- oracle › opndocs › emea › security...transparent data encryption (tde) oracle database vault...
TRANSCRIPT
![Page 1: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/1.jpg)
![Page 2: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/2.jpg)
<Insert Picture Here>
Обеспечение безопасности данныхНиколай Данюковк.т.н., ведущий консультант, Oracle СНГ
![Page 3: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/3.jpg)
Безопасность
Основные требования заказчиков
Производительность
Масштабируемость
Надежность
![Page 4: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/4.jpg)
“… для коммерческой организации я бы поставил потерюрепутации на первое место. Дело в том, что доброе имянельзя создать в короткий срок, имея даже очень много
денег. Организации тратят годы на то, чтобы сделать своюторговую марку узнаваемой, развивают лояльность маркесо стороны клиентов. Между тем, всего одна утечка может
разом перечеркнуть долгие годы усилий.”
Олег Смолий,главный специалист Управления
по обеспечению безопасности ВТБ
- InfoWatch, 31.01.07
![Page 5: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/5.jpg)
• Коммерческая тайна• Служебная тайна• Служебная и
коммерческая тайна• Банковская• Тайна кредитной
истории• Тайна страхования• Тайна завещания• Налоговая тайна• Тайна усыновления
ребенка• Врачебная тайна• Медицинская тайна• Тайна связи• Аудиторская тайна• Тайна следствия и
судопроизводства• Адвокатская тайна• Нотариальная тайна• Профессиональная тайна• Личная (семейная) тайна и
персональные данные• Тайна исповеди
Нормативные требованияСписок правовых актов и регулируемых ими видов тайн
![Page 6: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/6.jpg)
Нормативные требованияНовые
![Page 7: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/7.jpg)
Нормативные требования … формальное выполнение
![Page 8: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/8.jpg)
Нормативные требования … лучшие практики
![Page 9: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/9.jpg)
Средства безопасности баз данныхНепрерывное развитие EM Data Masking
TDE Tablespace EncryptionOracle Audit Vault
Oracle Database Vault Secure Backup (Tape)
TDE Column EncryptionVPD Column Masking
VPD Column Relevant EM Secure Config Scanning
Client Identity PropagationFine Grained Auditing
Oracle Label SecurityProxy authentication
Enterprise User SecurityVirtual Private Database (VPD)
Database Encryption API Strong Authentication
Native Network Encryption Database Auditing
Government customer
Oracle7
Oracle8i
Oracle Database 9i
Oracle Database 10g
Oracle Database 11g
![Page 10: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/10.jpg)
База данных Oracle®
Средства обеспечения безопасности
Virtual Private Database (VPD)
Oracle Label Security (OLS)
Transparent Data Encryption (TDE)
Oracle Database Vault
Oracle Audit VaultData Masking Pack Identity Management
Oracle Advanced Security
![Page 11: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/11.jpg)
База данных Oracle®
Средства обеспечения безопасности
Защита данныхв сети и аутентификация
Защита данныхна уровне строк
Защита данныхна физическом уровне
Защита данныхот инсайдеров
Сбор, обработкаи защита данных аудита
Oracle Advanced Security
Опция
![Page 12: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/12.jpg)
Успешное применениеOracle Advanced Security
4 из 5 крупных банков в США используют Oracle Advanced Security
4 из 5 крупных телекоммуникационных компаний США применяют Oracle Advanced Security
4 из 5 крупнейших университетов США используют Oracle Advanced Security
5 из 5 наиболее успешных технологических компаний США внедрили Oracle Advanced Security
Industry Rankings based on US News & World ReportTop Universities for 2009Fortune 500, 2008; and Fortune Most Profitable Technology Companies, 2008
![Page 13: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/13.jpg)
Угрозы при передаче данных
1. Кража 2. Подмена
3. Уничтожение
$50,000$500
![Page 14: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/14.jpg)
Защита данных при передачеШифрование
⌧ Алгоритмы шифрования трафика– AES– RSA RC4 (40-,56-,128-,256-bit )– DES (40-, 56-bit) и
3DES (2- and 3-key)⌧ Контрольное суммирование
– MD5, SHA-1– Автоматическое распознаваниеизменений и подмены данных
![Page 15: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/15.jpg)
База данных Oracle®
Средства обеспечения безопасности
Защита данныхв сети и аутентификация
Защита данныхна уровне строк
Защита данныхна физическом уровне
Защита данныхот инсайдеров
Сбор, обработкаи защита данных аудита
Virtual Private Database (VPD)
Технология
![Page 16: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/16.jpg)
Virtual Private Databases ?
