AVDF数据库防火墙_白皮书_2013.pdf

Oracle 白皮书 2013 年6 月 Oracle Audit Vault and Database Firewall Oracle Audit Vault and Database Firewall 引言 2 Oracle Audit Vault and Database Firewall 概述 3 审计与监视概述 3 Audit Vault 4 Database Firewall 6 白名单策略执行 6 黑名单策略执行 6 例外名单策略执行 6 处理未授权的SQL 6 报告 7 合规性报告 8 活动报告 8 授权报告 9 存储过程审计报告 9 警报与通知 9 可扩展性和安全性 10 部署 11 Database Firewall 网络部署 11 审计代理部署 12 策略编辑和管理 12 自定义审计信息收集插件 12 与第三方解决方案的集成 13 总结 14 Oracle Audit Vault and Database Firewall 引言 网络威胁、隐私法以及萨班斯-奥克斯利法案(SOX) 、支付卡行业数据安全标准(PCI-DSS) 等 众所周知的法规所催生的信息保护工作已成为企业面临的首要问题。Verizon RISK Team 发 布的2012 数据泄漏调查报告显示，在所有的数据泄露事件中，有94 ％与服务器有关。该项 调查与政府和学术机构进行的各种研究和调查均表明，大部分数据泄露是由 SQL 注入、凭 证失窃所引发，或由有权访问系统及其数据的内部人员所导致。保护服务器上的数据安全 需采用纵深防御方法，这同时涉及到技术和管理功能，涵盖预防、检测和管理控制等各个 环节。 “信任但要验证”原则不仅适用于有权直接访问主机和数据库的特权用户，也适用于访问数据 库的应用程序。如今，大多数应用程序均作为深受信赖的用户，使用单一大用户帐户与 Oracle 或非 Oracle 数据库进行通讯。这种应用程序架构，以及越来越多通过 SQL 注入或特 权用户帐户攻击数据库的事件，使检测控制的部署成为整体纵深防御安全战略中极为重要 的环节。 部署监视解决方案时需要注意的是，解决方案对目标系统的活动探查得越细致越深入， 所收集信息的质量和精确度就越高。此外，搞清与每个系统相关的风险也很重要，这样 才能确定系统活动所需的探查精度与深度。为便于理解此概念，我们以大楼正门入口的 摄像头或保安来打个比方。两者都可以看到进入大楼的目标，但只有保安能阻止目标进 入大楼，而对于大楼内部发生的状况，两者都无法尽收眼底。假如把大楼看成一个数据 库，摄像头和保安只能在SQL 语句到达数据库前对其进行监视，而一旦 SQL 语句在数据 库内执行，情况如何就难以知晓了，这便是问题的棘手之处。由存储过程衍生出来的递 归SQL、动态SQL 、特权用户操作、调度的作业、触发器执行、应用程序用户名以及“事 前”和“事后”数据值都属于从数据库外部很难看到的信息，但对于数据库内部的审计系 统，这些信息均一览无余。因此，监视值直接关系到所收集信息的质量和等级，同时也 影响到警报和报告功能。 2 Oracle Audit Vault and Database Firewall Oracle Audit Vault and Database Firewall 概述 Oracle Audit Vault and Database Firewall 通过整合来自Oracle 和非Oracle 数据库、操作系统、 目录和文件系统的审计数据以及特定于应用程序的审计数据，提供全面而灵活的监视功 能。同时，Oracle Database Firewall 能够充任第一道网络防线，强制要求应用程序行为符合