12c OCP題庫解析060-7 Oracle 12c 安全性與合規性的新特性
Which Oracle Database component is audited by default if the unified Auditing option is enabled?
A. Oracle Data Pump
B. Oracle Recovery Manager (RMAN)
C. Oracle Label Security
D. Oracle Database Vault
E. Oracle Real Application Security
【題目示意】
考察了Oracle 12c安全性與合規性的新特性。
【解析】
Oracle Database 12c 跨預防性、檢測性和管理控制提供多層安全。這包括透明資料加密、資料編輯、資料遮蔽、特權使用者控制、許可權使用情況分析、有條件的審計和真正應用安全性。Oracle Database 12c 與 Oracle Audit Vault and Database Firewall 結合使用,提供了前所未有的控制,可以幫助組織應對現有和新興的安全性和合規性要求。
其中,安全性和合規性主要功能包括:
- Advanced Security
- Key Vault
- Database Vault
- Data Masking and Subsetting
- Audit Vault and Database Firewall
- Label Security
- 有條件的統一審計
- Real Application Security
- 傳統資料庫審計
- 虛擬專用資料庫
首先我們看一下題目中提到的 unified Auditing,即統一審計。
統一審計
Oracle Database 12c 統一審計功能利用策略和條件在 Oracle 資料庫內部有選擇地執行有效的審計。新的基於策略的語法簡化了資料庫中的審計管理,並且能夠基於條件加速審計。例如,審計策略可配置為根據特定 IP 地址、程式、時間段或連線型別(如代理身份驗證)進行審計。此外,啟用審計策略時,還可以輕鬆地將特定模式排除在審計之外。
引入了新的角色來管理策略和檢視審計資料。AUDIT_ADMIN 和 AUDIT_VIEWER 角色為希望指定特定使用者管理審計設定和檢視審計活動的組織提供了職責分離和靈活性。新架構將現有審計跟蹤統一為單一審計跟蹤,從而簡化了管理,提高了資料庫生成的審計資料的安全性。只能使用資料庫內建的審計資料管理軟體包來管理資料,不能使用 SQL 命令直接更新或刪除審計資料。Oracle Database 12c 附帶了 3 個配置好的預設策略。Oracle Audit Vault and Database Firewall 12.1.1 與新的 Oracle Database 12c 統一審計整合以實現審計整合。其中,在官方文件中提到了針對RMAN事件的統一審計:
“
About Auditing Oracle Recovery Manager Events
Unlike other Oracle Database components, you do not create a unified audit policy for Oracle Recovery Manager events. The UNIFIED_AUDIT_TRAIL data dictionary view has a set of fields, whose names begin with RMAN_, that automatically record Recovery Manager-related events.
However, you must have the AUDIT_ADMIN or AUDIT_VIEWER role in order to query the UNIFIED_AUDIT_TRAIL view to see these events. If you have the SYSBACKUP or the SYSDBAadministrative privilege, then you can find additional information about Recovery Manager jobs by querying views such as V$RMAN_STATUS or V$RMAN_BACKUP_JOB_DETAILS.”
也就是說,統一審計會自動記錄RMAN相關的事件,而對於其他資料庫元件,比如選項A中提到的Oracle Data Pump,我們需要建立審計策略來實現審計功能。
接下來,我們看一下選項C、D和E選項中涉及的安全策略。
Oracle Label Security
Oracle Label Security 提供行級安全性,允許具有不同訪問許可權的使用者檢視他們能夠檢視的資料子集,從而提高了安全性和合規性。
過去 30 年,Oracle 一直是打造能夠保護敏感資訊的先進資料安全解決方案的行業領軍企業。Oracle Label Security (OLS) 是 Oracle 縱深防禦方法的一部分,它是業界基於資料分類控制訪問的最先進的解決方案。能夠基於資料分類控制訪問對於實施“需要了解”的原則以及資料整合非常重要。資料整合不僅降低了成本,而且還可以提高資料分析和決策的效率。
訪問敏感專案
不同人群根據需要了解的內容不同,可獲得對公司研發專案不同的訪問許可權。Oracle Label Security 區間可以授權合適的人只能檢視其有權訪問的專案。
分層訪問
組織所管理的財務收入資料可以使用 Oracle Label Security 進行分組。各國/地區工作的人員將只能檢視所在國/地區的資料。負責一組國家/地區的區域經理可以檢視區域內所有國家/地區的資料。全球經理可以檢視每個國家/地區的資料。所有資料均存在於相同的資料庫表中。無需為每個國家/地區建立單獨的表和資料庫。從而簡化了報告、資料管理和資料安全。
多級敏感資料
OLS 可以將不同敏感級別的資料整合成一個資料庫表集。資料可以是公開的、敏感的或是最敏感的(甚至更多級別)。根據使用者訪問級別(公開、員工、經理、高管)的不同,每個使用者只能檢視其有權訪問的資料。無需保留單獨的表來管理相同的資料 — 只是在不同的級別。透過在行級管理資料安全性,從長遠來看可以同時簡化和提高資料的安全性。Oracle Database Vault
Oracle Database Vault 減少了內部和外部威脅的風險並解決了常見的合規性要求,方法是:
- 防止高許可權使用者 (DBA) 訪問敏感的應用資料
- 防止使用已洩漏的特權使用者帳戶竊取敏感資料或者對資料庫和應用進行未授權的更改
- 在資料庫中嚴格控制使用者許可權,並控制訪問應用、資料和資料庫的時間和方式
