版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
1、提高Oracle數(shù)據(jù)庫應(yīng)用系統(tǒng)安全的舉例與分析趙晉王維民(合肥市電信局計(jì)算中心)摘要本文介紹了作者為了提高Oracle數(shù)據(jù)庫安全所進(jìn)行的一些 有益嘗試。關(guān)鍵詞Oracle數(shù)據(jù)庫安全I(xiàn).Oracle數(shù)據(jù)庫安全的幾個(gè)基本概念1.1 帳戶安全(AccountSecurity )要在數(shù)據(jù)庫中訪問數(shù)據(jù),就必須訪問該數(shù)據(jù)庫的一個(gè)帳戶。 每個(gè) 帳戶必須指定一個(gè)口令??诹钍窃趲艚⒌臅r(shí)候設(shè)置的,可由 DBA或用戶進(jìn)行修改。1.2 系統(tǒng)級(jí)權(quán)限(System-levelPrivilege )系統(tǒng)級(jí)權(quán)限可以建立從系統(tǒng)級(jí)權(quán)限全集到擴(kuò)展的基本系統(tǒng)級(jí)的各類角色。比如,Connect,Resource 和DBA就是分別提
2、供給 用戶,開發(fā)者及DBA的標(biāo)準(zhǔn)角色。1.3 對(duì)象安全性(Objectsecurity ) 用戶可以通過grant命令將自己創(chuàng)建的一些權(quán)限授予其他用戶 使用,也可以給其他用戶授予對(duì)對(duì)象授權(quán)的權(quán)限。 例如,可以授 予一個(gè)用戶擁有對(duì)本用戶表授予 select權(quán)限的權(quán)限。1.4 審計(jì)(Auditing )Oracle具有審計(jì)發(fā)生在其內(nèi)部的所有操作 包括注冊企圖, 對(duì)象訪問和數(shù)據(jù)庫操作一一的能力。審計(jì)的結(jié)果存儲(chǔ)在數(shù)據(jù)庫 的審計(jì)表中。2應(yīng)用實(shí)例與分析在一些較大規(guī)模的Client/Server系統(tǒng)中,Client端的應(yīng)用程序一般是通過主程序中的語句實(shí)現(xiàn)與數(shù)據(jù)庫的連接。這種情況下, 任何人打開源程序便能清楚
3、了解數(shù)據(jù)庫的連接口令,這就可能導(dǎo)致安全性問題。經(jīng)常改變數(shù)據(jù)庫密碼是一個(gè)辦法,而若要改變數(shù) 據(jù)庫用戶的密碼,就需重新編寫相關(guān)程序,并對(duì)Client端的有關(guān)程序進(jìn)行更新,對(duì)于Client端多而分散的系統(tǒng),實(shí)際運(yùn)作很不 方便。能不能讓這些工作簡單易行一些呢?我們在工作中進(jìn)行了 一些嘗試。我單位數(shù)據(jù)庫環(huán)境為Oracle7.3,開發(fā)工具是Develope2000。收費(fèi)系統(tǒng)是我單位的核心系統(tǒng)之一,占有極其重要的地位,其Client端分散在市區(qū)的數(shù)個(gè)營業(yè)點(diǎn),通過城域網(wǎng)與主機(jī)(小型機(jī))相連。收費(fèi)系統(tǒng)在數(shù)據(jù)庫中的用戶名為 SFY丫(收費(fèi)應(yīng)用)試驗(yàn)的步驟是這樣的:2.1在收費(fèi)小型機(jī)Oracle系統(tǒng)的system用
4、戶(DBA )下,創(chuàng)建新用戶test;createusertestiden tifiedbycart ondefaulttablespacedataspacelquota100K2.2對(duì)test用戶授以權(quán)限;gran tcreatesessio ntotest;gran tresourcetotest;2.3在test用戶下建立一個(gè)存儲(chǔ)函數(shù) mmtranslate,它其實(shí)是一個(gè)加密程序。下面是一個(gè)簡單的例子。fun ctio nm mtra nslate(mvarchar2)returnvarchar2as inu mber(2);kkvarchar2(10);beg inkk:='&
5、#39;;i:=1;loopifi<=le ngth(m)the nifin str( ' 1234567890' ,substr(m,i,1),1,1)>0thenkk:=kk|chr(100+to_number(substr(m,i,1);elsifi nstr('wxyz',substr(m,i,1),1,1)>0the nkk:=kk|chr(-8+ascii(substr(m,i,1);elsekk:=kk|chr(4+ascii(substr(m,i,1);en dif;else exit;endif;i:=i+1;en dloop
6、;returnkk;excepti onwhe no thersthe nreturn -1';end;2.4在test用戶下建表mmtest并插入記錄createtablemmtest(usnamevarchar2(6), 用戶名稱mimavarchar2(6) 加密前的密碼);in serti ntommtestvalues('sfyy','eds2');commit;2.5執(zhí)行以下語句SQL>selectmmtra nslate('eds2')fromdual;MMTRANSLATE('EDS2') ihwf利
