Oracle Database Vault--信息系统的安全保障

最新推荐文章于 2024-02-07 22:09:49 发布
最新推荐文章于 2024-02-07 22:09:49 发布
阅读量5k 收藏
点赞数 1
文章标签: database oracle 数据库 sql command session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/itmenhu/article/details/3556534
版权

一直以来,数据库管理员在数据库环境下都等于是神一样的存在。所有数据库用户和数据的生杀大权都掌握在数据库管理员的手中。有些DBA对此自我感觉非常良好,毕竟是大权在握嘛。但是他们没有想到权力越大责任越大。别人出事,你也跑不掉。与其如此还不如当个平头老百姓。

说这些话什么意思呢,其实是想说信息安全和职责分离的事情。

先说说Database Vault 是什么?官方的说法是“Oracle Database Vault 是一个数据库安全选件,用于防止 DBA 访问应用程序数据,保护数据库结构以防止未经授权的更改,以及通过设置各种访问控制来满足动态、灵活的安全要求。”怎么看着好像是专门防我们DBA干坏事的。DBA有那么坏吗?话说回来,从DBA个人利益的角度来看,这似乎也并不是一件坏事。

因为一旦发生数据泄露,所有拥有数据访问权限的人都要接受调查,DBA也跑不掉。而且DBA的权限最大,几乎什么问题都能和DBA扯上关系。但是从实际工作内容上来看,DBA是不需要关心具体数据内容的。DBA的责任是维护好整个数据库的运作,保持数据库稳定、高效的运行。至于数据的写入和读取自然有相应的部门和软件系统来负责。这就是说,通过这个新组件Oracle Database Vault 可以实现职责分离的效果。大家可以各负其责,谁都不必为别人的错误和过失而承担责任。

另一方面,数据安全是企业非常重视的问题。哪怕是同一家企业的不同部门,能够访问的数据内容,有时候都是需要严格控制的。听说还有一系列的合规性法案专门针对内部安全提出了更高的要求,比如:美国的萨班斯法案、健康保险可携性及责任性法案、欧盟的隐私保护法、银行界的巴塞尔协议等等……这些法案,我本人~~~~都不精通。但是我知道,Oracle Database Vault应运而生,这些法案功不可没。通过Oracle Database Vault我们可以对数据安全做严格的控制。甚至可以达到“谁在什么时间在什么地点可以通过什么方式访问哪部分数据”这样的精确度。企业可在个人访问系统时实现所需的职责分离,这是很多法案都有的规定内容,尤其是令上市公司极其头疼的“萨班斯法案”中,在第 404 条款中还进行了专门备注。从这一点也可以看出Oracle推出Database Vault的目的。

通过域,规则和多因素授权的方式。Oracle Database Vault很好的解决了企业内部控制的要求,把内部威胁降到最低。同时也顺便在合规性方面给予企业大力的支持。对于DBA而言,也可通过职责分离让DBA们不必为别人的过失买单。

说清楚了Oracle Database Vault能做什么,咱们再看看Oracle Database Vault到底怎样做。

Database Vault 目前已推出了版本 10.2.0.2,有需要的同学自己去 OTN 下载。装好之后,打开Database Vault,主界面如下:

 

通过在Database Vault管理界面中点击realms,我们可以创建一个新域,然后将需要保护的数据添加到域中,不仅如此,为了简化管理,Oracle Database Vault提供了选项直接添加整个模式以一次将模式中的所有对象同时添加进去,这样就限制了只有被授权者和模式拥有者能够访问这些对象,即使DBA角色的用户也无权访问。同时,为了跟踪违规操作,在创建域的时候,Oracle Database Vault提供了各种审计选项,例如审计访问违规的操作,这样,如果DBA或具有sys权限的用户私自查询或更新包含在域中,就会被记录下来。仅通过这个简单选项,就可以将系统管理人员和应用人员进行隔离,防止DBA利用特殊权限违规操作。由于详尽的审计记录,日后有需要时,对于所有的操作都可以做到有迹可查。

另一个主要的链接Command Rules,它是用来限制执行的SQL语句类型的,包括SELECT, ALTER SYSTEM,各种DDLDML,详细的可以被命令规则保护的语句类型可以参考Oracle Database Vault文档。例如,在创建命令规则的时候,安全管理员可以在Rule Expression文本框中输入各种合法的可以在where中使用的表达式,例如TO_CHAR(SYSDATE,'HH24') = '12'限制访问时间,或SYS_CONTEXT('USERENV','SESSION_USER') != 'SQL*Plus'等根据会话上下文进行限制,并将这些条件应用于选定的SQL类,如下:

 

当然,Oracle Database Vault提供的安全性管理机制应该远远不止这些,否则Oracle应该不会将其作为一个主打安全数据库产品进行宣传。这些方面也许真正用过的人更有体会,更有发言权。如果有什么意见,欢迎在我的博客留言交流。我也很想再深入了解一些Oracle Database Vault。毕竟数据安全是我们每一个人都关注的东西。

 

