- Database Vault 是什么?
Oracle Database Vault 是一个数据库安全选件,用于防止 DBA 访问应用程序数据,保护数据库结构以防止未经授权的更改,以及通过设置各种访问控制来满足动态、灵活的安全要求。这些功能有助于实现职责分离、合规性以及内部控制。您可以配置 Oracle Database Vault 来管理单个 Oracle 数据库实例的安全性。还可以在独立的 Oracle 数据库安装以及 Oracle 真正应用集群 (RAC) 环境中使用 Oracle Database Vault。
- Database Vault 现在是否已推出,它适用于哪些平台?
Database Vault 目前已推出了版本 10.2.0.2,可以从 OTN 下载。Oracle Database Vault 版本 10.2.0.2 适用于 Linux x86(32 位)和 Solaris 操作系统 (SPARC)(64 位)。
- Database Vault 是否适用于其他平台?
您可以将 Oracle Database Vault 10.2.0.3 移植到其他支持 Oracle 数据库的平台上。
- Database Vault 是如何打包的?
Oracle Database Vault 是 Oracle 数据库的一个选件。Oracle Database Vault 可安装到 Oracle 数据库 10g 第 2 版 (10.2.0.2) 或更高版本中。Oracle Database Vault 将安装其他安全组件和机制(即,访问控制),以防止具有超级权限的用户 (DBA) 访问数据。
- 是否可以举一些 Database Vault 的业务用例示范?
可以,这些示例位于 OTN 上:http://www.oracle.com/technology/global/cn/deploy/security/db_security/database-vault
- Database Vault 是否需要单独的数据库?
Oracle Database Vault 是 Oracle 数据库 10g 企业版 (10.2.0.2) 的一个选件。
- 运行 Database Vault 需要哪些 Oracle 软件?
Oracle Database Vault 需要 Oracle 数据库 10g 第 2 版 (10.2.0.2) 企业版或更高版本。
- Database Vault 适用于数据库的早期版本吗?
目前,我们不打算让 Oracle Database Vault 支持 Oracle 数据库 10g 第 2 版 (10.2.0.2) 之前的版本。
- Database Vault 是否通过了 Oracle 应用程序认证?
Oracle 正打算在 Oracle 电子商务套件、PeopleSoft 应用程序和 Siebel 中认证 Oracle Database Vault。请等待通告。Oracle 合作伙伴网也将与 Oracle 合作伙伴展开合作。
- Oracle Database Vault 是否需要 Oracle 真正应用集群 (RAC)?
不需要。但是,您可以在 Oracle 真正应用集群 (RAC) 环境中使用 Database Vault。
- 推动今 IT 机构安全要求的因素是什么?
推动目前 IT 机构安全要求的宏观问题有两个:(1) 如何避免“内部威胁”— 来自企业内部且具有某种特权的恶意个人(其实际行为与受信任度不符)发出的攻击,(2) 需要设置控制机制以解决由于隐私与公司管理法规而导致的合规性要求。后者包括 Sarbanes-Oxley、HIPAA、Gramm-Leach Bliley、日本隐私法、BASEL II 等等。
- 可以使用 Oracle Database Vault 来满足 Sarbanes-Oxley 要求吗?
Oracle Database Vault 旨在帮助解决各种法规中的技术安全性要求,包括 Sarbanes-Oxley。Oracle Database Vault 在数据库内部提供了强大的内部控制,实现了职责分离,从而防止 DBA 查看应用程序数据。
- Database Vault 如何帮助客户解决合规性要求?
企业可使用 Database Vault 充当预防手段。换言之,企业可以配置 Database Vault 来防止具有超级权限的用户 (DBA) 访问应用程序数据。通过这种方式进行控制,企业可在个人访问系统时实现所需的职责分离,从而满足特定的法规要求。这是许多法规中的常见要求,并在 Sarbanes-Oxley 的 404 条款中进行了专门备注。此外,Database Vault 随附有一套预定义报表,指定了谁在何种条件下可以访问哪些数据。这些报表提供了一种可证明企业合规性的方法。
- Database Vault 如何应对“内部威胁”?
Database Vault 通过对数据库、应用程序以及数据的访问方式施以强有力的控制,解决了“内部威胁”问题。此外,Database Vault 支持针对数据库高级用户(如具有超级权限的用户 (DBA))的额外保护措施。Database Vault 使用一个称为“领域”(Realm) 的安全特性来限制这些用户可以访问的数据。此外,Database Vault 还提供了命令规则和多因素授权,以控制数据库、应用程序以及数据的访问时间、方式和地点。
- 内部控制是什么?
内部控制是用于实施业务最佳实践的机制。它们通常与解决合规性要求密切相关。内部控制本质上是可以预防、监测或纠正的。预防性控制旨在阻碍或预先制止错误或违规的出现。用户一般认为这种控制要比检测控制更经济。Oracle Database Vault 就可以充当自动预防控制 — 更适用于公司的内部审计部门。
- 超级用户和特权用户是哪些人?
