Oracle數(shù)據(jù)庫(kù)安全解決方案及技術(shù)綜述教學(xué)提綱

1、精選優(yōu)質(zhì)文檔-傾情為你奉上Oracle數(shù)據(jù)庫(kù)安全解決方案及技術(shù)綜述學(xué) 院:電子與信息工程學(xué)院專 業(yè):xxxxxxxx學(xué) 號(hào):xxxxxx學(xué)生姓名:xxxxx指導(dǎo)教師:xxxxxx日 期:xxxxxxxOracle數(shù)據(jù)庫(kù)安全解決方案及技術(shù)綜述1. 背景介紹Ø 隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展。網(wǎng)絡(luò)安全問題日漸突出。數(shù)據(jù)庫(kù)技術(shù)自20世紀(jì)60年代產(chǎn)生至今，也已得到了快速的發(fā)展和廣泛應(yīng)用，數(shù)據(jù)庫(kù)中由于數(shù)據(jù)大量集中存放，且為眾多用戶直接共享，安全性問題尤為突出。 Ø 數(shù)據(jù)庫(kù)是按照數(shù)據(jù)結(jié)構(gòu)來組織、存儲(chǔ)和管理數(shù)據(jù)的倉(cāng)庫(kù)，它產(chǎn)生于距今五十年前。經(jīng)過幾十年的發(fā)展，數(shù)據(jù)庫(kù)技術(shù)在理論上得到不斷完

2、善的同時(shí)，也廣泛地投入到財(cái)務(wù)、教育、電子政務(wù)、金融等領(lǐng)域中得到大規(guī)模的應(yīng)用。目前，市場(chǎng)上不僅有能滿足個(gè)人用戶需要的桌面小型數(shù)據(jù)庫(kù)管理系統(tǒng)，也有能提供大規(guī)模數(shù)據(jù)管理功能、應(yīng)用在網(wǎng)絡(luò)環(huán)境的大中型數(shù)據(jù)庫(kù)管理系統(tǒng)。2. 數(shù)據(jù)庫(kù)系統(tǒng)安全概述 u 安全威脅  當(dāng)前對(duì)數(shù)據(jù)庫(kù)的主要安全威脅有物理威脅和邏輯威脅：物理威脅主要是像各種外力，如：恐怖事件，火災(zāi)等造成的數(shù)據(jù)庫(kù)服務(wù)器故障或數(shù)據(jù)庫(kù)中存儲(chǔ)介質(zhì)的損壞造成的數(shù)據(jù)丟失。邏輯威脅主要是指對(duì)信息的未授權(quán)存取，如：惡意用戶侵入某銀行數(shù)據(jù)庫(kù)系統(tǒng)竊取信用卡數(shù)據(jù)信息。u 數(shù)據(jù)庫(kù)安全技術(shù)  目前對(duì)數(shù)據(jù)庫(kù)安全物理威脅的主要解決方

3、案包括數(shù)據(jù)備份恢復(fù)、數(shù)據(jù)導(dǎo)入導(dǎo)出、數(shù)據(jù)庫(kù)的災(zāi)難恢復(fù)，計(jì)算機(jī)的集群和磁盤陣列等技術(shù)，在此本文不進(jìn)行討論。本文以O(shè)racle數(shù)據(jù)庫(kù)為例闡述對(duì)邏輯威脅的主要解決方法，包括身份認(rèn)證、存取控制、網(wǎng)絡(luò)加密、數(shù)據(jù)加密、審計(jì)等技術(shù)。 u 數(shù)據(jù)庫(kù)系統(tǒng)的安全需求 數(shù)據(jù)庫(kù)的完整性主要包括物理完整性和邏輯完整性。物理完整性主要包括物理完整性和邏輯完整性。物理完整性是指保證數(shù)據(jù)庫(kù)的數(shù)據(jù)不受物理故障，如硬件故障、掉電的影響，并有可能在災(zāi)難毀壞時(shí)重建和恢復(fù)數(shù)據(jù)庫(kù)。邏輯完整性是指對(duì)數(shù)據(jù)庫(kù)邏輯結(jié)構(gòu)的保護(hù)，包括數(shù)據(jù)的語義完整性和操作完整性。前者主要指數(shù)據(jù)存取在邏輯上滿足完整性約束，后者主要指在并發(fā)事務(wù)中保證數(shù)

