Oracle安全策略与实施方案

Oracle安全策略与实施方案姓名：学号：指导老师：系名：软件学院专业：计算机科学与技术班级：11级12班2012年5月21日Oracle安全策略与实施方案I目录摘要............................................................................................................................................................-1-第1章ORACLE安全策略的概述..........................................................................................................-1-1.1、数据安全性策略问题.......................................................................................................................-1-1.2、系统安全性策略问题.......................................................................................................................-1-1.3、用户安全性策略问题.......................................................................................................................-2-1.4、审计策略的问题...............................................................................................................................-3-第2章ORACLE安全策略的实施方案.................................................................................................-3-2.1、数据安全策略的实施方案....................................................................................................................-3-2.2、系统安全策略的研究方案....................................................................................................................-5-2.3、用户安全策略的实施方案....................................................................................................................-6-2.4、审计安全策略的研究方案....................................................................................................................-6-第3章结语..............................................................................................................................................-6-Oracle安全策略与实施方案-1-摘要21世纪是知识经济的时代。信息技术发展迅猛。大力发展信息技术和广泛应用电子计算机，随着计算机技术的飞速发展，数据库的应用十分广泛，深入到各个领域，但随之而来产生了数据的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题，越来越引起人们的高度重视。数据库系统作为信息的聚集体，是计算机信息系统的核心部件，其安全性至关重要，关系到企业兴衰、国家安全。因此，如何有效地保证数据库系统的安全，实现数据的保密性、完整性和有效性，已经成为如今关注的一个话题。第1章Oracle安全策略的概述Oracle数据库系统，提出多方位的数据库安全性策略，主要包括数据安全性策略，系统安全性策略，用户安全性策略，审计策略等。1.1、数据安全性策略问题数据安全包括在对象级控制数据库访问和使用的机制数据安全策略决定哪个用户访问特定模式对象，在对象上允许每个用户的特定类型操作。数据安全策略也可以定义审计每个模式对象的操作在数据安全管理中我们应基于该数据的重要性作细化的安全考虑，倘若数据的重要性不强，则对其安全策略的制定可以稍微宽松些，而如果该数据类型非常重要那么我们应谨慎地制定安全策略，从而实现有效的对数据对象的访问控制，确保数据库的综合安全性。1.2、系统安全性策略问题数据库用户通过访问权限展开对Oracle数据库中丰富信息的访问，因此在源头上控制好信息的安全访问路径能有效地提升Oracle数据库的安全稳定性。我们应依据该数据库系统的承载量、规模量以及在管理众多数据库用户期间的工作量进行安全管理设计，遵循安全管理人员拥有的权限即他们是create、alter或是drop数据库中的一位特殊用户还是真正拥有该权限的用户。总之我们应本着高信誉度、责任心强的选择原则。