在云時(shí)代應(yīng)如何加強(qiáng)數(shù)據(jù)庫(kù)的安全性?
以下的文章主要向大家描述的是在云時(shí)代正確加強(qiáng)數(shù)據(jù)庫(kù)安全性的實(shí)際操作手段,在谷歌、微軟這兩大互聯(lián)網(wǎng)應(yīng)用的帶領(lǐng)之下,近年來云計(jì)算是有了“鳳凰出山”的感覺,但這用戶的安全性問題也隨之而來,讓人頗為頭疼。
畢竟數(shù)據(jù)都保存在云端,那云端的安全性如何保障?其實(shí)在“云計(jì)算”剛出來那會(huì),其數(shù)據(jù)安全性的質(zhì)疑就一直為人詬病,用戶在關(guān)心自己的數(shù)據(jù)不會(huì)被肆意刪除之外,最關(guān)心的還是自己的信息不會(huì)被不相關(guān)的人士獲取,數(shù)據(jù)遭泄漏。
一般來說,企業(yè)數(shù)據(jù)都有其機(jī)密性。但這些企業(yè)把數(shù)據(jù)交給云計(jì)算服務(wù)商后,具有數(shù)據(jù)優(yōu)先訪問權(quán)的并不是相應(yīng)企業(yè),而是云計(jì)算服務(wù)商。如此一來,就不能排除企業(yè)數(shù)據(jù)被泄露出去的可能性。而除了云計(jì)算服務(wù)商之外,大量覬覦云端數(shù)據(jù)的駭客們也沒有閑著,他們不停的發(fā)掘著服務(wù)商web應(yīng)用上的漏洞,以期望打開缺口,獲得自己想要的數(shù)據(jù)。因此數(shù)據(jù)安全性將成為CTO和IT主管們要重點(diǎn)考慮的問題了。
不過目前在市場(chǎng)上對(duì)數(shù)據(jù)安全保護(hù)的產(chǎn)品并不多見,大都是通過網(wǎng)絡(luò)傳輸進(jìn)行包抓取,對(duì)關(guān)鍵字進(jìn)行檢測(cè)的方法來遏制不安全的數(shù)據(jù)訪問,但是這也存在一個(gè)弊病,就是如果內(nèi)部人員直接就在數(shù)據(jù)服務(wù)器上操作,不通過網(wǎng)絡(luò),則失去了保護(hù)的作用。
如何進(jìn)行有效的內(nèi)部控制,多年來一直沒有很好的解決辦法。其中一個(gè)突出的問題就是限制DBA對(duì)應(yīng)用數(shù)據(jù)的存取。DBA具有“至高無上”的權(quán)限,對(duì)他們而言數(shù)據(jù)庫(kù)中的數(shù)據(jù)是沒有任何秘密可言的。
此外,為了保證運(yùn)營(yíng)系統(tǒng)的正常運(yùn)行,某些“危險(xiǎn)”操作是應(yīng)禁止執(zhí)行的。因此對(duì)數(shù)據(jù)的保護(hù)還得從最底層的數(shù)據(jù)開始。目前國(guó)內(nèi)大部分的數(shù)據(jù)庫(kù)還是以O(shè)racle數(shù)據(jù)庫(kù)為主,而甲骨文是當(dāng)前惟一為提供數(shù)據(jù)庫(kù)安全技術(shù)做好準(zhǔn)備的公司,它提供了一系統(tǒng)的數(shù)據(jù)庫(kù)安全解決方案。針對(duì)上面所談到內(nèi)部控制的問題,你完成可以結(jié)合Oracle公司推出的安全組件Oracle Database Vault(簡(jiǎn)稱Vault)來解決了所遇到難題。
而Oracle Database Vault是一個(gè)Oracle數(shù)據(jù)庫(kù)企業(yè)版一個(gè)需要付費(fèi)的增值選件。官方的說法是“Oracle Database Vault 是一個(gè)數(shù)據(jù)庫(kù)安全選件,用于防止 DBA 訪問應(yīng)用程序數(shù)據(jù),保護(hù)數(shù)據(jù)庫(kù)結(jié)構(gòu)以防止未經(jīng)授權(quán)的更改,以及通過設(shè)置各種訪問控制來滿足動(dòng)態(tài)、靈活的安全要求。”怎么看著好像是專門防我們DBA干壞事的。DBA有那么壞嗎?話說回來,從DBA個(gè)人利益的角度來看,這似乎也并不是一件壞事。
因?yàn)橐坏┌l(fā)生數(shù)據(jù)泄露,所有擁有數(shù)據(jù)訪問權(quán)限的人都要接受調(diào)查,DBA也跑不掉。而且DBA的權(quán)限最大,幾乎什么問題都能和DBA扯上關(guān)系。從DBA角度講,尤其是產(chǎn)品DBA,負(fù)責(zé)數(shù)據(jù)庫(kù)的安裝、維護(hù)、優(yōu)化、備份、遷移、升級(jí)等等維護(hù)管理性的操作,其實(shí)對(duì)數(shù)據(jù)庫(kù)中保存的信息的含義并不關(guān)心。
