Oracle10g_d47045cn10_ch9资料.ppt

实施 Oracle 数据库安全性 课程目标 学完本课后，应能完成以下工作： 说明由 DBA 负责的安全工作 应用最少权限原则 启用标准数据库审计 指定审计选项 复查审计信息 维护审计线索 业界安全性要求 法律： Sarbanes-Oxley 法案 (SOX) 安全信息流通和责任法案 (HIPAA) 加利福尼亚州违约法 英国数据保护法案 审计 安全性要求完整注释页 责任分离 必须信任具有 DBA 权限的用户。请考虑以下两个因素： 滥用信任 审计线索保护受信任的职位 必须共同分担 DBA 责任 一定不能共享帐户 DBA 和系统管理员必须由不同人员担任 分离操作员与 DBA 的责任 数据库安全性 安全系统可确保所包含数据的机密性。安全性包括以下几个方面： 限制对数据和服务的访问 验证用户 监视可疑活动 数据库安全性完整备注页 最少权限原则 只在计算机上安装所需软件 只在计算机上激活所需服务 只允许需要访问的用户访问操作系统和数据库 限制对 root 或管理员帐户的访问 限制对 SYSDBA 和 SYSOPER 帐户的访问 只允许用户访问完成工作所需的数据库对象 应用最少权限原则 保护数据字典： 从 PUBLIC 撤消不必要的权限： 限制用户可访问的目录 限制具有管理权限的用户 限制远程数据库验证： 应用最少权限原则完整备注页 监视可疑活动 监视或审计是安全过程的一部分。请复查下列各项： 强制性审计 标准数据库审计 基于值审计 细粒度审计 (FGA) DBA 审计 标准数据库审计 启用审计 请在修改静态初始化参数之后重新启动数据库 统一审计线索 请使用 AUDIT_TRAIL 启用数据库审计 Enterprise Manager 审计页 指定审计选项 审计 SQL 语句： 审计系统权限（非重点和重点）： 审计对象权限（非重点和重点）： 使用和维护审计信息 请在不使用审计选项时禁用审计选项 基于值审计 基于值审计完整备注页 细粒度审计 根据内容监视数据访问 审计 SELECT、INSERT、UPDATE、DELETE 和 MERGE 可链接到表或视图，也可链接到一列或多列 可能会触发过程 使用 DBMS_FGA 程序包进行管理 FGA 策略 FGA 策略完整备注页 审计的 DML 语句：注意事项 如果满足 FGA 谓词并且引用了相关列，则会审计记录 不管指定列是什么，都会审计 DELETE 语句 会审计 MERGE 语句以及基础 INSERT 或 UPDATE 生成语句 FGA 准则 要审计所有语句，请使用 null 条件 策略名必须唯一 创建策略时，审计的表或视图必须已经存在 如果审计条件语法无效，则访问审计对象时会发生 ORA-28112 错误 如果表中不存在审计的列，则不会审计任何行 如果事件处理程序不存在，则不会返回任何错误但仍会创建审计记录 DBA 审计 具有 SYSDBA 或 SYSOPER 权限的用户可在关闭数据库时进行连接。 审计线索必须存储在数据库外部 总是审计以 SYSDBA 或 SYSOPER 身份进行的连接 可使用 audit_sys_operations 启用 SYSDBA 或 SYSOPER 操作的附加审计 可使用 audit_file_dest 控制审计线索 维护审计线索 应该维护审计线索。遵循下列最佳方案准则： 复查和存储旧记录 避免出现存储问题 避免记录丢失 安全更新 Oracle 在以下网址的 Oracle Technology Network Web 站点上公布了安全警报：/technology/deploy/security/alerts.htm Oracle 数据库管理员和开发人员通过单击“Subscribe to Security Alerts Here”链接进行预订后可通过电子邮件得到有关严重安全警报的通知。 应用安全补丁程序 使用关键补丁程序更新进程 应用所有安全补丁程序和解决方法 与 Oracle 负责产品安全的团队联系 小结 在本课中，应该已经学会如何： 说明 DBA 负责的安全工作 应用最少权限原则 启用标准数据库审计 指定审计选项 复查审计信息 维护审计线索 练习概览：实施 Oracle 数据库安全性 本练习包含以下主题： 启用标准数据库审计 指定 HR.JOBS 表的审计选项 更新表 复查审计信息 维护审计线索 课程目标 从本课开始，将学习关于 Oracle 安全性的知识。补充信息包括在以下文档中： 《Oracle 数据库概念 10g 发行版 2 (