• 高性能 • 与Oracle 数据的压缩集成
• 应用无需改变
• 支持所有的数据类型 • 索引范围扫描
.
SQL Layer
Buffer Cache
“SSN = 987-65-..”
data blocks
“*M$b@^s%&d7”
undo blocks
temp blocks
redo logs
flashback logs
标签 安全性
数据屏蔽
Agenda
• 数据库安全的业务驱动因素 • Oracle 的数据安全性的发展 • 加密与数据屏蔽的产品 • 访问控制层面的产品 • 监控层面的产品 • 结合安全审计产品的案例 • Q&A
.
Oracle 高级安全选件ASO
透明加密和强认证
强认证 (PKI, Kerberos)
• 安全的跨域通信 • 对分布的备份环境管理服务器提供的集中化的管理 • 支持超过 200 种SCSI 和 SAN 环境下可动态共
态共享驱动器的磁带设备
.
Oracle 安全备份Secure Backup
集成的磁带备份管理
• 被保护的备份
• 数据库和文件系统的备份加密 • 自动的密钥管理
• 高性能
• 无须备份（读）已提交的undo
通过 SQL接口 透明的解码
透明网络加密
写入 磁盘的 数据被透明 的加密
TDE透明数据 加密
通过RMAN能够 加密整个备份 输出到磁盘
.
Oracle 高级安全选件ASO
表空间加密Tablespace Encryption
• 加密所有应用数据
• 加密整个数据库文件 • 不用担心需要逐列的加密
• 高效
<在此处插入图片>
数据库的安全性与合规性的“纵深防御”
裘海生 Senior Sales Consultant hanson.qiu@
Agenda
• 数据库安全的业务驱动因素 • Oracle 的数据安全性的发展 • 加密与数据屏蔽的产品 • 访问控制层面的产品 • 监控层面的产品 • 结合安全审计产品的案例 • Q&A
保护备份到碰带中数据 以防止磁带的丢失 或失窃
安全、集中化的审计 并加以分析
.
Agenda
• 数据库安全的业务驱动因素 • Oracle 的数据安全性的发展 • 加密与数据屏蔽的产品 • 访问控制层面的产品 • 监控层面的产品 • 结合安全审计产品的案例 • Q&A
.
Oracle 数据库安全性
持续创新
Oracle 数据库 11g
数据屏蔽 TDE 表加密
Oracle Total Recall
Oracle 数据库 10g
Oracle Audit Vault Oracle Database Vault
透明数据加密（TDE）
Oracle 数据库 9i
实时屏蔽 安全配置扫描
细粒度审计
Oracle Label Security
Simple Data Dictionary Query
4
加密已存在的数据或新数据
SQL*Developer GUI or Command line DDL, Alter Table…..
.
理解 Oracle 安全备份OSB
• 在分布式环境中多平台的 统一备份管理
• 完整的磁带数据保护： • Unix / Linux / Windows / NAS file systems • Oracle Database: Oracle9i 至Oracle Database 11g
.
• 数据库安全的业务驱动因素 • Oracle 的数据安全性的发展 • 加密与数据屏蔽的产品 • 访问控制层面的产品 • 监控层面的产品 • 结合安全审计产品的案例 • Q&A
.
Oracle 数据库安全性
业务驱动因素
安全威胁
数据合并 全球化
权力外包 合规性要求
身份盗窃
工业间谍
内部威胁
SOX
EU
FDA
Directives
HIPAA
PCI
Basel II GLBA
SB1386
.
Oracle 数据库安全性
信息安全的挑战
中间层
网络中需要 保护的敏感数据
select SIN from user_clients; 534 123 321… 523 123 321
管理大量 的数据库
KING 18031 534.. SCOTT14220 535.. SMITH17170 536..
Oracle E-Business Suite 和 SAP支持TDE
.
透明数据加密TDE
列加密的布署方法
1
识别包含敏感数据的表
Credit Cards, SSN…
2
确认TDE 支持的数据类型?
TDE supports most all commonly used datatypes
3
确认列不是外键的一部分?
Oracle8i
企业用户安全性 虚拟专用数据库（VPD）
数据库加密 API
强身份验证
Oracle7 自带网络加密
数据库审计
政府客户
.
Oracle 数据库安全性
为实现安全性与合规性的“纵深防御”
监视
配置管理
Audit Vault
访问控制
Database Vault
加密与屏蔽
高级安全性
安全 备份
.
Total Recall
存放在数据库中 需要保护的数据
KING 18031 533.. SCOTT14220 534.. SMITH17170 543..
对不同敏感度的数 据进行分类管理
高度机密
机密的
公共
强化对拥有超级权限 用户的控制
alter table ….
DBA
select SIN from user_clients;
• 网络加密
• SSL/TLS • 本地的 – 无认证要求
• 强认证
• Kerberos, PKI
强认证
网络加密
( 75000
) ^#^*>*
加密输出到磁盘的备份
.
透明数据加密 TDE
总结
• 不必改变现在应用
• 无触发器，无视图 • 最小化的性能影响 • 内置的密钥管理
• 无额外的加密和密钥管理的开销；只需关注业务逻辑 • 简单的 alter table 语句
Oracle 高级安全选件ASO
网络、磁盘和磁带中的数据都得到保护
• 透明数据加密 (TDE)
• 应用不必变化 • 表空间和列加密 • 加密的备份 (RMAN) 加密的数据泵输出 • 加密Oracle Securefiles (LOBS)
• 内置的密钥管理
• 透明，自动 • 硬件安全模块 (HSM)
• 高级的介质管理
• 在多地点间转移时提供了循环 保护