数据库安全与企业管理器融合解决方案

数据库安全与企业管理器融合解决方案Copyright©2014Oracleand/oritsaffiliates.Allrightsreserved.|数据库安全与企业管理器融合解决方案Copyright©2014Oracleand/or目录Oracle数据库安全解决方案介绍EM企业管理器方案介绍参考案例分析123目录Oracle数据库安全解决方案介绍123数据等级分类数据加密、通道加密数据屏蔽、脱敏配置变更管理数据备份和恢复身份和权限管理、职责分离AdvancedSecurityDataMaskingDatabaseVaultSecureBackupLifecycleManagementLabelSecurityIdentityManagementDBA行为追踪和分析用户行追踪和分析IP行为追踪和分析用户增改删追踪权限增改删追踪数据增改删追踪存储过程增改删追踪配置增改删追踪AuditVaultTotalRecallDatabaseFirewallLifecycleManagementIdentityManagementSQL注入拦截非法访问拦截数据破坏拦截敏感数据访问拦截DatabaseFirewallDatabaseVault事后审计事前防范事中拦截数据安全管理的三个阶段数据等级分类DBA行为追踪和分析SQL注入拦截事后审计事前防DatabaseVaultLabelSecurityIdentityManagementAdvancedSecuritySecureBackupDataMaskingOracle数据安全纵深防护方案AuditVaultTotalRecallConfiguration

Management加密

和屏蔽访问控制审计DatabaseFirewall监视和阻止在威胁到达数据库之前监视和阻止它们控制对数据库中数据的访问,阻止非法访问数据安全预警核心数据加密跟踪更改并审计数据库活动从非生产环境中删除敏感数据

事前阻止

事中防护、预警

事后追溯用户访问“进不来”敏感数据“看不见”核心数据“拿不走”系统数据“改不了”运维操作“跑不掉”DatabaseVaultAdvancedSecuritOracleDatabaseFirewall

第一道防线策略内置报告警报自定义报告应用程序块日志记录允许警报替代监视数据库活动防止未授权的数据库访问、SQL注入、权限或角色升级、对敏感数据的非法访问等。通过高度精确的SQL语法分析避免代价高昂的误报。基于白名单和黑名单的灵活的SQL级实施选项可伸缩的体系结构让企业可以适应各种部署模式适用于SOX、PCI和其他法规的内置和自定义合规性报告OracleDatabaseFirewall

第一道防线可以为任何用户或应用程序定义“允许的”行为白名单可以包括诸如时间、日期、网络、应用程序等内置因素为任何应用程序自动生成白名单立即拒绝不符合策略的事务数据库将只按照您的要求和愿望来处理数据白名单应用程序阻止允许OracleDatabaseFirewall

主动安全模型可以为任何用户或应用程序定义“允许的”行为白名单应用程序阻止OracleDatabaseFirewall

被动安全模型停止不接受的特定SQL命令、用户或模式的访问防止权限或角色提升以及对敏感数据的未授权访问黑名单中可以包括诸如时间、日期、网络、应用程序等内置因素根据您的业务和安全目标有选择地阻止事务的任何部分阻止允许黑名单应用程序OracleDatabaseFirewall

被动安全模OracleDatabaseFirewall

快速和灵活的部署串联：所有数据库流量都经过OracleDatabaseFirewall并联/被动：数据库防火墙连接到SPAN端口或TAP可选的基于主机的远程或本地监视器可将网络流量从数据库主机发送到数据库防火墙可将非网络数据库活动发送到数据库防火墙，以识别本地控制台或远程会话的未授权使用数据库服务器用户并联数据库

防火墙应用服务器串联基于主机的代理路由器OracleDatabaseFirewall

快速和灵活

10DatabaseVault是什么？～一般的

OracleDatabase～DBA控制所有的权限数据库管理员DBA账户管理员应用管理员数据库起动/停止

※不能访问实际的数据！用户的创建・修改、配置文件的创建・変更・修改、访问的授权

※不能访问实际的数据！应用数据的管理、访问权限的分配从DB的起动停止到所有用户对象以及安全设置、系统权限的执行都可以控制。

存在着由于DBA自身引起数据泄露、非法数据操作等等的极大风险！数据库管理安全规则管理应用・数据的管理数据库管理账户管理应用・数据的管理账户管理安全管理员基于安全规则对访问控制进行设置、管理

※不能访问实际的数据！安全规则管理～OracleDatabaseVault～将管理权限分配到各个管理员强大而灵活的访问安全控制选件回避将管理权限集中到一元的风险，根据工作要求分配恰当的权限给多个管理员，加强数据库管理的安全

11DatabaseVault的工作机制～一般的

OracleDatabase～有权限就可以访问～OracleDatabaseVault～必须满足条件才可以访问有合适的系统/对象权限的角色有合适的系统/对象权限的角色CONNECT角色检查控制要求禁止允许CONNECT角色基于安全规则设置一些复杂条件的访问控制只有满足条件的情况下、才允许使用相应的系统/对象权限可以时间・星期・IP地址・客户信息等等…、组合多种条件灵活地控制访问

12域违规报告

可证明的预防控制措施内置审计和报告功能域违规报告权限报告，如“谁担任着DBA角色？”共有20多种报告易于设置和管理Web界面API

OracleDatabaseVault

在数据库内部实施安全策略自动的、可自定义的DBA职责分离及受保护的领域使用规则和因素管理人员、地点、时间和方式对特权数据库用户执行最小权限防止应用程序绕行、实施企业数据治理安全地整合应用程序数据或支持多承租方数据管理应用程序DBAselect*fromfinance.customersDBA安全DBA应用程序采购HR财务OracleDatabaseVault

