中国移动Oracle数据库安全配置手册55390.docx

《中国移动Oracle数据库安全配置手册55390.docx》由会员分享，可在线阅读，更多相关《中国移动Oracle数据库安全配置手册55390.docx（53页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、密 级：文档编号：项目代号：中国移动Oraacle数据据库安全配置手册Versionn 1.0中国移动通信有有限公司二零零四年十一一月拟 制:审 核:批 准:会 签:标准化:版本控制版本号日期参与人员更新说明分发控制编号读者文档权限与文档的主要关关系1创建、修改、读读取负责编制、修改改、审核2批准负责本文档的批批准程序3标准化审核作为本项目的标标准化负责人人，负责对本本文档进行标标准化审核4读取5读取目 录第一章 目的与与范围11.1 目的11.2适用范围围11.3数据库类类型1第二章 数据据库安全规范范12.1 操作系系统安全12.2 帐户安安全22.3密码安全全22.4 访问权权限安全22

2、.5 日志记记录32.6 加密32.7 管理员员客户端安全全32.8 安全补补丁32.9 审计3第三章 数据据库安全配置置手册43.1 Oraacle数据据库安全配置置方法43.1.1 基基本漏洞加固固方法43.1.2 特特定漏洞加固固方法12第四章 附录录：数据库安安全问题及解解决方案174.1 数据库库安全问题174.1.1 数数据安全基本本需求174.1.2 数数据安全风险险194.1.3 业业界采用的安安全技术214.1.4OOraclee9i的安全全解决之道214.2 Oraacle9ii 安全解决决方案 提供端到端端的安全体系系结构234.2.1 OOraclee9i Daatab

3、asse 安全机机制234.2.2 托托管环境的安安全264.2.3 网网络中的安全全基于标准准的公共密钥钥体系结构 (PKI)274.2.4 先先进的用户和和安全策略管管理29 第一章 目的与与范围1.1 目的为了加强中国移移动集团下属属各公司的网网络系统安全全管理，全面面提高中国移移动集团下属属各公司业务务网和办公网网的网络安全全水平，保证证网络通信畅畅通和信息系系统的正常运运营，提高网网络服务质量量，特制定本本方法。本文档旨在于规规范中国移动动集团下属各各公司对Orracle数数据库进行的的安全加固。1.2适用范围围本手册适用于对对中国移动集集团下属各公公司业务网和和办公网系统统的数据库

4、系系统加固进行行指导。1.3数据库类类型数据库类型为OOraclee9i Entterpriise Edditionn。第二章 数据据库安全规范范2.1 操作系系统安全要使数据库安全全，首先要使使其所在的平平台和网络安安全。然后就就要考虑操作作系统的安全全性。Oraacle使用大量量用户不需要要直接访问的的文件。例如如，数据文件件和联机重做做日志文件只只能通过Orracle的的后台进程进进行读写。因因此，只有要要创建和删除除这些文件的的数据库管理理员才需要在在操作系统级级直接访问它它们。导出转转储文件和其其他备份文件件也必须受到到保护。可以以把数据复制制到其他数据据库上，或者者是作为复制制模式

5、的一部部分，或者是是提供一个开开发数据库。若若要保护数据据的安全，就就要对数据所所驻留的每一一个数据库及及这些数据库库的备份进行行保护。如果果某人能从含含有你的数据据备份的数据据库中带走备备份磁带，那那么你在数据据库中所做的的全部保密工工作就失去意意义。必须防防止对全部数数据备份的非非法访问。2.2 帐户安安全为了避免数据库库帐户大量耗耗费系统资源源，影响其它它用户的正常常访问，可以以根据应用的的实际需要，对对数据库帐户户所使用的资资源（如CPPU等）进行限制制。这样可以以控制恶意攻攻击者发起大大量的连接及及事务破坏数数据库系统的的正常运行，限限制数据库帐帐户的系统资资源可以用pprofill

