利用-Oracle-Database-12c-實現(xiàn)萬無一失的安全性-課件

1、最新的數(shù)據(jù)庫安全創(chuàng)新Frank YangAPAC 數(shù)據(jù)庫安全產(chǎn)品經(jīng)理以下內(nèi)容旨在概述產(chǎn)品的總體發(fā)展方向。該內(nèi)容僅供參考，不可納入任何合同。其內(nèi)容不構(gòu)成提供任何材料、代碼或功能的承諾，并且不應(yīng)該作為制定購買決策的依據(jù)。此處所述有關(guān) Oracle 產(chǎn)品的任何特性或功能的開發(fā)、發(fā)布以及相應(yīng)的日程安排均由 Oracle 自行決定。議題數(shù)據(jù)庫安全的業(yè)務(wù)驅(qū)動力監(jiān)視 Oracle 和非 Oracle 數(shù)據(jù)庫保護數(shù)據(jù)和應(yīng)用程序的新解決方案對現(xiàn)有數(shù)據(jù)庫安全特性的更新數(shù)據(jù)安全的業(yè)務(wù)驅(qū)動力保護敏感數(shù)據(jù)管理合規(guī)性控制成本規(guī)劃發(fā)展我們對攻擊者的了解計劃持久高度自適應(yīng)威脅目標運用足夠的火力攻擊最薄弱的環(huán)節(jié)可撥號連接攻擊媒

2、介掃描、范圍界定、滲透原地不動，但可以避免被檢測到架構(gòu)、IP 和業(yè)務(wù)目標直接/間接造成損害保護數(shù)據(jù)庫的挑戰(zhàn)面對不斷變化的威脅和合規(guī)形勢性能與管理保護 Oracle 和非 Oracle 數(shù)據(jù)庫保護現(xiàn)有應(yīng)用程序Oracle 數(shù)據(jù)庫安全解決方案保護關(guān)鍵數(shù)據(jù)架構(gòu)活動監(jiān)視數(shù)據(jù)庫防火墻審計和報告可檢測特權(quán)用戶控制多因素授權(quán)加密與屏蔽可預(yù)防可管理數(shù)據(jù)發(fā)現(xiàn)和分類漏洞掃描數(shù)據(jù)庫生命周期管理 ORACLE Audit Vault 和數(shù)據(jù)庫防火墻簡介Oracle Audit Vault 和數(shù)據(jù)庫防火墻針對 Oracle 和非 Oracle 數(shù)據(jù)庫的新檢測控制審計/事件倉庫安全經(jīng)理報告用戶應(yīng)用程序阻止日志允許警告替代

3、!警報數(shù)據(jù)庫防火墻防火墻事件數(shù)據(jù)庫審計數(shù)據(jù)自定義服務(wù)器操作系統(tǒng)、目錄和自定義審計日志審計人員策略活動報告使用的系統(tǒng)權(quán)限活動報告使用的系統(tǒng)權(quán)限Oracle Audit Vault 和數(shù)據(jù)庫防火墻技術(shù)優(yōu)勢強大的水平和垂直可伸縮性，可支持大容量數(shù)據(jù)基于 SQL 語法的準確網(wǎng)絡(luò)監(jiān)視可擴展平臺為新的自定義審計源提供模板（無需編寫代碼）審計策略管理和集成的審計跟蹤清理在不加重安全團隊的負擔的情況下實現(xiàn)報告/警報和工作流的合規(guī)化和自定義為目標特定保留進行信息生命周期管理部署簡單先審計，然后進行監(jiān)控；或相反使用硬件上的“軟件設(shè)備”，易于部署多種部署模式：內(nèi)聯(lián)、帶外、代理、基于主機、高可用性全面的審計和監(jiān)視平臺

