向大家介紹Oracle，可能好多人還不重視Oracle數(shù)據(jù)庫(kù)安全性，沒(méi)有關(guān)系，看完本文你肯定有不少收獲，希望本文能教會(huì)你更多東西。當(dāng)處理網(wǎng)絡(luò)安全性時(shí)，以下是額外要考慮的幾個(gè)問(wèn)題。
(1) 在網(wǎng)絡(luò)上使用密碼在網(wǎng)上的遠(yuǎn)端用戶可以通過(guò)加密或不加密方式鍵入密碼，當(dāng)您用不加密方式鍵入密碼時(shí)，您的密碼很有可能被非法用戶截獲，導(dǎo)致破壞了系統(tǒng)的安全性。
(2) 網(wǎng)絡(luò)上的DBA權(quán)限控制您可以通過(guò)下列兩種方式對(duì)網(wǎng)絡(luò)上的DBA權(quán)限進(jìn)行控制：
A 設(shè)置成拒絕遠(yuǎn)程DBA訪問(wèn)；
B 通過(guò)orapwd給DBA設(shè)置特殊的密碼。

建立系統(tǒng)安全性策略：

(1) 管理數(shù)據(jù)庫(kù)用戶：數(shù)據(jù)庫(kù)用戶是訪問(wèn)Oracle數(shù)據(jù)庫(kù)信息的途徑，因此，應(yīng)該很好地維護(hù)管理數(shù)據(jù)庫(kù)用戶的安全性。按照數(shù)據(jù)庫(kù)系統(tǒng)的大小和管理數(shù)據(jù)庫(kù)用戶所需的工作量，Oracle數(shù)據(jù)庫(kù)安全性管理者可能只是擁有create，alter，或drop數(shù)據(jù)庫(kù)用戶的一個(gè)特殊用戶，或者是擁有這些權(quán)限的一組用戶，應(yīng)注意的是，只有那些值得信任的個(gè)人才應(yīng)該有管理數(shù)據(jù)庫(kù)用戶的權(quán)限。

(2) 用戶身份確認(rèn)：數(shù)據(jù)庫(kù)用戶可以通過(guò)操作系統(tǒng)，網(wǎng)絡(luò)服務(wù)，或數(shù)據(jù)庫(kù)進(jìn)行身份確認(rèn)，通過(guò)主機(jī)操作系統(tǒng)進(jìn)行用戶身份認(rèn)證的優(yōu)點(diǎn)有：
A 用戶能更快，更方便地聯(lián)入數(shù)據(jù)庫(kù)；
B 通過(guò)操作系統(tǒng)對(duì)用戶身份確認(rèn)進(jìn)行集中控制：如果操作系統(tǒng)與數(shù)據(jù)庫(kù)用戶信息一致，Oracle無(wú)須存儲(chǔ)和管理用戶名以及密碼；
C 用戶進(jìn)入數(shù)據(jù)庫(kù)和操作系統(tǒng)審計(jì)信息一致。

(3) 操作系統(tǒng)安全性
A 數(shù)據(jù)庫(kù)管理員必須有create和delete文件的操作系統(tǒng)權(quán)限；
B 一般數(shù)據(jù)庫(kù)用戶不應(yīng)該有create或delete與數(shù)據(jù)庫(kù)相關(guān)文件的操作系統(tǒng)權(quán)限；
C 如果操作系統(tǒng)能為數(shù)據(jù)庫(kù)用戶分配角色，那么安全性管理者必須有修改操作系統(tǒng)帳戶安全性區(qū)域的操作系統(tǒng)權(quán)限。

數(shù)據(jù)的安全性策略：

數(shù)據(jù)的生考慮應(yīng)基于數(shù)據(jù)的重要性。如果數(shù)據(jù)不是很重要，那么數(shù)據(jù)的安全性策略可以稍稍放松一些。然而，如果數(shù)據(jù)很重要，那么應(yīng)該有一謹(jǐn)慎的安全性策略，用它來(lái)維護(hù)對(duì)數(shù)據(jù)對(duì)象訪問(wèn)的有效控制。

用戶安全性策略：

(1) 一般用戶的安全性：
A 密碼的安全性：如果用戶是通過(guò)數(shù)據(jù)庫(kù)進(jìn)行用戶身份的確認(rèn)，那么建議使用密碼加密的方式與數(shù)據(jù)庫(kù)進(jìn)行連接。這種方式的設(shè)置方法如下：
◆在客戶端的oracle.ini文件中設(shè)置ora_encrypt_login數(shù)為true；
◆在服務(wù)器端的initORACLE_SID.ora文件中設(shè)置dbling_encypt_login參數(shù)為true。
B 權(quán)限管理：對(duì)于那些用戶很多，應(yīng)用程序和數(shù)據(jù)對(duì)象很豐富的數(shù)據(jù)庫(kù)，應(yīng)充分利用“角色”這個(gè)機(jī)制所帶的方便性對(duì)權(quán)限進(jìn)行有效管理。對(duì)于復(fù)雜的系統(tǒng)環(huán)境，“角色”能大大地簡(jiǎn)化權(quán)限的理。

(2) 終端用戶的安全性：
您必須針對(duì)終端用戶制定安全性策略。例如，對(duì)于一個(gè)有很多用戶的大規(guī)模數(shù)據(jù)庫(kù)，安全性管理者可以決定用戶組分類為這些用戶組創(chuàng)建用戶角色，把所需的權(quán)限和應(yīng)用程序角色授予每一個(gè)用戶角色，以及為用戶分配相應(yīng)的用戶角色。當(dāng)處理特殊的應(yīng)用要求時(shí)，安全性管理者也必須明確地把一些特定的權(quán)限要求授予給用戶。您可以使用“角色”對(duì)終端用戶進(jìn)行權(quán)限管理。