特权用户是被授予数据库内强大权限或管理角色的用户。这些用户一般是管理员,也可以是由于应用程序开发而获得系统访问权限的开发人员、由于应用程序集成而获得此类权限的合作伙伴,甚至是有权访问数据库开发工具(如 Oracle Discoverer)的分析人员。超级用户是最高级别的特权用户,通常具有 SYSDBA 访问权限。
- Oracle Database Vault 如何实施这些安全机制?
Oracle Database Vault 引入了几个新概念:
- 领域 — 一种充当“保护区”的容器。Database Vault 管理员可以创建领域并定义其中的内容。这个领域可由数据库对象组成,如单个表、多个表、整个应用程序或多个应用程序。
- 命令规则 — 规则集合,您可以创建该集合以控制用户执行几乎任何 SQL 语句的方式,包括 SELECT、ALTER SYSTEM、数据库定义语言 (DDL) 以及数据操作语言 (DML) 语句。命令规则可以与规则集配合使用,以确定是否允许某个语句。规则集使用的是因素 (Factor),如当天时间、IP 地址、主机名或任意数量的与用户相关的可识别属性。例如,如果命令规则说明应用程序的访问只限于工作时间、从内部 IP 地址进行访问和/或通过任意数量的可配置参数访问,那么只能向用户授予访问特定数据的权限。这些限制可应用于所有系统用户,包括权限最大的 DBA。
- 多因素授权 — 在决策过程中利用多个因素的规则集。安全管理员可根据特定的合规性要求或安全性要求定义这些规则。例如,限制到特定 IP 或 IP 地址范围的连接。
- Oracle Database Vault 还有哪些功能?
除了上述功能外,Oracle Database Vault 还提供了一个基于 web 的管理控制台,可用于配置和管理应用程序。Database Vault 提供的仪表板可用于监视政策和配置设置。Oracle Database Vault 附带了 36 个现成的报表,详细说明了哪些权限可以访问哪些内容,从而有助于证明企业的合规性。
- Oracle Database Vault 能替代应用程序中的安全机制吗?
不能。Oracle Database Vault 通过在数据库内核中添加安全保护来保护数据库和应用程序,从而防止拥有超级权限的用户 (DBA) 直接访问应用程序表。
- Oracle Database Vault 是否经过了正规的安全性评估?
Oracle 打算在通用标准安全认证计划下评估 Oracle Database Vault 的未来版本。
- Oracle Database Vault 是否与 Oracle Audit Vault 一样?
不一样。Oracle Audit Vault 是 Oracle 的未来产品,目前正处于开发阶段,该产品主要关注保护和整合审计数据。Oracle Database Vault 与 Oracle Audit Vault 旨在于企业中共存,以协助客户满足安全、合规性以及隐私需求。
- Oracle Database Vault 中还包含其他 Oracle 数据库安全选件吗?
Oracle Label Security 与 Oracle Advanced Security 都可在 Oracle Database Vault 中使用,但需要分别许可。Oracle Label Security 能够在 Oracle 数据库内启用安全许可并实施多个级别的安全性。Oracle Advanced Security 提供网络通讯加密、强身份验证和透明数据加密。透明数据加密提供了密钥管理和针对应用程序的加密透明性,从而保护磁盘和备份磁带上的个人可识别信息 (PII)。
- Oracle Database Vault 与虚拟专用数据库有哪些不同?
虚拟专用数据库是数据库内的细粒度解决方案,支持客户使用 PL/SQL 构建自定义的行级安全性解决方案。Oracle Database Vault 利用 Oracle 数据库 10g 企业版中的 VPD 和其他安全特性来提供更高级别的解决方案,以保护数据库和应用程序的安全。
- 现有的 Oracle 数据库安全特性能否与 Oracle Database Vault 共存?
可以。Oracle Database Vault 可以利用企业版中的某些安全特性,例如 VPD 和安全应用程序角色。
- Oracle Database Vault 能否与 Oracle 透明数据加密 (TDE) 配合使用?
可以,Oracle Database Vault 可以与 TDE 结合使用。Database Vault 领域、多因素授权和命令规则可以对数据库、应用程序的访问施加安全控制,并通过职责分离控制数据库内的活动。
- Oracle 是否要求合作伙伴签约支持 Oracle Database Vault?
是的,Oracle 已经与许多合作伙伴展开了密切合作。这包括从事风险管理和安全实践的全球系统集成商 (SI) 和计划利用 Oracle Database Vault 获得更佳安性并通过其解决方案帮助满足合规性要求的独立软件供应商 (ISV)。这些合作伙伴包括 Protivity 和 BearingPoint 以及 ArcSight、LogicalApps、Lumigent、Mantas、Tripwire 以及 Vormetric。
- 是否提供培训?
提供。Oracle 大学已开发出针对 Oracle Database Vault 的培训课程。该课程的试用版已在五月初推出。正式的课程尚在计划中,请等待通告。此外,Oracle 技术网上还提供了 Oracle 示例 (OBE) 练习和其他相关资料。
- 可以从何处了解更多信息?
请访问 http://www.oracle.com/goto/databasevault,以获取白皮书、数据表以及其他资料,或就近联系 Oracle 代表 — http://www.oracle.com/corporate/contact/index.html。
书签
