以下的文章主要向大家描述的是在云时代正确加强数据库安全性的实际操作手段,在谷歌、微软这两大互联网应用的带领之下,近年来云计算是有了“凤凰出山”的感觉,但这用户的安全性问题也随之而来,让人颇为头疼。
毕竟数据都保存在云端,那云端的安全性如何保障?其实在“云计算”刚出来那会,其数据安全性的质疑就一直为人诟病,用户在关心自己的数据不会被肆意删除之外,最关心的还是自己的信息不会被不相关的人士获取,数据遭泄漏。
一般来说,企业数据都有其机密性。但这些企业把数据交给云计算服务商后,具有数据优先访问权的并不是相应企业,而是云计算服务商。如此一来,就不能排除企业数据被泄露出去的可能性。而除了云计算服务商之外,大量觊觎云端数据的骇客们也没有闲着,他们不停的发掘着服务商web应用上的漏洞,以期望打开缺口,获得自己想要的数据。因此数据安全性将成为CTO和IT主管们要重点考虑的问题了。
不过目前在市场上对数据安全保护的产品并不多见,大都是通过网络传输进行包抓取,对关键字进行检测的方法来遏制不安全的数据访问,但是这也存在一个弊病,就是如果内部人员直接就在数据服务器上操作,不通过网络,则失去了保护的作用。
如何进行有效的内部控制,多年来一直没有很好的解决办法。其中一个突出的问题就是限制DBA对应用数据的存取。DBA具有“至高无上”的权限,对他们而言数据库中的数据是没有任何秘密可言的。
此外,为了保证运营系统的正常运行,某些“危险”操作是应禁止执行的。因此对数据的保护还得从最底层的数据开始。目前国内大部分的数据库还是以Oracle数据库为主,而甲骨文是当前惟一为提供数据库安全技术做好准备的公司,它提供了一系统的数据库安全解决方案。针对上面所谈到内部控制的问题,你完成可以结合Oracle公司推出的安全组件Oracle Database Vault(简称Vault)来解决了所遇到难题。
而Oracle Database Vault是一个Oracle数据库企业版一个需要付费的增值选件。官方的说法是“Oracle Database Vault 是一个数据库安全选件,用于防止 DBA 访问应用程序数据,保护数据库结构以防止未经授权的更改,以及通过设置各种访问控制来满足动态、灵活的安全要求。”怎么看着好像是专门防我们DBA干坏事的。DBA有那么坏吗?话说回来,从DBA个人利益的角度来看,这似乎也并不是一件坏事。
因为一旦发生数据泄露,所有拥有数据访问权限的人都要接受调查,DBA也跑不掉。而且DBA的权限最大,几乎什么问题都能和DBA扯上关系。从DBA角度讲,尤其是产品DBA,负责数据库的安装、维护、优化、备份、迁移、升级等等维护管理性的操作,其实对数据库中保存的信息的含义并不关心。
只是工作性质决定了DBA所具有数据库中最高的权限,而DBA一般也不需要通过这种权限来访问敏感业务数据,因为数据的写入和读取自然有相应的部门和软件系统来负责。那么一旦发生了敏感的数据泄漏的事情,拥有最高权限的DBA首先被放到了被怀疑的位置上,这对于DBA来说又很“冤枉”。这就是说,而通过这个新组件Oracle Database Vault 可以实现职责分离的效果。大家可以各负其责,谁都不必为别人的错误和过失而承担责任。
另一方面,数据安全是企业非常重视的问题。哪怕是同一家企业的不同部门,能够访问的数据内容,有时候都是需要严格控制的。实际上,对于企业数据安全性的要求,现在已经不仅仅是企业内部的需求了,随着美国萨班斯法案(Sarbanes-Oxley)、美国HIPAA法案(Health Insurance Portability and Accountability Act)、日本个人信息保护法案、欧盟隐私和电子通信指令等法规和隐私保护指令的不断出台,中国也制定了《企业内部控制基本规范》,该法规被称为中国版的萨班斯法案—-在2008年6月28日发布并自2009年7月1日起实施。Oracle Database Vault应运而生,这些法案功不可没。
通过Oracle Database Vault我们可以对数据安全做严格的控制。甚至可以达到“谁在什么时间在什么地点可以通过什么方式访问哪部分数据”这样的精确度。企业可在个人访问系统时实现所需的职责分离,这是很多法案都有的规定内容,尤其是令上市公司极其头疼的“萨班斯法案”中,在第 404 条款中还进行了专门备注。从这一点也可以看出Oracle推出Database Vault的目的。
以笔者所在集成系统开发公司所做的特殊行业客户来说,如果发生数据丢失,轻则影响业务的开展以及客户满意度,重则关系到整个企业的生死存亡,而由于内部人员控操作所造成客户数据资料外泄的事件时有发生。
针对这个情况,公司在去年年底就针对数据库安装了Oracle Database Vault部件,极为严格地限制包括DBA在内的各种数据库用户的权限—-对权限的控制完全可以精确到时间、地点、账号和方式,比如你限制在什么时间,什么人,在什么地点可以通过什么方式访问哪些特定的数据。
借肋Oracle Database Vault,就好比你为数据库请了一个极为称职的内部安全监察专家,以避免数据管理者不当取得非职务相关的信息, 并在组织中落实权责分立。。对于DBA而言,也可通过职责分离让DBA们不必为别人的过失买单。
总的来说,Oracle Database Vault在数据库的基础上增加了强大的安全性支持,充分的利用Vault所提供的功能,可以确保企业核心敏感数据不会被任何不必要的人所访问,无论这个人是在企业外部还是在企业内部,甚至是系统管理员或者数据库管理员。这可提高整个企业的安全性,帮助降低内部威胁造成的风险。
今天听到oracle方的合作伙伴告诉我们的一个好消息,甲骨文在今年12月在北京有场非常大行业会议——Oracle OpenWorld会议,届时,oracle的全线产品都将集中亮相并附有专门的专家讲解,配合真实系统的模拟环境演示,如果有朋友想要系统地了解oracle的产品,可以去该大会上看看,大会的网址: http://www.oracle.com/cn/openworld/index.htm,现在报名注册还能有不错的折扣。
【编辑推荐】