【正文】 Oracle9i 增強(qiáng)了用戶和安全策略管理，包括在 LDAP 目錄中管理基于口令的用戶和 VPD 策略同時(shí)可以將 VPD 的應(yīng)用程序上下文外部化并保存在 LDAP 目錄中，以獲得更好的控制和用戶可伸縮性。Oracle Inter Directory 利用了基本 Oracle 數(shù)據(jù)庫(kù)的內(nèi)置的可用性和性能，并提供了目錄項(xiàng)的批量載入、刪除和目錄入口的更新、高速備份和恢復(fù)工具，在不中斷服務(wù)的情況下添加或刪除目錄節(jié)點(diǎn)的能力，以及其它高可用性特性。Oracle Inter Directory 還提供了可配置缺省、客戶和超級(jí)用戶權(quán)限，以便使用戶擁有“最低權(quán)限”— 只是其從事工作所需的權(quán)限。Oracle Inter Directory 的 Access Control List (ACL) 根據(jù)屬性級(jí)別，規(guī)定用戶的訪問(wèn)權(quán)限和允許訪問(wèn)的類型。Oracle Inter Directory 實(shí)現(xiàn)企業(yè)用戶的集中管理，用于管理企業(yè)用戶信息，包括企業(yè)角色和共享方案信息。? ?減少成本— 機(jī)構(gòu)通過(guò)管理 Single Enterprise User 賬號(hào)并一次分配企業(yè)角色，大大節(jié)約了重要資源，完全不用創(chuàng)建多個(gè)用戶賬號(hào)和多個(gè)密碼而每個(gè)密碼擁有多個(gè)認(rèn)證權(quán)。? ?輕松實(shí)施安全性 — 如果用戶更換工作或離職，其權(quán)限可被更改或取消，只需在 Oracle Inter Directory 中改變其用戶項(xiàng)。企業(yè)集中的用戶管理提供了下列優(yōu)勢(shì)：? ?更少的用戶賬號(hào) — 企業(yè)用戶再也不必是數(shù)據(jù)庫(kù)用戶或擁有可識(shí)別的方案。Oracle 的目錄服務(wù)器 Oracle Inter Directory (支持 LDAP 協(xié)議)與 Oracle數(shù)據(jù)庫(kù)全面集成，支持商業(yè)化企業(yè)用戶管理。管理員在目錄中建立企業(yè)用戶的次數(shù)只有一次。管理員只需在目錄中創(chuàng)建企業(yè)用戶，并將用戶“指向”其它企業(yè)用戶同樣能夠訪問(wèn)的共享方案，而不是在每個(gè)用戶需要訪問(wèn)的數(shù)據(jù)庫(kù)中創(chuàng)建用戶賬號(hào)31 / 36（也即用戶方案） 。他們都不需要在數(shù)據(jù)庫(kù)中創(chuàng)建他或她自己的對(duì)象，實(shí)際上，他們只需訪問(wèn) Payroll 對(duì)象。Oracle 提供了高效, 簡(jiǎn)便, 安全的企業(yè)集中用戶管理, 它的功能和特點(diǎn)主要體現(xiàn)在以下幾個(gè)方面:用戶/方案分割用戶不需要在數(shù)據(jù)庫(kù)中擁有其自己的賬號(hào) ― 或自己的方案，他們只需訪問(wèn)應(yīng)用程序方案。Oracle 可實(shí)現(xiàn)在目錄服務(wù)中存儲(chǔ)用戶的整個(gè)定義，以及用戶的角色和權(quán)限。管理員花在管理用戶賬號(hào)的時(shí)間很少，因?yàn)樗麄兡軌蚩缭蕉鄠€(gè)數(shù)據(jù)庫(kù)，對(duì)用戶進(jìn)行集中管理。同時(shí)多個(gè)應(yīng)用程序使用的通用信息，如用戶名、用戶辦公地點(diǎn)和電話號(hào)碼，通?？缭狡髽I(yè)進(jìn)行分割，從而導(dǎo)致數(shù)據(jù)冗余、不一致和管理成本浩大。另一方面企業(yè)必須管理每個(gè)用戶的多個(gè)密碼。 先進(jìn)的用戶和安全策略管理先進(jìn)的用戶和安全策略管理隨著 Inter 的不斷發(fā)展，用戶驗(yàn)證和用戶管理的問(wèn)題已成為企業(yè)安全管理的所面臨的重要問(wèn)題?？梢詮?LDAP 目錄下載 Wallet，以支持移動(dòng)或 “Hot Desked”用30 / 36戶。