Отдельные пользовательскиебазы данных
![Page 17: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/17.jpg)
Virtual Private Databases ?
Единая база данных
![Page 18: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/18.jpg)
Virtual Private Databases
Виртуальные базы данных• тщательный контроль доступаFine Grained Access Control (FGAC) -связывание политик безопасности собъектами БД;
• защита на уровне строкRow Level Security (RLS),(пакет DBMS_RLS)
Обеспечивают доступ пользователейтолько к своим данным
![Page 19: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/19.jpg)
Доступ к данным
Заказчик
Разработчик
80
20
![Page 20: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/20.jpg)
Доступ только к своим данным
Заказчик
Разработчик
select * from customers
80
20
Разрешено читать данныевсем пользователям?
Политика безопасности: НЕТ
![Page 21: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/21.jpg)
Доступ только к своим даннымДинамическое изменение запроса
Запросизменяетсядинамически
Заказчик
Разработчик
select * from orders
id_user=80
id_user=20
80
20
Разрешено читать данныевсем пользователям?
Политика безопасности: НЕТ
![Page 22: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/22.jpg)
Доступ только к своим даннымДинамическое изменение запроса
Заказчик
Разработчик
select * from orders
80
20
Разрешено читать данныевсем пользователям?
Политика безопасности: НЕТ
WHERE id_user = 80
WHERE id_user = 20Запросизменяетсядинамически
![Page 23: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/23.jpg)
Доступ только к своим даннымВиртуальные базы данных
Заказчик
Разработчик
select * from orders
WHERE id_user = 80
WHERE id_user = 20
80
20
![Page 24: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/24.jpg)
Виртуальные базы данных Правило отображения данных в столбце
• Используется, начиная с версии Oracle 10gприменяется только, когда столбец указан в запросе
select store_id, Revenue…
Store_ID
AX703
B789C
JFS845
SF78SD
Revenue
10200.34
18020.34
12341.34
13243.34
Department
Finance
Engineering
Legal
HR
OK
отображаются только те строки, доступ к которымразрешен
![Page 25: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/25.jpg)
Виртуальные базы данных Правило отображения данных в столбце
• Используется, начиная с версии Oracle 10gприменяется только, когда столбец указан в запросе
select store_id, Revenue…
Store_ID
AX703
B789C
JFS845
SF78SD
Revenue
18020.34
Department
Finance
Engineering
Legal
HR
OKOKOK
OK
может быть настроено для отображения всех строктаблицы, причем значения полей столбцав «чужих» строках фильтруются (скрываются)
Real TimeDatabaseMasking
![Page 26: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/26.jpg)
Виртуальные базы данных
WHERE id_user = 80
WHERE id_user = 20
Простое правилос использованием значения
идентификатора пользователя
![Page 27: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/27.jpg)
Доступ только к своим даннымКак обеспечить более сложные правила ?
WHERE id_user = 80
WHERE id_user = 20
Учесть степень (уровень)конфиденциальности данных
Простое правилос использованием значения
идентификатора пользователя
![Page 28: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/28.jpg)
Доступ только к своим даннымКак обеспечить более сложные правила ?
WHERE id_user = 80
WHERE id_user = 20
Учесть степень (уровень)конфиденциальности данных
Разделить данные по категориям
Простое правилос использованием значения
идентификатора пользователя
![Page 29: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/29.jpg)
Доступ только к своим даннымКак обеспечить более сложные правила ?
WHERE id_user = 80
WHERE id_user = 20
Учесть степень (уровень)конфиденциальности данных
Разделить данные по категориям
Обеспечить обработку данных толькотеми сотрудниками организаций,которые владеют данными или имеютк ним доступ
Простое правилос использованием значения
идентификатора пользователя
![Page 30: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/30.jpg)
Доступ только к своим даннымКак обеспечить более сложные правила ?
