oracle之 oracle database vault（數據庫保險庫）

時間 2019-11-24

標籤 oracle database vault 數據庫保險欄目 Oracle 简体版

原文原文鏈接

在12c建庫中 Database Vault 與 Label Security 選項，以前沒有留意過，特地記錄一下html

12.1 中：linux

12.2 中：數據庫

轉載：http://www.linuxidc.com/Linux/2011-12/48689p2.htmapi

本篇包含以下內容：安全

· 什麼是Oracle Database Vault?架構

· Oracle Database Vault組成部分oracle

· Oracle Database Vault遵循哪些規範數據庫設計

· Database Vault應對哪些內部威脅分佈式

· Oracle Database Vault容許制定靈活的安全策略ide

· Oracle Database Vault如何應對數據庫聯合

1.1 什麼是Oracle Database Vault?

Oracle Database Vault可以限制任何用戶訪問數據庫中的特定區域，包括擁有管理（administrative）權限在內的用戶，例如，你能夠限制管理員訪問員工薪水、客戶醫療記錄、或者其餘敏感信息。

這樣你就能夠針對你的敏感數據以多種方式來應用細粒度的訪問控制，它加固Oracle數據庫實例，同時增強了分離傳統高權限用戶職責的這個業界最佳實踐。更重要的是，它使你的數據免遭特權用戶損壞，同時又容許他們維護Oracle數據庫。Oracle Database Vault是你的企業不可分割的一部分。

經過Oracle Database Vault，你能夠解決如今仍然是最困難的安全問題：保護數據免遭內部威脅，知足一般的合規要求，增強職責隔離。

你能夠配置Oracle Database Vault去管理獨立的Oracle數據庫實例的安全。你能夠安裝Oracle Database Vault到一個獨立的Oracle數據庫設備上、多個Oracle home下、以及Oracle RAC環境中。

更多關於Oracle Database Vault的FAQ請訪問以下連接：

http://www.oracle.com/technology/deploy/security/database-security/database-vault/dbv_faq.html

更多OTN上關於Oracle Database Vault的信息請訪問以下連接：

http://www.oracle.com/technology/deploy/security/database-security/database-vault/index.html

1.2 Oracle Database Vault組成部分

Oracle Database Vault包含以下部分：

· Oracle Database Vault 訪問控制組件

· Oracle Database Vault 管理員組件(DVA)

· Oracle Database Vault配置助手（DVCA)

· Oracle Database Vault DVSYS和 DVF Schemas

· Oracle Database Vault PL/SQL接口和開發包

· Oracle Database Vault和Oracle Label Security PL/SQL APIs

· Oracle Database Vault 監控和報告工具

1.2.1 Oracle Database Vault訪問控制組件

Oracle Database Vault使你可以建立以下組件來保護你的數據庫實例的安全：

· 域：域是須要被保護的數據庫schemal、對象、角色的一個功能上的集合。例如：你能夠將和帳戶、銷售、或者人力資源相關的數據庫schemal、對象、角色組成一個域。當你將這些組成一個域後，你可使用域來控制賦給特定帳戶或者角色的系統權限的使用。這樣你就能夠給任何想使用這些數據庫schemal、對象、角色的用戶提供細粒度的訪問控制。Chapter 4, "Configuring Realms" 詳細討論了域。.

· 命令規則：命令規則是一個特殊的規則，經過這個規則，你能夠控制用戶如何執行他們可以執行的幾乎全部的SQL語句，包括SELECT, ALTER SYSTEM, database definition language (DDL), 和data manipulation language (DML)語句.命令規則必須和規則集一塊兒決定某個語句是否容許執行。Chapter 6, "Configuring Command Rules" 詳細討論了規則集.

· 因素：因素是一個命名變量或者屬性，例如用戶位置、數據庫IP地址、會話用戶，這些因素是Oracle Database Vault可以識別和保護的。你能夠針對用戶活動使用這些因素，例如受權數據庫帳戶連接到數據庫，或者建立過濾邏輯條件來限制數據的可見性和可管理性。每一個因素能夠包含一個或者多個標識，標識是因素的具體的值。一個因素能夠包含多個標識，這取決於因素的檢索方法或者它的映射邏輯。Chapter 7, "Configuring Factors" 詳細討論了因素.

· 規則集：規則集是一個或者多個規則的集合，你能夠將規則集和一個域的受權、命令規則、因素指派、或者安全應用角色關聯起來。規則集基於其中的每一個規則的計算值以及規則的計算方式（全部爲真或者任意爲真）。規則集中的規則是一個結果爲「true」或「false」的PL/SQL表達式。Chapter 5, "Configuring Rule Sets"詳細討論了規則集。

· 安全應用角色：一個安全應用角色是一個特殊的Oracle數據庫角色，它能夠基於Oracle database vault規則集的計算結果激活。Chapter 8, "Configuring Secure Application Roles for Oracle Database Vault"詳細討論了安全應用角色。

爲了增強這些組件的功能，Oracle Database vault提供了一系列的PL/SQL接口和包。"Oracle Database Vault PL/SQL Interfaces and Packages" 提供了一個歸納的介紹.

