甲骨文数据中心云化 性能与安全高级演示会 信息安全浅谈
信息安全的趋势
一 信息安全成为云计算的难题 1. 安全 2. 性能 3. 高可用性
Oracle 是云计算行业的大玩家 作为一家云派对的迟到者, 甲骨文的发展势头确实令人印象深刻 甲骨文表示, 他们第二财季当中, 来自三个不同云领域的营收总计为 5 亿 1600 万美元, 较之去年同期增长了 45% 之多 埃里森已经不止一次向竞争对手们发起了明确警告, 尤其是 Salesforce(59.86, 0.53, 0.89%).com Inc (CRM) 和 Workday(85.45, 0.88, 1.04%) Inc (WDAY) 拥有三十七年历史的软件巨头将成为一股在云市场上让他们发抖的力量 在下个财年当中, 我们的软件即服务和平台即服务订金营收将超过 10 亿美元 埃里森表示, 让明年的局面会变得格外有趣的是, 甲骨文的软件即服务和平台即服务销售总金额将和云市场领先者 Salesforce.com 相当 等着瞧吧, 我们的距离在拉近 我们正在追上他们, 而且我们跑得很迅速 2014 年 9 月下旬,Oracle 公司在甲骨文全球大会上一举推出了百余种云计算产品
Oracle 是第三方云计算的主要平台支撑
二 信息安全相关的条例越来越严格保护数据是法规要求 UK/PRO SOX COSO PIPEDA HIPAA GLBA FISMA Basel II EU Data Directives Euro SOX K SOX J SOX 中国企业内部控制基本规范中国信息安全等级保护条例中国信息系统安全管理要求 GB/T20269-2006 SAS 70 SG-MAS IBTRM 香港个人资料 ( 私隐 ) 条例香港电子银行的监管模式指引 TM-E-1 台湾个人资料保护法 AUS/PRO PCI-DSS COSO COBIT ISO17799 ISO 27001
二 信息安全相关的条例越来越严格猜 : 泄露居民身份证公民个人信息, 处几日拘留和多少钱罚款? 自 2012 年 1 月 1 日起施行 第十九条国家机关或者金融 电信 交通 教育 医疗等单位的工作人员泄露在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息, 构成犯罪的, 依法追究刑事责任 ; 尚不构成犯罪的, 由公安机关处十日以上十五日以下拘留, 并处五千元罚款, 有违法所得的, 没收违法所得 单位有前款行为, 构成犯罪的, 依法追究刑事责任 ; 尚不构成犯罪的, 由公安机关对其直接负责的主管人员和其他直接责任人员, 处十日以上十五日以下拘留, 并处十万元以上五十万元以下罚款, 有违法所得的, 没收违法所得 有前两款行为, 对他人造成损害的, 依法承担民事责任
二 信息安全相关的条例越来越严格美国萨班斯法案 (SOX) 第 302 节, 要求 CEO 和 CFO 确认财务报告的真实性和准确性, 同时评估和报告内部控制的有效性 第 404 节, 要求企业评估内部控制机制的有效性, 并每年向 SEC 提交报告 同时该报告必须有外部核计师的核实和评估 第 802 节, 要求公司和核数师保留会计文件和原始文件 7 年以上
三 这是最好的时代 这是最坏的时代数据时代的崛起 FireEye Study McKinsey World Economic forum Forbes, Jan 2013 ADOPTING DIGITAL BUSINESS MODELS SECURITY DRIVES UP TO 20-30% OF TECH SPEND GROWTH RATE SHARING ECONOMY VALUED AT $26B TODAY 25% 26% 30% 46% SLOW CLOUD BECAUSE OF SECURITY DIGITAL TRANSFORM CRITICAL IN TWO YEARS 78% 95% NETWORKS COMPROMISED
二 这是最好的时代 这是最坏的时代大规模数据泄露时代的来临 2014 年 3 月 Experian 200M 13 年 12 月 Target 70M 2013 年 10 月 Adobe 130M 2M 2013 年 10 月 Vodaphone 20M 12M 2014 年 1 月 Korea Credit Bureau 2014 年 2 月 Korea Telecom
被盗数据哪里来?
