在此处插入图片OracleDatabaseFirewall:您的第一道防线©2011OracleCorporation2议题•对数据库变化多端的威胁•OracleDatabaseFirewall•安全模型•策略实施•报告•架构与部署模式•演示•总结•问答©2011OracleCorporation3超过9亿条侵犯记录来自受攻击的数据库服务器类型类别侵犯的百分比记录的百分比数据库服务器服务器与应用程序25%92%台式机最终用户设备21%1%Verizon2010数据侵犯调查报告©2011OracleCorporation4对数据库的SQL注入攻击占到受侵犯数据的89%•SQL注入是通过web应用程序控制数据库服务器响应的一种方法•无法通过简单应用补丁、调整设置或更改单个页面对其进行修复•SQL注入漏洞无处不在,要修复它们必须彻底检查所有代码。Verizon2010数据侵犯调查报告“SQL注入的多样性和有效性使其成为网络犯罪分子的万能手段。”©2011OracleCorporation566%的组织容易遭受SQL注入攻击是否已采取措施防止SQL注入攻击?2010IOUG数据安全调查报告©2011OracleCorporation6传统安全解决方案无助于数据库内部数据抵御攻击数据库应用程序数据库用户和数据库管理员数据库纵深防御从源头保护数据Botware恶意软件击键记录器间谍软件鱼叉式网络钓鱼SQL注入社交引擎©2011OracleCorporation7OracleDatabaseFirewall第一道防线•监视数据库活动防止未授权的数据库访问、SQL注入、权限或角色升级、对敏感数据的非法访问等。•通过高度精确的SQL语法分析避免代价高昂的误报。•基于白名单和黑名单的灵活的SQL级实施选项•可伸缩的架构让企业可以适应各种部署模式•适用于SOX、PCI和其他法规的内置及自定义合规性报告策略内置报告警报定制报告应用程序阻止记录允许警报替代©2011OracleCorporation8OracleDatabaseFirewall主动安全模型•可以为任何用户或应用程序定义“允许的”行为•白名单可以包括诸如时间、日期、网络、应用程序等内置因素•为任何应用程序自动生成白名单•立即拒绝不符合策略的事务•数据库将只按照您的要求和愿望来处理数据白名单应用程序阻止允许SELECT*fromdvd_stockwhere[catalog-no]='PHE8131'andlocation=1SELECT*fromdvd_stockwhere[catalog-no]=''unionselectcardNo,customerId,0fromDVD_Orders--„andlocation=1©2011OracleCorporation9OracleDatabaseFirewall被动安全模型•停止不接受的特定SQL事务、用户或模式的访问•防止权限或角色提升以及对敏感数据的未授权访问•黑名单中可以包括诸如时间、日期、网络、应用程序等内置因素•根据您的业务和安全目标有选择地阻止事务的任何部分阻止允许黑名单应用程序UPDATEemployeeSETsalary=salary+(salary*0.5)WHEREid=“me”;©2011OracleCorporation10阻止记录允许警报替代•创新性SQL语法技术将数百万条SQL语句缩减为少量SQL特征或“集群”•卓越的性能和策略可伸缩性•高度的精确性可避免既耗时又代价高昂的误报•SQL级的灵活实施:阻止、替换、警报和传递、仅记录•SQL替换能够在不中断应用程序的情况下阻止攻击者SELECT*FROMaccounts变成SELECT*FROMdualwhere1=0OracleDatabaseFirewall策略实施应用程序©2011OracleCorporation11OracleDatabaseFirewall报告•将DatabaseFirewall日志数据整合到报告数据库中•许多可修改、可自定义的内置报告•数据库活动和授权用户报告•用于数据库查证和审计的授权报告•支持PCI、SOX、HIPAA等演示控件•对记录的SQL语句中的敏感PII数据进行清理。©2011OracleCorporation12•基于OracleEnterpriseLinux的低TCO软件解决方案•支持基于Intel的硬件平台,实现纵向和横向可伸缩性•独立于策略管理和报告的策略实施•灵活的部署模式:•内联、带外、高可用性、可选的基于主机的代理•支持Oracle和非Oracle数据库,并且与应用程序无关内联阻止和监视HA模式入站SQL流量带外监视管理服务器策略分析器应用程序OracleDatabaseFirewall架构©2011OracleCorporation13•抵御攻击的第一道防线•高度精确•灵活实施策略•可伸缩的架构•针对Oracle和非Oracle数据库的透明部署•经济高效的合规性策略内置报告警报定制报告应用程序阻止记录允许警报替代OracleDatabaseFirewall总结©2011OracleCorporation14使用OracleDatabaseFirewall保护应用程序数据免遭SQL注入攻击演示在此处插入图片©2011OracleCorporation16©2011OracleCorporation17©2011OracleCorporation18©2011OracleCorporation19©2011OracleCorporation20©2011OracleCorporation21©2011OracleCorporation22©2011OracleCorporation23©2011OracleCorporation24©2011OracleCorporation25©2011OracleCorporation26©2011OracleCorporation27©2011OracleCorporation28•DatabaseVault•LabelSecurity•IdentityManagement•AdvancedSecurity•SecureBackup•DataMaskingOracle数据库安全性解决方案全面纵深防御总结•AuditVault•TotalRecall•ConfigurationManagement加密与屏蔽访问控制审计•DatabaseFirewall监视与阻止•全面—一个供应商即可满足您的所有需求•透明—无需对现有应用程序或数据库进行更改•易于部署—点击式界面在几小时内就可以实现价值•经济高效—集成的解决方案降低了风险和TCO•成熟—全球第一的数据库和30多年的安全创新!©2011OracleCorporation29更多信息oracle.com/database/securityoracle.com/goto/database/firewallsearch.oracle.com或databasesecurity©2011OracleCorporation30©2011OracleCorporation31硬件和软件,集成设计、卓越性能©2011OracleCorporation32美国东海岸某著名银行主动的数据库防火墙业务挑战•保护业务关键数据库,防止未授权的访问、数据丢失和PII暴露•监视并保护分布在7个国际数据中心的600多个数据库。•对现有数据库性能影响最小解决方案•使用OracleDatabaseFirewall实时保护数据库,对每天数十亿事务进行监视•防止未授权的数据访问和恶意行为业务成果•顺利通过内部与外部审计•证明了对数据访问和数据库系统的主动控制能力•使所有业务的安全性、警报和报告实现了标准化©2011OracleCorporation33美国某著名投资银行对数据更改进行审计业务挑战•监视60多个数据库•跟踪对客户数据的每个更改•对存储过程或用户角色及其权限的未授权更改发出警报•将报告自动分发给内部审计人员解决方案•在异构环境中部署DatabaseFirewall,监视并报告对客户数据的每个更改•将监视过程及用户角色更改的职责从现有的DBA团队职责中完全分离出来业务成果•顺利通过日常审计•在业务开始前将可以签收的审计数据自动用电子邮件发送出去©2011OracleCorporation34欧洲某重要国家政府保护政府数据和PII业务挑战•除非使用认证应用程序,否则禁止访问高度敏感的公民数据•通过白名单强制严格的应用程序行为•全年24x7地监视和审计每个事务解决方案•使用六对完全冗余的DatabaseFirewall来维护完整的数据库安全边界•通过关键高可用架构满足严格的服务级别要求业务成果•完全防止了未授权的访问以及对应用程序代码的恶意更改攻击•提供的防火墙边界持续保护高度敏感的公民数据•满足了针对PII数据存储的政府标准©2011OracleCorporation35