps + 客户化应用管理）云管理（云自服务、自动伸缩、自动供应等）计费与容量规划

16、（云资源测量与计费）中间件管理（监控与通知/自动性能诊断/端到端等）数据库管理（监控与通知/自动性能诊断/自动SQL优化等）应用质量管理（数据脱敏/功能测试/压力测试/真实应用测试等）配置管理（资产列表/配置历史/配置对比/配置标准化等）Exa系列管理（软硬件一体化管理）合规与补丁管理（法规遵从/补丁建议/批量打补丁/与MOS集成等）25EM：集中式数据库运维管理 +业务驱动型应用管理全生命周期管理数据库运维生命周期预警、监控、诊断、分析、优化、验证、实施、对比数据库管理生命周期供应、补丁、配置、变更、合规、高可用、安全、日常操作数据库云生命周期管理整合、自服务、计费、伸缩IT基础设施管理集中

17、、可伸缩、动态监控集成的云堆栈管理传统的“从应用到磁盘”的端到端管理自动分析能力与知识库可扩展接口与自定义插件用户体验管理用户体验监控业务驱动应用管理业务监控与可视化服务等级管理深入深入合规化自动化智能化集中化标准化主动化支撑支撑26防火墙EMCLIEMCLI软件库资料库（存储库）OMSHTTP(S)JDBCEM架构概览代理插件目标命令行接口操作台连接器BI PublisherOracle商店/MyOracleSupport通知27EM可扩展性目标插件的创建者：Oracle例如：Oracle Database, WebLogic, Exadata, Exalogic, Siebel, IBM

18、DB2, SQL Server合作伙伴例如：MySQL, EMC, NetApp, F5 BIG-IP, Entuity你也可以利用EDK开发通过此链接了解更多：28EM管理模式实例故障分类分析29EM企业管理平台应用数据库分布活动会话历史（ASH）+ 自动负载库（AWR）+ 自动数据库诊断（ADDM） TopSQL度量/阀值告警/规则/规则集/行动监控模版/分组IO问题软硬解析配置问题内存问题XXXXXXXXXXXXXXXXXXXXRAC相关监控层扩展功能（接口等）诊断层数据采集汇总层代理与插件核心：数据库运维理念SQL自动优化引擎 + SQL监视 + 数据库基础层优化执行计划索引建议分区建

19、议统计信息执行路径SQLProfile优化层数据库层报告/报表热块锁/栓竞争等待事件重组对象STS实时SQL监控验证层SQL性能整体负载ScriptJOB数据传输与存储实施层数据库生命周期管理层升级配置合规补丁清单供应变更30举重若轻：EM的自动化诊断问题出在哪儿？EM自动分析你还需要关注SQL！改善最艰难的工作31配置管理发现并跟踪资产比较，历史，与报表配置合规性实时配置变更检测主机与操作系统数据库应用服务器应用更多的后台保障：安全、合规与健康检查通过“配置与合规”满足法规要求32更多的后台保障：批量补丁通过“补丁检测与分发”防患于未然宕机时间管理预测性挑战与问题可伸缩性通过先决条件检查可能

20、存在的补丁冲突，并最小化宕机时间Oracle方案自动化大规模部署补丁模版与合规标准33更多的后台保障：报表与定制自由加工EM收集到的数据，并进行各种报表设计34完整云生命周期管理应用与业务即服务平台即服务PaaS基础设施即服务IaaS计划设置构建测试部署监控管理计费优化DBaaSMWaaS35整合：DBaaS架构EM支持从10gr2到12c的所有版本虚拟机共享服务器专有Schema共享服务器、操作系统与数据库不断增加的整合度专有数据库共享服务器与操作系统可插拔DB共享服务器、操作系统与数据库36自动化：自助供应请求 通过web页面从目录选择最终使用者填写表单、设置口令数据库自动创建请求 IT部

21、门IT采购、供应硬件、操作系统与网络等DBA 安装 Oracle 11gR2 + Grid Infrastructure + RACDBA 然后创建数据库通过DBaaS，几分钟内即可交付传统方法DBaaS供应时间 =小时到天、周供应时间 = 分钟37监管：资源使用所有云资源的全局视图理解CBD与PDB的关系云数据库的：监控、诊断、优化、管理38计费：灵活的计费标准虚拟机数据库实例数据库服务(*)可插拔Database固定费率Base ChargeBase ChargeBase ChargeBase Charge按配置费率Allocated MemoryAllocated StorageHAIP

