Oracle数据安全解决方案(2)——Oracle Database Vault

  • 时间:
  • 浏览:0

数据库合并原因什么都有强大的用户账号驻留在单个数据库中。这原因除了整个数据库的DBA,各个应用schema的拥有者也具有强大的特权。废除这人 特权将反过来影响已有的应用。通过Oracle Database Vault域,给你通过可信路径、处里未经授权的用户使用特权查看数据另好几个 手段来加强对应用数据的访问。类事,才能否 处里拥有SELECT ANY TABLE特权的DBA使用这人 特权来查看应用数据。

除此以外,你才才能否 将规则绑定到命令规则上,以此来多方面的限制活动,类事,按照如下辦法 限制励志的话 的执行:

·         哪几个是Oracle Database Vault?

参考 "Integrating Oracle Database Vault with Oracle Label Security" 获取更多关于Oracle Database VaultOracle Label Security怎么配合的信息. 参考 Oracle Label Security Administrator's Guide 获取更多关于Oracle Policy Manager的信息.

Oracle Database Vault使你才能创建如下组件来保护你的数据库实例的安全:

给你将规则以及因素和几3个数据库内部命令关联起来,提供更强的数据库内部控制。给你定制哪几个手段来满足你的操作策略。类事,给你定义另好几个 规则来限制特定IP地址特定主机名称运行ALTER SYSTEM励志的话 。

·         安全应用角色:另好几个 安全应用角色是另好几个 特殊的Oracle数据库角色,它才能否 基于Oracle database vault规则集的计算结果激活。Chapter 8, "Configuring Secure Application Roles for Oracle Database Vault"全部讨论了安全应用角色。

·         才能否 本地访问, 即不允许远程访问

对规章制度的顺从的另好几个 最大的好处是安全意识。历史上,关于信息技术部门的关注重点在可获得性和性能后边,而对遵守规章制度的关注要求每人个退后一步,已经 从安全的高度看看亲戚没那末人的IT基础设施、数据库、线程池池。通常的疑问包括:

参考Chapter 14, "Using the Oracle Database Vault PL/SQL Interfaces" and Chapter 11, "Using the DVSYS.DBMS_MACADM Package"获取更多信息.

未经授权访问

多年来,蠕虫、病毒,和内部入侵者(黑客)被认为是计算机系统最大的威胁。不幸的是,经常被忽视的是可信用户以及特权用户已经 盗窃已经 修改数据。

·         域:域是时需被保护的数据库schemal、对象、角色的另好几个 功能上的集合。类事:给你将和账户、销售、已经 人力资源相关的数据库schemal、对象、角色组成另好几个 域。当你将哪几个组成另好几个 域后,给你使用域来控制赋给特定账户已经 角色的系统权限的使用。已经 你就才能否 给任何想使用哪几个数据库schemal、对象、角色的用户提供细粒度的访问控制。Chapter 4, "Configuring Realms" 全部讨论了域。.

为了加强哪几个组件的功能,Oracle Database vault提供了一系列的PL/SQL接口和包。"Oracle Database Vault PL/SQL Interfaces and Packages" 提供了另好几个 概括的介绍.

修改数据,未经授权访问

Oracle的客户拥有数百甚至数千分布在企业已经 全球的数据库。已经 ,数据库合并在未来的几年将持续作为另好几个 成本节约策略。分布式的数据库架构提供的物理安全在合并环境中也时需具备。Oracle Database Vault提出了关于数据库合并的主要关注点。

·         Oracle Database Vault PL/SQL接口和开发包

Regulation

通过Oracle Database Vault,给你处里现在仍然是最困难的安全疑问:保护数据免遭内部威胁,满足通常的合规要求,加强职责隔离。

Table 1-1法律规章给出的潜在的安全威胁

Figure 1-1 Oracle Database Vault 安全

Oracle Database Vault 提供了DVSYS这人 schema来存储所有时需Oracle Database Vault保护的数据库对象。DVSYS schema含晒 角色、视图、账户、函数、以及其它Oracle Database Vault使用的数据库对象。DVF schema含晒 这人 公共函数,哪几个函数用于从Oracle Database Vault访问控制配置中读取因素值的集合。

Table 1-1列出了法律规章给出的潜在的安全威胁

为了执行维护任务,才能否 使用命令行工具Oracle Database Vault配置助手(DVCA).更多信息请参考Appendix C, "Postinstallation Oracle Database Vault Procedures".

Chapter 4 Chapter 9解释了怎么通过Oracle database Vault管理员线程池池来配置访问策略, 以及怎么将Oracle Database Vault与其它Oracle产品集成起来. Chapter 16, "Oracle Database Vault Reports" 解释了Oracle Database Vault报告.

