利用-Oracle-Database-12c-实现万无一失的安全性-课件.pptx

1、版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级1最新的数据库安全创新最新的数据库安全创新Frank YangAPAC 数据库安全产品经理版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级3以下内容旨在概述产品的总体发展方向。该内容仅供参考，不可纳入任何合同。其内容不构成提供任何材料、代码或功能的承诺，并且不应该作为制定购买决策的依据。此处所述有关 Oracle 产品的任何特性或功能的开发、发布以及相应的日程安排均由 Oracle 自行决定。版权所有 2013，Oracle 和

2、/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级4议题议题数据库安全的业务驱动力监视 Oracle 和非 Oracle 数据库保护数据和应用程序的新解决方案对现有数据库安全特性的更新版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级5数据安全的业务驱动力数据安全的业务驱动力保护敏保护敏感数据感数据管理管理合规性合规性控制成本控制成本规划发展规划发展版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级6我们对攻击者的了解我们对攻击者的了解计划持久计划持久高度自

3、适应高度自适应威胁目标威胁目标运用足够的火力攻击最薄弱的环节可拨号连接攻击媒介扫描、范围界定、渗透原地不动，但可以避免被检测到架构、IP 和业务目标直接/间接造成损害版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级7保护数据库的挑战保护数据库的挑战面对不断变化的威面对不断变化的威胁和合规形势胁和合规形势性能与管理性能与管理保护保护 Oracle 和非和非 Oracle 数据库数据库保护现有应用程序保护现有应用程序版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级8Oracle

4、数据库安全解决方案数据库安全解决方案保护关键数据架构保护关键数据架构活动监视活动监视数据库防火墙数据库防火墙审计和报告审计和报告可检测可检测特权用户控制特权用户控制多因素授权多因素授权加密与屏蔽加密与屏蔽可预防可预防可管理可管理数据发现数据发现和分类和分类漏洞扫描漏洞扫描数据库生命周期管理数据库生命周期管理版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级9 ORACLE AUDIT VAULT 和数据库防火墙简介和数据库防火墙简介版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等

5、级10Oracle Audit Vault 和数据库防火墙和数据库防火墙针对针对 Oracle 和非和非 Oracle 数据库的新检测控制数据库的新检测控制审计/事件仓库安全经理报告用户应用程序阻止日志允许警告替代!警报数据库防火墙防火墙事件数据库审计数据数据库审计数据自定义服务器操作系统、目录和自操作系统、目录和自定义审计日志定义审计日志审计人员策略版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级11活动报告活动报告使用的系统权限使用的系统权限版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信

6、息保护政策分类等级13版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级14Oracle Audit Vault 和数据库防火墙和数据库防火墙技术优势强大的水平和垂直可伸缩性，可支持大容量数据基于 SQL 语法的准确网络监视可扩展平台为新的自定义审计源提供模板（无需编写代码）审计策略管理和集成的审计跟踪清理在不加重安全团队的负担的情况下实现报告/警报和工作流的合规化和自定义为目标特定保留进行信息生命周期管理部署简单先审计，然后进行监控；或相反使用硬件上的“软件设备”，易于部署多种部署模式：内联、带外、代理、基于主机、高可用性全面的审计和

7、监视平台全面的审计和监视平台版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级15ORACLE产品徽标 ORACLE 数据数据 编辑简介编辑简介xxxx-xxxx-xxxx-4368版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级16Oracle 数据编辑数据编辑新的预防性控制新的预防性控制信用卡号信用卡号4451-2172-9841-43685106-8395-2095-59387830-0032-0294-1827策略策略基于上下文对敏感数据进行实时编辑对应用程序透明，无需

8、更改代码数据库内实施一致无需更改常规数据库操作呼叫中心应用程序信用卡处理xxxx-xxxx-xxxx-43684451-2172-9841-4368版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级17052-51-2147XXX-XX-2147支持的转换支持的转换存储的数据存储的数据编辑的结果编辑的结果10/09/1992tim.leeacmehiddenacme4451-2172-9841-43684943-6344-0547-0110全部全部部分部分正则正则随机随机01/01/2019版权所有 2013，Oracle 和/或其分支