6、e实施。此外，数据库创创建后，会存存在一些内建建的帐户，这这些帐户都有有初始密码。出出于安全的考考虑，需要修修改这些内建建帐户的初始始密码，防止止恶意攻击者者以众所周知知的初始密码码登录数据库库。另外，对对不使用的帐帐户应锁定，消消除帐户安全全隐患。2.3密码安全全用户登录数据库库的密码非常常重要，一旦旦密码被窃听听，数据库的的安全就面临临严重的威胁胁。从Oraacle 77.1开始，cliennt 远程连连接数据库，Oraclle Nett 会自动对对通过网络传传输的登录密密码进行加密密，保证密码不不被明文传输输而被窃听。在在Oraclle7.1之前，可在sqlnnet.orra中设置ora

7、a_encrrypt_llogin=true。此外，对密码进进行严格的管管理。可以使使用proffile来管管理口令的终终止、重新使使用和复杂性性。例如，可可以限制一个个口令的寿命命、锁定口令令过旧的帐户户等。也可以强强制一个口令令至少有一定定程度的复杂杂性并锁定一一个多次注册册失败的帐户户。这样可以以有效地防止止黒客猜测帐帐户口令，减减少口令安全全隐患。2.4 访问权权限安全对帐户的访问权权限进行严格格控制，给予予帐户需要的的最少权限，包包括系统权限限和对象权限限。对象权限限可以实施到到数据库对象象的字段级别别。2.5 日志记记录Oracle的的警告日志aalertssid.loog里记录有

8、有数据库的关关键活动，如如删除表空间间等，出于安安全的考虑，需需有规律地检检查警告日志志。2.6 加密为了保证敏感数数据从cliient到serveer在传输过过程中不被窃窃听，可以对对数据进行加加密，以密文文进行传输。2.7 管理员员客户端安全全为了防止恶意用用户冒名顶替替管理员从远远端客户机连接数数据库进行破破坏，可以对对远端数据库库的IP地址进行行限定。当然然这种方法如如果和网络安安全一起实施施，会更加安安全。2.8 安全补补丁Oracle虽虽然具有很高高的安全性，但但是不可避免免还是有安全全漏洞，一个个比较安全的的办法是时刻刻关注Oraacle的安安全公告，并并及时安装安安全补丁。安安

9、全公告和补补丁位置如下下：http:/m/deplloy/seecuritty/aleerts.hhtm2.9 审计出于数据库的安安全，需要实实施审计以跟跟踪重要的或或可疑的数据据库活动。审审计通常被认认为是最有效效的安全机制制，它确保系系统的合法用用户做他们应应该做的事情情，并且能够够阻止用户滥滥用或误用访访问权限。通通过审计，一一个公司可以以跟踪其各个个用户的活动动，从而发现现安全上的缺缺陷。另外，如如果用户知道道他们正在被被跟踪审计，那那么就可能降降低他们滥用用职权的可能能性。因为传传统型的审计计产生数量极极大的数据，所所以这就很难难从中发现有有用的信息，因因此，Oraacle9ii引进

10、了精确确细化的审计计。使用这种种广泛精确细细化的审计，可可以更容易地地发现安全缺缺陷。例如，如如果为重复选选择社会身份份认证号码制制定了一条审审计策略，则则当重复选择择该社会身份份认证号码时时，就会自动动发生警报，以以警告可能被被入侵的部门门的系统管理理员。然后系系统管理员就就能采取终止止非法数据库库会晤的措施施。 由服务器强制进进行的审计捕捕获用户的活活动、系统权权限、语句或或者对象 触发器能够记录录未被自动包包含在审计追追踪中的定制制信息 精细粒度的、可可扩展的审计计功能使机构构能够定义具具体的审计政政策，以便在在恶意入侵发发生时，立刻刻识别、警告告和解决这一一入侵-而而不管它是来来自机构

11、外部部还是机构内内部 事件处理器提供供了确定如何何处理由触发发器启动的某某一审计事件件的灵活性 通过保存初始连连接的登录用用户及以该用用户名义进行行操作的用户户的身份来审审计多层系统统中的活动第三章 数据据库安全配置置手册3.1 Oraacle数据据库安全配置置方法3.1.1 基基本漏洞加固固方法1、 操作系统安全性性编号：001名称：操作系统安全性性重要等级：高基本信息：若要访问一个数数据库，必须须首先能够以以直接或非直直接方式访问问正在运行该该数据库的服服务器。要使使数据库安全全，首先要使使其所在的平平台和网络安安全。然后就就要考虑操作作系统的安全全性。Oraacle使用大量量用户不需要要

