大家都知道一說到Oracle就想到數(shù)據(jù)庫,因為數(shù)據(jù)庫里存的是所有的企業(yè)最最關鍵的數(shù)據(jù)。那么如何保證這些數(shù)據(jù)安全、沒有問題？也是各企業(yè)的重中之重。

如下是Oracle大中華區(qū)技術產(chǎn)品部總監(jiān)馮葵先生，在F5 Networks高峰論壇給大家介紹的相關內(nèi)容。

我們?yōu)槭裁匆ゲ粩嗟貎?yōu)化、提升IT計算基礎架構的效率？為什么不斷地去完善和想要提升更強有力的運營支撐呢？其實這一切的目的都是為了什么？業(yè)務應用，而業(yè)務應用的又是為實現(xiàn)什么目標，呢？大家有沒有想到今天其實沒有傳統(tǒng)意義上的銀行了，銀行完全是運營在數(shù)據(jù)之上，其實今天的運營最后落地是落地在數(shù)據(jù)上面。如果今天回首去看今天IT當中什么是最重要的時候，今天系統(tǒng)停到可以重啟，都可以用各種各樣的方式去恢復，如果數(shù)據(jù)出問題就會面臨很大的問題。我們怎么保護我們最核心的IT系統(tǒng)的安全，當然這個安全叫做信息安全或者叫數(shù)據(jù)的安全。

今天很多人講，我在過去的多少年當中做了很多次有關安全的建設，但是大家有沒有想過，今天的安全其實有兩個很大的安全意義，一個是違法違規(guī)的安全建設，第二個是合法違規(guī)和法律操作，也就是說過去的時候我們所有的安全建設都是怎么樣去防范違法違規(guī)的用戶，或者是懷有各種企圖的那些人去侵害我們的系統(tǒng)。所以我們做了應用安全、用戶身份管理安全、做了檢測安全，這個有點像我們生活當中，大家有沒有想過，在路網(wǎng)上面做各種各樣的紅綠燈、管制、光探頭，這個有點像網(wǎng)絡安全。接下來是系統(tǒng)安全，樓宇安全，還有應用安全，每個人有什么樣的職責，做什么事情，甚至管理到個人。

但是我們其實真真正正面臨的安全，如果你家里的錢和企業(yè)的財富被觸動的時候，也就是說黑客從網(wǎng)絡到系統(tǒng)、到應用，真正侵入進來，如果沒有碰到你的數(shù)據(jù)我們沒有根本的損失，但是一旦觸動我們的數(shù)據(jù)，損失就是根本。今天還有一點尤其從合規(guī)的角度，我們大家知道任何一個企業(yè)界的應用，任何一個上市公司，都面臨了幾方面基本的要求，一個是軟件的安全的等級保護。大家知道，所有提供公共服務的門戶基本上是五級，一定要做wap層面的安全防護。比如說金融、電信、政府的時候做到三級，要做到數(shù)據(jù)安全保護。還有作為上市公司，我們知道，企業(yè)內(nèi)部管理基本規(guī)范。所以今天不管是從內(nèi)、從外，從企業(yè)的利益保護的角度，和從市場合規(guī)的角度都有一個需求說，我們要加強不是傳統(tǒng)的技術層面的安全，而是說我們要加強信息安全的建設。信息安全為什么越來越多的引起關注呢？這就是隨著IT的建設，我們的信息資產(chǎn)，也就是當你的應用運行時間長的時候，今天你對它的依賴程度高，所以這個時間就有不同的人抱有不同的目的?？赡軓纳虡I(yè)、從社會、從政治、從個人的抱負心不同的角度都會對數(shù)據(jù)充滿好奇。

今天一旦發(fā)生信息安全問題的時候，可能是多方面，也可能包括這上面講的，可能是企業(yè)形象的問題，可能經(jīng)濟的損失。所以這個時候就面臨一個挑戰(zhàn)，我們用一個什么樣的方法去迎接今天的，我們所面臨的信息安全的問題。這就有點像我們從事的路網(wǎng)的建設、樓宇的建設，家里安裝防盜門窗的時候，一不留神，還得按一個保險柜，家里有一個有效的防護機制。這時候大家可以看到這個圖，這個圖是最經(jīng)典的一個圖，大家可以看到，其實最左側的是WAP用戶，他們通過應用訪問后臺，這時候引到數(shù)據(jù)庫的時候這個當中就有幾個層面的挑戰(zhàn)。一個是那些人是真的用戶嗎？