WHERE id_user = 80
WHERE id_user = 20
Учесть степень (уровень)конфиденциальности данных
Разделить данные по категориям
Обеспечить обработку данных толькотеми сотрудниками организаций,которые владеют данными или имеютк ним доступ
Простое правилос использованием значения
идентификатора пользователяОтвет: Использовать опцию
Oracle Label Security
![Page 31: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/31.jpg)
База данных Oracle®
Средства обеспечения безопасности
Защита данныхв сети и аутентификация
Защита данныхна уровне строк
Защита данныхна физическом уровне
Защита данныхот инсайдеров
Сбор, обработкаи защита данных аудита
Oracle Label Security (OLS)
Опция
![Page 32: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/32.jpg)
Oracle Label Security Элемент метки: Уровень (Levels)
Top Secret
Confidential
Sensitive
ОбязательноОдно значение
![Page 33: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/33.jpg)
Oracle Label Security Элемент метки : Категория (Compartment)
RiskPersonal
Corporate
ОпцияСписок (0..n)
![Page 34: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/34.jpg)
Oracle Label Security Элемент метки : Группа (Group)
Аудит
Кредитные
карты
Кредиты
Опция
HQ
Кредитныекарты
Кредиты Аудит
SME
Multi-NatInternal
Invest Admin
А В UK
Список (0..n)
![Page 35: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/35.jpg)
Oracle Label Security Пример метки
HQ
Кредитныекарты
Кредиты Аудит
SME
Multi-NatInternal
Invest Admin
А В UK
RiskPersonal
Corporate
Top Secret
Confidential
Sensitive
Confidential : Risk, Corporate : SME, UK, Admin
![Page 36: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/36.jpg)
Oracle Label SecurityПример чтения данных
Код Количество Метка строки
AF2137 1000000 Confidential : Corporate : SMEJG4112 225000 Confidential : Personal : LondonXS3025 7500000 Top Secret : Risk : AuditAF2991 317000 Sensitive : Personal : BranchSD1328 900725 Sensitive : Corporate : Multi-Nat
User User МеткаМетка пользователяпользователяАнна Confidential : Corporate : Кредиты
![Page 37: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/37.jpg)
Oracle Label SecurityПример чтения данных
Код Количество Метка строки
AF2137 1000000 Confidential : Corporate : SMEJG4112 225000 Confidential : Personal : LondonXS3025 7500000 Top Secret : Risk : AuditAF2991 317000 Sensitive : Personal : BranchSD1328 900725 Sensitive : Corporate : Multi-Nat
Кредиты
SME
Multi-Nat
UK
User User МеткаМетка пользователяпользователяАнна Confidential : Corporate : Кредиты
![Page 38: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/38.jpg)
Oracle Label SecurityПример чтения данных
Код Количество Метка строки
AF2137 1000000 Confidential : Corporate : SMEJG4112 225000 Confidential : Personal : LondonXS3025 7500000 Top Secret : Risk : AuditAF2991 317000 Sensitive : Personal : BranchSD1328 900725 Sensitive : Corporate : Multi-Nat
User User МеткаМетка пользователяпользователяАнна Confidential : Corporate : Кредиты
![Page 39: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/39.jpg)
База данных Oracle®
Средства обеспечения безопасности
Защита данныхв сети и аутентификация
Защита данныхна уровне строк
Защита данныхна физическом уровне
Защита данныхот инсайдеров
Сбор, обработкаи защита данных аудита
Transparent Data Encryption (TDE)Oracle Advanced Security
Опция
![Page 40: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/40.jpg)
Утечки информацииЦена вопроса
“…Стоимость «бреши» в системезащиты данных, повлекшей утечкуконфиденциальной информации, составляет от 90 до 305 USDза одну запись…”
(April 10, 2007, CalculatingThe Cost Of A Security Breach)
![Page 41: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/41.jpg)
Утечки информацииПредпосылки
“…Стоимость «бреши» в системезащиты данных, повлекшей утечкуконфиденциальной информации, составляет от 90 до 305 USDза одну запись…”
(April 10, 2007, CalculatingThe Cost Of A Security Breach)
![Page 42: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/42.jpg)
Утечки информацииПоследствия
“…Стоимость «бреши» в системезащиты данных, повлекшей утечкуконфиденциальной информации, составляет от 90 до 305 USDза одну запись…”
(April 10, 2007, CalculatingThe Cost Of A Security Breach)
![Page 43: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/43.jpg)
Защита на физическом уровне Прозрачное шифрование
Зашифровываниеданных
при записи
![Page 44: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/44.jpg)
Защита на физическом уровне Прозрачное шифрование
Расшифровываниеданных
при чтении
Зашифровываниеданных
при записи
![Page 45: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/45.jpg)
