oracle数据安全和数据库防火墙功能介绍.pptx

1、Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Click to edit Master title style and Second Line Like This,随着数据库规模变大，,数据库成为企业信息资产,的同时，也被越来越多的不良之徒所觊觎,数据,被违规访问、删、改、复制和缺乏审计的,安全问题,，已经,成为,IT,系统最大的威胁,根据,IOUG,和,Verizon Business,的最新市场调查，,2010,年全球造成严重后果的,IT,安全事件中,92%,是针对数据库

2、的侵入,，,89%,的黑客采用了,SQL,注入技术，,84%,的外部攻击利用了管理不善的数据库用户权限,数据,库,安全造成的,IT,系统损失是,100%,的,什么,IT,安全的最大威胁？,数据库安全是关键,随着信息化建设的不断发展，,IT,安全建设的重点,，,已经,从传统的网络安全、桌面安全、系统安全、应用安全和身份认证管理安全等领域，转向了如何,加强,IT,系统核心的数据库安全防范,那么，如何才能更,有效地保护,数据库不受侵害,？如何解决非法访问的监控与审计？如何,轻松,达到信息安全等级保护条例的信息安全合规要求？怎样才能满足中国,SOX,企业内部控制基本规范的规定？,如何,做到,对现有生产

3、系统不产生任何性能影响,呢？,数据侵犯的影响,*,应答可以是多重选择,损坏企业形象与口碑,丢失信用,法律诉讼成本,营业收入损失,罚金或赔偿,客户流失,从行业中被淘汰,没影响,您所在的企业会因为数据侵犯造成怎样的影响？,安全最大化体系架构的数据安全成熟度模型,Maximum,Data Security,Architecture,说明：,0.无计划(,no plan),1.初始态(,initial),2.待完善,(marginal),3.稳定态(,stable),4.经验态(,best practice),5.完美态,(transformational),什么是数据库防火墙？,防火墙：网络层次之间

4、设置的、用于加强访问控制的软硬件保护,设施,数据库防火墙：应用和数据库之间设置的、,用于加强数据库访问控制的重要保护设施,以往所说的防火墙，通常是指网络防火墙，用于,TCP/IP,层网络监测。而数据库防火墙，是专门监测和审计对数据库的,SQL,访问,应用服务器,数据库服务器,数据库,防火墙,盘阵,为何需要数据库防火墙,?,数据库被恶意访问、攻击、甚至遭到数据偷窃,不了解数据使用者对数据库的访问细节，,“,谁（,Who,）用什么方法（,What,）在什么地方（,Where,），什么时间（,When,），对数据库做什么事情,(How),。”的问题,当数据库正在遭受恶意访问或攻击时，不能及时地追踪并

5、堵截这些恶意操作,数据库遭受恶意攻击、访问后，不能追踪到足够的证据,来自内部的威胁，特权用户修改配置、改变或偷窃数据,应用,数据库,数据库,防火墙,数据库防火墙的功能,支持不同的监视模型,支持数据库登入登出监视,支持数据库访问,监视,安全策略设置,存储过程审计,用户角色,审计,支持不同的监视模型,数据库活动监视和拦截模式（DPE）对数据库活动进行监视，并对可能的威胁进行实时拦截,数据库活动监视模式（DAM）仅对数据库活动进行监视，并对可能的威胁提出警报,支持数据库登入登出监视,支持对数据库登入进行监视，并纪录数据库登入成功或失败的状态。,如果登入失败次数超过定义值，能够发出警告或对登入行为进行

6、拦截。,容许被拦截的用户在指定的时间间隔后，再次进行登入。,支持对数据库登出,进行,监视，并纪录数据库登出,成功或失败的状态。,纪录数据库用户名、IP地址、操作系统用户名、,和用户,。,支持数据库访问监视,能够对有威胁的SQL,语句提出报警或直接进行拦截,。,能够拦截未见的攻击（,ZERO-DAY,攻击,),。,能够拦截,BLIND SQL INJECTION,攻击,。,不需要修改应用,。,对数据库性能没有影响,。,支持基于白名单、,黑名单和例外名单的监视或拦截策略,。,允许,用,时间、网络、或应用等作为白名单或黑名单的判断,条件,。,允许来自白名单的任何用户或应用进行数据库,操作,。,支持数

7、据库访问监视,阻止来自黑名单的用户或应用进行数据库操作,。,允许用例外名单策略来覆盖白名单或黑名单策略。,能够分析,SQL,语句，没有长度,限制,。,能够对有威胁的SQL语句进行灵活设置，包括阻止、替换、允许并报警、,仅纪录,。,支持有目的的纪录（Logging),，如纪录某一类别的,SQL,语句，或纪录不在集群中的,SQL,语句，以减少纪录的,大小,。,SQL语句中的敏感和隐私信息在被记录下来之前，,能够实时地被屏蔽或改写,。,支持数据库访问监视,能够对来自于数据库服务器的本地连接（如批次工作）,进行监视,。,能够纪录最后来自于数据库服务器的本地连接的语句,。,能够纪录所有来自于数据库服务器

8、的本地连接的重要语句，如ALTER TABLE和DROP,TABLE,。,能够监视来自于网络的数据库访问，,并纪录数据库语句,。,安全策略设置,能够自动学习,SQL,语句，并将纪录的,SQL,语句归纳为不同的,集群,。,能够对集群定义不同的威胁,程度,。,能够根具不同属性对不同集群进行筛选，包括：,IP,地址、表、列、用户、客户端应用、,OS,用户,。,能够定义默认的安全策略，安全策略包括响应方法（通过、报警、阻止），纪录程度（不纪录、简单、永远），威胁程度（非常高、高、中、低、非常低），替换,规则,。,能够根据不同属性定义例外策略，如：,IP,地址、数据库用户、客户端应用、,OS,用户,。,

9、能够根据额外属性定义特别策略，如：,SQL,语句的种类、指定的,表,。,存储过程审计,能够,定时的（如每小时、每天、每星期、每月）对数据库存储过程的增加和改动进行,审计,。,存储过程审计须,支持,Oracle,数据库（,9i/10g/11g,）、,Microsoft SQL Server,（,2000,2005,2008,）、,Sybase ASE,，,Sybase SQLAnyware,、和,IBM,DB2,。,存储过程审计报告内容包括：名称,、,内容,、,威胁级别、存储过程类型（,DML,DDL,DCL,SELECT,等等）、,最后更改人和更改时间,。,用户角色审计,能够,定时的（如每小时、每天、每星期、每月）对数据库用户角色的增加和改动进行,审计,。,用户角色审计须,支持,Oracle,数据库（,9i/10g/11g,）、,Microsoft SQL Server,（,2000,2005,2008,）、,Sybase ASE,，,Sybase SQLAnyware,、和,IBM,DB2,。,用户角色审计报告内容包括：,用户名、用户角色和权限、,最后更改人和更改时间,。,