數(shù)據(jù)安全性是指保護(hù)數(shù)據(jù)以防止非法的使用����,避免造成數(shù)據(jù)有意或無意的丟失、泄露或破壞����。由于數(shù)據(jù)庫系統(tǒng)中集中存放有大量的數(shù)據(jù),這些數(shù)據(jù)又為眾多用戶所共享�����,所以安全約束是一個極為突出的問題��。
Oracle數(shù)據(jù)庫系統(tǒng)在實(shí)現(xiàn)數(shù)據(jù)庫安全性管理方面采取的基本措施有:
◆通過驗證用戶名稱和口令�,防止非Oracle用戶注冊到Oracle數(shù)據(jù)庫,對數(shù)據(jù)庫進(jìn)行非法存取操作��。
◆授予用戶一定的權(quán)限����,例如connect,resource等�,限制用戶操縱數(shù)據(jù)庫的權(quán)力。
◆授予用戶對數(shù)據(jù)庫實(shí)體(如表�����、表空間�����、過程等)的存取執(zhí)行權(quán)限�,阻止用戶訪問非授權(quán)數(shù)據(jù)。
◆提供數(shù)據(jù)庫實(shí)體存取審計機(jī)制����,使數(shù)據(jù)庫管理員可以監(jiān)視數(shù)據(jù)庫中數(shù)據(jù)的存取情況和系統(tǒng)資源的使用情況。
◆采用視圖機(jī)制�����,限制存取基表的行和列集合。
在實(shí)際應(yīng)用中�����,許多系統(tǒng)往往采用假用戶(即非數(shù)據(jù)庫用戶)身份來管理�����,而真實(shí)用戶的身份和登錄口令就隱藏在應(yīng)用系統(tǒng)中�,或經(jīng)過各種壓縮加密等處理的配置文件中。但這樣往往留下隱患����,只要從分析應(yīng)用程序入手,最終會分析出系統(tǒng)使用的數(shù)據(jù)庫用戶和口令�����,那么其安全性也就消失了���。另一方面��,系統(tǒng)代碼是程序員寫出來的�,如果程序員有破壞意圖,這種模式?jīng)]有一絲的安全��,因為他通過自己掌握的代碼不經(jīng)分析就輕而易舉的獲得登錄用的數(shù)據(jù)庫用戶和口令��。
而采用真實(shí)數(shù)據(jù)庫用戶����,存在著權(quán)限分配上的難度��,特別是用戶數(shù)和應(yīng)用表數(shù)都很多時���,這時必然要使用角色來管理應(yīng)用權(quán)限的分配���。當(dāng)然不能直接將權(quán)限或角色直接分配給用戶,否則用戶可以不同過應(yīng)用系統(tǒng)��,而采用SQL*PLUS等前端工具進(jìn)入系統(tǒng)�,進(jìn)行一些沒有經(jīng)過應(yīng)用系統(tǒng)檢查的操作,產(chǎn)生的結(jié)果可能不符合應(yīng)用邏輯���。
我們在實(shí)踐中發(fā)現(xiàn)�����,可以采用另一種方式利用角色功能���,來防止上面出現(xiàn)的安全“漏洞”���。在這種方式下,用戶采用自己的標(biāo)識和口令注冊��,但在未得到授權(quán)的角色前�,是沒有操縱數(shù)據(jù)庫的任何權(quán)限。而授權(quán)用戶使用的角色是埋在應(yīng)用程序中的�,只有應(yīng)用程序才知道角色的名稱和口令,從而激活角色��,使用戶擁有相應(yīng)的權(quán)限���。在應(yīng)用系統(tǒng)之外���,用戶可以連接到Oracle,但沒有激活相應(yīng)的角色����,他是不能做任何事情的,而開發(fā)人員不知道用戶的標(biāo)識和口令����,他沒有辦法登錄到Oracle����,即使他能夠推算出角色的標(biāo)識和口令�。
下面根據(jù)一個例子給出具體的實(shí)現(xiàn)過程:
我們假設(shè)用戶xiayan在工作中能夠?qū)べY表account.paytable(account是表paytable的擁有者)有查詢和更新的權(quán)限,而這些權(quán)限我們不直接授予xiayan���,而是構(gòu)造一個角色(比如考勤員checkerrole),這個角色恰好適合于xiayan���,再將角色授予xiayan����,但角色在激活時需要口令�����,該口令不對xiayan公開���。每個用戶需要一個缺省的角色����,是用戶連接到Oracle時的缺省角色。這個角色只有connect權(quán)限��,我們假為defaultrole����。
下面給出具體的操作SQL。
(1)設(shè)定各種角色及其權(quán)限
CREATE ROLE checkerrole IDENTIFIEDBYxm361001;
CREATE ROLE defaultrole IDENTIFIEDBYdefaultrole;
GRANTSELECT,UPDATEONaccount.paytableTOcheckerrole;
GRANTCONNECTTOdefaultrole;
(2)創(chuàng)建用戶
CREATEUSERxiayanIDENTIFIEDBYxiayan;
(3)授權(quán)
GRANTcheckerroleTOxiayan;
GRANTdefaultroleTOxiayan;
(4)設(shè)定用戶缺省的角色
ALTERUSERxiayanDEFAULTROLEdefaultrole;
(5)注冊過程
此時用戶只有其缺省角色的權(quán)限����。
(6)激活角色
SETROLEcheckerroleIDENTIFIEDBYxm361001;
操作成功后,xiayan擁有checkerrole的權(quán)限�����。
這里的角色和口令是固定的���,在應(yīng)用系統(tǒng)中可以由應(yīng)用管理人員自行設(shè)置則更為方便安全���。
更多信息請查看IT技術(shù)專欄
由于各方面情況的不斷調(diào)整與變化,易賢網(wǎng)提供的所有考試信息和咨詢回復(fù)僅供參考�,敬請考生以權(quán)威部門公布的正式信息和咨詢?yōu)闇?zhǔn)!
公眾號
事業(yè)單位
當(dāng)前位置:
公考類
招聘類
各類考試
