活动公告

系统通知
通知:关于部分勋章领取条件及购买价格调整的通知
05-18 21:22
系统通知
通知:本站资源由网友上传分享,如有违规等问题请到版务模块进行投诉,资源失效请在帖子内回复要求补档,会尽快处理!
10-23 09:31
>社区 > 科技 > 经验交流 >帖子
本版发帖返回

Oracle数据库安全防护与权限控制策略全解析从基础配置到高级应用保障企业数据安全防止信息泄露与恶意攻击提升系统防护能力

这是个蓝孩子 当前离线 威震华夏关云长
SunJu_FaceMall

3万

主题

2860

科技点

3万

积分

白金月票

碾压王

积分
32872

塔罗立华奏
<font color=白金月票" /> 发表于 2025-9-2 16:30:00 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?立即注册

x
引言

在当今数字化时代,数据已成为企业最宝贵的资产之一。Oracle数据库作为全球领先的关系型数据库管理系统,承载着大量关键业务数据,其安全性直接关系到企业的核心利益。随着网络攻击手段的不断升级和数据泄露事件的频发,构建完善的Oracle数据库安全防护体系已成为企业IT建设的重中之重。本文将从基础配置到高级应用,全面解析Oracle数据库的安全防护与权限控制策略,帮助企业构建坚实的数据安全防线,有效防止信息泄露与恶意攻击,全面提升系统防护能力。

Oracle数据库安全基础

安全架构概述

Oracle数据库采用多层次安全架构,从网络层、实例层到数据层提供全方位的安全保护。其安全架构主要包括以下几个核心组件:

1. 身份验证:确认用户身份的合法性
2. 授权控制:限制用户对数据库资源的访问
3. 数据加密:保护数据存储和传输的机密性
4. 审计跟踪:记录数据库活动,便于事后追溯
5. 数据完整性:确保数据不被非法篡改

基本安全配置

Oracle数据库安装后,许多默认账户(如SYS、SYSTEM)都有预设密码,这些是攻击者的首要目标。应立即修改这些默认密码:
  2. -- 修改SYS用户密码
  3. ALTER USER SYS IDENTIFIED BY "ComplexPassword123!";
  5. -- 修改SYSTEM用户密码
  6. ALTER USER SYSTEM IDENTIFIED BY "AnotherComplexPassword456@";
复制代码

Oracle安装时会创建多个默认账户,其中许多可能不需要使用。应禁用或删除这些账户以减少攻击面:
  2. -- 锁定并过期不需要的账户
  3. ALTER USER SCOTT ACCOUNT LOCK PASSWORD EXPIRE;
  4. ALTER USER HR ACCOUNT LOCK PASSWORD EXPIRE;
  6. -- 查看所有账户状态
  7. SELECT username, account_status FROM dba_users;
复制代码

默认监听端口(1521)是攻击者常扫描的目标,修改为非标准端口可提高安全性:
  2. # 修改listener.ora文件
  3. LISTENER =
  4.   (DESCRIPTION_LIST =
  5.     (DESCRIPTION =
  6.       (ADDRESS = (PROTOCOL = TCP)(HOST = your_hostname)(PORT = 1522))
  7.       (ADDRESS = (PROTOCOL = IPC)(KEY = EXTPROC1522))
  8.     )
  9.   )
复制代码

Oracle提供多种加密选项,包括透明数据加密(TDE)和列级加密:
  2. -- 创建钱包并设置密码
  3. ALTER SYSTEM SET ENCRYPTION KEY IDENTIFIED BY "wallet_password";
  5. -- 加密表空间
  6. CREATE TABLESPACE secure_ts
  7. DATAFILE '/path/to/secure_ts.dbf' SIZE 100M
  8. ENCRYPTION USING 'AES256'
  9. DEFAULT STORAGE(ENCRYPT);
  11. -- 加密特定列
  12. CREATE TABLE employees (
  13.   emp_id NUMBER,
  14.   name VARCHAR2(50),
  15.   salary NUMBER ENCRYPT USING 'AES256',
  16.   ssn VARCHAR2(20) ENCRYPT USING 'AES256'
  17. );
复制代码

