数据中心安全加固与全方位管理 - oracle ·...

Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |

数据中心安全加固与全方位管理

贾晓梅资深售前咨询顾问

Oracle Confidential – Internal/Restricted/Highly Restricted


Agenda

1

2

3

4

Oracle Confidential – Internal

数据安全的挑战

数据安全的建设策略

数据安全解决方案

参考案例和方案优势


信息安全的重点在哪里?


2001

2007

2012

2013

2/3的敏感数据

存储于数据库！

Source: "Effective Data Leak Prevention Programs:

Start by Protecting Data at the Source — Your

Databases", IDC, August 2011

Source: “Verizon Business 2012 Data Breach

Investigations Report”, Verizon, June 2012

98% 的安全事件

来自于数据库

数据

规模越来越大

信息化越来越深入

2006


为什么数据库会成为易受攻击的目标? 80% 的IT项目建设没有考虑数据库安全


网络安全

安全信息和

事件管理

桌面安全

Web 应用防火墙

邮件安全

身份验证和用户安全

数据库安全

“企业还没有意识到他们

所承担的某些风险。尤其

是那些利用合法的访问，

对数据库越来越多的攻

击。”

——Forrester Research公司


网络防火墙只能解决外部问题，无法解决内部数据安全隐患

应用安全

（应用身份认证等）

客户端/ Web应用攻击

（木马，饱和攻击等）

网络安全（窃听等）

导出文档备份数据数据文档

数据缺乏安全防范

目标：

•敏感数据“看不见”

•核心数据“拿不走”

•运维操作“能审计”

多种目的驱使的攻击涉及多个层面, 但致命的却是攻击数据

网络防火墙不是万能的！


Agenda

1

2

3

4







数据安全建设的整体策略

评估体系建立数据安全评估体系

安全层次建立多层次多阶段的立体防护

完善数据库运维管理的制度体系制度体系


数据防护评估体系

说明： 0. 无计划 (no plan) 1. 初始态 (initial) 2. 待完善 (marginal) 3. 稳定态 (stable) 4. 经验态 (best practice) 5. 完美态 (transformational)

0

1

2

3

4

5 数据库防火墙安全

数据库加固安全

数据库审计安全

身份管理安全

数据库配置安全

数据库恢复安全

数据库备份安全

数据脱敏安全

数据通讯安全

数据标签安全

目标现状

•泄漏敏感数据的风险

•被违规篡改数据的风险

•责任不清的风险

风险点:


安全评估结果

分类满分实际得分

系统环境设置的安全性 610 255

管理用户账户 115 50

数据访问及权限控制 410 120

数据隐私保护 170 90

监控和审核 30 15


数据安全多阶段立体防护

加密屏蔽职权分离分级

事前防范

事后审计

事中告警

事中拦截

① 存储层：直接盗走数据文件或备份文件，异地

还原后得到数据解决方案：数据加密、遮蔽等 ② 数据访问层：获取DBA等高权限用户权限进行

数据窃取，且消除访问痕迹解决方案：职权分离、划分业务安全域、审计等

③ 应用访问层：获取应用中的数据库用户口令，绕开业务系统直接访问所有数据

解决方案：对非授权访问、 SQL注入等的拦截与告警、审计等

白名单黑名单访问规则实时告警

敏感数据非授权IP 非办公时间 SQL注入

数据更改配置更改行为追踪权限审计


完善数据库运维管理的制度体系规范对应的数据管理职责划分

数据库审计员

数据库管理员

数据库安全员

•负责数据库管理和运行维护

•负责操作行为审计、跟踪和分析 •日志分析、报告和取证

•制定安全策略 •日常安全巡检 •日志分析和权限管理

角色分配，明确分工，相互制衡


Agenda





1

2

3

4



Oracle 数据安全解决方案-事前防范

事前防范

事后审计

事中告警

事中拦截

透明数据加密（Advanced Security）

安全备份（Secure Backup）

数据库防护罩（Data Masking ）

标签安全（Label Security）

数据加密，通讯加密，备份加密，数据屏蔽，职权分离，数据分级


应用场景分析

某大型连锁酒店集团简介会员人数超过1650万，酒店总数接近600家，在美国纽约证券交易所上市，是国内经济型连锁酒店集团的龙头企业之一安全事件官方网站被攻破，会员资料数据库被刷走，有人给出了会员数据库文件准确的大小“562M左右” 数据库安全威胁分析暴露数据库中普遍存在的安全威胁，即数据的明文存储。数据库虽然以二进制方式存储数据，但本质上数据是明文形态，使用工具可以对数据库文件进行反向解析和还原安全防护建议采用加密技术对核心敏感数据进行加密存储，使数据文件、备份文件中的敏感数据都是密文形态；即使数据文件或备份文件被盗，也可以保证核心敏感数据的安全性，防止泄露


• 对表空间或列加密

• 防止直接访问静态数据

• 不需要更改应用，完全透明

• 内建“双层”密钥管理

• 接近“零”额外负载（对SPARC和INTEL处理器）

• 集成其他Oracle技术，如Exadata、压缩、ASM、GoldenGate、DataPump、Log File

Oracle Advanced Security

透明数据加密 Preventive Control for Oracle Databases

磁盘

备份

导出

Applications


• 内建和定制化的遮蔽方式库

• 根据用户名、IP地址、应用、和其他因子，实时对数据进行遮蔽

• 全部、部分遮蔽

• 容易使用的策略定义界面

• 不影响实际操作

Oracle Advanced Security

实时数据遮蔽 Preventive Control for Oracle Database

Credit Card Numbers 4451-2172-9841-4368 5106-8395-2095-5938 7830-0032-0294-1827

遮蔽策略

xxxx-xxxx-xxxx-4368 4451-2172-9841-4368

Billing Department Call Center Application


• 遮蔽敏感的业务数据

• 检测／保留参照完整性

• 提供内建的和可扩展的脱敏方式库

• 集成Subsetting 和 Real Application Testing

• 支持非Oracle数据库的数据脱敏

Oracle Data Masking

非生产环境数据屏蔽-数据脱敏

LAST_NAME SSN SALARY

AGUILAR 203-33-3234 40,000

BENSON 323-22-2943 60,000

Non-production

Test

Production

LAST_NAME SSN SALARY

ANSKEKSL 323-23-1111 60,000

BKJHHEIEDK 252-34-1345 40,000 Dev


Oracle 数据安全解决方案-事中告警

事前防范

事后审计

事中告警

事中拦截

数据库防火墙（ Database Firewall）

数据库加固（Database Vault）

根据黑名单、白名单策略，以及多因子访问控制规则的设置，发现非法访问，实现实时告警


Oracle 数据安全解决方案-事中拦截

事前防范

事后审计

事中告警

事中拦截

数据库防火墙（ Database Firewall）

数据库加固（Database Vault）

敏感数据操作拦截，非授权IP和非办公时间操作拦截，危害操作拦截，可疑操作拦截，SQL注入拦截


应用场景分析

安全事件某大型电信集团信息系统开发商DBA多次通过互联网，非法侵入某省电信公司充值中心，采取将数据库中已使用充值卡数据修改后重新写入未充值数据库的手段，对已使用的充值卡进行非法充值后予以销售，非法获利人民币377.5万元。数据安全威胁分析暴露出了数据库固有的一大安全威胁，即超级用户的权限漏洞；数据库中的超级用户具有至高的权限，可以执行任何数据库操作，还存在DBA用户本地执行权限的漏洞，用DBA身份本地登录时不需要任何口令校验。没有及时的数据访问审计手段。

安全防护建议引入三权分立机制，通过安全管理员控制对敏感数据的访问权限，这样即使是DBA用户，在没有被授予访问权限的情况下照样无法访问敏感数据。对于数据库的网络以及本地访问行为进行安全监控，对可能的安全威胁及时告警或者拦截。


