【文章內(nèi)容簡介】 狹窄。設定初始化參數(shù) audit_trail 為 DB 或 OS。DB 表示將審計記錄寫到數(shù)據(jù)庫的 AUD$表里； OS 表示將審計記錄寫到操作系統(tǒng)文件中，默認生成在$ORACLE_HOME/rdbms/audit 目錄，審計文件也可以用初始化參數(shù) AUDIT_FILE_DEST 另外指定。啟用審計在 AUDIT_OPTIONS 表里有 144 個可以審計的審計命令，如：create table, insert, select 等。根據(jù)實際需要確定要審計的類型，比如，若需知道什么時候一個新表被加到數(shù)據(jù)庫，可通過下列命令啟用審計：audit create table by username。查詢審計select * from dba_audit_trail。五、用戶管理51 過多的用戶被授予 DBA 的權限用命令 SELECT 的39。DBA39。選項列出所有被授予了 DBA 角色的用戶，根據(jù)需要分配用戶角色，命令：SELECT GRANTEE FROM DBA_ROLE_PRIVS WHERE GRANTED=’DBA’。52 存在把權限授給 PUBLIC 的情況14 / 36刪除不需要的帳號，比如 SCOTT 等示例用戶；對于不明確是否能刪除的用戶可以暫時鎖定該用戶，或賦予非常復雜的口令。刪除用戶及其所有的數(shù)據(jù)對象命令：drop user dbuser cascade。取消用戶角色權限：revoke connect from dbuser。應檢查的用戶名包括：SCOTT, DBSNMP, TRACESVR, CTXSYS, MDSYS, DEMO, CTXDEMO, APPLSYS, PO8, NAMES, SYSADM, ORDPLUGIN, OUTLN, ADAMS, BLAKE, JONES, CLARK, AURORA$ORB$UNAUTHENTICATED, APPS。53 連接時使用空口令。修改口令文件 PROFILE，防止利用空口令或默認口令進行連接。六、限制 UTL_FILE 的使用與應用系統(tǒng)開發(fā)商確認是否有用戶需要使用 UTL_FILE 程序包。如果沒有用戶使用，應收回普通用戶對該包的執(zhí)行權限。如果確實有用戶需要使用UTL_FILE 包，應確保只有確實需要的用戶才擁有 UTL_FILE 的執(zhí)行權。同時在 中設定參數(shù) “UTL_FILE_DIR”使用 UTL_FILE 包的程序確實需要訪問的目錄。與應用系統(tǒng)開發(fā)商商議，是否可以改變 DB_LINK 的創(chuàng)建方式，在創(chuàng)建 DB_LINK 時不指定用戶名和口令。七、數(shù)據(jù)庫配置：數(shù)據(jù)庫配置未采用數(shù)據(jù)字典保護。檢查初始化參數(shù) O7_DICTIONARY_ACCESSIBILITY 是否為 FALSE。該參數(shù)為 FALSE, 將阻止具有 ANY 權限的用戶訪問數(shù)據(jù)字典基表，以有力地保護數(shù)據(jù)字典。此參數(shù)的修改需要重啟數(shù)據(jù)庫才能生效.Default:Oracle 8i:TUREOracle9i: FALSE15 / 36八、關閉 HTTP ServerHTTP Server 用于通過 HTTP 訪問數(shù)據(jù)庫，如 EM 和動態(tài)服務。若無必要，關閉該 server:$ cd $ORACLE_HOME/Apache/Apache/bin$ apachectl stop九、關閉遠程數(shù)據(jù)庫驗證遠程數(shù)據(jù)庫驗證只用于當你信任客戶端用戶時采用。