Oracle数据库安全解决方案



云和恩墨通过在数据库领域的持续探索,结合业界领先的安全产品,围绕Oracle数据库安全的软件安全、备份安全、访问安全、防护安全、管理安全,通过咨询和服务的方式为用户提供全方位的数据安全解决方案。


软件安全增强


软件安全主要指Oracle软件的自身安全问题,如果没有专业的服务评估,用户从最开始的安装部署就可能存在风险,不正确的版本或补丁集选择,可能导致安全问题随之而来,软件安全主要包含如下几个方面:


1. 软件版本的评估

在进行软件安装或升级时,一定要选择最稳定安全的版本,应用最新的补丁集及CPU补丁,实现软件安全的最大化,如果初始化不能实现最佳选择,则后期的运行稳定安全将受到极大的威胁。


2. CPU补丁安全警告的评估

Oracle公司会定期(每个季度)发布一次CPU(Critical Patch Update)安全补丁,这些补丁主要解决产品中突出的安全问题,是Oracle唯一定期的安全增强。但因为安全补丁的特殊性,原厂商对安全补丁的具体内容以及防范的具体漏洞不作详细的描述,否则反而可能会被恶意者在系统没有及时更新补丁以前利用漏洞。客户无从判断这些修正的影响范围,同时,安全补丁升级有可能影响系统正常运行,在没有充分评估验证前,一般都没有升级安全补丁程序。这些现状都导致了数据库的风险和稳定性问题。



云和恩墨会根据客户的数据库安装、组件使用等情况,详细分析安全补丁的影响范围,帮助用户定制相应的应对手段,确保数据库的安全和稳定性不受威胁和影响。

下图是截止2019年8月,Oracle公司发布的数据库安全补丁序列,云和恩墨科技基于这些发布,帮助合规用户实现每季度一次的安全补丁评估:

PIC 1.jpg 


3.RU及紧急补丁BUG的修正

根据全球用户的反馈,Oracle会不定期发布BUG修正补丁,并每隔一段时间,对大量补丁进行绑定发布。如果没有专业的技术跟踪,用户将无法得知现有系统中存在哪些风险和已知隐患,并可能遭受一些已知问题的损害;RU 和 RUR 是补丁集发布中最为最为重要的修正集合。



定期的补丁发布中包含了警告和严重影响稳定性的问题修正,其中很多BUG修正涉及到数据损坏,如果遇到,则会导致严重的数据库故障。云和恩墨会实时跟踪Oracle的重要修正,并在具体的补丁集发布之前或之后帮助用户评估是否必要应用这些重要修正。

 

云和恩墨可以根据对于数据库系统的全面信息收集,为数据库建立安全档案,充分评估数据库所使用的特性、组件等信息。当Oracle发布安全补丁和修正增强时,我们将定期为用户进行安全和风险评估。通过对安全补丁的研究和验证,针对用户的环境,为用户提供安全修正的针对性解决建议;通过对Oracle的补丁BUG修正研究,定期为用户推荐修正升级解决方案。


管理安全增强


根据统计数据分析,80%的数据库的安全风险来自内部,由于通常数据库系统都隐藏在IT环境的最后环节,所以更常见的威胁来自内部。开发人员、运维人员等在维护管理环境都可能导致数据泄露等安全事件。管理安全带来的数据风险可能包括:


1.维护人员信息接触和泄露

可能涉及的安全内容包括口令管理,权限限制,数据保密等,很多企业在员工离职之内,缺乏足够的隔离手段和安全防控,导致数据损失(如图是案例之一);

Picture1.png


2.高风险操作导致的数据损害

需要明确不同类别操作的风险,明确操作步骤和流程,严格避免危险操作可能带来的数据损坏,包括诸如DDL操作,表空间和文件级别操作限制等;


在面对这些问题时,云和恩墨可以帮助用户通过建立健全数据库维护和使用规范进行安全防范,提升和改善企业数据安全:

完善管理流程及制度

安全要靠管理和制度来保障,确立明确的制度和流程,对于安全管理必不可少,云和恩墨的技术专家将协助用户梳理管理和维护流程,评估流程风险,完善客户的流程和制度管理;

建立数据使用管理规范

帮助企业建立和完善数据使用流程和规范,通过统一的规范提升企业数据使用、运维和管理安全;


云和恩墨在进行管理安全的评估时,将根据企业的数据管理情况,进行服务流程、管理流程的梳理和细化,明确数据接触点和风险点,帮助企业制定和完善数据管理流程,防范因为管理带来的数据安全问题。


