下面的文章主要介紹的是Oracle安全性的建設(shè)，其實Oracle安全性的建設(shè)是一個很棘手的工作。如果你想作為一個合格的企業(yè)級系統(tǒng)，我個人認(rèn)為其相關(guān)的稅務(wù)系統(tǒng)應(yīng)該具備以下的Oracle安全性特點：

 

高可用性

 

對敏感數(shù)據(jù)的訪問控制能力。

 

d監(jiān)測用戶行為的審計能力。

 

用戶帳號管理的有效性和擴(kuò)充性

 

從哪些方面作安全性檢查

 

一個企業(yè)級系統(tǒng)的安全性建設(shè)并不僅僅局限于軟件技術(shù)方面的設(shè)置和控制，甚至我們可以說，技術(shù)僅僅位于一個補(bǔ)充和提高現(xiàn)有安全性的地位上。通常，應(yīng)該按照重要性依次進(jìn)行如下的安全性檢查。

 

物理層面的控制

 

控制物理接觸是系統(tǒng)Oracle安全性建設(shè)的第一步，也是最會有成效，最應(yīng)該優(yōu)先執(zhí)行的一步。

 

權(quán)威安全研究顯示，70% 的信息系統(tǒng)數(shù)據(jù)損失和攻擊都是由“內(nèi)部人”（即具備某種系統(tǒng)及其數(shù)據(jù)訪問權(quán)限的用戶）造成和發(fā)起的。

 

比如，授權(quán)人員才可以進(jìn)入機(jī)房，管理人員的密碼不要記錄在顯眼的地方，離開個人終端鎖定屏幕，等等，這些建議看上去似乎比較瑣碎。但是如果缺少了這些意識，即使我們運用了再好的安全性技術(shù)，再復(fù)雜的數(shù)據(jù)分離技術(shù)，當(dāng)一個人可以接近需要保護(hù)的服務(wù)器，當(dāng)一個人可以通過竊取的密碼接近需要保護(hù)的數(shù)據(jù)，那么一切的安全性建設(shè)都將是一個擺設(shè)。

 

千里之堤，毀于蟻穴。一個牢固的堤壩不會因為外界洪水的沖擊而倒塌，卻會崩壞于隱藏在自身內(nèi)部的蛀蟲。

 

所以，最佳的方法是不要讓螞蟻靠近堤壩。

 

安全性流程建設(shè)

 

實施安全性建設(shè)之后，必須要有一個詳細(xì)周密而且行之有效的流程控制（Process Control）。其中行之有效是我們應(yīng)該注意的。

 

有時候會聽到抱怨，在增強(qiáng)了安全性建設(shè)的系統(tǒng)中，維護(hù)人員由于分工過細(xì)，導(dǎo)致整個系統(tǒng)的應(yīng)變能力下降，維護(hù)成本提高，管理效率降低。以前一個人可以在10分鐘內(nèi)作好的修改，現(xiàn)在卻要途經(jīng)3，4個人之手，耗時1－2天還不一定能夠做完。

 

過猶不及，建立一個符合企業(yè)自身需求的Oracle安全性流程是我們應(yīng)該優(yōu)先考慮的。

 

普遍性的安全性措施

 

不僅僅是Oracle數(shù)據(jù)庫系統(tǒng)，作為一個具有領(lǐng)先性的IT系統(tǒng)，都應(yīng)該包括以下的安全性措施。

 

1． 只安裝需要的軟件

 

每個軟件都有缺陷，對于Oracle數(shù)據(jù)庫軟件來說，自定義安裝，只選取需要的組件，少作少錯，這一點在Oracle安全性方面顯得尤為重要，一個具有潛在安全性漏洞的組件，如果它沒有被安裝。那它就不會影響整個系統(tǒng)。

 

2． 鎖定或者失效默認(rèn)用戶

 

