以下的文章主要向大家描述的是在云時代正確加強數(shù)據(jù)庫安全性的實際操作手段，在谷歌、微軟這兩大互聯(lián)網(wǎng)應用的帶領之下，近年來云計算是有了“鳳凰出山”的感覺，但這用戶的安全性問題也隨之而來，讓人頗為頭疼。

畢竟數(shù)據(jù)都保存在云端，那云端的安全性如何保障?其實在“云計算”剛出來那會，其數(shù)據(jù)安全性的質(zhì)疑就一直為人詬病，用戶在關心自己的數(shù)據(jù)不會被肆意刪除之外，最關心的還是自己的信息不會被不相關的人士獲取，數(shù)據(jù)遭泄漏。

一般來說，企業(yè)數(shù)據(jù)都有其機密性。但這些企業(yè)把數(shù)據(jù)交給云計算服務商后，具有數(shù)據(jù)優(yōu)先訪問權的并不是相應企業(yè)，而是云計算服務商。如此一來，就不能排除企業(yè)數(shù)據(jù)被泄露出去的可能性。而除了云計算服務商之外，大量覬覦云端數(shù)據(jù)的駭客們也沒有閑著，他們不停的發(fā)掘著服務商web應用上的漏洞，以期望打開缺口，獲得自己想要的數(shù)據(jù)。因此數(shù)據(jù)安全性將成為CTO和IT主管們要重點考慮的問題了。

不過目前在市場上對數(shù)據(jù)安全保護的產(chǎn)品并不多見，大都是通過網(wǎng)絡傳輸進行包抓取，對關鍵字進行檢測的方法來遏制不安全的數(shù)據(jù)訪問，但是這也存在一個弊病，就是如果內(nèi)部人員直接就在數(shù)據(jù)服務器上操作，不通過網(wǎng)絡，則失去了保護的作用。

如何進行有效的內(nèi)部控制，多年來一直沒有很好的解決辦法。其中一個突出的問題就是限制DBA對應用數(shù)據(jù)的存取。DBA具有“至高無上”的權限，對他們而言數(shù)據(jù)庫中的數(shù)據(jù)是沒有任何秘密可言的。

此外，為了保證運營系統(tǒng)的正常運行，某些“危險”操作是應禁止執(zhí)行的。因此對數(shù)據(jù)的保護還得從最底層的數(shù)據(jù)開始。目前國內(nèi)大部分的數(shù)據(jù)庫還是以Oracle數(shù)據(jù)庫為主，而甲骨文是當前惟一為提供數(shù)據(jù)庫安全技術做好準備的公司，它提供了一系統(tǒng)的數(shù)據(jù)庫安全解決方案。針對上面所談到內(nèi)部控制的問題，你完成可以結合Oracle公司推出的安全組件Oracle Database Vault(簡稱Vault)來解決了所遇到難題。

而Oracle Database Vault是一個Oracle數(shù)據(jù)庫企業(yè)版一個需要付費的增值選件。官方的說法是“Oracle Database Vault 是一個數(shù)據(jù)庫安全選件，用于防止 DBA 訪問應用程序數(shù)據(jù)，保護數(shù)據(jù)庫結構以防止未經(jīng)授權的更改，以及通過設置各種訪問控制來滿足動態(tài)、靈活的安全要求。”怎么看著好像是專門防我們DBA干壞事的。DBA有那么壞嗎？話說回來，從DBA個人利益的角度來看，這似乎也并不是一件壞事。

因為一旦發(fā)生數(shù)據(jù)泄露，所有擁有數(shù)據(jù)訪問權限的人都要接受調(diào)查，DBA也跑不掉。而且DBA的權限最大，幾乎什么問題都能和DBA扯上關系。從DBA角度講，尤其是產(chǎn)品DBA，負責數(shù)據(jù)庫的安裝、維護、優(yōu)化、備份、遷移、升級等等維護管理性的操作，其實對數(shù)據(jù)庫中保存的信息的含義并不關心。

只是工作性質(zhì)決定了DBA所具有數(shù)據(jù)庫中最高的權限，而DBA一般也不需要通過這種權限來訪問敏感業(yè)務數(shù)據(jù)，因為數(shù)據(jù)的寫入和讀取自然有相應的部門和軟件系統(tǒng)來負責。那么一旦發(fā)生了敏感的數(shù)據(jù)泄漏的事情，擁有最高權限的DBA首先被放到了被懷疑的位置上，這對于DBA來說又很“冤枉”。這就是說，而通過這個新組件Oracle Database Vault 可以實現(xiàn)職責分離的效果。大家可以各負其責，誰都不必為別人的錯誤和過失而承擔責任。

