Oracle專家全面解讀數據庫安全解決方案
當今IT安全建設的重點已經從傳統的網絡安全、系統安全、應用安全等領域,轉向了如何加強IT系統核心的數據庫安全防范。企業越來越關心如何才能更有效地保護數據庫不受侵害,做到敏感數據“看不見”、核心數據“拿不走”、運維操作“能審計”、非法訪問的監控與審計,以及如何輕松達到《信息安全等級保護條例》的信息安全合規要求、滿足中國SOX《企業內部控制基本規范》的規定,同時對現有生產系統不產生任何性能影響。
甲骨文大中華區技術戰略部數據庫增值解決方案總監 馮葵
在Oracle數據庫安全解決方案媒體交流會上,甲骨文大中華區技術戰略部數據庫增值解決方案總監馮葵全面解讀了數據庫縱深防御體系。通過Oracle數據庫安全解決方案,企業在數據加密和屏蔽的基礎上,可實現數據訪問控制,并實時監控和審計整個數據庫活動、阻斷和記錄非法操作,從而完成立體化的數據保護。
多重防護措施
基于Oracle全面的數據庫安全解決方案的縱深防御體系包括對企業核心數據庫從阻止與記錄、審計與監測、訪問控制到加密與屏蔽的四層防護壁壘,而數據牢牢地置于四層保護的核心。這四層壁壘囊括了一系列Oracle數據庫安全產品,如阻止和記錄層的Oracle數據庫防火墻,監視和審計層的Oracle配置管理、Oracle Audit Vault、Oracle Total Recall,訪問控制層的Oracle Database Vault、Oracle Label Security,加密和屏蔽層的Oracle高級安全性、Oracle安全備份、Oracle數據屏蔽等。
甲骨文針對企業用戶的數據庫特殊應用需求提供了多樣化的Oracle數據庫選件,以完善和增強數據庫的功能。
阻止與記錄——作為應用和數據庫之間用于加強數據庫訪問控制的軟硬件保護設施,最新發布的Oracle數據庫防火墻(Oracle Database Firewall)是Oracle數據庫縱深防御體系的第一道防線,擁有主動和被動安全模型。通過為任何應用程序自動生成白名單和黑名單提供靈活的SQL級實施選項,Oracle數據庫防火墻可以實現監視數據庫活動和防止未授權的數據庫訪問、SQL 注入、權限或角色升級、對敏感數據的非法訪問等,其可伸縮的體系結構可以適應各種部署模式,從而使客戶在網絡上部署該防火墻時能更快速、更靈活。
Oracle數據庫防火墻引入了對MySQL企業版的支持,并進一步完善了諸多數據庫產品的支持,包括早前宣布的Oracle數據庫11g及其較早版本、面向Linux、Unix、Windows的IBM DB2數據庫、Microsoft SQL Server數據庫、Sybase Adaptive Server Enterprise數據庫服務器(ASE)以及Sybase SQL Anywhere數據庫。
為了增強報告功能,Oracle數據庫防火墻將日志數據整合到報告數據庫中,并引入了新的報告基礎設施,以運行和修改現有報告設計。該新版Oracle數據庫防火墻提供了130多個可修改、可自定義的內置報告,并引入了10種新的開箱即用式報告,如用于數據庫查證和審計的授權報告、數據庫活動和授權用戶報告,以進一步幫助企業遵守隱私保護規定和相關法規,例如HIPAA、支付卡行業(PCI)數據安全標準(DSS)以及薩班斯法案(SOX)。
監測與審計——在縱深防御體系的監測和審計部分,Oracle配置管理(Oracle Configuration Management)可通過發現數據庫并將其分類到策略組,然后依據400多個最佳實踐和行業標準以及自定義的企業專用配置策略對數據庫進行掃描,檢測進而防止未授權的數據庫配置更改,并更改管理信息板與合規性報告,從而實現從資產管理、策略管理、漏洞管理到配置管理與審計、分析與解析的企業數據庫環境的全程保護。
Oracle Total Recall (Oracle全面回憶) 產品可通過數據庫中高效、抗干擾的歸檔存儲確保完整、安全地保留和管理所有歷史數據,還能透明地跟蹤對敏感數據的更改,使用 SQL實時訪問歷史數據,并可實現簡化的突發事件取證和錯誤修正。
Oracle Audit Vault能夠從Oracle數據庫以及其他數據庫中 (包括SQL Server、IBM DB2、Sybase ASE) 收集審計數據,并整合到一個安全、可伸縮、高可用的信息庫中,檢測并警告包括特權用戶在內的可疑活動。它通過預置報告或自定義報告對審計數據進行保護、分析和報告,對數據庫審計設置或策略進行集中式管理以簡化審計工作,從而幫助企業通過整合、管理、監控以及報告審計數據,全面了解企業數據訪問情況。
訪問控制——在訪問控制層,Oracle Database Vault可安全地整合應用程序數據或支持多承租方數據管理,強化了數據庫中的內部控制,在數據庫中預先定義了三個不同的責任,即賬戶管理、安全管理和資源管理。其可擴展性允許企業根據自己的業務需求自定義職責劃分,還通過多因素授權擴展了訪問控制機制。通過控制訪問數據的對象、時間、地點和方式,企業可將對數據庫的訪問限制到特定的子網或應用系統。
甲骨文還提供了Oracle Label Security(Oracle標簽安全性)來支持訪問控制,可根據業務需求對用戶和數據進行分類,在數據庫中實施不同級別的訪問控制,例如利用Oracle Identity Management Suite對用戶進行分類,通過Oracle Label Security在數據表中分行加入標簽,從而使不同的人員在訪問同一張表時,將會能看到不同的信息。
加密與屏蔽——至于加密和屏蔽層,Oracle Advanced Security(Oracle高級安全性)無需更改應用程序,即可對靜止的應用程序數據完全加密,防止IT人員或操作系統用戶直接訪問存儲在數據庫文件中、磁帶上、導出的數據和其他數據,同時提供集中的密鑰生命周期管理。而Oracle Secure Backup (Oracle安全備份) 能提供最快且安全的 Oracle數據庫備份,還可以利用低成本的云計算存儲,通過綜合管理有效降低成本并簡化備份與恢復的復雜性。Oracle Data Masking (Oracle數據屏蔽) 則可對數據進行不可逆的去身份化后,再用于非生產環境,同時自動保留引用完整性,以便應用程序能夠繼續正常運行。
Oracle數據庫安全解決方案支持多維度、分步驟實施MSA數據的合規安全,可以根據需求部署數據庫,并重點實施集中審計和權限管理,且安裝部署方便,無需修改應用。其中,配置管理、透明加密與數據脫敏等技術更具有成本低,部署簡單,快速有效的優勢。Oracle數據庫安全解決方案還能幫助企業通過升級數據庫到Oracle數據庫11g,獲得壓縮提速和全面恢復的多重收益。
此外,馮葵強調Oracle現在的發展戰略是C.I.O:整合、完整、開放。Oracle越來越多的產品能夠提供第三方的支持,而Oracle數據庫防火墻恰恰是這樣產品的代表,第一、Oracle數據庫防火墻是跨平臺的,第二、Oracle數據庫防火墻能夠實現向后支持,對不同的版本都能夠支持,這個正好體現了安全與業務生產的區別,安全生產有可能是異構的環境,所以要做到多版本的支持。
【編輯推薦】
