【正文】 Oracle Inter Directory操作系統(tǒng)突入加密敏感數(shù)據(jù)存儲(chǔ)數(shù)據(jù)加密技術(shù)Oracle9i Standard Edition and Oracle9i Enterprise Edition: Data encryption Oracle9i 安全解決方案 – 提供端到端的安全體系結(jié)構(gòu)Oracle9i 繼續(xù)提供業(yè)界最安全的應(yīng)用程序開發(fā)和部署平臺(tái),有力地保護(hù)數(shù)據(jù)和服務(wù)安全，確保正確的人能夠及時(shí)地存取到正確的數(shù)據(jù)。另外，對 ASP 來說為多個(gè)應(yīng)用預(yù)定者創(chuàng)建不同的數(shù)據(jù)庫不是一個(gè)節(jié)省成本的方法，這種分散的數(shù)據(jù)庫模型既使技術(shù)可行，但很快就變得不可管理，有效的辦法是一次應(yīng)用和數(shù)據(jù)庫安裝可以為多個(gè)公司提供服務(wù)，集中管理。多系統(tǒng)在單個(gè)系統(tǒng)上管理數(shù)以千計(jì)的用戶已經(jīng)很困難了，在多個(gè)系統(tǒng)上就更為復(fù)雜。復(fù)雜的用戶管理系統(tǒng)經(jīng)常需要支持?jǐn)?shù)以百計(jì)或數(shù)以千計(jì)的用戶，必須能夠很方便地?cái)U(kuò)展。21 / 36缺乏有效的跟蹤、監(jiān)控機(jī)制如果系統(tǒng)管理員不能跟蹤用戶的行為，則用戶對他們的行為不會(huì)負(fù)責(zé)任。這些限制可以通過應(yīng)用強(qiáng)加上去，但是如果用戶繞過應(yīng)用，直接訪問數(shù)據(jù)庫，就會(huì)有數(shù)據(jù)機(jī)密性的風(fēng)險(xiǎn)。未經(jīng)授權(quán)對行存取有一些數(shù)據(jù)行可能含有機(jī)密的信息，這些機(jī)密的數(shù)據(jù)行不應(yīng)該不加區(qū)分地被能訪問該表的所有用戶訪問，應(yīng)該有更細(xì)粒度的安全控制保證數(shù)據(jù)的機(jī)密性。未經(jīng)授權(quán)對表、列存取數(shù)據(jù)庫可能含有機(jī)密的表，或者表里可能含有機(jī)密的列，這些機(jī)密數(shù)據(jù)不應(yīng)該不加區(qū)分地被所有用戶訪問。所有這些問題都給安全帶來了威脅。密碼潛在的問題在大型的系統(tǒng)中，用戶必須記住不同應(yīng)用和不同服務(wù)的多個(gè)密碼，他們通常選擇易于猜測的密碼，如姓名、字典里的一個(gè)單詞等以方便記住。你怎么知道從客戶機(jī) B 連到服務(wù)器 A 上的用戶 Pat 是真正的 Pat?并且，攻擊者還可以劫持連接。用戶身份被偽造你必須能夠在網(wǎng)絡(luò)上確認(rèn)登錄到系統(tǒng)的用戶就是他本人，而不是冒名頂替者。但在大多數(shù)網(wǎng)絡(luò)中，即使通信通道全部是有線鏈路，未授權(quán)用戶也可以用workstation 或者 PC 設(shè)法接入網(wǎng)絡(luò)以竊聽網(wǎng)絡(luò)上的傳輸數(shù)據(jù)。比如一個(gè)攻擊者把銀行交易的金額從 100 元改為 1000 元，導(dǎo)致交易錯(cuò)誤。分布式的環(huán)境給惡意攻擊者篡改數(shù)據(jù)帶來了可能。在 Oracle 里可以定義 profile 限定用戶使用的資源，這樣系統(tǒng)可以防止惡意用戶消耗過多的內(nèi)存和進(jìn)程，從而影響到其他人的正常工作。防止惡意的攻擊是一個(gè)安全問題。數(shù)據(jù)和服務(wù)的高可用性從安全的角度來看，數(shù)據(jù)和服務(wù)的高可用性意味著數(shù)據(jù)和服務(wù)對授權(quán)用戶是可用的，沒有延遲。3) 數(shù)據(jù)庫必須能夠免于病毒的攻擊以破壞數(shù)據(jù)。數(shù)據(jù)在數(shù)據(jù)庫中和在網(wǎng)絡(luò)傳輸中，完整性涉及到下面幾個(gè)方面：1) 系統(tǒng)和對象權(quán)限控制對表的訪問，這樣只有授權(quán)用戶才可以改變數(shù)據(jù)。那么機(jī)密性的控制是怎樣進(jìn)行實(shí)施呢？