Oracle資料庫安全策略分析

SQL*DBA命令的安全性：

如果您沒有SQL*PLUS應用程式，您也可以使用SQL*DBA作SQL查許可權相關的命令只能分配給Oracle軟體擁有者和DBA組的使用者，因為這些命令被授予了特殊的系統許可權。

(1) startup

(2) shutdown

(3) connect internal

資料庫檔案的安全性：

Oracle軟體的擁有者應該這些資料庫檔案($ORACLE_HOME/dbs/*)設定這些檔案的使用許可權為0600：檔案的.擁有者可讀可寫，同組的和其他組的使用者沒有寫的許可權。Oracle軟體的擁有者應該擁有包含資料庫檔案的目錄，為了增加安全性，建議收回同組和其他組使用者對這些檔案的可讀許可權。

網路安全性：

當處理網路安全性時，以下是額外要考慮的幾個問題。

(1)在網路上使用密碼在網上的遠端使用者可以通過加密或不加密方式鍵入密碼，當您用不加密方式鍵入密碼時，您的密碼很有可能被非法用 戶截獲，導致破壞了系統的安全性。

(2)網路上的DBA許可權控制您可以通過下列兩種方式對網路上的DBA許可權進行控制：

A 設定成拒絕遠端DBA訪問；

B 通過orapwd給DBA設定特殊的密碼。

建立安全性策略：

(1) 管理資料庫使用者資料庫使用者是訪問Oracle資料庫資訊的途徑，因此，應該很好地維護管理資料庫使用者的安全性。按照資料庫系統的大小和管理資料庫使用者所需的工作量，資料庫安全性管理者可能只是擁有create，alter，或drop資料庫使用者的一個特殊使用者，或者是擁有這些許可權的一組使用者，應注意的是，只有那些值得信任的個人才應該有管理資料庫使用者的許可權。

(2) 使用者身份確認資料庫使用者可以通過作業系統，網路服務，或資料庫進行身份確認，通過主機作業系統進行使用者身份認證的優點有：

A 使用者能更快，更方便地聯入資料庫；

B 通過作業系統對使用者身份確認進行集中控制：如果作業系統與資料庫使用者資訊一致，那麼Oracle無須儲存和管理使用者名稱以及密碼；

C 使用者進入資料庫和作業系統審計資訊一致。

(3) 作業系統安全性

A 資料庫管理員必須有create和檔案的作業系統許可權；

B 一般資料庫使用者不應該有create或與資料庫相關檔案的作業系統許可權；

C 如果作業系統能為資料庫使用者分配角色，那麼安全性管理者必須有修改作業系統帳戶安全性區域的作業系統許可權。