·         按照IP地址(类事,只允许每个特定范围的IP地址访问)

更多OTN上关于Oracle Database Vault的信息请访问如下链接:

通过这人 辦法 ,给你很小心的控制和保护你的系统。给你按照你的时需激活已经 禁止命令规则,你才才能否 通过Oracle Database Vault管理员工具非常容易的集中维护命令规则。

Oracle Database Vault含晒 如下累积:

Oracle Database Vault 管理员是另好几个 基于Oracle Database VaultPL/SQL API构建的Java线程池池。这人 线程池池才能否 让熟透悉PL/SQL接口的安全管理者通过友好的用户界面来配置访问控制策略。Oracle Database Vault管理员线程池池提供了众多的安全相关的报告,哪几个报告才能否 帮助了解基准的安全配置。哪几个报告一齐都利于指出与基准配置相比,当前配置有哪几个变化。

Sarbanes-Oxley Section 3002

CFR Part 11

拒绝服务,未经授权访问

·         按照时间(类事,才能否 在周五下午4~5点执行)

·         Oracle Database Vault遵循哪几个规范

未经授权访问

未经授权访问, 修改,查看

·         Database Vault应对哪些内部威胁

·         Oracle Database Vault 访问控制组件

·         Oracle Database Vault组成累积

然而,对于像Sarbanes-Oxley and HIPAA哪几个法规来说,最大的挑战是线程池池上的,剩余的累积已经 时需技术投资。法律规章中另好几个 常见的安全需求是严厉的内部控制。Oracle Database Vault才能帮助组织达到要求的程度随不同的法律规章而变化。通常情況下,Oracle Database Vault域、职责分离、命令集、因素总体上利于减少全世界的法律规章规定的安全威胁。

未经授权修改数据

未经授权访问

·         因素:因素是另好几个 命名变量已经 属性,类事用户位置、数据库IP地址、会话用户,哪几个因素是Oracle Database Vault才能识别和保护的。给你针对用户活动使用哪几个因素,类事授权数据库账户链接到数据库,已经 创建过滤逻辑条件来限制数据的可见性和可管理性。每个因素才能否 含晒 另好几个 已经 多个标识,标识是因素的具体的值。另好几个 因素才能否 含晒 多个标识,这取决于因素的检索辦法 已经 它的映射逻辑。Chapter 7, "Configuring Factors" 全部讨论了因素.

未经授权访问

HIPAA 164.312

·         敏感信息存储在哪里?

EU Directive on Privacy and Electronic Communications

Chapter 10, "Oracle Database Vault Objects" 全部描述了这人 个 schema.

·         Oracle Database Vault配置助手DVCA)

·         Oracle Database VaultOracle Label Security PL/SQL APIs

未经授权访问

Oracle Database Vault才能限制任何用户访问数据库中的特定区域,包括拥有管理(administrative)权限在内的用户,类事,给你限制管理员访问员工薪水、客户医疗记录、已经 这人 敏感信息。

http://www.oracle.com/technology/deploy/security/database-security/database-vault/index.html

·         Oracle Database Vault允许制定灵活的安全策略

·         管理特权账户访问应用数据: 这人 情況下,Oracle Database Vault 处里DBA访问由FIN域保护的schema。尽管DBA是最强大和可信的用户,但DBA不须时需访问数据库中的应用数据。

·         应用数据访问的职责分离: 这人 情況下,由Oracle Database Vault 创建的,FIN域拥有者,才能访问FIN域的schema.

Oracle Database Vault提供了才能和Oracle Label Security集成的访问控制能力。Oracle Label Security是和Oracle Enterprise Manager Database Control集成的,Oracle Enterprise Manager Database Control才能让安全管理员定义应用到数据库对象的标签安全策略。Oracle Label Security同样提供了一组才能否 供数据库线程池池开发者用来提供标签安全策略的PL/SQL API

本篇含晒 如下内容:

Oracle Database Vault才能否 帮助你为你的数据库设计灵活的安全策略。类事,任何具有DBA角色的数据库用户,如SYSTEM,才能修改数据库的基本参数。加入另好几个 有系统特权的菜鸟管理员决定启动新的redo log文件,已经 他并那末意识到在特定的时间进行那样操作会原因数据库出疑问。通过Oracle Database Vault,给你创建另好几个 限制使用ALTER SYSTEM SWITCH LOGFILE命令规则来处里已经 的用户做已经 的操作。