Oracle Advanced Security 通過(guò)用戶的 Entrust Profile 來(lái)進(jìn)行驗(yàn)證和 Single SignOn，而不是從 Oracle Wallet 處獲得用戶憑證（密鑰和證書） 。Entrust/PKI 包括許多產(chǎn)品，諸如確保用戶 PKI 憑證安全的 Entrust Profile，以及 Entrust 的認(rèn)證產(chǎn)品 Entrust Authority。借助 SSL 部署，所有客戶機(jī)和服務(wù)器，包括數(shù)據(jù)庫(kù)服務(wù)器和應(yīng)用程序服務(wù)器，都具有憑證，以便向與其進(jìn)行通信的所有其它機(jī)器和服務(wù)證實(shí)自己的身份。證書不僅驗(yàn)證客戶機(jī)到服務(wù)器，而且也在服務(wù)器之間進(jìn)行驗(yàn)證。此工具使用戶能夠簡(jiǎn)單、透明地獲得 Single Signon，從而使用證書來(lái)進(jìn)行驗(yàn)證。管理員能夠集中管理有關(guān)應(yīng)用程序和數(shù)據(jù)庫(kù)的 Wallet 信息。Oracle Wallet Manager 可管理 Wallet，并從 Certificate Authority 請(qǐng)求證書。這些憑證可用于驗(yàn)證至多種服務(wù)的用戶，諸如數(shù)據(jù)服務(wù)器和應(yīng)用程序服務(wù)器。因此，在 Oracle 環(huán)境中，客戶機(jī)或服務(wù)器需要通過(guò)一些方法來(lái)存儲(chǔ)這一信息，并將其提供給 SSL，也即 Oracle Wallet。通過(guò)利用 Java 支持，Oracle Advanced Security 確保了 IIOP 連接的安全。它生成無(wú)用數(shù)據(jù)來(lái)保護(hù)數(shù)據(jù)傳輸，并確保數(shù)據(jù)包在傳輸過(guò)程中未被修改或篡改。Triple DES 越來(lái)越廣泛地用于各種機(jī)構(gòu)，如需要強(qiáng)大安全性的銀行和金融機(jī)構(gòu)。SSL 通過(guò)使用密碼組，提供加密和數(shù)據(jù)完整性.Oracle Advanced Security 選項(xiàng) SSL 支持的加密算法是 RCDES 和 Triple DES。SSL 協(xié)議的支持Secure Socket Layer 協(xié)議廣泛用于 Inter 上，以便為用戶提供安全的數(shù)字身份，并避免數(shù)據(jù)竊聽、篡改或偽造。Oracle 的 Digital Certificate 遵循 協(xié)議, 同時(shí) Oracle 環(huán)境中的 Digital Certificate 使用還提供了 Single Sign On，從而使用戶一旦通過(guò)驗(yàn)證，就可以在不提供其它憑證的情況下連接至多個(gè)應(yīng)用程序和數(shù)據(jù)庫(kù)。Public Key Infrastructure 依賴于 證書來(lái)進(jìn)行公鑰驗(yàn)證， 也稱為 Digital Certificate 或公鑰證書。???Public Key 和 Private Key，組成了 PKI 的基礎(chǔ)，支持基于密鑰和與算術(shù)相關(guān)的公鑰的安全通信???Secure Socket Layer (SSL)， 符合安全協(xié)議的 Inter 標(biāo)準(zhǔn)???Certificate Authority (CA)， 作為 Digital Certificate 的可信、獨(dú)立的提供商28 / 36Oracle 數(shù)據(jù)庫(kù)完全支持標(biāo)準(zhǔn)的公共密鑰體系結(jié)構(gòu) (PKI), 除支持 PKI 的主要組成部分還支持其它重要組件為：證書和密鑰的安全存儲(chǔ)、請(qǐng)求證書的管理工具、訪問(wèn) wallet 和管理用戶，以及作為用戶和機(jī)器識(shí)別和驗(yàn)證的集中管理的目錄服務(wù)。 網(wǎng)絡(luò)中的安全——基于標(biāo)準(zhǔn)的公共密鑰體系結(jié)構(gòu) (PKI)標(biāo)準(zhǔn)的 Public Key Infrastructure (PKI) 通過(guò)提供：驗(yàn)證、加密、完整性和認(rèn)可，為安全電子商務(wù)和 Inter 安全性奠定了基礎(chǔ)。