OpenWorld案例分享:Oracle透明數(shù)據(jù)加密技術(shù)
去年六月,一個機(jī)器人病毒攻擊了賓夕法尼亞州大學(xué)的數(shù)據(jù)庫,數(shù)據(jù)庫中存儲的15805條社會保障號碼被泄露。更早幾年前,一臺保存有社會保障號碼的筆記本電腦在匹茲堡大學(xué)被竊。
Matthew Stewart是Robert Morris 大學(xué)(RMU)信息安全主管,在他受聘主管學(xué)校的安全工作時,他想阻止這類數(shù)據(jù)庫安全事件發(fā)生。在本次Oracle OpenWorld 2010會議上,Stewart討論了保障教育機(jī)構(gòu)信息安全的困難。
Stewart說:“對大學(xué)來說,唯一的事就是他們不得不開放。他們有學(xué)術(shù)自由;你不能把他們鎖死。但是你不得不遵從法律約束,這帶來了許多特殊的挑戰(zhàn)。”
例如,當(dāng)人們在一所學(xué)校內(nèi)的這個校區(qū)走到另一個校區(qū)時,很容易忘記他們有過不同的訪問級別。但是內(nèi)部訪問者并不是唯一的威脅,Stewart說黑客、學(xué)生、惡意軟件、網(wǎng)絡(luò)釣魚軟件、物理盜竊,甚至DBA的誤操作都是所有他關(guān)注的重大安全問題。
于是,他向Oracle求助。
在Stewart加入RMU時,安全狀況“非常糟糕”。他們運(yùn)行Oracle 8.1,打補(bǔ)丁周期非常少,而且有太多的訪問權(quán)限被授予給太多人員了。但是,通過利用Oracle Advanced Security(一款可以幫助實現(xiàn)像網(wǎng)絡(luò)加密,透明數(shù)據(jù)加密和備份中的數(shù)據(jù)保護(hù)這幾類關(guān)鍵領(lǐng)域的產(chǎn)品),Stewart可以快速扭轉(zhuǎn)局面。
他說:“我們利用分層的安全方法來覆蓋所有方面。”他描述了他創(chuàng)建的六層安全措施:主動軟件保障,阻塞基于網(wǎng)絡(luò)的攻擊,阻塞基于主機(jī)的攻擊,消除安全薄弱環(huán)節(jié),安全支持授權(quán)用戶,管理安全和使效益最大化的工具層。
Stewart還強(qiáng)調(diào)了透明數(shù)據(jù)加密(TDE)的重要性,它是對靜態(tài)數(shù)據(jù)的加密。他說Robert Morris選擇基于表空間的TDE,而不是基于數(shù)據(jù)列的TDE,是因為大學(xué)里要處理大量的事務(wù)業(yè)務(wù)。性能測試表明,增加了安全加密以后對性能的影響是微乎其微的。
Kurt Lysy是Oracle公司一位高級安全部署專家,他說你的TDE還應(yīng)該與你的備份和恢復(fù)策略保持一致。
Lysy說:“當(dāng)你看到加密靜態(tài)數(shù)據(jù)的大視角時,千萬不要忘了加密那些備份數(shù)據(jù)的重要性。”
然而,Stewart在采取措施保護(hù)他組織的數(shù)據(jù)時,他可能是少數(shù)派。來自獨立Oracle用戶組(IOUG)的最新數(shù)據(jù)安全調(diào)查結(jié)果顯示,在430名受訪者中,只有30%以下的人在他們的組織中對所有數(shù)據(jù)庫中的個人身份信息進(jìn)行加密。
許多受訪者還表示他們正在采取反應(yīng)性的,而不是預(yù)防性的方法來保護(hù)數(shù)據(jù)庫安全,而且他們中有四分之三組織沒有有效方式可以阻止有權(quán)限的數(shù)據(jù)庫用戶訪問HR系統(tǒng),財務(wù)系統(tǒng),或者他們數(shù)據(jù)庫中的其他業(yè)務(wù)應(yīng)用數(shù)據(jù)。
現(xiàn)在,RMU正遷移向Oracle 11g數(shù)據(jù)庫,系統(tǒng)環(huán)境是64為的企業(yè)版Linux,而且現(xiàn)在有了補(bǔ)丁管理流程。Stewart說RMU正在制定流程,通過Oracle Advanced Security的使用來降低數(shù)據(jù)非法訪問。但是,他們?nèi)匀挥懈倪M(jìn)的余地。他希望使用的下一代Oracle產(chǎn)品之一是Audit Vault。
他說:“我想看到每個用戶都在做什么。這對我們來說是非常大的一塊。”
【編輯推薦】
