Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Click to edit Master title style,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,完整的信息资产安全方案,黄志东,Oracle Product Strategy,数据安全专家,Oracle,全面技术,解决核心数据安全问题,完整的信息资产安全方案黄志东Oracle全面技术,说到保护,IT,资产安全，各种方案应有尽有,6,网络加密,VPN,网络访问控制,身份识别,防火墙,入侵检测,数据遮蔽,Web,防火墙,入侵防护,防病毒,网络访问控制,防间谍软件,网络防火墙,入侵检测,行为审计,权限管理,设备控制,数据库防火墙,说到保护IT资产安全，各种方案应有尽有6网络加密VPN网络访,维基解密,维基解密,安全也是云计算中的主要问题,安全也是云计算中的主要问题,随着数据库规模变大，,数据库成为企业信息资产,的同时，也被越来越多的不良之徒所觊觎,数据,被违规访问、删、改、复制和缺乏审计的,安全问题,，已经,成为,IT,系统最大的威胁,根据,IOUG,和,Verizon Business,的最新市场调查，,2019,年全球造成严重后果的,IT,安全事件中,92%,是针对数据库的侵入,，,89%,的黑客采用了,SQL,注入技术，,84%,的外部攻击利用了管理不善的数据库用户权限,数据,库,安全造成的,IT,系统损失是,100%,的,什么IT信息安全的最大威胁？,随着数据库规模变大，数据库成为企业信息资产的同时，也被越来越,被侵犯数据的主要来源：,92%的记录源自被侵入的数据库服务器,2019 数据侵犯调查报告,被侵犯数据的主要来源：2019 数据侵犯调查报告,普遍缺乏对核心数据实施保护,2019 IOUG 数据安全报告,仅,28%,在所有数据库中统一加密,PII,66%,不确定,web 应用程序是否受到 SQL 注入攻击,63%,未使用,3 个月内发布的安全补丁,48%,没有意识到所有数据库包含敏感数据,44%,认为数据库用户可以直接访问数据,70%,使用自带审计功能，只有,25%,使用了自动监视,仅,24%,能够“防止”,DBA 读取或篡改敏感数据,68%,无法检测数据库用户是否在滥用权限,正在监视敏感数据的读,/写,不到,30%,普遍缺乏对核心数据实施保护2019 IOUG 数据安全报告,Oracle,数据安全方案在整个安全体系中的位置,管理安全,安全政策 安全组织 风险评估 安全流程 安全审计,/,绩效,应用安全,权限管理 身份认证 密钥管理 内存管理,网络安全,访问控制 入侵检测 网络连通性,/,可用性,系统安全,灾难恢复 系统冗余,线程管理,物理安全,办公场地环境安全与监控 人员出入管理,核心数据安全,针对核心敏感数据的,操作和访问,核心数据,数据安全漏洞挖,掘,数据访问控制,和操作保护,数据操作审计,和事后追溯,Oracle数据安全方案在整个安全体系中的位置管理安全应用安,复杂业务系统的安全方案越发困难,复杂业务系统的安全方案越发困难,解决方案：完全数据安全体系架构,设置安全的密码,集中式用户管理,强认证,代理认证,安全的基本配置,加强对特权用户的控制,控制谁、什么时间、什么地点、如何（,3W1H,）访问了数据库、数据和应用系统,行级别和列级别的多角度安全控制,对数据进行分类管理,数据加密,网络加密,对外发数据进行数据屏蔽,加密导出的数据,对备份数据进行加密,启动数据审计,细粒度的审计,对审计数据进行集中管理、生成报表和监控,定时进行安全配置扫描,用户管理 访问控制 数据保护 监控,解决方案：完全数据安全体系架构设置安全的密码加强对特权用户的,。,。,业务系统访问,各业务部门维护人员,信息技术部门维护人员,应用开发商维护人员,系统用户,中间件服务器,AS/Web,数据库服务器,磁盘系统,Data Warehouse,威胁数据安全手段方式示意图,Backup,客户端的,S,QL,恶意注入,网络传输过程中的,SQL,替换,应用层的,程序预埋,数据库层面的,合法和非法操作,数据库内的存储过程预埋,测试过程获得,敏感数据,备份过程中的敏感数据获得,日常工作和维护过程的敏感数据修改和获得,。业务系统访问各业务部门维护人员信息技术部门维护人,。,。,业务系统访问,各地业务部门维护人员,各地信息中心维护人员,应用开发商维护人员,系统用户,中间件服务器,AS/Web,数据库服务器,磁盘系统,安全配置和管理,企业管理器,敏感数据遮蔽,Label Security,Active Data Guard,安全备份,Data Warehouse,数据安全方案产品部署层次示意图,Backup,完全数据库操作审计,库外网络防范,数据库内防范,行为监控,Advanced Security,用户访问控制,。业务系统访问各地业务部门维护人员各地信息中心维护,数据安全方案应具有的基本功能,数据账户分层管理，三权分立,企业内部和外协公司账户的分层管理,技术维护和企业业务人员账户的分层管理,访问和操作权限控制,何时、何地、何人、有何访问和操作权限,防止对核心数据的越权操作和误操作,敏感操作的记录和分析,记录关键操作的业务人员或维护人员的,ID,、时间、地点、和具体动作,对规模化的合法动作进行分析和挖掘，找出可能的安全管理漏洞,随着企业内部业务信息化的推进，以及互联网业务的逐步推广，需要记录和分析内部和外部用户的行为习惯和具体操作。,数据安全方案应具有的基本功能数据账户分层管理，三权分立,。,。