Oracle數(shù)據(jù)庫安全性設計建議

1、Oracle 數(shù)據(jù)庫安全性設計建議(1)一、什么是安全的系統(tǒng)安全性建設是一個長期并且卓絕的工作。作為一個符合標準的企業(yè)級系統(tǒng)，我們認為稅 務系統(tǒng)應該具備以下的安全性特點：高可用性對敏感數(shù)據(jù)的訪問控制能力。監(jiān)測用戶行為的審計能力。用戶帳號管理的有效性和擴充性二、從哪些方面作安全性檢査一個企業(yè)級系統(tǒng)的安全性建設并不僅僅局限于軟件技術方面的設置和控制，甚至我們可 以說，技術僅僅位于一個補充和提高現(xiàn)有安全性的地位上。通常，應該按照重要性依次進行 如下的安全性檢查。物理層面的控制控制物理接觸是系統(tǒng)安全性建設的第一步，也是最會有成效，最應該優(yōu)先執(zhí)行的一步。權威安全研究顯示，70%的信息系統(tǒng)數(shù)據(jù)損失和攻擊都

2、是由“內部人”(即具備某種系 統(tǒng)及其數(shù)據(jù)訪問權限的用戶)造成和發(fā)起的。比如，授權人員才可以進入機房，管理人員的密碼不要記錄在顯眼的地方，離開個人終 端鎖定屏幕，等等，這些建議看上去似乎比較瑣碎。但是如果缺少了這些意識，即使我們運 用了再好的安全性技術，再復雜的數(shù)據(jù)分離技術，當一個人可以接近需要保護的服務器，當 一個人可以通過竊取的密碼接近需要保護的數(shù)據(jù)，那么一切的安全性建設都將是一個擺設。千里之堤，毀于蟻穴。一個牢固的堤壩不會因為外界洪水的沖擊而倒塌，卻會崩壞于隱 藏在自身內部的蛀蟲。所以，最佳的方法是不要讓螞蟻靠近堤壩。安全性流程建設實施安全性建設之后，必須要有一個詳細周密而且行之有效的流程

3、控制(Process Control)。其中行之有效是我們應該注意的。有時候會聽到抱怨，在增強了安全性建設的系統(tǒng)中，維護人員由于分工過細，導致整個 系統(tǒng)的應變能力下降，維護成本提高，管理效率降低。以前一個人可以在10分鐘內作好的修 改，現(xiàn)在卻要途經(jīng)3, 4個人之手，耗時1 2天還不一定能夠做完。過猶不及，建立一個符合企業(yè)自身需求的安全性流程是我們應該優(yōu)先考慮的。普遍性的安全性措施不僅僅是Oracle數(shù)據(jù)庫系統(tǒng)，作為一個具有領先性的IT系統(tǒng)，都應該包括以下的安全 性措施。只安裝需要的軟件每個軟件都有缺陷，對于Oracle數(shù)據(jù)庫軟件來說，自定義安裝，只選取需要的組件， 少作少錯，這一點在安全性方面

4、顯得尤為重要，一個具有潛在安全性漏洞的組件，如果它沒 有被安裝。那它就不會影響整個系統(tǒng)。鎖定或者失效默認用戶對于Oracle數(shù)據(jù)庫系統(tǒng)來說，安裝的時候會有一系列的默認用戶生成，應該在數(shù)據(jù)庫 安裝完畢之后，經(jīng)過功能篩選，鎖定或者失效這些用戶。修改可用用戶的默認密碼不能鎖定或者失效的用戶，必須修改默認密碼。比如具有SYSDBA權限的SYS用戶和具 有DBA權限的SYSTEM用戶，都應該修改默認密碼。至于密碼長度和復雜性的有效控制在后 面將會談到。4限制操作系統(tǒng)存取權限Oracle數(shù)據(jù)庫系統(tǒng)是依存在操作系統(tǒng)之上的，如果操作系統(tǒng)被人侵入，那么通過修改 配置文件等一系列方法，Oracle數(shù)據(jù)庫的安全性也

5、將蕩然無存。5.定期更新廠家推出的安全性補丁隨著時間的推移，廠家通常會推出一系列的安全性補丁來彌補現(xiàn)有系統(tǒng)的安全隱患。對于Oracle數(shù)據(jù)庫而言，應該定期查看以下網(wǎng)址來獲取Oracle公司最新的安全性警告 和解決方案。Oracle數(shù)據(jù)庫本身的安全性建設從總體上而言，Oracle數(shù)據(jù)庫是業(yè)界安全性方面最完備的數(shù)據(jù)庫產(chǎn)品。在數(shù)據(jù)庫安全 性的國際標準中，Oracle通過了14項標準的測試，是所有數(shù)據(jù)庫產(chǎn)品中通過安全性標準最 多、最全面的產(chǎn)品。Oracle在C2級的操作系統(tǒng)上（如商用UNIX,VMS操作系統(tǒng)），不僅滿足 NCSC C2級安全標準，而且已經(jīng)正式通過了 NCSC C2標準的測試。在B1級的