4、據(jù)的邏輯一致性。數(shù)據(jù)庫(kù)的保密性指不允許未經(jīng)授權(quán)的用戶存取數(shù)據(jù)；數(shù)據(jù)庫(kù)的可用性則是指不應(yīng)拒絕授權(quán)用戶對(duì)數(shù)據(jù)庫(kù)的正常操作，同時(shí)保證系統(tǒng)的運(yùn)行效率并提供用戶友好的人機(jī)交互。  一般而言，數(shù)據(jù)庫(kù)的保密性和可用性是一對(duì)矛盾。對(duì)這一矛盾的分析與解決構(gòu)成了數(shù)據(jù)庫(kù)系統(tǒng)的安全模型和一系列安全機(jī)制的主要目標(biāo)。 數(shù)據(jù)庫(kù)系統(tǒng)的安全需求 3. Oracle的安全策略 3.1系統(tǒng)安全性策略 系統(tǒng)安全策略的定義1為：系統(tǒng)安全策略是數(shù)據(jù)庫(kù)系統(tǒng)為達(dá)到安全目標(biāo)和相應(yīng)的安全級(jí)別所定義的安全技術(shù)、方法、機(jī)制的總和。DBMS將系統(tǒng)安全策略體現(xiàn)在其軟件之中，最后由DBA

5、0;給予實(shí)現(xiàn)，主要體現(xiàn)在安全管理。Oracle9i的系統(tǒng)安全策略主要功能如下： （1） 系統(tǒng)與數(shù)據(jù)的安全性策略 數(shù)據(jù)庫(kù)用戶管理（DBU)。數(shù)據(jù)庫(kù)主要是由 DBU訪問的。DBA可授權(quán)DBU應(yīng)用Create、Alter、Drop語句對(duì)數(shù)據(jù)庫(kù)對(duì)象的操作權(quán)限，用戶身份驗(yàn)證。數(shù)據(jù)庫(kù)用戶可以通過操作系統(tǒng)、 網(wǎng)絡(luò)服務(wù)、 數(shù)據(jù)庫(kù)或者安全套接字層SSL進(jìn)行身份確認(rèn)。 (2) 操作系統(tǒng)（IOS安全性   由于Oracle數(shù)據(jù)庫(kù)和應(yīng)用程序是運(yùn)行在網(wǎng)絡(luò)操作系統(tǒng)（NOS）之上，然后進(jìn)行 安全認(rèn)證的。所以前兩者的安全性需要與操作系統(tǒng)安全一同考

6、慮。DBA必須具有對(duì)NOS 的文件進(jìn)行Create和Delete的權(quán)限而數(shù)據(jù)庫(kù)用戶卻不具有。如果操作系統(tǒng)為數(shù)據(jù)庫(kù)用戶分配角色，則DBA必須有修改操作系統(tǒng)賬戶安全區(qū)域的操作系統(tǒng)權(quán)限。3.2 用戶驗(yàn)證 : Oracle 采用數(shù)據(jù)庫(kù)驗(yàn)證、外部驗(yàn)證和企業(yè)驗(yàn)證三種用戶驗(yàn)證方式。 ² 數(shù)據(jù)庫(kù)驗(yàn)證  當(dāng)創(chuàng)建用戶和指定口令時(shí)，便使用數(shù)據(jù)庫(kù)驗(yàn)證，同時(shí)具有了口令管理能力。Oracle 通過在一個(gè)概要文件中設(shè)置參數(shù)并把該文件分配給一個(gè)用戶的方式來實(shí)現(xiàn)的。一個(gè)概要文件可以限制會(huì)話的數(shù)量、每個(gè)會(huì)話使用的CPU時(shí)間、調(diào)用次數(shù)、讀的次

