Oracle专家全面解读数据库安全解决方案

标签: 业界 | 发表时间:2012-04-16 10:41 | 作者:子曰
出处:http://news.csdn.net/yejie/

当今IT安全建设的重点已经从传统的网络安全、系统安全、应用安全等领域,转向了如何加强IT系统核心的数据库安全防范。企业越来越关心如何才能更有效地保护数据库不受侵害,做到敏感数据“看不见”、核心数据“拿不走”、运维操作“能审计”、非法访问的监控与审计,以及如何轻松达到《信息安全等级保护条例》的信息安全合规要求、满足中国SOX《企业内部控制基本规范》的规定,同时对现有生产系统不产生任何性能影响。

甲骨文大中华区技术战略部数据库增值解决方案总监 冯葵

在Oracle数据库安全解决方案媒体交流会上,甲骨文大中华区技术战略部数据库增值解决方案总监冯葵全面解读了数据库纵深防御体系。通过Oracle数据库安全解决方案,企业在数据加密和屏蔽的基础上,可实现数据访问控制,并实时监控和审计整个数据库活动、阻断和记录非法操作,从而完成立体化的数据保护。     

多重防护措施

基于Oracle全面的数据库安全解决方案的纵深防御体系包括对企业核心数据库从阻止与记录、审计与监测、访问控制到加密与屏蔽的四层防护壁垒,而数据牢牢地置于四层保护的核心。这四层壁垒囊括了一系列Oracle数据库安全产品,如阻止和记录层的Oracle数据库防火墙,监视和审计层的Oracle配置管理、Oracle Audit Vault、Oracle Total Recall,访问控制层的Oracle Database Vault、Oracle Label Security,加密和屏蔽层的Oracle高级安全性、Oracle安全备份、Oracle数据屏蔽等。

甲骨文针对企业用户的数据库特殊应用需求提供了多样化的Oracle数据库选件,以完善和增强数据库的功能。

阻止与记录——作为应用和数据库之间用于加强数据库访问控制的软硬件保护设施,最新发布的Oracle数据库防火墙(Oracle Database Firewall)是Oracle数据库纵深防御体系的第一道防线,拥有主动和被动安全模型。通过为任何应用程序自动生成白名单和黑名单提供灵活的SQL级实施选项,Oracle数据库防火墙可以实现监视数据库活动和防止未授权的数据库访问、SQL 注入、权限或角色升级、对敏感数据的非法访问等,其可伸缩的体系结构可以适应各种部署模式,从而使客户在网络上部署该防火墙时能更快速、更灵活。

Oracle数据库防火墙引入了对MySQL企业版的支持,并进一步完善了诸多数据库产品的支持,包括早前宣布的Oracle数据库11g及其较早版本、面向Linux、Unix、Windows的IBM DB2数据库、Microsoft SQL Server数据库、Sybase Adaptive Server Enterprise数据库服务器(ASE)以及Sybase SQL Anywhere数据库。

为了增强报告功能,Oracle数据库防火墙将日志数据整合到报告数据库中,并引入了新的报告基础设施,以运行和修改现有报告设计。该新版Oracle数据库防火墙提供了130多个可修改、可自定义的内置报告,并引入了10种新的开箱即用式报告,如用于数据库查证和审计的授权报告、数据库活动和授权用户报告,以进一步帮助企业遵守隐私保护规定和相关法规,例如HIPAA、支付卡行业(PCI)数据安全标准(DSS)以及萨班斯法案(SOX)。

监测与审计——在纵深防御体系的监测和审计部分,Oracle配置管理(Oracle Configuration Management)可通过发现数据库并将其分类到策略组,然后依据400多个最佳实践和行业标准以及自定义的企业专用配置策略对数据库进行扫描,检测进而防止未授权的数据库配置更改,并更改管理信息板与合规性报告,从而实现从资产管理、策略管理、漏洞管理到配置管理与审计、分析与解析的企业数据库环境的全程保护。