在数据库内部实施OracleDatabaseVault

域保护DBA人力资源部DBA

HR人力资源部域

HR数据库DBA查看人力资源数据合规性和防止内部人员查看信息select*fromHR.emp

Fin财务部DBAHRDBA查看财务数据消除服务器整合后的风险财务域Fin可以很容易的将域应用于现有的应用程序中，对性能影响极小OracleDatabaseVault

域保护DBAOracleDatabaseVault

规则和多因素授权DBA人力资源部DBA

HR数据库DBA试图远程“更改系统”更改系统…….基于IP地址的规则阻止动作create…在运营过程中人力资源部DBA执行未经授权的操作

周一下午3点基于日期和时间的规则阻止动作人力资源部域

HR因素和命令规则提供灵活和可修改的安全控制OracleDatabaseVault

规则和多因素授Oracle高级安全性

动态和静态数据备份文件数据加密应用服务器/客户端数据存盘自动加密数据读取自动解密Oracle高级安全网络加密Oracle高级安全强认证Oracle高级安全透明数据加密redologs包含加密数据备份数据库RedoapplyOracle高级安全性

动态和静态数据备份文件数据加密应用OracleAdvancedSecurity写入数据时自动加密^#^*>*读取数据时自动解密75000加密磁带备份、磁盘备份及数据导出(RC4、DES)网络加密(RC4、DES、AES))(强身份认证(Kerberos,PKI、SSL)透明数据加密(TDE)Oracle8i

首先引入了OracleAdvancedSecurity，其中融合了网络加密、数据库加密和强身份验证，有助于客户解决隐私与合规性要求。透明数据加密(TDE)无需应用修改表空间加密与列级加密内置密钥管理加密RMAN备份集和数据泵导出集加密OracleSecurefiles(LOBS)网络加密SSL/TLS强验证Kerberos,PKIRADIUSOracleAdvancedSecurity写入数据时自OracleDataMasking

对身缠数据进行不可逆的数据脱敏再用于非生产环境使应用程序数据安全地使用于非生产环境防止应用程序开发人员和测试人员看到生产数据用于数据屏蔽自动化的可扩展模板库和策略自动保留引用完整性，以便应用程序能够继续正常运行LAST_NAMESSNSALARYANSKEKSL111—23-111160,000BKJHHEIEDK222-34-134540,000LAST_NAMESSNSALARYAGUILAR203-33-323440,000BENSON323-22-294360,000生产数据库非生产数据库数据永不离开数据库OracleDataMasking

对身缠数据进行不可逆OracleAuditVault

实时审计数据库活动将数据库审计线索整合到安全集中的信息库中检测并警告可疑活动，包括特权用户适用于SOX、PCI和其他法规的现成的合规性报告例如，特权用户审计、权限、失败的登录、受管制数据更改使用报告生成、通知、证明、存档等简化了审计。CRM数据ERP数据数据库HR数据审计

数据策略内置报告警报自定义报告!审计人员OracleAuditVault

实时审计数据库活动将数OracleTotalRecall

跟踪对敏感数据的更改selectsalaryfromempASOFTIMESTAMP'02-MAY-0912.00AM‘whereemp.title=‘admin’透明地跟踪应用程序数据随时间的更改数据库中高效、抗干扰的归档存储使用SQL实时访问应用程序的历史数据简化的突发事件取证和恢复OracleTotalRecall

跟踪对敏感数据的更改OracleTotalRecall功能简介Oracle11g数据库的新选件；用于生成和管理历史数据；帮助企业利用历史数据来了解市场趋势和客户行为；主要特点易于配置，轻松地实现历史数据的捕获，不需要更改任何应用程序；捕获过程性能开销低，捕获到的历史数据以压缩形式存储，减少存储的开销；完善的保护机制，任何人（甚至管理员）都不能直接修改已保存的历史数据；无缝地查看过去的任何时间点上的归档数据；自动执行历史数据管理，数据库自动实施规则、发送警报，无需DBA介入；OracleTotalRecall功能简介DatabaseVaultLabelSecurityIdentityManagementAdvancedSecuritySecureBackupDataMaskingOracle数据安全纵深防护方案AuditVaultTotalRecallConfiguration

Management加密

和屏蔽访问控制审计DatabaseFirewall监视和阻止在威胁到达数据库之前监视和阻止它们控制对数据库中数据的访问,阻止非法访问数据安全预警核心数据加密跟踪更改并审计数据库活动从非生产环境中删除敏感数据