Защита на физическом уровне Прозрачное шифрование
Данныена физических носителях
информациии в резервных копиях
защищены
Расшифровываниеданных
при чтении
Зашифровываниеданных
при записи
![Page 46: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/46.jpg)
Ключи прозрачного шифрованияМастер-ключ
Мастер-ключ хранитсяв PKCS#12 wallet
Таблицы с защищеннымиколонками
![Page 47: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/47.jpg)
Ключи для колонок защищенымастер-ключем
Пароль
Ключи прозрачного шифрованияКлючи защищенных колонок
Мастер-ключ
Таблицы с защищеннымиколонками
![Page 48: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/48.jpg)
Данные защищенныхколонок таблиц доступны
Ключи прозрачного шифрованияДоступ к данным разрешен
![Page 49: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/49.jpg)
Прозрачное шифрованиеЗащита LOB (CLOB, BLOB) колонок
create table orders ( doc CLOBencrypt using ‘AES128’)LOB (doc) STORE AS SECUREFILETABLESPACE obe_tbs2 );
• Создание новой таблицы с защищаемой LOB колонкой:
• Шифрование LOB колонок возможно только для SECUREFILE• зашифровываются все строки данных LOB колонки
• Шифрование BFILE и внешних таблиц не поддерживается
![Page 50: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/50.jpg)
Data Masking Pack
![Page 51: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/51.jpg)
Утечки информации• Через физические носители
• При разработке и тестировании сложных приложений
Данные, представленные длятестирования
TransparentData EncryptionOracle Database
![Page 52: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/52.jpg)
Утечки информации• Через физические носители
• При разработке и тестировании сложных приложений
Данные, представленные длятестирования
Data Masking PackOracle Enterprise Manager
TransparentData EncryptionOracle Database
![Page 53: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/53.jpg)
45,000093-44-3823FIORANO
80,000989-22-2403D’SOUZA
60,000323-22-2943BENSON
40,000203-33-3234AGUILAR
SALARYSSNLAST_NAME
45,000111-49-3849FPENZXIEK
80,000111-97-2749KDDEHLHESA
60,000111-34-1345BKJHHEIEDK
40,000111—23-1111ANSKEKSL
SALARYSSNLAST_NAME
Процедура преобразования данныхData Masking Pack : Masking Workflow
Данные, представленные длятестирования
OFF-LINEDatabaseMasking
![Page 54: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/54.jpg)
Защита на физическом уровне Прозрачное шифрование
Зашифровываниеданных
при записи
Расшифровываниеданных
при чтении
Данные в резервныхкопиях защищены
ШифрованиеTablespace
![Page 55: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/55.jpg)
Ключи прозрачного шифрованияМастер-ключ
Мастер-ключ хранитсяв PKCS#12 wallet
![Page 56: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/56.jpg)
Прозрачное шифрованиеЗащита данных в TABLESPACE
create tablespace securespacedatafile '/home/user/oradata/secure01.dbf'size 150mencryption using '3des168'default storage(encrypt);
• Создание защищенного tablespace:
• Алгоритмы: 3DES168, AES128, AES192, AES256• Существующее табличное пространствоне может быть зашифровано
• Ключ tablespace не может быть изменен• Обязательно использование опции SALT
Tablespace
Ключ физически хранится в Datafile Header Block. Если файлов несколько, то он записывается в каждый из заголовков
![Page 57: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/57.jpg)
Прозрачное шифрованиеЗащита данных в TABLESPACE
Fri Oct 17 23:15:08 2008SQL> ALTER SYSTEM SET ENCRYPTION WALLET CLOSECompleted Successfully
ALTER SYSTEM SET ENCRYPTION WALLET CLOSEFri Oct 17 23:19:53 2008Errors in file /u01/app/oracle/diag/rdbms/ora11g/ora11g/trace/ora11g_dbw0_31342.trc:ORA-28365: wallet is not openDBW0 (ospid: 31342): terminating the instance due to error 28365Instance terminated by DBW0, pid = 31342
• Закрытие master encryption wallet во время работысистемы может приводить к «Instance terminated» :
Tablespace
Bug 6446546
![Page 58: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/58.jpg)
Прозрачное шифрованиеTABLESPACE : Wallet
![Page 59: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/59.jpg)
Прозрачное шифрованиеTABLESPACE : Создание
![Page 60: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/60.jpg)
Прозрачное шифрованиеTABLESPACE : Создание (Опции шифрования)
• Алгоритмы: 3DES168, AES128, AES192, AES256
![Page 61: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/61.jpg)
Прозрачное шифрованиеTABLESPACE : Создание (Просмотр SQL)
![Page 62: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/62.jpg)
Прозрачное шифрованиеTABLESPACE : Проверка созданного SQL
• Выполнение подготовленного кода в SQL Plusзавершается с ошибкой !
