數(shù)據(jù)庫(kù)系統(tǒng)安全策略

時(shí)間：2023-07-08 18:27:01 | 來(lái)源：營(yíng)銷百科

時(shí)間：2023-07-08 18:27:01 來(lái)源：營(yíng)銷百科

數(shù)據(jù)庫(kù)系統(tǒng)安全策略：第一，系統(tǒng)安全策略：包括了數(shù)據(jù)庫(kù)用戶管理、數(shù)據(jù)庫(kù)操作規(guī)范、用戶認(rèn)證、操作系統(tǒng)安全4個(gè)部分。

　　1）數(shù)據(jù)庫(kù)用戶管理。數(shù)據(jù)庫(kù)用戶對(duì)信息訪問(wèn)的最直接途徑就是通過(guò)用戶訪問(wèn)。因此需要對(duì)用戶進(jìn)行嚴(yán)格的管理，只有真正可信的人員才擁有管理數(shù)據(jù)庫(kù)用戶的權(quán)限；

　　2）數(shù)據(jù)庫(kù)需要有操作規(guī)范。數(shù)據(jù)庫(kù)中數(shù)據(jù)才是核心，不能有任何的破壞，數(shù)據(jù)庫(kù)管理員是唯一能直接訪問(wèn)數(shù)據(jù)庫(kù)的人員，管理員的操作是非常重要的，因此需要對(duì)數(shù)據(jù)庫(kù)維護(hù)人員培訓(xùn)，樹立嚴(yán)謹(jǐn)?shù)墓ぷ鲬B(tài)度，同時(shí)需要規(guī)范操作流程；

　　3）用戶身份的認(rèn)證。Oracle數(shù)據(jù)庫(kù)可以使用主機(jī)操作系統(tǒng)認(rèn)證用戶，也可以使用數(shù)據(jù)庫(kù)的用戶認(rèn)證，從安全角度出發(fā)，initSID.ora文件中的remote_os_authent參數(shù)設(shè)成FALSE，以防止沒有口令的連接。建議將remote_os_roles設(shè)成FALSE，防止欺騙性連接；

　　4）操作系統(tǒng)安全。對(duì)于運(yùn)行任何一種數(shù)據(jù)庫(kù)的操作系統(tǒng)來(lái)說(shuō)，都需要考慮安全問(wèn)題。數(shù)據(jù)庫(kù)管理員以及系統(tǒng)賬戶的口令都必須符合規(guī)定，不能過(guò)于簡(jiǎn)單而且需要定期的更換口令，對(duì)于口令的安全同樣重要。系統(tǒng)管理員在給操作系統(tǒng)做維護(hù)的時(shí)候，需要與數(shù)據(jù)庫(kù)管理員合作，避免。

　　第二，數(shù)據(jù)安全策略。

　　數(shù)據(jù)安全策略決定了可以訪問(wèn)特定數(shù)據(jù)的用戶組，以及這些用戶的操作權(quán)限。數(shù)據(jù)的安全性取決數(shù)據(jù)的敏感程度，如果數(shù)據(jù)不是那么敏感，則數(shù)據(jù)的安全策略則可以稍微松一些；反之則需要制定特定的安全策略，嚴(yán)格的控制訪問(wèn)對(duì)象，確保數(shù)據(jù)的安全。

　　第三，用戶安全策略。

　　用戶安全策略是由一般用戶安全、最終用戶安全、管理員安全、應(yīng)用程序及開發(fā)人員安全、應(yīng)用程序管理員安全5個(gè)部分組成。

　　1）一般用戶安全。如果對(duì)于用戶的認(rèn)證由數(shù)據(jù)庫(kù)進(jìn)行管理，則安全管理員就應(yīng)該制定口令安全策略來(lái)維護(hù)數(shù)據(jù)庫(kù)訪問(wèn)的安全性?？梢耘渲胦racle使用加密口令來(lái)進(jìn)行客戶機(jī)/服務(wù)器連接；

　　2）最終用戶安全。安全管理員必須為最終用戶安全制定策略。如果使用的是大型數(shù)據(jù)庫(kù)同時(shí)還有許多用戶，這是就需要安全管理員對(duì)用戶組進(jìn)行分類，為每個(gè)用戶組創(chuàng)建用戶角色，并且對(duì)每個(gè)角色授予相應(yīng)的權(quán)限；

　　3）管理員安全。安全管理員應(yīng)當(dāng)擁有闡述管理員安全的策略。在數(shù)據(jù)庫(kù)創(chuàng)建后，應(yīng)對(duì)SYS和SYSTEM用戶名更改口令，以防止對(duì)數(shù)據(jù)庫(kù)的未認(rèn)證訪問(wèn)，且只有數(shù)據(jù)庫(kù)管理員才可用；

　　4）應(yīng)用程序開發(fā)人員安全。安全管理員必須為使用數(shù)據(jù)庫(kù)的應(yīng)用程序開發(fā)人員制定一套特殊的安全策略。安全管理員可以把創(chuàng)建必要對(duì)象的權(quán)限授予應(yīng)用程序開發(fā)人員。反之，創(chuàng)建對(duì)象的權(quán)限只能授予數(shù)據(jù)庫(kù)管理員，他從開發(fā)人員那里接收對(duì)象創(chuàng)建請(qǐng)求；

　　5）應(yīng)用程序管理員安全。在有許多數(shù)據(jù)庫(kù)應(yīng)用程序的大型數(shù)據(jù)庫(kù)系統(tǒng)中，可以設(shè)立應(yīng)用程序管理員

　　第四，口令管理策略?？诹罟芾戆ㄙ~戶鎖定、口令老化及到期、口令歷史記錄、口令復(fù)雜性校驗(yàn)。

　　1）帳戶鎖定。當(dāng)某一特定用戶超過(guò)了失敗登錄嘗試的指定次數(shù)，服務(wù)器會(huì)自動(dòng)鎖定這個(gè)用戶帳戶；

　　2）口令老化及到期。DBA使用CREATE PROFILE語(yǔ)句指定口令的最大生存期，當(dāng)?shù)竭_(dá)了指定的時(shí)間長(zhǎng)度則口令到期，用戶或DBA必須變更口令；

　　3）口令歷史記錄。DBA使用CREATE PROFILE語(yǔ)句指定時(shí)間間隔，在這一間隔內(nèi)用戶不能重用口令；

　　4）口令復(fù)雜性校驗(yàn)。通過(guò)使用PL/SQL腳本utlpwdmg.sql（它設(shè)置缺省的概要文件參數(shù)），可以指定口令復(fù)雜性校驗(yàn)例行程序。