Oracle數據庫安全策略分析(二）

　　SQL*DBA命令的安全性：

　　如果您沒有SQL*PLUS應用程序，您也可以使用SQL*DBA作SQL查權限相關的命令只能分配給Oracle軟件擁有者和DBA組的用戶，因為這些命令被授予了特殊的系統權限。

　　(1) startup
　　(2) shutdown
　　(3) connect internal

　　數據庫文件的安全性：

　　Oracle軟件的擁有者應該這些數據庫文件($ORACLE_HOME/dbs/*.dbf)設置這些文件的使用權限為0600：文件的擁有者可讀可寫，同組的和其他組的用戶沒有寫的權限。Oracle軟件的擁有者應該擁有包含數據庫文件的目錄，為了增加安全性，建議收回同組和其他組用戶對這些文件的可讀權限。

　　網絡安全性：

　　當處理網絡安全性時，以下是額外要考慮的幾個問題。

　　(1)在網絡上使用密碼在網上的遠端用戶可以通過加密或不加密方式鍵入密碼，當您用不加密方式鍵入密碼時，您的密碼很有可能被非法用 戶截獲，導致破壞了系統的安全性。

　　(2)網絡上的DBA權限控制您可以通過下列兩種方式對網絡上的DBA權限進行控制：

　　A 設置成拒絕遠程DBA訪問；
　　B 通過orapwd給DBA設置特殊的密碼。

　　二、建立安全性策略：

　　系統安全性策略：

　　(1) 管理數據庫用戶數據庫用戶是訪問Oracle數據庫信息的途徑，因此，應該很好地維護管理數據庫用戶的安全性。按照數據庫系統的大小和管理數據庫用戶所需的工作量，數據庫安全性管理者可能只是擁有create，alter，或drop數據庫用戶的一個特殊用戶，或者是擁有這些權限的一組用戶，應注意的是，只有那些值得信任的個人才應該有管理數據庫用戶的權限。

　　(2) 用戶身份確認數據庫用戶可以通過操作系統，網絡服務，或數據庫進行身份確認，通過主機操作系統進行用戶身份認證的優點有：

　　A 用戶能更快，更方便地聯入數據庫；
　　B 通過操作系統對用戶身份確認進行集中控制：如果操作系統與數據庫用戶信息一致，那么Oracle無須存儲和管理用戶名以及密碼；
　　C 用戶進入數據庫和操作系統審計信息一致。

　　(3) 操作系統安全性

　　A 數據庫管理員必須有create和delete文件的操作系統權限；
　　B 一般數據庫用戶不應該有create或delete與數據庫相關文件的操作系統權限；
　　C 如果操作系統能為數據庫用戶分配角色，那么安全性管理者必須有修改操作系統帳戶安全性區域的操作系統權限。

　　

原文轉自：http://www.kjueaiud.com