利用-Oracle-Database-12c-實(shí)現(xiàn)萬無一失的安全性-課件

1、最新的數(shù)據(jù)庫安全創(chuàng)新Frank YangAPAC 數(shù)據(jù)庫安全產(chǎn)品經(jīng)理以下內(nèi)容旨在概述產(chǎn)品的總體發(fā)展方向。該內(nèi)容僅供參考，不可納入任何合同。其內(nèi)容不構(gòu)成提供任何材料、代碼或功能的承諾，并且不應(yīng)該作為制定購買決策的依據(jù)。此處所述有關(guān) Oracle 產(chǎn)品的任何特性或功能的開發(fā)、發(fā)布以及相應(yīng)的日程安排均由 Oracle 自行決定。議題數(shù)據(jù)庫安全的業(yè)務(wù)驅(qū)動(dòng)力監(jiān)視 Oracle 和非 Oracle 數(shù)據(jù)庫保護(hù)數(shù)據(jù)和應(yīng)用程序的新解決方案對(duì)現(xiàn)有數(shù)據(jù)庫安全特性的更新數(shù)據(jù)安全的業(yè)務(wù)驅(qū)動(dòng)力保護(hù)敏感數(shù)據(jù)管理合規(guī)性控制成本規(guī)劃發(fā)展我們對(duì)攻擊者的了解計(jì)劃持久高度自適應(yīng)威脅目標(biāo)運(yùn)用足夠的火力攻擊最薄弱的環(huán)節(jié)可撥號(hào)連接攻擊媒

2、介掃描、范圍界定、滲透原地不動(dòng)，但可以避免被檢測到架構(gòu)、IP 和業(yè)務(wù)目標(biāo)直接/間接造成損害保護(hù)數(shù)據(jù)庫的挑戰(zhàn)面對(duì)不斷變化的威脅和合規(guī)形勢性能與管理保護(hù) Oracle 和非 Oracle 數(shù)據(jù)庫保護(hù)現(xiàn)有應(yīng)用程序Oracle 數(shù)據(jù)庫安全解決方案保護(hù)關(guān)鍵數(shù)據(jù)架構(gòu)活動(dòng)監(jiān)視數(shù)據(jù)庫防火墻審計(jì)和報(bào)告可檢測特權(quán)用戶控制多因素授權(quán)加密與屏蔽可預(yù)防可管理數(shù)據(jù)發(fā)現(xiàn)和分類漏洞掃描數(shù)據(jù)庫生命周期管理 ORACLE Audit Vault 和數(shù)據(jù)庫防火墻簡介Oracle Audit Vault 和數(shù)據(jù)庫防火墻針對(duì) Oracle 和非 Oracle 數(shù)據(jù)庫的新檢測控制審計(jì)/事件倉庫安全經(jīng)理報(bào)告用戶應(yīng)用程序阻止日志允許警告替代

3、!警報(bào)數(shù)據(jù)庫防火墻防火墻事件數(shù)據(jù)庫審計(jì)數(shù)據(jù)自定義服務(wù)器操作系統(tǒng)、目錄和自定義審計(jì)日志審計(jì)人員策略活動(dòng)報(bào)告使用的系統(tǒng)權(quán)限活動(dòng)報(bào)告使用的系統(tǒng)權(quán)限Oracle Audit Vault 和數(shù)據(jù)庫防火墻技術(shù)優(yōu)勢強(qiáng)大的水平和垂直可伸縮性，可支持大容量數(shù)據(jù)基于 SQL 語法的準(zhǔn)確網(wǎng)絡(luò)監(jiān)視可擴(kuò)展平臺(tái)為新的自定義審計(jì)源提供模板（無需編寫代碼）審計(jì)策略管理和集成的審計(jì)跟蹤清理在不加重安全團(tuán)隊(duì)的負(fù)擔(dān)的情況下實(shí)現(xiàn)報(bào)告/警報(bào)和工作流的合規(guī)化和自定義為目標(biāo)特定保留進(jìn)行信息生命周期管理部署簡單先審計(jì)，然后進(jìn)行監(jiān)控；或相反使用硬件上的“軟件設(shè)備”，易于部署多種部署模式：內(nèi)聯(lián)、帶外、代理、基于主機(jī)、高可用性全面的審計(jì)和監(jiān)視平臺(tái)