12、直接访问的的文件。例如如，数据文件件和联机重做做日志文件只只能通过Orracle的的后台进程进进行读写。因因此，只有要要创建和删除除这些文件的的数据库管理理员才需要在在操作系统级级直接访问它它们。导出转转储文件和其其他备份文件件也必须受到到保护。可以以把数据复制制到其他数据据库上，或者者是作为复制制模式的一部部分，或者是是提供一个开开发数据库。若若要保护数据据的安全，就就要对数据所所驻留的每一一个数据库及及这些数据库库的备份进行行保护。如果果某人能从含含有你的数据据备份的数据据库中带走备备份磁带，那那么你在数据据库中所做的的全部保密工工作就失去意意义。必须防防止对全部数数据备份的非非法访问。检

13、测内容： 检查承载平台的的安全 检查网络的安全全建议操作：参见主机和网络络安全方案操作结果：无操作结果：确保权限最小化化2、 用户环境文件编号：002名称：用户环境文件重要等级：高基本信息：可以使用用户环环境文件prrofilee来限制可由由用户使用的的系统和数据据库资源并管管理口令限制制。如果数据据库中没有创创建环境文件件，将使用缺缺省环境文件件；缺省环境境文件指定对对于所有用户户资源没有限限制。检测内容： 检查系统环境文文件建议操作：明确环境文件创创建是否合理理：操作结果：确保资源调用最最小化3、 内建帐户编号：003名称：内建帐户连接重要等级：中基本信息：数据库有一些内内建帐户，使使用这

14、些内建建帐户的默认认密码，就可以访问该数数据库。对不需要使用的的内建帐户进进行锁定。检测内容： 检查内建帐户的的默认密码是是否改变，不不需要使用的的内建帐户是是否已锁定。建议操作： 修改 OUTLLN密码ALTER UUSER ooutln IDENTTIFIEDD BY ; 修改DBSNMMP密码ALTER UUSER ddbsnmpp IDENNTIFIEED BY ;编辑$ORACCLE_HOOME/neetworkk/admiin/snmmp_rw.ora，更更改如下行： SNMP.CONNEECT.PAASSWORRD = 其中， 是数据库库服务名，是新新密码 修改SCOTTT密码A

15、LTER UUSER sscott IDENTTIFIEDD BY ; 锁定没有使用的的内建帐户ALTER UUSER xxxx ACCCOUNTT LOCKK;操作结果：无4、 口令管理编号：004名称：口令管理重要等级：高基本信息：在Oraclee中，可以使使用proffile来管管理口令的终终止、重新使使用和复杂性性。例如，可可以限制一个个口令的寿命命、锁定口令令过旧的帐户户。也可以强强制一个口令令至少有一定定程度的复杂杂性并锁定一一个多次注册册失败的帐户户。检测内容： 检查系统口令设设置情况建议操作：如果设置用户环环境文件的FFAILEDD_LOGIIN_ATTTEMPTSS资源为5，

16、该该帐户允许连连续注册失败败5次，第66次就会引起起帐户被锁定定。若要防止一个口口令重新使用用，可以使用用两个环境文文件参数的其其中一个：PPASSWOORD_REEUSE_MMAX或PAASSWORRD_REUUSE_TIIME。这两两个参数互不不相容：如果给其中中的一个设了了值，另一个个就必须设为为UNLIMMITED。PASSWORD_REUSE_TIME参数规定一个口令可以重新使用前必须经过的天数。例如，如果设置PASSWORD_REUSE_TIME为6 0天，则在6 0天内不能使用同一个口令。PASSWORD_REUSE_MAX参数指定一个口令可以重新使用前必须对其改变的次数。如果试