身份认证机制

用户管理

有效的用户管理是数据库安全的第一道防线。Oracle提供了灵活的用户管理机制:
  2. -- 创建新用户
  3. CREATE USER app_user
  4. IDENTIFIED BY "SecurePassword123!"
  5. DEFAULT TABLESPACE users
  6. TEMPORARY TABLESPACE temp
  7. QUOTA 100M ON users
  8. PASSWORD EXPIRE;
  10. -- 修改用户属性
  11. ALTER USER app_user
  12. QUOTA UNLIMITED ON users
  13. PROFILE app_profile;
  15. -- 删除用户
  16. DROP USER app_user CASCADE;
复制代码

密码策略

强密码策略可以有效防止暴力破解和字典攻击:
  2. -- 创建密码验证函数
  3. CREATE OR REPLACE FUNCTION verify_password
  4. (username VARCHAR2, password VARCHAR2, old_password VARCHAR2)
  5. RETURN BOOLEAN IS
  6. BEGIN
  7.   -- 密码长度至少10个字符
  8.   IF LENGTH(password) < 10 THEN
  9.     RETURN FALSE;
  10.   END IF;
  11.   
  12.   -- 密码必须包含数字
  13.   IF NOT REGEXP_LIKE(password, '[0-9]') THEN
  14.     RETURN FALSE;
  15.   END IF;
  16.   
  17.   -- 密码必须包含大写字母
  18.   IF NOT REGEXP_LIKE(password, '[A-Z]') THEN
  19.     RETURN FALSE;
  20.   END IF;
  21.   
  22.   -- 密码必须包含小写字母
  23.   IF NOT REGEXP_LIKE(password, '[a-z]') THEN
  24.     RETURN FALSE;
  25.   END IF;
  26.   
  27.   -- 密码必须包含特殊字符
  28.   IF NOT REGEXP_LIKE(password, '[^a-zA-Z0-9]') THEN
  29.     RETURN FALSE;
  30.   END IF;
  31.   
  32.   -- 密码不能与用户名相同
  33.   IF UPPER(password) = UPPER(username) THEN
  34.     RETURN FALSE;
  35.   END IF;
  36.   
  37.   RETURN TRUE;
  38. END;
  39. /
  41. -- 创建密码配置文件
  42. CREATE PROFILE secure_profile LIMIT
  43.   PASSWORD_LIFE_TIME 90
  44.   PASSWORD_GRACE_TIME 7
  45.   PASSWORD_REUSE_TIME 365
  46.   PASSWORD_REUSE_MAX 10
  47.   FAILED_LOGIN_ATTEMPTS 5
  48.   PASSWORD_LOCK_TIME 1
  49.   PASSWORD_VERIFY_FUNCTION verify_password;
  51. -- 将配置文件分配给用户
  52. ALTER USER app_user PROFILE secure_profile;
复制代码

多因素认证

Oracle支持多种认证方法,包括强认证和集成认证:
  2. -- 配置SSL认证
  3. -- 1. 创建钱包
  4. MKSTORE -wrl /path/to/wallet -create
  6. -- 2. 导入证书
  7. MKSTORE -wrl /path/to/wallet -importCertificate -trusted_cert -cert /path/to/certificate.crt
  9. -- 3. 配置SQLNET.ORA
  10. WALLET_LOCATION =
  11.   (SOURCE =
  12.     (METHOD = FILE)
  13.     (METHOD_DATA =
  14.       (DIRECTORY = /path/to/wallet)
  15.     )
  16.   )
  17. SQLNET.AUTHENTICATION_SERVICES = (BEQ, TCPS, NT)
  19. -- 4. 配置监听器使用SSL
  20. (DESCRIPTION =
  21.   (ADDRESS = (PROTOCOL = TCPS)(HOST = hostname)(PORT = 2484))
  22.   (ADDRESS = (PROTOCOL = IPC)(KEY = EXTPROC))
  23. )
复制代码