7、用DBA權(quán)限更改sfyy的密碼為上面語句的執(zhí)行結(jié)果:alterusersffyiden tifiedbyihwf;2.6修改應(yīng)用程序,對(duì)于開發(fā)環(huán)境是 Develope2000 的程序來說,主要是修改主程序的on-logon觸發(fā)器:declaremmvarchar2(6);beg inlogon ('test','cart on');selectmima in tommfrommmtestwhereus name='sfyy'mm:=mmtra nslate(mm);logout;logon ('sfyy',mm);end;然后再利
8、用觸發(fā)器WHEN-NEW-FROM-INSTANCE 執(zhí)行Callfrom 或Newform 等命令,進(jìn)入業(yè)務(wù)處理程序。這個(gè)主程 序應(yīng)當(dāng)僅僅由管理員來掌握,編譯之后將執(zhí)行文件下發(fā)到各收費(fèi) 點(diǎn)的Client端。2.7在System 用戶下,利用Oracle提供的pupbld.sql,建立表Productuserprofile,執(zhí)行下面這樣的命令,限制在非開發(fā)狀態(tài)Sql命令的使用例如in serti ntoproductuserprofile(product,userid,attribute,charvalue)values('SQL*Plus','TEST',
9、39;CONNECT','DISABLED');in serti ntoproductuserprofile(product,userid,attribute,charvalue)values ('SQL*Plus','SFYY','DELETE','DISABLED');這樣,在 SQL 狀態(tài) 下,根本無法連接到TEST用戶,而在sfyy用戶下,delete命 令將不能執(zhí)行。當(dāng)然,DBA可以改變這些設(shè)置。3.可以看出,通過上述的一系列處理,無須更新程序便能實(shí)現(xiàn)應(yīng)用 系統(tǒng)數(shù)據(jù)庫(本例中的sfyy)密碼的定期
10、或經(jīng)常的改動(dòng),大大提高 了維護(hù)效率。Test用戶的口令只有DBA掌握;過程mmtranslate 的加密方式也可以經(jīng)常改變。這些都保證了安全性。另一方面,還要加強(qiáng)對(duì)源程序的管理,在Client端只存放執(zhí)行程序。加強(qiáng)審計(jì),發(fā)現(xiàn)異?,F(xiàn)象,及時(shí)處理。通過這些手段,數(shù)據(jù)庫安全得到了更好保證。MVision解決方案創(chuàng)新創(chuàng)先Micron將于7月正式推出一套 MVision 計(jì)劃,專門幫助行業(yè) 用戶和政府部門進(jìn)行以下活動(dòng):提高他們的IT人員的能力,增 加他們的財(cái)政來源,以及從事高收益的科技。MVision計(jì)劃的第一階段包括:16項(xiàng)提高IT人員生產(chǎn)力的新的產(chǎn)品和服務(wù);新 的增加財(cái)政來源計(jì)劃和提供高科技幫助。通常計(jì)算機(jī)供應(yīng)商提供 的以上各種項(xiàng)目只為被美國財(cái)富雜志評(píng)為的全美前 500名 企業(yè)服務(wù)。而Micron為滿足行業(yè)用戶和政府部門的需求而為他 們提供了上述項(xiàng)目,從而成為這一行業(yè)中領(lǐng)導(dǎo)者。Micro 的Micron 董事長兼 CEOJeolKrocher 先生說:MVision 計(jì)劃的第一步的基礎(chǔ)是 IT 專業(yè)人士和高級(jí)管理的直接 輸入。它主要
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- “模型+數(shù)據(jù)”驅(qū)動(dòng)的TIG焊接電弧虛擬模型構(gòu)建與電弧狀態(tài)監(jiān)測
- 二零二五年度社區(qū)便利店超市合作協(xié)議書
- 2025年度素食養(yǎng)生餐飲合伙協(xié)議
- 2025年度智能燈具研發(fā)、生產(chǎn)、安裝與售后服務(wù)合同
- 二零二五年度盒飯配送服務(wù)與餐飲管理聯(lián)合合同
- 2025年度汽車租賃公司車主與駕駛員合作協(xié)議書模板
- 二零二五年度荒山承包經(jīng)營權(quán)轉(zhuǎn)讓與農(nóng)業(yè)種植合同
- 2025年度融資財(cái)務(wù)顧問合同-智能制造項(xiàng)目融資版
- 2025年度貴重物品安全保管合作協(xié)議書
- 2025年度股東向公司提供借款的保密及限制協(xié)議
- 慈溪高一期末數(shù)學(xué)試卷
- 天津市武清區(qū)2024-2025學(xué)年八年級(jí)(上)期末物理試卷(含解析)
- 《徐霞客傳正版》課件
- 江西硅博化工有限公司年產(chǎn)5000噸硅樹脂項(xiàng)目環(huán)境影響評(píng)價(jià)
- 高端民用航空復(fù)材智能制造交付中心項(xiàng)目環(huán)評(píng)資料環(huán)境影響
- 量子醫(yī)學(xué)成像學(xué)行業(yè)研究報(bào)告
- DB22T 3268-2021 糧食收儲(chǔ)企業(yè)安全生產(chǎn)標(biāo)準(zhǔn)化評(píng)定規(guī)范
- 辦事居間協(xié)議合同范例
- 正念減壓療法詳解課件
- 華為HCSA-Presales-IT售前認(rèn)證備考試題及答案
- GB 30254-2024高壓三相籠型異步電動(dòng)機(jī)能效限定值及能效等級(jí)
評(píng)論
0/150
提交評(píng)論