17、图在这个限制到达前重新使用该口令，Oracle会拒绝口令的修改。可以强制用户的的口令符合复复杂度标准。例例如，可以要要求口令的最最小长度、不不是一些简单单的词、至少少包括一个数数字或标点符符号。creeate pprofille 和alterr proffile 命命令的PASSSWORDD_VERIIFY_FUUNCTIOON参数指定定用于评估口口令的函数名名。如果用户户提出的口令令不符合要求求，就不会被被接受。操作结果：确保口令安全5、 登陆口令编号：005名称：登陆口令重要等级：高基本信息：对于Oraclle7.1以前，当从一一个客户机连连接到数据库库服务器，或或者通过数据据库链接从一一

18、个数据库连连接到另一个个数据库时，除除非指定其他他形式，否则则Oraclle将以非加加密的形式传传输输入的口口令。对于OOraclee7.1以前，可以设设置参数来强强制Oraccle在传输输前将口令值值加密。对于于Oraclle 7.11及以后，Orracle默默认将以加密密的形式传输输输入的口令令，不需另外外手工配置。检测内容： 检查是否设置了了口令加密建议操作：对于Oraclle7.1以前，若要启启用口令加密密，需设置以以下参数： 对于客户机机，把sqllnet.oora文件中中的ORA_ENCRYYPT_LOOGIN参数数设为TRUUE。 对于服务器器， 把innit.orra文件中的的

19、DBLINNK_ENCCRYPT_LOGINN参数设为TTRUE。一旦这些参数被被设置(并且且关闭和重新新启动数据库库)，口令将将以加密的形形式在客户机机到服务器和和服务器到服服务器之间传传送。操作结果：确保登陆安全6、 口令文件验证编号：006名称：口令文件验证重要等级：高基本信息：DBA用户可以以由操作系统统验证。例如如在UNIXX系统上，/etc /groupp文件中DBBA组的成员员可以内部连连接。如果从从远程DBAA用户连接数数据库，建议使用口口令文件验证证。检测内容： 检查口令文件情情况建议操作：1) 使用ORRAPWD实实用程序创建建口令文件。ORAPWD FILE=filenn

20、ame PPASSWOORD=paassworrd ENTTRIES=max_uusers ORAPWD是是一个生成口口令文件的OOraclee实用程序。执执行ORAPPWD时，除了SYSS访问的口令令外，还规定要创创建的口令文文件的名称。EENTRIEES参数通知知Oraclle，要在口口令文件中创创建多少条目目。由于不能能在以后扩展展该文件，因因此要把ENNTRIESS值设得高一一些。如果超超出口令文件件条目数的范范围限额，就就收到一个OORA-19996错误。重重建该口令文文件时，需要要重新授予SSYSDBAA和SYSOPPER权限。2) 将iniit.oraa文件中的REEMOTE_L

21、OGINN_PASSSWORDFFILE初始始参数设置成成EXCLUUSIVE，关关闭并重新启启动数据库，以以便变更的参参数起作用。3) 将SYSSOPER和和SYSDBBA权限授予予需要进行数数据库管理的的每一个用户户。SYSDBA授授予用户数据据库管理员的的权限；SYYSOPERR使用户能执执行数据库操操作支持活动动。为了授予予用户SYSSOPER或或SYSDBBA权限，必必须在内部连连接。被受权权用户现在应应能通过使用用一个与下述述命令类似的的命令与数据据库连接： connnect ggeorgee/mch111PROOD.WORRLD ASS SYSDDBA如下面例子所示示，可以用rr

22、evokee命令撤消一一个用户的SSYSDBAA或SYSOOPER权限限：revoke SYSDBBA froom Geoorge;若要查看具有SSYSDBAA或SYSOOPER系统统权限的用户户，可以查询询V$PWFFILE_UUSERS。如如果用户拥有有SYSDBBA权限，V$PPWFILEE_USERRS在其SYSDDBA列中将将有一个TRRUE值；如如果拥有SYYSOPERR权限，将在在其SYSOOPER列中中有一个TRRUE值。操作结果：无7、 系统权限编号：007名称：系统权限重要等级：高基本信息：可以使用系统级级角色分派以以管理数据库库的系统级命命令。下表列列出了Oraacle提

