1 版权所有 © 2011，Oracle 和/或其分支机构。保留所有权利。 公开信息

2 版权所有 © 2011，Oracle 和/或其分支机构。保留所有权利。 公开信息 2 版权所有 © 2011，Oracle 和/或其分支机构。保留所有权利。 从幻灯片 8 中插入信息保护政策分类

以下内容旨在概述产品的总体发展方向。该内容仅供参考，不可纳入任何合同。该内容不构成提供任何材料、代码或功能的承诺，并且不应该作为制定购买决策的依据。所描述的有关 Oracle 产品的任何特性或功能的开发、发布和时间安排均由 Oracle 自行决定。

3 版权所有 © 2012，Oracle 和/或其分支机构。保留所有权利。 从幻灯片 8 中插入信息保护政策分类

在私有云中保护企业数据 赞助商

4 版权所有 © 2011，Oracle 和/或其分支机构。保留所有权利。 公开信息

Oracle 云服务

Oracle 托管型 管理软件

托管型数据库

托管型数据库云服务器

托管型中间件

托管型中间件云服务器

私有云产品 私有与公有云服务 Oracle 公有云

融合 HCM 云服务

Oracle 数据库云服务

Oracle Java 云服务

融合 CRM 云服务

基础架构即服务

Oracle 数据库、MySQL、Oracle 数据库云服务器

应用程序云基础：WebLogic Server、

Coherence、JRockit、中间件云服务器

平台即服务

SOA Suite 和

BPM Suite

数据集成

和 GoldenGate

身份和

访问管理

WebCenter 用户参与

Oracle 管理软件

应用程序

Oracle VM for x86

Oracle Linux Oracle Solaris

Oracle VM for SPARC (LDom) Solaris Zones

服务器、SuperCluster

网络结构 存储

云管理

云控

制

Ops C

ente

r

Ora

cle

Ente

rprise M

anager

Oracle 社交网络

Oracle 云计算解决方案 — 数据库安全性

5 版权所有 © 2011，Oracle 和/或其分支机构。保留所有权利。 公开信息

议题

• 数据安全挑战

• 数据安全性

– 传统环境

– 云环境

• 保护数据库云

• 问答

6 版权所有 © 2011，Oracle 和/或其分支机构。保留所有权利。 公开信息

数据库服务器漏洞

三分之二的敏感和受管制信息现都保存在数据库中

……并且每两年翻一番

信息来源：Verizon，2007 年 11 月以及 IDC，―高效的数据防泄漏计划：从源头（数据库）开始保护数据‖，2011 年 8 月

48% 的数据侵犯由内部人员引起

89% 的记录通过 SQL

注入被窃取

86% 攻击使用窃取的凭证

过去六年中有超过 10 亿条记录泄露

7 版权所有 © 2011，Oracle 和/或其分支机构。保留所有权利。 公开信息

您的数据库有多安全？ 2011 IOUG 数据安全调查结果

24% 能够阻止 DBA 访问数据和存储过程

69% 不监视敏感应用数据的读写

63% 未采取措施防止 SQL 注入攻击或不确定

48% 向开发和测试环境复制敏感数据

70% 可在操作系统级读取存储在数据库文件或存储中的数据

57% 无法阻止对数据库的直接访问（应用程序绕行）

8 版权所有 © 2011，Oracle 和/或其分支机构。保留所有权利。 公开信息

传统计算环境

• 各应用程序专用的孤岛

• 不确定哪些孤岛包含敏感数据

• 分别保护每个孤岛既复杂且代价高昂

• 通常保护共享资源

– 网络

• 易受攻击的数据、数据库基础架构

– 网内攻击

容易丧失对敏感数据的跟踪

9 版权所有 © 2011，Oracle 和/或其分支机构。保留所有权利。 公开信息

云计算环境

• 共享数据库资源池

• 在数据库云中管理所有数据

– 消除数据孤岛的复杂性

• 高效、一致的保护

• 更安全，成本更低

• Oracle 数据库云服务器

– 理想的数据库云构建块

实现经济有效的数据安全

10 版权所有 © 2011，Oracle 和/或其分支机构。保留所有权利。 公开信息

―67% 的大型企业都在使用云计算的基础架构即服务

(IaaS) 平台来支持生产‖

Forrester ForrSight 调查，2011 年

11 版权所有 © 2011，Oracle 和/或其分支机构。保留所有权利。 公开信息

保护数据库云需要

审计、授权、身份验证等

应用程序

SQL 监视与阻止

屏蔽

特权用户访问

加密

数据发现 合规性扫描 漏洞扫描

活动审计

安全性修补

12 版权所有 © 2011，Oracle 和/或其分支机构。保留所有权利。 公开信息

磁盘

备份

导出

场外

设施

身份验证和数据加密

• 防止 IT 人员或操作系统用户访问存储在数据库文件中、磁带上的数据和其他数据

• 无需更改应用程序即可对应用程序数据实现高效加密

• 使用 HSM/KMS 既可实现针对 SoD 的内置双层密钥管理又支持集中密钥管理

• 数据库用户的强身份验证加强了身份保证

Oracle Advanced Security

应用程序

13 版权所有 © 2011，Oracle 和/或其分支机构。保留所有权利。 公开信息

在数据库中实施安全策略 Oracle Database Vault

应用程序

采购

人力资源

财务

应用程序

DBA

select * from finance.customers

DBA

安全性

DBA

• 自动的、可自定义的 DBA 职责分离及受保护的领域

• 使用规则和因素来管理访问数据的人员、地点、时间和方式

– 对特权数据库用户执行最小权限

– 防止应用程序绕行、实施企业数据治理