事前阻止

事中防护、预警

事后追溯用户访问“进不来”敏感数据“看不见”核心数据“拿不走”系统数据“改不了”运维操作“跑不掉”DatabaseVaultAdvancedSecurit议程Oracle数据库安全解决方案介绍EM企业管理器方案介绍参考案例分析议程Oracle数据库安全解决方案介绍目录Oracle数据库安全解决方案介绍EM企业管理器方案介绍参考案例分析123目录Oracle数据库安全解决方案介绍123关于EM12c应用管理（OracleApps+客户化应用管理）云管理（云自服务、自动伸缩、自动供应等）计费与容量规划（云资源测量与计费）中间件管理（监控与通知/自动性能诊断/端到端等）数据库管理（监控与通知/自动性能诊断/自动SQL优化等）应用质量管理（数据脱敏/功能测试/压力测试/真实应用测试等）配置管理（资产列表/配置历史/配置对比/配置标准化等）Exa系列管理（软硬件一体化管理）合规与补丁管理（法规遵从/补丁建议/批量打补丁/与MOS集成等）关于EM12c应用管理云管理计费与容量规划中间件管理数据库EM：集中式数据库运维管理+业务驱动型应用管理全生命周期管理数据库运维生命周期预警、监控、诊断、分析、优化、验证、实施、对比数据库管理生命周期供应、补丁、配置、变更、合规、高可用、安全、日常操作数据库云生命周期管理整合、自服务、计费、伸缩IT基础设施管理集中、可伸缩、动态监控集成的云堆栈管理传统的“从应用到磁盘”的端到端管理自动分析能力与知识库可扩展接口与自定义插件用户体验管理用户体验监控业务驱动应用管理业务监控与可视化服务等级管理深入深入合规化自动化智能化集中化标准化主动化支撑支撑EM：集中式数据库运维管理+业务驱动型应用管理全生命周期管防火墙>EMCLI>EMCLI软件库资料库（存储库）OMSHTTP(S)JDBCEM架构概览代理插件目标命令行接口操作台连接器BIPublisherOracle商店/MyOracleSupport通知防火墙>EMCLI>EMCLI软件库资料库（存储库）OMSHEM可扩展性目标插件的创建者：Oracle例如：OracleDatabase,WebLogic,Exadata,Exalogic,Siebel,IBMDB2,SQLServer…合作伙伴例如：MySQL,EMC,NetApp,F5BIG-IP,Entuity你也可以…利用EDK开发EM可扩展性目标插件的创建者：EM管理模式实例故障分类分析EM管理模式实例故障分类分析EM企业管理平台应用数据库分布活动会话历史（ASH）+自动负载库（AWR）+自动数据库诊断（ADDM）

TopSQL度量/阀值告警/规则/规则集/行动监控模版/分组IO问题软硬解析配置问题内存问题…XXXXXXXXXXXXXXXXXXXXRAC相关监控层扩展功能（接口等）诊断层数据采集汇总层代理与插件核心：数据库运维理念SQL自动优化引擎+SQL监视+数据库基础层优化执行计划索引建议分区建议统计信息执行路径…SQLProfile优化层数据库层报告/报表热块锁/栓竞争等待事件重组对象STS实时SQL监控……验证层SQL性能整体负载ScriptJOB……数据传输与存储实施层数据库生命周期管理层升级配置合规补丁清单供应变更EM企业管理平台应用数据库分布活动会话历史（ASH）+自动举重若轻：EM的自动化诊断问题出在哪儿？EM自动分析……你还需要关注SQL！改善最艰难的工作举重若轻：EM的自动化诊断问题出在哪儿？改善最艰难的工作配置管理发现并跟踪资产比较，历史，与报表配置合规性实时配置变更检测主机与操作系统数据库应用服务器应用更多的后台保障：安全、合规与健康检查通过“配置与合规”满足法规要求配置管理发现并比较，配置实时配置主机与数据库应用应用更多的后更多的后台保障：批量补丁通过“补丁检测与分发”防患于未然宕机时间管理预测性挑战与问题可伸缩性通过先决条件检查可能存在的补丁冲突，并最小化宕机时间Oracle方案自动化大规模部署补丁模版与合规标准更多的后台保障：批量补丁通过“补丁检测与分发”防患于未然宕机更多的后台保障：报表与定制自由加工EM收集到的数据，并进行各种报表设计更多的后台保障：报表与定制自由加工EM收集到的数据，并进行各完整云生命周期管理应用与业务即服务平台即服务PaaS基础设施即服务IaaS计划设置构建测试部署监控管理计费优化DBaaSMWaaS完整云生命周期管理应用与业务即服务平台即服务PaaS基础设施整合：DBaaS架构

EM支持从10gr2到12c的所有版本虚拟机共享服务器专有Schema共享服务器、操作系统与数据库不断增加的整合度专有数据库共享服务器与操作系统可插拔DB共享服务器、操作系统与数据库整合：DBaaS架构

EM支持从10gr2到12c的所有版本自动化：自助供应请求

通过web页面从目录选择最终使用者填写表单、设置口令数据库自动创建请求

IT部门IT采购、供应硬件、操作系统与网络等DBA安装Oracle11gR2+GridInfrastructure+RACDBA然后创建数据库通过DBaaS，几分钟内即可交付传统方法DBaaS供应时间

=小时到天、周供应时间

=分钟自动化：自助供应请求监管：资源使用所有云资源的全局视图理解CBD与PDB的关系云数据库的：监控、诊断、优化、管理监管：资源使用所有云资源的全局视图计费：灵活的计费标准虚拟机数据库实例数据库服务(*)可插拔Database固定费率BaseChargeBaseChargeBaseChargeBaseCharge按配置费率AllocatedMemoryAllocatedStorageHAIPAddressSizevCPUCountEditionMemoryUsageOptionRACNodeCountReleaseStorageUsageVersionEditionOptionRACNodeCountReleaseTablespaceAllocationEditionOptionReleaseRACNodeCountTablespaceAllocationVersion按使用费率CPUTimeCPUUtilization(%)DiskSpaceUtilization(%)DiskUsageMemoryUsedMemoryUtilization(%)NetworkIOCPUTimeCPUUtilization(%)DBTimeDiskRead(Physical)OperationsDiskWrite(Physical)OperationsNetworkIOSQLExecutesUserTransactionsCPUTimeCPUUtilization(%)DBTimeDiskRead(Physical)OperationsDiskWrite(Physical)OperationsSQLExecutesUserTransactionsCPUTimeCPUUtilization(%)DBTimeDiskRead(Physical)OperationsDiskWrite(Physical)OperationsSQLExecutesUserTransactions计费：灵活的计费标准虚拟机数据库实例数据库服务(*)可插拔DRealApplicationTesting