他們的訪問是真正合法嗎？在這個過程中我們可以采用不同的解決方案，比如說今天下午F5的同事就是應用的安全解決方案。所以大家可以看到，在那邊會從應用層面進行過濾，去避免一些違法違規(guī)的安全隱患。但是還有一點的話，一定會有一些人，或者有一些不良之圖，還是出于他的特別的目的特別手段訪問到數(shù)據(jù)庫，這個時候是什么方法？這個我們馬上談到了，怎么構筑IT系統(tǒng)最核心的安全屏障，最后的屏障。這個時候就構成一個完整的解決方案，也就是站在這里跟大家交流。當我們從應用層到數(shù)據(jù)層建立一個立體的安全防護體系的話，我們就可以做到安全合規(guī)最大化。

之所以這么講，就是因為當采用的WAP安全解決方案的時候，它的恢復把前端的日志、事件的情況會整合到Oracle的數(shù)據(jù)庫防火墻。這時候就從前端到后端管理的層面上有一個視圖，哪些應用的用戶通過什么訪問到后臺的數(shù)據(jù)庫，這時候在問題的追查上就有突破的優(yōu)勢，使得判斷所有的安全隱患。任何事件的任何地點的情況都可以追溯，今天我聽說過數(shù)據(jù)庫、聽說過防火墻，防火墻是在網(wǎng)絡層面做到內(nèi)外隔絕的數(shù)據(jù)的機制，數(shù)據(jù)庫防火墻是到今天的一個軟件，依靠軟件的運行在PC的服務器上面，在這個當中實現(xiàn)了安全的隔絕，加強對數(shù)據(jù)庫訪問的審計或者是安全的管理。需要防火墻的時候它主要解決幾個關鍵的問題，第一個，是當我發(fā)現(xiàn)一些剛才講的惡意的、違規(guī)的、攻擊性的行為，或者是一些誤操作的行為的時候它能夠有效地報警和時時阻斷，能夠追蹤到任何人、任何事件，和他訪問到數(shù)據(jù)庫的什么樣的信息。當做到這一點的時候，給我們帶來最大的好處就是我不管原來你的安全體系建設多么完善，但是在最后一刻和最后，我們經(jīng)常講最后一公里，但是對系統(tǒng)的安全的侵害……所以大家看到，如果今天看架構的時候，所有應用的用戶或者系統(tǒng)的用戶，訪問到后臺的時候，我們可以做到，第一個什么樣的場景是允許的？第一個，大家知道有的時候我對安全沒有概念，我也不太懂什么是安全策略。

Oracle的數(shù)據(jù)庫防火墻提供一個白名單，你只告訴我什么樣的訪問是允許的，比如說我的政府的客戶，就覺得我今天是希望我的運維人員在上班八小時做一些基本的操作。比如說空間、備份等等這些事件，這時候如果有人到晚上還要到大機房做大規(guī)模的維護，做數(shù)據(jù)的導出的時候就不太靠譜，你晚上為什么會機房做這樣的事情呢？這時候就定一個多因子的安全策略，從哪個IT，在什么時間允許做這些事件，之外的話我們就認為是違規(guī)的。所以你可以很方便地很輕松地制定，也就是什么是允許的。第二個什么行為都是記錄，我們通過痕跡去做審計。還有一個就是即便是一個允許的動作，背后也可能對你系統(tǒng)造成侵害，我就做到時時的報警。

還有一個很有意思的技術特點，Oracle防火墻當中，大家知道，現(xiàn)在我們面臨的網(wǎng)站的攻擊也好，應用攻擊也好，數(shù)據(jù)庫的攻擊都是存在一個情況，我封掉就行了。但是大家有沒有知道，包括一些搜索引擎，他馬上換另外一個IT，因為這是一到自動化的機制，他本身的目的就是對你的數(shù)據(jù)庫應用進行掃描，去拿到他想拿到的東西。這個時候最聰明的做法不是阻斷他，最聰明的辦法是放在一個蜜罐里面去，所以我們事先可以制定一些策略，如果發(fā)現(xiàn)有人想拿我那些數(shù)據(jù)而通過違法違規(guī)的手段的時候，我給他什么樣的回應，這時候他的小程序認為他就得手了，所以他就不會換另外一種方法來攻擊你。另外一個我們可以做一個阻止。從實施來講，很重要的是今天在市場上的所有數(shù)據(jù)產(chǎn)品，要么是做審計的，要么做監(jiān)管，但是Oracle防火墻可以實現(xiàn)安全審計，又可以實安全監(jiān)管，就是說你可以把它部署為叫審計模式，就是不作為全部的管理，但是把所有的訪問行為記錄下來，到時候你可以根據(jù)審計去看違法違規(guī)的采取什么樣的行動。

