Oracle数据安全的保护神----Database Vault
上一篇 / 下一篇 2008-11-17 20:18:40 / 个人分类:Oracle Database
前几天和朋友网上聊天,朋友很是气愤的说到他刚刚买车,就发现自己的个人信息被泄露了,很多乱七八糟的公司或者个人给他打电话,其实我个人也遇到过类似的事情,安慰了下朋友,朋友也很无奈,因为没有办法来避免这种泄露,因为很多时候你是必须要提供相当多的个人信息的。反观目前的国际社会,对于信息的安全保护的呼声是越来越高了,很多的信息泄露都是内部存在安全威胁造成的,随着美国萨班法案(Sarbanes-Oxley)、美国HIPAA法案(Health Insurance Portability and Accountability Act)、日本个人信息保护法案、欧盟隐私和电子通信指令等法规和隐私保护指令的不断出台,保护数据免受未授权访问已经成为当务之急。
CWy2I`q0
.g6tN0~C6oNq w0 联想到上周正好参加了Oracle database vault的一个培训,这个在美国“协作06用户大会”上宣布推出的Oracle产品也正好是用于解决常见的合规性要求并减少了内部威胁的风险的。在此简单介绍下Oracle Database Vault,也算是共享下我培训之后的经验,希望能有更多的人去了解和使用这个安全方面的产品。ITPUB个人空间?$uLtj8v
ITPUB个人空间` PuWmESs
Oracle Database Vault是一个Oracle数据库企业版的一个增值选件,意味着如果要使用它是需要单独额外付费的哦。它主要是用于管理单个数据库的安全性方面的,当然它也适用于Oracle的RAC环境。在Oracle Database Vault 引入了两个新概念,第一就是领域的概念,也就是说我们可以把数据库的对象组成一个领域,例如说多个表,整个应用或者多个应用,而Database Vault 管理员可以把要进行安全保护的数据库对象放到领域中。第二个概念是规则集合的概念,Database Vault 管理员可以创建一个包含几乎所有DDL和DML操作的语句的集合,然后加上相应的规则,比如说时间,ip地址之类,就能够限制用户对于特定数据的访问权限,而这个是可以应用到所有的用户上的,包括Oracle数据库里面的超级用户sys和system。ITPUB个人空间F#y!iP;J1|
ITPUB个人空间7h q)oH*E _
Oracle Database Vault支持数据库 10g 第 2 版 (10.2.0.2) 企业版或更高版本,我们在使用安装的时候需要注意,如果10.2.0.2之前的数据库版本是不支持的。当安装好了Oracle Database Vault之后,就可以通过http://<主机名>:<端口>/dva来使用Oracle Database Vault Web 管理界面,如下图:
'ua f6lwg0nX0
A,i5ST2Pk M"z0
X`IV!n)q0输入相关的信息之后点击login之后登入Web 管理界面,如下图
*z%w6me_0
ITPUB个人空间Kj9y7e3\W
X
单击“Realms”,可以创建一个域,如下图ITPUB个人空间m \I-Qhde~
ITPUB个人空间1H4r{IF7J4@,l
ITPUB个人空间 AccFG {-T D#xJ
或者使用以下脚本也可以完成相同的操作:ITPUB个人空间)e8]!J2e;x oq
begin
h l?c6ap4_0 dvsys.dbms_macadmin.CREATE_REALM (ITPUB个人空间0DS#y_#Jk2{k
realm_name => 'HR Realm',ITPUB个人空间] kI1]KB{3X.v
description => 'This realm protects the HR data from DBA access',
$w~r&_/V~O`YG0 enabled => 'Y',ITPUB个人空间*EZPN_,X.O,_#x+I
audit_options => 1);
g"bxG*L;tt Z0 commit;ITPUB个人空间 ud8MFNZo0L
end;ITPUB个人空间6t/O{.F(E R P
/
#vD0c3g$yxF L0 commit;
l Z E w&[ @K0
gC/k1_*Q"_iz1E0单击“Rule Sets”,将看到一个列表,其中包含 TRUNCATE TABLE、CREATE TABLE 等许多命令。可以创建一个规则集,如下图ITPUB个人空间#F"jt&H'Z
ITPUB个人空间
vq2E6Y}"qpv
ITPUB个人空间V\'}+b6yC
使用以下脚本也可以完成相同的操作:ITPUB个人空间yr"P$WF1\]8io-R
begin
1dtf$j_$Iq|kL0 dvsys.dbms_macadmin.CREATE_COMMAND_RULE (ITPUB个人空间:`;M\N6_]&g
command => 'drop_table',
(U;V[;c!oRg;i0 rule_set_name => 'Disabled',ITPUB个人空间"FvR%bTDgK
object_owner => 'HR',ITPUB个人空间 |:Gfxh8y'o;a
object_name => '%',
A6S*q:lDCE0 enabled => 'YES');ITPUB个人空间3t] BPF)u,G(r,w:V
commit;
Ey2K(t?es,F0end;
/Wl i5m4e%a0/
V6ELiN Y4x0commit;ITPUB个人空间"}(^?O1tPQ
ITPUB个人空间5G3^8o ^jsw6{
单击“Rule Sets”,可以创建一个规则集,如下图:
8NOxK:Z0
ITPUB个人空间 Ot"T:Bc.OZ;}~8A [J
'se Gxf Pa0或者使用以下脚本也可以完成相同的操作:
7T O6lsGw[yJ%A0begin
0g8F6lZ4b%\k_0dvsys.dbms_macadm.CREATE_RULE_SET(ITPUB个人空间2d"S5e6b4z2x?#z
rule_set_name => ‘Allow System Parameter’,ITPUB个人空间 mc ngN"Ln
description => ‘Rule set than controls the ability to set system init parameter’,ITPUB个人空间PsVX#^#uZ
enabled => ‘Y’,ITPUB个人空间gI#A+ff@&x'^!~
