Oracle Data Vault
В презентации, сделанной в Челябинске, один из слушателей остроумно заметил, "что-же делать, если будут созданы политики, которые помешают администратору выполнять свои функции, а скажем пароль администратора Data Vault (dvowner) будет утерян ?"
Документация нам совершенно спокойно сообщает возможность отключить Data Vault (DV)
cd $ORACLE_HOME/rdms/lib
Почему-то все упорно считают это дырой в системе.
Я не понимаю, расстраиваюсь. DV - не средство защиты Вашей операционной системы. Если злоумышленник может изменять binary файлы вашей ОС где работает БД - что уж легче подменить команду passwd, скажем.
DV защищает данные от неавторизованного доступа. Теперь что-бы получить такой доступ необходим сговор как минимум двух людей. Ранее скажем пользователь root мог простой войти в БД. Теперь - не может, нужно сговариваться с DBA. Вот где прогресс.
2 важная идея, как мне кажется - DV не нужно сертифицировать (гостировать), поскольку она не использует механизмов шифрования. Если я не прав, - поправьте меня.
По ссылке Вы можете найти архив с моей презентацией в Челябинске. Обратите внимание на документ Oracle-PersonData.pdf. Данный документ содержит статьи Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ “О персональных данных” и продукты Oracle, которые помогают в его реализации.
Читать дальше...