通常在數(shù)據(jù)庫里保證數(shù)據(jù)機(jī)密的過程：1) 驗(yàn)證：驗(yàn)證用戶的身份是否合法2) 授權(quán)：確定用戶的權(quán)限3) 訪問控制：根據(jù)用戶的權(quán)限，限制用戶對物理數(shù)據(jù)的訪問比如： 如果 Smith 訪問數(shù)據(jù)庫，那么驗(yàn)證將確定他是否是合法的用戶，而非冒名頂替者；授權(quán)將確定他是以產(chǎn)品經(jīng)理的身份登錄數(shù)據(jù)庫；訪問控制將基于產(chǎn)品經(jīng)理的權(quán)限對他的會(huì)話進(jìn)行數(shù)據(jù)訪問控制。怎樣確定連上來的用戶就是他聲稱的那個(gè)人，需要對用戶的真實(shí)身份進(jìn)行驗(yàn)證。2) 敏感數(shù)據(jù)的安全存儲(chǔ)：一旦機(jī)密數(shù)據(jù)存放在數(shù)據(jù)庫，它的完整性和私有性必須得到保護(hù)。基本的數(shù)據(jù)安全需求有下面三方面：? 數(shù)據(jù)機(jī)密性? 數(shù)據(jù)完整性? 數(shù)據(jù)可訪問18 / 36數(shù)據(jù)機(jī)密性一個(gè)安全的系統(tǒng)需保證數(shù)據(jù)的機(jī)密性，這意味著只能讓合法的用戶看到他該看到的數(shù)據(jù)。借助 Oracle9i、Oracle9i Advanced Security 和 Oracle Label Security 的功能，管理員和集成商能夠克服這些 Inter 安全性挑戰(zhàn)，Oracle 為基于 Inter 的企業(yè)范圍應(yīng)用解決方案提供了極其安全的環(huán)境。合作伙伴必須能夠看到某些有限的數(shù)據(jù)，員工能夠?yàn)g覽公司機(jī)密信息，而客戶只能看到與其相關(guān)的信息； 同時(shí) Inter 的發(fā)展使企業(yè)級應(yīng)用系統(tǒng)的用戶數(shù)量呈指數(shù)級增長, 為企業(yè)級的用戶管理帶來了挑戰(zhàn)。然而，這些新的商業(yè)運(yùn)作模式為它們帶來了機(jī)遇同時(shí)也帶來了各種挑戰(zhàn)。安全性漸漸從內(nèi)部集成解決方案組轉(zhuǎn)變成了電子商務(wù)實(shí)施的主要必需條件。詳細(xì)的配置舉例可見：， Note 17 / 36第四章 附錄：數(shù)據(jù)庫安全問題及解決方案 數(shù)據(jù)庫安全問題電子商務(wù)的流行和 Inter 的普遍性改變了機(jī)構(gòu)運(yùn)營商務(wù)的方式、人們進(jìn)行通信的手段。當(dāng)用戶試圖執(zhí)行一個(gè)任務(wù)，比如從表里查詢記錄時(shí)，Oracle label security 將校驗(yàn)用戶的標(biāo)簽和數(shù)據(jù)行的標(biāo)簽是否匹配，以確保從這個(gè)表返回正確的行。Oracle Label Security 是一種特別的 VPD, 通過它可以創(chuàng)建安全策略，然后透明地設(shè)置 VPD 以實(shí)施該策略，這些過程通過內(nèi)建的 package 來完成，不需要開發(fā) PL/SQL 程序，這是相比 VPD 來說的一大好處。創(chuàng)建和配置 VPD 的步驟如下：? 確定數(shù)據(jù)庫對象和它們的關(guān)系? 定義安全策略目標(biāo)? 創(chuàng)建應(yīng)用程序上下文? 創(chuàng)建設(shè)置上下文的包? 創(chuàng)建策略函數(shù)? 將策略函數(shù)與表或者視圖相關(guān)聯(lián)VPD 的詳細(xì)信息請參閱Oracle Label Security 為精細(xì)化 (finegrained) 訪問控制提供了基于行標(biāo)簽 (row labels) 的復(fù)雜而靈活的安全性。在 VPD 里，仍然需要授予用戶對每個(gè)表的適當(dāng)?shù)臋?quán)限，但是你不需要?jiǎng)?chuàng)建視圖和過程來防止用戶訪問其他客戶的數(shù)據(jù)。被安全策略自動(dòng)地加到用戶的查詢上的 where 子句確保該銷售代表只16 / 36能查看到他自己的客戶數(shù)據(jù)，別人的數(shù)據(jù)看不到。