使用 Oracle Audit Vault 审计数据库活动,确保安全性和合规性

数据更改
您可以查看 Insert、Update、Merge、 Delete 命令吗？ ● ●
© 2008 Oracle Corporation
16
演示
Oracle Audit Vault
© 2008 Oracle Corporation
17
© 2008 Oracle Corporation
18
© 2008 Oracle Corporation
31
© 2008 Oracle Corporation
32
© 2008 Oracle Corporation
33
Audit Vault 演示总结
• 审计源数据库中的敏感表 • 使用预警近乎实时地检测策略违规 • 查看预警报告，并选择性地设置触发预警时发送给安 全团队的电子邮件 • 查看用户执行的特定 SQL 语句 • 查看敏感数据更改之前/之后的值 • 创建自定义报告以突出显示敏感表访问
Oracle Database Vault 透明数据加密 (TDE)
Oracle 数据库 10g
实时列屏蔽 安全配置扫描
客户端身份传播 细粒度审计 Oracle 数据库 9i Oracle Label Security 代理身份验证 企业用户安全性 Oracle 8i 虚拟专用数据库 (VPD)
数据库加密 API 强身份验证 自带网络加密 Oracle 7 数据库审计 政府客户
特权用户审 计设置
隐私审计设 置
HR 数据库
财务 数据库
客户 数据库
© 2008 Oracle Corporation
15
您需要审计什么？
数据库 审计要求
帐户、角色和权限
您可以查看 GRANT 和 REVOKE 活动 吗？ ● ● ● ● ● ● SOX PCI DSS HIPAA Basel II FISMA GLBA
25
© 2008 Oracle Corporation
26
© 2008 Oracle Corporation
27
© 2008 Oracle Corporation
28
© 2008 Oracle Corporation
29
© 2008 Oracle Corporation
30
© 2008 Oracle Corporation
http://search.oracle.com
数据库安全性
oracle.com/database/security
© 2008 Oracle Corporation
36
© 2008 Oracle Corporation
37
© 2008 Oracle Corporation
38
Oracle 数据库安全性
7
整合和分类的审计数据
• 使用者：DB 用户、OS 用户、客户端标识符 • 内容：操作、对象、事务处理时间 • 位置：数据库标识符、机器名、终端标识符、 IP 地址 • 更多信息：之前/之后值、SQL 文本…… • 基于内置报告分类
© 2008 Oracle Corporation
8
Oracle Audit Vault 收集器
隐私与合规性解决方案
Database Vault 高级安全性 Audit Vault 配置管理
47986 $5%&*
安全 备份 标签 安全性 数据屏蔽
Total Recall
© 2008 Oracle Corporation
39
• Oracle 数据库审计数据
• 来源：Oracle 数据库 9iR2、10g、11g • 支持的审计数据： • 审计表、OS 文件、syslog、XML • 事务日志 • Oracle Database Vault 审计数据 • 自动的审计跟踪在收集后清理
• Microsoft SQL Server 审计数据
© 2008 Oracle Corporation
34
Oracle 数据库安全性解决方案
Database Vault 高级安全性 Audit Vault
47986 $5%&*
配置管理
安全 备份 标签 安全性 数据屏蔽
Total Recall
© 2008 Oracle Corporation
35
更多信息
11
Oracle Audit Vault 自定义报告
• • • • 筛选审计数据 使用条件值突出显示审计记录 创建图表 保存和共享自定义报告
© 2008 Oracle Corporation
12
跨所有数据库的统一报告
• 用于生成整合报告的标准 化审计数据
© 2008 Oracle Corporation
• 87% 以上的数据侵犯可以避免，50% 以上是业务合 作伙伴或内部人员监守自盗（Verizon 业务风险团队）
© 2008 Oracle Corporation
2
合规性和隐私保护要求提高
• 全球有数百个数据保护法规且还在不断增加 • 根据 IT 策略合规性小组的调查，90% 的公司 不合规 • 数据侵犯披露法律提高了能见度和成本
