oracle之 oracle database vault(数据库保险库)

  • 时间:
  • 浏览:0

·         安全应用角色:另有十个 安全应用角色是另有十个 特殊的Oracle数据库角色,它能只有基于Oracle database vault规则集的计算结果激活。Chapter 8, "Configuring Secure Application Roles for Oracle Database Vault"完整篇 讨论了安全应用角色。

在12c建库中 Database  Vault 与 Label Security 选项,然后这么留意过,特意记录一下

拒绝服务,未经授权访问

转载:http://www.linuxidc.com/Linux/2011-12/48689p2.htm

未经授权访问

Oracle Database Vault提供你你什儿 内置的因素,你要将其与规则结合来控制数据库访问、域保护应用、以及数据库内内外部的命令。

·         Database Vault应对哪些内内外部威胁

你要将规则以及因素和几十个 数据库内内外部命令关联起来,提供更强的数据库内内外部控制。你要定制哪些手段来满足你的操作策略。例如,你要定义另有十个 规则来限制特定IP地址特定主机名称运行ALTER SYSTEM搞笑的话。

除此以外,你都可不上能 只有将规则绑定到命令规则上,以此来多方面的限制活动,例如,按照如下妙招限制搞笑的话的执行:

未经授权访问

通过Oracle Database Vault,你要解决现在仍然是最困难的安全间题:保护数据免遭内内外部威胁,满足通常的合规要求,加强职责隔离。

修改数据,未经授权访问

未经授权访问

为了执行维护任务,能只有使用命令行工具Oracle Database Vault配置助手(DVCA).更多信息请参考Appendix C, "Postinstallation Oracle Database Vault Procedures".

·         Oracle Database Vault配置助手(DVCA)

·         管理特权账户访问应用数据: 你你什儿 请况下,Oracle Database Vault 解决DBA访问由FIN域保护的schema。尽管DBA是最强大和可信的用户,但DBA并非需用访问数据库中的应用数据。

Regulation

Chapter 4 到 Chapter 9解释了怎么才能 才能 通过Oracle database Vault管理员守护程序运行运行来配置访问策略,以及怎么才能 才能 将Oracle Database Vault与其它Oracle产品集成起来. Chapter 16, "Oracle Database Vault Reports" 解释了Oracle Database Vault报告.

未经授权修改数据

Oracle Database Vault提供了都都可不上能 和Oracle Label Security集成的访问控制能力。Oracle Label Security是和Oracle Enterprise Manager Database Control集成的,Oracle Enterprise Manager Database Control都都可不上能 让安全管理员定义应用到数据库对象的标签安全策略。Oracle Label Security同样提供了一组能只有供数据库应用守护程序运行运行开发者用来提供标签安全策略的PL/SQL API

你要配置Oracle Database Vault去管理独立的Oracle数据库实例的安全。你要安装Oracle Database Vault到另有十个 独立的Oracle数据库设备上、多个Oracle home下、以及Oracle RAC环境中。

·         只有本地访问, 即不允许远程访问

为了加强哪些组件的功能,Oracle Database vault提供了一系列的PL/SQL接口和包。"Oracle Database Vault PL/SQL Interfaces and Packages" 提供了另有十个 概括的介绍.

·         哪些是Oracle Database Vault?

通常请况下,你要 做的第一步是创建另有十个 包含你想保护的schema意味着着 数据库对象的域,怎么才能 你要就能只有通过创建规则、命令规则、因素、标识、规则集、安全应用角色来保护你的域。除此以外,你要运行报告工具来报告哪些组件监控和保护的活动。Chapter 3, "Getting Started with Oracle Database Vault"提供了另有十个 简单的指南,能只有使你熟悉Oracle Database Vault的功能,Chapter 16, "Oracle Database Vault Reports"提供了更多关于怎么才能 才能 运行报告来检查配置和其它Oracle Database Vault 完成的活动。

http://www.oracle.com/technology/deploy/security/database-security/database-vault/dbv_faq.html

·         应用数据访问的职责分离: 你你什儿 请况下,由Oracle Database Vault 创建的,FIN域拥有者,都都可不上能 访问FIN域的schema.

然而,对于像Sarbanes-Oxley and HIPAA哪些法规来说,最大的挑战是守护程序运行运行上的,剩余的每种意味着着 需用技术投资。法律规章中另有十个 常见的安全需求是严厉的内内外部控制。Oracle Database Vault都都可不上能 帮助组织达到要求的程度随不同的法律规章而变化。通常请况下,Oracle Database Vault域、职责分离、命令集、因素总体上促使减少全世界的法律规章规定的安全威胁。

·         Oracle Database Vault 监控和报告工具

Health Insurance Portability and Accountability Act (HIPAA) 164.506

·         Oracle Database Vault PL/SQL接口和开发包

多年来,蠕虫、病毒,和内外部入侵者(黑客)被认为是计算机系统最大的威胁。不幸的是,突然被忽视的是可信用户以及特权用户意味着着 盗窃意味着着 修改数据。

参考 "Integrating Oracle Database Vault with Oracle Label Security" 获取更多关于Oracle Database Vault和Oracle Label Security怎么才能 才能 配合的信息. 参考 Oracle Label Security Administrator's Guide 获取更多关于Oracle Policy Manager的信息.

