文档介绍:Oracle数据库安全综述
摘要:随着计算机技术和网络技术的发展,数据库的应用十分广泛,深入到各个领域,成为各单位处理数据的重要工具。在众多的数据库系统中‘Oracle数据库以其强大的功能,有效的安全性和完整性控制、分布式数据处理模式等特当用户要连接到Oracle数据库以进行数据访问时,必须要提供合法的用户名及其口令。Oracle数据库是可以为多个用户共享使用的,一个数据库中通常会包含多个用户。
数据库管理员可以定义和创建新的数据库用户,可以为用户更改口令,可以锁定某用户禁止其登录数据库。用户管理工作是数据库管理员的职责之一,创建用户必须具有CREATEUSER系统权限。而通常情况下只有数据库管理员或安全管理员才拥有CREATEUSER权限。
2、权限管理
权限用于限制用户可执行的操作,即限制用户在数据库中或对象上可以做什么,不可以做什么。新建用户没有任何权限,不能执行任何操作。只有给用户授予了特定权限或角色之后,该用户才能连接到数据库,进而执行相应的SQL语句或进行对象访问操作。同时也可以通过回收权限的命令对所授予的权限进行回收。
3、角色管理
角色就是一组权限的集合。角色可以被授予用户或其他的角色,把角色分配给用户,就是把角色所拥有的权限分配给了用户。使用角色可以更容易地进行权限管理,主要体现在三个方面。首先是减少了授权工作:用户可以先将权限授予一个角色,然后再将角色授予每一个用户,而不是将一组相同的权限授予多个用户。其次是动态权限管理:当一组权限需要改变时,只需要更改角色的权限,则所有被授予了此角色的用户自动地立即获得了修改后的权限。最后是方便地控制角色的可用性:角色可以临时禁用和启用,从而使权限变得可用的或者是不可用的。
4、PROFILE管理
数据库每个用户都会对应一个配置文件,PROFILE可以限制用户执行某些需要消耗大量资源的SQL操作,同时确保在用户会话空闲一段时间后,将用户从数据库注销。在大而复杂的多用户数据库系统中,它可以合理分配资源并且控制用户口令的使用。还要对每个用户或会话使用的CPU、内存等系统资源予以限制,以有效地利用系统资源确保系统性能。使用PROFILE进行资源限制,既可以限制整个会话的资源占用,也可以限制调用级的资源占用。需要注意的是,与管理口令不同,如果使用PROFILE管理资源,则必须要激活资源限制。
四、Oracle数据库的安全控制措施
1、数据库的存储加密
数据库存储加密主要用于保护数据在数据库存储期间的保密性。对于重要的敏感数据,尤其是我国电子政务系统中涉及国家机密的数据,除了指定的人员以外,其它人员是不能接触、阅读和获取的。但是数据库管理人员拥有最高权限,可以浏览数据库中的一切信息,造成数据失密的最大隐患。同时非法用户还可以在操作系统甚至硬件级别绕过DBMS直接窃取数据库文件内容。因此,很多情况下要保护数据的保密性必须对其进行存储加密处理,这样即使存储的数据不幸泄露或丢失,也不易被破译。
数据库存储加密的过程中应该注意数据库存储加密之后的可操作性以及拥有权限的用户在使用数据库时脱密的复杂度。
2、用户口令的保密
对于数据库来说,除了要注意基本口令管理准则,如口令的长度、复杂性、更改周期等,还要注意用户口令的加密。Oracle数据库系统是依赖于密码管理的,在Oracle数据库中采