SQL> CREATE SMALLFILE TABLESPACE "DATA02_ENC"
2 DATAFILE '/oracle/oradata/db01/data02_enc.dbf'
3 SIZE 50M LOGGING EXTENT MANAGEMENT LOCAL
4 SEGMENT SPACE MANAGEMENT AUTO
5 DEFAULT NOCOMPRESS
6 ENCRYPTION USING 'AES192' DEFAULTSTORAGE(ENCRYPT);
ENCRYPTION USING 'AES192' DEFAULT STORAGE(ENCRYPT)
ERROR at line 6:
ORA-25142: default storage clause specified twice
![Page 63: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/63.jpg)
Прозрачное шифрованиеTABLESPACE : Корректировка SQL
• Удалим из кода выражение “DEFAULT NOCOMPRESS”, которое было добавлено при генерации кода в Enterprise Manager, и выполним откорректированный код в SQL Plus
SQL> CREATE SMALLFILE TABLESPACE "DATA02_ENC"
2 DATAFILE '/oracle/oradata/db01/data02_enc.dbf'
3 SIZE 50M LOGGING EXTENT MANAGEMENT LOCAL
4 SEGMENT SPACE MANAGEMENT AUTO
DEFAULT NOCOMPRESS
5 ENCRYPTION USING 'AES192' DEFAULTSTORAGE(ENCRYPT);
Tablespace created.
![Page 64: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/64.jpg)
Прозрачное шифрованиеTABLESPACE : Зашифровывание данных
• Существующий Tablespace не может быть зашифрован автоматически (командой ALTER TABLESPACE, например)
• Необходимые шаги по зашифровыванию имеющихся данных:• Резервное копирование исходного (не защищенного) табличного пространства
• Создание нового (‘DATA02_ENC’)• Перемещение объектов из исходного в защищенное табличное пространство (потребуется пересоздать индексы)
• Удаление исходного (‘DATA02’)• Переименование защищенного Tablespace, при необходимости
SQL> select tablespace_name, encrypted from dba_tablespaces2 where tablespace_name in ('DATA02','DATA02_ENC')3 order by 2,1;
TABLESPACE_NAME ENC------------------------------ ---DATA02 NODATA02_ENC YES
![Page 65: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/65.jpg)
Прозрачное шифрованиеTABLESPACE : Перемещаемые таблицы
SQL> select 2 a.table_name, b.tablespace_name,b.encrypted3 from dba_tables a, dba_tablespaces b4 where a.tablespace_name=b.tablespace_name5 and owner='HR'6 and table_name in ('EMP_TMP','DEPT_TMP');
TABLE_NAME TABLESPACE_NAME ENC----------- ---------------- ---EMP_TMP DATA02 NODEPT_TMP DATA02 NO
![Page 66: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/66.jpg)
Прозрачное шифрованиеTABLESPACE : Перемещение
SQL> alter table hr.emp_tmp move tablespacedata02_enc;
Table altered.
SQL> alter table hr.dept_tmp move tablespacedata02_enc;
Table altered.
TABLE_NAME TABLESPACE_NAME ENC----------- ---------------- ---EMP_TMP DATA02_ENC YESDEPT_TMP DATA02_ENC YES
![Page 67: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/67.jpg)
Прозрачное шифрованиеTABLESPACE : Что с индексами ?
SQL> alter index hr.emp_idx_last_name rebuildtablespace data02_enc;
Index altered.SQL> alter index hr.emp_idx_first_name rebuild
tablespace data02_enc;Index altered.SQL> alter index hr.dept_idx_deptno rebuild
tablespace data02_enc;Index altered.
• Пересоздание индексов :
SQL> drop tablespace data02 including contents and datafiles;
Tablespace dropped.SQL> alter tablespace data02_enc
rename to data02;Tablespace altered.
