注意：

• 此教程需要访问 Oracle Cloud。要注册免费账户，请参阅开始使用 Oracle Cloud Infrastructure Free Tier 。
• 它使用 Oracle Cloud Infrastructure 身份证明、租户和区间示例值。完成实验室时，请将这些值替换为特定于云环境的值。

使用 Oracle Data Safe 简化数据库安全态势管理

简介

无论是在本地、Oracle Cloud Infrastructure (OCI) 还是第三方云中运行，客户都可以使用 Oracle Data Safe 来了解其数据库安全性。Oracle Data Safe 为非生产环境提供了一整套安全功能，例如安全和用户评估、活动审计、Oracle SQL Firewall 管理、数据发现和数据屏蔽。

通过与评估功能紧密集成的 Oracle Data Safe，您可以同时对多个数据库运行评估、调度评估、建立安全基线以及获取比较报告来突出显示该基线与当前数据库安全评估之间的偏差。

目标读者

• 数据库管理员和 OCI 安全管理员。

目标

• 实现 Oracle Data Safe 的特性和功能，并通过最少的步骤实现数据库安全态势管理。

先决条件

• OCI 中预配的 Oracle Database。有关详细信息，请参阅 Oracle Database 。

• 在 Oracle Data Safe 中注册数据库。在本教程中，注册 Oracle Autonomous Database 注册 Oracle Autonomous Database ，并注册其他数据库，请参阅目标数据库注册。

任务 1：在 Oracle Data Safe 中注册 Oracle Autonomous Database

1. 登录到 OCI 控制台，导航到 Oracle Databases 、Autonomous Database 、 Data Safe ，然后单击注册。

   

2. 您可以在“目标数据库”部分中查看已注册的数据库。单击 Oracle 数据库、数据安全和目标数据库。

   

任务 2：设置默认全局设置

1. 打开 OCI 控制台，导航到 Oracle 数据库、数据安全和设置。

2. 默认情况下，Oracle Data Safe 允许在一个月内达到一百万个免费审计记录限制后继续收集审计。您可以禁用或启用全局付费使用设置。

3. 在全局审计记录保留策略中，默认联机保留期为 12 个月。归档保留期为 0-72 个月。单击保存。

   

任务 3：在安全评估中设置基线和更新计划

安全评估仪表盘将为所有数据库配置检查提供组视图。

1. 打开 OCI 控制台，导航到 Oracle Databases 、 Data Safe 、 Security Center 和 Security Assessment 。

   

2. 导航到 Oracle 数据库、数据安全、安全中心、安全评估，然后单击目标概要以显示每个目标数据库每个风险级别的查找结果数。单击查看报告可查看最新报告。

   

3. 导航到 Oracle 数据库、数据安全、安全中心、安全评估、安全评估详细信息和设置基线，以分析安全风险并将目标数据库的最新安全评估设置为基线。在设置为基线？中单击是。

   

   它将设置基线，我们可以在 Oracle Data Safe 控制台上查看该基线。定位至 Oracle Databases 、 Data Safe 、 Security Center 、 Security Assessment 、 Security Assessment Details 和 Assessment Information 。

   

4. 更新计划以每天、每周或每月运行评估。我们可以在 Oracle Data Safe 控制台上查看。在非工作时间内每周生成一次报告将是一个良好的开始。导航到 Oracle 数据库、数据安全、安全中心、安全评估、安全评估详细信息，然后单击更新计划。

   

   我们可以在 Oracle Data Safe 控制台上查看调度。单击 Oracle 数据库、数据安全、安全中心、安全评估和计划。

   

任务 4：标识高风险用户，在用户评估中设置基准和更新计划

用户评估仪表盘将为所有数据库配置检查提供组视图。

1. 打开 OCI 控制台，单击数据安全、安全中心和用户评估。

   

