数据磁带备份

金融行业Oracle数据安全解决方案2金融行业数据安全新挑战数据隐私保护更加严峻数据侵犯内部威胁外包服务数据整合数据库取代了防火墙成为目标企业身份盗窃利用应用程序漏洞3金融行业法规遵从新挑战成本高且复杂更多的全球数据隐私法规90%的公司没有满足法规要求高成本的违反披露法律239美元/记录每次违规损失高达3500万美元复杂的IT要求职责划分合规性证据持续的自我评估现场审计报告SOXK-SOXGLBAPCIHIPAAEUDirectivesBaselIIPIPEDAJ-SOXSAS704金融行业实现数据安全所面临的技术挑战金融行业对数据安全要求的特殊性如何满足金融行业全方位的数据安全需求,并符合法律法规的要求业务系统众多、管理分散如何实现集中的数据安全管理和控制实施周期长、难度大如何缩短数据安全方案的实施周期、降低实施难度保障现有系统的正常运行如何将对现有系统的影响降至最低5不同层面的数据安全需求保护对应用程序数据的访问数据分类数据库监视去除信息中的可识别成分以便共享保护静止数据6DatabaseVaultOracle全面的数据安全解决方案数据屏蔽高级安全性标签安全性安全备份AuditVault配置管理47986$5%&*TotalRecall7不同层面的数据安全需求保护对应用程序数据的访问数据分类数据库监视去除信息中的可识别成分以便共享保护静止数据8客户面临的问题保护对应用程序数据的访问"法律规定我们的DBA不应具有查看财务记录的权利,但DBA的本职工作却需要数据库访问权.
我们该怎么办""我们的SOX审计者要求我们将帐户创建与帐户权限授予相分离.
""每个用户都应当无法绕过我们的应用程序直接访问数据库中的信息.
""我们如何不让财务部门在生产时间内生成报表""如果高级DBA不在场,则新DBA应当无法进行数据库更改.
"9DatabaseVaultOracle全面的数据安全解决方案数据屏蔽高级安全性标签安全性安全备份AuditVault配置管理47986$5%&*TotalRecall10防止特权用户访问其无权访问的数据消除数据整合带来的安全风险实行职责分离、最低权限以及其他策略无需更改现有应用程序OracleDatabaseVault特权用户控制DBAHR应用程序DBASELECT*FROMHR.
EMPFIN应用程序DBAHRHR域FINFIN域11OracleDatabaseVault实时多因素授权HR应用程序用户FIN应用程序DBAHRFINCONNECT…CREATE…工作时间意外的IP地址命令规则将考虑多个因素实施双管理员规则和其他安全策略防止应用程序绕行和即席访问适用于Oracle应用程序的现成策略12OracleDatabaseVault职责分离安全性管理安全管理员管理DatabaseVault帐户管理帐户管理员创建新的数据库帐户应用程序特定的管理应用程序管理员可以管理应用数据库数据库管理DBA管理日常数据库操作可扩展可以将开发与测试以及许多其他功能相分离13不同层面的数据安全需求保护对应用程序数据的访问数据分类数据库监视去除信息中的可识别成分以便共享保护静止数据14客户面临的问题保护静止数据"我们的PCI审计者要求我们必须加密信用卡数据.
""我们需要加密个人识别信息以满足欧盟数据隐私保护要求,但又不能更改我们的应用程序.
""我们希望管理数据库中的医疗信息,但必须对这些信息进行加密以满足HIPAA要求.
""我们不希望具有操作系统文件"read"权限的用户能够访问我们的数据库.
""我们将备份磁带发送至厂外时需要确保它们即使在厂外设施受损的情况也安全无虞.
"15DatabaseVaultOracle全面的数据安全解决方案数据屏蔽高级安全性标签安全性安全备份AuditVault配置管理47986$5%&*TotalRecall16Oracle高级安全性透明数据加密(TDE)通过加密以下项保护敏感应用程序数据:特定列(信用卡)整个应用程序表新的SecureFile类型(图像、文档)自动化的内置密钥管理用于职责分离的双层模式硬件安全模块(HSM)集成无需更改应用程序网络加密^#^*7500017透明数据加密点击式部署18Oracle安全备份集成的加密磁带备份管理Oracle安全备份文件系统UNIXLinuxWindowsNASOracle数据库针对整个Oracle环境的安全数据保护针对域、主机、备份或磁带的基于策略的加密针对磁带备份的自动化加密密钥管理由授权用户进行的透明恢复解密19不同层面的数据安全需求保护对应用程序数据的访问数据分类数据库监视去除信息中的可识别成分以便共享保护静止数据20客户面临的问题数据分类"我们以'需知'为基础限制对数据库中数据的访问.