7、數(shù)、空閑時(shí)間以及連接時(shí)間。概要文件可以防止破壞者利用所有的資源以拒絕服務(wù)的攻擊方式破壞系統(tǒng)。      ² 外部驗(yàn)證  外部驗(yàn)證是指在Oracle之外的驗(yàn)證，即網(wǎng)絡(luò)操作系統(tǒng)（NOS）和網(wǎng)絡(luò)驗(yàn)證服務(wù)。使用外部驗(yàn)證后在Oracle就無需再驗(yàn)證。若選此項(xiàng)，則在init.ora文件設(shè)置相關(guān)參數(shù)通知 Oracle。使用 NOS 進(jìn)行驗(yàn)證的優(yōu)點(diǎn)是，用戶更快更方便地連接數(shù)據(jù)庫(kù)；對(duì)用戶驗(yàn)證進(jìn)行集中控制；用戶信息只有一份副本并保存在NOS中，Oracle中無需保存，當(dāng)然兩者用戶應(yīng)是相同的，同時(shí)

8、審計(jì)信息只保存在NOS中。網(wǎng)絡(luò)驗(yàn)證服務(wù)屬于高級(jí)安全技術(shù)。主要應(yīng)用網(wǎng)絡(luò)安全服務(wù)，例如 Kerberos或PKI等。 ² 企業(yè)驗(yàn)證  企業(yè)驗(yàn)證應(yīng)用于網(wǎng)絡(luò)環(huán)境下的分布式數(shù)據(jù)庫(kù)。分布式環(huán)境存在多個(gè)數(shù)據(jù)庫(kù)服務(wù)器，它們組成資源的總和定義為全局資源。可以使用全局資源（任何一個(gè)數(shù)據(jù)庫(kù)服務(wù)器）的用戶定義為全局用戶。企業(yè)驗(yàn)證是全局用戶使用全局資源的驗(yàn)證，即Oracle 安全服務(wù)（OSS）。由 Oracle 安全服務(wù)器完成。用安全信息和全局資源存儲(chǔ)在網(wǎng)絡(luò)（LAN/Intranet/Internet）的目錄中，存儲(chǔ)該目錄的服務(wù)器稱為目錄服

9、務(wù)器。通常使用輕量目錄協(xié)議（LDAP）訪問該服務(wù)器，使用全局口令登錄到Oracle 分布式數(shù)據(jù)庫(kù)的用戶稱為全局用戶?？蓪⑷钟脩舻臋?quán)限定義為不同的角色即全局角色。全局角色的全體組成企業(yè)角色。 Oracle 安全服務(wù)器OSS 實(shí)現(xiàn)全局用戶的登錄過程：  (1) 全局用戶登錄到 Oracle分布式數(shù)據(jù)庫(kù)系統(tǒng)中；(2) OSS動(dòng)態(tài)地將某個(gè)全局角色分配給該用戶；  (3) 該全局角色所具有的權(quán)限即可訪問該權(quán)限的數(shù)據(jù)庫(kù)服務(wù)器。換言之，系統(tǒng)中的多個(gè)數(shù)據(jù)庫(kù)服務(wù)器具有不同的權(quán)限，它們與全局角

10、色存在對(duì)應(yīng)（映射）關(guān)系。最簡(jiǎn)單的是一對(duì)一映射，最復(fù)雜的是多對(duì)多映射。 ² 用戶許可   用戶登錄到一個(gè)數(shù)據(jù)庫(kù)服務(wù)器到退出期間稱為會(huì)話。Oracle可通過設(shè)置來限制會(huì)話數(shù)量。會(huì)話數(shù)量的設(shè)置稱為并發(fā)許可（協(xié)議）。許可是并發(fā)使用的，由此許可指定的是并發(fā)用戶的最大數(shù)量，即同時(shí)連接到數(shù)據(jù)庫(kù)（服務(wù)器）的用戶會(huì)話數(shù)量。通過命名用戶的許可， 可以限制可訪問一個(gè)數(shù)據(jù)庫(kù)的命名用戶數(shù)量。  系統(tǒng)運(yùn)行期間可以跟蹤實(shí)際會(huì)話數(shù)量，也能改變并發(fā)會(huì)話的最大數(shù)量。當(dāng)達(dá)到上限時(shí)， 只有DBA能夠連接到數(shù)據(jù)庫(kù)。而對(duì)于一般用戶，Oracle會(huì)給