一般狀況下，你要作的第一步是建立一個包含你想保護的schema或者數據庫對象的域，而後你就能夠經過建立規則、命令規則、因素、標識、規則集、安全應用角色來保護你的域。除此之外，你能夠運行報告工具來報告這些組件監控和保護的活動。Chapter 3, "Getting Started with Oracle Database Vault"提供了一個簡單的指南，可使你熟悉Oracle Database Vault的功能，Chapter 16, "Oracle Database Vault Reports"提供了更多關於如何運行報告來檢查配置和其它Oracle Database Vault 完成的活動。

1.2.2 Oracle Database Vault管理員(DVA)

Oracle Database Vault 管理員是一個基於Oracle Database Vault的PL/SQL API構建的Java程序。這個程序可讓不熟悉PL/SQL接口的安全管理者經過友好的用戶界面來配置訪問控制策略。Oracle Database Vault管理員程序提供了衆多的安全相關的報告，這些報告能夠幫助瞭解基準的安全配置。這些報告同時也有助於指出與基準配置相比，當前配置有哪些變化。

Chapter 4 到 Chapter 9解釋瞭如何經過Oracle database Vault管理員程序來配置訪問策略,以及如何將Oracle Database Vault與其它Oracle產品集成起來. Chapter 16, "Oracle Database Vault Reports" 解釋了Oracle Database Vault報告.

1.2.3 Oracle Database Vault 配置助手 (DVCA)

爲了執行維護任務，可使用命令行工具Oracle Database Vault配置助手(DVCA).更多信息請參考Appendix C, "Postinstallation Oracle Database Vault Procedures".

1.2.4 Oracle Database Vault DVSYS and DVF Schemas

Oracle Database Vault 提供了DVSYS這個schema來存儲全部須要Oracle Database Vault保護的數據庫對象。DVSYS schema包含角色、視圖、帳戶、函數、以及其它Oracle Database Vault使用的數據庫對象。DVF schema包含一些公共函數，這些函數用於從Oracle Database Vault訪問控制配置中讀取因素值的集合。

Chapter 10, "Oracle Database Vault Objects" 詳細描述了這兩個schema.

1.2.5 Oracle Database Vault PL/SQL 接口和包

Oracle Database Vault提供了一個PL/SQL接口和包，讓安全管理員或者應用程序開發者按需配置訪問控制策略。PL/SQL存儲過程和函數使得普通的數據庫帳戶可以在一個數據庫會話上下文中在訪問控制策略邊界裏進行操做。

參考Chapter 14, "Using the Oracle Database Vault PL/SQL Interfaces" and Chapter 11, "Using the DVSYS.DBMS_MACADM Package"獲取更多信息.

1.2.6 Oracle Database Vault 和Oracle Label Security PL/SQL APIs

Oracle Database Vault提供了可以和Oracle Label Security集成的訪問控制能力。Oracle Label Security是和Oracle Enterprise Manager Database Control集成的，Oracle Enterprise Manager Database Control可以讓安全管理員定義應用到數據庫對象的標籤安全策略。Oracle Label Security一樣提供了一組能夠供數據庫應用程序開發者用來提供標籤安全策略的PL/SQL API

參考 "Integrating Oracle Database Vault with Oracle Label Security" 獲取更多關於Oracle Database Vault和Oracle Label Security如何配合的信息. 參考 Oracle Label Security Administrator's Guide 獲取更多關於Oracle Policy Manager的信息.

1.2.7 Oracle Database Vault 報告和監控工具

你能夠根據Oracle Database Vault監控的不一樣的活動來生成報告，你能夠監控策略的改變、異常的安全嘗試、數據庫配置和結構的變化。

參考 Chapter 16, "Oracle Database Vault Reports" 獲取更多關於你能夠生成的報告的信息. Chapter 15, "Monitoring Oracle Database Vault" 解釋瞭如何監控Oracle Database Vault.

1.3 Oracle Database Vault遵循哪些規範

對規章制度的順從的一個最大的好處是安全意識。歷史上，關於信息技術部門的關注重點在可得到性和性能上面，而對遵照規章制度的關注要求每一個人退後一步，而後從安全的角度看看他們的IT基礎設施、數據庫、應用程序。一般的問題包括：

· 誰可以訪問這些信息？

· 敏感信息存儲在哪裏？

法律法規如Sarbanes-Oxley Act, Health Insurance Portability and Accountability Act (HIPAA), International Convergence of Capital Measurement and Capital Standards: a Revised Framework (Basel II), Japan Privacy Law, Payment Card Industry Data Security Standard (PCI DSS), and the European Union Directive on Privacy and Electronic Communications都含有一些常見的主題，例如內部控制、職責分離，以及訪問控制。