在业务系统改造时的一般测试流程目前的测试方法20天20天80天业务应用的分析挑拣典型处理编写测试脚本测试环境搭建实施测试模拟的负载生成120天24天为准备测试制作工作负载所需要的工时测试环境搭建的工时RealApplicationTesting

在业务系统普通的不真实的应用测试生产环境测试环境10000个用户两个测试员模拟1000个用户RAC应用服务器普通的不真实的应用测试生产环境测试环境10000个用户两个测42用RealApplicationTesting来减少测试准备时间生产系统应用的分析挑拣典型处理制作测试脚本测试环境搭建实施测试生产环境(以上)测试环境キャプチャReplay工作负载记录客户模拟RealApplicationTesting

抓取生产环境中的实际工作负载，然后在测试环境中忠实再现！抓取重放42用RealApplicationTesting来减少至:从:数据库重放全部工作流部分工作流低风险高风险自动手工加强真实生产环境负载人造的工作负载天级的开发月级的开发150天10天至:从:数据库重放全部工作流部分工作流低风险高风险自动手工加数据库重放：变化的支持不支持的变化支持的变化数据库升级、打补丁Schema,参数RAC节点,内联接操作系统平台,操作系统升级CPU,内存存储等等.ClientClient…Client中间层存储外部客户端需求的记录数据库重放：变化的支持不支持的变化支持的变化数据库升级、打补运维路线图：五件事标准化环境自动化运营流程化维护支撑未来云化数据中心控制应用质量运维路线图：五件事标准化环境自动化运营流程化维护支撑未来云化议程Oracle数据库安全解决方案介绍EM企业管理器方案介绍参考案例分析议程Oracle数据库安全解决方案介绍目录Oracle数据库安全解决方案介绍EM企业管理器方案介绍参考案例分析123目录Oracle数据库安全解决方案介绍123AuditVault案例一山东移动AVDF部署架构（1）DBFW数据库报文镜像交换机（备）应用服务器交换机(主)1718AuditVault案例一山东移动AVDF部署架构（10案例一山东移动AVDF总结通过针对营收系统数据库的监控，AVDF快速展现了：AVDF可以主动学习和了解被保护数据库的SQL情况；通过制定白名单、黑名单及例外策略来实现对数据库的保护AVDF的驾驶舱，可实时洞察数据库当前正遭遇的安全压力和威胁趋势AVDF可对危险操作进行告警和拦截AVDF的行为追踪功能，可以协助日后安全事件的调查AVDF的SQL注入阻止功能，可以在应用层面防止黑客的入侵AVDF丰富的报表功能，通过多个视角、多个维度来分析和展示数据库系统在安全方面的运行状况。案例一山东移动AVDF总结通过针对营收系统数据库的监控，A案例二江苏移动AVDF主要保护点对第三方维护人员的行为进行追踪和审计对数据库存储过程／用户角色权限更改进行审计对数据库登陆进行追踪和审计对嫌疑人的行为进行追踪和审计对数据库对象的访问进行追踪和审计对新员工、离职员工的行为进行追踪和审计对数据库管理员的行为进行追踪和审计对非授权IP的访问提出告警对规避应用逻辑的访问提出告警对敏感数据的访问提出告警对SQL注入提出告警案例二江苏移动AVDF主要保护点对第三方维护人员的行案例三中国电信DataMasking客户总结针对电信ITSM服务管理系统的DataMasking：Datamasking可以满足应用系统指定表的指定字段敏感信息的屏蔽。Datamasking操作建议在包含有Stagingdatabase的环境中进行，确保Stagingdatabase的敏感信息被屏蔽后无安全隐患再将其分发到各个测试/开发库。Datamasking操作对现有生产系统无任何影响。Datamasking是EM中的管理包，所有操作均在web页面中进行，非常方便。内建丰富的datamaskingformatlibrary满足多种应用的需求。提供多种datamasking操作方法并支持用户自定义datamasking

definition。快速生成datamasking定义脚本并支持datamasking定义的xml格式导出与导入，为其他数据库的datamasking操作带来便捷。案例三中国电信DataMasking客户总结针对电信IT案例四中国联通AVDF项目移动查询DBA用户SQL操作UPAY研发人员内部员工防火墙其他应用服务器中间件服务器ECARD