审计和数据库防火墙

应用

用户

审计服务器

防火墙事件

数据库防火墙

审计记录操作系统档案系统目录

定制化审计

报告

! 告警

策略

审计员

安全管理员


• 监控和记录数据库网络活动

• 侦测和拦截非授权的数据库活动，包括SQL注入

• 先进的SQL语法分析

• 灵活的白名单／黑名单策略

• 语句级的策略定制

• 容易安装、部署简单

Oracle AVDF – 数据库防火墙

数据库活动监控和防火墙对Oracle和非Oracle数据库进行监控

拦截

记录

通过

告警

替代应用

白名单黑名单

SQL 分析安全策略

用户


• 拦截利用特权用户的攻击

• 建立“安全域”保护Schemas或对象

• 限制DBA访问“安全域”里的数据

• 在打补丁时限制访问“安全域”里的数据

• 支持多因子访问控制，如基于时间、IP地址、应用程序名和认证方法等

• 强制执行权限分离，和最小权限

Oracle Database Vault

对特权用户的控制

Procurement

HR

Finance

select * from finance.customers

Application DBA

Applications

Security DBA

DBA

Unauthorized IP, Unauthorized Time

对Oracle数据库的预防控制


Oracle 数据安全解决方案

事前防范

事后审计

事中告警

事中拦截

数据库审计（ Audit Vault ）

事后审计：数据更改审计，数据库配置更改审计，追踪审计，机器行为追踪审计，权限审计

回答“谁、在什么时候、从哪里、用什么方法、做了什么”的问题

数据库安全配置管理（Lifecycle Management）


应用场景分析

安全事件 2011年5月，黑客入侵Korea会展中心数据库，在网上爆出其中大量的客户资料数据，并展示数据库操做过程：首先通过端口扫描技术，检测出该服务器上开放着1521端口，探明该主机便是数据库服务器，接着利用扫描程序，检测到缺省系统用户dbsnmp并未被锁定，且保留着数据库安装时的缺省密码。之后利用权限提升的漏洞，将dbsnmp用户的权限提升至DBA，开始了数据库访问之旅。数据安全威胁分析需对数据库配置管理做有效地安全规范，包括缺省端口号、缺省用户名，访问目录权限，补丁版本等。安全防护建议管理数据库的配置和变更信息，及时修改和弥补安全漏洞。对于数据库的网络以及本地访问行为进行安全监控和审计，对可能的安全威胁及时告警或者拦截。


• 发现和分类数据库

• 提供数据库安全最佳实践和400+以上的安全标准

• 扫描数据库，评估数据库安全

• 侦测非授权的变更，对比变更

• 补丁管理和实施

• 数据库生成和复制

Oracle DB Lifecycle Mgmt

定期评估 Administrative Control for Oracle Databases

Discover

Scan & Monitor

Patch


Agenda

1

2

3

4




数据安全的解决方案

方案优势和参考案例


Oracle 数据安全解决方案特点及优势

数据库加固

数据库防护罩

安全配置管理

透明数据加密

标签安全

数据库审计

安全备份

• 数据安全整体架构和评估体系

• 端到端解决方案

• Oracle 原生支持

• 紧贴数据库，无法绕行攻击

• 随数据库自动升级

数据库防火墙

方案特点

• 无需开发

• 配置即可

• 两到三周

方案优势

• Oracle原厂支持（ACS）

• 合作伙伴支持

• 东软，上海万达 …

• 山大地纬，易联众，旭方道信 ….

方案落地


谁在使用Oracle数据安全解决方案

• 北京现代汽车

• 住建部

• 澳新银行中国有限公司

• 星展银行中国有限公司

• 东风汽车

• 铁道部

• 广东移动

• 南京海泰医疗

• 北京大学工程中心

• 上海市教育考试院

• 友邦保险上海分公司

• 清华控股

• …………

• 海尔集团

• 南方电网总部

• 国家知识产权局

• 沈阳社保

• 河北地税

• 华为

• 中兴通讯

• 建设银行

• 香港证券交易所

• 浙江省公安厅

• 公安部交管局

• 重庆市公安局

• 新疆公安厅

海外客户 – 超过5000家中国客户 – 超100家


• 保护核心数据.