這種驗證機制是：用戶在客戶端驗證，當用戶登錄數(shù)據(jù)庫時不再需要用服務器端數(shù)據(jù)庫密碼驗證，故稱為遠程數(shù)據(jù)庫驗證。為加強安全起見，關閉遠程數(shù)據(jù)庫驗證。設定初始化參數(shù)REMOTE_OS_AUTHENT = FALSE十、實施 VPD 和 Oracle Label Security如有必要，在普通的數(shù)據(jù)庫安全機制外，還可實施另一種新的安全機制，稱為 VPD（虛擬專用數(shù)據(jù)庫） ，幫助從數(shù)據(jù)庫內(nèi)部提供有效的安全。這種安全機制的原理是從用戶登錄到數(shù)據(jù)庫開始，預先為特定用戶設定的自定義的安全策略發(fā)生作用，使得當用戶提交一個查詢（或 insert,update,delete）時，自動地加上相應的 where 子句，這樣細粒度的訪問控制被 Oracle 自動實現(xiàn)和保證，對用戶和應用透明。例如， 使用以下查詢從數(shù)據(jù)庫里查詢數(shù)據(jù)：select * from customers。如果 customers 表里有一個相關的安全策略來限制銷售代表只能查看自己顧客的信息，這個查詢將被自動地重寫為：select * from customers where sales_rep_id=sys_context(‘hr_context’, ‘sales_id’)。比如說，A,B 兩位銷售代表鍵入的是同一條 SQL 語句， select * from customers, 但返回的結果不同：A 返回的是 select * from orders where sales_rep_id=406, B 返回的是 select * from orders where sales_rep_id=152，也就是說某個銷售代表只能訪問到他本人的銷售的信息，其他銷售代表的信息則訪問不了。被安全策略自動地加到用戶的查詢上的 where 子句確保該銷售代表只16 / 36能查看到他自己的客戶數(shù)據(jù)，別人的數(shù)據(jù)看不到。銷售代表的 ID 從用戶定義的應用程序上下文 hr_context 里得到。在 VPD 里，仍然需要授予用戶對每個表的適當?shù)臋嘞?，但是你不需要?chuàng)建視圖和過程來防止用戶訪問其他客戶的數(shù)據(jù)。因此，不必擔心用戶通過SQL*PLUS 等訪問到他們不該訪問的數(shù)據(jù)。創(chuàng)建和配置 VPD 的步驟如下：? 確定數(shù)據(jù)庫對象和它們的關系? 定義安全策略目標? 創(chuàng)建應用程序上下文? 創(chuàng)建設置上下文的包? 創(chuàng)建策略函數(shù)? 將策略函數(shù)與表或者視圖相關聯(lián)VPD 的詳細信息請參閱everaging9idatabase/Oracle Label Security 為精細化 (finegrained) 訪問控制提供了基于行標簽 (row labels) 的復雜而靈活的安全性。Oracle Label Security 借用政府機構、國防部門及商業(yè)組織使用的“貼標簽” (labeling) 概念來保護敏感信息并提供數(shù)據(jù)隔離能力。Oracle Label Security 是一種特別的 VPD, 通過它可以創(chuàng)建安全策略，然后透明地設置 VPD 以實施該策略，這些過程通過內(nèi)建的 package 來完成，不需要開發(fā) PL/SQL 程序，這是相比 VPD 來說的一大好處。其原理具體來講： 安全管理員對用戶貼上標簽指派級別和類型，數(shù)據(jù)行也打上標簽，指示該數(shù)據(jù)行的級別和敏感度。