Oracle Total Recall (Oracle全面回忆) 产品可通过数据库中高效、抗干扰的归档存储确保完整、安全地保留和管理所有历史数据,还能透明地跟踪对敏感数据的更改,使用 SQL实时访问历史数据,并可实现简化的突发事件取证和错误修正。

Oracle Audit Vault能够从Oracle数据库以及其他数据库中 (包括SQL Server、IBM DB2、Sybase ASE) 收集审计数据,并整合到一个安全、可伸缩、高可用的信息库中,检测并警告包括特权用户在内的可疑活动。它通过预置报告或自定义报告对审计数据进行保护、分析和报告,对数据库审计设置或策略进行集中式管理以简化审计工作,从而帮助企业通过整合、管理、监控以及报告审计数据,全面了解企业数据访问情况。

访问控制——在访问控制层,Oracle Database Vault可安全地整合应用程序数据或支持多承租方数据管理,强化了数据库中的内部控制,在数据库中预先定义了三个不同的责任,即账户管理、安全管理和资源管理。其可扩展性允许企业根据自己的业务需求自定义职责划分,还通过多因素授权扩展了访问控制机制。通过控制访问数据的对象、时间、地点和方式,企业可将对数据库的访问限制到特定的子网或应用系统。

甲骨文还提供了Oracle Label Security(Oracle标签安全性)来支持访问控制,可根据业务需求对用户和数据进行分类,在数据库中实施不同级别的访问控制,例如利用Oracle Identity Management Suite对用户进行分类,通过Oracle Label Security在数据表中分行加入标签,从而使不同的人员在访问同一张表时,将会能看到不同的信息。

加密与屏蔽——至于加密和屏蔽层,Oracle Advanced Security(Oracle高级安全性)无需更改应用程序,即可对静止的应用程序数据完全加密,防止IT人员或操作系统用户直接访问存储在数据库文件中、磁带上、导出的数据和其他数据,同时提供集中的密钥生命周期管理。而Oracle Secure Backup (Oracle安全备份) 能提供最快且安全的 Oracle数据库备份,还可以利用低成本的云计算存储,通过综合管理有效降低成本并简化备份与恢复的复杂性。Oracle Data Masking (Oracle数据屏蔽) 则可对数据进行不可逆的去身份化后,再用于非生产环境,同时自动保留引用完整性,以便应用程序能够继续正常运行。

Oracle数据库安全解决方案支持多维度、分步骤实施MSA数据的合规安全,可以根据需求部署数据库,并重点实施集中审计和权限管理,且安装部署方便,无需修改应用。其中,配置管理、透明加密与数据脱敏等技术更具有成本低,部署简单,快速有效的优势。Oracle数据库安全解决方案还能帮助企业通过升级数据库到Oracle数据库11g,获得压缩提速和全面恢复的多重收益。

此外, 冯葵强调Oracle现在的发展战略是C.I.O:整合、完整、开放。Oracle越来越多的产品能够提供第三方的支持,而Oracle数据库防火墙恰恰是这样产品的代表,第一、Oracle数据库防火墙是跨平台的,第二、Oracle数据库防火墙能够实现向后支持,对不同的版本都能够支持,这个正好体现了安全与业务生产的区别,安全生产有可能是异构的环境,所以要做到多版本的支持。

相关 [oracle 专家 数据库] 推荐:

Oracle专家全面解读数据库安全解决方案

- - 业界
当今IT安全建设的重点已经从传统的网络安全、系统安全、应用安全等领域,转向了如何加强IT系统核心的数据库安全防范. 企业越来越关心如何才能更有效地保护数据库不受侵害,做到敏感数据“看不见”、核心数据“拿不走”、运维操作“能审计”、非法访问的监控与审计,以及如何轻松达到《信息安全等级保护条例》的信息安全合规要求、满足中国SOX《企业内部控制基本规范》的规定,同时对现有生产系统不产生任何性能影响.