如果 customers 表里有一個(gè)相關(guān)的安全策略來限制銷售代表只能查看自己顧客的信息，這個(gè)查詢將被自動(dòng)地重寫為：select * from customers where sales_rep_id=sys_context(‘hr_context’, ‘sales_id’)。這種安全機(jī)制的原理是從用戶登錄到數(shù)據(jù)庫開始，預(yù)先為特定用戶設(shè)定的自定義的安全策略發(fā)生作用，使得當(dāng)用戶提交一個(gè)查詢（或 insert,update,delete）時(shí)，自動(dòng)地加上相應(yīng)的 where 子句，這樣細(xì)粒度的訪問控制被 Oracle 自動(dòng)實(shí)現(xiàn)和保證，對用戶和應(yīng)用透明。為加強(qiáng)安全起見，關(guān)閉遠(yuǎn)程數(shù)據(jù)庫驗(yàn)證。若無必要，關(guān)閉該 server:$ cd $ORACLE_HOME/Apache/Apache/bin$ apachectl stop九、關(guān)閉遠(yuǎn)程數(shù)據(jù)庫驗(yàn)證遠(yuǎn)程數(shù)據(jù)庫驗(yàn)證只用于當(dāng)你信任客戶端用戶時(shí)采用。該參數(shù)為 FALSE, 將阻止具有 ANY 權(quán)限的用戶訪問數(shù)據(jù)字典基表，以有力地保護(hù)數(shù)據(jù)字典。七、數(shù)據(jù)庫配置：數(shù)據(jù)庫配置未采用數(shù)據(jù)字典保護(hù)。同時(shí)在 中設(shè)定參數(shù) “UTL_FILE_DIR”使用 UTL_FILE 包的程序確實(shí)需要訪問的目錄。如果沒有用戶使用，應(yīng)收回普通用戶對該包的執(zhí)行權(quán)限。修改口令文件 PROFILE，防止利用空口令或默認(rèn)口令進(jìn)行連接。應(yīng)檢查的用戶名包括：SCOTT, DBSNMP, TRACESVR, CTXSYS, MDSYS, DEMO, CTXDEMO, APPLSYS, PO8, NAMES, SYSADM, ORDPLUGIN, OUTLN, ADAMS, BLAKE, JONES, CLARK, AURORA$ORB$UNAUTHENTICATED, APPS。刪除用戶及其所有的數(shù)據(jù)對象命令：drop user dbuser cascade。選項(xiàng)列出所有被授予了 DBA 角色的用戶，根據(jù)需要分配用戶角色，命令：SELECT GRANTEE FROM DBA_ROLE_PRIVS WHERE GRANTED=’DBA’。五、用戶管理51 過多的用戶被授予 DBA 的權(quán)限用命令 SELECT 的39。根據(jù)實(shí)際需要確定要審計(jì)的類型，比如，若需知道什么時(shí)候一個(gè)新表被加到數(shù)據(jù)庫，可通過下列命令啟用審計(jì)：audit create table by username。DB 表示將審計(jì)記錄寫到數(shù)據(jù)庫的 AUD$表里； OS 表示將審計(jì)記錄寫到操作系統(tǒng)文件中，默認(rèn)生成在$ORACLE_HOME/rdbms/audit 目錄，審計(jì)文件也可以用初始化參數(shù) AUDIT_FILE_DEST 另外指定。這種類型的審計(jì)是非常有重點(diǎn)的，范圍狹窄。這種類型的審計(jì)范圍是中等的。這種類型的審計(jì)范圍非常廣。四、對敏感的數(shù)據(jù)庫活動(dòng)實(shí)施審計(jì)對敏感的數(shù)據(jù)庫活動(dòng)，如刪除表等進(jìn)行審計(jì)。三、安裝最新補(bǔ)丁程序Oracle 雖然具有很高的安全性，但是不可避免還有安全漏洞，一個(gè)比較安全的辦法是時(shí)刻關(guān)注 Oracle 的安全公告，并及時(shí)安裝安全補(bǔ)丁。數(shù)據(jù)庫監(jiān)聽客戶端 IP 地址的連接記錄，存儲(chǔ)在/$oracle/log/ 文件里，請管理員定期查看和分析該日志文件。檢測內(nèi)容：? 