PDF《<在此处插入图片>》

Oracle Database Firewall:您的第一道防线 ?

2011 Oracle Corporation

2 议题 ? 对数据库变化多端的威胁 ? Oracle Database Firewall ? 安全模型 ? 策略实施 ? 报告 ? 架构与部署模式 ? 演示 ? 总结 ? 问答 ?

2011 Oracle Corporation

3 超过

9 亿条侵犯记录来自受攻击的数据库 服务器 类型 类别 侵犯的百分比 记录的百分比 数据库服务器 服务器与应用程序 25% 92% 台式机 最终用户设备 21% 1% Verizon

2010 数据侵犯调查报告 ?

2011 Oracle Corporation

4 对数据库的 SQL 注入攻击占到受侵犯数据 的89% ? SQL 注入是通过 web 应用程序控制数据库服务器响应的一种方法 ? 无法通过简单应用补丁、调整设置或更改单个页面对其进行修复 ? SQL 注入漏洞无处不在,要修复它们必须彻底检查所有代码.

Verizon

2010 数据侵犯调查报告 SQL 注入的多样性和有效性使其成为网络犯罪分子 的万能手段. ?

2011 Oracle Corporation

5 66% 的组织容易遭受 SQL 注入攻击 是否已采取措施防止 SQL 注入攻击?

2010 IOUG 数据安全调查报告 ?

2011 Oracle Corporation

6 传统安全解决方案无助于数据库内部数据抵 御攻击 数据库应用 程序 数据库用户和数据 库管理员 数据库纵深防御 从源头保护数据 Botware 恶意软件 击键记录器 间谍软件 鱼叉式网络钓鱼 SQL 注入 社交引擎 ?

2011 Oracle Corporation

7 Oracle Database Firewall 第一道防线 ? 监视数据库活动防止未授权的数据库访问、SQL 注入、权限或角色升级、对敏感 数据的非法访问等. ? 通过高度精确的 SQL 语法分析避免代价高昂的误报. ? 基于白名单和黑名单的灵活的 SQL 级实施选项 ? 可伸缩的架构让企业可以适应各种部署模式 ? 适用于 SOX、PCI 和其他法规的内置及自定义合规性报告 策略 内置 报告 警报 定制 报告 应用程序 阻止 记录 允许 警报 替代 ?

2011 Oracle Corporation

8 Oracle Database Firewall 主动安全模型 ? 可以为任何用户或应用程序定义 允许的 行为 ? 白名单可以包括诸如时间、日期、网络、应用程序等内置因素 ? 为任何应用程序自动生成白名单 ? 立即拒绝不符合策略的事务 ? 数据库将只按照您的要求和愿望来处理数据 白名单 应用程序 阻止 允许 SELECT * from dvd_stock where [catalog-no] = '

PHE8131'

and location =

1 SELECT * from dvd_stock where [catalog-no] = '

'

union select cardNo, customerId,

0 from DVD_Orders --? and location =

1 ?

2011 Oracle Corporation

9 Oracle Database Firewall 被动安全模型 ? 停止不接受的特定 SQL 事务、用户或模式的访问 ? 防止权限或角色提升以及对敏感数据的未授权访问 ? 黑名单中可以包括诸如时间、日期、网络、应用程序等内置因素 ? 根据您的业务和安全目标有选择地阻止事务的任何部分 阻止 允许 黑名单 应用程序 UPDATE employee SET salary = salary + (salary * 0.5) WHERE id= me ;

?

2011 Oracle Corporation

10 阻止 记录 允许 警报 替代 ? 创新性 SQL 语法技术将数百万条 SQL 语句缩减为少量 SQL 特征或 集群 ? 卓越的性能和策略可伸缩性 ? 高度的精确性可避免既耗时又代价高昂的误报 ? SQL 级的灵活实施:阻止、替换、警报和传递、仅记录 ? SQL 替换能够在不中断应用程序的情况下阻止攻击者 SELECT * FROM accounts 变成 SELECT * FROM dual where 1=0 Oracle Database Firewall 策略实施 应用程序 ?

2011 Oracle Corporation

11 Oracle Database Firewall 报告 ? 将Database Firewall 日志数据整合到报 告数据库中 ? 许多可修改、可自定义的内置报告 ? 数据库活动和授权用户报告 ? 用于数据库查证和审计的授权报告 ? 支持 PCI、SOX、HIPAA 等演示控件 ? 对记录的 SQL 语句中的敏感 PII 数据进 行清理. ?

