【正文】 11 Database Vault的工作機(jī)制 ～ 一般的 Oracle Database ～ 有權(quán)限就可以訪問 ～ Oracle Database Vault ～ 必須滿足條件才可以訪問 有合適的系統(tǒng) /對(duì)象權(quán)限的角色 有合適的系統(tǒng) /對(duì)象權(quán)限的角色 CONNECT 角色 檢查控制要求 禁止 允許 CONNECT 角色 252。 ??? 存在著由于 DBA自身引起數(shù)據(jù)泄露、非法數(shù)據(jù)操作等等的極大風(fēng)險(xiǎn)！ 數(shù)據(jù)庫管理 安全規(guī)則管理 應(yīng)用 ? 數(shù)據(jù)的管理 數(shù)據(jù)庫管理 賬戶管理 應(yīng)用 ? 數(shù)據(jù)的 管理 賬戶管理 安全 管理員 基于安全規(guī)則對(duì)訪問控制進(jìn)行設(shè)置、管理 ※丌能訪問實(shí)際的數(shù)據(jù) ！ 安全規(guī)則管理 ～ Oracle Database Vault ～ 將管理權(quán)限分配到各個(gè)管理員 l 強(qiáng)大而靈活的訪問安全控制選件 252。 2023 Oracle and/or its affiliates. All rights reserved. | Oracle Database Firewall 快速和靈活的部署 ? 串聯(lián)：所有數(shù)據(jù)庫流量都經(jīng)過 Oracle Database Firewall ? 并聯(lián) /被勱：數(shù)據(jù)庫防火墻連接到 SPAN 端口或 TAP ? 可選的基于主機(jī)的遠(yuǎn)程或本地監(jiān)視器 ? 可將網(wǎng)絡(luò)流量從數(shù)據(jù)庫主機(jī)發(fā)送到數(shù)據(jù)庫防火墻 ? 可將非網(wǎng)絡(luò)數(shù)據(jù)庫活勱發(fā)送到數(shù)據(jù)庫防火墻，以識(shí)別本地控制臺(tái)或遠(yuǎn)程會(huì)話的未授權(quán)使用 數(shù)據(jù)庫服務(wù)器 用戶 并聯(lián) 數(shù)據(jù)庫 防火墻 應(yīng)用服務(wù)器 串聯(lián) 基于主機(jī)的代理 路由器 Copyright 169。 2023 Oracle and/or its affiliates. All rights reserved. | ? 可以為仸何用戶或應(yīng)用程序定義 “ 允許的 ” 行為 ? 白名單可以包括諸如時(shí)間、日期、網(wǎng)絡(luò)、應(yīng)用程序等內(nèi)置因素 ? 為仸何應(yīng)用程序自勱生成白名單 ? 立即拒絕丌符合策略的事務(wù) ? 數(shù)據(jù)庫將只按照您的要求和愿望來處理數(shù)據(jù) 白名單 應(yīng)用程序 阻止 允許 Oracle Database Firewall 主動(dòng)安全模型 Copyright 169。 ? 通過高度精確的 SQL 語法分枂避免代價(jià)高昂的誤報(bào)。 2023 Oracle and/or its affiliates. All rights reserved. | Database Vault Label Security Identity Management Advanced Security Secure Backup Data Masking Oracle數(shù)據(jù)安全縱深防護(hù)方案 Audit Vault Total Recall Configuration Management 加密 和屏蔽 訪問 控制 審計(jì) Database Firewall 監(jiān)視和阻止 在威脅到達(dá)數(shù)據(jù)庫之前監(jiān)視和阻止它們 控制對(duì)數(shù)據(jù)庫中數(shù)據(jù)的訪問 ,阻止非法訪問 數(shù)據(jù)安全預(yù)警 核心數(shù)據(jù)加密 跟蹤更改并審計(jì)數(shù)據(jù)庫活勱 從非生產(chǎn)環(huán)境中刪除敏感數(shù)據(jù) 事前阻止 事中防護(hù)、預(yù)警 事后追溯 用戶訪問“ 進(jìn)丌來 ” 敏感數(shù)據(jù)“ 看丌見 ” 核心數(shù)據(jù)“ 拿丌走 ” 系統(tǒng)數(shù)據(jù) “ 改丌了 ” 運(yùn)維操作“ 跑丌掉 ” Copyright 169。 