【正文】 le Inter Directory操作系統(tǒng)突入加密敏感數(shù)據(jù)存儲(chǔ)數(shù)據(jù)加密技術(shù)Oracle9i Standard Edition and Oracle9i Enterprise Edition: Data encryption Oracle9i 安全解決方案 – 提供端到端的安全體系結(jié)構(gòu)Oracle9i 繼續(xù)提供業(yè)界最安全的應(yīng)用程序開(kāi)發(fā)和部署平臺(tái),有力地保護(hù)數(shù)據(jù)和服務(wù)安全，確保正確的人能夠及時(shí)地存取到正確的數(shù)據(jù)。另外，對(duì) ASP 來(lái)說(shuō)為多個(gè)應(yīng)用預(yù)定者創(chuàng)建不同的數(shù)據(jù)庫(kù)不是一個(gè)節(jié)省成本的方法，這種分散的數(shù)據(jù)庫(kù)模型既使技術(shù)可行，但很快就變得不可管理，有效的辦法是一次應(yīng)用和數(shù)據(jù)庫(kù)安裝可以為多個(gè)公司提供服務(wù)，集中管理。多系統(tǒng)在單個(gè)系統(tǒng)上管理數(shù)以千計(jì)的用戶(hù)已經(jīng)很困難了，在多個(gè)系統(tǒng)上就更為復(fù)雜。復(fù)雜的用戶(hù)管理系統(tǒng)經(jīng)常需要支持?jǐn)?shù)以百計(jì)或數(shù)以千計(jì)的用戶(hù)，必須能夠很方便地?cái)U(kuò)展。21 / 36缺乏有效的跟蹤、監(jiān)控機(jī)制如果系統(tǒng)管理員不能跟蹤用戶(hù)的行為，則用戶(hù)對(duì)他們的行為不會(huì)負(fù)責(zé)任。這些限制可以通過(guò)應(yīng)用強(qiáng)加上去，但是如果用戶(hù)繞過(guò)應(yīng)用，直接訪問(wèn)數(shù)據(jù)庫(kù)，就會(huì)有數(shù)據(jù)機(jī)密性的風(fēng)險(xiǎn)。未經(jīng)授權(quán)對(duì)行存取有一些數(shù)據(jù)行可能含有機(jī)密的信息，這些機(jī)密的數(shù)據(jù)行不應(yīng)該不加區(qū)分地被能訪問(wèn)該表的所有用戶(hù)訪問(wèn)，應(yīng)該有更細(xì)粒度的安全控制保證數(shù)據(jù)的機(jī)密性。未經(jīng)授權(quán)對(duì)表、列存取數(shù)據(jù)庫(kù)可能含有機(jī)密的表，或者表里可能含有機(jī)密的列，這些機(jī)密數(shù)據(jù)不應(yīng)該不加區(qū)分地被所有用戶(hù)訪問(wèn)。所有這些問(wèn)題都給安全帶來(lái)了威脅。密碼潛在的問(wèn)題在大型的系統(tǒng)中，用戶(hù)必須記住不同應(yīng)用和不同服務(wù)的多個(gè)密碼，他們通常選擇易于猜測(cè)的密碼，如姓名、字典里的一個(gè)單詞等以方便記住。你怎么知道從客戶(hù)機(jī) B 連到服務(wù)器 A 上的用戶(hù) Pat 是真正的 Pat?并且，攻擊者還可以劫持連接。用戶(hù)身份被偽造你必須能夠在網(wǎng)絡(luò)上確認(rèn)登錄到系統(tǒng)的用戶(hù)就是他本人，而不是冒名頂替者。但在大多數(shù)網(wǎng)絡(luò)中，即使通信通道全部是有線鏈路，未授權(quán)用戶(hù)也可以用workstation 或者 PC 設(shè)法接入網(wǎng)絡(luò)以竊聽(tīng)網(wǎng)絡(luò)上的傳輸數(shù)據(jù)。比如一個(gè)攻擊者把銀行交易的金額從 100 元改為 1000 元，導(dǎo)致交易錯(cuò)誤。分布式的環(huán)境給惡意攻擊者篡改數(shù)據(jù)帶來(lái)了可能。