數(shù)據(jù)庫(kù)管理者安全性策略：
(1) 保護(hù)作為sys和system用戶的連接：
當(dāng)數(shù)據(jù)庫(kù)創(chuàng)建好以后，立即更改有管理權(quán)限的sys和system用戶的密碼，防止非法用戶訪問(wèn)數(shù)據(jù)庫(kù)。當(dāng)作為sys和system用戶連入數(shù)據(jù)庫(kù)后，用戶有強(qiáng)大的權(quán)限用各種方式對(duì)數(shù)據(jù)庫(kù)進(jìn)行改動(dòng)。
(2) 保護(hù)管理者與數(shù)據(jù)庫(kù)的連接：
應(yīng)該只有數(shù)據(jù)庫(kù)管理者能用管理權(quán)限連入數(shù)據(jù)庫(kù)，當(dāng)以sysdba或startup，shutdown，和recover或數(shù)據(jù)庫(kù)對(duì)象(例如create,drop，和delete等)進(jìn)行沒(méi)有任何限制的操作。
(3) 使用角色對(duì)管理者權(quán)限進(jìn)行管理

應(yīng)用程序開發(fā)者的安全性策略：

(1) 應(yīng)用程序開發(fā)者和他們的權(quán)限數(shù)據(jù)庫(kù)應(yīng)用程序開發(fā)者是***一類需要特殊權(quán)限組完成自己工作的數(shù)據(jù)庫(kù)用戶。開發(fā)者需要諸如create table,create，procedure等系統(tǒng)權(quán)限，然而，為了限制開發(fā)者對(duì)數(shù)據(jù)庫(kù)的操作，只應(yīng)該把一些特定的系統(tǒng)權(quán)限授予開發(fā)者。

(2) 應(yīng)用程序開發(fā)者的環(huán)境：
A 程序開發(fā)者不應(yīng)與終端用戶競(jìng)爭(zhēng)數(shù)據(jù)庫(kù)資源；
B 用程序開發(fā)者不能損害數(shù)據(jù)庫(kù)其他應(yīng)用產(chǎn)品。

(3) free和controlled應(yīng)用程序開發(fā)應(yīng)用程序開發(fā)者有一下兩種權(quán)限：
A free development
應(yīng)用程序開發(fā)者允許創(chuàng)建新的模式對(duì)象，包括table,index,procedure,package等，它允許應(yīng)用程序開發(fā)者開發(fā)獨(dú)立于其他對(duì)象的應(yīng)用程序。
B controlled development
應(yīng)用程序開發(fā)者不允許創(chuàng)建新的模式對(duì)象。所有需要table,indes procedure等都由數(shù)據(jù)庫(kù)管理者創(chuàng)建，它保證了數(shù)據(jù)庫(kù)管理者能完全控制數(shù)據(jù)空間的使用以及訪問(wèn)數(shù)據(jù)庫(kù)信息的途徑。但有時(shí)應(yīng)用程序開發(fā)者也需這兩種權(quán)限的混和。

(4) 應(yīng)用程序開發(fā)者的角色和權(quán)限Oracle數(shù)據(jù)庫(kù)安全性管理者能創(chuàng)建角色來(lái)管理典型的應(yīng)用程序開發(fā)者的權(quán)限要求。
A create系統(tǒng)權(quán)限常常授予給應(yīng)用程序開發(fā)者，以至于他們能創(chuàng)建他的數(shù)據(jù)對(duì)象。
B 數(shù)據(jù)對(duì)象角色幾乎不會(huì)授予給應(yīng)用程序開發(fā)者使用的角色。

(5) 加強(qiáng)應(yīng)用程序開發(fā)者的空間限制作為Oracle數(shù)據(jù)庫(kù)安全性管理者，您應(yīng)該特別地為每個(gè)應(yīng)用程序開發(fā)者設(shè)置以下的一些限制：
A 開發(fā)者可以創(chuàng)建table或index的表空間；
B 在每一個(gè)表空間中，開發(fā)者所擁有的空間份額。應(yīng)用程序管理者的安全在有許多數(shù)據(jù)庫(kù)應(yīng)用程序的數(shù)據(jù)庫(kù)系統(tǒng)中，您可能需要一應(yīng)用程序管理者，應(yīng)用程序管理者應(yīng)負(fù)責(zé)起以下的任務(wù)：
◆為每一個(gè)應(yīng)用程序創(chuàng)建角色以及管理每一個(gè)應(yīng)用程序的角色；
◆創(chuàng)建和管理數(shù)據(jù)庫(kù)應(yīng)用程序使用的數(shù)據(jù)對(duì)象；
◆需要的話，維護(hù)和更新應(yīng)用程序代碼和Oracle的存儲(chǔ)過(guò)程和程序包。

我相信有了以上的這些建議，作為一個(gè)Oracle的管理者絕對(duì)可以做好他本職的工作了?？墒?，我們?cè)僭趺磁?，都始終得面對(duì)這樣一個(gè)現(xiàn)實(shí)，那就是 Oracle畢竟是其他人開發(fā)的，而我們卻在使用。所以，Oracle到底有多少漏洞--我想這個(gè)不是你和我所能解決的。不過(guò)既然作為一篇討論 Oracle數(shù)據(jù)庫(kù)安全性的文章，我認(rèn)為有必要把漏洞這一塊也寫進(jìn)去，畢竟這也是“安全”必不可少的一部分。呵呵！

【編輯推薦】

1. 分析討論Oracle數(shù)據(jù)庫(kù)恢復(fù)
2. 詳談Oracle遠(yuǎn)程磁盤鏡像
3. 新的Oracle 11g功能展示
4. 詳細(xì)分析Oracle XML數(shù)據(jù)
5. 分析探討Oracle Data Guard