12c OCP题库解析060-7 Oracle 12c 安全性与合规性的新特性

Which Oracle Database component is audited by default if the unified Auditing option is enabled?

A. Oracle Data Pump

B. Oracle Recovery Manager (RMAN)

C. Oracle Label Security

D. Oracle Database Vault

E. Oracle Real Application Security

 

【题目示意】

        考察了Oracle 12c安全性与合规性的新特性。

【解析】

Oracle Database 12c 跨预防性、检测性和管理控制提供多层安全。这包括透明数据加密、数据编辑、数据屏蔽、特权用户控制、权限使用情况分析、有条件的审计和真正应用安全性。Oracle Database 12c 与 Oracle Audit Vault and Database Firewall 结合使用，提供了前所未有的控制，可以帮助组织应对现有和新兴的安全性和合规性要求。

其中，安全性和合规性主要功能包括：

• Advanced Security
• Key Vault
• Database Vault
• Data Masking and Subsetting
• Audit Vault and Database Firewall
• Label Security
• 有条件的统一审计
• Real Application Security
• 传统数据库审计
• 虚拟专用数据库

    首先我们看一下题目中提到的  unified Auditing，即统一审计。

统一审计

   Oracle Database 12c 统一审计功能利用策略和条件在 Oracle 数据库内部有选择地执行有效的审计。新的基于策略的语法简化了数据库中的审计管理，并且能够基于条件加速审计。例如，审计策略可配置为根据特定 IP 地址、程序、时间段或连接类型（如代理身份验证）进行审计。此外，启用审计策略时，还可以轻松地将特定模式排除在审计之外。

    引入了新的角色来管理策略和查看审计数据。AUDIT_ADMIN 和 AUDIT_VIEWER 角色为希望指定特定用户管理审计设置和查看审计活动的组织提供了职责分离和灵活性。新架构将现有审计跟踪统一为单一审计跟踪，从而简化了管理，提高了数据库生成的审计数据的安全性。只能使用数据库内置的审计数据管理软件包来管理数据，不能使用 SQL 命令直接更新或删除审计数据。Oracle Database 12c 附带了 3 个配置好的默认策略。Oracle Audit Vault and Database Firewall 12.1.1 与新的 Oracle Database 12c 统一审计集成以实现审计整合。
   其中，在官方文档中提到了针对RMAN事件的统一审计：
“

About Auditing Oracle Recovery Manager Events

Unlike other Oracle Database components, you do not create a unified audit policy for Oracle Recovery Manager events. The UNIFIED_AUDIT_TRAIL data dictionary view has a set of fields, whose names begin with RMAN_, that automatically record Recovery Manager-related events.

However, you must have the AUDIT_ADMIN or AUDIT_VIEWER role in order to query the UNIFIED_AUDIT_TRAIL view to see these events. If you have the SYSBACKUP or the SYSDBAadministrative privilege, then you can find additional information about Recovery Manager jobs by querying views such as V$RMAN_STATUS or V$RMAN_BACKUP_JOB_DETAILS.”

    也就是说，统一审计会自动记录RMAN相关的事件，而对于其他数据库组件，比如选项A中提到的Oracle Data Pump，我们需要创建审计策略来实现审计功能。
   接下来，我们看一下选项C、D和E选项中涉及的安全策略。

Oracle Label Security

Oracle Label Security 提供行级安全性，允许具有不同访问权限的用户查看他们能够查看的数据子集，从而提高了安全性和合规性。

过去 30 年，Oracle 一直是打造能够保护敏感信息的先进数据安全解决方案的行业领军企业。Oracle Label Security (OLS) 是 Oracle 纵深防御方法的一部分，它是业界基于数据分类控制访问的最先进的解决方案。能够基于数据分类控制访问对于实施“需要了解”的原则以及数据整合非常重要。数据整合不仅降低了成本，而且还可以提高数据分析和决策的效率。

访问敏感项目

不同人群根据需要了解的内容不同，可获得对公司研发项目不同的访问权限。Oracle Label Security 区间可以授权合适的人只能查看其有权访问的项目。

分层访问

组织所管理的财务收入数据可以使用 Oracle Label Security 进行分组。各国/地区工作的人员将只能查看所在国/地区的数据。负责一组国家/地区的区域经理可以查看区域内所有国家/地区的数据。全球经理可以查看每个国家/地区的数据。所有数据均存在于相同的数据库表中。无需为每个国家/地区创建单独的表和数据库。从而简化了报告、数据管理和数据安全。