在 Oracle 里可以定義 profile 限定用戶(hù)使用的資源，這樣系統(tǒng)可以防止惡意用戶(hù)消耗過(guò)多的內(nèi)存和進(jìn)程，從而影響到其他人的正常工作。防止惡意的攻擊是一個(gè)安全問(wèn)題。數(shù)據(jù)和服務(wù)的高可用性從安全的角度來(lái)看，數(shù)據(jù)和服務(wù)的高可用性意味著數(shù)據(jù)和服務(wù)對(duì)授權(quán)用戶(hù)是可用的，沒(méi)有延遲。3) 數(shù)據(jù)庫(kù)必須能夠免于病毒的攻擊以破壞數(shù)據(jù)。數(shù)據(jù)在數(shù)據(jù)庫(kù)中和在網(wǎng)絡(luò)傳輸中，完整性涉及到下面幾個(gè)方面：1) 系統(tǒng)和對(duì)象權(quán)限控制對(duì)表的訪問(wèn)，這樣只有授權(quán)用戶(hù)才可以改變數(shù)據(jù)。那么機(jī)密性的控制是怎樣進(jìn)行實(shí)施呢？通常在數(shù)據(jù)庫(kù)里保證數(shù)據(jù)機(jī)密的過(guò)程：1) 驗(yàn)證：驗(yàn)證用戶(hù)的身份是否合法2) 授權(quán)：確定用戶(hù)的權(quán)限3) 訪問(wèn)控制：根據(jù)用戶(hù)的權(quán)限，限制用戶(hù)對(duì)物理數(shù)據(jù)的訪問(wèn)比如： 如果 Smith 訪問(wèn)數(shù)據(jù)庫(kù)，那么驗(yàn)證將確定他是否是合法的用戶(hù)，而非冒名頂替者；授權(quán)將確定他是以產(chǎn)品經(jīng)理的身份登錄數(shù)據(jù)庫(kù)；訪問(wèn)控制將基于產(chǎn)品經(jīng)理的權(quán)限對(duì)他的會(huì)話進(jìn)行數(shù)據(jù)訪問(wèn)控制。怎樣確定連上來(lái)的用戶(hù)就是他聲稱(chēng)的那個(gè)人，需要對(duì)用戶(hù)的真實(shí)身份進(jìn)行驗(yàn)證。2) 敏感數(shù)據(jù)的安全存儲(chǔ)：一旦機(jī)密數(shù)據(jù)存放在數(shù)據(jù)庫(kù)，它的完整性和私有性必須得到保護(hù)?；镜臄?shù)據(jù)安全需求有下面三方面：? 數(shù)據(jù)機(jī)密性? 數(shù)據(jù)完整性? 數(shù)據(jù)可訪問(wèn)18 / 36數(shù)據(jù)機(jī)密性一個(gè)安全的系統(tǒng)需保證數(shù)據(jù)的機(jī)密性，這意味著只能讓合法的用戶(hù)看到他該看到的數(shù)據(jù)。借助 Oracle9i、Oracle9i Advanced Security 和 Oracle Label Security 的功能，管理員和集成商能夠克服這些 Inter 安全性挑戰(zhàn)，Oracle 為基于 Inter 的企業(yè)范圍應(yīng)用解決方案提供了極其安全的環(huán)境。合作伙伴必須能夠看到某些有限的數(shù)據(jù)，員工能夠?yàn)g覽公司機(jī)密信息，而客戶(hù)只能看到與其相關(guān)的信息； 同時(shí) Inter 的發(fā)展使企業(yè)級(jí)應(yīng)用系統(tǒng)的用戶(hù)數(shù)量呈指數(shù)級(jí)增長(zhǎng), 為企業(yè)級(jí)的用戶(hù)管理帶來(lái)了挑戰(zhàn)。然而，這些新的商業(yè)運(yùn)作模式為它們帶來(lái)了機(jī)遇同時(shí)也帶來(lái)了各種挑戰(zhàn)。安全性漸漸從內(nèi)部集成解決方案組轉(zhuǎn)變成了電子商務(wù)實(shí)施的主要必需條件。詳細(xì)的配置舉例可見(jiàn)： Note 17 / 36第四章 附錄：數(shù)據(jù)庫(kù)安全問(wèn)題及解決方案 數(shù)據(jù)庫(kù)安全問(wèn)題電子商務(wù)的流行和 Inter 的普遍性改變了機(jī)構(gòu)運(yùn)營(yíng)商務(wù)的方式、人們進(jìn)行通信的手段。