oracle数据库10g安全性概述.ppt

,Sudha Iyer资深产品经理甲骨文公司,Oracle 数据库 10g 安全性保护应用程序安全工具,议程,全球安全的推动因素 Oracle 安全性/身份管理平台安全性的最佳应用问题与解答,5,安全性推动因素,外包、电子商务对全球的影响,安全现状 美国,90%的被调查者*在过去十二个月中曾检测到计算机安全侵害。80%的被调查者承认由于计算机安全侵害而导致经济损失。可计算的损失为 455,848,000 美元专利信息被盗损失为 170,827,000 美元金融诈骗损失为 115,753,000 美元74%的被调查者称其互联网连接经常受到攻击 33%的被调查者称其内部系统经常受到攻击,*来源：2002 CSI/FBI 计算机犯罪和安全调查,欧洲的安全管理规程,皇家法令 994/1999（西班牙）针对个人数据文件的安全性法规欧洲隐私管理规程 关于个人身份信息的安全措施，包含对收集、使用和访问数据的限制欧洲电子签名管理规程有效电子签名的要求 欧洲计算机犯罪条约委员会,8,亚太地区安全性准则,用于保护隐私的 OECD 准则澳大利亚隐私法案 1988用于保护数据的协同方案信息隐私法规=国家隐私法规香港个人数据（隐私）条例 1995 日本新的隐私保护法律将于 2005 年 4 月 1 日生效,9,从客户的观点来看，,10,身份管理和安全性的商业推动因素,Web 应用程序非常优秀,开发成本较低易于部署可从任何位置访问,但是,12,这些应用程序是否安全？,能否在任何地点、任何时间进行访问？,采用新技术,消失的边界,是否符合法规？,13,基本需求,以安全的方式对数据进行智能分析符合法规在多个技术层中跟踪身份尽量减少由于数据丢失、被盗和过于暴露而带来的风险具备验证及访问管理的端到端安全性 易于使用、易于管理并且安全的终端安全性基于标准的安全性（互操作性）,Oracle 数据库 10g=25 年以上的安全性领导地位,1977,2004,标签安全性+身份管理 列安全策略 17 项安全评估 身份管理版本 细粒度审计 通用标准(EAL4)Oracle 标签安全性(2000)虚拟专用数据库(1998)企业用户安全性 Oracle 互联网目录 数据库加密 API 推出 Oracle 高级安全性 网络加密、RADIUS、Kerberos、PKI 第一个橘皮书 B1 评估(1993)可信的 Oracle7 多级安全数据库(1992)政府客户,15,安全性的最佳应用,使用数据库安全特性的策略,16,风险管理,在可负担性、可用性和安全性之间找到一个平衡点风险管理非常重要通过以下方法预防风险全局式安全分析安式式设计安全式编程安全式部署,17,基本的安全性原则,了解您的用户最低权限原则监控的合法性,数据,审计,访问控制,验证,安全性的两个方面管理开发,18,安全性的管理方面,19,应用程序中的互操作性及标准,由“标识”所建立的认证与可信身份建立信任关系使用多种应用程序技术OCIJDBC、.NETOracle Forms/Oracle ReportsOC4JWeb 服务,平台的安全性和身份管理,外部安全性服务,Oracle平台安全性,应用程序安全性,电子商务套件,职责、角色,协作套件,S-MIME、相互权利,OracleASPortal/Wireless,Roles,Privilege Groups,Oracle Internet Directory,OracleAS认证授权,目录集成和供应,OracleAS一次性登录,委托管理服务,第三方应用程序,授权、隐私、审计,OracleAS门户/无线,角色、权限组,Oracle 数据库,企业用户、VPD、加密标签安全性,Oracle 身份管理,Oracle 应用服务器,JAAS、WS 安全性Java2 许可,21,Oracle 数据库 10g 集成身份管理功能,数据库企业用户安全性功能在 Oracle 应用服务器 10g 身份管理基础架构中管理数据库用户统一的用户模型单一应用服务器 Web 一次性登录与数据库口令=增强的安全性！全面集成 Oracle 标签安全性与 Oracle 身份管理 在 Oracle 应用服务器 10g 身份管理基础架构中管理用户和安全检查,22,在进行身份管理和 EUS 部署之前,DBA：创建用户名和口令重新设置口令管理角色设置口令策略将用户名与身份相匹配,应用程序数据库,23,在进行身份管理和 EUS 部署之后,用户身份管理员,应用程序数据库,Oracle身份管理,其他企业目录（可选）,Oracle 标签安全性,应用程序表,敏感：ACME,敏感度标签敏感：ACME敏感：WIDGET高度敏感：ACME一般：ACME,存储 IDAX703B789CJFS845SF78SD,收入10200.3418020.3415045.2321004.45,部门财务工程法律 人力资源,OK,OK,Oracle 标签安全性身份管理集成,集中管理Oracle 标签安全性策略敏感度标签 用户标签授权益处对目录用户执行标签授权集中执行统一的策略 辅助网格计算 为网格进行安全检查减轻管理负担 10g 中的新增特性,Oracle 高级安全性选项,网络安全性加密（Net8 本地、SSL、Java）强大的认证功能KerberosPKI 一次性登录（委托、PKI）Radius,PKCS#11 支持允许在智能卡或硬件上使用 Oracle 钱夹=10g 中的新增特性,Oracle 数据库 10g 应用 Kerberos 的企业用户,目录用户使用 Kerberos 证书认证到数据库中益处利用桌面登录的端到端安全性实质上没有管理成本在异种环境中进行集中管理,28,网络加密：线路中的保密,#yu1(*tp4e,-行业标准算法 