""我们希望标记我们的客户帐号以向战略客户经理提供高价值的客户.
""我们希望将敏感信息整合至单一数据库,以获取更好的业务智能,但我们需要对访问进行划分.
""我们需要将标签应用到数据以满足法规的要求.
""我们希望标记我们的国际帐户,以便可以向本地经理提供客户,但不会违反数据隐私法规.
"21DatabaseVaultOracle全面的数据安全解决方案数据屏蔽高级安全性标签安全性安全备份AuditVault配置管理47986$5%&*TotalRecall22OracleLabelSecurity数据分类使用标签分类数据向用户提供许可使用分类标签实施安全策略"需知事项"标签可以是OracleDatabaseVault策略中的"因素"机密高度敏感敏感用户标签授权敏感高度敏感23点击式数据分类易于部署标签24不同层面的数据安全需求保护对应用程序数据的访问数据分类数据库监视去除信息中的可识别成分以便共享保护静止数据25客户面临的问题去除信息中的可识别成分以便共享"我们业务发展部门的员工需要知道客户信息,但不应看到客户的信用卡号码.
""我们外包了客户帐户管理,需要确保代理仅能查看到其管理帐户的税务ID.
""开发承包方需要生产数据进行测试,但我们不能向其提供真实帐户信息.
""我们的分析人员需要根据真实数据构建实际模型,但HIPAA要求他们不能查看实际的患者姓名或医生姓名.
"26DatabaseVaultOracle全面的数据安全解决方案数据屏蔽高级安全性标签安全性安全备份AuditVault配置管理47986$5%&*TotalRecall27企业管理器数据屏蔽包离线数据屏蔽将敏感信息转变为非敏感信息以便共享通过可扩展的格式库提供一致的屏蔽维护应用程序的引用完整性全数据库的自动化数据屏蔽克隆数据库屏蔽生产数据库LAST_NAMECREDIT_CARDAMTAGUILAR440804125436987380.
00BENSON441712345678911260.
00LAST_NAMECREDIT_CARDAMTANSKEKSL411111111111111180.
00BKJHHEIEDK440804123456789060.
0028虚拟专用数据库实时数据屏蔽基于策略的实时屏蔽返回所有记录,但修改了敏感列如果是授权用户,可以有选择地去除select记录的屏蔽whereaccount_mgr_id=sys_context('APP','CURRENT_MGR');381-395-9223431-395-9332483-562-0912461-978-8212581-295-7603181-095-1232121-791-4212701-495-2123150001700012000100001500025000Select*fromcustomers;APPSSNVPD添加14829不同层面的数据安全需求保护对应用程序数据的访问数据分类数据库监视去除信息中的可识别成分以便共享保护静止数据30客户面临的问题数据库监视"为了满足SOX和HIPAA的要求,我们需要向审计人员提交月度报告,证明我们的IT控制切实有效.
我们每月都在为此忙碌.
""我们需要监视访问数据库的人员及其访问的内容、时间以及方式.
而且我们需要在出现可疑情况时收到警报.
""我们希望检查数据库安全漏洞,如开放的端口、预定义的帐户口令等.
""我们希望持续地进行自我评估,以确保在我们的审计人员之前发现违规.
""我们的数据库配置很安全.