只是工作性質(zhì)決定了DBA所具有數(shù)據(jù)庫(kù)中最高的權(quán)限,而DBA一般也不需要通過這種權(quán)限來訪問敏感業(yè)務(wù)數(shù)據(jù),因?yàn)閿?shù)據(jù)的寫入和讀取自然有相應(yīng)的部門和軟件系統(tǒng)來負(fù)責(zé)。那么一旦發(fā)生了敏感的數(shù)據(jù)泄漏的事情,擁有最高權(quán)限的DBA首先被放到了被懷疑的位置上,這對(duì)于DBA來說又很“冤枉”。這就是說,而通過這個(gè)新組件Oracle Database Vault 可以實(shí)現(xiàn)職責(zé)分離的效果。大家可以各負(fù)其責(zé),誰都不必為別人的錯(cuò)誤和過失而承擔(dān)責(zé)任。
另一方面,數(shù)據(jù)安全是企業(yè)非常重視的問題。哪怕是同一家企業(yè)的不同部門,能夠訪問的數(shù)據(jù)內(nèi)容,有時(shí)候都是需要嚴(yán)格控制的。實(shí)際上,對(duì)于企業(yè)數(shù)據(jù)安全性的要求,現(xiàn)在已經(jīng)不僅僅是企業(yè)內(nèi)部的需求了,隨著美國(guó)薩班斯法案(Sarbanes-Oxley)、美國(guó)HIPAA法案(Health Insurance Portability and Accountability Act)、日本個(gè)人信息保護(hù)法案、歐盟隱私和電子通信指令等法規(guī)和隱私保護(hù)指令的不斷出臺(tái),中國(guó)也制定了《企業(yè)內(nèi)部控制基本規(guī)范》,該法規(guī)被稱為中國(guó)版的薩班斯法案—-在2008年6月28日發(fā)布并自2009年7月1日起實(shí)施。Oracle Database Vault應(yīng)運(yùn)而生,這些法案功不可沒。
通過Oracle Database Vault我們可以對(duì)數(shù)據(jù)安全做嚴(yán)格的控制。甚至可以達(dá)到“誰在什么時(shí)間在什么地點(diǎn)可以通過什么方式訪問哪部分?jǐn)?shù)據(jù)”這樣的精確度。企業(yè)可在個(gè)人訪問系統(tǒng)時(shí)實(shí)現(xiàn)所需的職責(zé)分離,這是很多法案都有的規(guī)定內(nèi)容,尤其是令上市公司極其頭疼的“薩班斯法案”中,在第 404 條款中還進(jìn)行了專門備注。從這一點(diǎn)也可以看出Oracle推出Database Vault的目的。
以筆者所在集成系統(tǒng)開發(fā)公司所做的特殊行業(yè)客戶來說,如果發(fā)生數(shù)據(jù)丟失,輕則影響業(yè)務(wù)的開展以及客戶滿意度,重則關(guān)系到整個(gè)企業(yè)的生死存亡,而由于內(nèi)部人員控操作所造成客戶數(shù)據(jù)資料外泄的事件時(shí)有發(fā)生。
針對(duì)這個(gè)情況,公司在去年年底就針對(duì)數(shù)據(jù)庫(kù)安裝了Oracle Database Vault部件,極為嚴(yán)格地限制包括DBA在內(nèi)的各種數(shù)據(jù)庫(kù)用戶的權(quán)限—-對(duì)權(quán)限的控制完全可以精確到時(shí)間、地點(diǎn)、賬號(hào)和方式,比如你限制在什么時(shí)間,什么人,在什么地點(diǎn)可以通過什么方式訪問哪些特定的數(shù)據(jù)。
借肋Oracle Database Vault,就好比你為數(shù)據(jù)庫(kù)請(qǐng)了一個(gè)極為稱職的內(nèi)部安全監(jiān)察專家,以避免數(shù)據(jù)管理者不當(dāng)取得非職務(wù)相關(guān)的信息, 并在組織中落實(shí)權(quán)責(zé)分立。。對(duì)于DBA而言,也可通過職責(zé)分離讓DBA們不必為別人的過失買單。
總的來說,Oracle Database Vault在數(shù)據(jù)庫(kù)的基礎(chǔ)上增加了強(qiáng)大的安全性支持,充分的利用Vault所提供的功能,可以確保企業(yè)核心敏感數(shù)據(jù)不會(huì)被任何不必要的人所訪問,無論這個(gè)人是在企業(yè)外部還是在企業(yè)內(nèi)部,甚至是系統(tǒng)管理員或者數(shù)據(jù)庫(kù)管理員。這可提高整個(gè)企業(yè)的安全性,幫助降低內(nèi)部威脅造成的風(fēng)險(xiǎn)。
今天聽到oracle方的合作伙伴告訴我們的一個(gè)好消息,甲骨文在今年12月在北京有場(chǎng)非常大行業(yè)會(huì)議——Oracle OpenWorld會(huì)議,屆時(shí),oracle的全線產(chǎn)品都將集中亮相并附有專門的專家講解,配合真實(shí)系統(tǒng)的模擬環(huán)境演示,如果有朋友想要系統(tǒng)地了解oracle的產(chǎn)品,可以去該大會(huì)上看看,大會(huì)的網(wǎng)址: http://www.oracle.com/cn/openworld/index.htm,現(xiàn)在報(bào)名注冊(cè)還能有不錯(cuò)的折扣。
【編輯推薦】