23、供供的11个系系统级角色。使使用这些角色色就能对授予予数据库管理理角色的系统统级权限进行行限制。检测内容： 检查所有用户的的权限 检查网络的安全全建议操作：明确每个用户的的权限级别归归属：是否有必要8、 对象权限编号：008名称：对象权限重要等级：高基本信息：对象级权限(oobjectt-leveel priivilegge)使用户户可以访问不不属于自己的的数据。可以以使用角色来来减少权限的的管理。显式式权限也可以以使用，并且且在一些情况况下是必须的的。权限通过过grantt命令创建，存存于数据字典典中。对表、视视图、序列(以及它们的的同义词)的的访问，加上上执行过程、函函数、软件包包及类型的

24、能能力都可以授授权给用户。检测内容： 检查对象权限建议操作：下表列出了可以以授予对象的的权限。可以使用witth graant opption子子句向授与用用户传递授权权能力，以便便在基对象上上进一步授权权。随着角色色的出现，这这些权限的管管理就容易了了。角色是成成组的权限，角角色可授给用用户，这样就就大大简化了了权限管理进进程。操作结果：确保权限最小化化9、 日志记录编号：509名称：警告日志文件重要等级：高基本信息：Oracle的的警告日志aalertssid.loog里记录有有数据库的关关键活动，如如删除表空间间等，出于安安全的考虑，需需有规律地检检查警告日志志。检测内容： 检查警告日志

25、文文件建议操作：明确关键的数据据库活动是否否合理：操作结果：无3.1.2 特特定漏洞加固固方法一、 对传输数数据进行加密密如果需要对客户户端和服务器器端传输的数数据进行加密密，以防数据据窃听，可以以修改客户端端和服务器端端的sqlnnet.orra文件，对对传输的数据据进行加密，以以避免明文在在网络上的传传输。具体请参阅Orracle Advannced SSecuriity AAdminiistrattors GuideeConffiguriing Daata Enncrypttion aand Inntegriity二、对于访问数数据库的客户户端IP地址址进行配置。数据库监听客户户端IP地

26、址址的连接记录录，存储在/$oraccle/loog/lisstenerr.log文文件里，请管管理员定期查查看和分析该该日志文件。在/$oraccle/neetworkk/admiin目录下修修改SQLNNET.ORRA文件，增增加如下内容容：tcp.vallidnodde_cheeckingg=YEStcp.exccludedd_nodees=(1992.1688.0.1)对于访问数据库库客户端IPP的限制，借借助操作系统统或者防火墙墙等设备实现现也是可行的的。三、安装最新补补丁程序Oracle虽虽然具有很高高的安全性，但但是不可避免免还有安全漏漏洞，一个比比较安全的办办法是时刻关关注Or

27、accle的安全全公告，并及及时安装安全全补丁。安全全公告和补丁丁位置如下：http:/由于涉及Oraacle数据据库的业务都都是非常关键键的，在安装装安全补丁前前一定要做好好备份工作，联联系Oraccle公司或或者你的开发发商，定时做做补丁升级是是非常必要的的。四、对敏感的数数据库活动实实施审计对敏感的数据库库活动，如删删除表等进行行审计。Oracle提提供的数据库库审计类型有有：l 语句审计：监视视由一个或者者多个特定用用户或者所有有用户提交的的SQL语句。这这种类型的审审计范围非常常广。l 特权审计：监视视数据库里一一个或者多个个特定用户或或者所有用户户使用的系统统权限，比如如audit

28、t creaate taable。这这种类型的审审计范围是中中等的。l 模式对象审计：监视一个模模式里在一个个或者多个对对象上发生的的行为，比如如：audiit inssert iinto EEMPLOYYEES。这这种类型的审审计是非常有有重点的，范范围狭窄。设定初始化参数数auditt_traiil为DB或或OS。DB表示将审计计记录写到数数据库的AUUD$表里； OS表示将审审计记录写到到操作系统文文件中，默认认生成在$OORACLEE_HOMEE/rdbmms/auddit目录，审审计文件也可可以用初始化化参数AUDDIT_FIILE_DEEST另外指指定。启用审计在AUDIT_OPT

