OpenWorld案例分享:Oracle透明數據加密技術
去年六月,一個機器人病毒攻擊了賓夕法尼亞州大學的數據庫,數據庫中存儲的15805條社會保障號碼被泄露。更早幾年前,一臺保存有社會保障號碼的筆記本電腦在匹茲堡大學被竊。
Matthew Stewart是Robert Morris 大學(RMU)信息安全主管,在他受聘主管學校的安全工作時,他想阻止這類數據庫安全事件發生。在本次Oracle OpenWorld 2010會議上,Stewart討論了保障教育機構信息安全的困難。
Stewart說:“對大學來說,唯一的事就是他們不得不開放。他們有學術自由;你不能把他們鎖死。但是你不得不遵從法律約束,這帶來了許多特殊的挑戰。”
例如,當人們在一所學校內的這個校區走到另一個校區時,很容易忘記他們有過不同的訪問級別。但是內部訪問者并不是唯一的威脅,Stewart說黑客、學生、惡意軟件、網絡釣魚軟件、物理盜竊,甚至DBA的誤操作都是所有他關注的重大安全問題。
于是,他向Oracle求助。
在Stewart加入RMU時,安全狀況“非常糟糕”。他們運行Oracle 8.1,打補丁周期非常少,而且有太多的訪問權限被授予給太多人員了。但是,通過利用Oracle Advanced Security(一款可以幫助實現像網絡加密,透明數據加密和備份中的數據保護這幾類關鍵領域的產品),Stewart可以快速扭轉局面。
他說:“我們利用分層的安全方法來覆蓋所有方面。”他描述了他創建的六層安全措施:主動軟件保障,阻塞基于網絡的攻擊,阻塞基于主機的攻擊,消除安全薄弱環節,安全支持授權用戶,管理安全和使效益最大化的工具層。
Stewart還強調了透明數據加密(TDE)的重要性,它是對靜態數據的加密。他說Robert Morris選擇基于表空間的TDE,而不是基于數據列的TDE,是因為大學里要處理大量的事務業務。性能測試表明,增加了安全加密以后對性能的影響是微乎其微的。
Kurt Lysy是Oracle公司一位高級安全部署專家,他說你的TDE還應該與你的備份和恢復策略保持一致。
Lysy說:“當你看到加密靜態數據的大視角時,千萬不要忘了加密那些備份數據的重要性。”
然而,Stewart在采取措施保護他組織的數據時,他可能是少數派。來自獨立Oracle用戶組(IOUG)的最新數據安全調查結果顯示,在430名受訪者中,只有30%以下的人在他們的組織中對所有數據庫中的個人身份信息進行加密。
許多受訪者還表示他們正在采取反應性的,而不是預防性的方法來保護數據庫安全,而且他們中有四分之三組織沒有有效方式可以阻止有權限的數據庫用戶訪問HR系統,財務系統,或者他們數據庫中的其他業務應用數據。
現在,RMU正遷移向Oracle 11g數據庫,系統環境是64為的企業版Linux,而且現在有了補丁管理流程。Stewart說RMU正在制定流程,通過Oracle Advanced Security的使用來降低數據非法訪問。但是,他們仍然有改進的余地。他希望使用的下一代Oracle產品之一是Audit Vault。
他說:“我想看到每個用戶都在做什么。這對我們來說是非常大的一塊。”
【編輯推薦】
