大家都知道一说到Oracle就想到数据库,因为数据库里存的是所有的企业最最关键的数据。那么如何保证这些数据安全、没有问题?也是各企业的重中之重。

　　如下是Oracle大中华区技术产品部总监冯葵先生，在F5 Networks高峰论坛给大家介绍的相关内容。

　　我们为什么要去不断地优化、提升IT计算基础架构的效率?为什么不断地去完善和想要提升更强有力的运营支撑呢?其实这一切的目的都是为了什么?业务应用，而业务应用的又是为实现什么目标，呢?大家有没有想到今天其实没有传统意义上的银行了，银行完全是运营在数据之上，其实今天的运营最后落地是落地在数据上面。如果今天回首去看今天IT当中什么是最重要的时候，今天系统停到可以重启，都可以用各种各样的方式去恢复，如果数据出问题就会面临很大的问题。我们怎么保护我们最核心的IT系统的安全，当然这个安全叫做信息安全或者叫数据的安全。

　　今天很多人讲，我在过去的多少年当中做了很多次有关安全的建设，但是大家有没有想过，今天的安全其实有两个很大的安全意义，一个是违法违规的安全建设，第二个是合法违规和法律操作，也就是说过去的时候我们所有的安全建设都是怎么样去防范违法违规的用户，或者是怀有各种企图的那些人去侵害我们的系统。所以我们做了应用安全、用户身份管理安全、做了检测安全，这个有点像我们生活当中，大家有没有想过，在路网上面做各种各样的红绿灯、管制、光探头，这个有点像网络安全。接下来是系统安全，楼宇安全，还有应用安全，每个人有什么样的职责，做什么事情，甚至管理到个人。

　　但是我们其实真真正正面临的安全，如果你家里的钱和企业的财富被触动的时候，也就是说黑客从网络到系统、到应用，真正侵入进来，如果没有碰到你的数据我们没有根本的损失，但是一旦触动我们的数据，损失就是根本。今天还有一点尤其从合规的角度，我们大家知道任何一个企业界的应用，任何一个上市公司，都面临了几方面基本的要求，一个是软件的安全的等级保护。大家知道，所有提供公共服务的门户基本上是五级，一定要做wap层面的安全防护。比如说金融、电信、政府的时候做到三级，要做到数据安全保护。还有作为上市公司，我们知道，企业内部管理基本规范。所以今天不管是从内、从外，从企业的利益保护的角度，和从市场合规的角度都有一个需求说，我们要加强不是传统的技术层面的安全，而是说我们要加强信息安全的建设。信息安全为什么越来越多的引起关注呢?这就是随着IT的建设，我们的信息资产，也就是当你的应用运行时间长的时候，今天你对它的依赖程度高，所以这个时间就有不同的人抱有不同的目的。可能从商业、从社会、从政治、从个人的抱负心不同的角度都会对数据充满好奇。

　　今天一旦发生信息安全问题的时候，可能是多方面，也可能包括这上面讲的，可能是企业形象的问题，可能经济的损失。所以这个时候就面临一个挑战，我们用一个什么样的方法去迎接今天的，我们所面临的信息安全的问题。这就有点像我们从事的路网的建设、楼宇的建设，家里安装防盗门窗的时候，一不留神，还得按一个保险柜，家里有一个有效的防护机制。这时候大家可以看到这个图，这个图是最经典的一个图，大家可以看到，其实最左侧的是WAP用户，他们通过应用访问后台，这时候引到数据库的时候这个当中就有几个层面的挑战。一个是那些人是真的用户吗?

　　他们的访问是真正合法吗?在这个过程中我们可以采用不同的解决方案，比如说今天下午F5的同事就是应用的安全解决方案。所以大家可以看到，在那边会从应用层面进行过滤，去避免一些违法违规的安全隐患。但是还有一点的话，一定会有一些人，或者有一些不良之图，还是出于他的特别的目的特别手段访问到数据库，这个时候是什么方法?这个我们马上谈到了，怎么构筑IT系统最核心的安全屏障，最后的屏障。这个时候就构成一个完整的解决方案，也就是站在这里跟大家交流。当我们从应用层到数据层建立一个立体的安全防护体系的话，我们就可以做到安全合规最大化。

　　之所以这么讲，就是因为当采用的WAP安全解决方案的时候，它的恢复把前端的日志、事件的情况会整合到Oracle的数据库防火墙。这时候就从前端到后端管理的层面上有一个视图，哪些应用的用户通过什么访问到后台的数据库，这时候在问题的追查上就有突破的优势，使得判断所有的安全隐患。任何事件的任何地点的情况都可以追溯，今天我听说过数据库、听说过防火墙，防火墙是在网络层面做到内外隔绝的数据的机制，数据库防火墙是到今天的一个软件，依靠软件的运行在PC的服务器上面，在这个当中实现了安全的隔绝，加强对数据库访问的审计或者是安全的管理。需要防火墙的时候它主要解决几个关键的问题，第一个，是当我发现一些刚才讲的恶意的、违规的、攻击性的行为，或者是一些误操作的行为的时候它能够有效地报警和时时阻断，能够追踪到任何人、任何事件，和他访问到数据库的什么样的信息。当做到这一点的时候，给我们带来最大的好处就是我不管原来你的安全体系建设多么完善，但是在最后一刻和最后，我们经常讲最后一公里，但是对系统的安全的侵害……所以大家看到，如果今天看架构的时候，所有应用的用户或者系统的用户，访问到后台的时候，我们可以做到，第一个什么样的场景是允许的?第一个，大家知道有的时候我对安全没有概念，我也不太懂什么是安全策略。

　　Oracle的数据库防火墙提供一个白名单，你只告诉我什么样的访问是允许的，比如说我的政府的客户，就觉得我今天是希望我的运维人员在上班八小时做一些基本的操作。比如说空间、备份等等这些事件，这时候如果有人到晚上还要到大机房做大规模的维护，做数据的导出的时候就不太靠谱，你晚上为什么会机房做这样的事情呢?这时候就定一个多因子的安全策略，从哪个IT，在什么时间允许做这些事件，之外的话我们就认为是违规的。所以你可以很方便地很轻松地制定，也就是什么是允许的。第二个什么行为都是记录，我们通过痕迹去做审计。还有一个就是即便是一个允许的动作，背后也可能对你系统造成侵害，我就做到时时的报警。

　　还有一个很有意思的技术特点，Oracle防火墙当中，大家知道，现在我们面临的网站的攻击也好，应用攻击也好，数据库的攻击都是存在一个情况，我封掉就行了。但是大家有没有知道，包括一些搜索引擎，他马上换另外一个IT，因为这是一到自动化的机制，他本身的目的就是对你的数据库应用进行扫描，去拿到他想拿到的东西。这个时候最聪明的做法不是阻断他，最聪明的办法是放在一个蜜罐里面去，所以我们事先可以制定一些策略，如果发现有人想拿我那些数据而通过违法违规的手段的时候，我给他什么样的回应，这时候他的小程序认为他就得手了，所以他就不会换另外一种方法来攻击你。另外一个我们可以做一个阻止。从实施来讲，很重要的是今天在市场上的所有数据产品，要么是做审计的，要么做监管，但是Oracle防火墙可以实现安全审计，又可以实安全监管，就是说你可以把它部署为叫审计模式，就是不作为全部的管理，但是把所有的访问行为记录下来，到时候你可以根据审计去看违法违规的采取什么样的行动。

(责任编辑：)