权限控制系统

系统权限与对象权限

Oracle的权限系统分为系统权限和对象权限:
  2. -- 授予系统权限
  3. GRANT CREATE SESSION, CREATE TABLE TO app_user;
  5. -- 授予对象权限
  6. GRANT SELECT, INSERT, UPDATE ON hr.employees TO app_user;
  8. -- 授予带GRANT OPTION的权限
  9. GRANT SELECT ON hr.employees TO app_user WITH GRANT OPTION;
  11. -- 撤销权限
  12. REVOKE DELETE ON hr.employees FROM app_user;
复制代码

角色管理

角色是权限的集合,可以简化权限管理:
  2. -- 创建角色
  3. CREATE ROLE app_role;
  5. -- 为角色授予权限
  6. GRANT CREATE SESSION, CREATE TABLE TO app_role;
  7. GRANT SELECT, INSERT, UPDATE ON hr.employees TO app_role;
  9. -- 将角色授予用户
  10. GRANT app_role TO app_user;
  12. -- 设置默认角色
  13. ALTER USER app_user DEFAULT ROLE app_role;
  15. -- 启用或禁用角色
  16. SET ROLE app_role;
  17. SET ROLE ALL EXCEPT app_role;
复制代码

最小权限原则

实施最小权限原则可以显著降低安全风险:
  2. -- 创建只读角色
  3. CREATE ROLE read_only_role;
  4. GRANT SELECT ON hr.employees TO read_only_role;
  5. GRANT SELECT ON hr.departments TO read_only_role;
  7. -- 创建读写角色
  8. CREATE ROLE read_write_role;
  9. GRANT SELECT, INSERT, UPDATE ON hr.employees TO read_write_role;
  10. GRANT SELECT, INSERT, UPDATE ON hr.departments TO read_write_role;
  12. -- 根据职责分配角色
  13. GRANT read_only_role TO analyst_user;
  14. GRANT read_write_role TO manager_user;
  16. -- 使用视图限制数据访问
  17. CREATE VIEW employee_public_view AS
  18. SELECT emp_id, first_name, last_name, email, phone_number
  19. FROM hr.employees;
  21. GRANT SELECT ON employee_public_view TO read_only_role;
复制代码

数据加密技术

透明数据加密(TDE)

透明数据加密(TDE)可以在不修改应用程序的情况下加密数据:
  2. -- 配置TDE钱包
  3. ALTER SYSTEM SET ENCRYPTION KEY IDENTIFIED BY "wallet_password";
  5. -- 加密表空间
  6. CREATE TABLESPACE encrypted_ts
  7. DATAFILE '/path/to/encrypted_ts.dbf' SIZE 100M
  8. ENCRYPTION USING 'AES256'
  9. DEFAULT STORAGE(ENCRYPT);
  11. -- 加密现有表空间
  12. ALTER TABLESPACE users ENCRYPT USING 'AES256';
  14. -- 加密特定列
  15. CREATE TABLE customer_data (
  16.   id NUMBER,
  17.   name VARCHAR2(100),
  18.   credit_card_number VARCHAR2(20) ENCRYPT USING 'AES256',
  19.   ssn VARCHAR2(11) ENCRYPT USING 'AES256'
  20. );
  22. -- 加密现有表的列
  23. ALTER TABLE customer_data MODIFY (email ENCRYPT USING 'AES256');
复制代码