敏感数据 存放在关系型数据库 Source: IDC
% 被盗数据来自于数据库 84% 使用盗取的用户名和密码 71% 发生在几分钟里 92% 是由第三方发现 来源 : 2012 Data Breach Investigation Report Verizon
30 25 20 15 10 5 0 最危险的 10 种数据 首 10 种资产 Targeted By Insiders 40 35 30 25 20 15 10 5 0 首 10 种数据 Targeted By Insiders VDIR 2014 SECURE DATABASES WITH PERSONAL & PAYMENT DATA
数据泄露通常都是自己造成的
安全风险来自于内部简单的规范就能降低您的风险 50% 76% 85% 80% 因为配置错误 VDBIR 2014 机构用 6 各月来打补丁 IOUG 2013 攻击只用了 5 分钟 VDBIR 2014 针对弱密码 VDBIR 2014
常见的攻击手法 80 % 84 % 76 % 利用弱密码监听用户交互利用被盗口令 Source: 2013 Verizon Data Breach Investigations Report Source: 2013 Verizon Data Breach Investigations Report Source: 2013 Verizon Data Breach Investigations Report
97 % 可以避免
保护数据的新概念
人 Employees, Contractors Costumers & Partners 数据 Unstructured & Structured 设备 Phones, Servers, Laptops, Tablets
数据保护事前 事中 事后 事前防范 Prevent 事中拦截 Blocking 事后审计 Auditing 权限分离 数据分级 数据加密 通讯加密 备份加密 数据屏蔽 敏感数据操作拦截 非授权 IP 操作拦截 非办公时间操作拦截 危害操作拦截 可疑操作拦截 SQL 注入拦截 管理员行为追踪审计 用户行为追踪审计 用户权限变更审计 数据变更审计 数据库配置变更审计 存储进程变更审计
SINGLE SIGN ON 身份和设备管理 EMPLOYEES CONTRACTORS CUSTOMERS & PARTNERS & PROSPECTS 访问管理 MOBILE & SOCIAL SIGN-ON ENTERPRISE & WEB SINGLE SIGN-ON FRAUD DETECTION IDENTITY FEDERATION EXTERNAL AUTHORIZATION 身份管理 COMMON REPOSITORY ACCESS REQUEST ACCESS CERTIFICATION DATABASES DIRECTORY SERVICES ENTITLEMENT CATALOG PRIVILIGED ACCOUNTS A P P APPLICATIONS S USER PROVISIONING OPERATING SYSTEMS CERTIFICATION REVIEW SINGLE USER VIEW PRIVILEGED ACCOUNT MANAGEMENT ACCESS REQUEST FRAUD DETECTION APP S APP S APP S APP S 移动设备安全 APPLICATION STORE SECURE WORKSPACE DATA LEAK PREVENTION SIGN ON NAMING SERVICES HOST ACCESS CONTROL INTEGRATED INTEROPERABLE AP P LOW TCO EXTREME SCALE DEVICE AUTHN USER AUTHENTICATION LOCATION DATA THOUSANDS MILLIONS BILLIONS 10s of BILLIONS VIRTUAL DIRECTORY META DIRECTORY LDAP DIRECTORY SELF SERVICE APP MOBILE SECURITY SUITE 目录服务
Oracle 数据保护书籍
www.mhprofessional.com/dbsec
Oracle 数据保护书籍 Oracle Privacy Security Auditing - Arup Nanda Effective Oracle Database Security by Design - David Knox Oracle Hackers Handbook David Litchfield Oracle 11g Anti-Hackers Cookbook - Adrian Neague How to Secure & Audit Oracle 10g and 11g Ron Ben Security, Audit & Control Features
Safe Harbor Statement The preceding is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle s products remains at the sole discretion of Oracle.