29、IOONS表里有有144个可可以审计的审审计命令，如如：creaate taable, inserrt, seelect等等。根据实际需要确确定要审计的的类型，比如如，若需知道道什么时候一一个新表被加加到数据库，可可通过下列命命令启用审计计：audit ccreatee tablle by ;查询审计select * froom dbaa_audiit_traail;五、用户管理5-1 过多多的用户被授授予DBA的的权限用命令SELEECT 的DBA选选项列出所有有被授予了DDBA角色的的用户，根据据需要分配用用户角色，命命令：SELLECT GGRANTEEE FROOM DBAA_ROLE

30、E_PRIVVS WHEERE GRRANTEDD=DBAA。5-2 存在在把权限授给给PUBLIIC的情况删除不需要的帐帐号，比如SSCOTT等等示例用户；对于不明确确是否能删除除的用户可以以暂时锁定该该用户，或赋赋予非常复杂杂的口令。删除用户及其所所有的数据对对象命令：ddrop uuser ddbuserr casccade;取消用户角色权权限：revvoke cconnecct froom dbuuser;应检查的用户名名包括：SCCOTT, DBSNMMP, TRRACESVVR, CTTXSYS, MDSYYS, DEEMO, CCTXDEMMO, APPPLSYSS, PO88,

31、 NAMMES, SSYSADMM, ORDDPLUGIIN, OUUTLN, ADAMSS, BLAAKE, JJONES, CLARRK, AUURORA$ORB$UUNAUTHHENTICCATED, APPSS。5-3 连接时使用用空口令。修改口令文件PPROFILLE，防止利利用空口令或或默认口令进进行连接。六、限制UTLL_FILEE的使用与应用系统开发发商确认是否否有用户需要要使用UTLL_FILEE程序包。如如果没有用户户使用，应收收回普通用户户对该包的执执行权限。如如果确实有用用户需要使用用UTL_FFILE包，应应确保只有确确实需要的用用户才拥有UUTL_FIILE的执行行

32、权。同时在在init.ora中设设定参数“UUTL_FIILE_DIIR”使用UTL_FILE包包的程序确实实需要访问的的目录。与应应用系统开发发商商议，是是否可以改变变DB_LIINK的创建建方式，在创创建DB_LLINK时不不指定用户名名和口令。七、数据库配置置：数据库配配置未采用数数据字典保护护。检查初始化参数数O7_DIICTIONNARY_AACCESSSIBILIITY是否为为FALSEE。该参数为为FALSEE, 将阻止止具有ANYY 权限的用用户访问数据据字典基表，以以有力地保护护数据字典。此参数的修改需需要重启数据据库才能生效效.Defaultt:Oracle 8i:TUUR

33、EOracle99i: FAALSE八、关闭HTTTP SerrverHTTP Seerver用用于通过HTTTP访问数数据库，如EEM和动态服服务。若无必必要，关闭该该serveer:$ cd $ORACCLE_HOOME/Appache/Apachhe/binn$ apacchectll stoop九、关闭远程数数据库验证远程数据库验证证只用于当你你信任客户端端用户时采用用。这种验证证机制是：用用户在客户端端验证，当用用户登录数据据库时不再需需要用服务器器端数据库密密码验证，故故称为远程数数据库验证。为为加强安全起起见，关闭远远程数据库验验证。设定初始化参数数REMOTE_OS_AUUTH

34、ENTT = FAALSE十、实施VPDD 和 Oraccle Laabel SSecuriity如有必要，在普普通的数据库库安全机制外外，还可实施施另一种新的的安全机制，称称为VPD（虚拟拟专用数据库库），帮助从从数据库内部部提供有效的的安全。这种种安全机制的的原理是从用用户登录到数数据库开始，预预先为特定用用户设定的自自定义的安全全策略发生作作用，使得当当用户提交一一个查询（或或inserrt,upddate,ddeletee）时，自动动地加上相应应的wherre子句，这这样细粒度的的访问控制被被Oraclle自动实现现和保证，对对用户和应用用透明。例如如， 使用以以下查询从数数据库里查询