eval_options => 1,
F!p,RH4?T6yU0 audit_options => 1,ITPUB个人空间x%V[@,NY@&m
fail_options => 1,ITPUB个人空间'E;p5Y ?(Y
fail_message => '',
qgv2h}0y}0 fail_code => 0,
UQ3I']jj0 handler_options => 0,
CWy2I`q0
.g6tN0~C6oNq w0 联想到上周正好参加了Oracle database vault的一个培训,这个在美国“协作06用户大会”上宣布推出的Oracle产品也正好是用于解决常见的合规性要求并减少了内部威胁的风险的。在此简单介绍下Oracle Database Vault,也算是共享下我培训之后的经验,希望能有更多的人去了解和使用这个安全方面的产品。ITPUB个人空间?$uLtj8v
ITPUB个人空间` PuWmESs
Oracle Database Vault是一个Oracle数据库企业版的一个增值选件,意味着如果要使用它是需要单独额外付费的哦。它主要是用于管理单个数据库的安全性方面的,当然它也适用于Oracle的RAC环境。在Oracle Database Vault 引入了两个新概念,第一就是领域的概念,也就是说我们可以把数据库的对象组成一个领域,例如说多个表,整个应用或者多个应用,而Database Vault 管理员可以把要进行安全保护的数据库对象放到领域中。第二个概念是规则集合的概念,Database Vault 管理员可以创建一个包含几乎所有DDL和DML操作的语句的集合,然后加上相应的规则,比如说时间,ip地址之类,就能够限制用户对于特定数据的访问权限,而这个是可以应用到所有的用户上的,包括Oracle数据库里面的超级用户sys和system。ITPUB个人空间F#y!iP;J1|
ITPUB个人空间7h q)oH*E _
Oracle Database Vault支持数据库 10g 第 2 版 (10.2.0.2) 企业版或更高版本,我们在使用安装的时候需要注意,如果10.2.0.2之前的数据库版本是不支持的。当安装好了Oracle Database Vault之后,就可以通过http://<主机名>:<端口>/dva来使用Oracle Database Vault Web 管理界面,如下图:
'ua f6lwg0nX0

A,i5ST2Pk M"z0
X`IV!n)q0输入相关的信息之后点击login之后登入Web 管理界面,如下图
*z%w6me_0
ITPUB个人空间Kj9y7e3\W
X单击“Realms”,可以创建一个域,如下图ITPUB个人空间m \I-Qhde~
ITPUB个人空间1H4r{IF7J4@,lITPUB个人空间 AccFG {-T D#xJ
或者使用以下脚本也可以完成相同的操作:ITPUB个人空间)e8]!J2e;x oq
begin
h l?c6ap4_0 dvsys.dbms_macadmin.CREATE_REALM (ITPUB个人空间0DS#y_#Jk2{k
realm_name => 'HR Realm',ITPUB个人空间] kI1]KB{3X.v
description => 'This realm protects the HR data from DBA access',
$w~r&_/V~O`YG0 enabled => 'Y',ITPUB个人空间*EZPN_,X.O,_#x+I
audit_options => 1);
g"bxG*L;tt Z0 commit;ITPUB个人空间 ud8MFNZo0L
end;ITPUB个人空间6t/O{.F(E R P
/
#vD0c3g$yxF L0 commit;
l Z E w&[ @K0
gC/k1_*Q"_iz1E0单击“Rule Sets”,将看到一个列表,其中包含 TRUNCATE TABLE、CREATE TABLE 等许多命令。可以创建一个规则集,如下图ITPUB个人空间#F"jt&H'Z
ITPUB个人空间
vq2E6Y}"qpvITPUB个人空间V\'}+b6yC
使用以下脚本也可以完成相同的操作:ITPUB个人空间yr"P$WF1\]8io-R
begin
1dtf$j_$Iq|kL0 dvsys.dbms_macadmin.CREATE_COMMAND_RULE (ITPUB个人空间:`;M\N6_]&g
command => 'drop_table',
(U;V[;c!oRg;i0 rule_set_name => 'Disabled',ITPUB个人空间"FvR%bTDgK
object_owner => 'HR',ITPUB个人空间 |:Gfxh8y'o;a
object_name => '%',
A6S*q:lDCE0 enabled => 'YES');ITPUB个人空间3t] BPF)u,G(r,w:V
commit;
Ey2K(t?es,F0end;
/Wl i5m4e%a0/
V6ELiN Y4x0commit;ITPUB个人空间"}(^?O1tPQ
ITPUB个人空间5G3^8o ^jsw6{
单击“Rule Sets”,可以创建一个规则集,如下图:
8NOxK:Z0
ITPUB个人空间 Ot"T:Bc.OZ;}~8A [J'se Gxf Pa0或者使用以下脚本也可以完成相同的操作:
7T O6lsGw[yJ%A0begin
0g8F6lZ4b%\k_0dvsys.dbms_macadm.CREATE_RULE_SET(ITPUB个人空间2d"S5e6b4z2x?#z
rule_set_name => ‘Allow System Parameter’,ITPUB个人空间 mc ngN"Ln
description => ‘Rule set than controls the ability to set system init parameter’,ITPUB个人空间PsVX#^#uZ
enabled => ‘Y’,ITPUB个人空间gI#A+ff@&x'^!~
eval_options => 1,
F!p,RH4?T6yU0 audit_options => 1,ITPUB个人空间x%V[@,NY@&m
fail_options => 1,ITPUB个人空间'E;p5Y ?(Y
fail_message => '',
qgv2h}0y}0 fail_code => 0,
UQ3I']jj0 handler_options => 0,