Oracle數據庫安全策略分析

SQL*DBA命令的安全性：

如果您沒有SQL*PLUS應用程序，您也可以使用SQL*DBA作SQL查權限相關的命令只能分配給Oracle軟件擁有者和DBA組的用户，因為這些命令被授予了特殊的系統權限。

(1) startup

(2) shutdown

(3) connect internal

數據庫文件的安全性：

Oracle軟件的擁有者應該這些數據庫文件($ORACLE_HOME/dbs/*)設置這些文件的使用權限為0600：文件的.擁有者可讀可寫，同組的和其他組的用户沒有寫的權限。Oracle軟件的擁有者應該擁有包含數據庫文件的目錄，為了增加安全性，建議收回同組和其他組用户對這些文件的可讀權限。

網絡安全性：

當處理網絡安全性時，以下是額外要考慮的幾個問題。

(1)在網絡上使用密碼在網上的遠端用户可以通過加密或不加密方式鍵入密碼，當您用不加密方式鍵入密碼時，您的密碼很有可能被非法用 户截獲，導致破壞了系統的安全性。

(2)網絡上的DBA權限控制您可以通過下列兩種方式對網絡上的DBA權限進行控制：

A 設置成拒絕遠程DBA訪問；

B 通過orapwd給DBA設置特殊的密碼。

建立安全性策略：

(1) 管理數據庫用户數據庫用户是訪問Oracle數據庫信息的途徑，因此，應該很好地維護管理數據庫用户的安全性。按照數據庫系統的大小和管理數據庫用户所需的工作量，數據庫安全性管理者可能只是擁有create，alter，或drop數據庫用户的一個特殊用户，或者是擁有這些權限的一組用户，應注意的是，只有那些值得信任的個人才應該有管理數據庫用户的權限。

(2) 用户身份確認數據庫用户可以通過操作系統，網絡服務，或數據庫進行身份確認，通過主機操作系統進行用户身份認證的優點有：

A 用户能更快，更方便地聯入數據庫；

B 通過操作系統對用户身份確認進行集中控制：如果操作系統與數據庫用户信息一致，那麼Oracle無須存儲和管理用户名以及密碼；

C 用户進入數據庫和操作系統審計信息一致。

(3) 操作系統安全性

A 數據庫管理員必須有create和文件的操作系統權限；

B 一般數據庫用户不應該有create或與數據庫相關文件的操作系統權限；

C 如果操作系統能為數據庫用户分配角色，那麼安全性管理者必須有修改操作系統帳户安全性區域的操作系統權限。