【文章內(nèi)容簡(jiǎn)介】 狹窄。設(shè)定初始化參數(shù) audit_trail 為 DB 或 OS。DB 表示將審計(jì)記錄寫到數(shù)據(jù)庫的 AUD$表里； OS 表示將審計(jì)記錄寫到操作系統(tǒng)文件中，默認(rèn)生成在$ORACLE_HOME/rdbms/audit 目錄，審計(jì)文件也可以用初始化參數(shù) AUDIT_FILE_DEST 另外指定。啟用審計(jì)在 AUDIT_OPTIONS 表里有 144 個(gè)可以審計(jì)的審計(jì)命令，如：create table, insert, select 等。根據(jù)實(shí)際需要確定要審計(jì)的類型，比如，若需知道什么時(shí)候一個(gè)新表被加到數(shù)據(jù)庫，可通過下列命令啟用審計(jì)：audit create table by username。查詢審計(jì)select * from dba_audit_trail。五、用戶管理51 過多的用戶被授予 DBA 的權(quán)限用命令 SELECT 的39。DBA39。選項(xiàng)列出所有被授予了 DBA 角色的用戶，根據(jù)需要分配用戶角色，命令：SELECT GRANTEE FROM DBA_ROLE_PRIVS WHERE GRANTED=’DBA’。52 存在把權(quán)限授給 PUBLIC 的情況14 / 36刪除不需要的帳號(hào)，比如 SCOTT 等示例用戶；對(duì)于不明確是否能刪除的用戶可以暫時(shí)鎖定該用戶，或賦予非常復(fù)雜的口令。刪除用戶及其所有的數(shù)據(jù)對(duì)象命令：drop user dbuser cascade。取消用戶角色權(quán)限：revoke connect from dbuser。應(yīng)檢查的用戶名包括：SCOTT, DBSNMP, TRACESVR, CTXSYS, MDSYS, DEMO, CTXDEMO, APPLSYS, PO8, NAMES, SYSADM, ORDPLUGIN, OUTLN, ADAMS, BLAKE, JONES, CLARK, AURORA$ORB$UNAUTHENTICATED, APPS。53 連接時(shí)使用空口令。修改口令文件 PROFILE，防止利用空口令或默認(rèn)口令進(jìn)行連接。六、限制 UTL_FILE 的使用與應(yīng)用系統(tǒng)開發(fā)商確認(rèn)是否有用戶需要使用 UTL_FILE 程序包。如果沒有用戶使用，應(yīng)收回普通用戶對(duì)該包的執(zhí)行權(quán)限。如果確實(shí)有用戶需要使用UTL_FILE 包，應(yīng)確保只有確實(shí)需要的用戶才擁有 UTL_FILE 的執(zhí)行權(quán)。同時(shí)在 中設(shè)定參數(shù) “UTL_FILE_DIR”使用 UTL_FILE 包的程序確實(shí)需要訪問的目錄。與應(yīng)用系統(tǒng)開發(fā)商商議，是否可以改變 DB_LINK 的創(chuàng)建方式，在創(chuàng)建 DB_LINK 時(shí)不指定用戶名和口令。七、數(shù)據(jù)庫配置：數(shù)據(jù)庫配置未采用數(shù)據(jù)字典保護(hù)。檢查初始化參數(shù) O7_DICTIONARY_ACCESSIBILITY 是否為 FALSE。該參數(shù)為 FALSE, 將阻止具有 ANY 權(quán)限的用戶訪問數(shù)據(jù)字典基表，以有力地保護(hù)數(shù)據(jù)字典。此參數(shù)的修改需要重啟數(shù)據(jù)庫才能生效.Default:Oracle 8i:TUREOracle9i: FALSE15 / 36八、關(guān)閉 HTTP ServerHTTP Server 用于通過 HTTP 訪問數(shù)據(jù)庫，如 EM 和動(dòng)態(tài)服務(wù)。若無必要，關(guān)閉該 server:$ cd $ORACLE_HOME/Apache/Apache/bin$ apachectl stop九、關(guān)閉遠(yuǎn)程數(shù)據(jù)庫驗(yàn)證遠(yuǎn)程數(shù)據(jù)庫驗(yàn)證只用于當(dāng)你信任客戶端用戶時(shí)采用。