说这些话什么意思呢，其实是想说信息安全和职责分离的事情。

    先说说Database Vault 是什么？官方的说法是“Oracle Database Vault 是一个数据库安全选件，用于防止 DBA 访问应用程序数据，保护数据库结构以防止未经授权的更改，以及通过设置各种访问控制来满足动态、灵活的安全要求。”怎么看着好像是专门防我们DBA干坏事的。DBA有那么坏吗？话说回来，从DBA个人利益的角度来看，这似乎也并不是一件坏事。

    因为一旦发生数据泄露，所有拥有数据访问权限的人都要接受调查，DBA也跑不掉。而且DBA的权限最大，几乎什么问题都能和DBA扯上关系。但是从实际工作内容上来看，DBA是不需要关心具体数据内容的。DBA的责任是维护好整个数据库的运作，保持数据库稳定、高效的运行。至于数据的写入和读取自然有相应的部门和软件系统来负责。这就是说，通过这个新组件Oracle Database Vault 可以实现职责分离的效果。大家可以各负其责，谁都不必为别人的错误和过失而承担责任。

    另一方面，数据安全是企业非常重视的问题。哪怕是同一家企业的不同部门，能够访问的数据内容，有时候都是需要严格控制的。听说还有一系列的合规性法案专门针对内部安全提出了更高的要求，比如：美国的萨班斯法案、健康保险可携性及责任性法案、欧盟的隐私保护法、银行界的巴塞尔协议等等……这些法案，我本人~~~~都不精通。但是我知道，Oracle Database Vault应运而生，这些法案功不可没。通过Oracle Database Vault我们可以对数据安全做严格的控制。甚至可以达到“谁在什么时间在什么地点可以通过什么方式访问哪部分数据”这样的精确度。企业可在个人访问系统时实现所需的职责分离，这是很多法案都有的规定内容，尤其是令上市公司极其头疼的“萨班斯法案”中，在第 404 条款中还进行了专门备注。从这一点也可以看出Oracle推出Database Vault的目的。

    通过域，规则和多因素授权的方式。Oracle Database Vault很好的解决了企业内部控制的要求，把内部威胁降到最低。同时也顺便在合规性方面给予企业大力的支持。对于DBA而言，也可通过职责分离让DBA们不必为别人的过失买单。

    说清楚了Oracle Database Vault能做什么，咱们再看看Oracle Database Vault到底怎样做。

        Database Vault 目前已推出了版本 10.2.0.2，有需要的同学自己去 OTN 下载。 

    通过在Database Vault管理界面中点击realms，我们可以创建一个新域，然后将需要保护的数据添加到域中，不仅如此，为了简化管理，Oracle Database Vault提供了选项直接添加整个模式以一次将模式中的所有对象同时添加进去，这样就限制了只有被授权者和模式拥有者能够访问这些对象，即使DBA角色的用户也无权访问。同时，为了跟踪违规操作，在创建域的时候，Oracle Database Vault提供了各种审计选项，例如审计访问违规的操作，这样，如果DBA或具有sys权限的用户私自查询或更新包含在域中，就会被记录下来。仅通过这个简单选项，就可以将系统管理人员和应用人员进行隔离，防止DBA利用特殊权限违规操作。由于详尽的审计记录，日后有需要时，对于所有的操作都可以做到有迹可查。

    另一个主要的链接Command Rules，它是用来限制执行的SQL语句类型的，包括SELECT, ALTER SYSTEM，各种DDL和DML，详细的可以被命令规则保护的语句类型可以参考Oracle Database Vault文档。例如，在创建命令规则的时候，安全管理员可以在Rule Expression文本框中输入各种合法的可以在where中使用的表达式，例如TO_CHAR(SYSDATE,’HH24′) = ’12′限制访问时间，或SYS_CONTEXT(‘USERENV’,'SESSION_USER’) != ‘SQL*Plus’等根据会话上下文进行限制，并将这些条件应用于选定的SQL类

    当然，Oracle Database Vault提供的安全性管理机制应该远远不止这些，否则Oracle应该不会将其作为一个主打安全数据库产品进行宣传。这些方面也许真正用过的人更有体会，更有发言权。如果有什么意见，欢迎在我的博客留言交流。我也很想再深入了解一些Oracle Database Vault。毕竟数据安全是我们每一个人都关注的东西。

没有相关文章