这里有Oracle 最新的资料可以下载

http://wmdata.com.cn/oracle/iwom-DBO/index.asp?frm=itmenhu

 
itmenhu
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
数据库安全配置产品oracle database vault
07-23
oracle database vault,数据安全,针对安全性及合规性的数据库控制。
Oracle 10g--为DBA提供的最佳前20位的特性(中文 chm)
01-31
Oracle 10g--为DBA提供的最佳前20位的特性(中文 chm)
Oracle Database 12c Security - 10. Oracle Database Vault
In-Memory Computing Technology
09-01 584
Database Vault,简称DBV,2005年发布。 HISTORY OF PRIVILEGED ACCOUNTS Oracle数据库中的SYS用户相当于Linux中的root用户。另一个有DBA权限的用户是SYSTEM。 Separation of duty (SoD),拥有所有权限会导致做坏事,甚至可以删除审计记录。后者可使用外部审计。也就是说,虽不能防止其行为,但可记录其痕迹。 SYS as SYSDBA (Super User 0) 尽管我们可以使用SYS登录,但SYS实际是schema, 拥
如何配置database vault
wgz7747147820的博客
09-21 788
首先创建两个用户,一个作为database vault用户,另外一个作为备份用户 SQL> create user c##dv_cloud_admin identified by cdb21ls; User created. SQL> create user c##dv_cloud_admin_backup identified by cdb21ls; User created. config dv SQL> exec configure_dv(dvowner_uname=>
Oracle Database Vault关闭方法(二)
moscot_wu的博客
02-27 3165
oracle解锁dvsys账号的方法
database vault
rgb_rgb的博客
02-28 816
原文:http://www.ixdba.com/html/ycategory/database-oracle/page/2/ http://yangtingkun.itpub.net/post/468/476185   database vault可通过下列方法解决一些最为常见的安全问题和内部威胁: ·限制特权DBA,如sysdab以及有select any table的授权用户访问应用
Oracle数据安全解决方案(2)——Oracle Database Vault
华仔-技术博客
10-11 6661
原文地址:http://download.oracle.com/docs/cd/B28359_01/server.111/b31222/dvintro.htmOracle Database Vault本篇包含如下内容:·         什么是Oracle Database Vault?·         Oracle Database Vault组成部分·         O
Oracle Database Vault安装过程中遇到的几个问题及解决
wonder的地下室
12-17 2786
1.安装10.2.0.4补丁后,再安装database vault,输入https://localhost:1158/dva 提示HTTP 500错误Answer:在安装vault时,运行Vault config assist配置助手时应该提示出错了,需要看具体的出错内容,这说明应用可能已经部署了,但是部署的有问题,在对应的dbconsole目录中查看log,看具体的错误信息 2.安装
Oracle数据安全解决方案.pdf
02-27
- **Oracle Audit Vault and Database Firewall**:整合来自数据库、操作系统、目录的审计数据,提供对SQL的精确监控和阻断。在SQL语句到达数据库之前,数据库防火墙会对其进行检查,防止未授权的SQL操作。同时,它...
Oracle Database产品白皮书.docx
10-14
支持地理空间数据的存储、管理和分析,适用于地理信息系统(GIS)应用,处理地理坐标和拓扑关系。 14. **Oracle Total Recall**: 提供历史数据的即时访问,可以追溯和恢复过去任意时间点的数据,适用于法规遵从...
Oracle数据库高级安全功能介绍.docx
10-14
通过这些高级安全特性,Oracle Advanced Security为Oracle E-Business Suite等关键业务系统提供了一套强大的安全保障,帮助企业满足严格的合规性和数据隐私要求。这些解决方案的实施可以帮助企业降低数据泄露风险,...
ORACLE数据库高级安全功能白皮书.docx
10-14
ORACLE 数据库高级安全...ORACLE 数据库高级安全功能白皮书提供了一个全面的安全解决方案,涵盖了加密、数据编辑、透明数据加密等多个方面,旨在保护敏感应用程序数据,满足法规要求,防止数据泄露和保护隐私相关信息。
oracle 11g Oracle Database Vault 的配置方法
cuantangnie3915的博客
11-23 785
1、通过dva 来创建用户。 SQL> connect dva/PreDva13588 Connected. SQL> create user acct identified by acct; Us...
Oracle数据安全解决方案系列-----Database Vault安装篇
cnbird's blog
04-14 3782
http://space.itpub.net/3704/viewspace-559855 http://www.red-database-security.com/wp/installing_oracle_datavault.pdf 现在在安全方面谈及比较热的话题是啥,大家搜索下就会发现, SOX, Basel II, HIPAA, J-SOX, GLB, Privacy laws
oracle vault 权限,oracle_database_vault 配置
weixin_39665847的博客
04-10 406
通过DBCA 配置数据库组件VAULT,再通过以下步骤实现数据管控功能1.创建realmexec dvsys.dbms_macadm.create_realm('TOPUP_REALM','Limit unauthorized users access to data','Y', 0);exec dvsys.dbms_macadm.add_object_to_realm('TOPUP_REALM'...
oracleoracle database vault数据库保险库)
weixin_33991727的博客
09-13 233
在12c建库中 Database  Vault 与 Label Security 选项,之前没有留意过,特意记录一下 12.1 中: 12.2 中:     转载:http://www.linuxidc.com/Linux/2011-12/48689p2.htm 本篇包含如下内容: ·         什么是Oracle Database Vault? ·         Oracle Dat...
常用的文件系统、存储类型小整理
最新发布
Hehuyi_In的博客
02-07 3315
最近接触到了五花八门的文件系统、存储类型,名词听得头大,趁假期整理学习一番~
Oracle Database Vault Administrator’s Guide 11g Release 2 (11.2)
06-18
该指南详细介绍了Oracle Database Vault(DBV)的功能、管理和安全特性,它是Oracle数据库管理系统中的一项关键工具,用于保护敏感数据和管理访问控制策略。 DBV的主要目标是提供对数据库对象的细粒度访问控制,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值