11、他發(fā)送一條消息，顯示到達(dá)最大數(shù)量的限制，同時(shí)將該消息寫入到警告文件中。除此之外，還可以設(shè)置并發(fā)會(huì)話的警告限制數(shù)量。在到達(dá)該值時(shí)，一般用戶還可以繼續(xù)建立新的會(huì)話直到達(dá)到最大限制值。然后，Oracle給每個(gè)連接的警告文件寫一條消息，并且給一般用戶發(fā)送一條快要達(dá)到最大限制的消息。 通過命名用戶許可，限制指定的數(shù)據(jù)庫(kù)服務(wù)器上使用Oracle的命名用戶數(shù)量。使用這個(gè)許可就是在啟動(dòng)實(shí)例以前，設(shè)置在數(shù)據(jù)庫(kù)可以創(chuàng)建的用戶數(shù)量。當(dāng)實(shí)例運(yùn)行時(shí)，也可以改變這個(gè)最大值或完全停用這個(gè)限制。 4.數(shù)據(jù)安全性策略  主要包括在對(duì)象級(jí)控制數(shù)據(jù)庫(kù)訪問和使用的機(jī)制。主要有決定哪個(gè)用戶訪問特

12、定的模式對(duì)象，在對(duì)象上允許每個(gè)用戶的特定類型操作，也可以定義審計(jì)每個(gè)模式對(duì)象的操作。為數(shù)據(jù)庫(kù)建立安全等級(jí)，例如，如果允許其他用戶建立任何模式對(duì)象，或?qū)?duì)象的存取權(quán)限授予系統(tǒng)中的其他用戶，這樣的安全性是很差的。另外，當(dāng)希望只有DBA 有權(quán)限建立對(duì)象， 并向角色和用戶授予對(duì)象的存取權(quán)限時(shí)，必須嚴(yán)格控制數(shù)據(jù)庫(kù)的安全。  數(shù)據(jù)的重要性決定了數(shù)據(jù)和數(shù)據(jù)庫(kù)的安全性。如果數(shù)據(jù)的重要性差，那么數(shù)據(jù)的安全性略差一些。反之，就應(yīng)該有嚴(yán)格的安全性策略。用戶來維護(hù)對(duì)數(shù)據(jù)對(duì)象訪問的有效控制。數(shù)據(jù)安全的實(shí)現(xiàn)方法主要有：用戶賬號(hào)、對(duì)象授權(quán)、角色、細(xì)粒度存取控制和相關(guān)應(yīng)用程序上下文控制

13、。細(xì)粒度存取控制最簡(jiǎn)單的情況是在SQL語句中加了一個(gè)WHERE條件， 用它來限制用戶對(duì)表和視圖里元組數(shù)據(jù)的存取。應(yīng)用程序上下文是一個(gè)安全數(shù)據(jù)緩沖，用來存儲(chǔ)存取控制決定的信息。 5.用戶安全性策略  在Oracle數(shù)據(jù)庫(kù)中， 將用戶分為一般用戶、最終用戶、管理員（DBA）、應(yīng)用程序員和應(yīng)用程序管理員。 由于一般用戶和管理員具有相對(duì)的普遍性，在次只針對(duì)一般用戶和管理員的安全性策略進(jìn)行介紹。5.1 DBA的安全性策略 當(dāng)系統(tǒng)規(guī)模較小時(shí)，只需一個(gè)DBA，則系統(tǒng)安全管理員SSA也是DBA。當(dāng)系統(tǒng)規(guī)模很大時(shí)，系統(tǒng)擁有多個(gè)DBA，這時(shí)兩者

14、是分開的。安全管理員將相關(guān)管理權(quán)限分成幾個(gè)組， 然后將不同的角色授予相應(yīng)的DBA。  當(dāng)創(chuàng)建數(shù)據(jù)庫(kù)后，立即更改有管理權(quán)限的sys和system 用戶的口令，防止非法用戶訪問數(shù)據(jù)庫(kù)。當(dāng)作為sys和system用戶連入數(shù)據(jù)庫(kù)后，用戶有強(qiáng)大的權(quán)限用各種方式對(duì)數(shù)據(jù)庫(kù)進(jìn)行改動(dòng)。  只有DBA能用管理權(quán)限連入數(shù)據(jù)庫(kù)，并保證只有 DBA 能作SYSDBA角色的成員,因?yàn)镾YSDBA可以沒有任何限制地操作和恢復(fù)數(shù)據(jù)庫(kù)及數(shù)據(jù)庫(kù)對(duì)象。 6.Oracle提供的安全機(jī)制  數(shù)據(jù)庫(kù)的安全性可以分為兩類，即數(shù)據(jù)庫(kù)

