oracle 数据安全与数据库防火墙功能介绍.pptxVIP

数据安全和数据库防火墙功能介绍 随着数据库规模变大，数据库成为企业信息资产的同时，也被越来越多的不良之徒所觊觎 数据被违规访问、删、改、复制和缺乏审计的安全问题，已经成为IT系统最大的威胁 根据IOUG 和Verizon Business的最新市场调查，2010年全球造成严重后果的IT安全事件中92%是针对数据库的侵入，89%的黑客采用了SQL注入技术，84%的外部攻击利用了管理不善的数据库用户权限 数据库安全造成的IT系统损失是100%的 什么IT安全的最大威胁？ 数据库安全是关键 随着信息化建设的不断发展，IT安全建设的重点，已经从传统的网络安全、桌面安全、系统安全、应用安全和身份认证管理安全等领域，转向了如何加强IT系统核心的数据库安全防范 那么，如何才能更有效地保护数据库不受侵害？如何解决非法访问的监控与审计？如何轻松达到《信息安全等级保护条例》的信息安全合规要求？怎样才能满足中国SOX《企业内部控制基本规范》的规定？如何做到对现有生产系统不产生任何性能影响呢？ 数据侵犯的影响 * 应答可以是多重选择 损坏企业形象与口碑 丢失信用 法律诉讼成本 营业收入损失 罚金或赔偿 客户流失 从行业中被淘汰 没影响 您所在的企业会因为数据侵犯造成怎样的影响？ 安全最大化体系架构的数据安全成熟度模型Maximum Data Security Architecture 说明： 0. 无计划 (no plan) 1. 初始态 (initial) 2. 待完善 (marginal) 3. 稳定态 (stable) 4. 经验态 (best practice) 5. 完美态 (transformational) 什么是数据库防火墙？ 防火墙：网络层次之间设置的、用于加强访问控制的软硬件保护设施 数据库防火墙：应用和数据库之间设置的、用于加强数据库访问控制的重要保护设施 以往所说的防火墙，通常是指网络防火墙，用于TCP/IP层网络监测。而数据库防火墙，是专门监测和审计对数据库的SQL访问 应用服务器 数据库服务器 数据库防火墙 盘阵 为何需要数据库防火墙? 数据库被恶意访问、攻击、甚至遭到数据偷窃 不了解数据使用者对数据库的访问细节，“谁（Who）用什么方法（What）在什么地方 （Where），什么时间（When），对数据库做什么事情(How)。”的问题 当数据库正在遭受恶意访问或攻击时，不能及时地追踪并堵截这些恶意操作 数据库遭受恶意攻击、访问后，不能追踪到足够的证据 来自内部的威胁，特权用户修改配置、改变或偷窃数据 应用 数据库 数据库防火墙 数据库防火墙的功能 支持不同的监视模型 支持数据库登入／登出监视 支持数据库访问监视 安全策略设置 存储过程审计 用户角色审计 支持不同的监视模型 数据库活动监视和拦截模式（DPE）－－对数据库活动进行监视，并对可能的威胁进行实时拦截 数据库活动监视模式（DAM）－－仅对数据库活动进行监视，并对可能的威胁提出警报 支持数据库登入／登出监视 支持对数据库登入进行监视，并纪录数据库登入成功或失败的状态。 如果登入失败次数超过定义值，能够发出警告或对登入行为进行拦截。 容许被拦截的用户在指定的时间间隔后，再次进行登入。 支持对数据库登出进行监视，并纪录数据库登出成功或失败的状态。 纪录数据库用户名、IP地址、操作系统用户名、和用户。 支持数据库访问监视 能够对有威胁的SQL语句提出报警或直接进行拦截。 能够拦截未见的攻击（ZERO-DAY攻击)。 能够拦截BLIND SQL INJECTION 攻击。 不需要修改应用。 对数据库性能没有影响。 支持基于白名单、黑名单和例外名单的监视或拦截策略。 允许用时间、网络、或应用等作为白名单或黑名单的判断条件。 允许来自白名单的任何用户或应用进行数据库操作。 支持数据库访问监视 阻止来自黑名单的用户或应用进行数据库操作。 允许用例外名单策略来覆盖白名单或黑名单策略。 能够分析SQL语句，没有长度限制。 能够对有威胁的SQL语句进行灵活设置，包括阻止、替换、允许并报警、仅纪录。 支持有目的的纪录（Logging)，如纪录某一类别的SQL语句，或纪录不在集群中的SQL语句，以减少纪录的大小。 SQL语句中的敏感和隐私信息在被记录下来之前，能够实时地被屏蔽或改写。 支持数据库访问监视 能够对来自于数据库服务器的本地连接（如批次工作）进行监视。 能够纪录最后来自于数据库服务器的本地连接的语句。 能够纪录所有来自于数据库服务器的本地连接的重要语句，如ALTER TABLE和DROP TABLE。 能够监视来自于网络的数据库访问，并纪录数据库语句。 安全策略设置 能够自动学习SQL语句，并将纪录的SQL语句归纳为不同的集群。 能够对