22、 AddressSizevCPU CountEditionMemory UsageOptionRAC Node CountReleaseStorage UsageVersionEditionOptionRAC Node CountReleaseTablespace AllocationEditionOptionReleaseRAC Node CountTablespace AllocationVersion按使用费率CPU TimeCPU Utilization (%)Disk Space Utilization (%)Disk UsageMemory UsedMemory Utilizati

23、on (%)Network IOCPU TimeCPU Utilization (%)DB TimeDisk Read (Physical) OperationsDisk Write (Physical) OperationsNetwork IOSQL ExecutesUser TransactionsCPU TimeCPU Utilization (%)DB TimeDisk Read (Physical) OperationsDisk Write (Physical) OperationsSQL ExecutesUser TransactionsCPU TimeCPU Utilizatio

24、n (%)DB TimeDisk Read (Physical) OperationsDisk Write (Physical) OperationsSQL ExecutesUser Transactions39Real Application Testing在业务系统改造时的一般测试流程目前的测试方法20天20天80天业务应用的分析挑拣典型处理编写测试脚本测试环境搭建实施测试模拟的负载生成120天24天为准备测试制作工作负载所需要的工时测试环境搭建的工时普通的不真实的应用测试生产环境测试环境10000个用户两个测试员模拟1000个用户RAC应用服务器42用Real Application T

25、esting来减少测试准备时间生产系统应用的分析挑拣典型处理制作测试脚本测试环境搭建实施测试生产环境(以上)测试环境Replay工作负载记录客户模拟Real Application Testing抓取生产环境中的实际工作负载，然后在测试环境中忠实再现！抓取重放至:从:数据库重放全部工作流部分工作流低风险高风险自动手工加强真实生产环境负载人造的工作负载天级的开发月级的开发150天10天43数据库重放：变化的支持不支持的变化支持的变化数据库升级、打补丁Schema, 参数RAC节点, 内联接操作系统平台, 操作系统升级CPU, 内存存储等等. ClientClientClient中间层存储 外部客

26、户端需求的记录44运维路线图：五件事标准化环境自动化运营流程化维护支撑未来云化数据中心控制应用质量45议程Oracle数据库安全解决方案介绍EM企业管理器方案介绍参考案例分析目录Oracle数据库安全解决方案介绍EM企业管理器方案介绍参考案例分析12347Audit Vault案例一 山东移动AVDF部署架构（1）DBFW数据库报文镜像交换机（备）应用服务器交换机(主)171848案例一 山东移动AVDF总结通过针对营收系统数据库的监控，AVDF快速展现了：AVDF可以主动学习和了解被保护数据库的SQL情况；通过制定白名单、黑名单及例外策略来实现对数据库的保护AVDF的驾驶舱，可实时洞察数据库

27、当前正遭遇的安全压力和威胁趋势AVDF可对危险操作进行告警和拦截AVDF的行为追踪功能，可以协助日后安全事件的调查AVDF的SQL注入阻止功能， 可以在应用层面防止黑客的入侵AVDF丰富的报表功能，通过多个视角、多个维度来分析和展示数据库系统在安全方面的运行状况。 案例二 江苏移动AVDF主要保护点对第三方维护人员的行为进行追踪和审计对数据库存储过程用户角色权限更改进行审计对数据库登陆进行追踪和审计对嫌疑人的行为进行追踪和审计对数据库对象的访问进行追踪和审计对新员工、离职员工的行为进行追踪和审计对数据库管理员的行为进行追踪和审计对非授权IP的访问提出告警对规避应用逻辑的访问提出告警对敏感数据的访问提出告警对SQL注入提出告警 案例三 中国电信Data Masking客户总结针对电信ITSM服务管理系统的Data Masking：Data masking可以满足应用系统指定表的指定字段敏感信息的屏蔽。Data masking操作建议在包含有Staging database的环境中进行，确保Staging database的敏感信息被屏蔽后无安全隐患再将其分发到各个测试/开发库。Data masking操作对现有生产系统无任何影响。Data masking是EM中的管理