关于Oracle数据库的安全管理

沙龙晃荡 | 去哪儿、陌陌、ThoughtWorks在主动化运维中的实践！10.28不见不散！

Oracle数据库安然治理的┞封5个方面

安然性是评估一个数据库的重要指标，Oracle 数据库大年夜 3 个层次上采取安然控制策略：

1、体系安然性。在体系级别上控制数据库的存取和应用机制，包含有效的用户名与口令、是否可以连接数据库、用户可以进行哪些体系操作等;

2、数据安然性。在数据库模式对象级别上控制数据库的存取和应用机制。用户要对某个模式对象进行操作，必须要有操作的权限;

3、收集安然性。Oracle 经由过程分发 Wallet、数字证书、SSL 安然套接字和数据密钥等办法来包管数据库的收集传输安然性。

数据库的安然可以大年夜以下几个方面进行治理

1、用户账户治理

2、用户身份认证方法治理。Oracle 供给多种级其余数据库用户身份认证方法，包含体系、数据库、收集 3 种类型的身份认证方法

数据库安然控制策略概述

3、权限和角色治理。经由过程治理权限和角色，限制用户对数据库的拜访和操作

4、数据加密治理。经由过程数据加密来包管收集传输的安然性

3、进步机能，应用角色削减了数据字典中授权记录的数量，经由过程封闭角色使得在语句履行过程中削减了权限切实其实认。

5、表空间设置和配额。经由过程设置用户的存储表空间、临时表空间以及用户在表空间上应用的配额，可以有效控制用户对数据库存储空间的应用

6、用户资本限制。经由过程概要文件设置，可以限制用户对数据库资本的应用

7、数据库审计。监督和记录数据库中的晃荡，包含审计所有的 SQL 语句、审计 SQL 权限、审计模式对象以及审计收集晃荡等。

接下来将对用户治理、权限和角色治理等办法一一评论辩论。

用户治理

用户是数据库的应用者和治理者，Oracle 经由过程设置用户及安然属性来控制用户对数据库的拜访。Oracle 的用户分两类，一类是创建数据库时体系预定义的用户，一类是根据应用由 DBA 创建的用户。

在 oracle 创建时创建的用户，我们称为预定义用户，预定义用户根据感化不合分为 3 类：

1). 治理员用户：包含 SYS,SYSTEM,SYSMAN,DBSNMP 等。SYS 是数据库中拥有最高权限的治理员，可以启动、封闭、修改数据库，拥稀有据字典;SYSTEM 是一个帮助的数据库治理员，不克不及启犊?租闭数据库，然则可以进行一些治理工作，如创建和删除用户;SYSMAN 是 OEM 的治理员，可以对 OEM 进行设备和治理;DBSNMP 用户是 OEM 代劳，用来监督数据库的。以上这些用户都不克不及删除。

2). 示例筹划用户：在安装 Oracle 或应用 odbc 创建数据库时，如不雅选择了” 示例筹划”，会创建一些用户，在这些用户对应的 schema 中，有产生一些数据库应用案例。这些用户包含：BI、HR、OE、PM、IX、SH 等。默认情况下，这些用户均为锁定状况，口令过时。

3). 内置用户：有一些 Oracle 特点或 Oracle 组件须要本身零丁的模式，是以为他们创建了一些内置用户。如 APEX_PUBLIC_USER、DIP 等。默认情况下，这些用户均为锁定状况，口令过时。

此外还有 2 个特别的用户 SCOTT 和 PUBLIC，SCOTT 是一个用于测试收集连接的用户，PUBLIC 实际是一个用户组，数据库中任何用户都属于该用户组，如不雅要为数据库中的全部用户授予某种权限，只须要对 PUBLIC 授权即可。

2、用户属性

在创建用户时，必须应用安然属性对用户进行限制，用户的安然属性重要包含：

1). 用户名：在同一个数据库中，用户名是独一的，并且不克不及铀浇猾名雷同;

2). 用户身份认证：Oracle 采取多种方法进行身份认证，如数据库认证、操作体系认证、收集认证等;

3). 默认表空间：用户创建数据库对象时，如不雅没有显式指明存储在哪个表空间中，体系会主动将该数据库对象存储在当前用户的默认表空间，在 Oracle 11g 中，如不雅没有为用户指定默认表空间，则体系将数据库的默认表空间作为用户的默认表空间;

4). 临时表空间：临时表空间分派与默认表空间类似，如不雅不显式指定，体系会将数据库的临时表空间作为用户的临时表空间;

5). 表空间配额：表空间配额限制用户在永远表空间中可以应用的存储空间的大年夜小，默认新建用户在表空间都没有配额，可认为每个用户在表空间上指定配额，也可授予用户 UMLIMITED TABLESPACE 体系权限，应用户在表空间的配额上不受限制。不须要分派临时表空间的配额;

6). 概要文件：每个用户必须具有一个概要文件，大年夜会话级和调用级两个层次限制用户对数据库体系资本的应用，同时设置用户的口令治理策略。如不雅没有为用户指定概要文件，Oracle 将主动为用户指定 DEFAULT 概要文件;

7). 设置用户的默认角色

8). 账户状况：创建用户时，可以设定用户的初始状况，包含口令是否过时和账户是否锁定等。

可以经由过程数据字典 dba_users 萌芽各个用户的属性(这里只朝长进步了前面几列)：

3、创建用户

创建用户语法如下：

个中：

-user_name：新创建的用户的名称;-IDENTIFIED：指明用户认证方法;-BY password：采取数据库身份认证，password 为用户暗码;-EXTERNALLY：指定用户采取外部认证，个中：①AS ‘certificate_DN’指定用户采取 ssl 外部身份认证;②AS ‘kerberos_principal_name’指定用户采取 kerberos 外部身份认证;-GLOBALLY AS ‘directory_DN’：指定用户采取全局身份认证;-DEFAULT TABLESPACE tablespace_name：设置用户的默认表空间;-TEMPORARY TABLESPACE tablespace_name | tablespace_group_name：设置用户临时表空间 / 表空间组;-QUOTA n K|M|UNLIMITED border="0" alt="" title="" />

1/3 1 2 3 下一页尾页

　　推荐阅读

　　一个网页是如何从你的手机中盗窃数据的

介绍本年9月15日，Chrome61宣布，它启用了WebUSB作为其默认功能。而WebUSB是一个Javascript API，可以许可网页拜访已连接的USB设备。这里的USB设备是指体系和工业的USB设备，所以不支撑常见的USB设备(>>>详细阅读

本文标题：关于Oracle数据库的安全管理

地址：http://www.17bianji.com/lsqh/38021.html

1/2 1