• Удаление исходного и переименование нового tablespace
![Page 68: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/68.jpg)
Прозрачное шифрованиеTABLESPACE : Данные защищены
TABLE_NAME TABLESPACE_NAME ENC------------------ ---------------- ---EMP_TMP DATA02 YESDEPT_TMP DATA02 YES
INDEX_NAME TABLESPACE_NAME STATUS------------------- --------------- ------DEPT_IDX_DEPTNO DATA02 VALIDEMP_IDX_LAST_NAME DATA02 VALIDEMP_IDX_FIRST_NAME DATA02 VALID
![Page 69: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/69.jpg)
• Секционированные таблицы могут иметь :• Все секции в одном и том же защищенном табличном пространстве
• Секции в различных защищенных табличных пространствах• Часть из секций в защищенных табличных пространствах, а остальные в незащищенных
• Например (из DBA_TAB_PARTITIONS)
TABLE_NAME PARTITION_NAME TABLESPACE_NAME ENC------------- --------------- ---------------- ---SALES_LIST SALES_WEST DATA02 NOSALES_LIST SALES_CENTRAL DATA03_ENC YES
Прозрачное шифрованиеTABLESPACE : Partitioned Tables
![Page 70: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/70.jpg)
TABLESPACE Encryption
ДЕМОНСТРАЦИЯ
![Page 71: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/71.jpg)
Права доступа
Database DBA
![Page 72: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/72.jpg)
Права доступа
Database DBA
Пароль для доступа к даннымотличается от System и DBA паролей
Нет доступа к wallet
![Page 73: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/73.jpg)
Права доступа
Database DBA
Пароль
Доступ к даннымразрешен
Мастер-ключ
![Page 74: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/74.jpg)
Права доступа
Database DBA
ПарольМастер-ключ
Доступ к даннымразрешен
![Page 75: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/75.jpg)
Права доступа
Database DBA
ПарольМастер-ключ
Доступ к даннымразрешен
SELECT ANY TABLE
![Page 76: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/76.jpg)
Права доступаКак защитить данные от инсайдеров ?
Database DBA
ПарольМастер-ключ
SELECT ANY TABLE
![Page 77: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/77.jpg)
Права доступаКак защитить данные от инсайдеров ?
Database DBA
ПарольМастер-ключ
SELECT ANY TABLE
Ответ: Использовать опциюOracle Database Vault
![Page 78: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/78.jpg)
База данных Oracle®
Средства обеспечения безопасности
Защита данныхв сети и аутентификация
Защита данныхна уровне строк
Защита данныхна физическом уровне
Защита данныхот инсайдеров
Сбор, обработкаи защита данных аудита
Oracle Database Vault
Опция
![Page 79: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/79.jpg)
“Microsoft, IBM и Sybase не имеютаналогичных средств”
” Руководителям организаций важно,чтобы администраторы баз данных
управляли базами данных, а не данными ...”
Noel Yuhanna,Senior Analyst
Forrester Research
![Page 80: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/80.jpg)
Oracle® Database Vault ?
• Опция СУБД Oracle 10g Release 2 EEOracle 11g Release 1 EE
• Возможность ограничивать (исключать) доступ к данным приложений со стороны администратора базы данных (DBA)
• Обеспечение доступа к данным на основе динамически настраиваемых правил
• Повышение защищенности объектов БДот несанкционированных изменений
• Разделение полномочий пользователей в соответствии с их функциональными обязанностями и надежный внутренний контроль
или Oracle 9i R2 (9.2.0.8) EE
• Обеспечивает возможность безопаснойконсолидации IT-ресурсов организации
• Все механизмы “встроены” в БД Oracle
![Page 81: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/81.jpg)
Oracle® Database VaultПример использования
ADM_DBAselect * from HR.emp
HR_DBA
FIN_DBA
HRHR
FINFIN
• Администратор БД (ADM_DBA)обращается к даннымв схеме HR
• Пользователь HR_DBAобращается к даннымв схеме FIN или желаетполучить доступ к областиHR во внерабочее время
Безопасная консолидацияприложений на одном сервере
Соответствие нормативнымтребованиям и стандартамвнутреннего аудита
![Page 82: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/82.jpg)
Oracle® Database VaultWEB-ориентированный интерфейс
Управление
• Realms• Rules• Factors• Reports• Dashboard
![Page 83: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/83.jpg)
Oracle® Database VaultПрограммный интерфейс
![Page 84: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/84.jpg)
Защищенная область Пример использования
Пользователь SYSTEMможет просматриватьконфиденциальные данные SELECT ANY TABLE
hr.employees
![Page 85: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/85.jpg)
Oracle® Database VaultИнтерфейс администратора
![Page 86: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/86.jpg)
Защищенная областьСоздана
![Page 87: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/87.jpg)