4、ORACLE產(chǎn)品徽標 ORACLE 數(shù)據(jù) 編輯簡介xxxx-xxxx-xxxx-4368Oracle 數(shù)據(jù)編輯新的預(yù)防性控制信用卡號4451-2172-9841-43685106-8395-2095-59387830-0032-0294-1827策略基于上下文對敏感數(shù)據(jù)進行實時編輯對應(yīng)用程序透明，無需更改代碼數(shù)據(jù)庫內(nèi)實施一致無需更改常規(guī)數(shù)據(jù)庫操作呼叫中心應(yīng)用程序信用卡處理xxxx-xxxx-xxxx-43684451-2172-9841-4368052-51-2147XXX-XX-2147支持的轉(zhuǎn)換存儲的數(shù)據(jù)編輯的結(jié)果10/09/1992tim.leeacmehiddenacme4451-21

5、72-9841-43684943-6344-0547-0110全部部分正則隨機01/01/2019聲明式多因素策略策略識別編輯內(nèi)容編輯方式編輯時間數(shù)據(jù)編輯策略PL/SQL API、Enterprise Manager使用 Enterprise Manager 編輯ORACLE產(chǎn)品徽標 權(quán)限分析簡介權(quán)限使用分析減小受攻擊面報告在數(shù)據(jù)庫中使用的實際權(quán)限和角色根據(jù)需要撤銷不必要的權(quán)限和角色幫助執(zhí)行最小權(quán)限并降低風險權(quán)限分析Create Select Update DBA 角色APPADMIN 角色SelectUpdate APPADMIN 角色CreateDBA 角色Alter system權(quán)限分析

6、使用的系統(tǒng)權(quán)限權(quán)限分析要撤銷的未使用權(quán)限？ORACLE產(chǎn)品徽標 統(tǒng)一審計簡介Oracle 數(shù)據(jù)庫審計使用條件審計捕獲異常 基于策略有條件可擴展語法用戶異常統(tǒng)一審計安全、高性能作為一個組進行管理的權(quán)限、對象、操作審計集合可輕松捕獲異常的多因素審計審計所有訪問，除非連接者是添加上下文數(shù)據(jù)：領(lǐng)域、標簽、應(yīng)用程序上下文等創(chuàng)建自定義審計策略O(shè)RACLE產(chǎn)品徽標 Real Application 安全性簡介姓名經(jīng)理SSN薪資電話號碼AdamGerald650.506.1111JuliaAdam650.124.5234JamesAdam515.124.4567StevenAdam515.124.4269Sh

7、antaSteven650.121.2994PayamSteven590.423.4569MichaelPayam650.507.9877HR 應(yīng)用程序安全性要求員工可查看公共信息。HR 應(yīng)用程序安全性要求公共頁面包含基本員工信息。 員工角色的用戶可以查看公共記錄。員工可以查看自己的記錄并更新其聯(lián)系方式。姓名經(jīng)理SSN薪資電話號碼AdamGerald650.506.1111JuliaAdam650.124.5234JamesAdam515.124.4567StevenAdam444-44-444412030515.333.1233ShantaSteven650.121.2994PayamSte

8、ven590.423.4569MichaelPayam650.507.9877姓名經(jīng)理SSN薪資電話號碼AdamGerald650.506.1111JuliaAdam650.124.5234JamesAdam515.124.4567StevenAdam444-44-444412030515.333.1233ShantaSteven8900650.121.2994PayamSteven6500590.423.4569MichaelPayam7900650.507.9877HR 應(yīng)用程序安全性要求經(jīng)理可查看其組織人員的薪資。姓名經(jīng)理SSN薪資電話號碼AdamGerald111-11-1111650

9、.506.1111JuliaAdam222-22-2222650.124.5234JamesAdam333-33-33339700515.124.4567StevenAdam444-44-4444515.333.1233ShantaSteven555-55-5555650.121.2994PayamSteven666-66-6666590.423.4569MichaelPayam777-77-7777650.507.9877HR 應(yīng)用程序安全性要求HR 代表可查看員工 SSN。Real Application 安全性HR 應(yīng)用程序 共享的、全能的連接直接的、不受控制的訪問業(yè)務(wù)邏輯安全性策略用戶