数据库报文数据库防火墙AVDF部署前：具有网络保护能力缺乏对数据层的保护能力缺乏对数据操作的可视性缺乏对违规违法的告警能力缺乏对敏感信息访问的控制能力和追踪能力缺乏对遵循法规／规范的评估能力案例四中国联通AVDF项目移动查询DBA用户SQL操作UP案例四中国联通AVDF总结通过针对中国联通UPAY，ECARD数据库的监控部署，圆满地完成了本次实施要求，同时也透过AVDF我们看到了一些安全隐患：AVDF具有良好的中文用户界面，可以通过制定白名单、黑名单及例外策略来实现对数据库的保护，可以通过多维度信息实现各方面的审计。在监测生产库的过程中，我们也总结了十个对数据库带来严重隐患的现象通过vpn，生产账号直接访问生产库，出现问题无法溯源，找不到谁操作的，即使通过将来的4A系统，也无法防范，而通过AVDF，再结合4A或者VPN日志联合分析，可以做到问题溯源。生产库中发现直接手工修改数据，直接drop表，直接删除数据库中的数据，这些操作都严重违背生产安全要求，修改数据库表字段是重大变更，需要严格控制。无条件Select*操作会带来数据库性能的损失，也会把不必要的信息查询出去，带来不必要的信息泄露，生产库中使用DBLink操作，也给生产库带来很大隐患。敏感数据表被人通过VPN直接访问，甚至被select*全部拿走，如果无法溯源，那么会带来很大损失，非授权IP访问生产库的大量表，如果无法监控审计，出现问题根本无从查证。建议根据这十个数据库隐患，采取合理的措施，将AVDF投入生产运行，确保生产数据得到全面的防护。案例四中国联通AVDF总结通过针对中国联通UPAY，ECAAQ&QUESTIONSANSWERSAQ&QUESTIONSANSWEOracleConfidential–Internal/Restricted/HighlyRestricted5555OracleConfidential–Internal生活中的辛苦阻挠不了我对生活的热爱。12月-2212月-22Thursday,December29,2022人生得意须尽欢，莫使金樽空对月。14:18:4514:18:4514:1812/29/20222:18:45PM做一枚螺丝钉，那里需要那里上。12月-2214:18:4514:18Dec-2229-Dec-22日复一日的努力只为成就美好的明天。14:18:4514:18:4514:18Thursday,December29,2022安全放在第一位，防微杜渐。12月-2212月-2214:18:4514:18:45December29,2022加强自身建设，增强个人的休养。2022年12月29日2:18下午12月-2212月-22精益求精，追求卓越，因为相信而伟大。29十二月20222:18:45下午14:18:4512月-22让自己更加强大，更加专业，这才能让自己更好。十二月222:18下午12月-2214:18December29,2022这些年的努力就为了得到相应的回报。2022/12/2914:18:4514:18:4529December2022科学，你是国力的灵魂；同时又是社会发展的标志。2:18:45下午2:18下午14:18:4512月-22每天都是美好的一天，新的一天开启。12月-2212月-2214:1814:18:4514:18:45Dec-22相信命运，让自己成长，慢慢的长大。2022/12/2914:18:45Thursday,December29,2022爱情，亲情，友情，让人无法割舍。12月-222022/12/2914:18:4512月-22谢谢大家！生活中的辛苦阻挠不了我对生活的热爱。12月-2212月-2256数据库安全与企业管理器融合解决方案Copyright©2014Oracleand/oritsaffiliates.Allrightsreserved.|数据库安全与企业管理器融合解决方案Copyright©2014Oracleand/or目录Oracle数据库安全解决方案介绍EM企业管理器方案介绍参考案例分析123目录Oracle数据库安全解决方案介绍123数据等级分类数据加密、通道加密数据屏蔽、脱敏配置变更管理数据备份和恢复身份和权限管理、职责分离AdvancedSecurityDataMaskingDatabaseVaultSecureBackupLifecycleManagementLabelSecurityIdentityManagementDBA行为追踪和分析用户行追踪和分析IP行为追踪和分析用户增改删追踪权限增改删追踪数据增改删追踪存储过程增改删追踪配置增改删追踪AuditVaultTotalRecallDatabaseFirewallLifecycleManagementIdentityManagementSQL注入拦截非法访问拦截数据破坏拦截敏感数据访问拦截DatabaseFirewallDatabaseVault事后审计事前防范事中拦截数据安全管理的三个阶段数据等级分类DBA行为追踪和分析SQL注入拦截事后审计事前防DatabaseVaultLabelSecurityIdentityManagementAdvancedSecuritySecureBackupDataMaskingOracle数据安全纵深防护方案AuditVaultTotalRecallConfiguration

Management加密

和屏蔽访问控制审计DatabaseFirewall监视和阻止在威胁到达数据库之前监视和阻止它们控制对数据库中数据的访问,阻止非法访问数据安全预警核心数据加密跟踪更改并审计数据库活动从非生产环境中删除敏感数据

事前阻止

事中防护、预警

事后追溯用户访问“进不来”敏感数据“看不见”核心数据“拿不走”系统数据“改不了”运维操作“跑不掉”DatabaseVaultAdvancedSecuritOracleDatabaseFirewall

第一道防线策略内置报告警报自定义报告应用程序块日志记录允许警报替代监视数据库活动防止未授权的数据库访问、SQL注入、权限或角色升级、对敏感数据的非法访问等。通过高度精确的SQL语法分析避免代价高昂的误报。基于白名单和黑名单的灵活的SQL级实施选项可伸缩的体系结构让企业可以适应各种部署模式适用于SOX、PCI和其他法规的内置和自定义合规性报告OracleDatabaseFirewall

第一道防线可以为任何用户或应用程序定义“允许的”行为白名单可以包括诸如时间、日期、网络、应用程序等内置因素为任何应用程序自动生成白名单立即拒绝不符合策略的事务数据库将只按照您的要求和愿望来处理数据白名单应用程序阻止允许OracleDatabaseFirewall