6、操作系統(tǒng)上不僅 滿足NCSC B1級安全標準，而且已經(jīng)通過了 NCSC B1級標準的測試。Oracle提供的主要安全性措施如下：身份認證功能(Au then ticati on)：識別訪問個體的身份數(shù)據(jù)訪問的機密性(Confidentialty)：保證敏感數(shù)據(jù)訪問的機密性。數(shù)據(jù)完整性(Integrity)：保證數(shù)據(jù)不被篡改。授權能力(Authorization)：保證被授權用戶對數(shù)據(jù)的查詢和修改能力。訪問控制(Access Control)：確定對指定數(shù)據(jù)的訪問能力。審計能力(Auditing)：提供監(jiān)測用戶行為的能力。私有性(Privacy)：提供對敏感數(shù)據(jù)訪問的私密性。高可用性(Avail

7、ability)：保證數(shù)據(jù)和系統(tǒng)提供不間斷服務的能力。代理管理能力(Delegated Administration)：提供對用戶帳號的集中管理功能。 下面將就應用系統(tǒng)本身對于Oracle提供的安全性措施作更深入的探討。三、Oracle的安全性領域Profile 控制Oracle利用profile機制來管理會話資源占用，同時也管理用戶密碼的安全策略。通過profile我們可以實現(xiàn)：某個特定用戶最多只能占用系統(tǒng)百分之幾的CPU時間？某個特定用戶連接到數(shù)據(jù)庫之后能存活多長時間？某個特定用戶連接到數(shù)據(jù)庫之后多長時間處于非活躍狀態(tài)就將被系統(tǒng)中斷連接？用戶登錄密碼輸入錯誤多少次之后就將自動鎖定用戶？用戶

8、密碼的長度和包含的字符必須符合什么樣的規(guī)則？用戶密碼在多少天后將自動失效并要求設定新密碼？用戶權限控制(Privilage)Oracle通過角色(Role),權限(Privilage)等的一系列授予(Grant)和回收(Revoke) 操作可以有效的進行用戶的權限控制。通過權限控制我們可以實現(xiàn)：某個特定用戶只能讀取而不能修改另一個用戶的表數(shù)據(jù)。某個特定用戶只能運行Oracle數(shù)據(jù)庫系統(tǒng)的幾個存儲過程或者函數(shù)。某個特定用戶自己能夠擁有修改某些數(shù)據(jù)的權力,但是卻無法給其它不擁有這個權限 的用戶授予修改該數(shù)據(jù)的權力。某個特定用戶可以讀取數(shù)據(jù)但是無法創(chuàng)建新的表空間。虛擬專用數(shù)據(jù)庫（VPD）虛擬專用數(shù)據(jù)

9、庫（VPD）也稱為細粒度訪問控制，它提供強大的行級安全功能。它是在 Oracle8i中推出的，已經(jīng)受到廣泛的歡迎。VPD的工作方法是，通過透明地更改對數(shù)據(jù)的請求，基于一系列定義的標準向用戶提供 表的局部視圖。在運行時，所有查詢都附加了謂詞，以便篩選出準許用戶看到的行。也就是通過VPD的設置，我們可以做到行級安全性控制，特定的用戶即使對一張表有讀 取權限，那么也只能看到符合自身權限的記錄。注意，在OraclelOg版本中，VPD得到增強，已經(jīng)可以實現(xiàn)字段級的安全性控制了。實例及搭建步驟參看：利用V PD細粒度訪問策略實現(xiàn)行級安全性Step By St ep。Orace Label Securit

10、y基于對由客戶提交的行級安全性的嚴格要求，Oracle Label Security （Oracle數(shù)據(jù)庫 企業(yè)版的選件之一）利用多級安全性概念解決了世界上政府和商業(yè)用戶在實際中遇到的數(shù)據(jù) 安全和隱私問題。OLS通過利用數(shù)據(jù)敏感度標簽（例如“敏感”和“公司機密”）與用戶標簽授權，提供 了完善的行級安全性控制。OLS使用政策概念來存儲標簽定義和授權。該政策可直接在數(shù)據(jù)庫中進行管理，或在 Oracle身份管理中進行集中管理。Oracle Database Valut通常數(shù)據(jù)庫管理員如果具有了 DBA權限，那么就很難防止這樣的管理員查看應用程序數(shù) 據(jù)。而Oracle Database Valut則解

