数据是所有组织的重要驱动力。了解 Oracle 的数据安全性解决方案将如何可靠保护数据库中存储的数据,确保数据机密、完整、可用。
KuppingerCole 2021 年的数据库和大数据安全性 Leadership Compass 报告再次将 Oracle 评为了总领导者。
全面了解关于数据库安全性的所有信息,包括最新威胁、架构图以及如何使用优秀实践降低敏感数据的风险。
为何数据库安全性至关重要?
降低数据库配置不当的风险
数据库是一个包含数百个参数、配置文件选项和配置指令的复杂系统,几乎有无数种设置组合。如果配置不当,数据库会面临更大的风险,引发非授权访问问题。Oracle 安全性解决方案可以评估数据库的安全配置以及用户和身份风险,帮助企业识别可在哪些环节缓解或消除风险。
查看数据库安全性解决方案让被盗数据失效
黑客可以直接从数据库、存储、导出或备份中窃取明文数据库数据。对此,大多数数据隐私法规要求或鼓励进行静态和动态数据屏蔽或加密。Oracle 数据库不仅提供全面的加密、密钥管理和屏蔽功能,还能凭借杰出的可扩展性满足企业级工作负载需求。
限制来自特权用户的非授权访问
特权用户肩负着数据库管理职责,但这不代表所有特权用户都适合访问敏感数据。对此,Oracle 数据库可降低黑客入侵或滥用内部信任带来的数据泄露风险;可实施职责分离,防止数据被盗,甚至是密码泄露的账户盗取数据;可使用上下文敏感的安全策略来控制敏感数据库。
查看数据库安全性解决方案监视访问行为并提供合规证明
如果能够快速检测不当访问企图,企业可以及时阻止或降低信息泄露风险。对此,Oracle 数据库可实时审计数据库活动和监视 SQL 查询;可使用内置自定义报告来满足合规要求。
查看数据库安全性解决方案Oracle 数据库安全性解决方案
评估安全态势和风险状况
系统配置不当是数据泄露的一个常见原因,同时,非经授权的特权和角色授予也可能导致数据丢失或被滥用。Oracle 助您全面评估数百项数据库配置设置,快速发现安全问题,降低所有风险。
- 建立安全基准配置,检测实际配置与基准配置的偏差。
- 监视数据库帐户,快速检测新帐户或现有帐户权限的变更。
- 获取关于使用 Oracle 优秀实践、CIS 基准、DISA STIG 和欧盟通用数据保护条例 (GDPR) 来提高安全性的专业建议。
- 识别数据库中敏感数据和个人数据的风险级别和所需安全控制,从而降低风险。
- 识别高权限用户。当发生攻击或滥用事件时,高权限用户帐户可能引发严重的数据库风险。
解决方案
- Oracle 数据安全
一项用户和安全性评估云服务,适用于云数据库和本地部署数据库。
观看 Oracle 数据安全视频 (1:49) - Oracle 数据库安全性评估工具
下载评估实用程序,免费评估数据库安全性。
加密 — 一项基本的安全技术
如果不对网络传输的数据进行加密,恶意攻击者可以轻松“嗅探”网络流量,查看任何潜在的敏感数据。如果不对数据库中的静态数据进行加密,任何拥有底层存储(包括数据文件、备份和数据库导出)访问权限的人都可以使用文件系统工具绕过访问控制和审计策略,直接读取数据。使用 Oracle 加密解决方案,您可以:
- 执行数据加密,降低数据泄露和违规的影响。
- 通过适当的密钥管理来提高可管理性和弹性。
解决方案
- Oracle Advanced Security
Oracle Advanced Security 提供透明数据加密 (TDE) 和数据编辑功能。它是一个集成数据库选项,不需要安装即可使用。而对于数据库会话,Oracle 专门采用了透明数据加密方法。
- Oracle 密钥管理
Oracle 密钥管理服务提供高度可用的密钥和密文管理功能。
观看 Oracle 密钥管理服务视频 (8:31)
消除测试和开发环境中的风险
攻击者的一个常见攻击对象是测试和开发环境,因为这类环境通常不受监视且通常未部署与其他环境同等级别的数据保护控制机制。对此,数据屏蔽功能可使用屏蔽后的人工数据来替换敏感数据,消除风险 — 即使发生数据泄漏也不会丢失真实数据。而通过使用模板和库,您可以快速识别和屏蔽敏感数据。
解决方案
- Oracle 数据安全
Oracle 数据安全云服务可扫描数据库中的敏感数据并屏蔽非生产系统中的敏感数据,消除安全风险。
观看视频:使用 Oracle 数据安全服务发现和屏蔽敏感数据 (11:58) - Oracle Data Masking and Subsetting
Oracle Data Masking and Subsetting 是 Oracle Enterprise Manager 的一个功能包,它不仅可以扫描数据库中的敏感数据并屏蔽非生产系统中的数据,消除安全风险,还可以创建更小的数据副本,尽可能降低非生产系统中的存储成本。
最小权限原则
被盗账户是几乎所有数据库泄露事件的“标配”。现实中,黑客特别青睐应用服务账户和数据库管理员账户,因为这类账户拥有不受限制、广泛的敏感数据访问权限。利用数据访问控制,您可以:
- 实施职责分离,基于安全权限来进行访问控制。
- 识别敏感数据,确保管理员可以管理数据库但无法访问敏感数据。
- 当用户访问敏感数据时,确保用户按照组织政策,在适当的上下文内访问。
- 基于多重因素来控制 SQL 命令和关键数据库操作。
解决方案
- Oracle Database Vault
这一集成数据库选项可防止未经授权的访问(甚至是特权用户访问)并锁定数据库命令。
网播:特权用户帐户安全保护 - Oracle 标签安全性
这一集成的数据库选项可基于分类和组织等,限制用户和应用访问数据。
检测威胁,监视活动
大多数情况下,企业都是在事后甚至初次数据泄露发生数月后才检测到非授权访问。在从发生数据泄露到企业发现数据泄露的这段时间里,攻击者可以持续从数据库中盗取数据,这极大加重了企业的损失。对此,早期检测可以缩短数据泄露持续时间,降低数据泄露的严重性,在某些情况下甚至可以完全防止数据泄露。
监视数据库活动有助于调查并识别发生了什么事件、事件发生的具体时间以及具体访问了哪些数据。通过审计和监视 Oracle 以及其他数据库和操作系统中的用户活动,您可以:
- 检测并阻止数据库活动中的威胁。
- 简化合规报告,识别风险用户行为。
- 遵守 CIS 基准和 DISA STIG 审计要求。
- 供应适当的审计策略,从而平衡活动监视与收集和存储审计数据的影响。
解决方案
- Oracle 数据安全
一项审计数据收集、警报和合规报告云服务,适用于云数据库和本地部署数据库。
观看视频:供应审计和警报策略 (8:36)
观看视频:分析审计记录和警报 (7:26) - Oracle Audit Vault and Database Firewall
一项跨平台的审计数据收集、数据库活动监视和灵活报告服务,以软件设备的形式提供。
观看 Oracle Audit Vault and Database Firewall 概述 (8:38)
网播:数据库活动审计
通过 LiveLabs 引导式课程获得针对 Oracle 安全性解决方案的实操体验。
计划、采用和创新