當用戶試圖執(zhí)行一個任務，比如從表里查詢記錄時，Oracle label security 將校驗用戶的標簽和數(shù)據(jù)行的標簽是否匹配，以確保從這個表返回正確的行。用戶只能對數(shù)據(jù)庫里有匹配的訪問標簽的行進行訪問和交互。詳細的配置舉例可見： Note 17 / 36第四章 附錄：數(shù)據(jù)庫安全問題及解決方案 數(shù)據(jù)庫安全問題電子商務的流行和 Inter 的普遍性改變了機構運營商務的方式、人們進行通信的手段。這些改變帶來了推動商業(yè)決策的新技術。安全性漸漸從內(nèi)部集成解決方案組轉變成了電子商務實施的主要必需條件。目前世界上很多企業(yè)和機構正在充分利用 Inter，優(yōu)化運作，并以相同的方式與供應商、合作伙伴、內(nèi)部用戶和客戶直接進行通信。然而，這些新的商業(yè)運作模式為它們帶來了機遇同時也帶來了各種挑戰(zhàn)。不同類別的用戶需要以不同的方式訪問數(shù)據(jù)。合作伙伴必須能夠看到某些有限的數(shù)據(jù)，員工能夠瀏覽公司機密信息，而客戶只能看到與其相關的信息； 同時 Inter 的發(fā)展使企業(yè)級應用系統(tǒng)的用戶數(shù)量呈指數(shù)級增長, 為企業(yè)級的用戶管理帶來了挑戰(zhàn)。簡而言之，Inter 時代安全性的挑戰(zhàn)包括：了解用戶、設置用戶訪問權限、對機密數(shù)據(jù)進行保密、提供安全的網(wǎng)絡服務。借助 Oracle9i、Oracle9i Advanced Security 和 Oracle Label Security 的功能，管理員和集成商能夠克服這些 Inter 安全性挑戰(zhàn)，Oracle 為基于 Inter 的企業(yè)范圍應用解決方案提供了極其安全的環(huán)境。 數(shù)據(jù)安全基本需求數(shù)據(jù)安全的需求概括來講就是：正確的人能夠及時地存取到正確的數(shù)據(jù)?；镜臄?shù)據(jù)安全需求有下面三方面：? 數(shù)據(jù)機密性? 數(shù)據(jù)完整性? 數(shù)據(jù)可訪問18 / 36數(shù)據(jù)機密性一個安全的系統(tǒng)需保證數(shù)據(jù)的機密性，這意味著只能讓合法的用戶看到他該看到的數(shù)據(jù)。機密性涉及到幾個方面：1) 數(shù)據(jù)傳輸過程中的保密:在數(shù)據(jù)傳輸過程中不能被非法者偵聽。2) 敏感數(shù)據(jù)的安全存儲：一旦機密數(shù)據(jù)存放在數(shù)據(jù)庫，它的完整性和私有性必須得到保護。3) 用戶身份的確定：確保只有合法的用戶才能訪問數(shù)據(jù)。怎樣確定連上來的用戶就是他聲稱的那個人，需要對用戶的真實身份進行驗證。4) 細粒度的訪問控制：訪問數(shù)據(jù)庫的某一特定用戶不應該看到所有數(shù)據(jù)，而只能看到他可以看的那些數(shù)據(jù)，比如說某張表的某些記錄的某些字段值，訪問控制需要細化。那么機密性的控制是怎樣進行實施呢？通常在數(shù)據(jù)庫里保證數(shù)據(jù)機密的過程：1) 驗證：驗證用戶的身份是否合法2) 授權：確定用戶的權限3) 訪問控制：根據(jù)用戶的權限，限制用戶對物理數(shù)據(jù)的訪問比如： 如果 Smith 訪問數(shù)據(jù)庫，那么驗證將確定他是否是合法的用戶，而非冒名頂替者；授權將確定他是以產(chǎn)品經(jīng)理的身份登錄數(shù)據(jù)庫；訪問控制將基于產(chǎn)品經(jīng)理的權限對他的會話進行數(shù)據(jù)訪問控制。