除此之外,企业在处理数据库系统异常时,也应当具备明确的处理流程和规范,严格避免特定高风险操作,防止因为考虑不周而带来的疏忽管理风险。



数据保全增强


数据保全指用户的数据备份、容灾等数据保全机制评估,很多用户的备份在恢复时才发现无效,所以充分验证当前的数据保全机制,是保证数据库安全的重要方面。


数据保全评估的服务内容包括:

  1. 备份方案评估和制定

    可靠的备份方案是数据保全的根本,在遭受损失和意外时,备份是最有力的安全保障,通过Oracle的DataGuard技术构建备库进行容灾备份或者负载分担是成熟可靠的可选方案之一;

  2. 备份检查及验证

    定期的备份检查和验证是保证备份有效,数据安全的重要辅助环节;

  3. 备份加密和保护

    在完成备份之后,还要确保备份安全,不因意外损坏、丢失而影响企业数据安全。在安全方面,适当的备份加密是保护备份安全的重要手段之一。

  4. 数据容灾

在重要的企业数据环境中,容灾是必要的数据保护手段。通过Oracle的DataGuard技术,可以构建和主数据库完全相同的物理存储数据,通过归档、日志保证主备数据库之间的同步。Active DataGuard技术更加可以在备库打开时提供同步,可以将容灾和负载分担结合起来,是稳健可靠的数据容灾解决方案。下图是Active DataGuard的示意图,云和恩墨可以帮助用户设计合规划基于DataGuard的容灾备份解决方案:

1564888374814099659.gif 

Oracle的GoldenGate,是一款可以用于同构或者异构数据库之间,进行数据同步的产品。该产品在数据容灾中的应用也相当广泛,通过该产品可以构建双活的备用数据库环境,是充分利用企业计算资源,实现数据容灾的可靠解决方案之一。


通过数据保全评估和增强,云和恩墨可以帮助用户确保备份及数据保全机制的可用有限,消除潜在安全隐患,确保备份安全。



访问安全增强


在数据访问层面,核心数据安全得以最终体现,如果在此环节保护不当,则可能发生数据未授权访问,访问来源威胁等严重安全问题。

在安全评估的实施过程中,最重要的是回答4W1H问题,也即谁(Who)在什么时间(When)在何位置(Where)如何(HOW)访问了什么(What)数据。


在访问安全评估的过程中,云和恩墨将通过以下技术手段回答以上问题:

访问分析

通过日志分析,获得数据库的访问来源,访问程序以及访问时间,这部分信息来自应用服务器日志、数据监听日志等。分析之后,可以根据挖掘数据,为用户提供详细的评估报告,细化访问来源和访问方式。在访问分析中,还将评估访问数据库的应用软件和工具,以判断是否有类似exp / expdp等导出工具的批量数据转储转移工作。

访问分析与安全评估,还需要充分评估监听器安全,Oracle数据库的监听器在很多版本中存在安全漏洞,需要通过设置进行安全防护和增强。

通过访问分析过程,可以评估访问来源、数据库应答是否存在风险,是否存在可疑的未授权、非期望访问来源,从而消除来源的访问风险,保障数据访问来源安全。


权限分析

通过对于数据库用户的权限分析,判断是否存在过度授权,或者不适当的权限授予,Oracle数据库授权应当遵循最小权限授予法,仅赋予用户必须的最小权限,过度的权限授予就意味着安全风险。

除了主动授予的权限之外,数据库自身的某些权限授予也是存在安全风险,应当全面审核数据库的权限授予,消除由于权限授予引发的安全隐患。

云和恩墨可以基于权限分析,帮助用户进行权限调整和限制,增强数据库的权限安全。


SQL安全评估

常规的数据访问最终在数据库中以SQL体现出来,SQL安全评估将从安全角度出发,对数据库中执行的SQL进行汇总分析,对可疑、来源用途不明等SQL进行重点分析,帮助用户及时发现数据库中的SQL访问风险。


在访问安全方面,可以根据分析结果通过数据库内部或通过外部软件加强访问安全的防护。



安全防护增强


安全防护是指,针对恶意访问与攻击而设置的相应安全防护解决方案,其防护主要通过数据库内部防护和外部防护结合来进行。

这部分工作包含的内容有:


重点数据访问审计 – Oracle Audit

通过Oracle的AUDIT功能,我们可以实现对于数据库重点表的访问审计,记录用户对于数据表的查询、修改等访问方式,分析数据表的访问时间、频度与来源,从而筛选是否数据库中存在不安全的未授权访问或威胁,数据库审计会带来额外的负载,对性能产生一定的影响,需要认真评估安全对象,分步骤实施,逐步推进;

1564892629384073012.png

在安全审计之外,可以通过定期对数据库生成的归档日志进行解析,生成操作日志,分析审核,从而实现定期的人工审计核查。下图是云和恩墨通过日志分析帮助用户发现数据篡改的案例之一:

 Picture1.png

通过日志解析和审计来核查数据库变更,可以在备库或测试环境中进行,不会对主库产生额外的负担,是安全可靠的审核机制,但是需要做好环境准备,由工程师进行分析汇总报告。


数据加密 – TDE技术


数据加密可以防范数据的未授权提出和窃取,主要有两种方式可以实现:透明加密 和 非透明加密。

通过Oracle的TDE(透明数据加密)技术,可以实现对于Oracle数据的透明加密,在TDE技术下,数据库表数据基于Wallet进行加密解密,在存储上进行安全存储,对应用透明,但是会牺牲部分性能,通常会有10%左右的性能影响;


对于非透明加密,Oracle提供加密函数对数据进行散列加密,需要通过应用程序调用相关函数进行加密解密,需要程序进行修改,数据存储信息即为加密后的密文。

数据加密还可以针对数据备份进行,在逻辑备份和物理备份中,都可以采用密文加密,保障数据安全。

我们建议根据用户的具体情况进行分析,综合选择各种安全手段,进行数据安全防护。


数据库防火墙保护 – DFW

对于数据库外部的安全威胁,可以通过Oracle提供的数据库防火墙( Oracle Database Firewall)产品,进行外部安全防护。数据库防火墙可以通过旁路与数据库并联,或者与数据库进行串联,仅对数据库产生极小的负载,但是可以对访问进行分析、评估和告警,向用户报告数据访问方式和访问来源等详细的安全信息。

        

Oracle数据库防火墙采用了SQL语法分析技术,检查发往数据库的SQL语句,并根据预先制定的规则决定是否让某SQL语句通过以及是否记录、禁止或取代某SQL语句,这种防护的正确率非常高。

        

Oracle数据库防火墙预先制定的策略包括:

  * 白名单策略,即遇到该名单认可的SQL语句时,防火墙就将其看作正常语句,让其通过,而其余语句则禁止通过;

  * 黑名单策略,即专门禁止该名单未授权的SQL语句通过;

  * 例外策略,即定制例外,灵活地让适用的安全策略无效,以支持特殊的操作类型;

  * 定制策略,如对一天中的时间、IP地址、应用、用户和SQL类等属性进行定制约束;  

        

Oracle数据库防火墙简单、易部署,不需要对现有应用、数据库基础设施或目标数据库的现用操作系统进行任何调整,是一个全面的软件解决方案,可在基于英特尔处理器的硬件上运行,并能轻松进行扩展,以支持大量数据库服务器。


Oracle数据库防火墙配备了很多预置和可定制的报告,有助于企业满足各种隐私和管制法令要求,如支付卡行业(PCI)数据安全标准(DSS)、美国萨班法案(SOX)和美国HIPAA法案。Oracle数据库防火墙是Oracle全面的数据库安全解决方案系列产品之一,能够对Oracle Advanced Security、Oracle Audit Vault和Oracle Database Vault起到补充作用。

1564892510733059838.png

 

 除了Oracle提供的Database Firewall产品外,业界还存在多种产品解决方案,包括Guardium,Imperva等。云和恩墨可以根据用户的具体情况和需求,为用户定制最适合的解决方案。



总结


数据安全是一项重要和长期的工作,Oracle数据库产品在安全方面提供了很多可选的技术解决方案,由于Oracle自身的产品耦合度较高,我们可以根据客户的具体情况,分步骤分阶段的推进安全实施。

 

数据库的性能及安全需要长期关注,通过不断分析和优化改善用户体验,通过制度完善来强化管理,通过加密和防护实现安全。云和恩墨通过专业的人才和技术手段,可以帮助用户综合分析并考量软件安全、管理安全、访问安全,帮助用户实现全面的安全防护。





相关案例
中国联合网络通信集团有限公司
行 业:通信运营
项 目:软件安全评估及保障
服务价值:针对“软件安全”中涉及的问题,准确判断,保障了用户数据库系统的稳定安全,为用户的活动提供了有力的支持保障。