赋予那些值得信任的管理员相应的数据库用户管理权限，从而有针对性地进行用户安全管理。Oracle安全策略与实施方案-2-在数据库的安全管理中我们可科学地利用数据库、操作系统及其网络服务功能对用户身份进行一致性认证，从而实现安全的、快捷的、便利的用户管理及登录数据库，集中控制用户的身份认证、合理审计数据库信息与操作系统信息一致性等目标。在审核中倘若操作系统与其数据库的用户信息相一致，那么Oracle数据库便无需对用户的个人信息、名称及相关密码进行进一步存储及管理。这无疑大大提升了认证、管理的工作效率。对操作系统安全性能的管理，要求数据库管理人员应具有对create和delete相应文件的操作管理权限，这是一般数据库用户、维护人员所不具备的特殊数据处理权限。倘若该操作系统能够为相应的数据库用户分配该角色，那么相应的安全管理操作人员就必须拥有对操作系统中帐户安全域的修改与管理权限。依据数据库操作系统的特征我们还可以在其下科学地建立用户组，从而体现其高效的保障数据库安全性能的充分优势。为了提升Oracle数据库的安全性我们可将其相应程序分为两类，在第一类程序中，所有的用户均可以对其调用执行，而第二类程序则只能由DBA进行执行倘若操作系统为UNIX环境，我们则在用户组的配置文件设置中采用／etc，／group的设置方式，并通过在开展OrachServer安装之前，首先创建相应的数据库管理成员组，即DBA的方式进行安全管理，同时将拥有root以及Oracle软件的用户ID分配给该组在DBA中，其可以执行的程序仅有710权限。在进行安装的过程中，我们可将SQL*DBA的系统权限及命令分配给DBA组。另外我们还可允许一些UNIX用户有区别、有章、有度对Oracle服务器系统进行权限访问。并增设Oracle组。该组由授权管理用户组成，这样便可有效地实现为Oracle服务器的相关实用例程Oracle进行组ID控制。在各类公用可执行程序中，例如SQL*Plus或SQL*Forms中，则可被该组进行执行，同时该示例程序的权限被认定为710，其可令同组用户展开执行管理，其他用户则无法实现该功能。1.3、用户安全性策略问题在对用户安全性的策略管理中，管理员应担当对Sys及System的用户连接保护。在Oracle数据库中，sys和System是具有相应DBA权限的用户，其初始默认密码为manager在完成数据库的建立后，我们应立即对拥有管理权限的以上两类用户进行密码更改，以杜绝非法用户用该默认密码对数据库进行不良使用及访问情况。当数据库较大Oracle安全策略与实施方案-3-时，便会有多个数据库管理员进行一同管理，这时安全管理员可将相关的管理特权及管理职能分配于不同管理员之中，并赋予他们相应的管理角色。数据库安全性问题是关乎信息数据能否高效、准确、完整传输的基础前提，同时也是各信息平台发挥高度共享服务优势的必要保证，本文针对UNIX平台下的Oracle数据库系统，提出多方位的数据库安全性策略，希望对数据库管理员有所帮助。应用程序的开发人员必须具有特殊的权限组以完成相应的数据库开发工作，因此必须享有例如createtable或crealteprocedure等系统的开发使用权限，同时我们还应科学地限制开发者在数据库中的操作类别，仅应依据其开发需求赋予他们对特定系统的使用权限。同时开发应用程序人员不应为了提升开发速度便与数据库的终端用户进行数据库资源的竞争，甚至是占用，即不能以损害数据库服务应用产品的利益作为代价进行开发另外我们还应充分赋予数据库安全管理人员的管理权限，令他们通过角色的创建职能对开发程序人员的典型权限需求进行细化管理。再者我们应强化对开发程序人员的空间使用限制，明确他们创建空间、使用空间份额的权利。1.4、审计策略的问题Oracle的审计（Auditing）工具用于记录关于数据库管理员应担任对操作的信息，例如操作是何时发生的，谁在执行它。若发生一次或多次事件，使得怀疑某个或某些用户的活动，审计就显得重要了。通过审计，该活动的记录可以用于跟踪有问题的当前人。在审计前，根据不同的需求，应该首先确定需要什么内容。不仅包括要审计的活动，而且包括要审计的用户账户审计的原因主要有信息目的和可疑行为两种。审计的类型有语句审计、特权审计和模式对象审计。第2章Oracle安全策略的实施方案2.1、数据安全策略的实施方案数据安全策略主要包括对数据库中数据的修改权限控，制以及数据加密。对于前者，现行的很多方法比如通过角色控制和视图等都可以很好地实现，而后者却一直没有得到Oracle安全策略与实施方案-4-足够的重视。下文将重点就后者进行论述。在数据库中的数据只要是以可读方式进行存放的，就可能存在潜在的威险。为了把这种危险降到最小，必须对数据库中的数据进行加密处理。数据加密就是把明文数据按照一定的规则进行处理，变为密文数据，用户自己掌握相应的密钥，从而达到提高数据安全的目的。数据库的加密技术从大类上来分主要分为两种：DBMS内核层加密和DBMs外围层加密。所谓DBMS内核层加密是在数据做物理存取之前完成加密／解密工作，其特点是加密功能强，且加密不会影响DBMs功能，可以实现加密与数据库管理系统的无缝耦合，但因为所有加密操作都集中在数据库本身，所以易降低数据库运行性能。而DBMS外围层加密则在算法上有多样性选择，但加密过程与数据库服务器分离，将增大整个系统的通信压力下面以oracle数据库为例，介绍一下数据库中对数据加密的原理。1．基于数据库自身的加密软件包oracle作为一个企业级软件，其自身在出厂时已经带了加密软件包，通过使用该软件包可以很好地完成对oracle数据库加密的工作。在oracle9i及其之前的版本里该软件包名为DBMS—oBFUSCATIoN—TooLKIT，而到了oraclelOg该加密软件包更名为DBMs-CRYPTol2lo，DBMS—CRYPTo软件包相对DBMS—oBFUSCATIoN～TooLKIT而言，提供了更加丰富和强大的加密、解密(AES算法替代了DataEnc