在谷歌、微软这两大互联网应用两大巨头的带领下,近年来云计算是火起来了,但这用户的安全性问题也随之而来,让人颇为头疼。毕竟数据都保存在云端,那云端的安全性如何保障?其实在“云计算”刚出来那会,其数据安全性的质疑就一直为人诟病,用户在关心自己的数据不会被肆意删除之外,最关心的还是自己的信息不会被不相关的人士获取,数据遭泄漏。一般来说,企业数据都有其机密性。但这些企业把数据交给云计算服务商后,具有数据优先访问权的并不是相应企业,而是云计算服务商。如此一来,就不能排除企业数据被泄露出去的可能性。而除了云计算服务商之外,大量觊觎云端数据的骇客们也没有闲着,他们不停的发掘着服务商web应用上的漏洞,以期望打开缺口,获得自己想要的数据。因此数据安全性将成为CTO和IT主管们要重点考虑的问题了。
不过目前在市场上对数据安全保护的产品并不多见,大都是通过网络传输进行包抓取,对关键字进行检测的方法来遏制不安全的数据访问,但是这也存在一个弊病,就是如果内部人员直接就在数据服务器上操作,不通过网络,则失去了保护的作用。如何进行有效的内部控制,多年来一直没有很好的解决办法。其中一个突出的问题就是限制DBA对应用数据的存取。DBA具有“至高无上”的权限,对他们而言数据库中的数据是没有任何秘密可言的。
此外,为了保证运营系统的正常运行,某些“危险”操作是应禁止执行的。因此对数据的保护还得从最底层的数据开始。目前国内大部分的数据库还是以Oracle数据库为主,而甲骨文是当前惟一为提供数据库安全技术做好准备的公司,它提供了一系统的数据库安全解决方案。针对上面所谈到内部控制的问题,你完成可以结合Oracle公司推出的安全组件Oracle Database Vault(简称Vault)来解决了所遇到难题。
而Oracle Database Vault是一个Oracle数据库企业版一个需要付费的增值选件。官方的说法是“Oracle Database Vault 是一个数据库安全选件,用于防止 DBA 访问应用程序数据,保护数据库结构以防止未经授权的更改,以及通过设置各种访问控制来满足动态、灵活的安全要求。”怎么看着好像是专门防我们DBA干坏事的。DBA有那么坏吗?话说回来,从DBA个人利益的角度来看,这似乎也并不是一件坏事。
因为一旦发生数据泄露,所有拥有数据访问权限的人都要接受调查,DBA也跑不掉。而且DBA的权限最大,几乎什么问题都能和DBA扯上关系。从DBA角度讲,尤其是产品DBA,负责数据库的安装、维护、优化、备份、迁移、升级等等维护管理性的操作,其实对数据库中保存的信息的含义并不关心。只是工作性质决定了DBA所具有数据库中最高的权限,而DBA一般也不需要通过这种权限来访问敏感业务数据,因为数据的写入和读取自然有相应的部门和软件系统来负责。那么一旦发生了敏感的数据泄漏的事情,拥有最高权限的DBA首先被放到了被怀疑的位置上,这对于DBA来说又很“冤枉”。这就是说,而通过这个新组件Oracle Database Vault 可以实现职责分离的效果。大家可以各负其责,谁都不必为别人的错误和过失而承担责任。
另一方面,数据安全是企业非常重视的问题。哪怕是同一家企业的不同部门,能够访问的数据内容,有时候都是需要严格控制的。实际上,对于企业数据安全性的要求,现在已经不仅仅是企业内部的需求了,随着美国萨班斯法案(Sarbanes-Oxley)、美国HIPAA法案(Health Insurance Portability and Accountability Act)、日本个人信息保护法案、欧盟隐私和电子通信指令等法规和隐私保护指令的不断出台,中国也制定了《企业内部控制基本规范》,该法规被称为中国版的萨班斯法案----在2008年6月28日发布并自2009年7月1日起实施。Oracle Database Vault应运而生,这些法案功不可没。通过Oracle Database Vault我们可以对数据安全做严格的控制。甚至可以达到“谁在什么时间在什么地点可以通过什么方式访问哪部分数据”这样的精确度。企业可在个人访问系统时实现所需的职责分离,这是很多法案都有的规定内容,尤其是令上市公司极其头疼的“萨班斯法案”中,在第 404 条款中还进行了专门备注。从这一点也可以看出Oracle推出Database Vault的目的。
以笔者所在集成系统开发公司所做的特殊行业客户来说,如果发生数据丢失,轻则影响业务的开展以及客户满意度,重则关系到整个企业的生死存亡,而由于内部人员控操作所造成客户数据资料外泄的事件时有发生。针对这个情况,公司在去年年底就针对数据库安装了Oracle Database Vault部件,极为严格地限制包括DBA在内的各种数据库用户的权限----对权限的控制完全可以精确到时间、地点、账号和方式,比如你限制在什么时间,什么人,在什么地点可以通过什么方式访问哪些特定的数据。借肋Oracle Database Vault,就好比你为数据库请了一个极为称职的内部安全监察专家,以避免数据管理者不当取得非职务相关的信息, 并在组织中落实权责分立。。对于DBA而言,也可通过职责分离让DBA们不必为别人的过失买单。
总的来说,Oracle Database Vault在数据库的基础上增加了强大的安全性支持,充分的利用Vault所提供的功能,可以确保企业核心敏感数据不会被任何不必要的人所访问,无论这个人是在企业外部还是在企业内部,甚至是系统管理员或者数据库管理员。这可提高整个企业的安全性,帮助降低内部威胁造成的风险。
今天听到oracle方的合作伙伴告诉我们的一个好消息,甲骨文在今年12月在北京有场非常大行业会议——Oracle OpenWorld会议,届时,oracle的全线产品都将集中亮相并附有专门的专家讲解,配合真实系统的模拟环境演示,如果有朋友想要系统地了解oracle的产品,可以去该大会上看看,大会的网址:
http://www.oracle.com/cn/openworld/index.htm,现在报名注册还能有不错的折扣。
原创博文如需转载请用下列方式联系:
QQ:102927545 MSN:
wangk1026@hotmail.com