4、ORACLE產(chǎn)品徽標(biāo) ORACLE 數(shù)據(jù) 編輯簡介xxxx-xxxx-xxxx-4368Oracle 數(shù)據(jù)編輯新的預(yù)防性控制信用卡號(hào)4451-2172-9841-43685106-8395-2095-59387830-0032-0294-1827策略基于上下文對(duì)敏感數(shù)據(jù)進(jìn)行實(shí)時(shí)編輯對(duì)應(yīng)用程序透明，無需更改代碼數(shù)據(jù)庫內(nèi)實(shí)施一致無需更改常規(guī)數(shù)據(jù)庫操作呼叫中心應(yīng)用程序信用卡處理xxxx-xxxx-xxxx-43684451-2172-9841-4368052-51-2147XXX-XX-2147支持的轉(zhuǎn)換存儲(chǔ)的數(shù)據(jù)編輯的結(jié)果10/09/1992tim.leeacmehiddenacme4451-21

5、72-9841-43684943-6344-0547-0110全部部分正則隨機(jī)01/01/2019聲明式多因素策略策略識(shí)別編輯內(nèi)容編輯方式編輯時(shí)間數(shù)據(jù)編輯策略PL/SQL API、Enterprise Manager使用 Enterprise Manager 編輯ORACLE產(chǎn)品徽標(biāo) 權(quán)限分析簡介權(quán)限使用分析減小受攻擊面報(bào)告在數(shù)據(jù)庫中使用的實(shí)際權(quán)限和角色根據(jù)需要撤銷不必要的權(quán)限和角色幫助執(zhí)行最小權(quán)限并降低風(fēng)險(xiǎn)權(quán)限分析Create Select Update DBA 角色APPADMIN 角色SelectUpdate APPADMIN 角色CreateDBA 角色Alter system權(quán)限分析

6、使用的系統(tǒng)權(quán)限權(quán)限分析要撤銷的未使用權(quán)限？ORACLE產(chǎn)品徽標(biāo) 統(tǒng)一審計(jì)簡介Oracle 數(shù)據(jù)庫審計(jì)使用條件審計(jì)捕獲異常 基于策略有條件可擴(kuò)展語法用戶異常統(tǒng)一審計(jì)安全、高性能作為一個(gè)組進(jìn)行管理的權(quán)限、對(duì)象、操作審計(jì)集合可輕松捕獲異常的多因素審計(jì)審計(jì)所有訪問，除非連接者是添加上下文數(shù)據(jù)：領(lǐng)域、標(biāo)簽、應(yīng)用程序上下文等創(chuàng)建自定義審計(jì)策略O(shè)RACLE產(chǎn)品徽標(biāo) Real Application 安全性簡介姓名經(jīng)理SSN薪資電話號(hào)碼AdamGerald650.506.1111JuliaAdam650.124.5234JamesAdam515.124.4567StevenAdam515.124.4269Sh

7、antaSteven650.121.2994PayamSteven590.423.4569MichaelPayam650.507.9877HR 應(yīng)用程序安全性要求員工可查看公共信息。HR 應(yīng)用程序安全性要求公共頁面包含基本員工信息。 員工角色的用戶可以查看公共記錄。員工可以查看自己的記錄并更新其聯(lián)系方式。姓名經(jīng)理SSN薪資電話號(hào)碼AdamGerald650.506.1111JuliaAdam650.124.5234JamesAdam515.124.4567StevenAdam444-44-444412030515.333.1233ShantaSteven650.121.2994PayamSte

8、ven590.423.4569MichaelPayam650.507.9877姓名經(jīng)理SSN薪資電話號(hào)碼AdamGerald650.506.1111JuliaAdam650.124.5234JamesAdam515.124.4567StevenAdam444-44-444412030515.333.1233ShantaSteven8900650.121.2994PayamSteven6500590.423.4569MichaelPayam7900650.507.9877HR 應(yīng)用程序安全性要求經(jīng)理可查看其組織人員的薪資。姓名經(jīng)理SSN薪資電話號(hào)碼AdamGerald111-11-1111650

9、.506.1111JuliaAdam222-22-2222650.124.5234JamesAdam333-33-33339700515.124.4567StevenAdam444-44-4444515.333.1233ShantaSteven555-55-5555650.121.2994PayamSteven666-66-6666590.423.4569MichaelPayam777-77-7777650.507.9877HR 應(yīng)用程序安全性要求HR 代表可查看員工 SSN。Real Application 安全性HR 應(yīng)用程序 共享的、全能的連接直接的、不受控制的訪問業(yè)務(wù)邏輯安全性策略用戶

