仅 28%
在所有数据库中统一 加密 PII
66%
不确定 web 应用程 序是否受到 SQL 注 入攻击
63%
未使用 3 个月内发布 的安全补丁
5
数据侵犯的影响
您所在的企业会因为数据侵犯造成怎样的影响？ 损坏企业形象与口碑 丢失信用 法律诉讼成本 营业收入损失
罚金或赔偿
客户流失 从行业中被淘汰 没影响
• 控制对数据库中数据的访问
• 防止非数据库用户访问数据库 • 从非生产数据库中删除敏感数据 监视与阻止 • Database Firewall 审计 • Audit Vault • Configuration Management 访问 控制 • Database Vault • Label Security • Identity Management 加密 与屏蔽
说明： 0. 无计划 (no plan) 1. 初始态 (initial) 2. 待完善 (marginal) 3. 稳定态 (stable) 4. 经验态 (best practice) 5. 完美态 (transformational)
9
议程
• • • • • • 数据安全的重要意义 如何实现全面的数据安全? Oracle的数据安全整体解决方案 DBFW的定位和主要功能特点 总结 问与答
Oracle Database Firewall
• 用于数据库查证和审计的授权 报告 • 数据库活动和授权用户报告 • 支持演示 PCI、SOX、 HIPAA/HITECH 等控件
Oracle Database Firewall
26
DBFW安全管理仪表板
可以知道，过去 一小时大概产生 408503的SQL语 句。
• 可将非网络数据库活动发送到数据库防火墙，以识别本地控制台或远程会话 的未授权使用
25
Oracle Database Firewall
报告
Oracle Database Firewall
• Database Firewall 日志数据被整合 到报告数据库中 • 130 多个可修改、可自定义的内置 报告
• 数据库将只按照您的要求和愿望来处理数据
23
Oracle Database Firewall
被动安全模型
黑名单
允许 应用程序
阻止
• 停止不接受的特定 SQL 命令、用户或模式的访问
• 防止权限或角色提升以及对敏感数据的未授权访问
• 黑名单中可以包括诸如时间、日期、网络、应用程序等内置因素 • 根据您的业务和安全目标有选择地阻止事务的任何部分
• 适用于 SOX、PCI 和其他法规的现成的合规性报告
• 例如，特权用户审计、权限、失败的登录、受管制数据更改 • 使用报告生成、通知、证明、存档等简化了审计。
14
Oracle Database Vault
在数据库内部实施安全策略
安全 DBA
采购
应用程序
应用程序 DBA
HR
财务
select * from finance.customers
• Advanced Security • Data Masking
12
Oracle Configuration Management
保护您的数据库环境
监视
发现
分类
评估
确定优先级 配置管理 与审计
修复
监视 分析与解析
资产管理
策略管理
漏洞管理
• 发现数据库并将其分类到策略组 • 依据 400 多个最佳实践和行业标准以及自定义的企业专用配置策略对数据库进行 扫描
17
Oracle Data Masking
对数据进行不可逆的去身份化后再用于非生产环境
生产数据库
LAST_NAME SSN SALARY
非生产数据库
LAST_NAME SSN SALARY
AGUILAR BENSON
203-33-3234 323-22-2943
40,000 60,000
ANSKEKSL BKJHHEIEDK
加密和屏蔽
访问控制 审计和监视 阻止和记录
8
安全最大化体系架构的成熟度模型
Maximum Security Architecture
数据库防护安全 5
数据标签安全
4
3
数据库特权用户管理安全
数据通讯安全
2 1
0
数据库审计安全
数据脱敏安全
身份管理安全
数据库备份安全
数据库恢复安全
目标 现状
数据库配置安全
• 检测进而防止未授权的数据库配置更改
• 更改管理信息板与合规性报告
13
Oracle Audit Vault
实时审计数据库活动
HR 数据
!