2. 导航到 Oracle 数据库、数据安全、安全中心、用户评估，然后单击目标概要以显示每个目标数据库每个风险级别的查找结果数。单击查看报告可查看最新报告。

   

3. 导航到 Oracle 数据库、数据安全、安全中心、用户评估、安全评估详细信息和设置基线，以分析高风险用户并将目标数据库的最新用户评估设置为基线。在设置为基线？中单击是。

   

   它将设置基线，我们可以在 Oracle Data Safe 控制台上查看该基线。定位至 Oracle 数据库、数据安全、安全中心、用户评估、用户评估详细信息和评估信息。

   

4. 更新计划以每天、每周或每月运行评估。我们可以在 Oracle Data Safe 控制台上查看。在非工作时间内每周生成一次报告将是一个良好的开始。导航到 Oracle 数据库、数据安全、安全中心、用户评估、用户评估详细信息，然后单击更新计划。

   我们可以在 Oracle Data Safe 控制台上查看调度。单击 Oracle 数据库、数据安全、安全中心、用户评估和调度。

   

任务 5：为配置和用户更改设置电子邮件通知

在 Oracle Data Safe 中，您可以为安全评估相关事件创建事件通知。

1. 打开 OCI 控制台，导航到 Oracle 数据库、数据安全、安全中心、安全评估、通知，然后单击安全评估已从基线偏移。

   

2. 您可以使用常用事件的快速入门模板或高级事件通知工作流来创建通知。

   单击快速入门可将预警策略添加到目标数据库，然后单击创建通知。

   

3. 要接收消息，您必须确认来自您的电子邮件收件箱的订阅。

   

   导航到数据安全、安全中心、安全评估和通知可在 Oracle Data Safe 控制台中查看添加的警报策略。

   

4. 在 Oracle Data Safe 中，您可以为用户评估相关事件创建事件通知。

   打开 OCI 控制台，导航到 Oracle 数据库、数据安全、安全中心、用户评估、通知，然后单击用户评估已从基线偏移。

   

5. 您可以使用常用事件的快速入门模板或高级事件通知工作流来创建通知。

   单击快速入门可将预警策略添加到目标数据库，然后单击创建通知。

   

   导航到 Data Safe 、 Security Center 、 User Assessment 和 Notifications 以在 Oracle Data Safe 控制台中查看添加的警报策略。

   

6. 您将收到一封关于安全评估偏离基线事件的示例电子邮件。

   

任务 6：在活动审计中启动审计线索并启用审计策略

1. 审计线索是目标数据库中用于存储审计数据的审计表。最常见的审计线索是 UNIFIED_AUDIT_TRAIL 数据字典视图，它将所有 Oracle Database 审计线索合并到一个位置并以统一格式。

   打开 OCI 控制台，导航到数据安全、安全中心和活动审计。

   

2. 导航到数据安全、活动审计、审计线索并单击目标数据库。Oracle Data Safe 会自动搜索目标数据库上的审计线索，并为每个目标数据库创建一个审计线索资源。

   

3. 单击开始。启动 Oracle Data Safe 审计线索时，Oracle Data Safe 将开始将审计记录从目标数据库审计线索复制到 Oracle Data Safe 资料档案库。您可以根据需要启动和停止审计数据收集。

   您可以看到状态更改为活动。

   

4. 审计策略表示与目标数据库相关的所有可用审计策略，以及目标数据库上的相应审计条件和预配状态。导航到数据安全、活动审计、审计策略并单击目标数据库。

   

5. Oracle Data Safe 会自动为您的目标数据库创建一个审计策略资源。它在从目标数据库检索审计策略后执行此操作。通过审计策略资源，您可以在目标数据库中设置统一审计策略，同时有条件启用用户或角色。

   导航到数据安全、活动审计、审计策略、审计策略信息，然后单击更新和预配。

   