• 安全地整合应用程序数据或支持多承租方数据管理

14 版权所有 © 2011，Oracle 和/或其分支机构。保留所有权利。 公开信息

数据分类访问控制

• 根据业务因素对用户和数据进行分类

• 在数据库中实施行级访问控制

• 通过 Oracle Identity Management Suite 对用户进行分类

• 分类标签可以是其他策略中的因素

• 无需更改应用程序

Oracle Label Security

事务

报表数据

报表 机密 敏感

敏感

机密

公共

15 版权所有 © 2011，Oracle 和/或其分支机构。保留所有权利。 公开信息

自动更改跟踪

• 透明地跟踪应用程序数据随时间的更改

• 数据库中高效、抗干扰的归档存储

• 使用 SQL 实时访问应用程序的历史数据

• 简化的突发事件取证和恢复

Oracle Total Recall

select salary from emp AS OF TIMESTAMP

'02-MAY-09 12.00 AM‗ where emp.title = ‗admin‘

16 版权所有 © 2011，Oracle 和/或其分支机构。保留所有权利。 公开信息

阻止

日志

允许

警报

替代

监视数据库网络活动 Oracle Database Firewall

策略 内置 报表

警报 定制 报表

• 阻止 SQL 注入之类的未授权数据库访问

• SQL 语法分析确保准确性、实施和可伸缩性

• 白名单和黑名单无误报地执行应用程序活动

• 可伸缩的架构让企业可以适应各种部署模式

• 适用于 SOX、PCI 和其他法规的内置和自定义合规性报告

应用程序

17 版权所有 © 2011，Oracle 和/或其分支机构。保留所有权利。 公开信息

实时审计数据库活动

• 将数据库审计线索整合到安全集中的信息库中

• 检测并警告可疑活动，包括特权用户

• 适用于 SOX、PCI 和其他法规的现成的合规性报告

– 例如，特权用户审计、权限、失败的登录、受管制数据更改

• 使用报告生成、通知、证明、存档等简化了审计

Oracle Audit Vault

CRM 数据

ERP 数据

数据库

HR 数据

审计数据

策略 审计人员

内置报表

警报

定制报表

!

18 版权所有 © 2011，Oracle 和/或其分支机构。保留所有权利。 公开信息

安全的数据库生命周期管理

• 发现数据库并将其归类到安全策略组

• 依据 400 多个最佳实践和行业标准以及自定义的企业专用配置策略扫描数据库，提高安全合规性

• 检测并阻止未经授权的数据库配置更改，故障单跟踪

• 自动打补丁和安全供应

发现 扫描和监视 打补丁

Oracle Enterprise Manager

19 版权所有 © 2011，Oracle 和/或其分支机构。保留所有权利。 公开信息

在不安全环境中保护数据

• 使应用程序数据安全地用于非生产环境

• 防止应用程序开发人员和测试人员看到生产数据

• 用于数据屏蔽自动化的可扩展模板库和策略

• 自动保留引用完整性，以便应用程序能够继续正常运行

• 与真正应用测试和测试数据管理集成

Oracle Data Masking

生产环境 非生产环境

数据永不离开数据库

LAST_NAME SSN SALARY

AGUILAR 203-33-3234 40,000

BENSON 323-22-2943 60,000

LAST_NAME SSN SALARY

ANSKEKSL 111—23-1111 60,000

BKJHHEIEDK 222-34-1345 40,000

20 版权所有 © 2011，Oracle 和/或其分支机构。保留所有权利。 公开信息

加密个人

身份信息

通过纵深防御保护

患者捐赠数据的安全

• 特权用户访问控制

• 加密生产数据、屏蔽非生产数据

• HIPPA/HITECH 合规性

Oracle Database Vault

Oracle Advanced Security

Oracle Data Masking

数据库安全案例研究

• 监视特权用户、

敏感数据更新等

• 保护中央审计信息库

• Sarbanes-Oxley 法案合规性

对应用程序日志的

审计、警报和报告

Oracle Audit Vault

• 透明数据加密

• 不更改应用程序，不影响应用程序性能

• PCI DSS 合规性

Oracle Advanced Security

21 版权所有 © 2011，Oracle 和/或其分支机构。保留所有权利。 公开信息

Oracle 数据库安全性战略

加密、特权用户控制、分类 活动监视、审计、阻止攻击、报告

mySQL

数据库生命周期管理、

针对非生产环境的数据屏蔽

最高的安全性： 数据库内部控制

低安全性： 删除敏感数据

外部控制： 保护 Oracle 和非 Oracle 数据库

纵深防御

22 版权所有 © 2011，Oracle 和/或其分支机构。保留所有权利。 公开信息

需要考虑的问题……

• 您知道所有敏感数据所处的位置吗？

• 您会知道您的数据是否遭侵犯吗？

• 谁负责保护数据？

• 您了解适用于您的所有监管法规吗？

• 您是否制定了纵深防御战略？

23 版权所有 © 2011，Oracle 和/或其分支机构。保留所有权利。 公开信息

问答

24 版权所有 © 2011，Oracle 和/或其分支机构。保留所有权利。 公开信息

更多信息

oracle.com/database/security

search.oracle.com

或

database security

25 版权所有 © 2011，Oracle 和/或其分支机构。保留所有权利。 公开信息

26 版权所有 © 2011，Oracle 和/或其分支机构。保留所有权利。 公开信息