15、系統(tǒng)安全性和數(shù)據(jù)庫(kù)數(shù)據(jù)安全性 6.1系統(tǒng)安全性層面 系統(tǒng)安全性是指在系統(tǒng)級(jí)控制數(shù)據(jù)庫(kù)的存取和使用的機(jī)制。包括：我們熟練的掌握計(jì)算機(jī)應(yīng)用，我們可以在網(wǎng)上搜索一些流行因素，還可以把自己小店里的商品拿到網(wǎng)上去賣，為我們小店提供了多種經(jīng)營(yíng)方式。用戶名口令的組合是否有效；用戶是否具有連接數(shù)據(jù)庫(kù)的授權(quán)；用戶以執(zhí)行哪些操作；用戶可用的磁盤空間的數(shù)量：用戶的資源限制；數(shù)據(jù)庫(kù)審計(jì)是否有效。  ll （2） 文化優(yōu)勢(shì)數(shù)據(jù)備份  （5) 資金問題Oracle提供了比較完備的數(shù)據(jù)備份技術(shù)。具體請(qǐng)參見Oracle9i使用手冊(cè)。 ll 300-400元

16、1632%身份認(rèn)證  “碧芝”最吸引人的是那些小巧的珠子、亮片等，都是平日里不常見的。據(jù)店長(zhǎng)梁小姐介紹，店內(nèi)的飾珠有威尼斯印第安的玻璃珠、秘魯?shù)奶罩椤W地利的施華洛世奇水晶、法國(guó)的仿金片、日本的夢(mèng)幻珠等，五彩繽紛，流光異彩。按照飾珠的質(zhì)地可分為玻璃、骨質(zhì)、角質(zhì)、陶制、水晶、仿金、木制等種類，其造型更是千姿百態(tài)：珠型、圓柱型、動(dòng)物造型、多邊形、圖騰形象等，美不勝收。全部都是進(jìn)口的，從幾毛錢一個(gè)到幾十元一個(gè)的珠子，做一個(gè)成品飾物大約需要幾十元，當(dāng)然，還要決定于你的心意 盡管售價(jià)不菲，卻仍沒擋住喜歡它的人。在網(wǎng)絡(luò)環(huán)境下多用戶系統(tǒng)中，身份認(rèn)證是安全機(jī)制中重要環(huán)節(jié)。身份認(rèn)證包括標(biāo)識(shí)和

17、驗(yàn)證，標(biāo)識(shí)是指用戶向系統(tǒng)出示自己的身份證明，常用的方法是輸入用戶名和口令；驗(yàn)證則是系統(tǒng)驗(yàn)證用戶的身份證明。Oracle允許不同類型的驗(yàn)證，以O(shè)racle數(shù)據(jù)庫(kù)為基礎(chǔ)的驗(yàn)證允許擁有用戶賬戶ID和密碼，密碼以加密的格式存儲(chǔ)在數(shù)據(jù)字典中。Oracle也支持基于主機(jī)操作系統(tǒng)的用戶賬號(hào)轉(zhuǎn)為Oracle賬戶的驗(yàn)證。此外，Oracle高級(jí)安全選件還提供更加安全的驗(yàn)證方法3，如：NTS、KERBEROSS、RADIUS等驗(yàn)證方式。 l 存取控制  我們女生之所以會(huì)鐘愛飾品，也許是因?yàn)樗男路f，可愛，實(shí)惠，時(shí)尚，簡(jiǎn)單等。的確，手工藝品價(jià)格適中。也許還有更多理由和意義。那么大學(xué)生最喜

