在云時代應(yīng)如何加強數(shù)據(jù)庫的安全性?
以下的文章主要向大家描述的是在云時代正確加強數(shù)據(jù)庫安全性的實際操作手段,在谷歌、微軟這兩大互聯(lián)網(wǎng)應(yīng)用的帶領(lǐng)之下,近年來云計算是有了“鳳凰出山”的感覺,但這用戶的安全性問題也隨之而來,讓人頗為頭疼。
畢竟數(shù)據(jù)都保存在云端,那云端的安全性如何保障?其實在“云計算”剛出來那會,其數(shù)據(jù)安全性的質(zhì)疑就一直為人詬病,用戶在關(guān)心自己的數(shù)據(jù)不會被肆意刪除之外,最關(guān)心的還是自己的信息不會被不相關(guān)的人士獲取,數(shù)據(jù)遭泄漏。
一般來說,企業(yè)數(shù)據(jù)都有其機密性。但這些企業(yè)把數(shù)據(jù)交給云計算服務(wù)商后,具有數(shù)據(jù)優(yōu)先訪問權(quán)的并不是相應(yīng)企業(yè),而是云計算服務(wù)商。如此一來,就不能排除企業(yè)數(shù)據(jù)被泄露出去的可能性。而除了云計算服務(wù)商之外,大量覬覦云端數(shù)據(jù)的駭客們也沒有閑著,他們不停的發(fā)掘著服務(wù)商web應(yīng)用上的漏洞,以期望打開缺口,獲得自己想要的數(shù)據(jù)。因此數(shù)據(jù)安全性將成為CTO和IT主管們要重點考慮的問題了。
不過目前在市場上對數(shù)據(jù)安全保護的產(chǎn)品并不多見,大都是通過網(wǎng)絡(luò)傳輸進行包抓取,對關(guān)鍵字進行檢測的方法來遏制不安全的數(shù)據(jù)訪問,但是這也存在一個弊病,就是如果內(nèi)部人員直接就在數(shù)據(jù)服務(wù)器上操作,不通過網(wǎng)絡(luò),則失去了保護的作用。
如何進行有效的內(nèi)部控制,多年來一直沒有很好的解決辦法。其中一個突出的問題就是限制DBA對應(yīng)用數(shù)據(jù)的存取。DBA具有“至高無上”的權(quán)限,對他們而言數(shù)據(jù)庫中的數(shù)據(jù)是沒有任何秘密可言的。
此外,為了保證運營系統(tǒng)的正常運行,某些“危險”操作是應(yīng)禁止執(zhí)行的。因此對數(shù)據(jù)的保護還得從最底層的數(shù)據(jù)開始。目前國內(nèi)大部分的數(shù)據(jù)庫還是以O(shè)racle數(shù)據(jù)庫為主,而甲骨文是當(dāng)前惟一為提供數(shù)據(jù)庫安全技術(shù)做好準(zhǔn)備的公司,它提供了一系統(tǒng)的數(shù)據(jù)庫安全解決方案。針對上面所談到內(nèi)部控制的問題,你完成可以結(jié)合Oracle公司推出的安全組件Oracle Database Vault(簡稱Vault)來解決了所遇到難題。
而Oracle Database Vault是一個Oracle數(shù)據(jù)庫企業(yè)版一個需要付費的增值選件。官方的說法是“Oracle Database Vault 是一個數(shù)據(jù)庫安全選件,用于防止 DBA 訪問應(yīng)用程序數(shù)據(jù),保護數(shù)據(jù)庫結(jié)構(gòu)以防止未經(jīng)授權(quán)的更改,以及通過設(shè)置各種訪問控制來滿足動態(tài)、靈活的安全要求。”怎么看著好像是專門防我們DBA干壞事的。DBA有那么壞嗎?話說回來,從DBA個人利益的角度來看,這似乎也并不是一件壞事。
因為一旦發(fā)生數(shù)據(jù)泄露,所有擁有數(shù)據(jù)訪問權(quán)限的人都要接受調(diào)查,DBA也跑不掉。而且DBA的權(quán)限最大,幾乎什么問題都能和DBA扯上關(guān)系。從DBA角度講,尤其是產(chǎn)品DBA,負責(zé)數(shù)據(jù)庫的安裝、維護、優(yōu)化、備份、遷移、升級等等維護管理性的操作,其實對數(shù)據(jù)庫中保存的信息的含義并不關(guān)心。
