在TechTarget编辑之前的一篇博客中，我们与网友一同探讨了DBA的第一要务是什么，最终得到了这样的结论：数据是DBA的生命，一切工作都是在保障数据安全的基础之上展开的。然而随着企业内部与外部环境的进一步复杂化，要做到数据库的全面安全保障又谈何容易？DBA需要防止企业数据库被违规访问、删除、修改、复制，同时需要保证数据库的审计与合规。对于每一位DBA来说，要做到这一点需要良好的安全意识和强大的管理工具作为支撑，而这两者也是相辅相成，互相促进的。在近日举行的甲骨文数据库安全媒体沟通会上，甲骨文公司大中华区技术战略部数据库增值解决方案总监冯葵解读了Oracle全面的数据库安全方案，并对DBA在日常工作中应该如何保证数据安全提出了一些建议。

甲骨文公司大中华区技术战略部数据库增值解决方案总监冯葵

　　四重防护提供全面安全保障

　　众所周知，甲骨文是以数据库业务起家的公司，而且在数据库安全领域也拥有丰富的经验。许多终端用户曾向TechTarget记者表示，之所以选择Oracle数据库，除性能考虑之外，安全性也是其中重要的原因之一。几乎每发布一个新版本的Oracle数据库，我们都能看到一些新的关于安全的特性。据冯葵介绍，目前的Oracle数据库安全解决方案中，主要包括Oracle数据库防火墙、Oracle配置管理、Oracle Audit Vault、Oracle Total Recall、Oracle Database Vault、Oracle Label Security、Oracle高级安全性、Oracle安全备份、Oracle数据屏蔽等。从阻止与记录、审计与监测、访问控制到加密与屏蔽，为数据库提供了四层的防护壁垒：

　　阻止与记录——最新发布的Oracle数据库防火墙(Oracle Database Firewall)是Oracle数据库纵深防御体系的第一道防线，拥有主动和被动安全模型。通过为任何应用程序自动生成白名单和黑名单提供灵活的SQL级实施选项，Oracle数据库防火墙可以实现监视数据库活动和防止未授权的数据库访问、SQL 注入、权限或角色升级、对敏感数据的非法访问等，其可伸缩的体系结构可以适应各种部署模式，从而使客户在网络上部署该防火墙时能更快速、更灵活。冯葵表示，新版的Oracle数据库防火墙将以流量的监听为主，避免了对数据库层面上的扫描，从而可以将对数据库性能的影响降到最低。同时Oracle数据库防火墙还可以进行数据库优化，改善用户体验。

　　为了增强报告功能，Oracle数据库防火墙将日志数据整合到报告数据库中，并引入了新的报告基础设施，以运行和修改现有报告设计。该新版Oracle数据库防火墙提供了130多个可修改、可自定义的内置报告，并引入了10种新的开箱即用式报告，如用于数据库查证和审计的授权报告、数据库活动和授权用户报告，以进一步帮助企业遵守隐私保护规定和相关法规，例如HIPAA、支付卡行业(PCI)数据安全标准(DSS)以及萨班斯法案(SOX)。

　　监测与审计——在纵深防御体系的监测和审计部分，Oracle配置管理(Oracle Configuration Management)可通过发现数据库并将其分类到策略组，然后依据400多个最佳实践和行业标准以及自定义的企业专用配置策略对数据库进行扫描，检测进而防止未授权的数据库配置更改，并更改管理信息板与合规性报告，从而实现从资产管理、策略管理、漏洞管理到配置管理与审计、分析与解析的企业数据库环境的全程保护。

　　Oracle 数据库11g中新增的Total Recall (Oracle全面回忆) 产品可通过数据库中高效、抗干扰的归档存储确保完整、安全地保留和管理所有历史数据，还能透明地跟踪对敏感数据的更改，使用 SQL实时访问历史数据，并可实现简化的突发事件取证和错误修正。

　　Oracle Audit Vault能够从数据库中收集审计数据，并整合到一个安全、可伸缩、高可用的信息库中，检测并警告包括特权用户在内的可疑活动。它通过预置报告或自定义报告对审计数据进行保护、分析和报告，对数据库审计设置或策略进行集中式管理以简化审计工作，从而帮助企业通过整合、管理、监控以及报告审计数据，全面了解企业数据访问情况。

　　访问控制——在访问控制层，Oracle Database Vault可安全地整合应用程序数据或支持多承租方数据管理，强化了数据库中的内部控制，在数据库中预先定义了三个不同的责任，即账户管理、安全管理和资源管理。其可扩展性允许企业根据自己的业务需求自定义职责划分，还通过多因素授权扩展了访问控制机制。通过控制访问数据的对象、时间、地点和方式，企业可将对数据库的访问限制到特定的子网或应用系统。

　　甲骨文还提供了Oracle Label Security(Oracle标签安全性)来支持访问控制，可根据业务需求对用户和数据进行分类，在数据库中实施不同级别的访问控制，例如利用Oracle Identity Management Suite对用户进行分类，通过Oracle Label Security在数据表中分行加入标签，从而使不同的人员在访问同一张表时，将会能看到不同的信息。

　　加密与屏蔽——在加密和屏蔽层，Oracle Advanced Security(Oracle高级安全性)可以在不更改应用程序情况下对静止的应用程序数据完全加密，防止IT人员或操作系统用户直接访问存储在数据库文件中、磁带上、导出的数据和其他数据，同时提供集中的密钥生命周期管理。而Oracle Secure Backup (Oracle安全备份) 能提供最快且安全的 Oracle数据库备份，还可以利用低成本的云计算存储，通过综合管理有效降低成本并简化备份与恢复的复杂性。Oracle Data Masking (Oracle数据屏蔽) 则可对数据进行不可逆的去身份化后，再用于非生产环境，同时自动保留引用完整性，以便应用程序能够继续正常运行。

　　实现向后兼容 提供跨平台功能

　　在谈到Oracle数据库安全解决方案是否能够兼容其他数据库产品的时候，冯葵表示，甲骨文的发展战略是整合、完整、开放。甲骨文越来越多的产品能够提供第三方的支持，而Oracle数据库防火墙恰恰是这样产品的代表：第一、Oracle数据库防火墙是跨平台的，能够提供DB2、SQL Server和Sybase等产品。在新版中，还添加了对MySQL企业版数据库的支持。第二、Oracle数据库防火墙能够实现向后的版本支持，从Oracle 8i到Oracle 11g数据库的不同版本。冯葵认为，这一特性体现了安全与业务生产的区别，安全生产有可能是异构的环境，所以要做到多版本的支持。

　　另外冯葵表示，好的IT系统要具备“PPT”的要素，即People：要具有专业操守的技术人员；Process：流程；Technology：技术。让人和流程能够连接起来。因此企业级应用应该考虑到数据库和系统的安全，建立数据安全的管理机制。