數(shù)據(jù)完整性數(shù)據(jù)完整性要求：(1) 數(shù)據(jù)是合法有效的；(2) 數(shù)據(jù)不能被惡意刪除和修改；(3) 數(shù)據(jù)之間的依賴關系必須保證。數(shù)據(jù)在數(shù)據(jù)庫中和在網(wǎng)絡傳輸中，完整性涉及到下面幾個方面：1) 系統(tǒng)和對象權限控制對表的訪問，這樣只有授權用戶才可以改變數(shù)據(jù)。2) 約束能保證數(shù)據(jù)是有效的，比如外鍵約束能保證表之間的數(shù)據(jù)依賴關系。3) 數(shù)據(jù)庫必須能夠免于病毒的攻擊以破壞數(shù)據(jù)。19 / 364) 網(wǎng)絡傳輸必須被保護，以免于惡意刪除、破壞。數(shù)據(jù)和服務的高可用性從安全的角度來看，數(shù)據(jù)和服務的高可用性意味著數(shù)據(jù)和服務對授權用戶是可用的，沒有延遲。惡意的系統(tǒng)攻擊使得授權的用戶不能正常訪問系統(tǒng)。防止惡意的攻擊是一個安全問題。必須有措施能夠阻止惡意的攻擊。在 Oracle 里可以定義 profile 限定用戶使用的資源，這樣系統(tǒng)可以防止惡意用戶消耗過多的內(nèi)存和進程，從而影響到其他人的正常工作。 數(shù)據(jù)安全風險在數(shù)據(jù)庫應用中，數(shù)據(jù)安全面臨著以下威脅：數(shù)據(jù)被篡改通信的私有性對保證數(shù)據(jù)在傳輸過程中不被篡改非常重要。分布式的環(huán)境給惡意攻擊者篡改數(shù)據(jù)帶來了可能。在數(shù)據(jù)篡改的攻擊中，一個未授權的攻擊者對傳輸中的數(shù)據(jù)進行攔截、篡改后，再把數(shù)據(jù)繼續(xù)進行傳輸。比如一個攻擊者把銀行交易的金額從 100 元改為 1000 元，導致交易錯誤。數(shù)據(jù)被竊取數(shù)據(jù)必須能夠安全地存儲和傳輸，因此敏感信息諸如信用卡號、密碼等不會被竊取。但在大多數(shù)網(wǎng)絡中，即使通信通道全部是有線鏈路，未授權用戶也可以用workstation 或者 PC 設法接入網(wǎng)絡以竊聽網(wǎng)絡上的傳輸數(shù)據(jù)。對于所有類型的網(wǎng)絡，包括局域網(wǎng)和廣域網(wǎng)這種數(shù)據(jù)竊聽都有可能。用戶身份被偽造你必須能夠在網(wǎng)絡上確認登錄到系統(tǒng)的用戶就是他本人，而不是冒名頂替者。20 / 36在分布式環(huán)境中，攻擊者很容易偽造身份獲取到敏感重要的信息。你怎么知道從客戶機 B 連到服務器 A 上的用戶 Pat 是真正的 Pat?并且，攻擊者還可以劫持連接。你怎么能夠確認聲稱的客戶機 B 和聲稱的服務器 A 就是真正的客戶機 B 和服務器 A? 偽造身份現(xiàn)已成為網(wǎng)絡安全的最大威脅之一。密碼潛在的問題在大型的系統(tǒng)中，用戶必須記住不同應用和不同服務的多個密碼，他們通常選擇易于猜測的密碼，如姓名、字典里的一個單詞等以方便記住。這些密碼對于攻擊來說是很脆弱的；即使用戶使用了復雜的密碼，他們也會把密碼記下來，使攻擊者容易通過其他途徑找到；并且，由于不同的應用都需要密碼，用戶往往把密碼標準化，不同的應用的密碼略有不同，從一個應用的密碼可以推知另外一個應用的密碼，這樣方便記住。所有這些問題都給安全帶來了威脅。再者，大量用戶賬號和密碼的管理都是復雜、耗時、昂貴的。未經(jīng)授權對表、列存取數(shù)據(jù)庫可能含有機密的表，或者表里可能含有機密的列，這些機密數(shù)據(jù)不應該不加區(qū)分地被所有用戶訪問