10、和角色業(yè)務(wù)邏輯CRM 應(yīng)用程序 安全性策略用戶和角色輕量級會話直接連接上實施的安全性身份/策略信息庫ORACLE產(chǎn)品徽標安全特性 增強功能安全特性的性能飛躍讓性能不再成為問題* 在開發(fā)所用的計算機上；正式性能測試待定* 在 Intel 或 Oracle SPARC 上使用硬件加速組件速度提高*Database Vault10 到 15 倍Label Security10 到 25 倍Advanced Security 透明數(shù)據(jù)加密 5 到 7 倍*Advanced Security 網(wǎng)絡(luò)加密 5 到 7 倍*數(shù)據(jù)庫審計 2 到 5 倍加密增強口令校驗器、證書簽名、DBMS_CRYPTO 使用

11、SHA-512加密硬件加速網(wǎng)絡(luò)加密、DBMS_CRYPTO 工具包和其他操作現(xiàn)在除 Linux 和 Solaris 外還可在 Windows 上使用為加密操作應(yīng)用 FIPS 140 驗證通過導(dǎo)出/導(dǎo)入/合并操作移動各密鑰在錢包和 HSM 密鑰庫中進行遷移密鑰的操作Oracle Database Vault封閉對敏感數(shù)據(jù)的訪問，即使在為應(yīng)用程序 DBA 和支持分析師提供緊急訪問時凍結(jié)權(quán)限分析可識別的所有安全設(shè)置：角色、授權(quán)使用單個命令啟用 Database Vault強制域select * from finance.cust特權(quán)用戶控制強大的口令策略，禁止帳戶共享對特權(quán)用戶實行最低權(quán)限分析利用任

12、務(wù)特定角色進行職責分離多因素授權(quán)控制基于多因素條件和異常進行審計審計最高級別和遞歸 SQL 語句Database Vault 領(lǐng)域通過 Audit Vault 和 Database Firewall 監(jiān)視活動改善數(shù)據(jù)庫安全行為現(xiàn)成的審計策略（帳戶管理、安全配置、數(shù)據(jù)庫參數(shù)） 強制審計審計管理審計檢查員和審計管理員的新角色密鑰管理、備份和 Data Guard 的新角色新 Kerberos 體系將 Oracle 數(shù)據(jù)庫作為 Windows 服務(wù)運行構(gòu)建安全應(yīng)用程序敏感數(shù)據(jù)發(fā)現(xiàn)、最低權(quán)限分析多因素授權(quán)、審計和編輯虛擬專用數(shù)據(jù)庫用于行/列安全性基于標簽的訪問控制保護應(yīng)用程序上下文基于代碼的訪問控制

13、(CBAC) 將權(quán)限與代碼關(guān)聯(lián)起來Real Application 安全性Enterprise Manager 安全控制臺集中式控制臺事件和警報策略管理步驟通過示例創(chuàng)建格式庫簡化的管理發(fā)現(xiàn)敏感數(shù)據(jù)管理控制掃描數(shù)據(jù)庫查找敏感數(shù)據(jù)創(chuàng)建并維護應(yīng)用程序數(shù)據(jù)模型加密、編輯、屏蔽、審計安全供應(yīng)測試系統(tǒng)從源頭屏蔽將敏感數(shù)據(jù)的暴露降到最低應(yīng)用程序屏蔽模板E-Business Suite 12.1.3融合管理軟件PeopleSoft（使用 PTools 8.5.3 規(guī)劃）自行更新的屏蔽模板Oracle 的 EM 商店為測試/開發(fā)屏蔽敏感數(shù)據(jù)010010110010101001001001001001001001001001001000100101010010010010011100100100100100100100001001001011100100101010010010101010011010100101010010生產(chǎn)數(shù)據(jù)子集克隆和屏蔽010010110010101001001001001001001001001001001000100101010010010010011100100100100100100100001001001