Oracle Database Vault обеспечивает строгий внутренний контроль соблюдения требований регулирующих органов и защиту от внутренних угроз. Oracle Database Vault не только не позволяет пользователям с широкими привилегиями просматривать конфиденциальные данные приложений, но и реализует политики доступа к приложениям, базам данным и информации в зависимости от пользователя, места и времени. Oracle Database Vault защищает приложения базы данных прозрачно для пользователя, без необходимости вносить изменения в существующие приложения.
Законы и нормативные акты, например Закон Сарбейнса-Оксли (SOX), стандарт безопасности данных платежных карт (PCI) и закон об ответственности и переносе данных о страховании здоровья граждан (HIPAA), требуют внедрения строгого внутреннего контроля для защиты конфиденциальной информации, такой как финансовые данные, медицинские записи и сведения о кредитных картах, от несанкционированного доступа и изменения. Oracle Database Vault - это мощное и простое в использовании решение, включенное в базу данных Oracle, которое дает возможность организациям, работающим с новыми и существующими приложениями, без труда соблюдать текущие и будущие нормативные требования. Угрозы, исходящие от собственных сотрудников компании, вызывают все больше беспокойства по всему миру. Согласно отчету CSI/FBI 2005 "Компьютерные преступления и безопасность" более 70% случаев потери данных и атак на информационные системы - дело рук сотрудников компаний, имеющих хотя бы минимальный уровень доступа к системе и ее данным.
Соблюдение нормативных требований по защите от внутренних угроз требует двух главных усовершенствований существующих сред:
· Упреждающего контроля, позволяющего ограничить доступ к конфиденциальным данным приложений пользователям с широкими привилегиями.
· Гибкого и адаптивного контроля над тем, кто, когда и где получает доступ к приложениям, базам данных и информации.
Описанные ниже области безопасности, факторы и правила Oracle Database Vault работают в базе данных и позволяют ограничить доступ к данным приложений пользователям даже с самыми широкими полномочиями без вмешательства в ежедневную работу по администрированию базы данных. Эти функции могут использоваться гибко и адаптивно, чтобы обеспечить соблюдение требований к безопасности, не меняя существующие приложения.
Рис.3 Краткое описание функциорирования Oracle Database Vault
Контроль над пользователями с широкими привилегиями
Должности администраторов ИТ-инфраструктуры, баз данных и приложений предполагают высокую степень доверия к людям, которые их занимают. Однако необходимость соблюдать нормативные требования, аутсорсинг, консолидация приложений и растущее беспокойство по поводу внутренних угроз привели к введению практически обязательных правил строгого контроля над доступом к конфиденциальным данным. Изменение существующего кода приложений с тем, чтобы он соответствовал новым правилам контроля, является затратным процессом, который не смогут себе позволить многие предприятия. Благодаря областям применения Oracle Database Vault предприятия могут ограничить доступ к данным приложений пользователям с широкими привилегиями, даже администраторам баз данных. Области применения можно легко и быстро задать для корпоративных приложений или наборов таблиц.
Гибкое и адаптируемое решение
Правила и факторы Oracle Database Vault существенно повышают безопасность приложений, поскольку устанавливают контроль над тем, кто, когда и где получает доступ к приложениям, базам данных и информации. Можно гибко использовать различные факторы, такие как IP-адрес и метод аутентификации, чтобы обеспечить соблюдение требований к авторизации без изменения существующих приложений. Например, доступ к базе данных можно ограничить определенным средним уровнем. Дополнительное управление способны обеспечить правила, которые можно установить для всех команд SQL.
Разделение обязанностей
Oracle Database Vault имеет мощные средства разделения обязанностей и защищает базы данных от несанкционированных изменений. По умолчанию Oracle Database Vault предлагает три четкие зоны распределения обязанностей: администрирование безопасности, управление учетными записями и управление ресурсами. Например, Oracle Database Vault не дает администратору базы данных с привилегией создания учетных записей пользователей возможности создавать новых пользователей, если у такого администратора нет соответствующей обязанности. Вы также можете распределить обязанности по администрированию ресурсов на обязанности по резервному копированию, обеспечению производительности и обновлению. По желанию обязанности можно консолидировать.
Сертификация приложений
Oracle сертифицировала Oracle Database Vault на совместимость с приложениями Oracle PeopleSoft. Легкие в использовании сценарии и пошаговые инструкции можно загрузить с ресурса Oracle Technology Network.
Oracle Label Security контролирует построчный доступ пользователей.
Oracle Label Security – это набор процедур и ограничений, встроенный в механизм базы данных, который вводит принудительное исполнение контроля над доступом на уровне строк для отдельной таблицы или всей схемы. Для того, чтобы использовать Oracle Label Security, вы создаете одну или несколько политик защиты, каждая из которых содержит набор меток. Вы используете эти метки, чтобы определять, какие пользователи к каким типам данных имеют доступ. После создания политики вы применяете ее к таблицам, которым требуется защита, и предоставляете (grant) метки вашим пользователям – и дело сделано. Oracle Label Security прозрачно изменит запросы и “на лету” вычислит уровни доступа для введения принудительного исполнения вашей новой политики.
При анализе базой данных Oracle каждого оператора SQL, она обнаруживает, защищена ли какая-либо из таблиц политикой защиты. В зависимости от разрешений на доступ пользователей,база данных Oracle добавляет предикаты защиты к статье WHERE оператора. Так как это происходит в механизме базы данных, механизм защиты не удается обойти, независимо от источника происхождения оператора SQL.