主动安全模型可以为任何用户或应用程序定义“允许的”行为白名单应用程序阻止OracleDatabaseFirewall

被动安全模型停止不接受的特定SQL命令、用户或模式的访问防止权限或角色提升以及对敏感数据的未授权访问黑名单中可以包括诸如时间、日期、网络、应用程序等内置因素根据您的业务和安全目标有选择地阻止事务的任何部分阻止允许黑名单应用程序OracleDatabaseFirewall

被动安全模OracleDatabaseFirewall

快速和灵活的部署串联：所有数据库流量都经过OracleDatabaseFirewall并联/被动：数据库防火墙连接到SPAN端口或TAP可选的基于主机的远程或本地监视器可将网络流量从数据库主机发送到数据库防火墙可将非网络数据库活动发送到数据库防火墙，以识别本地控制台或远程会话的未授权使用数据库服务器用户并联数据库

防火墙应用服务器串联基于主机的代理路由器OracleDatabaseFirewall

快速和灵活

66DatabaseVault是什么？～一般的

OracleDatabase～DBA控制所有的权限数据库管理员DBA账户管理员应用管理员数据库起动/停止

※不能访问实际的数据！用户的创建・修改、配置文件的创建・変更・修改、访问的授权

※不能访问实际的数据！应用数据的管理、访问权限的分配从DB的起动停止到所有用户对象以及安全设置、系统权限的执行都可以控制。

存在着由于DBA自身引起数据泄露、非法数据操作等等的极大风险！数据库管理安全规则管理应用・数据的管理数据库管理账户管理应用・数据的管理账户管理安全管理员基于安全规则对访问控制进行设置、管理

※不能访问实际的数据！安全规则管理～OracleDatabaseVault～将管理权限分配到各个管理员强大而灵活的访问安全控制选件回避将管理权限集中到一元的风险，根据工作要求分配恰当的权限给多个管理员，加强数据库管理的安全

67DatabaseVault的工作机制～一般的

OracleDatabase～有权限就可以访问～OracleDatabaseVault～必须满足条件才可以访问有合适的系统/对象权限的角色有合适的系统/对象权限的角色CONNECT角色检查控制要求禁止允许CONNECT角色基于安全规则设置一些复杂条件的访问控制只有满足条件的情况下、才允许使用相应的系统/对象权限可以时间・星期・IP地址・客户信息等等…、组合多种条件灵活地控制访问

68域违规报告

可证明的预防控制措施内置审计和报告功能域违规报告权限报告，如“谁担任着DBA角色？”共有20多种报告易于设置和管理Web界面API

OracleDatabaseVault

在数据库内部实施安全策略自动的、可自定义的DBA职责分离及受保护的领域使用规则和因素管理人员、地点、时间和方式对特权数据库用户执行最小权限防止应用程序绕行、实施企业数据治理安全地整合应用程序数据或支持多承租方数据管理应用程序DBAselect*fromfinance.customersDBA安全DBA应用程序采购HR财务OracleDatabaseVault

在数据库内部实施OracleDatabaseVault

域保护DBA人力资源部DBA

HR人力资源部域

HR数据库DBA查看人力资源数据合规性和防止内部人员查看信息select*fromHR.emp

Fin财务部DBAHRDBA查看财务数据消除服务器整合后的风险财务域Fin可以很容易的将域应用于现有的应用程序中，对性能影响极小OracleDatabaseVault

域保护DBAOracleDatabaseVault

规则和多因素授权DBA人力资源部DBA

HR数据库DBA试图远程“更改系统”更改系统…….基于IP地址的规则阻止动作create…在运营过程中人力资源部DBA执行未经授权的操作

周一下午3点基于日期和时间的规则阻止动作人力资源部域

HR因素和命令规则提供灵活和可修改的安全控制OracleDatabaseVault

规则和多因素授Oracle高级安全性

动态和静态数据备份文件数据加密应用服务器/客户端数据存盘自动加密数据读取自动解密Oracle高级安全网络加密Oracle高级安全强认证Oracle高级安全透明数据加密redologs包含加密数据备份数据库RedoapplyOracle高级安全性

动态和静态数据备份文件数据加密应用OracleAdvancedSecurity写入数据时自动加密^#^*>*读取数据时自动解密75000加密磁带备份、磁盘备份及数据导出(RC4、DES)网络加密(RC4、DES、AES))(强身份认证(Kerberos,PKI、SSL)透明数据加密(TDE)Oracle8i

首先引入了OracleAdvancedSecurity，其中融合了网络加密、数据库加密和强身份验证，有助于客户解决隐私与合规性要求。透明数据加密(TDE)无需应用修改表空间加密与列级加密内置密钥管理加密RMAN备份集和数据泵导出集加密OracleSecurefiles(LOBS)网络加密SSL/TLS强验证Kerberos,PKIRADIUSOracleAdvancedSecurity写入数据时自OracleDataMasking

对身缠数据进行不可逆的数据脱敏再用于非生产环境使应用程序数据安全地使用于非生产环境防止应用程序开发人员和测试人员看到生产数据用于数据屏蔽自动化的可扩展模板库和策略自动保留引用完整性，以便应用程序能够继续正常运行LAST_NAMESSNSALARYANSKEKSL111—23-111160,000BKJHHEIEDK222-34-134540,000LAST_NAMESSNSALARYAGUILAR203-33-323440,000BENSON323-22-294360,000生产数据库非生产数据库数据永不离开数据库OracleDataMasking