列级加密

列级加密允许对敏感数据进行细粒度保护:
  2. -- 使用DBMS_CRYPTO包进行加密
  3. CREATE OR REPLACE FUNCTION encrypt_data(p_data IN VARCHAR2, p_key IN RAW)
  4. RETURN RAW IS
  5.   l_encrypted RAW(2000);
  6. BEGIN
  7.   l_encrypted := DBMS_CRYPTO.ENCRYPT(
  8.     src => UTL_I18N.STRING_TO_RAW(p_data, 'AL32UTF8'),
  9.     typ => DBMS_CRYPTO.ENCRYPT_AES256 + DBMS_CRYPTO.CHAIN_CBC + DBMS_CRYPTO.PAD_PKCS5,
  10.     key => p_key
  11.   );
  12.   RETURN l_encrypted;
  13. END;
  14. /
  16. CREATE OR REPLACE FUNCTION decrypt_data(p_encrypted_data IN RAW, p_key IN RAW)
  17. RETURN VARCHAR2 IS
  18.   l_decrypted RAW(2000);
  19. BEGIN
  20.   l_decrypted := DBMS_CRYPTO.DECRYPT(
  21.     src => p_encrypted_data,
  22.     typ => DBMS_CRYPTO.ENCRYPT_AES256 + DBMS_CRYPTO.CHAIN_CBC + DBMS_CRYPTO.PAD_PKCS5,
  23.     key => p_key
  24.   );
  25.   RETURN UTL_I18N.RAW_TO_CHAR(l_decrypted, 'AL32UTF8');
  26. END;
  27. /
  29. -- 使用加密函数
  30. DECLARE
  31.   l_key RAW(32) := UTL_I18N.STRING_TO_RAW('MySecretEncryptionKey123456789012', 'AL32UTF8');
  32.   l_encrypted RAW(2000);
  33.   l_decrypted VARCHAR2(2000);
  34. BEGIN
  35.   -- 加密数据
  36.   l_encrypted := encrypt_data('Sensitive Information', l_key);
  37.   
  38.   -- 存储加密数据
  39.   INSERT INTO sensitive_data (id, encrypted_value)
  40.   VALUES (1, l_encrypted);
  41.   
  42.   -- 检索并解密数据
  43.   SELECT decrypt_data(encrypted_value, l_key)
  44.   INTO l_decrypted
  45.   FROM sensitive_data
  46.   WHERE id = 1;
  47.   
  48.   DBMS_OUTPUT.PUT_LINE('Decrypted value: ' || l_decrypted);
  49. END;
  50. /
复制代码

表空间加密

表空间加密提供了一种保护整个数据库对象的方法:
  2. -- 创建加密的表空间
  3. CREATE TABLESPACE secure_data
  4. DATAFILE '/u01/oradata/orcl/secure_data01.dbf' SIZE 500M
  5. ENCRYPTION USING 'AES256'
  6. DEFAULT STORAGE(ENCRYPT);
  8. -- 将表移动到加密表空间
  9. ALTER TABLE hr.employees MOVE TABLESPACE secure_data;
  11. -- 将索引移动到加密表空间
  12. ALTER INDEX hr.emp_name_ix REBUILD TABLESPACE secure_data;
  14. -- 加密临时表空间
  15. CREATE TEMPORARY TABLESPACE temp_encrypted
  16. TEMPFILE '/u01/oradata/orcl/temp_encrypted01.dbf' SIZE 100M
  17. TABLESPACE GROUP ''
  18. ENCRYPTION USING 'AES256';
  20. -- 设置加密的临时表空间为默认
  21. ALTER DATABASE DEFAULT TEMPORARY TABLESPACE temp_encrypted;
复制代码

网络安全配置

Oracle Net安全

Oracle Net是数据库与客户端之间的通信层,其安全配置至关重要:
  2. -- 配置SQLNET.ORA以限制访问
  3. # 在SQLNET.ORA文件中添加以下内容
  4. TCP.VALIDNODE_CHECKING = YES
  5. TCP.INVITED_NODES = (hostname1, hostname2, ip_address1, ip_address2)
  6. TCP.EXCLUDED_NODES = (blacklisted_ip1, blacklisted_ip2)
  8. -- 启用加密网络通信
  9. # 在SQLNET.ORA中添加
  10. SQLNET.ENCRYPTION_SERVER = REQUIRED
  11. SQLNET.ENCRYPTION_TYPES_SERVER = (AES256, AES192, AES128)
  12. SQLNET.CRYPTO_CHECKSUM_SERVER = REQUIRED
  13. SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER = (SHA1, SHA256, SHA384, SHA512)
复制代码