這種驗(yàn)證機(jī)制是：用戶在客戶端驗(yàn)證，當(dāng)用戶登錄數(shù)據(jù)庫時(shí)不再需要用服務(wù)器端數(shù)據(jù)庫密碼驗(yàn)證，故稱為遠(yuǎn)程數(shù)據(jù)庫驗(yàn)證。為加強(qiáng)安全起見，關(guān)閉遠(yuǎn)程數(shù)據(jù)庫驗(yàn)證。設(shè)定初始化參數(shù)REMOTE_OS_AUTHENT = FALSE十、實(shí)施 VPD 和 Oracle Label Security如有必要，在普通的數(shù)據(jù)庫安全機(jī)制外，還可實(shí)施另一種新的安全機(jī)制，稱為 VPD（虛擬專用數(shù)據(jù)庫） ，幫助從數(shù)據(jù)庫內(nèi)部提供有效的安全。這種安全機(jī)制的原理是從用戶登錄到數(shù)據(jù)庫開始，預(yù)先為特定用戶設(shè)定的自定義的安全策略發(fā)生作用，使得當(dāng)用戶提交一個(gè)查詢（或 insert,update,delete）時(shí)，自動(dòng)地加上相應(yīng)的 where 子句，這樣細(xì)粒度的訪問控制被 Oracle 自動(dòng)實(shí)現(xiàn)和保證，對(duì)用戶和應(yīng)用透明。例如， 使用以下查詢從數(shù)據(jù)庫里查詢數(shù)據(jù)：select * from customers。如果 customers 表里有一個(gè)相關(guān)的安全策略來限制銷售代表只能查看自己顧客的信息，這個(gè)查詢將被自動(dòng)地重寫為：select * from customers where sales_rep_id=sys_context(‘hr_context’, ‘sales_id’)。比如說，A,B 兩位銷售代表鍵入的是同一條 SQL 語句， select * from customers, 但返回的結(jié)果不同：A 返回的是 select * from orders where sales_rep_id=406, B 返回的是 select * from orders where sales_rep_id=152，也就是說某個(gè)銷售代表只能訪問到他本人的銷售的信息，其他銷售代表的信息則訪問不了。被安全策略自動(dòng)地加到用戶的查詢上的 where 子句確保該銷售代表只16 / 36能查看到他自己的客戶數(shù)據(jù)，別人的數(shù)據(jù)看不到。銷售代表的 ID 從用戶定義的應(yīng)用程序上下文 hr_context 里得到。在 VPD 里，仍然需要授予用戶對(duì)每個(gè)表的適當(dāng)?shù)臋?quán)限，但是你不需要?jiǎng)?chuàng)建視圖和過程來防止用戶訪問其他客戶的數(shù)據(jù)。因此，不必?fù)?dān)心用戶通過SQL*PLUS 等訪問到他們不該訪問的數(shù)據(jù)。創(chuàng)建和配置 VPD 的步驟如下：? 確定數(shù)據(jù)庫對(duì)象和它們的關(guān)系? 定義安全策略目標(biāo)? 創(chuàng)建應(yīng)用程序上下文? 創(chuàng)建設(shè)置上下文的包? 創(chuàng)建策略函數(shù)? 將策略函數(shù)與表或者視圖相關(guān)聯(lián)VPD 的詳細(xì)信息請(qǐng)參閱everaging9idatabase/Oracle Label Security 為精細(xì)化 (finegrained) 訪問控制提供了基于行標(biāo)簽 (row labels) 的復(fù)雜而靈活的安全性。Oracle Label Security 借用政府機(jī)構(gòu)、國(guó)防部門及商業(yè)組織使用的“貼標(biāo)簽” (labeling) 概念來保護(hù)敏感信息并提供數(shù)據(jù)隔離能力。Oracle Label Security 是一種特別的 VPD, 通過它可以創(chuàng)建安全策略，然后透明地設(shè)置 VPD 以實(shí)施該策略，這些過程通過內(nèi)建的 package 來完成，不需要開發(fā) PL/SQL 程序，這是相比 VPD 來說的一大好處。其原理具體來講： 安全管理員對(duì)用戶貼上標(biāo)簽指派級(jí)別和類型，數(shù)據(jù)行也打上標(biāo)簽，指示該數(shù)據(jù)行的級(jí)別和敏感度。