   启用审计策略：通过审计策略资源，您可以在目标数据库中设置统一审计策略，并对用户或角色进行条件启用。可用于预配的不同类别的审计策略包括：

   • 基本审计策略。

   • 管理员活动审计策略。

   • 用户活动审计策略。

   • 审计相容性标准策略。

   • 定制和 Oracle 预定义审计策略。

   

   将审计策略预配到目标数据库后，将为目标数据库中与审计策略匹配的活动生成审计记录。有关详细信息，请参阅关于 Oracle Data Safe 审计策略。

任务 7：启用警报策略

1. 您可以在目标数据库上启用预警，以跟踪特定用户活动和异常行为并获得通知。

   打开 OCI 控制台，导航到 Oracle Databases 、 Data Safe 、 Security Center 和 Alerts 。

   

   您已成功以管理员身份连接到 Oracle Autonomous Database。

2. 我们可以选择在数据库参数或审计策略更改、管理员登录失败、用户权利更改以及创建或删除用户时发出预警。要将警报策略添加到目标数据库，请导航到数据安全、安全中心、警报、目标 - 策略关联，然后单击应用策略。

   

   导航到 Data Safe 、 Security Center 、 Alerts 、 Target-Policy Associations 以在 Oracle Data Safe 控制台中查看添加的警报策略。

任务 8：按数据搜索查找敏感数据类型

数据发现可帮助您查找 Oracle Database 中的敏感数据。保护敏感数据始于了解您拥有的敏感数据及其所在位置。数据搜索使用您选择的 Oracle 预定义和用户定义的敏感类型在 Oracle Database 中搜索敏感列。您可以在数据搜索中定义要查找的内容，并查找符合条件的敏感列。有关更多信息，请参见数据搜索概述。

任务 9：非生产数据库中敏感列的数据屏蔽

数据屏蔽也称为静态数据屏蔽，是用虚拟但真实的数据永久替换敏感数据的过程。它可帮助您生成具有与原始数据相似特征的真实且功能齐全的数据，以替换敏感或机密信息。有关更多信息，请参见 Data Masking Overview 。

任务 10：将 Oracle SQL Firewall 与 Oracle Data Safe 结合使用

Oracle SQL Firewall 通过限制数据库访问指定用户的授权 SQL 语句或连接，提供针对常见数据库攻击的实时保护。

Oracle Data Safe 统一控制台已扩展为管理和监视适用于 Oracle Database 23ai 数据库的 Oracle SQL Firewall。管理员可以使用 Oracle Data Safe 收集数据库账户的 SQL 活动，监视收集进度，使用收集的 SQL 活动中的允许列表规则（允许的上下文和允许的 SQL 语句）创建 Oracle SQL Firewall 策略，以及启用 Oracle SQL Firewall 策略。有关详细信息，请参阅将 Oracle SQL Firewall 与 Oracle Data Safe 结合使用。

注:

• 亲自浏览 Oracle Data Safe，请参阅 Oracle LiveLabs：Oracle Data Safe 基础知识入门。
• 使用 30 天的 Oracle Cloud Free Tier 使用您自己的数据库试用 Oracle Data Safe。有关要注册的 Oracle Cloud Free Tier 的更多信息，请参阅 Oracle Cloud Free Tier 。

相关链接

• 通过 Autonomous Database 使用身份和访问管理 (Identity and Access Management，IAM) 验证

• Oracle Data Safe 入门

• YouTube 视频：Oracle Data Safe 简介

确认

• 作者 - Alex Kovuru

• 贡献者 - Indira Balasundaram

更多学习资源

浏览 docs.oracle.com/learn 上的其他实验室，或者通过 Oracle Learning YouTube 频道访问更多免费学习内容。此外，请访问 education.oracle.com/learning-explorer 以成为 Oracle Learning Explorer。

有关产品文档，请访问 Oracle 帮助中心。

---

标题和版权信息

Simplify Database Security Posture Management with Oracle Data Safe

F94887-02

May 2024

Copyright ©2024,

Oracle 和/或其关联公司。