SSL/TLS配置

配置SSL/TLS可以保护数据在传输过程中的安全性:
  2. # 1. 创建钱包
  3. orapki wallet create -wallet /path/to/wallet -pwd WalletPassword123
  5. # 2. 生成证书请求
  6. orapki wallet create -wallet /path/to/wallet -pwd WalletPassword123 -dn "CN=hostname,O=organization,C=country" -keysize 2048
  8. # 3. 导入证书
  9. orapki wallet import -wallet /path/to/wallet -pwd WalletPassword123 -cert /path/to/certificate.crt
  11. # 4. 配置监听器
  12. # 在listener.ora中添加
  13. SSL_CLIENT_AUTHENTICATION = FALSE
  14. WALLET_LOCATION =
  15.   (SOURCE =
  16.     (METHOD = FILE)
  17.     (METHOD_DATA =
  18.       (DIRECTORY = /path/to/wallet)
  19.     )
  20.   )
  22. # 5. 配置TCPS协议
  23. (DESCRIPTION =
  24.   (ADDRESS = (PROTOCOL = TCPS)(HOST = hostname)(PORT = 2484))
  25. )
复制代码

防火墙设置

合理配置防火墙规则可以限制对数据库的访问:
  2. # 使用iptables配置Linux防火墙
  3. # 允许特定IP访问Oracle端口
  4. iptables -A INPUT -p tcp -s 192.168.1.100 --dport 1521 -j ACCEPT
  5. iptables -A INPUT -p tcp -s 192.168.1.101 --dport 1521 -j ACCEPT
  7. # 拒绝其他所有对Oracle端口的访问
  8. iptables -A INPUT -p tcp --dport 1521 -j DROP
  10. # 保存规则
  11. service iptables save
  13. # 使用Windows防火墙配置
  14. netsh advfirewall firewall add rule name="Oracle" dir=in action=allow protocol=TCP localport=1521 remoteip=192.168.1.100,192.168.1.101
复制代码

审计与监控

数据库审计

Oracle提供了强大的审计功能,可以跟踪数据库活动:
  2. -- 启用数据库审计
  3. ALTER SYSTEM SET audit_trail=db SCOPE=SPFILE;
  5. -- 重启数据库使设置生效
  6. SHUTDOWN IMMEDIATE;
  7. STARTUP;
  9. -- 审计特定操作
  10. AUDIT SELECT, INSERT, UPDATE, DELETE ON hr.employees BY ACCESS;
  12. -- 审计特定用户
  13. AUDIT SESSION BY app_user;
  15. -- 审计权限使用
  16. AUDIT SELECT ANY TABLE BY ACCESS;
  18. -- 查看审计记录
  19. SELECT username, action_name, obj_name, timestamp, priv_used
  20. FROM dba_audit_trail
  21. WHERE username = 'APP_USER';
  23. -- 清理审计记录
  24. DELETE FROM sys.aud$ WHERE timestamp < SYSDATE - 90;
复制代码

细粒度审计

细粒度审计(FGA)允许对特定条件下的数据访问进行审计:
  2. -- 添加FGA策略
  3. BEGIN
  4.   DBMS_FGA.ADD_POLICY(
  5.     object_schema   => 'HR',
  6.     object_name     => 'EMPLOYEES',
  7.     policy_name     => 'audit_high_salary_access',
  8.     audit_condition => 'SALARY > 100000',
  9.     audit_column    => 'SALARY',
  10.     enable          => TRUE
  11.   );
  12. END;
  13. /
  15. -- 查看FGA审计记录
  16. SELECT db_user, object_schema, object_name, policy_name, sql_text, timestamp
  17. FROM dba_fga_audit_trail;
  19. -- 禁用FGA策略
  20. BEGIN
  21.   DBMS_FGA.DISABLE_POLICY(
  22.     object_schema => 'HR',
  23.     object_name   => 'EMPLOYEES',
  24.     policy_name   => 'audit_high_salary_access'
  25.   );
  26. END;
  27. /
  29. -- 删除FGA策略
  30. BEGIN
  31.   DBMS_FGA.DROP_POLICY(
  32.     object_schema => 'HR',
  33.     object_name   => 'EMPLOYEES',
  34.     policy_name   => 'audit_high_salary_access'
  35.   );
  36. END;
  37. /
复制代码