如何保持其不出先偏差"31DatabaseVaultOracle全面的数据安全解决方案数据屏蔽高级安全性标签安全性安全备份AuditVault配置管理47986$5%&*TotalRecall32在Oracle数据库中进行审计强健、灵活以及高效的审计业界最先进的DBMS审计审计所有SQL语句审计对特定数据库对象的访问审计使用系统权限的语句按特定用户或用户组审计活动审计登录/注销针对条件审计的细粒度审计灵活审计表和OS文件目的地支持XML格式Windows事件查看器与SYSLOG33OracleAuditVault通过安全的审计数据仓库监视数据库活动管理审计数据保护所有Oracle数据库中的审计数据整合集中管理所有Oracle数据库审计设置检测可疑活动监视所有数据库用户—特别是特权用户报告非授权活动简化合规性报告内置合规性报告定义自定义报表其他源(未来)Oracle数据库审计数据OracleAuditVault34AuditVault报告现成的审计评估和报告现成的报告特权用户活动角色授予DDL活动用户定义的报告特权用户在财务数据库上执行了哪些操作用户"A"在多个数据库上执行了哪些操作谁访问了敏感数据35OracleAuditVaultManagement易于使用的信息板和策略设置审计信息板企业概述报告审计事件下钻报告审计策略管理数据库审计设置收集针对合规性政策集中供应数据库审计设置对比数据源上现有的审计设置通过内部法规演示合规性36OracleAuditVaultRepository可伸缩、灵活、安全的审计数据仓库性能和可伸缩性内置分区企业级灵活的报告功能开放的仓库模式OracleBusinessIntelligencePublisher或ApplicationExpress自定义或第三方工具安全AuditVault特权用户无法修改审计数据数据在从源传输至AuditVault过程进行加密37OracleTotalRecall简介抗干扰实时数据库存档自动化的表"快照"记录对数据进行的更改完善审计—人员以及内容经过优化,可将性能开销降至最低历史数据可根据法规要求与法庭分析需要确定保留期限自动防止最终用户更改历史数据无缝访问存档的历史数据历史数据存储在数据库中供实时访问以压缩形式存储,将存储要求降至最低select*fromproduct_informationASOFTIMESTAMP'02-MAY-0512.
00AM'whereproduct_id=306038Oracle配置管理针对安全性与合规性的企业监视持续的配置安全漏洞与合规性评估内置240多条最佳实践合规性信息板跟踪行业标准(CIS,COBIT)的分数根据黄金标准与历史跟踪进行配置比较自动纠正操作和问题记录,加快恢复39随时间跟踪合规性IT基础架构中的合规性趋势40安全策略示例240余条内置最佳实践主机检测开放的端口检测不安全的服务确保NTFS文件系统类型(Windows)应用服务器HTTPD具有最低权限使用HTTP/S应当启用Apache日志记录禁用演示应用程序禁用默认的标题页面禁用对未使用目录的访问禁用目录索引禁止对某些程序包的访问禁用DAD所有者未使用的程序包移除未使用的DAD配置支持复杂的口令数据库服务启用监听器日志记录口令保护监听器不接受默认的监听器名称确保监听器日志文件在正确的所有者下有效确保监听器主机名与IP对应数据库文件权限Init.
ora应具有受限的文件权限$OH/bin中的文件应归Oracle所有数据文件应归Oracle所有数据库配置文件/配置默认口令不允许固定用户链接访问对象不允许默认表空间设置为SYSTEM设置password_grace_time限制或禁止对DBMS_LOB的访问设置password_reuse_max避免使用utl_file_dir参数41不同层面的数据安全需求保护对应用程序数据的访问数据分类数据库监视去除信息中的可识别成分以便共享保护静止数据42DatabaseVaultOracle全面的数据安全解决方案数据屏蔽高级安全性标签安全性安全备份AuditVault配置管理47986$5%&*TotalRecall43Oracle数据安全方案的特点最全面的解决方案技术领先自动化的主动管理集中监控,统一管理以数据为中心实施方便、可分阶段实施对现有系统影响最小44数据库防火墙数据屏蔽TDE表空间加密OracleAuditVaultOracleDatabaseVault安全数据备份透明数据加密(TDE)实时列屏蔽安全配置扫描客户端身份传播细粒度审计OracleLabelSecurity代理身份验证企业用户安全性虚拟专用数据库(VPD)数据库加密API强身份验证本机网络加密数据库审计政府客户Oracle数据库安全性毋庸置疑的业界第一Oracle7Oracle8iOracle数据库9iOracle数据库10gOracle数据库11g45案例:Citigroup"在核心提供保护"-企业级防火墙级的保护实施自动的安全操作策略自动的合规管理按地域的数据库安全访问控制和策略业务挑战保护高度机密的金融信息降低本地和全球隐私法规的合规风险按地域保护访问金融数据保护生产系统,避免常规的系统故障结果ORACLE的解决方案OracleDatabaseVault(DBV)DBV提供企业级的责任分离策略DBV通过命令规则策略提供额外的数据库高可用保证46更多信息http://search.
oracle.
com或www.
oracle.
com/datawarehouse数据库安全性4748