當(dāng)用戶試圖執(zhí)行一個(gè)任務(wù)，比如從表里查詢記錄時(shí)，Oracle label security 將校驗(yàn)用戶的標(biāo)簽和數(shù)據(jù)行的標(biāo)簽是否匹配，以確保從這個(gè)表返回正確的行。用戶只能對(duì)數(shù)據(jù)庫里有匹配的訪問標(biāo)簽的行進(jìn)行訪問和交互。詳細(xì)的配置舉例可見： Note 17 / 36第四章 附錄：數(shù)據(jù)庫安全問題及解決方案 數(shù)據(jù)庫安全問題電子商務(wù)的流行和 Inter 的普遍性改變了機(jī)構(gòu)運(yùn)營(yíng)商務(wù)的方式、人們進(jìn)行通信的手段。這些改變帶來了推動(dòng)商業(yè)決策的新技術(shù)。安全性漸漸從內(nèi)部集成解決方案組轉(zhuǎn)變成了電子商務(wù)實(shí)施的主要必需條件。目前世界上很多企業(yè)和機(jī)構(gòu)正在充分利用 Inter，優(yōu)化運(yùn)作，并以相同的方式與供應(yīng)商、合作伙伴、內(nèi)部用戶和客戶直接進(jìn)行通信。然而，這些新的商業(yè)運(yùn)作模式為它們帶來了機(jī)遇同時(shí)也帶來了各種挑戰(zhàn)。不同類別的用戶需要以不同的方式訪問數(shù)據(jù)。合作伙伴必須能夠看到某些有限的數(shù)據(jù)，員工能夠?yàn)g覽公司機(jī)密信息，而客戶只能看到與其相關(guān)的信息； 同時(shí) Inter 的發(fā)展使企業(yè)級(jí)應(yīng)用系統(tǒng)的用戶數(shù)量呈指數(shù)級(jí)增長(zhǎng), 為企業(yè)級(jí)的用戶管理帶來了挑戰(zhàn)。簡(jiǎn)而言之，Inter 時(shí)代安全性的挑戰(zhàn)包括：了解用戶、設(shè)置用戶訪問權(quán)限、對(duì)機(jī)密數(shù)據(jù)進(jìn)行保密、提供安全的網(wǎng)絡(luò)服務(wù)。借助 Oracle9i、Oracle9i Advanced Security 和 Oracle Label Security 的功能，管理員和集成商能夠克服這些 Inter 安全性挑戰(zhàn)，Oracle 為基于 Inter 的企業(yè)范圍應(yīng)用解決方案提供了極其安全的環(huán)境。 數(shù)據(jù)安全基本需求數(shù)據(jù)安全的需求概括來講就是：正確的人能夠及時(shí)地存取到正確的數(shù)據(jù)?；镜臄?shù)據(jù)安全需求有下面三方面：? 數(shù)據(jù)機(jī)密性? 數(shù)據(jù)完整性? 數(shù)據(jù)可訪問18 / 36數(shù)據(jù)機(jī)密性一個(gè)安全的系統(tǒng)需保證數(shù)據(jù)的機(jī)密性，這意味著只能讓合法的用戶看到他該看到的數(shù)據(jù)。機(jī)密性涉及到幾個(gè)方面：1) 數(shù)據(jù)傳輸過程中的保密:在數(shù)據(jù)傳輸過程中不能被非法者偵聽。2) 敏感數(shù)據(jù)的安全存儲(chǔ)：一旦機(jī)密數(shù)據(jù)存放在數(shù)據(jù)庫，它的完整性和私有性必須得到保護(hù)。3) 用戶身份的確定：確保只有合法的用戶才能訪問數(shù)據(jù)。怎樣確定連上來的用戶就是他聲稱的那個(gè)人，需要對(duì)用戶的真實(shí)身份進(jìn)行驗(yàn)證。4) 細(xì)粒度的訪問控制：訪問數(shù)據(jù)庫的某一特定用戶不應(yīng)該看到所有數(shù)據(jù)，而只能看到他可以看的那些數(shù)據(jù)，比如說某張表的某些記錄的某些字段值，訪問控制需要細(xì)化。那么機(jī)密性的控制是怎樣進(jìn)行實(shí)施呢？通常在數(shù)據(jù)庫里保證數(shù)據(jù)機(jī)密的過程：1) 驗(yàn)證：驗(yàn)證用戶的身份是否合法2) 授權(quán)：確定用戶的權(quán)限3) 訪問控制：根據(jù)用戶的權(quán)限，限制用戶對(duì)物理數(shù)據(jù)的訪問比如： 如果 Smith 訪問數(shù)據(jù)庫，那么驗(yàn)證將確定他是否是合法的用戶，而非冒名頂替者；授權(quán)將確定他是以產(chǎn)品經(jīng)理的身份登錄數(shù)據(jù)庫；訪問控制將基于產(chǎn)品經(jīng)理的權(quán)限對(duì)他的會(huì)話進(jìn)行數(shù)據(jù)訪問控制。