实时监控技术

实时监控可以帮助及时发现异常活动:
  2. -- 创建监控表
  3. CREATE TABLE db_activity_monitor (
  4.   id NUMBER GENERATED ALWAYS AS IDENTITY,
  5.   username VARCHAR2(30),
  6.   osuser VARCHAR2(30),
  7.   machine VARCHAR2(64),
  8.   program VARCHAR2(48),
  9.   logon_time TIMESTAMP,
  10.   last_call_et NUMBER,
  11.   status VARCHAR2(8),
  12.   sql_text CLOB,
  13.   capture_time TIMESTAMP DEFAULT SYSTIMESTAMP
  14. );
  16. -- 创建监控存储过程
  17. CREATE OR REPLACE PROCEDURE capture_db_activity AS
  18. BEGIN
  19.   INSERT INTO db_activity_monitor (username, osuser, machine, program, logon_time, last_call_et, status, sql_text)
  20.   SELECT s.username, s.osuser, s.machine, s.program, s.logon_time, s.last_call_et, s.status, q.sql_text
  21.   FROM v$session s
  22.   LEFT JOIN v$sql q ON s.sql_id = q.sql_id
  23.   WHERE s.username IS NOT NULL
  24.   AND s.status = 'ACTIVE';
  25.   
  26.   COMMIT;
  27. END;
  28. /
  30. -- 创建定时任务
  31. BEGIN
  32.   DBMS_SCHEDULER.CREATE_JOB (
  33.     job_name        => 'db_activity_monitor_job',
  34.     job_type        => 'PLSQL_BLOCK',
  35.     job_action      => 'BEGIN capture_db_activity; END;',
  36.     start_date      => SYSTIMESTAMP,
  37.     repeat_interval => 'FREQ=HOURLY; INTERVAL=1',
  38.     enabled         => TRUE
  39.   );
  40. END;
  41. /
  43. -- 查看监控结果
  44. SELECT * FROM db_activity_monitor
  45. WHERE capture_time > SYSDATE - 1
  46. ORDER BY capture_time DESC;
复制代码

高级安全特性

数据库保险库

Oracle Database Vault提供额外的安全层,防止特权用户滥用权限:
  2. -- 安装Database Vault
  3. -- 1. 以SYSDBA身份登录
  4. sqlplus / as sysdba
  6. -- 2. 启用Database Vault
  7. ALTER SYSTEM SET db_vault_enable = TRUE SCOPE=SPFILE;
  9. -- 3. 重启数据库
  10. SHUTDOWN IMMEDIATE;
  11. STARTUP;
  13. -- 创建领域
  14. BEGIN
  15.   DVSYS.DBMS_MACADM.CREATE_REALM(
  16.     realm_name    => 'HR_Data_Realm',
  17.     description   => 'Realm to protect HR data',
  18.     enabled       => DBMS_MACUTL.G_YES,
  19.     audit_options => DBMS_MACUTL.G_REALM_AUDIT_FAIL + DBMS_MACUTL.G_REALM_AUDIT_SUCCESS
  20.   );
  21. END;
  22. /
  24. -- 将对象添加到领域
  25. BEGIN
  26.   DVSYS.DBMS_MACADM.ADD_OBJECT_TO_REALM(
  27.     realm_name   => 'HR_Data_Realm',
  28.     object_owner => 'HR',
  29.     object_name  => '%',
  30.     object_type  => 'TABLE'
  31.   );
  32. END;
  33. /
  35. -- 创建授权规则
  36. BEGIN
  37.   DVSYS.DBMS_MACADM.CREATE_AUTH(
  38.     realm_name    => 'HR_Data_Realm',
  39.     rule_set_name => 'Can_Access_HR_Data',
  40.     rule_name     => 'Is_HR_Manager',
  41.     enabled       => DBMS_MACUTL.G_YES
  42.   );
  43. END;
  44. /
  46. -- 创建规则
  47. BEGIN
  48.   DVSYS.DBMS_MACADM.CREATE_RULE(
  49.     rule_name    => 'Is_HR_Manager',
  50.     rule_expr    => 'DVSYS.DBMS_MACUTL.CHECK_FUNCTION(''HR_IS_MANAGER'') = ''Y''',
  51.     enabled      => DBMS_MACUTL.G_YES
  52.   );
  53. END;
  54. /
复制代码