還有一種是管理，也就是說當他發(fā)現(xiàn)危險的時候第一個去報警，第二個阻止這種行為的發(fā)生。所以白名單的好處可以讓你快速地去部署說哪些訪問是OK的，還有一些黑名單哪次什么樣的訪問是有危害的，你只要定義出來，這個安全策略馬上部署出來。當白名單和黑名單聯(lián)合在一起就可以實現(xiàn)安全策略的部署。所以大家可以看到，所有里面的所謂的管理的細節(jié)都會通過一個管理策略來。重要的是說，所有的管理的策略不依賴與你對安全的理解，而是在防火墻當中有一些，我們叫全世界最佳實踐。其他客戶在產(chǎn)品的實踐當中累計的經(jīng)驗，這個就是屬于一種我們叫做最佳實踐，同時它是支持比如像我們現(xiàn)在講的CTI也好，在數(shù)據(jù)庫防火墻當中都是支撐的。

這邊我舉個圖，跟大家分享一下，數(shù)據(jù)庫防火墻怎么工作，可以有哪些好處？大家會看到有很多紅色的，比如說現(xiàn)在有720次嚴重的報警。右側是一個小時就產(chǎn)生了5130次的訪問，接下來在這邊左上角你會看到有很多在，這個很嚴重，你再一個生產(chǎn)環(huán)境要刪掉的時候，這種操作無疑是高危的。其實我們看到一個小時，有5000多次訪問，這個系統(tǒng)產(chǎn)生了11.9萬的訪問，但是你如果要是對每個11萬條都去看的話有一個很龐大的工作量，這個時候就依賴于你的數(shù)據(jù)庫的安全管理體系是不是有效識別，什么樣的語句具有什么樣的特點？所以我們的防火墻自動歸類，這473個類里面有什么安全的特征。接下來還有右下角當中，有1261個出現(xiàn)語法錯誤，這個我現(xiàn)在給大家分享的都是一些實際的我們的客戶場景，而且這些場景基本上在我們今天的市場當中我們所有的客戶當中都存在，如果說到我不能叫嚴重，現(xiàn)實一點說，我所見到的所有銀行的、保險的、政府的，包括公安系統(tǒng)的，包括交通運輸和電信、電力，BOSS大學，基本上這些場景都是存在的，生產(chǎn)系統(tǒng)。

比如說出現(xiàn)語法錯誤的時候，生產(chǎn)環(huán)境不應該出現(xiàn)錯誤，這都是有人直接在訪問數(shù)據(jù)庫系統(tǒng)，在掃描，他就會產(chǎn)生這一類的錯誤。接下來這個5曲線，你只要裝上，安裝也非常簡單，只要插上光盤兩個小時，它自動就開始去學習，你現(xiàn)在系統(tǒng)的基本特點，有哪些語句，都來自哪些IT，都做什么樣的訪問，什么人在做什么樣的訪問，他有什么樣的一些動作是危險的，哪些是合規(guī)合法的，接下來你可以去看有哪些用戶，那些用戶都來自哪些，去到那里，接下來對所有的用戶的行為進行跟蹤，通過什么樣的方法，比如說通過GBC做一個什么樣的語句呀？

還有做安全策略的部署，大家會看到，我們叫做紅綠燈，你覺得哪一類人訪問的話，你個人覺得想加強，你想完善的時候，你可以做設置。大家知道，TOPSQL這個就變成在系統(tǒng)當中最慢的語句，開銷多少，被訪問了多少次，你可以對你的數(shù)據(jù)庫做調(diào)整。像這樣的情況，你會看到有很多人、很多場景，那些人不管是因為敲錯了還是什么原因，當超過三次的時候就會出現(xiàn)報警，還有如果很多人在批量地去抓你的敏感數(shù)據(jù)，比如你說有一些客戶的數(shù)據(jù)產(chǎn)生了消存，對很多人來講不管是從企業(yè)和個人的角度都有數(shù)據(jù)，所以當他去抓這些數(shù)據(jù)的時候不帶條件的，這種訪問方式其實對你的系統(tǒng)，尤其是對那些敏感的在后臺可以捕捉到，把它作為一條審計系統(tǒng)記錄下來。還有像這種刪除都是很關鍵的，比如說像常數(shù)表不可能刪掉的時候，這種刪的操作其實也是被記錄，還有失敗的訪問，同時SQL數(shù)據(jù)庫的掃描，哪里有漏洞，這個時候就會產(chǎn)生一些錯誤。我們傳統(tǒng)的方法是沒有辦法去識別的，我們只有像數(shù)據(jù)庫防火墻那種方式去抓到訪問。還有的時候有的后臺，當出現(xiàn)違規(guī)違法，有權限的人做的小動作，他應用不能去改，所以調(diào)動看似正常，結果對他所做的動作是有利的。