當(dāng)用戶(hù)試圖執(zhí)行一個(gè)任務(wù)，比如從表里查詢(xún)記錄時(shí)，Oracle label security 將校驗(yàn)用戶(hù)的標(biāo)簽和數(shù)據(jù)行的標(biāo)簽是否匹配，以確保從這個(gè)表返回正確的行。Oracle Label Security 是一種特別的 VPD, 通過(guò)它可以創(chuàng)建安全策略，然后透明地設(shè)置 VPD 以實(shí)施該策略，這些過(guò)程通過(guò)內(nèi)建的 package 來(lái)完成，不需要開(kāi)發(fā) PL/SQL 程序，這是相比 VPD 來(lái)說(shuō)的一大好處。創(chuàng)建和配置 VPD 的步驟如下：? 確定數(shù)據(jù)庫(kù)對(duì)象和它們的關(guān)系? 定義安全策略目標(biāo)? 創(chuàng)建應(yīng)用程序上下文? 創(chuàng)建設(shè)置上下文的包? 創(chuàng)建策略函數(shù)? 將策略函數(shù)與表或者視圖相關(guān)聯(lián)VPD 的詳細(xì)信息請(qǐng)參閱everaging9idatabase/Oracle Label Security 為精細(xì)化 (finegrained) 訪問(wèn)控制提供了基于行標(biāo)簽 (row labels) 的復(fù)雜而靈活的安全性。在 VPD 里，仍然需要授予用戶(hù)對(duì)每個(gè)表的適當(dāng)?shù)臋?quán)限，但是你不需要?jiǎng)?chuàng)建視圖和過(guò)程來(lái)防止用戶(hù)訪問(wèn)其他客戶(hù)的數(shù)據(jù)。被安全策略自動(dòng)地加到用戶(hù)的查詢(xún)上的 where 子句確保該銷(xiāo)售代表只16 / 36能查看到他自己的客戶(hù)數(shù)據(jù)，別人的數(shù)據(jù)看不到。如果 customers 表里有一個(gè)相關(guān)的安全策略來(lái)限制銷(xiāo)售代表只能查看自己顧客的信息，這個(gè)查詢(xún)將被自動(dòng)地重寫(xiě)為：select * from customers where sales_rep_id=sys_context(‘hr_context’, ‘sales_id’)。這種安全機(jī)制的原理是從用戶(hù)登錄到數(shù)據(jù)庫(kù)開(kāi)始，預(yù)先為特定用戶(hù)設(shè)定的自定義的安全策略發(fā)生作用，使得當(dāng)用戶(hù)提交一個(gè)查詢(xún)（或 insert,update,delete）時(shí)，自動(dòng)地加上相應(yīng)的 where 子句，這樣細(xì)粒度的訪問(wèn)控制被 Oracle 自動(dòng)實(shí)現(xiàn)和保證，對(duì)用戶(hù)和應(yīng)用透明。為加強(qiáng)安全起見(jiàn)，關(guān)閉遠(yuǎn)程數(shù)據(jù)庫(kù)驗(yàn)證。若無(wú)必要，關(guān)閉該 server:$ cd $ORACLE_HOME/Apache/Apache/bin$ apachectl stop九、關(guān)閉遠(yuǎn)程數(shù)據(jù)庫(kù)驗(yàn)證遠(yuǎn)程數(shù)據(jù)庫(kù)驗(yàn)證只用于當(dāng)你信任客戶(hù)端用戶(hù)時(shí)采用。該參數(shù)為 FALSE, 將阻止具有 ANY 權(quán)限的用戶(hù)訪問(wèn)數(shù)據(jù)字典基表，以有力地保護(hù)數(shù)據(jù)字典。七、數(shù)據(jù)庫(kù)配置：數(shù)據(jù)庫(kù)配置未采用數(shù)據(jù)字典保護(hù)。