数据库的安全性与合规性纵深防御

数据库的平安性与合规性的“纵深防御〞裘海生

SeniorSalesConsultantAgenda数据库平安的业务驱动因素Oracle的数据平安性的开展加密与数据屏蔽的产品访问控制层面的产品监控层面的产品结合平安审计产品的案例Q&A数据库平安的业务驱动因素Oracle的数据平安性的开展加密与数据屏蔽的产品访问控制层面的产品监控层面的产品结合平安审计产品的案例Q&AOracle数据库平安性

业务驱动因素数据合并全球化权力外包合规性要求SOXFDABaselIIEU

DirectivesHIPAAGLBASB1386PCI安全威胁内部威胁工业间谍身份盗窃DBA

SMITH17170SCOTT14220KING18031543..534..533..SMITH17170SCOTT14220KING18031536..535..534..

selectSINfromuser_clients;altertable….对不同敏感度的数据进行分类管理存放在数据库中需要保护的数据网络中需要保护的敏感数据保护备份到碰带中数据以防止磁带的丢失或失窃强化对拥有超级权限用户的控制安全、集中化的审计并加以分析管理大量的数据库高度机密机密的公共中间层selectSINfromuser_clients;534123321…523123321Oracle数据库平安性

信息平安的挑战Agenda数据库平安的业务驱动因素Oracle的数据平安性的开展加密与数据屏蔽的产品访问控制层面的产品监控层面的产品结合平安审计产品的案例Q&A数据屏蔽TDE表加密OracleTotalRecallOracleAuditVaultOracleDatabaseVault透明数据加密〔TDE〕实时屏蔽平安配置扫描细粒度审计OracleLabelSecurity企业用户平安性 虚拟专用数据库〔VPD〕数据库加密API强身份验证自带网络加密数据库审计政府客户Oracle数据库平安性持续创新Oracle7Oracle8iOracle数据库9iOracle数据库10gOracle数据库11gOracle数据库平安性

为实现平安性与合规性的“纵深防御〞DatabaseVault标签平安性访问控制配置管理AuditVaultTotalRecall监视数据屏蔽高级平安性平安备份加密与屏蔽Agenda数据库平安的业务驱动因素Oracle的数据平安性的开展加密与数据屏蔽的产品访问控制层面的产品监控层面的产品结合平安审计产品的案例Q&A写入磁盘的数据被透明的加密通过SQL接口透明的解码TDE透明数据加密Oracle高级平安选件ASO透明加密和强认证通过RMAN能够加密整个备份输出到磁盘透明网络加密强认证(PKI,Kerberos)Oracle高级平安选件ASO

表空间加密TablespaceEncryption加密所有应用数据加密整个数据库文件不用担忧需要逐列的加密高效高性能与Oracle数据的压缩集成应用无需改变支持所有的数据类型索引范围扫描SQLLayerdatablocks“*M$b@^s%&d7〞undoblockstempblocksflashbacklogsredologsBufferCache“SSN=987-65-..〞Oracle高级平安选件ASO

网络、磁盘和磁带中的数据都得到保护透明数据加密(TDE)应用不必变化表空间和列加密加密的备份(RMAN)加密的数据泵输出加密OracleSecurefiles(LOBS)内置的密钥管理透明，自动硬件平安模块(HSM)网络加密SSL/TLS本地的–无认证要求强认证Kerberos,PKI^#^*>*75000加密输出到磁盘的备份网络加密)(强认证透明数据加密

TDE

总结不必改变现在应用无触发器，无视图最小化的性能影响内置的密钥管理无额外的加密和密钥管理的开销；只需关注业务逻辑简单的

altertable语句OracleE-BusinessSuite和SAP支持TDE透明数据加密TDE

列加密的布署方法

TransparentDataEncryptionFiveeasysteps:

IdentifycolumnsholdingsensitivedataDoesTDEsupportthedatatypeofthecolumn?ColumnisnotpartofaForeignKey?SetupandinitializetheMasterKeyEncryptexistingandnewdata识别包含敏感数据的表

CreditCards,SSN…确认TDE支持的数据类型?TDEsupportsmostallcommonlyuseddatatypes

确认列不是外键的一局部?SimpleDataDictionaryQuery加密已存在的数据或新数据

SQL*DeveloperGUIorCommandlineDDL,AlterTable…..1234理解Oracle平安备份OSB

在分布式环境中多平台的统一备份管理完整的磁带数据保护：Unix/Linux/Windows/NASfilesystemsOracleDatabase:Oracle9i

