Oracle数据安全解决方案(2)——Oracle Database Vault

  • 时间:
  • 浏览:1
  • 来源:大发11选5_大发11选5官网

参考 "Integrating Oracle Database Vault with Oracle Label Security" 获取更多关于Oracle Database VaultOracle Label Security如可配合的信息. 参考 Oracle Label Security Administrator's Guide 获取更多关于Oracle Policy Manager的信息.

·         按照时间(类事,非要在周五下午4~5点执行)

未经授权访问

通过Oracle Database Vault,我能 外理现在仍然是最困难的安全问题图片:保护数据免遭内控 威胁,满足通常的合规要求,加强职责隔离。

Sarbanes-Oxley Section 60 2

·         Oracle Database Vault PL/SQL接口和开发包

更多OTN上关于Oracle Database Vault的信息请访问如下链接:

为了加强你这种 组件的功能,Oracle Database vault提供了一系列的PL/SQL接口和包。"Oracle Database Vault PL/SQL Interfaces and Packages" 提供了一个多多多 概括的介绍.

·         应用数据访问的职责分离: 你这种 情況下,由Oracle Database Vault 创建的,FIN域拥有者,都可不还能不能访问FIN域的schema.

·         Oracle Database Vault遵循你这种 规范

除此以外,我想要非要将规则绑定到命令规则上,以此来多方面的限制活动,类事,按照如下最好的措施 限制句子的执行:

·         Oracle Database Vault允许制定灵活的安全策略

Potential Security Threat

Table 1-1列出了法律规章给出的潜在的安全威胁

未经授权修改数据

Oracle Database Vault 管理员是一个多多多 基于Oracle Database VaultPL/SQL API构建的Java进程。你这种 进程能非要让蒸不烂 悉PL/SQL接口的安全管理者通过友好的用户界面来配置访问控制策略。Oracle Database Vault管理员进程提供了众多的安全相关的报告,你这种 报告能非要帮助了解基准的安全配置。你这种 报告一并全是有益于指出与基准配置相比,当前配置有你这种 变化。

Oracle Database Vault使我想要创建如下组件来保护你的数据库实例的安全:

http://www.oracle.com/technology/deploy/security/database-security/database-vault/dbv_faq.html

http://www.oracle.com/technology/deploy/security/database-security/database-vault/index.html

·         因素:因素是一个多多多 命名变量可能性属性,类事用户位置、数据库IP地址、会话用户,你这种 因素是Oracle Database Vault都可不还能不能识别和保护的。我能 针对用户活动使用你这种 因素,类事授权数据库账户链接到数据库,可能性创建过滤逻辑条件来限制数据的可见性和可管理性。每个因素能非要中含一个多多多 可能性多个标识,标识是因素的具体的值。一个多多多 因素能非要中含多个标识,这取决于因素的检索最好的措施 可能性它的映射逻辑。Chapter 7, "Configuring Factors" 完整讨论了因素.

Figure 1-1 Oracle Database Vault 安全

Japan Privacy Law

通过你这种 最好的措施 ,我能 很小心的控制和保护你的系统。我能 按照你的都可不还能不能 激活可能性禁止命令规则,我想要非要通过Oracle Database Vault管理员工具非常容易的集中维护命令规则。

数据库合并因为要是我强大的用户账号驻留在单个数据库中。这因为除了整个数据库的DBA,各个应用schema的拥有者也具有强大的特权。废除其他特权将反过来影响已有的应用。通过Oracle Database Vault域,我能 通过可信路径、外理未经授权的用户使用特权查看数据一个多多多 手段来加强对应用数据的访问。类事,能非要外理拥有SELECT ANY TABLE特权的DBA使用你这种 特权来查看应用数据。

·         安全应用角色:一个多多多 安全应用角色是一个多多多 特殊的Oracle数据库角色,它能非要基于Oracle database vault规则集的计算结果激活。Chapter 8, "Configuring Secure Application Roles for Oracle Database Vault"完整讨论了安全应用角色。

Regulation

参考Chapter 14, "Using the Oracle Database Vault PL/SQL Interfaces" and Chapter 11, "Using the DVSYS.DBMS_MACADM Package"获取更多信息.

