企业安全体系架构
- 格式:pdf
- 大小:1023.82 KB
- 文档页数:42
• 将 ACL 信息存储在搜索引擎索引中 • 查询时间认证
• 简单、熟悉的搜索界面
身份和数据生命周期
提供身份
访问控制 存储
管理
部署
监视
透明数据加密 10gR2
保护介质上的机密数据
• 功能
• 使用 3DES、AES 进行列加密 • 标量类型 • 支持加密
Oracle Identity Federation
Oracle Identity Federation
• 优势
• 与合作伙伴进行安全的集成 • 降低管理成本 • 改善最终用户体验
• 功能
• 无缝的 SSO 和身份共享 • 多协议网关 — SAML、Liberty、WS-Federation • 服务提供商或身份提供商
Oracle 融合安全体系架构
应用安全性
Web Service /应用安全管理
访问控制 数据保护
访问管理
单点登陆
eSSO
联盟
身份管理和提供
LDAP
目录服务
Virtual Directory Meta Directory
访问限制
数据分级
加密
闲置
运行
备份
身份和数据安全生命周期
提供身份
访问控制 存储
管理
服务器 — 托管的数据库备份
• 加密模式 • PKI • 口令
• 在数据库或表空间级别进行加密
Oracle 安全备份
• 集成的解决方案
磁带设备
身份和数据生命周期
提供身份
访问控制 存储
管理
部署
监视
Oracle 数据库审计
信任但要进行验证
• 强制性审计
• 包括启动和关闭的关键事件
• SYS 审计
• SYSDBA 和 SYSOPER 操作
掘业务潜力,并且…
• 还带来更高的业务风险
• 安全威胁的复杂性和严重性显著增加 • 管理和隐私规章强调安全控制
企业安全现状
• 不完善
• 多个供应商提供了多种解决方案 • 不同的技术无法协同工作
• 复杂
• 重复的点对点集成 • 大都是手动操作
• “不兼容”
• 难以实施一致的策略 • 难以衡量这些政策的合规性
配置 管理
自动化
应用程序 性能管理
服务 级别 管理
CMDB(配置管理数据库) (发现和协调)
议程
• 企业安全现状 • 安全原则 • 企业安全体系架构 • 实施建议
使安全性成为头等要事
• 设计时考虑安全性 • 多层次实施 • 积极应对,保持主动性 • 降低风险 — 不要消除风险 • 在使用前沿技术前,应用常识考虑问题 • 考虑竞争因素
议程
• 企业安全现状 • 安全原则 • 企业安全体系架构 • 实施建议
安全原则
外部保护
坚固的城墙
护城河
安全原则
内部保护
受控制的访问 角色与权限
安全原则
• 构建系统时应该考虑安全性,而不是事后再亡羊补牢 • 深度防御
• 分层次的安全性可以提供更好的保障
议程
• 企业安全现状 • 安全原则 • 企业安全体系架构 • 实施建议
部署
监视
身份管理
生命周期 管理
角色和 成员 管理
供应和 协调
自动 合规性
Oracle Identity Manager
用例 1 — 入职
新员工 HRMS
连接程序
协调引擎
Oracle Identity Manager
提供的 应用程序
身份 存储
用户组
访问 策略
工作流
新签约者
自助 注册
请求 引擎
批准
拒绝的 应用程序
• SHA-1 和 MD5 • Diffie-Hellman 密钥交换 • 易于配置 • 强大的身份验证 • PKI • Kerberos • RADIUS • 高级安全性选项的组件
x#!s%3
虚拟专用数据库(Virtual Private Database)
灵活的访问控制
销售 人员
客户
select * from orders
Oracle Access Manager (Web)
Oracle Enterprise SSO
Oracle eSSO Suite
(Desktop/Legacy)
• 优势
• 消除忘记 Windows 桌面和应用程序 口令的现象 • 提高安全性、改善用户体验 • 满足监管合规性
• 功能
• 登录到任何 Windows、Web、主机、大型机或 Java 应用程序 • 使用令牌、智能卡、生物特征识别和口令的任意组合 • 针对共享的工作站,自动终止不活动的会话和关闭应用程序 • 从锁定的工作站直接重置 Windows 口令