- 為資料庫中的所有使用者和應用提供許可權分析,幫助實現最小許可權模型並使資料庫和應用更安全
支付卡行業 (PCI)、Sarbanes-Oxley (SOX)、歐盟隱私指令和美國健康保險流通與責任法案 (HIPAA) 都要求強化對敏感資訊的內部控制,以防止因敏感資訊的洩露或篡改而導致欺詐、身份竊取、金融違規和財務處罰。Oracle Database Vault 透過嚴格控制資料庫中使用者的許可權以及控制應用、資料和資料庫的訪問時間和方式,幫助客戶符合這些規定。
Oracle Database Vault 經過了眾多 Oracle 和合作夥伴企業應用的認證,包括 Oracle E-Business Suite、Oracle PeopleSoft、Oracle Siebel 和 SAP。認證包括針對每個應用的隨需隨用的安全策略,考慮了它們的安裝、執行時和維護需求。安全策略可以下載,也可以透過支援服務請求。
Real Application Security
Oracle Database 12c 引入了下一代 Oracle 虛擬專用資料庫 (VPD) Oracle Real Application Security (RAS)。Oracle RAS 引入了業界最先進的技術來支援應用安全要求。
Oracle RAS 提供的宣告式模型所實現的安全策略不僅包括受保護的業務物件,還包括有許可權操作這些業務物件的主體(使用者和角色)。RAS 比傳統的 Oracle 虛擬專用資料庫技術更安全、可擴充套件性更高、更經濟高效。
Oracle RAS 優點包括:
- 終端使用者會話轉播至資料庫
- 基於應用使用者、角色、許可權和各種關係的資料安全性
- 審計終端使用者活動
- 使用宣告式安全性簡化管理
與現有 Oracle VPD 不同,RAS 提供的宣告式介面允許開發人員定義資料安全策略、應用角色和應用使用者,應用開發人員無需建立和維護 PL/SQL 儲存過程。藉助 RAS,在資料庫核心中使用 Oracle RAS API 定義資料安全策略。與業務物件關聯的許可權儲存在透過 RAS API 定義和維護的訪問控制列表 (ACL) 中。ACL 是 Real Application Security 的重要組成部分,儲存分配給主體的許可權,並控制可在物件上執行的操作型別(選擇、插入、更新和刪除)。
【答案剖析】
A,對於Oracle Data Pump元件,需要建立專門的審計策略。所以A錯誤。
B,統一審計會自動記錄RMAN相關的事件,所以 B 正確。
C,Oracle Label Security和統一審計一樣,是Oracle 12c提供的一種安全策略。所以C錯誤。
D,Oracle Database Vault和統一審計一樣,是Oracle 12c提供的一種安全策略。所以D錯誤。
E,Oracle Real Application Security和統一審計一樣,是Oracle 12c提供的一種安全策略。所以E錯誤。
【答案】B
hoegh
2016.05.26
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/30162081/viewspace-2107192/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- Oracle 12c新特性Oracle
- ORACLE 12C新特性——CDB與PDBOracle
- Oracle 12c 新特性(四)Oracle
- Oracle 12c 新特性(三)Oracle
- Oracle 12c 新特性(二)Oracle
- Oracle 12c 新特性(一)Oracle
- 【12C】Oracle 12C 新特性“可插拔資料庫”功能體驗Oracle資料庫
- Oracle 12c新特性之Sequence的Session特性OracleSession
- Oracle 12C新特性-History命令Oracle
- Oracle 12c 兩個新特性Oracle
- Oracle 12C新特性In-MemoryOracle
- Oracle GoldenGate 12c 新特性OracleGo
- Oracle 資料庫12c新特性總結(一)Oracle資料庫
- Oracle 12c DG新特性Far SyncOracle
- Oracle 12c 新特性之 temp undoOracle
- Oracle 12c新特性--ASMFD(ASM Filter Driver)特性OracleASMFilter
- Oracle Database 12c 資料庫32個新特性與案例總結(轉)OracleDatabase資料庫
- Oracle 12C新特性-RMAN恢復表Oracle
- Oracle 12C 新特性之級聯truncateOracle
- 12c新特性-Oracle Sharding簡介Oracle
- Oracle 12C 新特性之 恢復表Oracle
- Oracle 12c新特性 - Hybrid histogram 3OracleHistogram
- Oracle 12c新特性 - Hybrid histogram 2OracleHistogram
- Oracle 12c新特性 - Hybrid histogram 1OracleHistogram
- Oracle 12c新特性 - Top frequency histogram 3OracleHistogram
- Oracle 12c新特性 - Top frequency histogram 2OracleHistogram
- Oracle 12c新特性 - Top frequency histogram 1OracleHistogram
- Oracle 12c新特性:IN-Memory Option - 快取與引數Oracle快取
- Oracle 12c 新特性 Active Data Guard Far SyncOracle
- oracle 12c 新特性之不可見欄位Oracle
- oracle 12C 新特性之臨時undo控制Oracle
- Oracle 12C 資料泵新特性測試Oracle
- Oracle 12c 新特性之 PDB 級別閃回資料庫Oracle資料庫
- 【12c Partitioning】Oracle 12c Partitioning特性Oracle
- Oracle NET 12c 新特性 (文件 ID 2102464.1)Oracle
- 開發者必讀:Oracle 12c新特性再總結Oracle
- Oracle 12c新特性 - Active Data Guard功能增強Oracle
- Oracle 12c 新特性 - 臨時表undo(TEMP UNDO)Oracle