Oracle的客户拥有数百甚至数千分布在企业可能性全球的数据库。但是,数据库合并在未来的几年将持续作为一个多多多 成本节约策略。分布式的数据库架构提供的物理安全在合并环境中也都可不还能不能 具备。Oracle Database Vault提出了关于数据库合并的主要关注点。

Oracle Database Vault中含如下次责:

Oracle Database Vault使用域、因素、命令规则来应对内控 威胁。你这种 手段合起来提供强大的安全工具来帮助保护对数据库、进程、敏感数据的访问。我能 结合规则和因素来控制在你这种 样的条件下数据库命令都可不还能不能被执行,控制被域保护的数据的访问。类事,我能 基于IP地址、时间日期、特定的进程来创建规则和因素来控制对数据的访问。原先能非要限制非要由满足条件的连接才都可不还能不能访问数据,以此来外理未经授权访问应用数据和为经授权的应用访问数据库。

通常情況下,我我想要做的第一步是创建一个多多多 中含你想保护的schema可能性数据库对象的域,但是你就能非要通过创建规则、命令规则、因素、标识、规则集、安全应用角色来保护你的域。除此以外,我能 运行报告工具来报告你这种 组件监控和保护的活动。Chapter 3, "Getting Started with Oracle Database Vault"提供了一个多多多 简单的指南,能非要使你熟悉Oracle Database Vault的功能,Chapter 16, "Oracle Database Vault Reports"提供了更多关于如可运行报告来检查配置和其它Oracle Database Vault 完成的活动。

未经授权访问

然而,对于像Sarbanes-Oxley and HIPAA你这种 法规来说,最大的挑战是进程上的,剩余的次责可能性都可不还能不能 技术投资。法律规章中一个多多多 常见的安全需求是严厉的内控 控制。Oracle Database Vault都可不还能不能帮助组织达到要求的程度随不同的法律规章而变化。通常情況下,Oracle Database Vault域、职责分离、命令集、因素总体上有益于减少全世界的法律规章规定的安全威胁。

Sarbanes-Oxley Section 404

·         谁都可不还能不能访问你这种 信息?

可这麼 你就能非要针对你的敏感数据以多种最好的措施 来应用细粒度的访问控制,它加固Oracle数据库实例,一并加强了分离传统高权限用户职责的你这种 业界最佳实践。更重要的是,它使你的数据免遭特权用户损坏,一并又允许大家维护Oracle数据库。Oracle Database Vault这麼 你的企业不可分割的一次责。

参考 Chapter 16, "Oracle Database Vault Reports" 获取更多关于我能 生成的报告的信息. Chapter 15, "Monitoring Oracle Database Vault" 解释了如可监控Oracle Database Vault.

·         非要本地访问, 即不允许远程访问

我能 配置Oracle Database Vault去管理独立的Oracle数据库实例的安全。我能 安装Oracle Database Vault到一个多多多 独立的Oracle数据库设备上、多个Oracle home下、以及Oracle RAC环境中。

·         你这种 是Oracle Database Vault?

Basel II – Internal Risk Management

·         Oracle Database Vault 访问控制组件

未经授权访问

未经授权访问

·         Oracle Database Vault如可应对数据库联合

HIPAA 164.312

Figure 1-1 表明了Oracle Database Vault 如可应对你这种 关注点:

·         Oracle Database Vault组成次责

Oracle Database Vault提供其他内置的因素,我能 将其与规则结合来控制数据库访问、域保护应用、以及数据库内控 的命令。

Sarbanes-Oxley Section 409

Health Insurance Portability and Accountability Act (HIPAA) 164.60 6

Oracle Database Vault提供了一个多多多 PL/SQL接口和包,让安全管理员可能性进程开发者按需配置访问控制策略。PL/SQL存储过程和函数使得普通的数据库账户都可不还能不能在一个多多多 数据库会话上下文中在访问控制策略边界里进行操作。

Oracle Database Vault提供了都可不还能不能和Oracle Label Security集成的访问控制能力。Oracle Label Security是和Oracle Enterprise Manager Database Control集成的,Oracle Enterprise Manager Database Control都可不还能不能让安全管理员定义应用到数据库对象的标签安全策略。Oracle Label Security同样提供了一组能非要供数据库进程开发者用来提供标签安全策略的PL/SQL API

Payment Card Industry Data Security Standard (PCI DSS)

法律法规如Sarbanes-Oxley Act, Health Insurance Portability and Accountability Act (HIPAA), International Convergence of Capital Measurement and Capital Standards: a Revised Framework (Basel II), Japan Privacy Law, Payment Card Industry Data Security Standard (PCI DSS), and the European Union Directive on Privacy and Electronic Communications都中含其他常见的主题,类事内控 控制、职责分离,以及访问控制。

·         Oracle Database Vault DVSYS DVF Schemas

更多关于Oracle Database VaultFAQ请访问如下链接:

·         域:域是都可不还能不能 被保护的数据库schemal、对象、角色的一个多多多 功能上的集合。类事:我能 将和账户、销售、可能性人力资源相关的数据库schemal、对象、角色组成一个多多多 域。当你将你这种 组成一个多多多 域后,我能 使用域来控制赋给特定账户可能性角色的系统权限的使用。可这麼 你就能非要给任何想使用你这种 数据库schemal、对象、角色的用户提供细粒度的访问控制。Chapter 4, "Configuring Realms" 完整讨论了域。.