对身缠数据进行不可逆OracleAuditVault

实时审计数据库活动将数据库审计线索整合到安全集中的信息库中检测并警告可疑活动，包括特权用户适用于SOX、PCI和其他法规的现成的合规性报告例如，特权用户审计、权限、失败的登录、受管制数据更改使用报告生成、通知、证明、存档等简化了审计。CRM数据ERP数据数据库HR数据审计

数据策略内置报告警报自定义报告!审计人员OracleAuditVault

实时审计数据库活动将数OracleTotalRecall

跟踪对敏感数据的更改selectsalaryfromempASOFTIMESTAMP'02-MAY-0912.00AM‘whereemp.title=‘admin’透明地跟踪应用程序数据随时间的更改数据库中高效、抗干扰的归档存储使用SQL实时访问应用程序的历史数据简化的突发事件取证和恢复OracleTotalRecall

跟踪对敏感数据的更改OracleTotalRecall功能简介Oracle11g数据库的新选件；用于生成和管理历史数据；帮助企业利用历史数据来了解市场趋势和客户行为；主要特点易于配置，轻松地实现历史数据的捕获，不需要更改任何应用程序；捕获过程性能开销低，捕获到的历史数据以压缩形式存储，减少存储的开销；完善的保护机制，任何人（甚至管理员）都不能直接修改已保存的历史数据；无缝地查看过去的任何时间点上的归档数据；自动执行历史数据管理，数据库自动实施规则、发送警报，无需DBA介入；OracleTotalRecall功能简介DatabaseVaultLabelSecurityIdentityManagementAdvancedSecuritySecureBackupDataMaskingOracle数据安全纵深防护方案AuditVaultTotalRecallConfiguration

Management加密

和屏蔽访问控制审计DatabaseFirewall监视和阻止在威胁到达数据库之前监视和阻止它们控制对数据库中数据的访问,阻止非法访问数据安全预警核心数据加密跟踪更改并审计数据库活动从非生产环境中删除敏感数据

事前阻止

事中防护、预警

事后追溯用户访问“进不来”敏感数据“看不见”核心数据“拿不走”系统数据“改不了”运维操作“跑不掉”DatabaseVaultAdvancedSecurit议程Oracle数据库安全解决方案介绍EM企业管理器方案介绍参考案例分析议程Oracle数据库安全解决方案介绍目录Oracle数据库安全解决方案介绍EM企业管理器方案介绍参考案例分析123目录Oracle数据库安全解决方案介绍123关于EM12c应用管理（OracleApps+客户化应用管理）云管理（云自服务、自动伸缩、自动供应等）计费与容量规划（云资源测量与计费）中间件管理（监控与通知/自动性能诊断/端到端等）数据库管理（监控与通知/自动性能诊断/自动SQL优化等）应用质量管理（数据脱敏/功能测试/压力测试/真实应用测试等）配置管理（资产列表/配置历史/配置对比/配置标准化等）Exa系列管理（软硬件一体化管理）合规与补丁管理（法规遵从/补丁建议/批量打补丁/与MOS集成等）关于EM12c应用管理云管理计费与容量规划中间件管理数据库EM：集中式数据库运维管理+业务驱动型应用管理全生命周期管理数据库运维生命周期预警、监控、诊断、分析、优化、验证、实施、对比数据库管理生命周期供应、补丁、配置、变更、合规、高可用、安全、日常操作数据库云生命周期管理整合、自服务、计费、伸缩IT基础设施管理集中、可伸缩、动态监控集成的云堆栈管理传统的“从应用到磁盘”的端到端管理自动分析能力与知识库可扩展接口与自定义插件用户体验管理用户体验监控业务驱动应用管理业务监控与可视化服务等级管理深入深入合规化自动化智能化集中化标准化主动化支撑支撑EM：集中式数据库运维管理+业务驱动型应用管理全生命周期管防火墙>EMCLI>EMCLI软件库资料库（存储库）OMSHTTP(S)JDBCEM架构概览代理插件目标命令行接口操作台连接器BIPublisherOracle商店/MyOracleSupport通知防火墙>EMCLI>EMCLI软件库资料库（存储库）OMSHEM可扩展性目标插件的创建者：Oracle例如：OracleDatabase,WebLogic,Exadata,Exalogic,Siebel,IBMDB2,SQLServer…合作伙伴例如：MySQL,EMC,NetApp,F5BIG-IP,Entuity你也可以…利用EDK开发EM可扩展性目标插件的创建者：EM管理模式实例故障分类分析EM管理模式实例故障分类分析EM企业管理平台应用数据库分布活动会话历史（ASH）+自动负载库（AWR）+自动数据库诊断（ADDM）

