数据库的高级安全Advanced Security.pptVIP

Oracle 数据库 透明数据加密 谢伟 william.xie@ 高级咨询顾问 大中华区渠道及联盟部 保护数据隐私是法律的要求违反者将付出代价 安全侵犯通知法律（40 个州法律） 研究表明 239美元/记录，每起事故多达 35,000,000 美元 最近延伸适用到“医疗信息”和“健康保险信息”(CA AB 1298) 支付卡行业数据安全标准 (PCI DSS) 违规罚金 25,000 美元/月 如果 Visa 未收到事故通知，则 500,000 美元/事故 + 100,000 美元罚金 欧盟数据指令（27 个国家/地区法律） 西班牙：600,000 欧元罚金/事故 德国：250,000 欧元罚金/事故 法国：初犯罚金 150,000 欧元 ＋ 5 年牢狱 英国：罚金无限制 ＋ 刑事处罚 没有把握时就加密加密被视为有效的防御措施 安全侵犯通知法律将加密视为防范数据侵犯的措施 实际上，现在加密是满足所有数据隐私和侵犯通知法律合规性的比较实际的解决方案 加密是法庭应诉和应付审计时的强力抗辩 基于众所周知、久经考验的数学算法 全球政府都使用加密来保护绝密数据 客户期望采取加密措施 FTC 指控 ValueClick 发布的在线隐私策略声明他们加密了客户信息而实际上并没有加密，ValueClick 为此赔偿 2,900,000 美元 数据隐私与法规遵从数据库安全挑战 加密敏感信息不同的解决方案 来自客户的声音 “我们的 PCI 审计人员说我们必须加密信用卡数据，无论该数据处于动态、静止还是存储状态。” “我们需要加密个人识别信息以满足欧盟数据隐私保护要求，但又不能更改我们的应用程序。” “我们希望在我们的数据库中存储医疗记录，但我们需要加密以遵守 CA AB 1298。” “我们不希望具有操作系统文件“读取”权限的用户能够访问我们的数据库。” “我们将备份磁带发送至厂外时需要确保它们即使在厂外设施受损的情况也安全无虞。” Oracle 数据库安全性隐私与合规性解决方案 Oracle 高级安全性特性概述 透明数据加密 (TDE) 表空间加密 包括 SecureFiles 的列加密 内置密钥管理 双层体系结构 职责分离 硬件安全模块 (HSM) 集成 加密备份 (RMAN) 和导出（数据泵） 网络加密 强身份验证 透明表空间加密最佳 Oracle 数据库 11g 解决方案 无需担忧哪些列需要加密 效率极高 高性能 节省空间 高度安全 磁盘上的所有内容都得到加密 行业标准加密算法 无需更改应用程序 数据库一键加密就是这么简单！ 列透明数据加密灵活地加密单个列 SecureFiles 透明加密Oracle 数据库 11g 新的非结构化数据类型 较本机文件系统更快、更安全地维护非结构化数据 透明加密、压缩和消除重复 统一的安全模型 统一管理结构化数据和非结构化数据 高性能和成本效益 与 LOB 数据类型类似，但速度更快且功能更多 保证数据库的安全性、可靠性和可扩展性 众多 LOB 接口，方便从 LOB 进行迁移 透明数据加密密钥管理内置的自动化密钥管理 双层体系结构 将主密钥存储在数据库外部的 PKCS #12 钱包中 出于性能考虑，将数据加密密钥存储在数据库中，但使用主密钥进行加密 内置的密钥管理 支持主密钥和列密钥的重新生成 可以在外部系统中生成和管理主密钥 职责分离 硬件安全模块 (HSM) 支持 特殊用途硬件 PKCS#11（公共密钥加密标准）API 满足 FIPS 和 Common Criteria 标准 认证合作伙伴：nCipher、RSA、Safenet 透明数据加密密钥管理体系结构 加密的数据库导出数据泵的透明数据加密 数据泵用于大量导出/导入 使用 ENCRYPTION 参数加密导出 使用钱包或口令进行加密 Oracle 数据库安全性隐私与合规性解决方案 Oracle 安全备份 集成的加密磁带备份管理 针对整个 Oracle 环境的安全数据保护 针对域、主机、备份或磁带的基于策略的加密 针对磁带备份的自动化加密密钥管理 由授权用户进行的透明恢复解密 Oracle 数据库安全性隐私与合规性解决方案 更多信息 安全产品概览 Oracle Secure Files较本机文件系统更快、更安全 加密选项 加密列 添加一个加密的表空间 加密的表空间 在 SSN 列加密之前 在 SSN 列加密之后 Oracle Secure Backup offers a very cost-effective centralized encrypted tape backup management solution for protecting the