Oracle安全保护项目.docVIP

安全保护项目 一种分阶段的数据库基础架构保护方法 作者：Arup Nanda 假设您刚开始担任 DBA 一职。 第一天您就听到了这样的传闻：实施符合 Sarbanes-Oxley 要求的安全性审计迫在眉睫。 只有尽快熟悉环境，您才能知晓哪些地方需要立即采取措施，或施以预防性措施。 或者，假设情况并不象上面那么严重（但也很令人担忧），您已“继承”了就您所知从未进行过加固的数据库和服务器，而审计即将开始。 您必须尽快采取措施来保护它们，而且无人可求助， 一切只能靠自己。 抑或是，您可能是一位经验丰富的 DBA，已从事数据库维护工作一段时间了。 离审计还有一段时间，但您关心大体上的安全性并希望能够对安全性了如指掌。 无论哪种特定情况，您都可以安全地进行以下三种假设： 1. 2. 3. 您必须加快工作速度。 无论审计是否迫在眉睫，您都无法承担将环境置于不安全状态下的后果，除非很短的时间（如果可以）。 您必须仔细地、系统地进行工作，因为您正在修改的是正在使用的数据库。 您必须在执行其他例行活动（如维护数据库、救火、处理相关客户事宜等等）的同时进行有关该项目的工作。 很明显，根据这些假定，您需要分阶段来保护数据库基础架构，这种方法使您可以根据需要使用 Oracle 技术。 在本系列中，您将了解到这一规划的蓝图。 我称之为安全保护项目。 该项目可划分为四个截然不同的阶段，每个阶段都是可实现的，并在特定时段内 （一天、一周、一个月以及一个季度）显著改善安全性： （这些持续时间仅仅是估计；根据您的安装，您需要的时间可能要比上述时间长或短。） 在每一阶段中，您都可通过代码示例、示例以及任务清单来专门了解需要执行的操作。 开始本项目之前，我建议您阅读该安全性入门简介，了解一些常用术语和概念。 这些活动因 Oracle 版本而大不同，因此，此处仅探讨与从 Oracle 版本 9.2.0.x（Oracle9i 数据库第 2 版）到 10.2.x（Oracle 数据库 10g 第 2 版）有关的活动。 在可能并适用的情况下，将指出操作系统间的明显不同之处。 第 1 阶段 持续时间：一天 这是安全性和合规性项目的第 1 阶段。 看看如何在 24 小时幸运的是，还有一种更好的方法。 请查看以下视图 DBA_USERS 中的密码列： SQLgt; select username, password 2 from dba_users 3 where username = ‘SCOTT’; USERNAME PASSWORD SCOTT F894844C34402B67 密码是结果哈希算法处理过的，因此不容易破解，但是，我们知道 SCOTT 的密码是“tiger”。 因此，当用户 ID 为“scott”时，“tiger”的哈希值为 F894844C34402B67。 现在，如果更改 SCOTT 的密码，该哈希值也会更改。 然后，您可以在视图 DBA_USERS 中确认，查看 SCOTT 的密码是否与该哈希值匹配，这将验证该密码为“tiger”。 但是，请注意，该哈希值不是密码自身的哈希值，如果其他用户的密码为“tiger”，该哈希值将不同。 SQLgt; create user scott2 identified by tiger; User created. SQLgt; select username, password 2 from dba_users 3 where username = ‘SCOTT2’; USERNAME PASSWORD SCOTT2 C44C11D4C34DB67D 请注意，即使密码完全相同，哈希值 (C44C11D4C34DB67D) 仍然不同。 那么您如何利用该信息呢？ 很简单。 如果您使用默认密码创建了这些默认用户，您会知道这些密码的哈希值。 然后，您可以建立一个此类帐户和默认密码哈希值的表，将它们与存储在数据字典中的密码哈希值相比较。 2006 年 1 月，Oracle 提供了可下载的实用工具，以用于识别默认密码及其用户。 该实用工具在 MetaLink 上提供，如文档 ID 340009.1 中所述。 截至 此外，安全专家 Pete Finnigan 还对此作出了卓越贡献，他将在各种 Oracle 和第三方软件安装期间创建的此类默认帐户收集到了一起，并公开发表在了其网站中。 （标准免责声明： Oracle 不对第三方网站的 VARCHAR2(30), security_level