在云時代應如何加強數據庫的安全性?
以下的文章主要向大家描述的是在云時代正確加強數據庫安全性的實際操作手段,在谷歌、微軟這兩大互聯網應用的帶領之下,近年來云計算是有了“鳳凰出山”的感覺,但這用戶的安全性問題也隨之而來,讓人頗為頭疼。
畢竟數據都保存在云端,那云端的安全性如何保障?其實在“云計算”剛出來那會,其數據安全性的質疑就一直為人詬病,用戶在關心自己的數據不會被肆意刪除之外,最關心的還是自己的信息不會被不相關的人士獲取,數據遭泄漏。
一般來說,企業數據都有其機密性。但這些企業把數據交給云計算服務商后,具有數據優先訪問權的并不是相應企業,而是云計算服務商。如此一來,就不能排除企業數據被泄露出去的可能性。而除了云計算服務商之外,大量覬覦云端數據的駭客們也沒有閑著,他們不停的發掘著服務商web應用上的漏洞,以期望打開缺口,獲得自己想要的數據。因此數據安全性將成為CTO和IT主管們要重點考慮的問題了。
不過目前在市場上對數據安全保護的產品并不多見,大都是通過網絡傳輸進行包抓取,對關鍵字進行檢測的方法來遏制不安全的數據訪問,但是這也存在一個弊病,就是如果內部人員直接就在數據服務器上操作,不通過網絡,則失去了保護的作用。
如何進行有效的內部控制,多年來一直沒有很好的解決辦法。其中一個突出的問題就是限制DBA對應用數據的存取。DBA具有“至高無上”的權限,對他們而言數據庫中的數據是沒有任何秘密可言的。
此外,為了保證運營系統的正常運行,某些“危險”操作是應禁止執行的。因此對數據的保護還得從最底層的數據開始。目前國內大部分的數據庫還是以Oracle數據庫為主,而甲骨文是當前惟一為提供數據庫安全技術做好準備的公司,它提供了一系統的數據庫安全解決方案。針對上面所談到內部控制的問題,你完成可以結合Oracle公司推出的安全組件Oracle Database Vault(簡稱Vault)來解決了所遇到難題。
而Oracle Database Vault是一個Oracle數據庫企業版一個需要付費的增值選件。官方的說法是“Oracle Database Vault 是一個數據庫安全選件,用于防止 DBA 訪問應用程序數據,保護數據庫結構以防止未經授權的更改,以及通過設置各種訪問控制來滿足動態、靈活的安全要求。”怎么看著好像是專門防我們DBA干壞事的。DBA有那么壞嗎?話說回來,從DBA個人利益的角度來看,這似乎也并不是一件壞事。
因為一旦發生數據泄露,所有擁有數據訪問權限的人都要接受調查,DBA也跑不掉。而且DBA的權限最大,幾乎什么問題都能和DBA扯上關系。從DBA角度講,尤其是產品DBA,負責數據庫的安裝、維護、優化、備份、遷移、升級等等維護管理性的操作,其實對數據庫中保存的信息的含義并不關心。
只是工作性質決定了DBA所具有數據庫中最高的權限,而DBA一般也不需要通過這種權限來訪問敏感業務數據,因為數據的寫入和讀取自然有相應的部門和軟件系統來負責。那么一旦發生了敏感的數據泄漏的事情,擁有最高權限的DBA首先被放到了被懷疑的位置上,這對于DBA來說又很“冤枉”。這就是說,而通過這個新組件Oracle Database Vault 可以實現職責分離的效果。大家可以各負其責,誰都不必為別人的錯誤和過失而承擔責任。
另一方面,數據安全是企業非常重視的問題。哪怕是同一家企業的不同部門,能夠訪問的數據內容,有時候都是需要嚴格控制的。實際上,對于企業數據安全性的要求,現在已經不僅僅是企業內部的需求了,隨著美國薩班斯法案(Sarbanes-Oxley)、美國HIPAA法案(Health Insurance Portability and Accountability Act)、日本個人信息保護法案、歐盟隱私和電子通信指令等法規和隱私保護指令的不斷出臺,中國也制定了《企業內部控制基本規范》,該法規被稱為中國版的薩班斯法案—-在2008年6月28日發布并自2009年7月1日起實施。Oracle Database Vault應運而生,這些法案功不可沒。
通過Oracle Database Vault我們可以對數據安全做嚴格的控制。甚至可以達到“誰在什么時間在什么地點可以通過什么方式訪問哪部分數據”這樣的精確度。企業可在個人訪問系統時實現所需的職責分離,這是很多法案都有的規定內容,尤其是令上市公司極其頭疼的“薩班斯法案”中,在第 404 條款中還進行了專門備注。從這一點也可以看出Oracle推出Database Vault的目的。
以筆者所在集成系統開發公司所做的特殊行業客戶來說,如果發生數據丟失,輕則影響業務的開展以及客戶滿意度,重則關系到整個企業的生死存亡,而由于內部人員控操作所造成客戶數據資料外泄的事件時有發生。
針對這個情況,公司在去年年底就針對數據庫安裝了Oracle Database Vault部件,極為嚴格地限制包括DBA在內的各種數據庫用戶的權限—-對權限的控制完全可以精確到時間、地點、賬號和方式,比如你限制在什么時間,什么人,在什么地點可以通過什么方式訪問哪些特定的數據。
借肋Oracle Database Vault,就好比你為數據庫請了一個極為稱職的內部安全監察專家,以避免數據管理者不當取得非職務相關的信息, 并在組織中落實權責分立。。對于DBA而言,也可通過職責分離讓DBA們不必為別人的過失買單。
總的來說,Oracle Database Vault在數據庫的基礎上增加了強大的安全性支持,充分的利用Vault所提供的功能,可以確保企業核心敏感數據不會被任何不必要的人所訪問,無論這個人是在企業外部還是在企業內部,甚至是系統管理員或者數據庫管理員。這可提高整個企業的安全性,幫助降低內部威脅造成的風險。
今天聽到oracle方的合作伙伴告訴我們的一個好消息,甲骨文在今年12月在北京有場非常大行業會議——Oracle OpenWorld會議,屆時,oracle的全線產品都將集中亮相并附有專門的專家講解,配合真實系統的模擬環境演示,如果有朋友想要系統地了解oracle的產品,可以去該大會上看看,大會的網址: http://www.oracle.com/cn/openworld/index.htm,現在報名注冊還能有不錯的折扣。
【編輯推薦】