35、询数据：select * froom cusstomerrs;如果custoomers表表里有一个相相关的安全策策略来限制销销售代表只能能查看自己顾顾客的信息，这这个查询将被被自动地重写写为：select * froom cusstomerrs wheere saales_rrep_idd=sys_conteext(hhr_conntext, saales_iid);比如说，A,BB两位销售代代表键入的是是同一条SQQL语句， selecct * ffrom ccustommers, 但返回的结结果不同：AA返回的是seelect * froom ordders wwhere saless_r

36、ep_id=4006, BB返回的是seelect * froom ordders wwhere saless_rep_id=1552，也就是是说某个销售售代表只能访访问到他本人人的销售的信信息，其他销销售代表的信信息则访问不不了。被安全全策略自动地地加到用户的的查询上的wwhere子子句确保该销销售代表只能能查看到他自自己的客户数数据，别人的的数据看不到到。销售代表表的ID从用户定定义的应用程程序上下文hhr_conntext里里得到。在VPD里，仍仍然需要授予予用户对每个个表的适当的的权限，但是是你不需要创创建视图和过过程来防止用用户访问其他他客户的数据据。因此，不不必担心用户户通过SQL

37、L*PLUSS等访问到他他们不该访问问的数据。创建和配置VPPD的步骤如如下：l 确定数据库对象象和它们的关关系l 定义安全策略目目标l 创建应用程序上上下文l 创建设置上下文文的包l 创建策略函数l 将策略函数与表表或者视图相相关联VPD的详细信信息请参阅http:/Oracle Labell Secuurity 为精细化 (finee-graiined) 访问控制提提供了基于行行标签 (rrow labells) 的复复杂而灵活的的安全性。OOraclee Labeel Seccurityy 借用政府府机构、国防防部门及商业业组织使用的的“贴标签” (labeeling) 概念来保保护敏感

38、信息息并提供数据据隔离能力。Oracle Labell Secuurity是是一种特别的的VPD, 通过它可以以创建安全策策略，然后透透明地设置VVPD以实施施该策略，这这些过程通过过内建的paackagee来完成，不不需要开发PPL/SQLL程序，这是是相比VPDD来说的一大大好处。其原原理具体来讲讲： 安全管管理员对用户户贴上标签指指派级别和类类型，数据行行也打上标签签，指示该数数据行的级别别和敏感度。当当用户试图执执行一个任务务，比如从表表里查询记录录时，Oraacle labell secuurity 将校验用户户的标签和数数据行的标签签是否匹配，以以确保从这个个表返回正确确的行。用户

39、户只能对数据据库里有匹配配的访问标签签的行进行访访问和交互。详详细的配置举举例可见：http:/mettalinkk.oraccle.coom/， Notee 2300980.11 第四章 附录录：数据库安安全问题及解解决方案4.1 数据库库安全问题电子商务的流行行和 Intternett 的普遍性性改变了机构构运营商务的的方式、人们们进行通信的的手段。这些些改变带来了了推动商业决决策的新技术术。安全性渐渐渐从内部集集成解决方案案组转变成了了电子商务实实施的主要必必需条件。目前世界上很多多企业和机构构正在充分利利用 Intternett，优化运作作，并以相同同的方式与供供应商、合作作伙伴、内部

40、部用户和客户户直接进行通通信。然而，这这些新的商业业运作模式为为它们带来了了机遇同时也也带来了各种种挑战。不同同类别的用户户需要以不同同的方式访问问数据。合作作伙伴必须能能够看到某些些有限的数据据，员工能够够浏览公司机机密信息，而而客户只能看看到与其相关关的信息； 同时Intternett 的发展使使企业级应用用系统的用户户数量呈指数数级增长, 为企业级的的用户管理带带来了挑战。简简而言之，IInternnet时代安安全性的挑战战包括：了解解用户、设置置用户访问权权限、对机密密数据进行保保密、提供安安全的网络服服务。借助 Oraccle9i、Oraclle9i Advvancedd Secuu

