|
|
知识路径: > 数据库系统安全 > Oracle数据库安全分析与防护 > Oracle 安全分析 >
|
|
相关知识点:3个
|
|
|
|
|
Oracle数据库提供认证、访问控制、特权管理、透明加密等多种安全机制和技术。
|
|
|
|
(1)用户认证。Oracle数据库的认证机制多样,除了Oracle数据库认证外,还集成支持操作系统认证、网络认证、多级认证、SSL认证。Oracle数据库的认证方式采用“用户名+口令”,具有口令加密、账户锁定、口令生命期和过期、口令复杂度验证等安全功能。对于数据库管理员认证,Oracle数据库要求进行特别认证,支持强认证、操作系统认证、口令文件认证。网络认证支持第三方认证、PKI认证、远程认证等。
|
|
|
|
(2)访问控制。Oracle数据库内部集成网络访问控制和数据对象授权控制。比如,可以配置Oracle的限制访问数据库机器的IP地址。Oracle数据库提供细粒度访问控制(Fine-Grained Access Control),如针对select、insert、update、delete等操作,可以使用不同的策略。
|
|
|
|
(3)保险库。Oracle数据库建立数据库保险库(Database Vault,DV)机制,该机制用于保护敏感数据,具有防止数据系统未授权变更、多因素可信授权、职责隔离、最小化特权的功能。DV机制通过设置安全域(Realm)和命令规则(Command Rules)对特权进行控制。如下图所示,数据管理员(DBA)禁止操作HR安全域。
|
|
|
|
|
|
|
|
DV机制的命令控制可阻止未授权命令操作,如drop table、alter system。
|
|
|
|
(4)安全审计和数据库防火墙。Oracle数据库具有对其内部所有发生的活动进行审计的能力,如下图所示。Oracle数据库可审计的活动有3种类型:登录尝试、数据库活动和对象存取。Oracle数据库防火墙提供了SQL语法分析引擎,检查进入数据库的SQL语句,精确地确定是否允许、记录、警告、替换或阻止SQL。Oracle数据防火墙支持白名单、黑名单和基于例外名单的策略。白名单就是数据库防火墙认可的SQL语句。黑名单是指数据库不允许含有特定用户、IP地址或特定类型的SQL语句。基于例外名单的策略则提供安全策略设置的灵活性,可以覆盖白名单或黑名单策略,例外安全策略可以基于SQL类别、时间、应用、用户和IP地址等属性来实施。
|
|
|
|
|
|
|
|
(5)高级安全功能。Oracle数据库提供透明数据加密(Transparent Data Encryption)和数据屏蔽(Data Masking)机制,以保护数据安全,如下图所示。
|
|
|
|
|
|
Oracle数据库提供透明数据加密和数据屏蔽机制示意图
|
|
|
|
Oracle数据库系统的透明数据加密可以阻止攻击者绕过数据库,是为了避免攻击者强制从存储设备上读取敏感信息而提出的安全技术方案,如下图所示。
|
|
|
|
|
|
|
