Oracle Database权限与安全介绍汇.ppt

2003-03-28 Oracle Database权限与安全介绍 赵元杰 中程在线(北京)科技有限公司 2009.8 内容提要 Oracle 各版本提供安全功能 一般的安全问题 Public与安全问题 触发器-安全捕获方法 数据库审计 几个安全检查脚本 数据安全问题 外部安全问题： 未正确处理坏损和更换的硬盘 运输过程中备份介质丢失或被盗 内部安全问题： DBA 可以访问应用程序数据，包括财务和人力资源部门的数据 擅自访问应用程序和/或数据库 合规性问题： Sarbanes-Oxley 和Graham-Leach Bliley 和Basel II 法案要求严格的内部控制和责任分离 访问敏感数据的用户、时间、位置和方式? 数据安全问题-不同版本 数据库安全技术在增强： 每个版本都不一样 系统权限管理 授予系统权限: Oracle 系统约定好的与Oracle资源有关权限 参考原版资料 Oracle database administrator… 用GRANT授权: GRANT system_privilege | role TO user | role | PUBLIC [WITH ADMIN OPTION] WITH ADMIN OPTION表示被授权者可有权再将权限授予另外的用户 系统权限管理 授予系统权限明细: Oracle 系统完整拼写见： 参考《Oracle? Database SQL Reference 10g Release 2 (10.2) B14200-01》 table p18-1 System Privileges 撤消系统权限 从用户或角色撤消Oracle 系统权限 用REVOKE撤消,语法为: REVOKE system_privilege | ALL ON schema.object FROM user | role | PUBLIC CASCADE CONSTRAINTS 其中： system_privilege 系统权限或角色 系统权限管理 授予系统权限明细: Advisor Framework Privileges ： 系统权限管理 授予系统权限明细: Cluster ： 系统权限管理 授予系统权限明细: TABLE ： 内容提要 Oracle 各版本提供安全功能 一般安全问题 Public与安全问题 触发器-安全捕获方法 数据库审计 几个安全检查脚本 常见安全问题-口令 常见口令安全问题 口令很短，如123456或888888 password=username Sys和SYSTEM 仍然采用默认口令 避免口令安全问题 认识安全的重要性 强行口令安全-使用SYS函数 使用PROFILE 进行口令的安全管理 常见安全问题-口令 口令安全问题检查 Oracle 系统提供chekpwd 实用程序 内容提要 Oracle 各版本提供安全功能 一般安全问题 Public与安全问题 触发器-安全捕获方法 数据库审计 几个安全检查脚本 Public与安全 Public 与安全 Public 虚拟用户，方便授权 可能被滥用 Public 的危险性 Oracle安全清单（Oracle Security Checklist ） UTL_TCP UTL_SMTP UTL_MAIL UTL_HTTP UTL_INADDR UTL_FILE Public与安全-包 Oracle 最危险的包： dbms_sql ( No. 1) utl_file utl_mail utl_inaddr utl_tcp ( No. 3) dbms_lob dbms_xmlgen ( No. 2) dbms_aw_xml ctxsys.drithsx ordsys.ord_dicom kupp$proc Public与安全-包 从Oracle 系统中撤销危险的包的权限： SQL revoke execute on utl_httpfrom public force; SQL revoke execute on utl_tcp from public force; SQL revoke execute on utl_filefrom public force; SQL revoke execute on utl_inaddrfrom public force; SQL revoke execute on utl_smtpfrom public force; SQL revoke execute on utl_dbwsfrom public force; SQL revoke execute on dbms_lobfrom public force; SQL revoke execute on d