Oracle Database Vault使用域、因素、命令规则来应对内部威胁。哪几个手段合起来提供强大的安全工具来帮助保护对数据库、线程池池、敏感数据的访问。给你结合规则和因素来控制在哪几个样的条件下数据库命令才能被执行,控制被域保护的数据的访问。类事,给你基于IP地址、时间日期、特定的线程池池来创建规则和因素来控制对数据的访问。已经 才能否 限制才能否 由满足条件的连接才才能访问数据,以此来处里未经授权访问应用数据和为经授权的应用访问数据库。

Gramm-Leach-Bliley

法律法规如Sarbanes-Oxley Act, Health Insurance Portability and Accountability Act (HIPAA), International Convergence of Capital Measurement and Capital Standards: a Revised Framework (Basel II), Japan Privacy Law, Payment Card Industry Data Security Standard (PCI DSS), and the European Union Directive on Privacy and Electronic Communications都含晒 这人 常见的主题,类事内部控制、职责分离,以及访问控制。

Figure 1-1 表明了Oracle Database Vault 怎么应对哪几个关注点:

·         规则集:规则集是另好几个 已经 多个规则的集合,给你将规则集和另好几个 域的授权、命令规则、因素指派、已经 安全应用角色关联起来。规则集基于其中的每个规则的计算值以及规则的计算辦法 (所有为真已经 任意为真)。规则集中的规则是另好几个 结果为“true”或“false”的PL/SQL表达式。Chapter 5, "Configuring Rule Sets"全部讨论了规则集。

Japan Privacy Law

更多关于Oracle Database VaultFAQ请访问如下链接:

Basel II – Internal Risk Management

Payment Card Industry Data Security Standard (PCI DSS)

·         Oracle Database Vault 管理员组件(DVA)

通常情況下,我时需做的第一步是创建另好几个 含晒 你想保护的schema已经 数据库对象的域,已经 你就才能否 通过创建规则、命令规则、因素、标识、规则集、安全应用角色来保护你的域。除此以外,给你运行报告工具来报告哪几个组件监控和保护的活动。Chapter 3, "Getting Started with Oracle Database Vault"提供了另好几个 简单的指南,才能否 使你熟悉Oracle Database Vault的功能,Chapter 16, "Oracle Database Vault Reports"提供了更多关于怎么运行报告来检查配置和其它Oracle Database Vault 完成的活动。

Sarbanes-Oxley Section 404

未经授权访问

Health Insurance Portability and Accountability Act (HIPAA) 164.3006

Potential Security Threat

未经授权修改数据

已经 你就才能否 针对你的敏感数据以多种辦法 来应用细粒度的访问控制,它加固Oracle数据库实例,一齐加强了分离传统高权限用户职责的这人 业界最佳实践。更重要的是,它使你的数据免遭特权用户损坏,一齐又允许亲戚没那末人维护Oracle数据库。Oracle Database Vault那个她 的企业不可分割的一累积。

·         谁才能访问哪几个信息?



Description of "Figure 1-1 Oracle Database Vault Security"

给你根据Oracle Database Vault监控的不同的活动来生成报告,给你监控策略的改变、异常的安全尝试、数据库配置和行态的变化。

·         Oracle Database Vault DVSYS DVF Schemas

http://www.oracle.com/technology/deploy/security/database-security/database-vault/dbv_faq.html

给你配置Oracle Database Vault去管理独立的Oracle数据库实例的安全。给你安装Oracle Database Vault到另好几个 独立的Oracle数据库设备上、多个Oracle home下、以及Oracle RAC环境中。

参考 Chapter 16, "Oracle Database Vault Reports" 获取更多关于给你生成的报告的信息. Chapter 15, "Monitoring Oracle Database Vault" 解释了怎么监控Oracle Database Vault.

·         命令规则:命令规则是另好几个 特殊的规则,通过这人 规则,给你控制用户怎么执行亲戚没那末人才能执行的几乎所有的SQL励志的话 ,包括SELECT, ALTER SYSTEM, database definition language (DDL), data manipulation language (DML)励志的话 .命令规则时需和规则集一齐决定某个励志的话 不是允许执行。Chapter 6, "Configuring Command Rules" 全部讨论了规则集.

Oracle Database Vault提供了另好几个 PL/SQL接口和包,让安全管理员已经 线程池池开发者按需配置访问控制策略。PL/SQL存储过程和函数使得普通的数据库账户才能在另好几个 数据库会话上下文中在访问控制策略边界里进行操作。

Sarbanes-Oxley Section 409

·         Oracle Database Vault 监控和报告工具

Oracle Database Vault提供这人 内置的因素,给你将其与规则结合来控制数据库访问、域保护应用、以及数据库内部的命令。

·         Oracle Database Vault怎么应对数据库联合