18、歡哪種手工藝品呢?此次調(diào)查統(tǒng)計(jì)如下圖（1-3）數(shù)據(jù)庫(kù)的存取控制機(jī)制是定義和控制用戶對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)的存取訪問權(quán)限，以確保只授權(quán)給有資格的用戶訪問數(shù)據(jù)庫(kù)的權(quán)限并防止和杜絕對(duì)數(shù)據(jù)庫(kù)中數(shù)據(jù)的非授權(quán)訪問。數(shù)據(jù)庫(kù)管理系統(tǒng)需要對(duì)精細(xì)的數(shù)據(jù)粒度加以控制，數(shù)據(jù)庫(kù)中的粒度有記錄、表格、屬性、字段和值等。Oracle可利用權(quán)限、角色、概要文件、細(xì)粒度訪問等技術(shù)提供存取控制支持。 l 權(quán)限 調(diào)研要解決的問題：默認(rèn)情況下新的Oracle用戶不具備任何權(quán)限。新用戶在登錄數(shù)據(jù)庫(kù)以及運(yùn)行數(shù)據(jù)庫(kù)操作前必須被授予權(quán)限。Oracle數(shù)據(jù)庫(kù)包含系統(tǒng)權(quán)限和對(duì)象權(quán)限。系統(tǒng)權(quán)限允許用戶建立和使用對(duì)象，但不授權(quán)訪問真正的數(shù)

19、據(jù)庫(kù)對(duì)象。系統(tǒng)權(quán)限允許用戶運(yùn)行如：ALTER TABLE，CREATE TABLE等權(quán)限。對(duì)象權(quán)限被用來允許訪問特殊的數(shù)據(jù)庫(kù)對(duì)象，如表或視圖。Oracle允許對(duì)象的擁有者將他們擁有的針對(duì)這些對(duì)象的權(quán)限授予其他用戶或角色。 l 角色 角色是用來簡(jiǎn)化用戶權(quán)限分派的管理任務(wù)，用戶可以被指派多個(gè)角色。將權(quán)限組織到角色中后再利用角色對(duì)一個(gè)或多個(gè)用戶授權(quán)使授權(quán)管理變得更加容易。Oracle擁有一些特定權(quán)限的默認(rèn)角色。如：Connect角色允許用戶登錄和建立自己的表、索引等；Resource角色允許用戶建立觸發(fā)器和存儲(chǔ)過程等對(duì)象。數(shù)據(jù)庫(kù)管理員DBA角色被授予所有管理數(shù)

20、據(jù)庫(kù)和用戶的系統(tǒng)權(quán)限。用戶為方便管理可以建立自定義的角色。 l 概要文件 Oracle利用概要文件來允許管理員針對(duì)一些系統(tǒng)資源，密碼的利用。這些概要文件可以被定義、命名、然后指派給特定的用戶或用戶組。概要文件可以用來設(shè)置用戶在特定的系統(tǒng)資源上的限制，如CPU時(shí)間、同時(shí)建立的有效會(huì)話數(shù)、特定用戶建立會(huì)話的最大時(shí)間等。此外，概要文件也可以用來強(qiáng)制定義密碼規(guī)則，如密碼有效期、密碼格式、在若干次登錄失敗嘗試后鎖定賬戶，也可以利用自定義密碼格式規(guī)則函數(shù)來限制密碼的設(shè)置規(guī)則。 l 細(xì)粒度訪問  1、榮曉華、孫喜林消費(fèi)者行為學(xué)東北財(cái)經(jīng)大學(xué)出版社 2003年2

21、月Oracle提供了細(xì)粒度訪問控制機(jī)制Oracle Label Security5，可實(shí)施對(duì)單個(gè)表或整個(gè)模式上的行級(jí)訪問控制。要利用Oracle Label Security，需要?jiǎng)?chuàng)建一個(gè)或多個(gè)安全策略，其中每一個(gè)安全策略都包含一組標(biāo)簽。標(biāo)簽用來標(biāo)明哪些用戶能夠訪問什么類型數(shù)據(jù)。在創(chuàng)建了一個(gè)策略之后，將該策略應(yīng)用于需要保護(hù)的表，并將這些標(biāo)簽授予用戶。當(dāng)Oracle數(shù)據(jù)庫(kù)在解析SQL語句時(shí)會(huì)檢測(cè)表是否受到某個(gè)安全策略的保護(hù)，根據(jù)用戶的訪問權(quán)限數(shù)據(jù)庫(kù)向該SQL。語句的WHERE子句中添加安全性謂詞。所有這些都發(fā)生在Oracle數(shù)據(jù)庫(kù)引擎的內(nèi)部。所以不管該SQ