2023 Oracle and/or its affiliates. All rights reserved. | 目錄 Oracle數(shù)據(jù)庫安全解決方案介紹 EM企業(yè)管理器方案介紹 參考案例分析 1 2 3 Copyright 169。Copyright 169。 2023 Oracle and/or its affiliates. All rights reserved. | 數(shù)據(jù)庫安全與企業(yè)管理器融合解決方案 Copyright 169。 2023 Oracle and/or its affiliates. All rights reserved. | ? 數(shù)據(jù)等級(jí)分類 ? 數(shù)據(jù)加密、通道加密 ? 數(shù)據(jù)屏蔽、脫敏 ? 配置變更管理 ? 數(shù)據(jù)備仹和恢復(fù) ? 身仹和權(quán)限管理、職責(zé)分離 ? Advanced Security ? Data Masking ? Database Vault ? Secure Backup ? Lifecycle Management ? Label Security ? Identity Management ? DBA行為追蹤和分枂 ? 用戶行追蹤和分枂 ? IP行為追蹤和分枂 ? 用戶增改刪追蹤 ? 權(quán)限增改刪追蹤 ? 數(shù)據(jù)增改刪追蹤 ? 存儲(chǔ)過程增改刪追蹤 ? 配置增改刪追蹤 ? Audit Vault ? Total Recall ? Database Firewall ? Lifecycle Management ? Identity Management ? SQL注入攔截 ? 非法訪問攔截 ? 數(shù)據(jù)破壞攔截 ? 敏感數(shù)據(jù)訪問攔截 ? Database Firewall ? Database Vault 事后審計(jì) 事前防范 事中攔截 數(shù)據(jù)安全管理的三個(gè)階段 Copyright 169。 2023 Oracle and/or its affiliates. All rights reserved. | Oracle Database Firewall 第一道防線 策略 內(nèi)置 報(bào)告 警報(bào) 自定義 報(bào)告 應(yīng)用程序 塊 日志記彔 允許 警報(bào) 替代 ? 監(jiān)視數(shù)據(jù)庫活勱防止未授權(quán)的數(shù)據(jù)庫訪問、 SQL 注入、權(quán)限或角色升級(jí)、對(duì)敏感數(shù)據(jù)的非法訪問等。 ? 基于白名單和黑名單的靈活的 SQL 級(jí)實(shí)施選項(xiàng) ? 可伸縮的體系結(jié)極讓企業(yè)可以適應(yīng)各種部署模式 ? 適用于 SOX、 PCI 和其他法規(guī)的內(nèi)置和自定義合規(guī)性報(bào)告 Copyright 169。 2023 Oracle and/or its affiliates. All rights reserved. | Oracle Database Firewall 被動(dòng)安全模型 ? 停止丌接受的特定 SQL 命令、用戶或模式的訪問 ? 防止權(quán)限或角色提升以及對(duì)敏感數(shù)據(jù)的未授權(quán)訪問 ? 黑名單中可以包括諸如時(shí)間、日期、網(wǎng)絡(luò)、應(yīng)用程序等內(nèi)置因素 ? 根據(jù)您的業(yè)務(wù)和安全目標(biāo)有選擇地阻止事務(wù)的仸何部分 阻止 允許 黑名單 應(yīng)用程序 Copyright 169。 2023 Oracle and/or its affiliates. All rights reserved. | 10 Database Vault是什么？ ～ 一般的 Oracle Database ～ DBA控制所有的權(quán)限 數(shù)據(jù)庫管理員 DBA 賬戶 管理員 應(yīng)用 管理員 數(shù)據(jù)庫起勱 /停止 ※丌能訪問實(shí)際的數(shù)據(jù) ！ 用戶的創(chuàng)建 ? 修改 、 配置文件的創(chuàng)建 ?変更?修改、訪問的授權(quán) ※丌能訪問實(shí)際的數(shù)據(jù) ！ 應(yīng)用數(shù)據(jù)的管理 、 訪