只是工作性質(zhì)決定了DBA所具有數(shù)據(jù)庫中最高的權(quán)限,而DBA一般也不需要通過這種權(quán)限來訪問敏感業(yè)務(wù)數(shù)據(jù),因為數(shù)據(jù)的寫入和讀取自然有相應(yīng)的部門和軟件系統(tǒng)來負責(zé)。那么一旦發(fā)生了敏感的數(shù)據(jù)泄漏的事情,擁有最高權(quán)限的DBA首先被放到了被懷疑的位置上,這對于DBA來說又很“冤枉”。這就是說,而通過這個新組件Oracle Database Vault 可以實現(xiàn)職責(zé)分離的效果。大家可以各負其責(zé),誰都不必為別人的錯誤和過失而承擔(dān)責(zé)任。
另一方面,數(shù)據(jù)安全是企業(yè)非常重視的問題。哪怕是同一家企業(yè)的不同部門,能夠訪問的數(shù)據(jù)內(nèi)容,有時候都是需要嚴格控制的。實際上,對于企業(yè)數(shù)據(jù)安全性的要求,現(xiàn)在已經(jīng)不僅僅是企業(yè)內(nèi)部的需求了,隨著美國薩班斯法案(Sarbanes-Oxley)、美國HIPAA法案(Health Insurance Portability and Accountability Act)、日本個人信息保護法案、歐盟隱私和電子通信指令等法規(guī)和隱私保護指令的不斷出臺,中國也制定了《企業(yè)內(nèi)部控制基本規(guī)范》,該法規(guī)被稱為中國版的薩班斯法案—-在2008年6月28日發(fā)布并自2009年7月1日起實施。Oracle Database Vault應(yīng)運而生,這些法案功不可沒。
通過Oracle Database Vault我們可以對數(shù)據(jù)安全做嚴格的控制。甚至可以達到“誰在什么時間在什么地點可以通過什么方式訪問哪部分數(shù)據(jù)”這樣的精確度。企業(yè)可在個人訪問系統(tǒng)時實現(xiàn)所需的職責(zé)分離,這是很多法案都有的規(guī)定內(nèi)容,尤其是令上市公司極其頭疼的“薩班斯法案”中,在第 404 條款中還進行了專門備注。從這一點也可以看出Oracle推出Database Vault的目的。
以筆者所在集成系統(tǒng)開發(fā)公司所做的特殊行業(yè)客戶來說,如果發(fā)生數(shù)據(jù)丟失,輕則影響業(yè)務(wù)的開展以及客戶滿意度,重則關(guān)系到整個企業(yè)的生死存亡,而由于內(nèi)部人員控操作所造成客戶數(shù)據(jù)資料外泄的事件時有發(fā)生。
針對這個情況,公司在去年年底就針對數(shù)據(jù)庫安裝了Oracle Database Vault部件,極為嚴格地限制包括DBA在內(nèi)的各種數(shù)據(jù)庫用戶的權(quán)限—-對權(quán)限的控制完全可以精確到時間、地點、賬號和方式,比如你限制在什么時間,什么人,在什么地點可以通過什么方式訪問哪些特定的數(shù)據(jù)。
借肋Oracle Database Vault,就好比你為數(shù)據(jù)庫請了一個極為稱職的內(nèi)部安全監(jiān)察專家,以避免數(shù)據(jù)管理者不當(dāng)取得非職務(wù)相關(guān)的信息, 并在組織中落實權(quán)責(zé)分立。。對于DBA而言,也可通過職責(zé)分離讓DBA們不必為別人的過失買單。
總的來說,Oracle Database Vault在數(shù)據(jù)庫的基礎(chǔ)上增加了強大的安全性支持,充分的利用Vault所提供的功能,可以確保企業(yè)核心敏感數(shù)據(jù)不會被任何不必要的人所訪問,無論這個人是在企業(yè)外部還是在企業(yè)內(nèi)部,甚至是系統(tǒng)管理員或者數(shù)據(jù)庫管理員。這可提高整個企業(yè)的安全性,幫助降低內(nèi)部威脅造成的風(fēng)險。
今天聽到oracle方的合作伙伴告訴我們的一個好消息,甲骨文在今年12月在北京有場非常大行業(yè)會議——Oracle OpenWorld會議,屆時,oracle的全線產(chǎn)品都將集中亮相并附有專門的專家講解,配合真實系統(tǒng)的模擬環(huán)境演示,如果有朋友想要系統(tǒng)地了解oracle的產(chǎn)品,可以去該大會上看看,大會的網(wǎng)址: http://www.oracle.com/cn/openworld/index.htm,現(xiàn)在報名注冊還能有不錯的折扣。
【編輯推薦】
