1、完整的信息资产安全方案完整的信息资产安全方案黄志东Oracle Product Strategy 数据安全专家Oracle全面技术全面技术 解决核心数据安全问题解决核心数据安全问题说到保护说到保护IT资产安全,各种方案应有尽有资产安全,各种方案应有尽有6网络加密网络加密VPN网络访问控制网络访问控制身份识别身份识别防火墙防火墙入侵检测入侵检测数据遮蔽数据遮蔽Web防火墙防火墙入侵防护入侵防护防病毒防病毒网络访问控制网络访问控制防间谍软件防间谍软件网络防火墙网络防火墙入侵检测入侵检测行为审计行为审计权限管理权限管理设备控制设备控制数据库防火墙数据库防火墙维基解密维基解密安全也是云计算中的主要问题
2、安全也是云计算中的主要问题 随着数据库规模变大,数据库成为企业信息资产的同时,也被越来越多的不良之徒所觊觎 数据被违规访问、删、改、复制和缺乏审计的安全问题,已经成为IT系统最大的威胁 根据IOUG 和Verizon Business的最新市场调查,2019年全球造成严重后果的IT安全事件中92%是针对数据库的侵入,89%的黑客采用了SQL注入技术,84%的外部攻击利用了管理不善的数据库用户权限 数据库安全造成的IT系统损失是100%的什么什么IT信息安全的最大威胁?信息安全的最大威胁?被侵犯数据的主要来源:被侵犯数据的主要来源:92%的记录源自被侵入的数据库服务器的记录源自被侵入的数据库服务
3、器2019 数据侵犯调查报告数据侵犯调查报告普遍缺乏对核心数据实施保护普遍缺乏对核心数据实施保护2019 IOUG 数据安全报告数据安全报告 仅仅 28%在所有数据库中统一加密 PII66%不确定 web 应用程序是否受到 SQL 注入攻击63%未使用 3 个月内发布的安全补丁 48%没有意识到所有数据库包含敏感数据44%认为数据库用户可以直接访问数据70%使用自带审计功能,只有 25%使用了自动监视仅仅 24%能够“防止”DBA 读取或篡改敏感数据68%无法检测数据库用户是否在滥用权限正在监视敏感数据的读/写不到不到 30%Oracle数据安全方案在整个安全体系中的位置数据安全方案在整个安全
4、体系中的位置管理安全安全政策 安全组织 风险评估 安全流程 安全审计/绩效应用安全权限管理 身份认证 密钥管理 内存管理网络安全访问控制 入侵检测 网络连通性/可用性系统安全灾难恢复 系统冗余 线程管理物理安全办公场地环境安全与监控 人员出入管理核心数据安全针对核心敏感数据的操作和访问核心数据核心数据复杂业务系统的安全方案越发困难复杂业务系统的安全方案越发困难解决方案:完全数据安全体系架构解决方案:完全数据安全体系架构设置安全的密码集中式用户管理强认证代理认证安全的基本配置加强对特权用户的控制控制谁、什么时间、什么地点、如何(3W1H)访问了数据库、数据和应用系统行级别和列级别的多角度安全控制
5、对数据进行分类管理数据加密网络加密对外发数据进行数据屏蔽加密导出的数据 对备份数据进行加密启动数据审计细粒度的审计对审计数据进行集中管理、生成报表和监控定时进行安全配置扫描用户管理用户管理 访问控制访问控制 数据保护数据保护 监控监控 业务系统访问业务系统访问系统用户系统用户中间件服务器中间件服务器 AS/Web数据库服务器数据库服务器磁盘系统磁盘系统威胁数据安全手段方式示意图威胁数据安全手段方式示意图业务系统访问业务系统访问系统用户系统用户中间件服务器中间件服务器 AS/Web数据库服务器数据库服务器磁盘系统磁盘系统数据安全方案产品部署层次示意图数据安全方案产品部署层次示意图数据安全方案应具