审计 数据
警报
内置 报告 自定义 报告 策略
CRM 数据
ERP 数据
数据库
审计人员
• 将数据库审计线索整合到安全集中的信息库中 • 检测并警告可疑活动，包括特权用户

敏感
事务
机密
报告数据
公共
报告
机密
敏感
• 根据业务因素对用户和数据进行分类 • 在数据库中实施行级访问控制
• 通过 Oracle Identity Management Suite 对用户进行分类 • 分类标签可以是其他策略中的因素
16
Oracle Advanced Security
防止未授权用户访问数据
111—23-1111 222-34-1345
60,000 40,000
数据永不离开数据库
• 使应用程序数据安全地使用于非生产环境
• 防止应用程序开发人员和测试人员看到生产数据
• 用于数据屏蔽自动化的可扩展模板库和策略
• 自动保留引用完整性，以便应用程序能够继续正常运行
18
议程
• • • • • • 数据安全的重要意义 如何实现全面的数据安全? Oracle的数据安全整体解决方案 DBFW的定位和主要功能特点 总结 问与答
• 基于白名单和黑名单的灵活的 SQL 级实施选项
• 可伸缩的体系结构让企业可以适应各种部署模式
• 适用于 SOX、PCI 和其他法规的内置和自定义合规性报告
22
Oracle Database Firewall
主动安全模型
白名单
允许 应用程序
阻止
• 可以为任何用户或应用程序定义“允许的”行为 • 白名单可以包括诸如时间、日期、网络、应用程序等内置因素 • 为任何应用程序自动生成白名单 • 立即拒绝不符合策略的事务
* 应答可以是多重选择
6
议程
• • • • • • 数据安全的重要意义 如何实现全面的数据安全? Oracle的数据安全整体解决方案 DBFW的定位和主要功能特点 总结 问与答
<Insert Picture Here>
7
怎样做到数据保护的深度防御和精确阻断?
如何做到：
• 敏感数据“看不见” • 核心数据“拿不走” • 运维操作“能审计”
24
Oracle Database Firewall
快速和灵活的部署
应用服务器
数据库 防火墙
用户
并联
路由器
数据库服务器
串联
基于主机 的代理
• 串联：所有数据库流量都经过 Oracle Database Firewall • 并联/被动：数据库防火墙连接到 SPAN 端口或 TAP • 可选的基于主机的远程或本地监视器 • 可将网络流量从数据库主机发送到数据库防火墙
1. 第一次定义安 全策略后，抓取 到大量的Unseen SQL。
3. 再次抓取到 Unseen SQL， 但数量比第一次 少。
4. 更新安全 策略后， Unseen SQL 数量再度减 少。
29
恶意破坏数据，报警
恶意破坏数据给予告警
30
访问CoreDB的来自哪些IP地址
通过查询访问过本数据库 的地址，我们可以知道哪 些地址是合法的，哪些地 址是非法的，同时可以制 定白名单来及时知道非法 地址的访问。
<Insert Picture Here>
10
Oracle数据安全保障
加密和屏蔽
• Oracle Advanced Security • Oracle Data Masking
访问控制
• Oracle Database Vault • Oracle Label Security
审计和监测
加密和屏蔽
<Insert Picture Here>
Oracle数据安全防护解决方案
不能保护数据库安全，神马IT系统都是浮云
周意青 高级技术顾问
议程
• • • • • • 数据安全的重要意义 如何实现全面的数据安全? Oracle的数据安全整体解决方案 DBFW的定位和主要功能特点 总结 问与答
<Insert Picture Here>
2
什么IT安全的最大威胁？
• 随着数据库规模变大，数据库成为企业信息资产的同时， 也被越来越多的不良之徒所觊觎 • 数据被违规访问、删、改、复制和缺乏审计的安全问题， 已经成为IT系统最大的威胁 • 根据IOUG 和Verizon Business的最新市场调查，2010 年全球造成严重后果的IT安全事件中92%是针对数据库 的侵入，89%的黑客采用了SQL注入技术，84%的外部 攻击利用了管理不善的数据库用户权限 • 数据库安全造成的IT系统损失是100%的
3
数据库安全是关键
• 随着信息化建设的不断发展，IT安全建设的重点， 已经从传统的网络安全、桌面安全、系统安全、应 用安全和身份认证管理安全等领域，转向了如何加 强IT系统核心的数据库安全防范 • 那么，如何才能更有效地保护数据库不受侵害？如 何解决非法访问的监控与审计？如何轻松达到《信 息安全等级保护条例》的信息安全合规要求？怎样 才能满足中国SOX《企业内部控制基本规范》的规 定？如何做到对现有生产系统不产生任何性能影响 呢？