,业务系统访问,各地业务部门维护人员,各地信息中心维护人员,应用开发商维护人员,系统用户,中间件服务器,AS/Web,数据库服务器,磁盘系统,安全配置和管理,企业管理器,敏感数据遮蔽,Label Security,Active Data Guard,安全备份,Data Warehouse,数据安全方案产品部署层次示意图,Backup,完全数据库操作审计,库外网络防范,数据库内防范,行为监控,Advanced Security,用户访问控制,。业务系统访问各地业务部门维护人员各地信息中心维护,按照业务划分,的职责和授权,限制各种应用,用户的使用权限,对关键数据,采取保护措施,对用户登录,进行审计,对敏感操作,进行审计,数据保护系统,综合报告,数据保护方案的基本功能和策略,对于关键操作,进行完全回放,功能逐步细化,实现逐步简化,旁路监听,串联阻断,按照业务划分限制各种应用对关键数据对用户登录对敏感操作数据保,15,Database Firewall-,单位传达室,Database Firewall-单位传达室,监控模式数据库审计服务器,监测（,Monitor Only,）模式,不阻止,也被称为,“,SPAN”,、,“,Span port”,、,“,Mirrored”,或者,“,Tap”,只进行,SQL,操作的记录和报告,易于部署，对数据库和应用没有影响,监控模式数据库审计服务器监测（Monitor Only）模式,数据库防火墙模式,阻止和监测,密切监测,SQL,通信，并对照安全策略进行检验,也被称为,“,Bridge”,或者,“,T,ransparent,B,ridge”,有时，只有在没有,Out of Band,端口时使用,数据库防火墙模式阻止和监测,数据库防火墙,高可用性策略,策略分析器,创建安全策略,在,Windows,桌面上运行,数据库防火墙 管理服务器,报告，归档信息库,防火墙管理，策略管理,报警，集成,数据库防火墙,(HA,模式,),阻止未授权的访问,监视数据访问,数据库防火墙,远程,/,本地监测,发送网络流量信息,数据库防火墙 高可用性策略 策略分析器,Oracle Database Firewall,数据库防火墙完善的报表系统,Database Firewall 日志数据被整合到报告数据库中,130 多个可修改、可自定义的内置报告,用于数据库查证和审计的授权报告,数据库活动和授权用户报告,支持演示,PCI、SOX、HIPAA/HITECH 等控件,Oracle Database Firewall,Oracle Database Firewall,Oracle Database Firewall数据库防火墙,Database Vault,-,数据库级的门禁保护,数据账户分层管理，三权分立,企业内部和外协公司账户的分层管理,技术维护和核心业务人员账户的分层管理,访问和操作权限控制,何时、何地、何人、有何访问和操作权限,Database Vault -数据库级的门禁保护数据,Oracle Database Vault,法规遵循和防止来自内部的威胁,对授权用户的控制,限制数据库管理员访问应用程序的数据,提供职责分离的功能,保证数据库和信息整合的安全性,执行数据访问的安全策略,控制何人、何时、何地以及如何访问数据,可根据,IP,地址、时间或授权等情况作出访问决定,可应用于,Oracle9i R2,Oracle10g R2,Oracle11g,报表,领域,多因子授权,职责分离,命令规则,22,Oracle Database Vault 法规遵循和防止,Audit Vault -,敏感操作监控摄像头,在实际工作地点家装摄像头，记录关键工作的动作。,Audit Vault -敏感操作监控摄像头在,全库操作的监控审计,代理,Audit Vault Server,库内文件,操作系统,REDO,代理,数据库,1,数据库,2,数据库,3,库内文件,操作系统,REDO,库内文件,操作系统,REDO,全库操作的监控审计代理Audit Vault Server库,RUEI,安全功能：,安全事件关键页面定制捕获回放,RUEI安全功能：安全事件关键页面定制捕获回放,Oracle,数据库配置管理,保护您的数据库环境,发现数据库并将其分类到策略组,依据,400 多个最佳实践和行业标准以及自定义的企业专用配置策略对数据库进行扫描,检测进而防止未授权的数据库配置更改,更改管理信息板与合规性报告,监视,配置管理,与审计,漏洞管理,修复,分析与解析,确定优先级,策略管理,评估,分类,监视,发现,资产管理,Oracle 数据库配置管理 保护您的数据库环境发现数据库,Oracle Total Recall,跟踪,和恢复被篡改数据,select salary from emp AS OF TIMESTAMP,02-MAY-09 12.00 AM where emp.title=admin,透明地跟踪应用程序数据随时间的更改,数据库中高效、抗干扰的归档存储,使用,SQL 实时访问应用程序的历史数据,简化的突发事件取证和恢复,Oracle Total Recall跟踪和恢复被篡改数据,根据业务因素对用户和数据进行分类,在数据库中实施行级访问控制,通过,Oracle Identity Management Suite 对用户进行分类,分类标签可以是其他策略中的因素,Oracle Label Security,对数据和用户进行分类以便实现自动访问控制,机密,敏感,事务,报告数据,报告,敏感,机密,公共,根据业务因素对用户和数据进行分类Oracle Label S,磁盘,备份,导出,场外,设施,Oracle Advanced