10、和角色業(yè)務(wù)邏輯CRM 應(yīng)用程序 安全性策略用戶和角色輕量級(jí)會(huì)話直接連接上實(shí)施的安全性身份/策略信息庫ORACLE產(chǎn)品徽標(biāo)安全特性 增強(qiáng)功能安全特性的性能飛躍讓性能不再成為問題* 在開發(fā)所用的計(jì)算機(jī)上；正式性能測試待定* 在 Intel 或 Oracle SPARC 上使用硬件加速組件速度提高*Database Vault10 到 15 倍Label Security10 到 25 倍Advanced Security 透明數(shù)據(jù)加密 5 到 7 倍*Advanced Security 網(wǎng)絡(luò)加密 5 到 7 倍*數(shù)據(jù)庫審計(jì) 2 到 5 倍加密增強(qiáng)口令校驗(yàn)器、證書簽名、DBMS_CRYPTO 使用

11、SHA-512加密硬件加速網(wǎng)絡(luò)加密、DBMS_CRYPTO 工具包和其他操作現(xiàn)在除 Linux 和 Solaris 外還可在 Windows 上使用為加密操作應(yīng)用 FIPS 140 驗(yàn)證通過導(dǎo)出/導(dǎo)入/合并操作移動(dòng)各密鑰在錢包和 HSM 密鑰庫中進(jìn)行遷移密鑰的操作Oracle Database Vault封閉對(duì)敏感數(shù)據(jù)的訪問，即使在為應(yīng)用程序 DBA 和支持分析師提供緊急訪問時(shí)凍結(jié)權(quán)限分析可識(shí)別的所有安全設(shè)置：角色、授權(quán)使用單個(gè)命令啟用 Database Vault強(qiáng)制域select * from finance.cust特權(quán)用戶控制強(qiáng)大的口令策略，禁止帳戶共享對(duì)特權(quán)用戶實(shí)行最低權(quán)限分析利用任

12、務(wù)特定角色進(jìn)行職責(zé)分離多因素授權(quán)控制基于多因素條件和異常進(jìn)行審計(jì)審計(jì)最高級(jí)別和遞歸 SQL 語句Database Vault 領(lǐng)域通過 Audit Vault 和 Database Firewall 監(jiān)視活動(dòng)改善數(shù)據(jù)庫安全行為現(xiàn)成的審計(jì)策略（帳戶管理、安全配置、數(shù)據(jù)庫參數(shù)） 強(qiáng)制審計(jì)審計(jì)管理審計(jì)檢查員和審計(jì)管理員的新角色密鑰管理、備份和 Data Guard 的新角色新 Kerberos 體系將 Oracle 數(shù)據(jù)庫作為 Windows 服務(wù)運(yùn)行構(gòu)建安全應(yīng)用程序敏感數(shù)據(jù)發(fā)現(xiàn)、最低權(quán)限分析多因素授權(quán)、審計(jì)和編輯虛擬專用數(shù)據(jù)庫用于行/列安全性基于標(biāo)簽的訪問控制保護(hù)應(yīng)用程序上下文基于代碼的訪問控制

13、(CBAC) 將權(quán)限與代碼關(guān)聯(lián)起來Real Application 安全性Enterprise Manager 安全控制臺(tái)集中式控制臺(tái)事件和警報(bào)策略管理步驟通過示例創(chuàng)建格式庫簡化的管理發(fā)現(xiàn)敏感數(shù)據(jù)管理控制掃描數(shù)據(jù)庫查找敏感數(shù)據(jù)創(chuàng)建并維護(hù)應(yīng)用程序數(shù)據(jù)模型加密、編輯、屏蔽、審計(jì)安全供應(yīng)測試系統(tǒng)從源頭屏蔽將敏感數(shù)據(jù)的暴露降到最低應(yīng)用程序屏蔽模板E-Business Suite 12.1.3融合管理軟件PeopleSoft（使用 PTools 8.5.3 規(guī)劃）自行更新的屏蔽模板Oracle 的 EM 商店為測試/開發(fā)屏蔽敏感數(shù)據(jù)010010110010101001001001001001001001001001001000100101010010010010011100100100100100100100001001001011100100101010010010101010011010100101010010生產(chǎn)數(shù)據(jù)子集克隆和屏蔽010010110010101001001001001001001001001001001000100101010010010010011100100100100100100100001001001