© 2008 Oracle Corporation
10
Oracle Audit Vault 报告
• 可自定义的内置合规性报告
• 特权用户活动、角色授予 • DDL 活动
• 用户定义的报告
• 特权用户在财务数据库上执行了哪些操作？ • 用户“A”在多个数据库上执行了哪些操作？
© 2008 Oracle Corporation
• 补救费用高达 35,000,000 美元/侵犯
• 数据库是 IT 审计人员最先查看的地方
• 最低权限 • 职责划分 • 可证明的控制
© 2008 Oracle Corporation
3
安全性始终在 Oracle 规划之中
数据屏蔽
Oracle 数据库 11g
TDE 表空间加密 Oracle Audit Vault
13
Oracle Audit Vault 预警
• 高效扫描
• 入站审计数据扫描
• 可针对以下项目定义预警
• • • • • • • 敏感数据的直接视图 新用户创建 角色授予 “DBA”授予 登录失败次数 表删除次数 其他企业定义的安全策略
© 2008 Oracle Corporation
14
Oracle Audit Vault 策略管理
• 策略定义
• 命名、集中管理、审计设置收集 • SOX、HIPAA、PCI • 可从任何配置有审计功能的数据库提取 设置
Oracle Audit Vault
• 策略供应
• 可从集中的 Audit Vault 控制台将策略审 计设置应用于数据库
SOX 审计 设置
• 策略维护
• 将当前设置比较和对比批准的策略 • 检测和更正策略异常
登录失败次数
您可以查看登录失败次数和其他异常活动 吗？ ● ● ● ● ● ●
特权用户活动
您可以查看用户活动吗？
●
●
●
●
●
●
敏感数据访问
您可以查看被查询信息 (SELECT) 吗？
●
●
●
●
●
模式更改
您知道在识别的表/列上发生的 CREATE、 DROP 和 ALTER 命令吗？ ● ● ห้องสมุดไป่ตู้ ● ● ●
• 来源：Microsoft SQL Server 2000 & 2005 • 支持的审计数据： • 服务器端跟踪 • Windows 事件审计 • C2
© 2008 Oracle Corporation
9
Oracle Audit Vault 仓库
• 可扩展
• 内置分区 • Oracle RAC 经过认证
© 2008 Oracle Corporation
6
Oracle Audit Vault
• 收集和整合审计数据
策略
• 简化合规性报告
监视 安全性
报告
• 安全威胁预警 • 通过审计策略降低 IT 成本
代理将企业审计数据收集到可扩展、安全的 审计数据仓库中
未来资源
© 2008 Oracle Corporation
<在此处插入图片>
使用 Oracle Audit Vault 审计数据库活动，确保安全性和 合规性
数据风险增加
• 数字数据剧增：到 2011 年将达 1800 EB (IDC) • 现在数据库是最宝贵的资产 • 面临的威胁也比以往更多
• • • • 需要更多的数据访问 内部人员盗窃和欺诈 外部的“内部人员” 来自防火墙内部的黑客攻击
• 灵活
• 开放的仓库模式 • Oracle Business Intelligence Publisher • Oracle Application Express • 自定义或第三方工具
• 安全
• 数据在从源传输至 Audit Vault 的过程中进行加密 • 审计数据在收集后自动从源删除 • 职责分离 — 管理员与审计员
19
© 2008 Oracle Corporation
20
© 2008 Oracle Corporation
21
© 2008 Oracle Corporation
22
© 2008 Oracle Corporation
23
© 2008 Oracle Corporation
24
© 2008 Oracle Corporation
© 2008 Oracle Corporation
4
数据库安全性与合规性
保护对应用程序数据 的访问 数据库监视 数据加密
去除信息中的可识 别成分
数据分类
© 2008 Oracle Corporation
5
直接来自客户的声音
• “制作证明符合 SOX 和 HIPAA 所需的季度报告花费我们 太多时间。” • “我们的 IT 审计人员告诉我们，为实现合规性我们需要更 多的内部控制，尤其是对特权用户的监视。” • “我们当前自行开发的解决方案无法扩展，很难跟上审计人 员不断提高的标准。” • “我们希望持续地进行自我评估，以确保在我们的审计人员 之前发现违规。” • “我们使用了 Oracle 数据库审计功能，但是我们没有分析 数据的工具。”