11、決了必須保護涉及合作伙伴、員工和顧客的敏感業(yè)務信 息或隱私數(shù)據(jù)的客戶最為擔心的問題。Oracle Database Vault可防止高權限的應用程序DBA訪問其他的應用程序、執(zhí)行其 權限之外的任務。Oracle Database Vault可在不影響應用程序功能的前提下快速而高效地 保護現(xiàn)有程序。Oracle Database Vault可通過下列方法解決一些最為常見的安全問題和內部威脅:1限制DBA和其他授權用戶訪問應用程序數(shù)據(jù)。防止DBA操縱數(shù)據(jù)庫和訪問其他應用程序。Oracle Database Vault提供了強大的 職責劃分控制功能，可防止擅自更改數(shù)據(jù)庫。比如說如果一個用戶具有CRE

12、ATE USER權限， 但不具備正確的用戶管理權限，則Oracle Database Vault將阻止該DBA創(chuàng)建新用戶。更好的控制何人、何時、何地可以訪問應用程序。如日期時間、數(shù)據(jù)庫客戶端在網(wǎng) 絡上的位置之類的因素。Oracle Database Valut是新的Oracle Database 10g企業(yè)版的選件。目前已經(jīng)有Linux X86以及Solaris SPARC 64bit的版本可以下載使用了。用戶訪問審計審計是Oracle安全性的另一個重要領域，我們還必須小心地計劃審計方案。有幾種方 式可在Oracle中進行審計：SQL審計命令（標準審計）通過AUDIT語句我們可以對成功或者不成

13、功的特定對象的讀取，更新操作進行審計。標準審計只會記錄較少的跟蹤信息，比如發(fā)出該語句的用戶、時間、終端標識號等等。該審計對于系統(tǒng)性能的影響更多地取決于對象的繁忙程度。用對象觸發(fā)器進行審計（也就是DML審計）此類審計通常由客戶自行開發(fā)放置于特定數(shù)據(jù)庫對象上的觸發(fā)器，由于是自行開發(fā)，所 以相對于標準審計則能夠更自由地記錄更多感興趣的跟蹤信息。比如更新操作將某個字段從 什么原始值更新到了什么新值。該審計對于系統(tǒng)性能的影響更多地取決于對象的繁忙程度和觸發(fā)器的編寫水平。用系統(tǒng)級觸發(fā)器進行審計（記錄用戶登錄和退出）當用戶登錄數(shù)據(jù)庫或者離開數(shù)據(jù)庫時，都可以通過自定義的觸發(fā)器來記錄用戶名稱，操 作時間，終端標

14、識號等信息。由于觸發(fā)器觸發(fā)幾率小，所以該審計對于系統(tǒng)性能影響并不大。用LogMiner進行審計（也就是DML和DDL）Oracle數(shù)據(jù)庫將所有的更新操作都記錄在重作日志中，而Oracle提供了 LogMiner工 具用于挖掘重作日志中的所有操作，相比起上述的各種審計方法來說，該種審計可能是信息 最為完善，對于應用系統(tǒng)性能影響最小的方法。此處稍微延展開來說一下，LogMiner是雙刃劍，既然可以用來審計，也就能夠被惡意 使用作為數(shù)據(jù)竊取的工具。所以在數(shù)據(jù)本身的加密方面，Oracle同樣提供了多種解決方案, 比如DBMS_OBFUSCATION_TOOLKIT, DBMS_CRYPTO和最新的透明

15、數(shù)據(jù)加密，甚至在數(shù)據(jù)備份方 面Oracle也推出了 Secure Backup來應對磁帶數(shù)據(jù)的加密，但是要注意到數(shù)據(jù)加密不應用 作訪問控制的替代項，存儲加密的數(shù)據(jù)并不會在存儲介質本身提供額外的保護層，只是有助 于在發(fā)生介質遭竊時保護諸如信用卡號之類的敏感數(shù)據(jù)。本文不再作更多的介紹。5細精度審計（FGA）細粒度審計（FGA）,是在Oracle 9i中引入的，能夠記錄SCN號和行級的更改以重建 舊的數(shù)據(jù)，但是它們只能用于select語句，而不能用于DML,如update insert和delete 語句。因此，對于Oracle數(shù)據(jù)庫10g之前的版本，使用觸發(fā)器雖然對于以行級跟蹤用戶 初始的更改是沒有吸引力的選擇,但它也是唯一可靠的方法。而OraclelOg種FGA功能的增強使其不但能夠支