同時(shí)在 中設(shè)定參數(shù) “UTL_FILE_DIR”使用 UTL_FILE 包的程序確實(shí)需要訪問(wèn)的目錄。如果沒(méi)有用戶(hù)使用，應(yīng)收回普通用戶(hù)對(duì)該包的執(zhí)行權(quán)限。修改口令文件 PROFILE，防止利用空口令或默認(rèn)口令進(jìn)行連接。應(yīng)檢查的用戶(hù)名包括：SCOTT, DBSNMP, TRACESVR, CTXSYS, MDSYS, DEMO, CTXDEMO, APPLSYS, PO8, NAMES, SYSADM, ORDPLUGIN, OUTLN, ADAMS, BLAKE, JONES, CLARK, AURORA$ORB$UNAUTHENTICATED, APPS。刪除用戶(hù)及其所有的數(shù)據(jù)對(duì)象命令：drop user dbuser cascade。選項(xiàng)列出所有被授予了 DBA 角色的用戶(hù)，根據(jù)需要分配用戶(hù)角色，命令：SELECT GRANTEE FROM DBA_ROLE_PRIVS WHERE GRANTED=’DBA’。五、用戶(hù)管理51 過(guò)多的用戶(hù)被授予 DBA 的權(quán)限用命令 SELECT 的39。根據(jù)實(shí)際需要確定要審計(jì)的類(lèi)型，比如，若需知道什么時(shí)候一個(gè)新表被加到數(shù)據(jù)庫(kù)，可通過(guò)下列命令啟用審計(jì)：audit create table by username。DB 表示將審計(jì)記錄寫(xiě)到數(shù)據(jù)庫(kù)的 AUD$表里； OS 表示將審計(jì)記錄寫(xiě)到操作系統(tǒng)文件中，默認(rèn)生成在$ORACLE_HOME/rdbms/audit 目錄，審計(jì)文件也可以用初始化參數(shù) AUDIT_FILE_DEST 另外指定。這種類(lèi)型的審計(jì)是非常有重點(diǎn)的，范圍狹窄。這種類(lèi)型的審計(jì)范圍是中等的。這種類(lèi)型的審計(jì)范圍非常廣。四、對(duì)敏感的數(shù)據(jù)庫(kù)活動(dòng)實(shí)施審計(jì)對(duì)敏感的數(shù)據(jù)庫(kù)活動(dòng)，如刪除表等進(jìn)行審計(jì)。三、安裝最新補(bǔ)丁程序Oracle 雖然具有很高的安全性，但是不可避免還有安全漏洞，一個(gè)比較安全的辦法是時(shí)刻關(guān)注 Oracle 的安全公告，并及時(shí)安裝安全補(bǔ)丁。數(shù)據(jù)庫(kù)監(jiān)聽(tīng)客戶(hù)端 IP 地址的連接記錄，存儲(chǔ)在/$oracle/log/ 文件里，請(qǐng)管理員定期查看和分析該日志文件。檢測(cè)內(nèi)容：? 檢查警告日志文件建議操作：明確關(guān)鍵的數(shù)據(jù)庫(kù)活動(dòng)是否合理：操作結(jié)果：無(wú)12 / 36 特定漏洞加固方法一、 對(duì)傳輸數(shù)據(jù)進(jìn)行加密如果需要對(duì)客戶(hù)端和服務(wù)器端傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以防數(shù)據(jù)竊聽(tīng)，可以修改客戶(hù)端和服務(wù)器端的 文件，對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以避免明文在網(wǎng)絡(luò)上的傳輸。角色是成組的權(quán)限，角色可授給用戶(hù)，這樣就大大簡(jiǎn)化了權(quán)限管理進(jìn)程。11 / 36 可以使用 with grant option 子句向授與用戶(hù)傳遞授權(quán)能力，以便在基對(duì)象上進(jìn)一步授權(quán)。