Защищенная область Результат применения
Даже пользователь SYSTEMне может просматриватьзащищенные данные SELECT ANY TABLE
hr.employees
![Page 88: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/88.jpg)
Многофакторная авторизацияBuilt-In Factors
TimeDateDatabase HostnameLanguage
Proxy Enterprise
Identity
Enterprise Identity
Database IPNetwork Protocol
Database Instance
Database Name
MachineDomain
Database NameClient IP
SessionUser
AuthenticationMethod
* Могут быть определены дополнительные (пользовательские) факторы
![Page 89: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/89.jpg)
Многофакторная авторизацияФактор DOMAIN. Диапазоны IP-адресов
NOT SECURE
SECURE
HIGHLY SECURE
![Page 90: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/90.jpg)
Многофакторная авторизацияФактор DOMAIN. Проверка
ORCL_DBV
IP 192.168.214.251
IP 192.168.214.51
![Page 91: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/91.jpg)
Многофакторная авторизацияИнтеграция с Oracle Label Security
Oracle Label Security ограничивает доступ к даннымна основе факторов Database Vault
Конфиденциально
Д С П
Публично
Организация
Factor = Внутренний
Factor = Внешний
Партнеры
![Page 92: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/92.jpg)
Разграничение по служебным обязанностям=
DV_OWNER
DV_ACCTMGR
![Page 93: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/93.jpg)
Разграничениепо служебным обязанностям
DV_OWNER
DV_ACCTMGR
D B A
Обеспечениебезопасности данных
create userdrop user
Управление БД,
исключая права,переданные ролямDV_OWNER и DV_ACCTMGR
![Page 94: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/94.jpg)
Динамическая настройка правилСоздание правила Non Work Hourse
HR
![Page 95: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/95.jpg)
Список контролируемых командCommand Rule Flexibility
Alter Database Alter Database Alter TableAlter Function Audit Alter TablespaceAlter Package Body Alter Procedure Alter ProfileAlter Session Alter System Alter SynonymAlter Table Alter Trigger Alter UserPassword Alter Tablespace Alter ViewChange Password Connect CommentCreate Function Create Index Create PackageCreate Database Link Create Procedure Create RoleCreate Package Body Create User Create ViewCreate Table Grant InsertNoaudit Rename Lock TableCreate Tablespace Create Trigger Truncate TableUpdate Insert DeleteExecute Select
![Page 96: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/96.jpg)
Правила выполнения командЗапрет команды ALTER SYSTEM
1
2
3
![Page 97: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/97.jpg)
Отчеты и аудит
• Более 30 предустановленных отчетов о выполнении политик безопасности
• Аудит попыток нарушений защиты
• Отчеты по защищенным областям (Realms), выполнении правил (Rules) и условий (Factors)
• Списки системных и пользовательских привилегийна доступ и обработку данных
![Page 98: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/98.jpg)
Oracle Database VaultApplication Certification
• PeopleSoft• E-Business Suite 11i/R12• Siebel• Oracle Content DB• Oracle Internet Directory• I-Flex (cube)• SAP • Проводится
![Page 99: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/99.jpg)
База данных Oracle®
Средства обеспечения безопасности
Защита данныхв сети и аутентификация
Защита данныхна уровне строк
Защита данныхна физическом уровне
Защита данныхот инсайдеров
Сбор, обработкаи защита данных аудита
Oracle Audit Vault
Продукт
![Page 100: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/100.jpg)
Trust-but-Verify
Доверяй, но проверяй
Oracle® Audit Vault
![Page 101: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/101.jpg)
Enterprise AuditingТребования пользователей
• Консолидация данных аудита• Много разрозненных данных (audit silos)
• Отчеты по данным аудита• Необходимость в специализированных отчетах для аудиторов
• Мониторинг данных аудита• Необходимость в эффективном и централизованном сканировании данных
• Управление данными• Обеспечение безопасного хранения конфиденциальных данных аудита
• Большой объем хранимой информации• Архивирование данных
• Настройка параметров аудита• Необходимо обеспечить контроль и управление настройками параметров мониторинга и аудита
![Page 102: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/102.jpg)
Oracle® Audit VaultФункциональные возможности
MicrosoftSQL Server(2000, 2005)
Oracle Database(9i, 10g, 11g)
МониторингНастройка
ОтчетыБезопасность
Сбор и консолидацияданных аудита
Отчеты о соблюдениитребований
Контроль активности
Масштабируемость ибезопасность
Простота настройки иуправления
IBM DB2(UDB 8.2, 9.5)
Sybase ACE(12.5, 15.0)
Версия 10.2.3.1Пресс-релиз 28.01.2009
![Page 103: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/103.jpg)
