【正文】 affiliates. All rights reserved. | 運維路線圖：五件事 標準化 環(huán)境 自勱化 運營 流程化 維護 支撐未來云化數(shù)據(jù)中心 控制應用質量 Copyright 169。 2023 Oracle and/or its affiliates. All rights reserved. | 議程 ? Oracle數(shù)據(jù)庫安全解決方案介紹 ? EM企業(yè)管理器方案介紹 ? 參考案例分析 Copyright 169。 2023 Oracle and/or its affiliates. All rights reserved. | 目錄 Oracle數(shù)據(jù)庫安全解決方案介紹 EM企業(yè)管理器方案介紹 參考案例分析 1 2 3 Copyright 169。 2023 Oracle and/or its affiliates. All rights reserved. | Audit Vault 案例一 山東移動 AVDF部署架構 （ ） DBFW 數(shù)據(jù)庫 報文鏡像 交換機（備） 應用 服務器 交換機 (主 ) Copyright 169。 2023 Oracle and/or its affiliates. All rights reserved. | 案例一 山東移動 AVDF總結 ? 通過針對營收系統(tǒng)數(shù)據(jù)庫的監(jiān)控， AVDF快速展現(xiàn)了： – AVDF可以主勱學習和了解被保護數(shù)據(jù)庫的 SQL情冴；通過制定 白名單、黑名單 及 例外策略 來實現(xiàn)對數(shù)據(jù)庫的保護 – AVDF的駕駛艙，可實時洞察數(shù)據(jù)庫當前正遭遇的 安全壓力和威脅趨勢 – AVDF可對危險操作進行告警和攔截 – AVDF的 行為追蹤功能 ，可以協(xié)劣日后安全事件的調查 – AVDF的 SQL注入阻止功能 ， 可以在應用層面防止黑客的入侵 – AVDF豐富的報表功能，通過 多個視角、多個維度 來分枂和展示數(shù)據(jù)庫系統(tǒng)在安全方面的運行狀冴。 Copyright 169。 2023 Oracle and/or its affiliates. All rights reserved. | 案例二 江蘇移動 AVDF主要保護點 6 C o p y r i g h t 169。 2 0 1 1 , O ra cl e a n d / o r i t s a f f i l i a t e s. Al l ri g h t s re se r v e d . C o n f i d e n t i a l – O ra cl e R e st ri ct e d 使 用 數(shù) 據(jù) 庫 防 火 墻 后 的 架 構 交 換 機 堡 壘 機 應 用 服 務 器 聚 博 員 工 移 動 輔 樓 員 工 SQ L PL u s SQ L D e ve l p e r PL / SQ L D e ve l o p e r T O AD 防 火 墻 SQ L 操 作 數(shù) 據(jù) 庫 移 動 內 部 員 工 數(shù) 據(jù) 庫 報 文 數(shù) 據(jù) 庫 防 火 墻 ?對第三方維護人員的行為進行追蹤和審計 ?對數(shù)據(jù)庫存儲過程／用戶角色權限更改進行審計 ?對數(shù)據(jù)庫登陸進行追蹤和審計 ?對嫌疑人的行為進行追蹤和審計 ?對數(shù)據(jù)庫對象的訪問進行追蹤和審計 ?對新員工、離職員工的行為進行追蹤和審計 ?對數(shù)據(jù)庫管理員的行為進行追蹤和審計 ?對非授權 IP的訪問提出告警 ?對規(guī)避應用邏輯的訪問提出告警 ?對敏感數(shù)據(jù)的訪問提出告警 ?對 SQL注入提出告警 Copyright 169。 2023 Oracle and/or its affiliates. All rights reserved. | 案例三 中國電信 Data Masking客戶總結 ? 針對電信 ITSM服務管理系統(tǒng)的 Data Masking： – Data masking可以滿足應用系統(tǒng)指定表的指定字段敏感信息的屏蔽。 – Data masking操作建議在包含有 Staging database的環(huán)境中進行，確保Staging database的敏感信息被屏蔽后無安全隱患再將其分發(fā)到各個測試 /開發(fā)庫。 – Data masking操作對現(xiàn)有生產系統(tǒng)無任何影響。 – Data masking是 EM中的管理包，所有操作均在 web頁面中進行，非常方便。 – 內建豐富的 data masking format library滿足多種應用的需求。 – 提供多種 data masking操作方法并支持用戶自定義 data masking definition。 – 快速生成 data masking定義腳本并支持 data masking定義的 xml格式導出與導入，為其他數(shù)據(jù)庫的 data masking操作帶來便捷。 Copyright 169。 2023 Oracle and/or its affiliates. All rights reserved. | 案例四 中國聯(lián)通 AVDF項目 移動查詢 DBA用戶 SQL操作 UPAY 研發(fā)人員 內部員工 防 火 墻 其他應用服務器 中間件服務器 ECARD 數(shù)據(jù)庫報文 數(shù)據(jù)庫防火墻 ? AVDF部署前： ? 具有網絡保護能力 ? 缺乏對數(shù)據(jù)層的保護能力 ? 缺乏對數(shù)據(jù)操作的可視性 ? 缺乏對違規(guī)違法的告警能力 ? 缺乏對敏感信息訪問的控制能力和追蹤能力 ? 缺乏對遵循法規(guī)／規(guī)范的評估能力 Copyright 169。 2023 Oracle and/or its affiliates. All rights reserved. | 案例四 中國聯(lián)通 AVDF總結 ? 通過針對中國聯(lián)通 UPAY， ECARD數(shù)據(jù)庫的監(jiān)控部署，圓滿地完成了本次實施要求，同時也透過 AVDF我們看到了一些安全隱患： – AVDF具有良好的中文用戶界面，可以通過制定白名單、黑名單及例外策略來實現(xiàn)對數(shù)據(jù)庫的保護，可以通過多維度信息實現(xiàn)各方面的審計。 – 在監(jiān)測生產庫的過程中，我們也總結了 十個 對數(shù)據(jù)庫帶來嚴重隱患的現(xiàn)象 ? 通過 vpn，生產賬號 直接訪問生產庫，出現(xiàn)問題 無法溯源 ，找不到誰操作的，即使通過將來的4A系統(tǒng)，也無法防范，而通過 AVDF，再結合 4A或者 VPN日志聯(lián)合分析，可以做到問題溯源。 ? 生產庫中發(fā)現(xiàn) 直接手工修改數(shù)據(jù) ， 直接 drop表，直接刪除數(shù)據(jù)庫中的數(shù)據(jù) ，這些操作都嚴重違背生產安全要求， 修改數(shù)據(jù)庫表字段 是重大變更，需要嚴格控制。 ? 無條件 Select *操作 會帶來數(shù)據(jù)庫性能的損失，也會把不必要的信息查詢出去，帶來不必要的 信息泄露 ，生產庫中使用 DBLink操作 ，也給生產庫帶來很大隱患。 ? 敏感數(shù)據(jù)表 被人通過 VPN直接訪問，甚至被 select* 全部拿走，如果無法溯源，那么會帶來很大損失， 非授權 IP訪問生產庫的大量表 ，如果 無法監(jiān)控審計，出現(xiàn)問題根本無從查證 。 ? 建議根據(jù)這十個數(shù)據(jù)庫隱患，采取合理的措施，將 AVDF投入生產運行，確保生產數(shù)據(jù)得到全面的防護。 Copyright 169。 2023 Oracle and/or its affiliates. All rights reserved. | Q U E S T I O N S A N S W E R S Copyright 169。 2023 Oracle and/or its affiliates. All rights reserved. | Oracle Confidential – Internal/Restricted/Highly Restricted 55 5