對于Oracle數(shù)據(jù)庫系統(tǒng)來說，安裝的時候會有一系列的默認(rèn)用戶生成，應(yīng)該在數(shù)據(jù)庫安裝完畢之后，經(jīng)過功能篩選，鎖定或者失效這些用戶。

 

3． 修改可用用戶的默認(rèn)密碼

 

不能鎖定或者失效的用戶，必須修改默認(rèn)密碼。比如具有SYSDBA權(quán)限的SYS用戶和具有DBA權(quán)限的SYSTEM用戶，都應(yīng)該修改默認(rèn)密碼。至于密碼長度和復(fù)雜性的有效控制在后面將會談到。

 

4． 限制操作系統(tǒng)存取權(quán)限

 

Oracle數(shù)據(jù)庫系統(tǒng)是依存在操作系統(tǒng)之上的，如果操作系統(tǒng)被人侵入，那么通過修改配置文件等一系列方法，Oracle數(shù)據(jù)庫的安全性也將蕩然無存。

 

5． 定期更新廠家推出的安全性補(bǔ)丁

 

隨著時間的推移，廠家通常會推出一系列的安全性補(bǔ)丁來彌補(bǔ)現(xiàn)有系統(tǒng)的安全隱患。

 

對于Oracle數(shù)據(jù)庫而言，應(yīng)該定期查看以下網(wǎng)址來獲取Oracle公司最新的Oracle安全性警告和解決方案。

 

Oracle數(shù)據(jù)庫本身的安全性建設(shè)

從總體上而言，Oracle數(shù)據(jù)庫是業(yè)界安全性方面最完備的數(shù)據(jù)庫產(chǎn)品。在數(shù)據(jù)庫Oracle安全性的國際標(biāo)準(zhǔn)中，Oracle通過了14項標(biāo)準(zhǔn)的測試，是所有數(shù)據(jù)庫產(chǎn)品中通過安全性標(biāo)準(zhǔn)最多、最全面的產(chǎn)品。Oracle在C2級的操作系統(tǒng)上(如商用UNIX,VMS操作系統(tǒng))，不僅滿足NCSC C2級安全標(biāo)準(zhǔn)，而且已經(jīng)正式通過了NCSC C2標(biāo)準(zhǔn)的測試。在B1級的操作系統(tǒng)上不僅滿足NCSC B1級安全標(biāo)準(zhǔn)，而且已經(jīng)通過了NCSC B1級標(biāo)準(zhǔn)的測試。

 

Oracle提供的主要安全性措施如下：

 

身份認(rèn)證功能（Authentication）：識別訪問個體的身份

 

數(shù)據(jù)訪問的機(jī)密性（Confidentialty）：保證敏感數(shù)據(jù)訪問的機(jī)密性。

 

數(shù)據(jù)完整性（Integrity）：保證數(shù)據(jù)不被篡改。

 

授權(quán)能力（Authorization）：保證被授權(quán)用戶對數(shù)據(jù)的查詢和修改能力。

 

訪問控制（Access Control）：確定對指定數(shù)據(jù)的訪問能力。

 

審計能力（Auditing）：提供監(jiān)測用戶行為的能力。

 

私有性（Privacy）：提供對敏感數(shù)據(jù)訪問的私密性。

 

高可用性（Availability）：保證數(shù)據(jù)和系統(tǒng)提供不間斷服務(wù)的能力。

 

代理管理能力（Delegated Administration）：提供對用戶帳號的集中管理功能。

 

下面將就應(yīng)用系統(tǒng)本身對于Oracle安全性措施作更深入的探討。

【編輯推薦】

1. Oracle flashback buffer分配在shared pool中
2. 對Oracle 10g中hints調(diào)整機(jī)制解析
3. Oracle數(shù)據(jù)庫性能的幾大優(yōu)點介紹
4. 如何正確對Oracle trunc()函數(shù)進(jìn)行操作？
5. Oracle 10g應(yīng)用比例不斷攀升的緣由