22、L。語句的來源如何，用戶都不可能繞過該安全性機(jī)制，從而達(dá)到行級(jí)安全的訪問控制。 l 審計(jì)  任何的數(shù)據(jù)庫(kù)系統(tǒng)都不可能是絕對(duì)安全的，可以利用Oracle數(shù)據(jù)庫(kù)系統(tǒng)的審計(jì)功能，監(jiān)視和記錄所選擇用戶的活動(dòng)情況，數(shù)據(jù)庫(kù)的審計(jì)記錄存放在SYS方案的AUD$表中。開啟審計(jì)功能后會(huì)影響一些數(shù)據(jù)庫(kù)的性能，在初始狀態(tài)Oracle對(duì)審計(jì)功能是關(guān)閉的。要開啟審計(jì)功能，可在初始化參數(shù)中將參數(shù)“AUDITTRAII?！敝翟O(shè)置為“DB或TRUE”。Oracle支持三種類型的審計(jì)：語句審計(jì)、權(quán)限審計(jì)和方案對(duì)象審計(jì)。語句審計(jì)是針對(duì)DDL、DML語句的審計(jì)，如“AUDIT TABI。E”

23、的語句審計(jì)對(duì)所有的CREATE和DROP TABLE語句都進(jìn)行審計(jì)；權(quán)限審計(jì)是對(duì)系統(tǒng)權(quán)限的審計(jì)，如只針對(duì)“CREATETABLE”的權(quán)限審計(jì)，則只審計(jì)CREATE TABLE語句；方案對(duì)象審計(jì)是針對(duì)特定的DMI。語句和特定方案對(duì)象的GRANT、REVOKE語句的審計(jì)。 因?yàn)槭沁B鎖店，老板的“野心”是開到便利店那樣隨處可見。所以辦了積分卡，方便女孩子到任何一家“漂亮女生”購(gòu)物，以求便宜再便宜。 從Oracle9i后支持細(xì)粒度審計(jì)，可以用于監(jiān)視基于內(nèi)容的數(shù)據(jù)訪問。此外，也可利用數(shù)據(jù)庫(kù)提供的觸發(fā)器功能進(jìn)行編程自定義審計(jì)方案，如可以用觸發(fā)器編寫登錄，注銷以及其他

24、數(shù)據(jù)庫(kù)事件的Oracle審計(jì)信息。 根本不知道6.2 數(shù)據(jù)安全性層面   在多用戶數(shù)據(jù)庫(kù)系統(tǒng)中，數(shù)據(jù)安全性包括：防止非授權(quán)用戶對(duì)數(shù)據(jù)進(jìn)行存取操作：防止非授權(quán)用戶對(duì)模式對(duì)象的存取操作；控制系統(tǒng)資源的使用；控制磁盤的使用；審計(jì)用戶的操作 l 數(shù)據(jù)加密  一般而言數(shù)據(jù)庫(kù)系統(tǒng)提供的基本安全技術(shù)能夠滿足大多數(shù)的應(yīng)用，但對(duì)于一些重要部門或敏感領(lǐng)域的應(yīng)用，僅靠上述這些措施是難以完全保證數(shù)據(jù)的安全性，某些用戶尤其是一些內(nèi)部用戶仍可能非法獲取用戶名、口令字，或利用其他方法越權(quán)使用數(shù)據(jù)庫(kù)，因此有必要對(duì)數(shù)據(jù)庫(kù)中存儲(chǔ)的重要數(shù)據(jù)進(jìn)行加密處理。數(shù)據(jù)庫(kù)密

25、碼系統(tǒng)要求將明文數(shù)據(jù)加密成密文數(shù)據(jù)，數(shù)據(jù)庫(kù)中存儲(chǔ)密文數(shù)據(jù)，查詢時(shí)將密文數(shù)據(jù)取出解密得到明文信息。Oracle9i提供了特殊DBMS-OBFUSCATIONTOOL KIT 包， 在 Oraclel10g中又增加了DBMSCRYPT0包用于數(shù)據(jù)加密解密，支持DES、AES等多種加密解密算法。7. Oracle的安全管理操作 ² 創(chuàng)建概要文件   創(chuàng)建一個(gè)概要文件 user_limited, 把它提供給用戶 normal_user"使用如果連續(xù)3次與normal_user的連接失敗,該賬戶將自動(dòng)由oracle鎖定，再使用normal_user賬戶的正確口令，系統(tǒng)會(huì)提示出錯(cuò)