2011 Oracle Corporation

12 ? 基于 Oracle Enterprise Linux 的低 TCO 软件解决方案 ? 支持基于 Intel 的硬件平台,实现纵向和横向可伸缩性 ? 独立于策略管理和报告的策略实施 ? 灵活的部署模式: ? 内联、带外、高可用性、可选的基于主机的代理 ? 支持 Oracle 和非 Oracle 数据库,并且与应用程序无关 内联阻止和监视 HA 模式 入站 SQL 流量 带外监视 管理 服务器 策略 分析器 应用程序 Oracle Database Firewall 架构 ?

2011 Oracle Corporation

13 ? 抵御攻击的 第一道防线 ? 高度精确 ? 灵活实施策略 ? 可伸缩的架构 ? 针对 Oracle 和非 Oracle 数据库的透明部署 ? 经济高效的合规性 策略 内置 报告 警报 定制 报告 应用程序 阻止 记录 允许 警报 替代 Oracle Database Firewall 总结 ?

2011 Oracle Corporation

14 使用 Oracle Database Firewall 保护应用程序数据免遭 SQL 注入攻击 演示 ?

2011 Oracle Corporation

16 ?

2011 Oracle Corporation

17 ?

2011 Oracle Corporation

18 ?

2011 Oracle Corporation

19 ?

2011 Oracle Corporation

20 ?

2011 Oracle Corporation

21 ?

2011 Oracle Corporation

22 ?

2011 Oracle Corporation

23 ?

2011 Oracle Corporation

24 ?

2011 Oracle Corporation

25 ?

2011 Oracle Corporation

26 ?

2011 Oracle Corporation

27 ?

2011 Oracle Corporation

28 ? Database Vault ? Label Security ? Identity Management ? Advanced Security ? Secure Backup ? Data Masking Oracle 数据库安全性解决方案 全面纵深防御总结 ? Audit Vault ? Total Recall ? Configuration Management 加密 与屏蔽 访问 控制 审计 ? Database Firewall 监视 与阻止 ? 全面 ― 一个供应商即可满足您的所有需求 ? 透明 ― 无需对现有应用程序或数据库进行更改 ? 易于部署 ― 点击式界面在几小时内就可以实现价值 ? 经济高效 ― 集成的解决方案降低了风险和 TCO ? 成熟 ― 全球第一的数据库和

30 多年的安全创新! ?

2011 Oracle Corporation

29 更多信息 oracle.com/database/security oracle.com/goto/database/firewall search.oracle.com 或database security ?

2011 Oracle Corporation

30 ?

2011 Oracle Corporation

31 硬件和软件,集成设计、卓越性能 ?

2011 Oracle Corporation

32 美国东海岸某著名银行 主动的数据库防火墙 业务挑战 ? 保护业务关键数据库,防止未授权的访问、数据丢失 和PII 暴露 ? 监视并保护分布在

7 个国际数据中心的

600 多个数 据库. ? 对现有数据库性能影响最小 解决方案 ? 使用 Oracle Database Firewall 实时保护数据库,对 每天数十亿事务进行监视 ? 防止未授权的数据访问和恶意行为 业务成果 ? 顺利通过内部与外部审计 ? 证明了对数据访问和数据库系统的主动控制能力 ? 使所有业务的安全性、警报和报告实现了标准化 ?

2011 Oracle Corporation

33 美国某著名投资银行 对数据更改进行审计 业务挑战 ? 监视

60 多个数据库 ? 跟踪对客户数据的每个更改 ? 对存储过程或用户角色及其权限的未授权更改发出 警报 ? 将报告自动分发给内部审计人员 解决方案 ? 在异构环境中部署 Database Firewall,监视并报告 对客户数据的每个更改 ? 将监视过程及用户角色更改的职责从现有的 DBA 团 队职责中完全分离出来 业务成果 ? 顺利通过日常审计 ? 在业务开始前将可以签收的审计数据自动用电子邮件 发送出去 ?

2011 Oracle Corporation

34 欧洲某重要国家政府 保护政府数据和 PII 业务挑战 ? 除非使用认证应用程序,否则禁止访问高度敏感的公 民数据 ? 通过白名单强制严格的应用程序行为 ? 全年 24x7 地监视和审计每个事务 解决方案 ? 使用六对完全冗余的 Database Firewall 来维护完整 的数据库安全边界 ? 通过关键高可用架构满足严格的服务级别要求 业务成果 ? 完全防止了未授权的访问以及对应用程序代码的恶意 更改攻击 ? 提供的防火墙边界持续保护高度敏感的公民数据 ? 满足了针对 PII 数据存储的政府标准 ?

2011 Oracle Corporation 35 ........