Oracle安全性管理采取的基本措施簡介

2024-08-29 13:51:09

字體：大中小

來源：轉載

供稿：網(wǎng)友

數(shù)據(jù)安全性是指保護數(shù)據(jù)以防止非法的使用，避免造成數(shù)據(jù)有意或無意的丟失、泄露或破壞。由于數(shù)據(jù)庫系統(tǒng)中集中存放有大量的數(shù)據(jù)，這些數(shù)據(jù)又為眾多用戶所共享，所以安全約束是一個極為突出的問題。 Oracle數(shù)據(jù)庫系統(tǒng)在實現(xiàn)數(shù)據(jù)庫安全性治理方面采取的基本措施有：通過驗證用戶名稱和口令，防止非Oracle用戶注冊到Oracle數(shù)據(jù)庫，對數(shù)據(jù)庫進行非法存取操作。授予用戶一定的權限，例如connect，resource等，限制用戶操縱數(shù)據(jù)庫的權力。授予用戶對數(shù)據(jù)庫實體（如表、表空間、過程等）的存取執(zhí)行權限，阻止用戶訪問非授權數(shù)據(jù)。提供數(shù)據(jù)庫實體存取審計機制，使數(shù)據(jù)庫治理員可以監(jiān)視數(shù)據(jù)庫中數(shù)據(jù)的存取情況和系統(tǒng)資源的使用情況。采用視圖機制，限制存取基表的行和列集合。在實際應用中，許多系統(tǒng)往往采用假用戶（即非數(shù)據(jù)庫用戶）身份來治理，而真實用戶的身份和登錄口令就隱藏在應用系統(tǒng)中，或經(jīng)過各種壓縮加密等處理的配置文件中。但這樣往往留下隱患，只要從分析應用程序入手，最終會分析出系統(tǒng)使用的數(shù)據(jù)庫用戶和口令，那么其安全性也就消失了。另一方面，系統(tǒng)代碼是程序員寫出來的，假如程序員有破壞意圖，這種模式?jīng)]有一絲的安全，因為他通過自己把握的代碼不經(jīng)分析就輕而易舉的獲得登錄用的數(shù)據(jù)庫用戶和口令。而采用真實數(shù)據(jù)庫用戶，存在著權限分配上的難度，非凡是用戶數(shù)和應用表數(shù)都很多時，這時必然要使用角色來治理應用權限的分配。當然不能直接將權限或角色直接分配給用戶，否則用戶可以不同過應用系統(tǒng)，而采用SQL*PLUS等前端工具進入系統(tǒng)，進行一些沒有經(jīng)過應用系統(tǒng)檢查的操作，產(chǎn)生的結果可能不符合應用邏輯。我們在實踐中發(fā)現(xiàn)，可以采用另一種方式利用角色功能，來防止上面出現(xiàn)的安全“漏洞”。在這種方式下，用戶采用自己的標識和口令注冊，但在未得到授權的角色前，是沒有操縱數(shù)據(jù)庫的任何權限。而授權用戶使用的角色是埋在應用程序中的，只有應用程序才知道角色的名稱和口令，從而激活角色，使用戶擁有相應的權限。在應用系統(tǒng)之外，用戶可以連接到Oracle，但沒有激活相應的角色，他是不能做任何事情的，而開發(fā)人員不知道用戶的標識和口令，他沒有辦法登錄到Oracle，即使他能夠推算出角色的標識和口令。下面根據(jù)一個例子給出具體的實現(xiàn)過程：我們假設用戶xiaoli在工作中能夠對工資表account.paytable(account是表paytable的擁有者)有查詢和更新的權限，而這些權限我們不直接授予xiaoli，而是構造一個角色（比如考勤員checkerrole），這個角色恰好適合于xiaoli，再將角色授予xiaoli，但角色在激活時需要口令，該口令不對xiaoli公開。每個用戶需要一個缺省的角色，是用戶連接到Oracle時的缺省角色。這個角色只有connect權限，我們假為defaultrole。下面給出具體的操作SQL。 (1)設定各種角色,及其權限

　　　　CREATE ROLE checkerrole IDENTIFIEDBYxm361001; 　　　　CREATE ROLE defaultrole IDENTIFIEDBYdefaultrole; 　　　　GRANTSELECT,UPDATEONaccount.paytableTOcheckerrole; 　　　　GRANTCONNECTTOdefaultrole;

　　 (2)創(chuàng)建用戶

　　　　CREATEUSERxiaoliIDENTIFIEDBYxiaoli;

　 (3)授權

　　　　GRANTcheckerroleTOxiaoli; 　　　　GRANTdefaultroleTOxiaoli;

　　 (4)設定用戶缺省的角色　

　　　ALTERUSERxiaoliDEFAULTROLEdefaultrole;

　　 (5)注冊過程

　　　　CONNECTxiaoli/xiaoli@Oracle

　　此時用戶只有其缺省角色的權限。 (6)激活角色　

　　　SETROLEcheckerroleIDENTIFIEDBYxm361001;

　　操作成功后，xiaoli擁有checkerrole的權限。這里的角色和口令是固定的，在應用系統(tǒng)中可以由應用治理人員自行設置則更為方便安全。

上一篇：Oracle中自動工作負載信息庫(AWR)介紹