浅谈Oracle数据库安全管理策略.docVIP

浅谈Oracle数据库安全管理策略 　　摘要：Oracle数据库的安全问题是各国、各部门、各行业以及每个计算机用户都十分关注的重要问题。本文从数据库系统安全性要求、数据库用户管理、权限管理及资源限制管理几个方面介绍Oracle数据库的安全性策略。 　　关键词：Oracle数据库用户管理权限管理资源限制管理 　　1、数据库系统安全性要求 　　数据库管理系统一般对完整性、保密性和可获（用）性都有要求，有关数据库系统安全性要求如表1所示。 　　2、在Oracle多用户数据库中，安全机制的功能 　　(1)防止非授权的数据库存取。 　　(2)防止非授权的对模式对象的存取。 　　(3)控制磁盘使用。 　　(4)控制系统资源使用。 　　(5)审计用户运作。 　　Oracle数据库代理认证增强了三层安全，包括X.509许可文件或判别名的信用代理、对于JDBC的支持、应用程序用户的连接共享及Oracle Internet目录相集成，可以确保用户只能通过中间级访问数据库，结果是，在应用程序的所有层中安全地维护了用户身份，将用户和权限管理集中在Oracle Internet目录中。此外，Oracle数据库增强了两个安全选项：Oracle标签安全性功能支持数据标签中的数据可发布性，并且提供了更成熟的控制数据传播的方法；高级安全性能够支持高级加密标准，接受来自RADIUS服务器的验证，并提供用户迁移能力，把经过密码验证的数据库用户迁移到Oracle Internet目录中进行集中化管理。这些功能特性提供了强大的平台保障。 　　3、Oracle的安全性策略 　　3.1 用户管理 　　用户是定义在数据库中的一个名称，它是Oracle数据库的基本访问控制机制。当用户要连接到Oracle数据库以进行数据访问时，必须要提供合法的用户名及其口令。 　　Oracle数据库是可以为多个用户共享使用的，一个数据库中通常会包含多个用户。数据库在新建后通常会自动建好一些用户，其中最重要的有sys和system两个管理员用户及scott等一些普通用户。 　　数据库每个用户都可以拥有自己的对象，一个用户所拥有对象的集合称为一个模式，用户与模式具有一一对应的关系，并且两者名称相同。不同模式中可以具有相同的数据库对象名，即不同用户下的对象名称可以相同。对象的访问???式为[模式名.]对象名，只有访问自己模式对象时，模式名才可以省略。 　　数据库管理员可以定义和创建新的数据库用户，可以为用户更改口令，可以锁定某用户禁止其登录数据库，总之，用户管理工作是数据库管理员的职责之一。 　　3.2 权限管理 　　权限用于限制用户可执行的操作，即限制用户在数据库中或对象上可以做什么，不可以做什么。新建立用户没有任何权限，不能执行任何操作，只有给用户授予了特定权限或角色之后，该用户才能连接到数据库，进而执行相应的SQL语句或进行对象访问操作。 　　Oracle中权限分为系统权限和对象权限两种类型。 　　(1)系统权限。系统权限是在数据库中执行某种操作，或者针对某一类的对象执行某种操作的权力。系统权限并不针对某一个特定的对象，而是针对整个数据库范围。 　　(2)对象权限。对象权限是一种对于特定的表、视图、序列、过程、函数或程序包执行特定操作的一种权限或权力。 　　角色管理。角色就是一组权限的集合。角色可以被授予用户或其他的角色，把角色分配给用户，就是把角色所拥有的权限分配给了用户。 　　使用角色可以更容易地进行权限管理，主要体现在如下三个方面。(1)减少了授权工作：用户可以先将权限授予一个角色，然后再将角色授予每一个用户，而不是将一组相同的权限授予多个用户。(2)动态权限管理：当一组权限需要改变时，只需要更改角色的权限，则所有被授予了此角色的用户自动地立即获得了修改后的权限。(3)方便地控制角色的可用性：角色可以临时禁用和启用，从而使权限变得可用和不可用。(4)PROFILE管理。PROFILE也称配置文件或概要文件，是口令限制和资源限制的命名集合。数据库每个用户都会对应一个配置文件。当建立数据库时，系统会自动建立DEFAULT配置文件，该文件的所有口令及资源限制选项初始值均为UNLIMITED，即未进行任何口令和资源限制。当建立用户时，如果不指定PROFILE子句，则Oracle会将DEFAULT分配给该用户。根据用户所承担任务的不同，DBA应该建立不同的PROFILE，并将PROFILE分配给相应的用户。 　　(1)使用PROFILE可以管理口令和进行资源限制。管理口令有锁定账户、终止口令、口令历史以及口令校验等四种安全保护方式，共包含了7个口令管理选项，如果仅指定某个或某几个选项，那么其他选项将自动使用DEFAULT的相应选项值。 　　在大而复杂的多用户数据库管理环境中，用户众多，不仅需要