Oracle-数据安全完整解决方案

数据安全是公积金系InsertPictureHere数据安全是公积金系统安全的核心Oracle数据安全完整解决方案Oracle数据安全完整解决方案胡松Oracle渠道技术总监主要内容•从几个新闻事件看信息安全保护发展趋势从几个新闻事件看信息安全保护发展趋势•国内的IT安全体系评估和安全风险的应对策略数据安全保护的层次和Oracle方案全图•数据安全保护的层次和Oracle方案全图•关于Oracle数据安全方案，用户环境和场景讨论论维基解密湖北仙桃“地下交管局”事件真是网络真是网络黑客所为黑客所为吗？？？吗？？？数据安全事故陷福彩行业于“罗生门”住房公积金IT系统安全的主要关注点•外部综合防御现象针对网站系统网上营业厅（如果有的话）•现象：针对网站系统，网上营业厅（如果有的话），单位缴存客户端特点防范粗放式网络攻击针对性和敏感度不高•特点：防范粗放式网络攻击，针对性和敏感度不高•可以采用：CA认证，入侵检测、漏洞扫描、病毒防治防火墙网络隔离等成熟技术、防火墙、网络隔离等成熟技术。住房公积金IT系统安全的主要关注点•内部精确保护和安全治理现象•现象：•网络数据传输解密后的数据库访问命令截取和篡改直接针对缴存数据和业务账簿等敏感数据修改•直接针对缴存数据和业务账簿等敏感数据修改•直接对于封存数据的非法解封•特点：需要防范精确性与数据一致性同时具备的精准攻击采用的方法针对核心数据库的保护和安全治理方法•采用的方法：针对核心数据库的保护和安全治理方法常见的政府数据安全方案功能•数据账户分层管理，三权分立•政府内部和外协公司账户的分层管理•技术维护和业务人员账户的分层管理•国家，省局帐号和各地市帐号的分级管理•访问和操作权限控制•何时、何地、何人、有何访问和操作权限•可疑或非法操作的拒绝•敏感操作的记录和分析•记录关键操作的业务人员或维护人员的ID、时间、地点、和具体动作规模化的合法作析挖掘找能的安全管•对规模化的合法动作进行分析和挖掘，找出可能的安全管理漏洞解决方案：完全数据安全体系架构用户管理访问控制数据保护监控用户管理访问控制数据保护监控•设置安全的密码•集中式用户管理•加强对特权用户的控制•控制谁、什么时间、什么地点如何•数据加密•网络加密•启动数据审计•细粒度的审计•强认证么地点、如何（3W1H）访问了数据库、数据和应用系统•对外发数据进行数据屏蔽•对审计数据进行集中管理、生成报表和监控•代理认证•安全的基本配置•行级别和列级别的多角度安全控制•加密导出的数据控•定时进行安全配置扫描•对数据进行分类管理•对备份数据进行加密描各地业务部门维护人员各地业务部门维护人员数据安全方案产品部署层次示意图业务系统访问各地业务部门维护人员各地业务部门维护人员系统用户前端感知前端感知各地信息中心维护人员各地信息中心维护人员中间件服务器AS/Web库外网络防范库外网络防范应用开发商维护人员应用开发商维护人员数据库服务器用户认证和用户认证和访问控制访问控制。。。。。。完全数据库完全数据库操作审计操作审计安全配置和管理安全配置和管理企业管理器企业管理器敏感数据遮蔽敏感数据遮蔽AdvancedAdvancedSecuritySecurity。。。。。。磁盘系统数据库内数据库内安全备份安全备份BackupBackup数据库内数据库内防范防范LabelSecurityLabelSecurityActiveDataActiveDataGuardGuardDataDataWarehouseWarehouseLabelSecurityLabelSecurity数据库防火墙高可用性策略数据库防火墙高可用性策略•阻止未授权的访问•监视数据访问数据库防火墙数据库防火墙数据库防火墙(HA模式)远程/本地监测•发送网络流量信息策略分析器•创建安全策略•在Windows桌面上运行数据库防火墙管理服务器•报告，归档信息库•防火墙管理，策略管理报警集成•报警，集成OracleIdentityManager安全的企业级用户供应解决方案OracleIdentity能做什么安全的企业级用户供应解决方案Manager能做什么?•自动管理用户身份管理用户访问权限的生•管理用户访问权限的生命周期•提供一个身份供应架构•提供个身份供应架构，从而增强内部“谁-能做什么”的访问控制用户供应用户供应是任何企业身份和访问管理战略的核心各地市业务部门维护人员各地市业务部门维护人员数据安全方案产品部署示意图业务系统访问各地市业务部门维护人员各地市业务部门维护人员系统用户前端感知前端感知各地市信息中心维护人员各地市信息中心维护人员中间件服务器AS/Web库外网络防范库外网络防范应用开发商维护人员应用开发商维护人员数据库服务器用户认证和用户认证和访问控制访问控制。。。。。。完全数据库完全数据库操作审计操作审计安全配置和管理安全配置和管理企业管理器企业管理器敏感数据遮蔽敏感数据遮蔽AdvancedAdvancedSecuritySecurity。。。。。。磁盘系统数据库内数据库内安全备份安全备份BackupBackup数据库内数据库内防范防范LabelSecurityLabelSecurityActiveDataActiveDataGuardGuardDataDataWarehouseWarehouseLabelSecurityLabelSecurity全库操作的监控审计AuditVaultServer代理代理代理库内文件操作系统库内文件操作系统库内文件操作系统操作系统REDO数据库1数据库2数据库3操作系统REDOREDO数据库OracleDataBaseVault•系统中存储有大量用户资料和使用记录域的私密数据，通过DBVault进行增强的数据保护•细化用户对数据的授权访问报表多因素授权•限制具有系统特权的用户访问业务数据•实现维护权限和业务数据访问权限的分离报表离•通过不同条件组合定制数据访问安全策略控制进行数据访问的人员时间地点职责分离审计•控制进行数据访问的人员、时间、地点和方式•基于IP地址、时间、验证方式等进行决策命令规则决策•对应用透明，不影响应用的开发和部署DatabaseFirewall&IDM---单位传达室主要安全方案产品总结DatabaseVault--数据库级的门禁保护•数据账户分层管理，三权分立•政府企业内部和外协公司账户的分层管理账户的分层管理•技术维护和核心业务人员账户的分层管理访问和操作权限控制•访问和操作权限控制•何时、何地、何人、有何访问和操作权限AuditVault---敏感操作监控摄像头•在实际工作地点家装摄像头，记录关键工作的动作。RUEI安全功能：关键页面定制捕获回放Oracle安全产品–唯一获得数据保护高等级安全认证的产品•EvaluationAssuranceLevel4Augmented(EAL4+)•EAL4+是欧美高标准安是欧美高标准安全认证的最高等级•意味着产品方案可以在全球范围内可以放心使全球范围内可以放心使用最完整的数据安全方案和产品系列DatabaseVaultDBFirewallSecureConfigurationLabelSecurity1.紧贴数据库，无法绕行攻击2全面完整ConfigurationScanning2.全面，完整3.随数据库自动升级TransparentDataMaskingTransparentEncryptionAuditVaultSecureBackup提问和讨论