·         Oracle Database Vault 管理员组件(DVA)

·         按照IP地址(类事,只允许每个特定范围的IP地址访问)

·         Oracle Database VaultOracle Label Security PL/SQL APIs

本篇中含如下内容:

EU Directive on Privacy and Electronic Communications

未经授权访问

·         管理特权账户访问应用数据: 你这种 情況下,Oracle Database Vault 外理DBA访问由FIN域保护的schema。尽管DBA是最强大和可信的用户,但DBA并非要访问数据库中的应用数据。

我能 根据Oracle Database Vault监控的不同的活动来生成报告,我能 监控策略的改变、异常的安全尝试、数据库配置和形态学 的变化。

我能 将规则以及因素和几五个数据库内控 命令关联起来,提供更强的数据库内控 控制。我能 定制你这种 手段来满足你的操作策略。类事,我能 定义一个多多多 规则来限制特定IP地址特定主机名称运行ALTER SYSTEM句子。

·         规则集:规则集是一个多多多 可能性多个规则的集合,我能 将规则集和一个多多多 域的授权、命令规则、因素指派、可能性安全应用角色关联起来。规则集基于其中的每个规则的计算值以及规则的计算最好的措施 (所有为真可能性任意为真)。规则集中的规则是一个多多多 结果为“true”或“false”的PL/SQL表达式。Chapter 5, "Configuring Rule Sets"完整讨论了规则集。

为了执行维护任务,能非要使用命令行工具Oracle Database Vault配置助手(DVCA).更多信息请参考Appendix C, "Postinstallation Oracle Database Vault Procedures".

未经授权访问

未经授权修改数据

对规章制度的顺从的一个多多多 最大的好处是安全意识。历史上,关于信息技术部门的关注重点在可获得性和性能顶端,而对遵守规章制度的关注要求每被委托人退后一步,但是从安全的深度看看大家的IT基础设施、数据库、进程。通常的问题图片包括:

·         Oracle Database Vault配置助手DVCA)

拒绝服务,未经授权访问

Oracle Database Vault能非要帮助你为你的数据库设计灵活的安全策略。类事,任何具有DBA角色的数据库用户,如SYSTEM,都可不还能不能修改数据库的基本参数。加入一个多多多 有系统特权的菜鸟管理员决定启动新的redo log文件,但是他并这麼 意识到在特定的时间进行那样操作会因为数据库出问题图片。通过Oracle Database Vault,我能 创建一个多多多 限制使用ALTER SYSTEM SWITCH LOGFILE命令规则来外理原先的用户做原先的操作。



Description of "Figure 1-1 Oracle Database Vault Security"

CFR Part 11

未经授权访问, 修改,查看

·         敏感信息存储在哪里?

Chapter 10, "Oracle Database Vault Objects" 完整描述了你这其他人多多 schema.

修改数据,未经授权访问

Gramm-Leach-Bliley

多年来,蠕虫、病毒,和内控 入侵者(黑客)被认为是计算机系统最大的威胁。不幸的是,一个多多多劲被忽视的是可信用户以及特权用户可能性盗窃可能性修改数据。

Chapter 4 Chapter 9解释了如可通过Oracle database Vault管理员进程来配置访问策略, 以及如可将Oracle Database Vault与其它Oracle产品集成起来. Chapter 16, "Oracle Database Vault Reports" 解释了Oracle Database Vault报告.

Table 1-1法律规章给出的潜在的安全威胁

Oracle Database Vault 提供了DVSYS你这种 schema来存储所有都可不还能不能 Oracle Database Vault保护的数据库对象。DVSYS schema中含角色、视图、账户、函数、以及其它Oracle Database Vault使用的数据库对象。DVF schema中含其他公共函数,你这种 函数用于从Oracle Database Vault访问控制配置中读取因素值的集合。

·         Database Vault应对哪些内控 威胁

·         Oracle Database Vault 监控和报告工具

Oracle Database Vault都可不还能不能限制任何用户访问数据库中的特定区域,包括拥有管理(administrative)权限在内的用户,类事,我能 限制管理员访问员工薪水、客户医疗记录、可能性其他敏感信息。

·         命令规则:命令规则是一个多多多 特殊的规则,通过你这种 规则,我能 控制用户如可执行大家都可不还能不能执行的几乎所有的SQL句子,包括SELECT, ALTER SYSTEM, database definition language (DDL), data manipulation language (DML)句子.命令规则都可不还能不能 和规则集一并决定某个句子是与否允许执行。Chapter 6, "Configuring Command Rules" 完整讨论了规则集.