至OracleDatabase11g平安的跨域通信对分布的备份环境管理效劳器提供的集中化的管理支持超过200种SCSI和SAN环境下可动态共态共享驱动器的磁带设备Oracle平安备份SecureBackup集成的磁带备份管理OracleSecureBackup集中的磁带备份管理文件系统数据UNIXLinuxWindowsNAS磁带OracleDatabases与RMAN的集成被保护的备份数据库和文件系统的备份加密自动的密钥管理高性能无须备份〔读〕已提交的undo高级的介质管理在多地点间转移时提供了循环保护基于策略的磁带备份数据屏蔽(DataMasking)是什么？定义将客户数据、财务数据或公司保密数据匿名化来创立可以使用的新数据。这些数据保存了原来数据的属性，如宽度、类型及格式。原因当开发人员或离岸外包供给商在测试环境中使用保密数据时对这些数据进行保护当与第三方共享客户数据时不披露个人身份信息LAST_NAMESSNSALARYAGUILAR203-33-323440,000BENSON323-22-294360,000D’SOUZA989-22-240380,000FIORANO093-44-382345,000LAST_NAMESSNSALARYANSKEKSL111—23-111140,000BKJHHEIEDK111-34-134560,000KDDEHLHESA111-97-274980,000FPENZXIEK111-49-384945,000主要特性屏蔽主键时自动进行数据库引用完整性检查隐式—在数据库中执行显式—在应用程序中执行数据屏蔽格式库屏蔽前查看例如数据应用程序屏蔽模板一次定义，屡次执行企业管理器

数据屏蔽包生产预备屏蔽测试测试克隆克隆Agenda数据库平安的业务驱动因素Oracle的数据平安性的开展加密与数据屏蔽的产品访问控制层面的产品监控层面的产品结合平安审计产品的案例Q&AOracle数据库保护DatabaseVault

减少内部威胁，加强合规性控制授权用户限制DBA访问应用程序数据实现职责别离保障数据库整合的平安性实施数据访问平安策略控制进行数据访问的人员、时间、地点和方式基于IP地址、时间、验证等确定支持Oracle9iR2以上版本ReportsRealmsMulti-FactorAuthorizationSeparationofDutyCommandRulesOracle数据库保护DatabaseVault

特权用户的控制DatabaseDBA浏览HR信息

合规和对内部人员的控制HR系统使用人员访问FIN数据从效劳整合的层面杜绝风险

DBAHRAppSELECT*FROMHR.EMP

HR

HRRealm

FIN

FINRealmFINAppOracleDatabaseVault

内置因子用户因子NameAuthenticationtypeSessionUserProxyEnterpriseIdentity网络因子MachinenameClientIPNetworkProtocols扩展Definecustomfactors数据库因子DatabaseIPDatabaseInstanceDatabaseHostnameDatabaseSID运行时因子LanguageDateTimeOracle标签平安性LabelSecurity

基于标签的访问控制机密数据高敏感数据敏感数据基于标签授权的用户可访问敏感数据可访问高敏感数据保护敏感数据给表中的行分配数据标签给应用的用户分配用户标签使用内置的算法实现对表的透明访问控制灵活性和用户化基于策略的架构增强的选件权限可信任的存储过程完整的

APIAgenda数据库平安的业务驱动因素Oracle的数据平安性的开展加密与数据屏蔽的产品访问控制层面的产品监控层面的产品结合平安审计产品的案例Q&A数据库平安性评估自动化数据库参数数据库配置文件数据库访问数据库文件权限安装之后的检查跟踪数据库间的“配置偏差〞持续的合规可见性合规性分数〔0-100%〕违规通知跟踪一定时间段的合规性进展映射到COBIT、CIS和Oracle的最正确实践现成的最正确实践250多个策略支持Oracle8i及更高版本企业管理器配置包

平安配置扫描主机检测开放的端口检测不平安的效劳确保NTFS文件系统类型(Windows)应用效劳器HTTPD具有最低权限使用HTTP/S应当启用Apache日志记录禁用演示应用程序禁用默认的标题页面禁用对未使用目录的访问禁用目录索引禁止对某些程序包的访问禁用DAD所有者未使用的程序包移除未使用的DAD配置支持复杂的口令数据库效劳启用监听器日志记录口令保护监听器不接受默认的监听器名称确保监听器日志文件有效且为Oracle所有确保监听器主机名与IP对应数据库文件权限Init.ora应具有受限的文件权限$OH/bin中的文件应归Oracle所有数据文件应归Oracle所有数据库配置文件/配置默认口令不允许固定用户链接访问对象不允许默认表空间设置为SYSTEM设置password_grace_time限制或禁止对DBMS_LOB的访问设置password_reuse_max防止使用utl_file_dir参数企业管理器配置包

250多条内置策略规那么OracleTotalRecall

实时的数据库归档好处：历史数据的合规性和证据分析透明的跟踪变化审计的补充–谁vs.什么使用“ASOF〞flashbackSQL很容易的访问历史数据使用压缩的形式最小化所需空间防止篡改select*fromproduct_informationASOFTIMESTAMP'02-MAY-0512.00AM‘whereproduct_id=3060AuditVault集中的数据库审计保护

谁、何时、何地、做过何事以及如何做提供数据按方案使用的保证证明并记录用户的活动制止用户不恰当的行为发现异常行为和非法闯入尽早发现可疑的行为审计关键事件访问和修改敏感数据修改数据库结构授权用户的活动帐户/角色的管理Oracle数据库10gR2监视策略报表平安性Oracle数据库11gR1Oracle数据库10gR1Oracle数据库9iR2其他数据源、

数据库Oracle数据库中的审计

强健的、灵活的、高忠实度的审计行业中最为先进的语句–对schema对象的DDL/DML审计权限–审计使用系统权限的语句指