此外，Oracle Label Security 還包括一個(gè)復(fù)雜的策略管理工具，以管理策略、標(biāo)簽和用戶標(biāo)簽授權(quán)。在數(shù)據(jù)庫(kù)中強(qiáng)制執(zhí)行 Oracle Label Security，用戶即使繞過(guò)應(yīng)用程序也會(huì)受到標(biāo)簽安全的控制。它將一個(gè)特殊的標(biāo)簽添加到數(shù)據(jù)行中，提供復(fù)雜而靈活的標(biāo)簽安全。Oracle 數(shù)據(jù)庫(kù)中 Virtual Private Database 的功能 —— 細(xì)粒度訪問(wèn)控制和相關(guān)特性安全應(yīng)用程序上下文提供了數(shù)據(jù)訪問(wèn)的高效, 簡(jiǎn)便的安全控制方式。Virtual Private Database 能夠幫助銀行確?？蛻魞H能看到與其賬號(hào)相關(guān)的信息，電信公司客戶管理系統(tǒng)能夠安全地隔離客戶記錄，人力資源應(yīng)用程序能夠支持員工記27 / 36錄的復(fù)雜數(shù)據(jù)訪問(wèn)規(guī)則。 托管環(huán)境的安全Virtual Private DatabaseVirtual Private Database 主要為托管環(huán)境的應(yīng)用系統(tǒng)提供極其安全的環(huán)境。未經(jīng)得到相應(yīng)授權(quán)的使用者如果只有打開數(shù)據(jù)表的權(quán)限而沒(méi)有相應(yīng)的密碼，則只能看到加， 密后的密文。用戶可以使用 PL/SQL 語(yǔ)言或 Oracle Call Interface (OCI)調(diào)用Cryptographic Toolkit 中的加密/解密函數(shù)，編寫加密/ 解密程序，并通過(guò)這些過(guò)程存取敏感數(shù)據(jù)。Oracle Advanced Security 中提供了用于開發(fā)加密應(yīng)用的程序包Cryptographic Toolkit。這是保證數(shù)據(jù)和服務(wù)可用性的措施之一。備用數(shù)據(jù)庫(kù)備用數(shù)據(jù)庫(kù)是生產(chǎn)數(shù)據(jù)庫(kù)的拷貝，生產(chǎn)數(shù)據(jù)庫(kù)產(chǎn)生的日志被傳送和應(yīng)用到備用數(shù)據(jù)庫(kù)，以使備用數(shù)據(jù)庫(kù)和生產(chǎn)數(shù)據(jù)庫(kù)保持同步，當(dāng)生產(chǎn)數(shù)據(jù)庫(kù)出現(xiàn)故障，DBA 可以把系統(tǒng)切換到備用數(shù)據(jù)庫(kù)，提高數(shù)據(jù)和服務(wù)的可用性。對(duì)提供數(shù)據(jù)訪問(wèn)機(jī)密性有益。以此可以檢測(cè)異常或可疑用戶的操作，以及未授權(quán)的訪問(wèn)。審計(jì)審計(jì)分為數(shù)據(jù)庫(kù)標(biāo)準(zhǔn)審計(jì)和細(xì)粒度審計(jì)。安全應(yīng)用角色安全應(yīng)用角色阻止用戶繞過(guò)應(yīng)用業(yè)務(wù)邏輯直接訪問(wèn)數(shù)據(jù)，安全應(yīng)用角色通25 / 36過(guò)使用包（package）來(lái)激活，加強(qiáng)了數(shù)據(jù)的安全性。如：你可以授予 A 用戶執(zhí)行用戶 B 的存儲(chǔ)過(guò)程的權(quán)限，通過(guò)執(zhí)行用戶 B 的存儲(chǔ)過(guò)程修改一張表，但不授權(quán)給用戶 A 直接訪問(wèn)數(shù)據(jù)庫(kù)修改這張表，這樣可以加強(qiáng)對(duì)數(shù)據(jù)的存取訪問(wèn)控制。角色和權(quán)限的有效管理是保證數(shù)據(jù)機(jī)密性的措施之一。數(shù)據(jù)庫(kù)管理員只需一條 GRANT 命令，就可以授權(quán)用戶運(yùn)行整個(gè)應(yīng)用。