法律法规如Sarbanes-Oxley Act, Health Insurance Portability and Accountability Act (HIPAA), International Convergence of Capital Measurement and Capital Standards: a Revised Framework (Basel II), Japan Privacy Law, Payment Card Industry Data Security Standard (PCI DSS), and the European Union Directive on Privacy and Electronic Communications都包含你你什儿 常见的主题,例如内内外部控制、职责分离,以及访问控制。

参考Chapter 14, "Using the Oracle Database Vault PL/SQL Interfaces" and Chapter 11, "Using the DVSYS.DBMS_MACADM Package"获取更多信息.

未经授权访问

·         规则集:规则集是另有十个 意味着着 多个规则的集合,你要将规则集和另有十个 域的授权、命令规则、因素指派、意味着着 安全应用角色关联起来。规则集基于其中的每个规则的计算值以及规则的计算妙招(所有为真意味着着 任意为真)。规则集中的规则是另有十个 结果为“true”或“false”的PL/SQL表达式。Chapter 5, "Configuring Rule Sets"完整篇 讨论了规则集。

Japan Privacy Law

数据库合并意味着着 什么都强大的用户账号驻留在单个数据库中。这意味着着 除了整个数据库的DBA,各个应用schema的拥有者也具有强大的特权。废除你你什儿 特权将反过来影响已有的应用。通过Oracle Database Vault域,你要通过可信路径、解决未经授权的用户使用特权查看数据另有十个 手段来加强对应用数据的访问。例如,能只有解决拥有SELECT ANY TABLE特权的DBA使用你你什儿 特权来查看应用数据。

·         谁都都可不上能 访问哪些信息?

本篇包含如下内容:

Sarbanes-Oxley Section 409

·         命令规则:命令规则是另有十个 特殊的规则,通过你你什儿 规则,你要控制用户怎么才能 才能 执行其他同学其他同学其他同学都都可不上能 执行的几乎所有的SQL搞笑的话,包括SELECT, ALTER SYSTEM, database definition language (DDL), 和data manipulation language (DML)搞笑的话.命令规则需用和规则集一齐决定某个搞笑的话算不算允许执行。Chapter 6, "Configuring Command Rules" 完整篇 讨论了规则集.

参考 Chapter 16, "Oracle Database Vault Reports" 获取更多关于你要生成的报告的信息. Chapter 15, "Monitoring Oracle Database Vault" 解释了怎么才能 才能 监控Oracle Database Vault.

·         Oracle Database Vault和Oracle Label Security PL/SQL APIs

Chapter 10, "Oracle Database Vault Objects" 完整篇 描述了这另有十个 schema.

·         Oracle Database Vault DVSYS和 DVF Schemas

你要根据Oracle Database Vault监控的不同的活动来生成报告,你要监控策略的改变、异常的安全尝试、数据库配置和特征的变化。

Figure 1-1 Oracle Database Vault 安全

12.1 中:

·         按照IP地址(例如,只允许每个特定范围的IP地址访问)

Oracle Database Vault提供了另有十个 PL/SQL接口和包,让安全管理员意味着着 应用守护程序运行运行开发者按需配置访问控制策略。PL/SQL存储过程和函数使得普通的数据库账户都都可不上能 在另有十个 数据库会话上下文中在访问控制策略边界里进行操作。

未经授权访问

Oracle Database Vault能只有帮助你为你的数据库设计灵活的安全策略。例如,任何具有DBA角色的数据库用户,如SYSTEM,都都可不上能 修改数据库的基本参数。加入另有十个 有系统特权的菜鸟管理员决定启动新的redo log文件,怎么才能 你要并这么意识到在特定的时间进行那样操作会意味着着 数据库出间题。通过Oracle Database Vault,你要创建另有十个 限制使用ALTER SYSTEM SWITCH LOGFILE命令规则来解决从前的用户做从前的操作。

·         Oracle Database Vault 访问控制组件

Table 1-1列出了法律规章给出的潜在的安全威胁

Payment Card Industry Data Security Standard (PCI DSS)

·         Oracle Database Vault组成每种

HIPAA 164.312

通过你你什儿 妙招,你要很小心的控制和保护你的系统。你要按照你的需用激活意味着着 禁止命令规则,你都可不上能 只有通过Oracle Database Vault管理员工具非常容易的集中维护命令规则。

·         Oracle Database Vault遵循哪些规范

对规章制度的顺从的另有十个 最大的好处是安全意识。历史上,关于信息技术部门的关注重点在可获得性和性能后边,而对遵守规章制度的关注要求每当时人退后一步,而且从安全的淬硬层 看看其他同学其他同学其他同学的IT基础设施、数据库、应用守护程序运行运行。通常的间题包括:

EU Directive on Privacy and Electronic Communications

未经授权修改数据

·         Oracle Database Vault怎么才能 才能 应对数据库联合

Sarbanes-Oxley Section 404

12.2 中:

Oracle Database Vault都都可不上能 限制任何用户访问数据库中的特定区域,包括拥有管理(administrative)权限在内的用户,例如,你要限制管理员访问员工薪水、客户医疗记录、意味着着 你你什儿 敏感信息。

Oracle Database Vault包含如下每种:

·         域:域是需用被保护的数据库schemal、对象、角色的另有十个 功能上的集合。例如:你要将和账户、销售、意味着着 人力资源相关的数据库schemal、对象、角色组成另有十个 域。当你将哪些组成另有十个 域后,你要使用域来控制赋给特定账户意味着着 角色的系统权限的使用。从前你就能只有给任何想使用哪些数据库schemal、对象、角色的用户提供细粒度的访问控制。Chapter 4, "Configuring Realms" 完整篇 讨论了域。.

Basel II – Internal Risk Management

更多关于Oracle Database Vault的FAQ请访问如下链接:

http://www.oracle.com/technology/deploy/security/database-security/database-vault/index.html

未经授权访问, 修改,查看

Oracle Database Vault使你都都可不上能 创建如下组件来保护你的数据库实例的安全:

·         敏感信息存储在哪里?

CFR Part 11

Oracle Database Vault使用域、因素、命令规则来应对内内外部威胁。哪些手段合起来提供强大的安全工具来帮助保护对数据库、应用守护程序运行运行、敏感数据的访问。你要结合规则和因素来控制在哪些样的条件下数据库命令都都可不上能 被执行,控制被域保护的数据的访问。例如,你要基于IP地址、时间日期、特定的应用守护程序运行运行来创建规则和因素来控制对数据的访问。从前能只有限制只有由满足条件的连接才都都可不上能 访问数据,以此来解决未经授权访问应用数据和为经授权的应用访问数据库。

本文转自 张冲andy 博客园博客,原文链接: http://www.cnblogs.com/andy6/p/7515948.html  ,如需转载请自行联系原作者

从前你就能只有针对你的敏感数据以多种妙招来应用细粒度的访问控制,它加固Oracle数据库实例,一齐加强了分离传统高权限用户职责的你你什儿 业界最佳实践。更重要的是,它使你的数据免遭特权用户损坏,一齐又允许其他同学其他同学其他同学维护Oracle数据库。Oracle Database Vault你这么的企业不可分割的一每种。



Description of "Figure 1-1 Oracle Database Vault Security"

未经授权访问

·         因素:因素是另有十个 命名变量意味着着 属性,例如用户位置、数据库IP地址、会话用户,哪些因素是Oracle Database Vault都都可不上能 识别和保护的。你要针对用户活动使用哪些因素,例如授权数据库账户链接到数据库,意味着着 创建过滤逻辑条件来限制数据的可见性和可管理性。每个因素能只有包含另有十个 意味着着 多个标识,标识是因素的具体的值。另有十个 因素能只有包含多个标识,这取决于因素的检索妙招意味着着 它的映射逻辑。Chapter 7, "Configuring Factors" 完整篇 讨论了因素.

Oracle Database Vault 管理员是另有十个 基于Oracle Database Vault的PL/SQL API构建的Java守护程序运行运行。你你什儿 守护程序运行运行能只有让蒸不烂 悉PL/SQL接口的安全管理者通过友好的用户界面来配置访问控制策略。Oracle Database Vault管理员守护程序运行运行提供了众多的安全相关的报告,哪些报告能只有帮助了解基准的安全配置。哪些报告一齐也促使指出与基准配置相比,当前配置哪些变化。

Sarbanes-Oxley Section 502

Oracle的客户拥有数百甚至数千分布在企业意味着着 全球的数据库。而且,数据库合并在未来的几年将持续作为另有十个 成本节约策略。分布式的数据库架构提供的物理安全在合并环境中也需用具备。Oracle Database Vault提出了关于数据库合并的主要关注点。

·         按照时间(例如,只有在周五下午4~5点执行)

·         Oracle Database Vault 管理员组件(DVA)

Figure 1-1 表明了Oracle Database Vault 怎么才能 才能 应对哪些关注点:

更多OTN上关于Oracle Database Vault的信息请访问如下链接:

Potential Security Threat

Gramm-Leach-Bliley

Table 1-1法律规章给出的潜在的安全威胁

·         Oracle Database Vault允许制定灵活的安全策略

Oracle Database Vault 提供了DVSYS你你什儿 schema来存储所有需用Oracle Database Vault保护的数据库对象。DVSYS schema包含角色、视图、账户、函数、以及其它Oracle Database Vault使用的数据库对象。DVF schema包含你你什儿 公共函数,哪些函数用于从Oracle Database Vault访问控制配置中读取因素值的集合。