另一方面，數(shù)據(jù)安全是企業(yè)非常重視的問題。哪怕是同一家企業(yè)的不同部門，能夠訪問的數(shù)據(jù)內(nèi)容，有時候都是需要嚴格控制的。實際上，對于企業(yè)數(shù)據(jù)安全性的要求，現(xiàn)在已經(jīng)不僅僅是企業(yè)內(nèi)部的需求了，隨著美國薩班斯法案（Sarbanes-Oxley）、美國HIPAA法案（Health Insurance Portability and Accountability Act）、日本個人信息保護法案、歐盟隱私和電子通信指令等法規(guī)和隱私保護指令的不斷出臺，中國也制定了《企業(yè)內(nèi)部控制基本規(guī)范》，該法規(guī)被稱為中國版的薩班斯法案—-在2008年6月28日發(fā)布并自2009年7月1日起實施。Oracle Database Vault應運而生，這些法案功不可沒。

通過Oracle Database Vault我們可以對數(shù)據(jù)安全做嚴格的控制。甚至可以達到“誰在什么時間在什么地點可以通過什么方式訪問哪部分數(shù)據(jù)”這樣的精確度。企業(yè)可在個人訪問系統(tǒng)時實現(xiàn)所需的職責分離，這是很多法案都有的規(guī)定內(nèi)容，尤其是令上市公司極其頭疼的“薩班斯法案”中，在第 404 條款中還進行了專門備注。從這一點也可以看出Oracle推出Database Vault的目的。

以筆者所在集成系統(tǒng)開發(fā)公司所做的特殊行業(yè)客戶來說，如果發(fā)生數(shù)據(jù)丟失，輕則影響業(yè)務的開展以及客戶滿意度，重則關系到整個企業(yè)的生死存亡，而由于內(nèi)部人員控操作所造成客戶數(shù)據(jù)資料外泄的事件時有發(fā)生。

針對這個情況，公司在去年年底就針對數(shù)據(jù)庫安裝了Oracle Database Vault部件，極為嚴格地限制包括DBA在內(nèi)的各種數(shù)據(jù)庫用戶的權限—-對權限的控制完全可以精確到時間、地點、賬號和方式，比如你限制在什么時間，什么人，在什么地點可以通過什么方式訪問哪些特定的數(shù)據(jù)。

借肋Oracle Database Vault，就好比你為數(shù)據(jù)庫請了一個極為稱職的內(nèi)部安全監(jiān)察專家，以避免數(shù)據(jù)管理者不當取得非職務相關的信息, 并在組織中落實權責分立。。對于DBA而言，也可通過職責分離讓DBA們不必為別人的過失買單。

總的來說，Oracle Database Vault在數(shù)據(jù)庫的基礎上增加了強大的安全性支持，充分的利用Vault所提供的功能，可以確保企業(yè)核心敏感數(shù)據(jù)不會被任何不必要的人所訪問，無論這個人是在企業(yè)外部還是在企業(yè)內(nèi)部，甚至是系統(tǒng)管理員或者數(shù)據(jù)庫管理員。這可提高整個企業(yè)的安全性，幫助降低內(nèi)部威脅造成的風險。

今天聽到oracle方的合作伙伴告訴我們的一個好消息，甲骨文在今年12月在北京有場非常大行業(yè)會議——Oracle OpenWorld會議，屆時，oracle的全線產(chǎn)品都將集中亮相并附有專門的專家講解，配合真實系統(tǒng)的模擬環(huán)境演示，如果有朋友想要系統(tǒng)地了解oracle的產(chǎn)品，可以去該大會上看看，大會的網(wǎng)址： http://www.oracle.com/cn/openworld/index.htm，現(xiàn)在報名注冊還能有不錯的折扣。

【編輯推薦】

1. 你所忽視的MySQL數(shù)據(jù)庫安全問題
2. 安恒信息專家對數(shù)據(jù)庫安全審計的正確解析
3. 5招對數(shù)據(jù)庫安全審計產(chǎn)品的正確選購
4. 再爆微軟 SQL Server數(shù)據(jù)庫安全漏洞
5. 實例講解Web數(shù)據(jù)庫安全防護