Oracle 发布 NoSQL 数据库

- 冷月 - 博客园新闻频道
  Oracle 作为全球最大的关系型数据库提供商,在其产品链条中,也加入了 NoSQL 数据库这一环,而且这个新的数据库名字很霸气,就叫 NoSQL Database,想起了当年新浪微博更换 weibo.com 域名之时的一个笑话:. 原来有三家人做面包,张三家的面包叫三张牌面包,李四家的牌子叫李四牌面包,王五家出品的是王五牌面包,而突然有一天,张三家的面包改名了,叫面包牌面包.

Oracle数据库备份

- - Oracle - 数据库 - ITeye博客
(一)、导出/导入(EXPORT/IMPORT).   EXPORT/IMPORT是用来将ORACLE中数据移出/移入数据库.   1、EXPORT将数据库中数据备份成一个二进制系统文件称为“导出转储文件”(EXPORT. DUMP FILE),并将重新生成数据库写入文件中.   a.用户模式:导出用户所有对象以及对象中的数据;.

Oracle数据库资源管理

- - 技术改变世界 创新驱动中国 - 《程序员》官网
一般来说,Oracle数据库都属于中大型的系统,这类系统的用户会话(Session),小则一两百,多则上千,这些用户会话要求Oracle数据库执行的任何指令都需要耗费系统资源,而系统资源毕竟是宝贵且有限的,一旦突然涌进大量的用户会话,对于有限的资源可能会略显不足. 但这些会话必定有轻重缓急之分,对于重要且紧急的用户会话需求理当获得多一点的系统资源,对于一些不重要或不紧急的用户会话,则可以使用较少的系统资源慢慢处理.

Oracle 数据库导入导出

- - CSDN博客推荐文章
使用 exp/imp 导入导出. 开始exp/imp之前, 有以下几点需要注意:. 1)此部分以 oracle 10g为例. 2)exp, imp 是操作系统下一个可执行的文件,存放在/ORACLE_HOME/bin目录下. 所以之间cmd 命令模式下执行就行了. (不需要先连接进sqlplus).

[Oracle] 数据库安全之 - Vault

- - CSDN博客推荐文章
Oracle用了整整一本书来阐述Valut,有兴趣的童鞋可以参考http://docs.oracle.com/cd/E11882_01/server.112/e23090/toc.htm,我个人觉得并不需要对它进行太深入的了解,只有知道有这么一回事就好了. 从宏观方面看,Vault属于Oracle数据库安全领域中-访问控制的部分,可参考《 [Oracle] 数据安全概述》.

Oracle数据库分析函数详解

- - MySQLOPS 数据库与运维自动化技术分享
Oracle数据库分析函数详解. 原创文章,转载请注明: 文章地址 Oracle数据库分析函数详解.

oracle 数据库体系结构

- - Oracle - 数据库 - ITeye博客
       任何硬件平台或操作系统下的ORACLE体系结构都是相同的,包括如下四个方面:.         数据文件,日志文件,控制文件,参数文件.         表空间、段、区间、数据块.         共享池,数据缓冲区,日志缓冲区,PGA.         用户进程、服务器进程、后台进程.

Oracle数据库日常检查

- - Oracle - 数据库 - ITeye博客
看数据库是否处于归档模式,并启动了自动归档进程. 执行df –k,检查有没有使用率超过80%的文件系统,特别是存放归档日志的文件系统. 检查alert_SID.log有无报错信息(ORA-600、ORA-1578)、ORA-60. 用imp工具生成建表脚本,看能否正常完成. 如果最大可用块(max_chunk)与总大小(total_space)相比太小,要考虑接合表空间碎片或重建某些数据库对象.

数据批量导入Oracle数据库

- - Oracle - 数据库 - ITeye博客
今天学习了一个新的东西,觉得还挺有意思的,也是从别出COPY 的,. SQL*LOADER是大型数据. 仓库选择使用的加载方法,因为它提供了最快速的途径(DIRECT,PARALLEL). 现在,我们抛开其理论不谈,用实例来使. 您快速掌握SQL*LOADER的使用方法.   首先,我们认识一下SQL*LOADER.