數(shù)據(jù)完整性數(shù)據(jù)完整性要求：(1) 數(shù)據(jù)是合法有效的；(2) 數(shù)據(jù)不能被惡意刪除和修改；(3) 數(shù)據(jù)之間的依賴關(guān)系必須保證。數(shù)據(jù)在數(shù)據(jù)庫中和在網(wǎng)絡(luò)傳輸中，完整性涉及到下面幾個(gè)方面：1) 系統(tǒng)和對(duì)象權(quán)限控制對(duì)表的訪問，這樣只有授權(quán)用戶才可以改變數(shù)據(jù)。2) 約束能保證數(shù)據(jù)是有效的，比如外鍵約束能保證表之間的數(shù)據(jù)依賴關(guān)系。3) 數(shù)據(jù)庫必須能夠免于病毒的攻擊以破壞數(shù)據(jù)。19 / 364) 網(wǎng)絡(luò)傳輸必須被保護(hù)，以免于惡意刪除、破壞。數(shù)據(jù)和服務(wù)的高可用性從安全的角度來看，數(shù)據(jù)和服務(wù)的高可用性意味著數(shù)據(jù)和服務(wù)對(duì)授權(quán)用戶是可用的，沒有延遲。惡意的系統(tǒng)攻擊使得授權(quán)的用戶不能正常訪問系統(tǒng)。防止惡意的攻擊是一個(gè)安全問題。必須有措施能夠阻止惡意的攻擊。在 Oracle 里可以定義 profile 限定用戶使用的資源，這樣系統(tǒng)可以防止惡意用戶消耗過多的內(nèi)存和進(jìn)程，從而影響到其他人的正常工作。 數(shù)據(jù)安全風(fēng)險(xiǎn)在數(shù)據(jù)庫應(yīng)用中，數(shù)據(jù)安全面臨著以下威脅：數(shù)據(jù)被篡改通信的私有性對(duì)保證數(shù)據(jù)在傳輸過程中不被篡改非常重要。分布式的環(huán)境給惡意攻擊者篡改數(shù)據(jù)帶來了可能。在數(shù)據(jù)篡改的攻擊中，一個(gè)未授權(quán)的攻擊者對(duì)傳輸中的數(shù)據(jù)進(jìn)行攔截、篡改后，再把數(shù)據(jù)繼續(xù)進(jìn)行傳輸。比如一個(gè)攻擊者把銀行交易的金額從 100 元改為 1000 元，導(dǎo)致交易錯(cuò)誤。數(shù)據(jù)被竊取數(shù)據(jù)必須能夠安全地存儲(chǔ)和傳輸，因此敏感信息諸如信用卡號(hào)、密碼等不會(huì)被竊取。但在大多數(shù)網(wǎng)絡(luò)中，即使通信通道全部是有線鏈路，未授權(quán)用戶也可以用workstation 或者 PC 設(shè)法接入網(wǎng)絡(luò)以竊聽網(wǎng)絡(luò)上的傳輸數(shù)據(jù)。對(duì)于所有類型的網(wǎng)絡(luò)，包括局域網(wǎng)和廣域網(wǎng)這種數(shù)據(jù)竊聽都有可能。用戶身份被偽造你必須能夠在網(wǎng)絡(luò)上確認(rèn)登錄到系統(tǒng)的用戶就是他本人，而不是冒名頂替者。20 / 36在分布式環(huán)境中，攻擊者很容易偽造身份獲取到敏感重要的信息。你怎么知道從客戶機(jī) B 連到服務(wù)器 A 上的用戶 Pat 是真正的 Pat?并且，攻擊者還可以劫持連接。你怎么能夠確認(rèn)聲稱的客戶機(jī) B 和聲稱的服務(wù)器 A 就是真正的客戶機(jī) B 和服務(wù)器 A? 偽造身份現(xiàn)已成為網(wǎng)絡(luò)安全的最大威脅之一。密碼潛在的問題在大型的系統(tǒng)中，用戶必須記住不同應(yīng)用和不同服務(wù)的多個(gè)密碼，他們通常選擇易于猜測(cè)的密碼，如姓名、字典里的一個(gè)單詞等以方便記住。這些密碼對(duì)于攻擊來說是很脆弱的；即使用戶使用了復(fù)雜的密碼，他們也會(huì)把密碼記下來，使攻擊者容易通過其他途徑找到；并且，由于不同的應(yīng)用都需要密碼，用戶往往把密碼標(biāo)準(zhǔn)化，不同的應(yīng)用的密碼略有不同，從一個(gè)應(yīng)用的密碼可以推知另外一個(gè)應(yīng)用的密碼，這樣方便記住。所有這些問題都給安全帶來了威脅。再者，大量用戶賬號(hào)和密碼的管理都是復(fù)雜、耗時(shí)、昂貴的。未經(jīng)授權(quán)對(duì)表、列存取數(shù)據(jù)庫可能含有機(jī)密的表，或者表里可能含有機(jī)密的列，這些機(jī)密數(shù)據(jù)不應(yīng)該不加區(qū)分地被所有用戶訪問