6、有的基本功能数据安全方案应具有的基本功能数据账户分层管理,三权分立 企业内部和外协公司账户的分层管理 技术维护和企业业务人员账户的分层管理访问和操作权限控制 何时、何地、何人、有何访问和操作权限 防止对核心数据的越权操作和误操作敏感操作的记录和分析 记录关键操作的业务人员或维护人员的ID、时间、地点、和具体动作 对规模化的合法动作进行分析和挖掘,找出可能的安全管理漏洞 随着企业内部业务信息化的推进,以及互联网业务的逐步推广,需要记录和分析内部和外部用户的行为习惯和具体操作。业务系统访问业务系统访问系统用户系统用户中间件服务器中间件服务器 AS/Web数据库服务器数据库服务器磁盘系统磁盘系统数据
7、安全方案产品部署层次示意图数据安全方案产品部署层次示意图按照业务划分按照业务划分的职责和授权的职责和授权限制各种应用限制各种应用用户的使用权限用户的使用权限对关键数据对关键数据采取保护措施采取保护措施对用户登录对用户登录进行审计进行审计对敏感操作对敏感操作进行审计进行审计数据保护系统数据保护系统综合报告综合报告数据保护方案的基本功能和策略数据保护方案的基本功能和策略对于关键操作对于关键操作进行完全回放进行完全回放功能逐步细化功能逐步细化实现逐步简化实现逐步简化旁路监听旁路监听串联阻断串联阻断Database Firewall-单位传达室单位传达室监控模式数据库审计服务器监控模式数据库审计服务器
8、 监测(Monitor Only)模式 不阻止 也被称为“SPAN”、“Span port”、“Mirrored”或者“Tap”只进行SQL操作的记录和报告 易于部署,对数据库和应用没有影响数据库防火墙模式数据库防火墙模式 阻止和监测 密切监测SQL通信,并对照安全策略进行检验 也被称为“Bridge”或者“Transparent Bridge”有时,只有在没有Out of Band端口时使用数据库防火墙数据库防火墙 高可用性策略高可用性策略 策略分析器策略分析器创建安全策略创建安全策略在在Windows桌面上运行桌面上运行 数据库防火墙数据库防火墙 管理服务器管理服务器报告,归档信息库报告,
9、归档信息库防火墙管理,策略管理防火墙管理,策略管理报警,集成报警,集成数据库防火墙数据库防火墙(HA 模式模式)阻止未授权的访问阻止未授权的访问监视数据访问监视数据访问 数据库防火墙数据库防火墙 远程远程/本地监测本地监测发送网络流量信息发送网络流量信息Oracle Database Firewall数据库防火墙完善的报表系统数据库防火墙完善的报表系统 Database Firewall 日志数据被整合到报告数据库中 130 多个可修改、可自定义的内置报告 用于数据库查证和审计的授权报告 数据库活动和授权用户报告 支持演示 PCI、SOX、HIPAA/HITECH 等控件Oracle Data
10、base FirewallOracle Database FirewallDatabase Vault -数据库级的门禁保护数据库级的门禁保护 数据账户分层管理,三权分立数据账户分层管理,三权分立企业内部和外协公司账户企业内部和外协公司账户的分层管理的分层管理技术维护和核心业务人员技术维护和核心业务人员账户的分层管理账户的分层管理 访问和操作权限控制访问和操作权限控制何时、何地、何人、有何何时、何地、何人、有何访问和操作权限访问和操作权限Oracle Database Vault 法规遵循和防止来自内部的威胁对授权用户的控制对授权用户的控制限制数据库管理员访问应用程序的数据提供职责分离的功能保
11、证数据库和信息整合的安全性执行数据访问的安全策略执行数据访问的安全策略控制何人、何时、何地以及如何访问数据可根据IP地址、时间或授权等情况作出访问决定可应用于可应用于Oracle9i R2Oracle10g R2Oracle11g报表领域多因子授权职责分离命令规则22Audit Vault -敏感操作监控摄像头敏感操作监控摄像头 在实际工作地点家装摄像头,记在实际工作地点家装摄像头,记录关键工作的动作。录关键工作的动作。全库操作的监控审计全库操作的监控审计代理代理Audit Vault Server库内文件库内文件操作系统操作系统REDO代理代理数据库数据库1数据库数据库2数据库数据库3库内文