9、机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级18声明式多因素策略声明式多因素策略策略识别编辑内容编辑方式编辑时间数据编辑策略数据编辑策略PL/SQL API、Enterprise Manager版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级19使用使用 Enterprise Manager 编辑编辑版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级20ORACLE产品徽标 权限分析简介权限分析简介版权所有 2013，Oracle 和/或其分支机构。保留所有权

10、利。从幻灯片 12 起插入信息保护政策分类等级21权限使用分析权限使用分析减小受攻击面减小受攻击面报告在数据库中使用的实际权限和角色根据需要撤销不必要的权限和角色帮助执行最小权限并降低风险权限分析Create Select Update DBA 角色APPADMIN 角色版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级22权限分析权限分析使用的系统权限使用的系统权限版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级23权限分析权限分析要撤销的未使用权限？要撤销的未使用权限？版权

11、所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级24ORACLE产品徽标 统一审计简介统一审计简介版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级25Oracle 数据库审计数据库审计使用条件审计捕获异常使用条件审计捕获异常 基于策略有条件可扩展语法用户异常统一审计统一审计安全、高性能作为一个组进行管理的权限、对象、操作审计集合可轻松捕获异常的多因素审计审计所有访问，除非连接者是添加上下文数据：领域、标签、应用程序上下文等版权所有 2013，Oracle 和/或其分支机构。保留所

12、有权利。从幻灯片 12 起插入信息保护政策分类等级26创建自定义审计策略创建自定义审计策略版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级27ORACLE产品徽标 REAL APPLICATION 安全性简介安全性简介版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级28姓名姓名经理经理SSN薪资薪资电话号码电话号码AdamGerald650.506.1111JuliaAdam650.124.5234JamesAdam515.124.4567StevenAdam515.124.

13、4269ShantaSteven650.121.2994PayamSteven590.423.4569MichaelPayam650.507.9877HR 应用程序安全性要求应用程序安全性要求员工可查看公共信息。版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级29HR 应用程序安全性要求应用程序安全性要求公共页面包含基本员工信息。员工角色的用户可以查看公共记录。员工可以查看自己的记录并更新其联系方式。姓名姓名经理经理SSN薪资薪资电话号码电话号码AdamGerald650.506.1111JuliaAdam650.124.5234Ja

14、mesAdam515.124.4567StevenAdam444-44-444412030515.333.1233ShantaSteven650.121.2994PayamSteven590.423.4569MichaelPayam650.507.9877版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级30姓名姓名经理经理SSN薪资薪资电话号码电话号码AdamGerald650.506.1111JuliaAdam650.124.5234JamesAdam515.124.4567StevenAdam444-44-444412030515

15、.333.1233ShantaSteven8900650.121.2994PayamSteven6500590.423.4569MichaelPayam7900650.507.9877HR 应用程序安全性要求应用程序安全性要求经理可查看其组织人员的薪资。版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级31姓名姓名经理经理SSN薪资薪资电话号码电话号码AdamGerald111-11-1111650.506.1111JuliaAdam222-22-2222650.124.5234JamesAdam333-33-33339700515.1

16、24.4567StevenAdam444-44-4444515.333.1233ShantaSteven555-55-5555650.121.2994PayamSteven666-66-6666590.423.4569MichaelPayam777-77-7777650.507.9877HR 应用程序安全性要求应用程序安全性要求HR 代表可查看员工 SSN。版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级32Real Application 安全性安全性HR 应用程序应用程序 共享的、全能的连接直接的、不受控制的访问业务逻辑安全性策略

17、用户和角色业务逻辑CRM 应用程序应用程序 安全性策略用户和角色轻量级会话直接连接上实施的安全性身份/策略信息库版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级33ORACLE产品徽标安全特性安全特性 增强功能增强功能版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级34安全特性的性能飞跃安全特性的性能飞跃让性能不再成为问题让性能不再成为问题*在开发所用的计算机上；正式性能测试待定*在 Intel 或 Oracle SPARC 上使用硬件加速组件组件速度提高速度提高*Datab