多达 256 位的 RCA RC4、AES、3DES（2 个密钥和 3 个密钥）-可以方便的建立在数据库客户端与服务器之间 通过 FIPS 评估 防止数据更改、数据重放和中间人攻击,%oiu*hjktyot,标准客户端,Oracle10g 数据库,Oracle10g AS,29,企业管理器帮助实施安全性的最佳应用,供应用户适当的访问权限检查系统中权限过多的帐户为 EM 用户管理提供相关环境的链接使用安全的配置Oracle 产品部署在一个普通的不安全配置环境中，则向客户报警部署安全的安装版本、补丁提供 Oracle 产品安全性补丁的快速通知便于安全性补丁的应用,30,Oracle 数据库 10g 审计,细粒度审计(FGA)增加对插入、更新和删除操作的粒度审计支持利用新视图增强对审计记录的访问在数据库中提供新的单一审计视图Oracle9i 只支持对选择操作的审计,在数据库中执行审计策略,.Where Salary 500000AUDIT COLUMN=Salary,31,审计的最佳应用,建立正常行为和异常行为对于高度重要的事务进行 FGA 创建 AuditManager 角色AUDIT ANY 权限在 DBA_AUDIT_TRAIL 上进行选择操作在 AUD$上进行删除操作为 AuditManager 角色授权并停止使用 SYS！,32,Oracle 数据库 10g 的应用程序安全性,33,Oracle 数据库 10g 中的新功能,虚拟专用数据库增强功能升级的加密工具包公共密钥基础架构增强功能默认的安全性Oracle 企业管理器安全性,34,Oracle 数据库 10g 虚拟专用数据库,在 Oracle8i 中开始推出数据库强制执行可编程的行级安全性,VPD策略,35,Oracle 数据库 10g 虚拟专用数据库,列相关策略只有在访问特定列的时候才强制执行该策略提高行级安全性的粒度,36,Oracle 数据库 10g 虚拟专用数据库,列筛选可选的 VPD 配置返回所有行，但滤除那些不符合标准的行的列值,37,Oracle 数据库 10g 虚拟专用数据库,性能增强静态策略动态策略静态策略不变的策略有助于进行托管动态策略在策略返回不同的谓词时，这是个好的选择每日定时执行,38,Oracle 数据库 10g 加密工具包,Oracle10g 具有一个简单的加密/解密接口DBMS_CRYPTO 程序包DES、3DES、AES 加密MD5 校验和编程密钥管理10g 的增强用户接口加密 blob 数据类型应用程序必须提供密钥生成、管理和恢复功能加密密钥必须存储在某处 可以存储在数据库文件中、操作系统中、磁盘上等等,全局应用程序环境,应用服务器,1.用户 A 连接,2.应用程序确定用户 A 为 Gold,3.应用程序创建 Gold、Silver、Bronze 全局环境,4.应用程序重新设置 client_identifier 为 Gold,5.用户 B 连接,6.应用程序确定用户 B 为 Bronze,7.应用程序重新设置 client_identifier 为 Bronze,Oracle9i,40,安全的应用程序角色,安全的应用程序角色是指由程序包所实施的角色 程序包在设置角色（SET ROLE）完成之前能够执行任何所需的验证为用户访问提供灵活性,Oracle Internet Directory,用户 A,用户 B,用户 C,用户 D,Oracle9i,41,代理认证,Oracle9i,1.用户认证到中间层,2.中间层代理用户（DN、证书）身份到数据库,用户 A,用户 B,用户 C,用户 D,用户 A,用户 B,用户 C,用户 D,应用服务器,3.数据库检索用户角色，连接到应用程序模式,Oracle InternetDirectory,Oracle 高级安全性选项,网络安全性加密（Net8 本地、SSL、Java）强大的认证功能KerberosPKI 一次性登录（委托、PKI）Radius,PKCS#11 支持允许在智能卡或硬件上使用 Oracle 钱夹安全性模块=10g 中的新增特性,Oracle 数据库 10g 经过 Kerberos 处理的企业用户,目录用户使用 Kerberos 证书认证到数据库益处利用桌面登录的端到端安全性实质上没有管理成本在异种环境中进行集中管理,44,网络加密：在线路中保密,#yu1(*tp4e,-行业标准算法 多达 256 位的 RCA RC4、AES、3DES（2 个密钥和 3 个密钥）-易于建立在数据库客户与服务器之间 通过 FIPS 评估 防止数据更改、数据中继和中间人攻击,%oiu*hjktyot,标准客户端,Oracle10g 数据库,Oracle10g AS,45,企业管理器帮助实现安全性的最佳应用,利用适当的访问方式来供应用户检查系统中具有过多权限的帐户为 EM 用户管理提供相关环境的链接使用安全的配置如果利用普通的不安全配置来部署 Oracle 产品，则向客户报警部署安全的安装文件、补丁提供关于 Oracle 产品安全性补丁的快速通知便于安全性补丁的应用,46,Oracle 数据库 10g 安全性,Oracle 数据库 10g 企业版中提供的可获得许可的选项,A,48,接下来，您可以,参加相关讲座计划您的 Oracle 身份管理部署管理应用服务器用户在 Microsoft 环境中管理身份参观相关演示/展出在甲骨文产品演示区中的身份管理产品展位我们的软件如何服务于您的业务作客甲骨文产品演示区中的 Oracle 指导，以获得个性化的建议有关详细信息，请访问：http:/,