• 自动实现合规性要求

• 自动实现权责分立

挑战

• 防止核心财务数据遭到IT管理员的非授权访

问

• 满足敏感数据相关的合规性要求

• 实现基于区域的数据访问控制

• 保护生产数据库免于常见的风险操作

结果

解决方案

• 数据库防护罩Oracle Database Vault

• DBV确保了权责分立

• DBV 通过命令规则集实现各种访问控制

全世界最大的金融控股公司之一


• 应用各类安全策略

• 满足各类合规性要求

• 防止SQL注入

挑战

• 超过2000多个数据库

• 异构数据库众多，版本庞杂

• 需满足合规性要求

结果

解决方案

• 数据库防火墙Oracle Database Firewall

• 旁路模式，完整审计

• 提供各类合规性报告

美洲银行

数据库个数 2 Cores 4 Cores 8 Cores 16 Cores 32 Cores Total Cores

Oracle 700 170 250 120 100 60 5820

SQL Server 850 230 350 190 40 40 5300

Sybase 425 140 190 55 20 20 2440

DB2 LUW 25 0 0 25 0 0 200

Total 2000 13,760


某电网企业

•有效地建立了数据库的审计和企业合规机制 •消除了内部用户盗取敏感数据的风险 •集中统一管理审计信息，有效提供审计资料 •自动对数据库的访问进行扫描，及时发现潜在的安全隐患 •数据库防火墙和Audit Vault的强大报表功能极大地减轻了DBA的工作负担

BUSINESS CHALLENGE

•HR数据库的访问无法控制维护用户的权限 •缺乏系统安全设置，对于数据库的管理有管理漏洞

•对于系统开发人员的系统测试没有任何监控手段，有敏感数据泄露的危险

•系统DBA工作繁重，没有精力设置系统内部监控报表来堵塞安全漏洞

•集团公司领导对于安全管理的日益重视，地市IT部门的压力很大

RESULTS

ORACLE SOLUTION

•Oracle 数据库防火墙可以扫描数据库的网络访问，及时发现安全漏洞，通过被动侦听网络层中的SQL脚本，可以有效地对于数据库的访问进行全面监控

•Oracle Audit Vault 集中管理审计数据，有效制订审计规则，并且可以有效地监控本地数据库的访问


某大型电信公司

•通过Database Vault的权限设置，使得超级用户的数据库访问权限得以限制

•通过Audit Vault的访问记录和阀值控制，对敏感数据的访问和下载进行完善的管理

•关键业务数据的非法修改，通过访问权限的控制，包括何时何地谁能通过什么样的工具和手段访问和修

改什么样的数据，得到了根本的改善

•业务系统的数据库访问进行的记录和后续审计，防范了应用系统的数据泄露风险。

BUSINESS CHALLENGE

•电信行业的多次安全案件，给数据和数据库安

全保护的手段提出了挑战

•超级用户的数据库访问权限无法限制

•敏感数据的访问和下载需要控制

•关键业务数据的非法修改需要禁止

•业务系统的数据库访问也要进行记录和后续审

计

RESULTS

ORACLE SOLUTION

•Oracle Database Vault 实现职责分离，控制访问权限 •Oracle Audit Vault 集中管理审计数据，有效制订审计规则,并有效地监控本地数据库的访问


某地方税务局

•DBV提供了合适的解决方案，在不需修改应用的情况下加强了内部控制

•DBV对地税数据加强了保护，确保了职责分离

•DBV减少了人工错误导致数据损失的可能

•Audit Vault& DBFW提供了审计和报警的能力，有效地实现了对违规行为的监控

•透明加密解决了敏感数据的传输和安全存放问题

BUSINESS CHALLENGE

•个人和企业的税务信息是机密的，要防止高权限

的IT人员访问这些数据

•无法防止关键的数据被DBA用户修改

•税收征管系统的关键表由于人工错误被删除

•缺少审计和检测手段

•敏感数据明码存放

RESULTS

ORACLE SOLUTION

•Oracle Database Vault 实现职责分离，控制访问权限 •Advanced Security 实现数据存储及网络传输过程中的加密 •Oracle 数据库防火墙可以扫描数据库的网络访问，及时发现安全漏洞,通过被动侦听网络层中的SQL脚本，深圳局可以有效地对于数据库的访问进行全面监控

数据中心安全加固与全方位管理 - oracle ·...

Documents