41、rity和和Oraclle Labbel Seecuritty 的功能，管管理员和集成成商能够克服服这些 Innterneet 安全性性挑战，Orracle为为基于 Innterneet 的企业业范围应用解解决方案提供供了极其安全全的环境。4.1.1 数数据安全基本本需求数据安全的需求求概括来讲就就是：正确的的人能够及时时地存取到正正确的数据。基本的数据安全全需求有下面面三方面：l 数据机密性l 数据完整性l 数据可访问数据机密性一个安全的系统统需保证数据据的机密性，这这意味着只能能让合法的用用户看到他该该看到的数据据。机密性涉涉及到几个方方面：1) 数据传输过程中中的保密:在数据传输输过程中

42、不能能被非法者侦侦听。2) 敏感数据的安全全存储：一旦旦机密数据存存放在数据库库，它的完整整性和私有性性必须得到保保护。3) 用户身份的确定定：确保只有有合法的用户户才能访问数数据。怎样确确定连上来的的用户就是他他声称的那个个人，需要对对用户的真实实身份进行验验证。4) 细粒度的访问控控制：访问数数据库的某一一特定用户不不应该看到所所有数据，而而只能看到他他可以看的那那些数据，比比如说某张表表的某些记录录的某些字段段值，访问控控制需要细化化。那么机密性的控控制是怎样进进行实施呢？通常在数据库里里保证数据机机密的过程：1) 验证：验证用户户的身份是否否合法2) 授权：确定用户户的权限3) 访问控

43、制：根据据用户的权限限，限制用户户对物理数据据的访问比如： 如果SSmith访访问数据库，那那么验证将确确定他是否是是合法的用户户，而非冒名名顶替者；授授权将确定他他是以产品经经理的身份登登录数据库；访问控制将将基于产品经经理的权限对对他的会话进进行数据访问问控制。数据完整性数据完整性要求求：(1) 数据据是合法有效效的；(2) 数据据不能被恶意意删除和修改改；(3) 数据据之间的依赖赖关系必须保保证。数据在数据库中中和在网络传传输中，完整整性涉及到下下面几个方面面：1) 系统和对象权限限控制对表的的访问，这样样只有授权用用户才可以改改变数据。2) 约束能保证数据据是有效的，比比如外键约束束能

44、保证表之之间的数据依依赖关系。3) 数据库必须能够够免于病毒的的攻击以破坏坏数据。4) 网络传输必须被被保护，以免免于恶意删除除、破坏。数据和服务的高高可用性从安全的角度来来看，数据和和服务的高可可用性意味着着数据和服务务对授权用户户是可用的，没没有延迟。恶意的系统攻击击使得授权的的用户不能正正常访问系统统。防止恶意意的攻击是一一个安全问题题。必须有措措施能够阻止止恶意的攻击击。在Oraacle里可可以定义prrofilee限定用户使使用的资源，这这样系统可以以防止恶意用用户消耗过多多的内存和进进程，从而影影响到其他人人的正常工作作。4.1.2 数数据安全风险险在数据库应用中中，数据安全全面临

45、着以下下威胁：数据被篡改通信的私有性对对保证数据在在传输过程中中不被篡改非非常重要。分分布式的环境境给恶意攻击击者篡改数据据带来了可能能。在数据篡篡改的攻击中中，一个未授授权的攻击者者对传输中的的数据进行拦拦截、篡改后后，再把数据据继续进行传传输。比如一一个攻击者把把银行交易的的金额从1000元改为11000元，导导致交易错误误。数据被窃取数据必须能够安安全地存储和和传输，因此此敏感信息诸诸如信用卡号号、密码等不不会被窃取。但在大多数网络络中，即使通通信通道全部部是有线链路路，未授权用用户也可以用用worksstatioon 或者PPC 设法接接入网络以窃窃听网络上的的传输数据。对对于所有类型型的网络，包包括局域网和和广域网这种种数据窃听都都有可能。用户身份被伪造造你必须能够在网网络上确认登登录到系统的的用户就是他他本人，而不不是冒名顶替替者。在分布式环境中中