檢查警告日志文件建議操作：明確關(guān)鍵的數(shù)據(jù)庫活動(dòng)是否合理：操作結(jié)果：無12 / 36 特定漏洞加固方法一、 對傳輸數(shù)據(jù)進(jìn)行加密如果需要對客戶端和服務(wù)器端傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以防數(shù)據(jù)竊聽，可以修改客戶端和服務(wù)器端的 文件，對傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以避免明文在網(wǎng)絡(luò)上的傳輸。角色是成組的權(quán)限，角色可授給用戶，這樣就大大簡化了權(quán)限管理進(jìn)程。11 / 36 可以使用 with grant option 子句向授與用戶傳遞授權(quán)能力，以便在基對象上進(jìn)一步授權(quán)。對表、視圖、序列(以及它們的同義詞) 的訪問，加上執(zhí)行過程、函數(shù)、軟件包及類型的能力都可以授權(quán)給用戶。顯式權(quán)限也可以使用，并且在一些情況下是必須的。檢測內(nèi)容：? 檢查所有用戶的權(quán)限? 檢查網(wǎng)絡(luò)的安全建議操作：明確每個(gè)用戶的權(quán)限級別歸屬：10 / 36是否有必要 對象權(quán)限編號(hào)： 008 名稱： 對象權(quán)限 重要等級： 高基本信息：對象級權(quán)限(objectlevel privilege)使用戶可以訪問不屬于自己的數(shù)據(jù)。下表列出了 Oracle 提供的 11 個(gè)系統(tǒng)級角色。如果用戶擁有 SYSDBA 權(quán)限，V$PWFILE_USERS 在其 SYSDBA 列中將有一個(gè) TRUE 值；如果擁有 SYSOPER 權(quán)限，將在其 SYSOPER 列中有一個(gè) TRUE 值。被受權(quán)用戶現(xiàn)在應(yīng)能通過使用一個(gè)與下述命令類似的命令與數(shù)據(jù)庫連接： connect gee/ AS SYSDBA如下面例子所示，可以用 revoke 命令撤消一個(gè)用戶的 SYSDBA 或 SYSOPER 權(quán)限：revoke SYSDBA from Gee。SYSDBA 授予用戶數(shù)據(jù)庫管理員的權(quán)限；SYSOPER 使用戶能執(zhí)行數(shù)據(jù)庫操作支持活動(dòng)。2) 將 文件中的 REMOTE_LOGIN_PASSWORDFILE 初始參數(shù)設(shè)置成EXCLUSIVE，關(guān)閉并重新啟動(dòng)數(shù)據(jù)庫，以便變更的參數(shù)起作用。如果超出口令文件條目數(shù)的范圍限額，就收到一個(gè) ORA1996 錯(cuò)誤。ENTRIES 參數(shù)通知 Oracle，要在口令文件中創(chuàng)建多少條目。ORAPWD FILE=filename PASSWORD=password ENTRIES=max_users ORAPWD 是一個(gè)生成口令文件的 Oracle 實(shí)用程序。如果從遠(yuǎn)程 DBA 用戶連接數(shù)據(jù)庫，建議使用口令文件驗(yàn)證。操作結(jié)果：確保登陸安全 口令文件驗(yàn)證編號(hào)： 006 名稱： 口令文件驗(yàn)證 重要等級： 高基本信息：DBA 用戶可以由操作系統(tǒng)驗(yàn)證。? 對于服務(wù)器， 把 文件中的 DBLINK_ENCRYPT_LOGIN 參數(shù)設(shè)為 TRUE。對于 Oracle 及以后，Oracle 默認(rèn)將以加密的形式傳輸輸入的口令，不需另外手工配置。操作結(jié)果：確?？诹畎踩?登陸口令編號(hào)： 005 名稱： 登陸口令 重要等級： 高基本信息：對于 以前，當(dāng)從一個(gè)客戶機(jī)連接到數(shù)據(jù)庫服務(wù)器，或者通過數(shù)據(jù)庫鏈接從一個(gè)數(shù)據(jù)庫連接到另一個(gè)數(shù)據(jù)庫時(shí)，除非指定其他形式，否則 Oracle 將以非加密的形式傳輸輸8 / 36入的口令。create profile 和 alter profile 命令的PASSWORD_VERIFY_FUNCTION 參數(shù)指定用于評估口令的函數(shù)名?？梢詮?qiáng)制用戶的口令符合復(fù)雜度標(biāo)準(zhǔn)。PASSWORD_REUSE_MAX