另外一點，再一個生產(chǎn)環(huán)境當中，如果不是基于互聯(lián)網(wǎng)的時候，你會發(fā)現(xiàn)你所有的IP運行了一段時間都固定下來了。你搞，比如說你說的網(wǎng)點來自固定的訪問的時候，你都大概有哪些IP曾經(jīng)訪問，有哪些是合法的，這個在現(xiàn)實生活中是非常嚴重的情況。我們曾經(jīng)在一個甚至一個公安的系統(tǒng)，有日本人在搞，你開放云應用給他的時候，我不想通過應用，我想拿到跟多的數(shù)據(jù)。

所以他就用各種各樣的手段，或者是黑客的攻擊行為。還有大家知道，我們永遠生活再一個安全又不是完全安全的環(huán)境當中，說安全，我們今天的IT系統(tǒng)是夠高性能、高可用性、可靠，但是隨著你的應用，你的整個部署的架構，你還是會帶來一些危險，就跟樓很堅固，但是它有門和窗，這時候就帶來一些隱患，你還要去看，這個當中你的應用顯得不好，應該不用就給別人帶來門和窗，我們的防火墻就發(fā)現(xiàn)你的應用開發(fā)或者你的開發(fā)團隊應用沒有寫好，他把這個都挑出來說，你在未來的維護當中應該去有所改善。SQL錯誤語句是非常嚴重的問題，不但撞墻，在墻上不斷血液，如果說我來簡單總結一下，今天如果我們過去是希望通過架構網(wǎng)絡的安全、架構系統(tǒng)安全體系，建立個人用戶訪問安全體系，做單點登錄，桌面安全等等等等的時候，大家千萬不要忽略。今天其實所有的安全建設都是服務于什么？

都是服務于最后的信息安全。也就是今天所有的信息安全建設都是服務于家庭安全，有錢人家里都有保險柜，我的家里沒有，在座的很多人家里就有保險柜，因為什么？就是因為你最后不擔心別人進到你的樓里，也不擔心別人進到你的家里，所以IT系統(tǒng)的根本損失就是來自你的數(shù)據(jù)的損失。

接下來我做一個總結，今天當你去看待我的整個信息安全體系的時候，一定是從應用到數(shù)據(jù)，應用安全，下午F5的同事會跟大家介紹，其實很多可以啟動、可以激活，你在F5的安全模塊，或者用其他的方式取得數(shù)據(jù)的安全。當然數(shù)據(jù)庫的方式也可以用SQL的方式，其實我也在看好像界面上也有數(shù)據(jù)庫防火墻，開玩笑講，我們叫的那些商品化的工具通常不是非常有效的。為什么在安全的產(chǎn)品選擇方面也要有特別明顯的標準呢？這個就是說你做一般的建設的時候，但是安全的建設，這個就跟你的目的背離。

所以今天的安全，你要用企業(yè)級的方案，SQL今天做的話找數(shù)據(jù)庫，確切來講，對語句分析的能力是沒有超越的。如果大家可以想，如果說今天在一個關鍵業(yè)務系統(tǒng)當中，百萬分之一的時間誤差，如果今天通常一個一天都是在幾千萬到上億次的SQL訪問的時候，一天當中你其實接收到誤報和漏報的概率非常高。像在市場上買的東西要拿走，那是因為他不能有效識別對的和錯的，這個工作量基本上是沒有辦法接受的，或者是不吭聲。所以如果今天我們看到安全解決方案的時候，大家可以從硬件到軟件，或者從應用一直到數(shù)據(jù)。

總結，大家一定要關注信息安全或者數(shù)據(jù)安全，而且高風險、高技術行業(yè)。如果大家看今年的SQL，也就是說我的IT建設建設到今天的時候，安全其實已經(jīng)變成一個關鍵的因素。另外一點，我們的數(shù)據(jù)庫防火墻可以支撐今天在市場當中所有的數(shù)據(jù)庫，包括開元的SQL，其他的廠家在不同的數(shù)據(jù)庫當中都是支持，還有一個好處，傳統(tǒng)都是裝在什么？探底，要裝探針。今天只要一根網(wǎng)線，就可以有效地做到數(shù)據(jù)的跟帖、去解析當中有沒有危險。它的好處能使你一夜之間，在很短的時間最大強度加強你的系統(tǒng)安全建設。