利用 Oracle Database 12c 实现万无一失的安全性课件

最新的数据库安全创新FrankYang

APAC数据库安全产品经理以下内容旨在概述产品的总体发展方向。该内容仅供参考，不可纳入任何合同。

其内容不构成提供任何材料、代码或功能的承诺，并且不应该作为制定购买决策的依据。此处所述有关Oracle产品的任何特性或功能的开发、发布以及相应的日程安排均由Oracle自行决定。数据安全的业务驱动力保护敏感数据管理合规性控制成本规划发展我们对攻击者的了解计划持久高度自适应威胁目标运用足够的火力攻击最薄弱的环节可拨号连接攻击媒介扫描、范围界定、渗透原地不动，但可以避免被检测到架构、IP和业务目标直接/间接造成损害保护数据库的挑战面对不断变化的威胁和合规形势性能与管理保护Oracle和非Oracle数据库保护现有应用程序ORACLEAuditVault和数据库防火墙简介OracleAuditVault和数据库防火墙针对Oracle和非Oracle数据库的新检测控制审计/事件仓库安全经理报告用户应用程序阻止日志允许警告替代!警报数据库防火墙防火墙事件数据库审计数据自定义服务器操作系统、目录和自定义审计日志审计人员策略活动报告使用的系统权限OracleAuditVault和数据库防火墙

技术优势强大的水平和垂直可伸缩性，可支持大容量数据基于SQL语法的准确网络监视可扩展平台为新的自定义审计源提供模板（无需编写代码）审计策略管理和集成的审计跟踪清理在不加重安全团队的负担的情况下实现报告/警报和工作流的合规化和自定义为目标特定保留进行信息生命周期管理部署简单先审计，然后进行监控；或相反使用硬件上的“软件设备”，易于部署多种部署模式：内联、带外、代理、基于主机、高可用性全面的审计和监视平台ORACLE产品徽标

ORACLE数据编辑简介xxxx-xxxx-xxxx-4368052-51-2147XXX-XX-2147支持的转换存储的数据编辑的结果10/09/1992tim.[hidden]@4451-2172-9841-43684943-6344-0547-0110全部部分正则随机01/01/2001声明式多因素策略策略识别编辑内容编辑方式编辑时间数据编辑策略PL/SQLAPI、EnterpriseManager使用EnterpriseManager编辑权限使用分析减小受攻击面报告在数据库中使用的实际权限和角色根据需要撤销不必要的权限和角色帮助执行最小权限并降低风险权限分析Create…Select…

Update…DBA角色APPADMIN角色SelectUpdate…APPADMIN角色…

CreateDBA角色Altersystem…

权限分析使用的系统权限权限分析要撤销的未使用权限？Oracle数据库审计使用条件审计捕获异常基于策略有条件可扩展语法用户异常统一审计安全、高性能作为一个组进行管理的权限、对象、操作审计集合可轻松捕获异常的多因素审计审计所有访问，除非连接者是……添加上下文数据：领域、标签、应用程序上下文等创建自定义审计策略HR应用程序安全性要求公共页面包含基本员工信息。—员工角色的用户可以查看公共记录。员工可以查看自己的记录并更新其联系方式。姓名经理SSN薪资电话号码AdamGerald650.506.1111JuliaAdam650.124.5234JamesAdam515.124.4567StevenAdam444-44-444412030515.333.1233ShantaSteven650.121.2994PayamSteven590.423.4569MichaelPayam650.507.9877姓名经理SSN薪资电话号码AdamGerald650.506.1111JuliaAdam650.124.5234JamesAdam515.124.4567StevenAdam444-44-444412030515.333.1233ShantaSteven8900650.121.2994PayamSteven6500590.423.4569MichaelPayam7900650.507.9877HR应用程序安全性要求经理可查看其组织人员的薪资。姓名经理SSN薪资电话号码AdamGerald111-11-1111650.506.1111JuliaAdam222-22-2222650.124.5234JamesAdam333-33-33339700515.124.4567StevenAdam444-44-4444515.333.1233ShantaSteven555-55-5555650.121.2994PayamSteven666-66-6666590.423.4569MichaelPayam777-77-7777650.507.9877HR应用程序安全性要求HR代表可查看员工SSN。RealApplication安全性HR应用程序共享的、全能的连接直接的、不受控制的访问业务逻辑安全性策略用户和角色业务逻辑CRM应用程序安全性策略用户和角色轻量级会话直接连接上实施的安全性身份/策略信息库ORACLE产品徽标安全特性增强功能安全特性的性能飞跃让性能不再成为问题*在开发所用的计算机上；正式性能测试待定**在Intel或OracleSPARC上使用硬件加速组件速度提高*DatabaseVault10到15倍LabelSecurity10到25倍AdvancedSecurity透明数据加密5到7倍**AdvancedSecurity网络加密5到7倍**数据库审计2到5倍加密增强口令校验器、证书签名、DBMS_CRYPTO使用SHA-512加密硬件加速网络加密、DBMS_CRYPTO工具包和其他操作现在除Linux和Solaris外还可在Windows上使用为加密操作应用FIPS140验证通过导出/导入/合并操作移动各密钥在钱包和HSM密钥库中进行迁移密钥的操作OracleDatabaseVault封闭对敏感数据的访问，即使在为应用程序DBA和支持分析师提供紧急访问时冻结权限分析可识别的所有安全设置：角色、授权……使用单个命令启用DatabaseVault强制域select*fromfinance.cust特权用户控制强大的口令策略，禁止帐户共享对特权用户实行最低权限分析利用任务特定角色进行职责分离多因素授权控制基于多因素条件和异常进行审计审计最高级别和递归SQL语句DatabaseVault领域通过AuditVault和DatabaseFirewall监视活动改善数据库安全行为现成的审计策略（帐户管理、安全配置、数据库参数）强制审计审计管理审计检查员和审计管理员的新角色密钥管理、备份和DataGuard的新角色新Kerberos体系将Oracle数据库作为Windows服务运行构建安全应用程序敏感数据发现、最低权限分析多因素授权、审计和编辑虚拟专用数据库用于行/列安全性基于标签的访问控制保护应用程序上下文基于代码的访问控制(CBAC)将权限与代码关联起来RealApplication安全性EnterpriseManager安全控制台集中式控制台事件和警报策略管理步骤通过示例创建格式库简化的管理发现敏感数据管理控制扫描数据库查找敏感数据创建并维护应用程序数据模型加密、编辑、屏蔽、审计……安全供应测试系统从源头屏蔽将敏感数据的暴露降到最低应用程序屏蔽模板E-BusinessSuite12.1.3融合管理软件PeopleSoft（使用PTools8.5.3规划）自行更新的屏蔽模板Oracle的EM商店为测试/开发屏蔽敏感数据111111110010生产数据子集克隆和屏蔽111111110010提取子集并屏蔽的数