多级敏感数据

OLS 可以将不同敏感级别的数据整合成一个数据库表集。数据可以是公开的、敏感的或是最敏感的（甚至更多级别）。根据用户访问级别（公开、员工、经理、高管）的不同，每个用户只能查看其有权访问的数据。无需保留单独的表来管理相同的数据 — 只是在不同的级别。通过在行级管理数据安全性，从长远来看可以同时简化和提高数据的安全性。

Oracle Database Vault

Oracle Database Vault 减少了内部和外部威胁的风险并解决了常见的合规性要求，方法是：

• 防止高权限用户 (DBA) 访问敏感的应用数据
• 防止使用已泄漏的特权用户帐户窃取敏感数据或者对数据库和应用进行未授权的更改
• 在数据库中严格控制用户权限，并控制访问应用、数据和数据库的时间和方式
• 为数据库中的所有用户和应用提供权限分析，帮助实现最小权限模型并使数据库和应用更安全

支付卡行业 (PCI)、Sarbanes-Oxley (SOX)、欧盟隐私指令和美国健康保险流通与责任法案 (HIPAA) 都要求强化对敏感信息的内部控制，以防止因敏感信息的泄露或篡改而导致欺诈、身份窃取、金融违规和财务处罚。Oracle Database Vault 通过严格控制数据库中用户的权限以及控制应用、数据和数据库的访问时间和方式，帮助客户符合这些规定。

Oracle Database Vault 经过了众多 Oracle 和合作伙伴企业应用的认证，包括 Oracle E-Business Suite、Oracle PeopleSoft、Oracle Siebel 和 SAP。认证包括针对每个应用的随需随用的安全策略，考虑了它们的安装、运行时和维护需求。安全策略可以下载，也可以通过支持服务请求。

 

Real Application Security

Oracle Database 12c 引入了下一代 Oracle 虚拟专用数据库 (VPD) Oracle Real Application Security (RAS)。Oracle RAS 引入了业界最先进的技术来支持应用安全要求。

Oracle RAS 提供的声明式模型所实现的安全策略不仅包括受保护的业务对象，还包括有权限操作这些业务对象的主体（用户和角色）。RAS 比传统的 Oracle 虚拟专用数据库技术更安全、可扩展性更高、更经济高效。

Oracle RAS 优点包括：

• 最终用户会话转播至数据库
• 基于应用用户、角色、权限和各种关系的数据安全性
• 审计最终用户活动
• 使用声明式安全性简化管理

        与现有 Oracle VPD 不同，RAS 提供的声明式接口允许开发人员定义数据安全策略、应用角色和应用用户，应用开发人员无需创建和维护 PL/SQL 存储过程。借助 RAS，在数据库内核中使用 Oracle RAS API 定义数据安全策略。与业务对象关联的权限存储在通过 RAS API 定义和维护的访问控制列表 (ACL) 中。ACL 是 Real Application Security 的重要组成部分，存储分配给主体的权限，并控制可在对象上执行的操作类型（选择、插入、更新和删除）。

【答案剖析】

A，对于Oracle Data Pump组件，需要创建专门的审计策略。所以A错误。

B，统一审计会自动记录RMAN相关的事件，所以 B 正确。

C，Oracle Label Security和统一审计一样，是Oracle 12c提供的一种安全策略。所以C错误。

D，Oracle Database Vault和统一审计一样，是Oracle 12c提供的一种安全策略。所以D错误。

E，Oracle Real Application Security和统一审计一样，是Oracle 12c提供的一种安全策略。所以E错误。

【答案】B

                                                                                                                                                                                            ~~~~~~~ the end~~~~~~~~~
                                                                                                                                                                                                               hoegh
                                                                                                                                                                                                           2016.05.26

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/30162081/viewspace-2107192/，如需转载，请注明出处，否则将追究法律责任。

转载于:http://blog.itpub.net/30162081/viewspace-2107192/