TopSQL度量/阀值告警/规则/规则集/行动监控模版/分组IO问题软硬解析配置问题内存问题…XXXXXXXXXXXXXXXXXXXXRAC相关监控层扩展功能（接口等）诊断层数据采集汇总层代理与插件核心：数据库运维理念SQL自动优化引擎+SQL监视+数据库基础层优化执行计划索引建议分区建议统计信息执行路径…SQLProfile优化层数据库层报告/报表热块锁/栓竞争等待事件重组对象STS实时SQL监控……验证层SQL性能整体负载ScriptJOB……数据传输与存储实施层数据库生命周期管理层升级配置合规补丁清单供应变更EM企业管理平台应用数据库分布活动会话历史（ASH）+自动举重若轻：EM的自动化诊断问题出在哪儿？EM自动分析……你还需要关注SQL！改善最艰难的工作举重若轻：EM的自动化诊断问题出在哪儿？改善最艰难的工作配置管理发现并跟踪资产比较，历史，与报表配置合规性实时配置变更检测主机与操作系统数据库应用服务器应用更多的后台保障：安全、合规与健康检查通过“配置与合规”满足法规要求配置管理发现并比较，配置实时配置主机与数据库应用应用更多的后更多的后台保障：批量补丁通过“补丁检测与分发”防患于未然宕机时间管理预测性挑战与问题可伸缩性通过先决条件检查可能存在的补丁冲突，并最小化宕机时间Oracle方案自动化大规模部署补丁模版与合规标准更多的后台保障：批量补丁通过“补丁检测与分发”防患于未然宕机更多的后台保障：报表与定制自由加工EM收集到的数据，并进行各种报表设计更多的后台保障：报表与定制自由加工EM收集到的数据，并进行各完整云生命周期管理应用与业务即服务平台即服务PaaS基础设施即服务IaaS计划设置构建测试部署监控管理计费优化DBaaSMWaaS完整云生命周期管理应用与业务即服务平台即服务PaaS基础设施整合：DBaaS架构

EM支持从10gr2到12c的所有版本虚拟机共享服务器专有Schema共享服务器、操作系统与数据库不断增加的整合度专有数据库共享服务器与操作系统可插拔DB共享服务器、操作系统与数据库整合：DBaaS架构

EM支持从10gr2到12c的所有版本自动化：自助供应请求

通过web页面从目录选择最终使用者填写表单、设置口令数据库自动创建请求

IT部门IT采购、供应硬件、操作系统与网络等DBA安装Oracle11gR2+GridInfrastructure+RACDBA然后创建数据库通过DBaaS，几分钟内即可交付传统方法DBaaS供应时间

=小时到天、周供应时间

=分钟自动化：自助供应请求监管：资源使用所有云资源的全局视图理解CBD与PDB的关系云数据库的：监控、诊断、优化、管理监管：资源使用所有云资源的全局视图计费：灵活的计费标准虚拟机数据库实例数据库服务(*)可插拔Database固定费率BaseChargeBaseChargeBaseChargeBaseCharge按配置费率AllocatedMemoryAllocatedStorageHAIPAddressSizevCPUCountEditionMemoryUsageOptionRACNodeCountReleaseStorageUsageVersionEditionOptionRACNodeCountReleaseTablespaceAllocationEditionOptionReleaseRACNodeCountTablespaceAllocationVersion按使用费率CPUTimeCPUUtilization(%)DiskSpaceUtilization(%)DiskUsageMemoryUsedMemoryUtilization(%)NetworkIOCPUTimeCPUUtilization(%)DBTimeDiskRead(Physical)OperationsDiskWrite(Physical)OperationsNetworkIOSQLExecutesUserTransactionsCPUTimeCPUUtilization(%)DBTimeDiskRead(Physical)OperationsDiskWrite(Physical)OperationsSQLExecutesUserTransactionsCPUTimeCPUUtilization(%)DBTimeDiskRead(Physical)OperationsDiskWrite(Physical)OperationsSQLExecutesUserTransactions计费：灵活的计费标准虚拟机数据库实例数据库服务(*)可插拔DRealApplicationTesting

在业务系统改造时的一般测试流程目前的测试方法20天20天80天业务应用的分析挑拣典型处理编写测试脚本测试环境搭建实施测试模拟的负载生成120天24天为准备测试制作工作负载所需要的工时测试环境搭建的工时RealApplicationTesting

在业务系统普通的不真实的应用测试生产环境测试环境10000个用户两个测试员模拟1000个用户RAC应用服务器普通的不真实的应用测试生产环境测试环境10000个用户两个测98用RealApplicationTesting来减少测试准备时间生产系统应用的分析挑拣典型处理制作测试脚本测试环境搭建实施测试生产环境(以上)测试环境キャプチャReplay工作负载记录客户模拟RealApplicationTesting

抓取生产环境中的实际工作负载，然后在测试环境中忠实再现！抓取重放42用RealApplicationTesting来减少至:从:数据库重放全部工作流部分工作流低风险高风险自动手工加强真实生产环境负载人造的工作负载天级的开发月级的开发150天10天至:从:数据库重放全部工作流部分工作流低风险高风险自动手工加数据库重放：变化的支持不支持的变化支持的变化数据库升级、打补丁Schema,参数RAC节点,内联接操作系统平台,操作系统升级CPU,内存存储等等.ClientClient…Client中间层存储外部客户端需求的记录数据库重放：变化的支持不支持的变化支持的变化数据库升级、打补运维路线图：五件事标准化环境自动化运营流程化维护支撑未来云化数据中心控制应用质量运维路线图：五件事标准化环境自动化运营流程化维护支撑未来云化议程Oracle数据库安全解决方案介绍EM企业管理器方案介绍参考案例分析议程Oracle数据库安全解决方案介绍目录Oracle数据库安全解决方案介绍EM企业管理器方案介绍参考案例分析123目录Oracle数据库安全解决方案介绍123AuditVault案例一山东移动AVDF部署架构（1）DBFW数据库报文镜像交换机（备）应用服务器交换机(主)1718AuditVault案例一山东移动AVDF部署架构（10案例一山东移动AVDF总结通过针对营收系统数据库的监控，AVDF快速展现了：AVDF可以主动学习和了解被保护数据库的SQL情况；通过制定白名单、黑名单及例外策略来实现对数据库的保护AVDF的驾驶舱，可实时洞察数据库当前正遭遇的安全压力和威胁趋势AVDF可对