(Desktop/Legacy)
DB 集成
Oracle Internet Directory
Oracle Web Services Manager
安全 信息访问
Oracle Access Manager
• 优势
• 异构环境中集中、一致的安全性 • 降低管理成本 • 改善最终用户体验
• 功能
• Web 单点登录 • 自助服务和委托管理 • 常用策略管理 • 多级别、多因素的认证管理 • 工作流引擎 • Web 服务接口
• 标准审计
• 语句(DML、DDL) • 权限、对象、用户 • 失败或成功
• 细粒度审计 (FGA)
• 基于任何条件 • 用于通知的事件处理程序
• 审计存储:数据库、OS 文件
•谁
• 数据库用户名、OS 用户名、客户 端 id、用户名 guid……
• 何处
• 用户主机、终端号、进程号、 ecid……
• 创建钱夹(一次性) • CREATE/ALTER TABLE cust
(ssn NUMBER ENCRYPT); • 使用 SQL Developer 10gR2
• 区别
• 不更改应用程序 • 无应用程序密钥管理 • 无数据库触发器/视图 • 无存储过程
• 高级安全性选项 (ASO) 的一部分 • ASO 包括到磁盘的加密备份
• 灵活的部署配置 • 专门用于预先存在的 Web 访问管理解决方案 • 针对自定义应用程序的协议 SDK
Oracle Web Services Mgr.
Oracle Web Services Manager
• 优势
• 快速、简单的部署 • 提供标准的 (J2EE) 策略实施点 • 支持 SLA 定义和监视,以及服务质量报告。
<Insert Picture Here>
企业安全体系架构
刘翔 大中国区资深解决方案架构师 Oracle公司
议程
• 企业安全现状 • 安全原则 • 企业安全体系架构 • 实施建议
安全现在是一个业务问题
• 不再只是一个技术问题 • 安全漏洞影响企业收益
• 在线银行服务 — 为客户提供方便的访问并挖
• 使其成为实际、可用、可行的
IAM(身份识别与访问管理)项目成功的关键
• 建立 I&AM 的战略特性 • 重点关注过程和人,技术只是一个推动力 • 获得高层支持,进行全面购买 • 制定整体业务要求和一个起点 — 目录、访问管理或供应 • 根据现在和将来的要求选择软件 • 按照分阶段的方法集成应用程序和不同类型的用户 • 提早准备好开发人员,以便与统一的认证、授权和身份服务相集成 • 准备好一个全面的更改管理和沟通计划
数据库 实例 2
共享内存中的数据文件
图 5. Oracle 应用服务器集群(身份管理)
Oracle NET 请求 SSO 请求 LDAP 请求
Oracle 应用服务器卫士
双向同步 主站点
DNS 交换机
应用程序
应用程序 数据
LDAP 数据
中间层同步 OracleAS BR
Oracle 应用服务器卫士
元数据
安全性 信息
数据库同步
应用程序 数据
OracleDB 数据卫士
LDAP 数据
备用站点
应用程序
元数据 安全性 信息
身份和数据生命周期
提供身份
访问控制 存储
管理
部署
监视
企业管理器
企业 管理器
信息板和报告
可扩展性和互操作性
(开放的标准、开放的接口)
应用程序管理
Oracle 基础架构管理 扩展的基础架构管理
• SQL 命令规则
领域
报告
多因素 授权
审计
命令 规则
职责 分离
Oracle 安全企业搜索
功能
• 用户能够登录并发现非公共文档
• 使用现有的身份基础架构
•您的所有资源 — 内部网 Web 页面、数据库表中的各行、Oracle AS Portal 页面、电子邮件以及文件或特殊信息库中的文档 — 均可受到保护。
• 何时
• 时间戳记、系统更改号 (SCN)、注 销时间……
• 做什么
• DML、DDL • SQL-Text • SQL-Bind……
身份和数据生命周期
提供身份
访问控制 存储
管理
部署
监视
单点登录 服务
Oracle Internet Directory (LDAP)
自动 解密的 数据
自动 加密的 数据
Oracle 安全备份 10gR2
保护备份数据
• RMAN(集成恢复管理器 )
• 到磁盘的联机、完整、增量式数据 库备份
Oracle 数据库