基于角色的安全性管理機(jī)制，可以給一組數(shù)據(jù)庫(kù)權(quán)限命名。密碼的有效管理可以加強(qiáng)數(shù)據(jù)訪問(wèn)的機(jī)密性。24 / 36密碼管理限制用戶不可使用簡(jiǎn)單的密碼。以下是各種安全風(fēng)險(xiǎn)——需使用的安全技術(shù)——Oracle 提供的產(chǎn)品和特征的對(duì)應(yīng)矩陣：安全風(fēng)險(xiǎn) 解決之道 安全技術(shù) Oracle 提供的產(chǎn)品和特征未驗(yàn)證用戶 確認(rèn)用戶身份驗(yàn)證技術(shù) Oracle9i Standard Edition, and Oracle9i Enterprise Edition：密碼及密碼管理Oracle Advanced Security: Tokens, 智能卡, Kerberos, 等PKI: Certificates限制數(shù)據(jù)存取訪問(wèn)控制技術(shù) Oracle9i Standard Edition Oracle9i Enterprise Edition: Virtual Private Database feature動(dòng)態(tài)查詢修改細(xì)粒度的訪問(wèn)控制技術(shù)Oracle9i Enterprise Edition: Virtual Private Database feature限制存取數(shù)據(jù)行和列基于標(biāo)簽的訪問(wèn)控制技術(shù)Oracle Label Security加密存儲(chǔ)數(shù)據(jù)存儲(chǔ)數(shù)據(jù)加密技術(shù)Oracle9i Standard Edition, and Oracle9i Enterprise Edition未授權(quán)的數(shù)據(jù)存取限制權(quán)限 權(quán)限管理技術(shù) Oracle9i Standard Edition: 角色,權(quán)限Oracle9i Enterprise Edition: Secure Application RolesOracle Advanced Security: Enterprise Roles網(wǎng)絡(luò)數(shù)據(jù)偵聽、竊取保護(hù)網(wǎng)絡(luò) 網(wǎng)絡(luò)加密技術(shù) Oracle Advanced Security: Encryption數(shù)據(jù)破壞 保護(hù)網(wǎng)絡(luò) 數(shù)據(jù)完整性技術(shù) Oracle Advanced Security: Checksumming大量的惡意訪問(wèn)攻擊導(dǎo)致的服務(wù)停頓控制使用的資源可用性技術(shù) Oracle9i Standard Edition and Oracle9i Enterprise Edition: User Profiles多個(gè)應(yīng)用多個(gè)密碼用戶管理密碼復(fù)雜限制密碼的個(gè)數(shù)Single sign on Oracle Advanced Security: Kerberos, DCE, Enterprise User Security管理員管理賬號(hào)密碼復(fù)雜集中管理 企業(yè)用戶安全技術(shù)Login Server: WebBased Single SignOnOracle Advanced Security: 23 / 36Directory Integration缺乏跟蹤 監(jiān)控用戶的行為審計(jì) Oracle9i Standard Edition: Auditing Oracle9i Enterprise Edition: Standard Auditing, FineGrained Auditing數(shù)據(jù)存取缺乏嚴(yán)格控制動(dòng)態(tài)查詢修改細(xì)粒度的訪問(wèn)控制技術(shù)Oracle9i Enterprise Edition: Virtual Private DatabaseOracle Label Security太多的賬號(hào) 集中管理 目錄服務(wù)，與LDAP 兼容的目錄服務(wù)Orac