Компоненты Audit VaultФункциональная схема
Источникиданных аудита
Управление настройками
Данные аудита
Data Warehouse Отчеты Предупреждения
Средстваобеспечениябезопасности
Средствауправленияи контроля
Audit Vault СЕРВЕР
Audit Vault АГЕНТ
КоллекторыDBAUD, OSAUD, REDO
Данные аудитаПараметры настроек (управления)
AV_Admin
AV_Auditor
Управление
Контроль
![Page 104: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/104.jpg)
Компоненты Audit Vault : АгентыВарианты установки
Audit Vault СЕРВЕР
Host 1
Агент
Host 2
DBAUD
OSAUD
REDO
Агент
Host 3
DBAUD
OSAUD
REDO
DBAUD
OSAUD
REDO
![Page 105: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/105.jpg)
Audit Vault : АгентЗапуск AV_Admin
Агент
![Page 106: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/106.jpg)
Audit Vault : КоллекторыЗапуск AV_Admin
![Page 107: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/107.jpg)
Audit Vault : Агент и КоллекторыПроверка состояния Аудитором AV_Auditor
![Page 108: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/108.jpg)
Audit Vault : ОтчетыПредопределенные (Out-of-the-box)
• О действиях привилегированных пользователей(Privileged user activity)
• Доступ к важным данным (Access to sensitive data)
• Предоставление полномочий (Role granting)
• Выполнение DDL операций (DDL activity)
• Вход/выход в систему(Log in and log out)
• О пользователях• Кто обращался к … данным?• К каким данным (БД) имеет доступ пользователь ‘A’?
• Кто получал доступ к важным данным?
• Пользовательские• Oracle Business Intelligence Suite и
Oracle BI Publisher• … другие средства
AV_Auditor
![Page 109: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/109.jpg)
Audit Vault : Настройка Правило для предупреждений AV_Auditor
![Page 110: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/110.jpg)
Audit Vault : Настройка AV_Auditor
![Page 111: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/111.jpg)
![Page 112: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/112.jpg)
Audit Vault : БезопасностьКомпоненты
СерверАгент
OC4J
Клиент (DB Client)
Управление и настройка
Logs
Данныеаудита
Коллекторы
DBAUD
OC4J
Клиент (DB Client)
Управление и настройка
Logs
OSAUD
HTTP
Настройкиполитик,командыуправления
SQL*Net
Данные аудита,Атрибутыколлекторов
Пароль Agent user Пароль AV admin
SQL*Net
Данныеполитик
Источникданных аудита
![Page 113: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/113.jpg)
Oracle Audit Vault 10.2.3Расширенные отчеты
• Новые предопределенные отчеты• Улучшенный интерфейс• Возможность настройки под конкретные требования Заказчика
![Page 114: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/114.jpg)
Oracle Audit Vault 10.2.3 Расширенные отчеты
• Легкость в использовании, различные способы выделения данных по условиям фильтрации. Формирование дополнительных отчетов с графическим отображением
![Page 115: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/115.jpg)
![Page 116: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/116.jpg)
Oracle Audit Vault Консолидация данных аудита ( All Sources )
![Page 117: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/117.jpg)
Oracle Audit Vault 10.2.3 Расширенная поддержка аудита базы данных
• Oracle Database Vault audit collector• Сбор данных аудита в части объектов, защищенных средствами Database Vault
• Operating SYSLOG collector • Сбор записей аудита из SYSLOG
• XML Oracle audit trail• Сбор данных аудита, записанных в XML формате
• Запись данных аудита Oracle может проводиться в XML формате
![Page 118: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/118.jpg)
Oracle Audit Vault Audit Trail Clean-Up Integration
• За счет интеграции с пакетом DBMS_AUDIT_MGMT обеспечивается автоматическая очистка данных аудита в источниках после их записи в хранилище на сервере аудита.
БД
2) Регистрация передачи
1) Передача данных аудита
Audit Vault Server3) Удалениестарых записей
![Page 119: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/119.jpg)
Oracle® Audit VaultПреимущества использования
• Консолидация данных аудита, поступающих из различных прикладныхсистем
• Обнаружение изменений данныхпользователями этих систем(в том числе и привилегированными)
• Защита получаемых данных аудита отизменений и других видов вмешательства
• Централизованное назначения политикаудита и управление данными для базданных Oracle
![Page 120: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/120.jpg)
![Page 121: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/121.jpg)
![Page 122: - Oracle › opndocs › emea › Security...Transparent Data Encryption (TDE) Oracle Database Vault Oracle Audit Vault Data Masking Pack Identity Management](https://reader036.vdocument.in/reader036/viewer/2022062317/5f25a63c58e18a59e421bb4a/html5/thumbnails/122.jpg)