然而，對於像Sarbanes-Oxley and HIPAA這些法規來講，最大的挑戰是程序上的，剩餘的部分可能須要技術投資。法律規章中一個常見的安全需求是嚴厲的內部控制。Oracle Database Vault可以幫助組織達到要求的程度隨不一樣的法律規章而變化。一般狀況下，Oracle Database Vault域、職責分離、命令集、因素整體上有助於減小全世界的法律規章規定的安全威脅。

Table 1-1列出了法律規章給出的潛在的安全威脅

Table 1-1法律規章給出的潛在的安全威脅

Regulation	Potential Security Threat
Sarbanes-Oxley Section 302	未經受權修改數據
Sarbanes-Oxley Section 404	修改數據，未經受權訪問
Sarbanes-Oxley Section 409	拒絕服務，未經受權訪問
Gramm-Leach-Bliley	未經受權訪問, 修改,查看
Health Insurance Portability and Accountability Act (HIPAA) 164.306	未經受權訪問
HIPAA 164.312	未經受權訪問
Basel II – Internal Risk Management	未經受權訪問
CFR Part 11	未經受權訪問
Japan Privacy Law	未經受權訪問
EU Directive on Privacy and Electronic Communications	未經受權訪問
Payment Card Industry Data Security Standard (PCI DSS)	未經受權修改數據

1.4 Database Vault應對哪些內部威脅

多年來，蠕蟲、病毒，和外部入侵者（黑客）被認爲是計算機系統最大的威脅。不幸的是，常常被忽視的是可信用戶以及特權用戶可能盜竊或者修改數據。

Oracle Database Vault使用域、因素、命令規則來應對內部威脅。這些手段合起來提供強大的安全工具來幫助保護對數據庫、應用程序、敏感數據的訪問。你能夠結合規則和因素來控制在什麼樣的條件下數據庫命令可以被執行，控制被域保護的數據的訪問。例如，你能夠基於IP地址、時間日期、特定的應用程序來建立規則和因素來控制對數據的訪問。這樣能夠限制只能由知足條件的鏈接纔可以訪問數據，以此來防止未經受權訪問應用數據和爲經受權的應用訪問數據庫。

Oracle Database Vault提供一些內置的因素，你能夠將其與規則結合來控制數據庫訪問、域保護應用、以及數據庫內部的命令。

你能夠將規則以及因素和幾十個數據庫內部命令關聯起來，提供更強的數據庫內部控制。你能夠定製這些手段來知足你的操做策略。例如，你能夠定義一個規則來限制特定IP地址特定主機名稱運行ALTER SYSTEM語句。

1.5 Oracle Database Vault容許制定靈活的安全策略

Oracle Database Vault能夠幫助你爲你的數據庫設計靈活的安全策略。例如，任何具備DBA角色的數據庫用戶，如SYSTEM，可以修改數據庫的基本參數。加入一個有系統特權的菜鳥管理員決定啓動新的redo log文件，可是他並無意識到在特定的時間進行那樣操做會致使數據庫出問題。經過Oracle Database Vault，你能夠建立一個限制使用ALTER SYSTEM SWITCH LOGFILE的命令規則來防止這樣的用戶作這樣的操做。

除此之外，你也能夠將規則綁定到命令規則上，以此來多方面的限制活動，例如，按照以下方式限制語句的執行：

· 按照時間（例如，只能在週五下午4~5點執行）

· 只能本地訪問, 即不容許遠程訪問

· 按照IP地址(例如，只容許每一個特定範圍的IP地址訪問)

經過這種方式，你能夠很當心的控制和保護你的系統。你能夠按照你的須要激活或者禁止命令規則，你也能夠經過Oracle Database Vault管理員工具很是容易的集中維護命令規則。

1.6 Oracle Database Vault如何應對數據庫聯合

Oracle的客戶擁有數百甚至數千分佈在企業或者全球的數據庫。所以，數據庫合併在將來的幾年將持續做爲一個成本節約策略。分佈式的數據庫架構提供的物理安全在合併環境中也必須具有。Oracle Database Vault提出了關於數據庫合併的主要關注點。

Figure 1-1 代表了Oracle Database Vault 如何應對這些關注點:

· 管理特權帳戶訪問應用數據: 這種狀況下，Oracle Database Vault 防止DBA訪問由FIN域保護的schema。儘管DBA是最強大和可信的用戶，但DBA並不須要訪問數據庫中的應用數據。

· 應用數據訪問的職責分離: 這種狀況下，由Oracle Database Vault 建立的，FIN域擁有者，可以訪問FIN域的schema.

Figure 1-1 Oracle Database Vault 安全

Description of "Figure 1-1 Oracle Database Vault Security"

數據庫合併致使不少強大的用戶帳號駐留在單個數據庫中。這意味着除了整個數據庫的DBA，各個應用schema的擁有者也具備強大的特權。廢除一些特權將反過來影響已有的應用。經過Oracle Database Vault域，你能夠經過可信路徑、防止未經受權的用戶使用特權查看數據兩個手段來增強對應用數據的訪問。例如，能夠防止擁有SELECT ANY TABLE特權的DBA使用這個特權來查看應用數據。