18、ase Vault10 到 15 倍Label Security10 到 25 倍Advanced Security 透明数据加密 5 到 7 倍*Advanced Security 网络加密 5 到 7 倍*数据库审计 2 到 5 倍版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级35加密增强加密增强口令校验器、证书签名、DBMS_CRYPTO 使用 SHA-512加密硬件加速网络加密、DBMS_CRYPTO 工具包和其他操作现在除 Linux 和 Solaris 外还可在 Windows 上使用为加密操作应用 FIPS 140 验

19、证通过导出/导入/合并操作移动各密钥在钱包和 HSM 密钥库中进行迁移密钥的操作版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级36Oracle Database Vault封闭对敏感数据的访问，即使在为应用程序 DBA 和支持分析师提供紧急访问时冻结权限分析可识别的所有安全设置：角色、授权使用单个命令启用 Database Vault强制域强制域select*from finance.cust版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级37特权用户控制特权用户控制强大的

20、口令策略，禁止帐户共享对特权用户实行最低权限分析利用任务特定角色进行职责分离多因素授权控制基于多因素条件和异常进行审计审计最高级别和递归 SQL 语句Database Vault 领域通过 Audit Vault 和 Database Firewall 监视活动版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级38改善数据库安全行为改善数据库安全行为现成的审计策略（帐户管理、安全配置、数据库参数）强制审计审计管理审计检查员和审计管理员的新角色密钥管理、备份和 Data Guard 的新角色新 Kerberos 体系将 Oracle 数据

21、库作为 Windows 服务运行版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级39构建安全应用程序构建安全应用程序敏感数据发现、最低权限分析多因素授权、审计和编辑虚拟专用数据库用于行/列安全性基于标签的访问控制保护应用程序上下文基于代码的访问控制(CBAC)将权限与代码关联起来Real Application 安全性版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级40Enterprise Manager 安全控制台安全控制台集中式控制台事件和警报策略管理步骤通过示例创建格式

22、库简化的管理简化的管理版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级41发现敏感数据发现敏感数据管理控制管理控制扫描数据库查找敏感数据创建并维护应用程序数据模型加密、编辑、屏蔽、审计版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级42安全供应测试系统安全供应测试系统从源头屏蔽将敏感数据的暴露降到最低应用程序屏蔽模板E-Business Suite 12.1.3融合管理软件PeopleSoft（使用 PTools 8.5.3 规划）自行更新的屏蔽模板Oracle 的 EM 商

23、店为测试为测试/开发屏蔽敏感数据开发屏蔽敏感数据010010110010101001001001001001001001001001001000100101010010010010011100100100100100100100001001001011100100101010010010101010011010100101010010生产数据子集克隆和屏蔽0100101100101010010010010010010010010010010010001001010100100100100111001001001001001001000010010010111001001010100100101

24、01010011010100101010010提取子集并屏蔽的数据泵文件新增新增生产以前以前测试测试源头屏蔽版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级43Oracle 数据库安全性解决方案数据库安全性解决方案关键数据架构的最高安全性关键数据架构的最高安全性活动监视活动监视数据库防火墙数据库防火墙审计和报告审计和报告可检测可检测编辑和屏蔽编辑和屏蔽多因素授权多因素授权加密加密可预防可预防可管理可管理数据发现数据发现和分类和分类漏洞扫描漏洞扫描数据库生命周期管理数据库生命周期管理版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级44Oracle 数据库安全数据库安全主要优点主要优点简单且灵活简单且灵活 安全与合规安全与合规面向企业面向企业速度与扩展速度与扩展版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级45Graphic Section Divider版权所有 2013，Oracle 和/或其分支机构。保留所有权利。从幻灯片 12 起插入信息保护政策分类等级46