安全产品
优点
缺点
Oracle Database Vault
1、可以防住DBA等特权用户
2、 Oracle内部实现,应用无需改动,安装灵活
3、很好的控制何人、何时、何地可以访问应用程序,
1、有Oracle版本要求
2、新增权限系统复杂
3、DBA将失数据库相关对像的维护管理能力
4、还没有发行官方稳定版本
5、性能方面需要考虑
透明数据加密(TDE)
1、 能实现数据在存储加密
2、 且上层应用完全透明访问
1、功能单一,需要与其他安全策略配合使用
Oracle Label Security
1、 实现数据的行级访问控制
2、 且提供图型化的配置工具
1、不能防住DBA对数据的访问
2、且安装时需停启数据数据库实例
3、设置的数据逻辑要求高,实现不灵活
虚拟专用数据库(VPD)
1、 实现数据的行级访问控制,实现逻辑对数据有依赖(即必须有数据过滤条件)
2、 实现不灵活,一般和其他安全策略结合使用
3、 不便于大规模部署
1、不能防住DBA对敏感数据的访问
安全的应用程序角色
将数据库访问控制策略绑定到角色,需要VPD支持
1、不能防住DBA对敏感数据的访问
细粒度审计
1、 实现关于特定条件的审计,如特定时间、IP、列、值
2、 此审计在Oracle内部实现,无需改动应用
1、不能防住DBA对敏感数据的访问
DBCoffer安全加固
1、 能实现数据的存储加密
2、 提供敏感数据的访问审计
3、 能有效防止DBA等特权用户对敏感数据的访问
4、 能提供特定IP、时间对数据的访问控制
5、 提供敏感数据的读写控制
6、 提供界面的逻辑控制,使用方便
7、 对于Oracle常规应用开发接口透明
1、 暂不支持行级的访问控制
2、 需要大量测试来验证Oracle的应用透明
3、 外部扩展多,总体逻辑复杂
4、 暂只提供字段级的数据保护,当大规应用时,对性能影响大
5、 由于需求的改变,软件改动大,软件的稳定性有待提高
以上纯属于个人实践后的总结,如有相关的指导或想法,希望不佞赐教,欢迎随时来信。
fnxjiabo@foxmail.com