對(duì)表、視圖、序列(以及它們的同義詞) 的訪問(wèn)，加上執(zhí)行過(guò)程、函數(shù)、軟件包及類(lèi)型的能力都可以授權(quán)給用戶(hù)。顯式權(quán)限也可以使用，并且在一些情況下是必須的。檢測(cè)內(nèi)容：? 檢查所有用戶(hù)的權(quán)限? 檢查網(wǎng)絡(luò)的安全建議操作：明確每個(gè)用戶(hù)的權(quán)限級(jí)別歸屬：10 / 36是否有必要 對(duì)象權(quán)限編號(hào)： 008 名稱(chēng)： 對(duì)象權(quán)限 重要等級(jí)： 高基本信息：對(duì)象級(jí)權(quán)限(objectlevel privilege)使用戶(hù)可以訪問(wèn)不屬于自己的數(shù)據(jù)。下表列出了 Oracle 提供的 11 個(gè)系統(tǒng)級(jí)角色。如果用戶(hù)擁有 SYSDBA 權(quán)限，V$PWFILE_USERS 在其 SYSDBA 列中將有一個(gè) TRUE 值；如果擁有 SYSOPER 權(quán)限，將在其 SYSOPER 列中有一個(gè) TRUE 值。被受權(quán)用戶(hù)現(xiàn)在應(yīng)能通過(guò)使用一個(gè)與下述命令類(lèi)似的命令與數(shù)據(jù)庫(kù)連接： connect AS SYSDBA如下面例子所示，可以用 revoke 命令撤消一個(gè)用戶(hù)的 SYSDBA 或 SYSOPER 權(quán)限：revoke SYSDBA from Gee。SYSDBA 授予用戶(hù)數(shù)據(jù)庫(kù)管理員的權(quán)限；SYSOPER 使用戶(hù)能執(zhí)行數(shù)據(jù)庫(kù)操作支持活動(dòng)。2) 將 文件中的 REMOTE_LOGIN_PASSWORDFILE 初始參數(shù)設(shè)置成EXCLUSIVE，關(guān)閉并重新啟動(dòng)數(shù)據(jù)庫(kù)，以便變更的參數(shù)起作用。如果超出口令文件條目數(shù)的范圍限額，就收到一個(gè) ORA1996 錯(cuò)誤。ENTRIES 參數(shù)通知 Oracle，要在口令文件中創(chuàng)建多少條目。ORAPWD FILE=filename PASSWORD=password ENTRIES=max_users ORAPWD 是一個(gè)生成口令文件的 Oracle 實(shí)用程序。如果從遠(yuǎn)程 DBA 用戶(hù)連接數(shù)據(jù)庫(kù)，建議使用口令文件驗(yàn)證。操作結(jié)果：確保登陸安全 口令文件驗(yàn)證編號(hào)： 006 名稱(chēng)： 口令文件驗(yàn)證 重要等級(jí)： 高基本信息：DBA 用戶(hù)可以由操作系統(tǒng)驗(yàn)證。? 對(duì)于服務(wù)器， 把 文件中的 DBLINK_ENCRYPT_LOGIN 參數(shù)設(shè)為 TRUE。對(duì)于 Oracle 及以后，Oracle 默認(rèn)將以加密的形式傳輸輸入的口令，不需另外手工配置。操作結(jié)果：確保口令安全 登陸口令編號(hào)： 005 名稱(chēng)： 登陸口令 重要等級(jí)： 高基本信息：對(duì)于 以前，當(dāng)從一個(gè)客戶(hù)機(jī)連接到數(shù)據(jù)庫(kù)服務(wù)器，或者通過(guò)數(shù)據(jù)庫(kù)鏈接從一個(gè)數(shù)據(jù)庫(kù)連接到另一個(gè)數(shù)據(jù)庫(kù)時(shí)，除非指定其他形式，否則 Oracle 將以非加密的形式傳輸輸8 / 36入的口令。create profile 和 alter profile 命令的PASSWORD_VERIFY_FUNCTION 參數(shù)指定用于評(píng)估口令的函數(shù)名?？梢詮?qiáng)制用戶(hù)的口令符合復(fù)雜度標(biāo)準(zhǔn)。PASSWORD