12、件库内文件操作系统操作系统REDO库内文件库内文件操作系统操作系统REDORUEI安全功能:安全功能:安全事件关键页面定制捕获回放安全事件关键页面定制捕获回放Oracle 数据库配置管理数据库配置管理 保护您的数据库环境保护您的数据库环境 发现数据库并将其分类到策略组 依据 400 多个最佳实践和行业标准以及自定义的企业专用配置策略对数据库进行扫描 检测进而防止未授权的数据库配置更改 更改管理信息板与合规性报告监视监视配置管理配置管理与审计与审计漏洞管理漏洞管理修复修复分析与解析分析与解析确定优先级确定优先级策略管理策略管理评估评估分类分类监视监视发现发现资产管理资产管理Oracle Tota
13、l Recall跟踪跟踪和恢复被篡改数据和恢复被篡改数据select salary from emp AS OF TIMESTAMP 02-MAY-09 12.00 AM where emp.title=admin 透明地跟踪应用程序数据随时间的更改 数据库中高效、抗干扰的归档存储 使用 SQL 实时访问应用程序的历史数据 简化的突发事件取证和恢复 根据业务因素对用户和数据进行分类 在数据库中实施行级访问控制 通过 Oracle Identity Management Suite 对用户进行分类 分类标签可以是其他策略中的因素Oracle Label Security对数据和用户进行分类以便实
14、现自动访问控制对数据和用户进行分类以便实现自动访问控制机密机密敏感敏感事务事务报告数据报告数据报告报告敏感敏感机密机密公共公共磁盘备份导出场外设施Oracle Advanced Security数据网络加密和库内数据透明加密数据网络加密和库内数据透明加密 对静止的应用程序数据完全加密,防止 IT 人员或操作系统用户直接访问存储在数据库文件中、磁带上、导出的数据和其他数据 无需更改应用程序即可对应用程序数据实现高效加密 使用 HSM/KMS 既可实现针对 SoD 的内置双层密钥管理又支持集中密钥管理 数据库用户的强身份验证实现了更安全的身份保证应用程序应用程序Oracle Data Maskin
15、g对对敏感数据的遮蔽敏感数据的遮蔽 使应用程序数据安全地使用于非生产环境 防止应用程序开发人员和测试人员看到生产数据 用于数据屏蔽自动化的可扩展模板库和策略 自动保留引用完整性,以便应用程序能够继续正常运行 LAST_NAMESSNSALARY ANSKEKSL11123-111160,000 BKJHHEIEDK222-34-134540,000 LAST_NAMESSNSALARYAGUILAR203-33-323440,000BENSON323-22-294360,000生产数据库生产数据库非生产数据库非生产数据库数据永不离开数据库数据永不离开数据库Oracle 安全产品安全产品 唯一获
16、得数据保护高等级安全认证的产品唯一获得数据保护高等级安全认证的产品 Evaluation Assurance Level 4 Augmented(EAL 4+)EAL4+是欧美高标准是欧美高标准安全认证的最高等级安全认证的最高等级 意味着产品方案可以意味着产品方案可以在全球范围内可以放在全球范围内可以放心使用心使用Database VaultData MaskingSecure Configuration ScanningTransparent EncryptionLabel SecurityAudit VaultSecureBackup最完整的数据安全方案和产品系列最完整的数据安全方案和产品系列1.紧贴数据库,无法绕行攻击紧贴数据库,无法绕行攻击2.全面,完整全面,完整3.随数据库自动升级随数据库自动升级DB Firewall
