文档介绍：<在此处插入图片>
Oracle Database Vault:针对安全性与合规性的数据
库控制
Noel Yuhanna
Forrester 研究分析师
“Database Vault 特性将有很大的需求,特别对于那些
包含隐私数据的数据库。Oracle 在推出新的数据库访问
限制特性方面处于领先地位。Microsoft、IBM 和
Sybase 都不具备这样的特性。”
© 2008 Oracle Corporation 2
数据库应用程序受到攻击
应用程序通常是最薄弱的环节
•内置安全性很少,需要 DBA 权限
•易受到众多不同攻击
• SQL 注入、缓冲区溢出等
•内部人员绕过应用程序在数据库级访问未授权
数据
•网络钓鱼和恶意软件意味着即使是企业证书也
不能无条件信任
•应用数据库整合意味着打破一个应用程序,获
取进入内部的钥匙
© 2008 Oracle Corporation 3
详细审查数据库应用程序
合规性要求保护整个应用程序
•数据隐私法规越来越严格
• 90% 的公司没有满足法规要求
•违反信息披露法律的成本可达 239 美元/记录
•“深入控制”
•审计人员(和律师)寻找防范控制措施以确保
数据隐私受到保护
• PCI DSS、SOX、GLBA、HIPAA 等等
•职责分离
•最低权限
© 2008 Oracle Corporation 4
数据隐私与法规遵从
数据库安全挑战
保护对应用程序数据
的访问
数据库监视保护静止数据
去除信息中的可识
别成分以便共享数据分类
© 2008 Oracle Corporation 5
来自客户的声音
保护对应用程序数据的访问
•“法律规定我们的 DBA 不应具有查看财务记录的权
利,但 DBA 的本职工作却需要数据库访问权。我们该
怎么办?”
•“我们的 SOX 审计者要求我们将帐户创建与帐户权限
授予相分离。”
•“每个用户都应当无法绕过我们的应用程序直接访问
数据库中的信息。”
•“我们如何不让财务部门在生产时间内生成报表?”
•“如果高级 DBA 不在场,则新 DBA 应当无法进行数
据库更改。”
© 2008 Oracle Corporation 6
Oracle Database Vault
主要特性
保护域
职责分离多因素
授权
域违规基于规则的授权
报告
无需更改应用程序!
© 2008 Oracle Corporation 7
特权用户控制
使用保护域
•防止特权用户访问其无权访问 SELECT * FROM
的应用程序数据
DBA
•安全地将应用程序数据整合至
一个数据库中
HR 域
•实施预防控制措施 HR
HR 应用
•职责分离程序
DBA
•最低权限
FIN 域
FIN
FIN 应用
程序 DBA
© 2008 Oracle Corporation 8
实时访问控制
基于规则的多因素授权
•根据考虑了多因素的规则授
予应用程序数据的访问权限 CONNECT …
防止应用程序绕行和即席访
• HR
问
HR 应用程序用
•保护应用程序数据免受无意户
伤害
CREATE …
•预防不受监视的更改
FIN
•需要对 DBA 实行强身份验证
FIN 应用程序
DBA
© 2008 Oracle Corporation 9
内置 Database Vault 因素
可通过 API 扩展
内置因素
用户网络数据库运行时
名称计算机名称数据库 IP 地语言
址
身份验证客户端 IP 数据库 SID 日期
类型地址
会话用户网络协议数据库实例时间
代理企业身份网络 IP 地数据库主机星期
址名
© 2008 Oracle Corporation 10