数据脱敏

数据脱敏技术可以在不影响应用功能的情况下保护敏感数据:
  2. -- 创建脱敏策略
  3. BEGIN
  4.   DBMS_REDACT.ADD_POLICY(
  5.     object_schema   => 'HR',
  6.     object_name     => 'EMPLOYEES',
  7.     policy_name     => 'redact_employees_policy',
  8.     function_type   => DBMS_REDACT.PARTIAL,
  9.     expression      => '1=1',
  10.     enable          => TRUE
  11.   );
  12. END;
  13. /
  15. -- 添加脱敏列
  16. BEGIN
  17.   DBMS_REDACT.ALTER_POLICY(
  18.     object_schema   => 'HR',
  19.     object_name     => 'EMPLOYEES',
  20.     policy_name     => 'redact_employees_policy',
  21.     action          => DBMS_REDACT.ADD_COLUMN,
  22.     column_name     => 'SALARY',
  23.     function_type   => DBMS_REDACT.PARTIAL,
  24.     function_parameters => 'VVVVV,VVVV,VV,VV'
  25.   );
  26. END;
  27. /
  29. -- 添加脱敏列
  30. BEGIN
  31.   DBMS_REDACT.ALTER_POLICY(
  32.     object_schema   => 'HR',
  33.     object_name     => 'EMPLOYEES',
  34.     policy_name     => 'redact_employees_policy',
  35.     action          => DBMS_REDACT.ADD_COLUMN,
  36.     column_name     => 'SSN',
  37.     function_type   => DBMS_REDACT.PARTIAL,
  38.     function_parameters => 'XXX-XX-XXXX'
  39.   );
  40. END;
  41. /
  43. -- 测试脱敏效果
  44. -- 以普通用户身份查询
  45. SELECT salary, ssn FROM hr.employees WHERE ROWNUM < 5;
  47. -- 以特权用户身份查询(不受脱敏影响)
  48. SELECT salary, ssn FROM hr.employees WHERE ROWNUM < 5;
复制代码

高级安全选项

Oracle提供了多种高级安全选项,如数据加密和访问控制:
  2. -- 配置数据加密
  3. -- 1. 创建加密密钥
  4. CREATE TABLESPACE encrypted_ts
  5. DATAFILE '/u01/oradata/orcl/encrypted_ts.dbf' SIZE 100M
  6. ENCRYPTION USING 'AES256'
  7. DEFAULT STORAGE(ENCRYPT);
  9. -- 2. 创建加密表
  10. CREATE TABLE sensitive_data (
  11.   id NUMBER,
  12.   data VARCHAR2(4000) ENCRYPT USING 'AES256',
  13.   CONSTRAINT pk_sensitive_data PRIMARY KEY (id)
  14. ) TABLESPACE encrypted_ts;
  16. -- 3. 创建加密索引
  17. CREATE INDEX idx_sensitive_data ON sensitive_data(data) TABLESPACE encrypted_ts;
  19. -- 配置虚拟私有数据库(VPD)
  20. -- 1. 创建策略函数
  21. CREATE OR REPLACE FUNCTION hr_security_policy (p_schema IN VARCHAR2, p_table IN VARCHAR2)
  22. RETURN VARCHAR2 AS
  23. BEGIN
  24.   RETURN 'department_id = SYS_CONTEXT(''USERENV'', ''CURRENT_DEPARTMENT_ID'')';
  25. END;
  26. /
  28. -- 2. 添加策略
  29. BEGIN
  30.   DBMS_RLS.ADD_POLICY(
  31.     object_schema   => 'HR',
  32.     object_name     => 'EMPLOYEES',
  33.     policy_name     => 'hr_dept_policy',
  34.     function_schema => 'HR',
  35.     policy_function => 'hr_security_policy',
  36.     statement_types => 'SELECT, INSERT, UPDATE, DELETE'
  37.   );
  38. END;
  39. /
  41. -- 3. 设置上下文
  42. CREATE OR REPLACE CONTEXT hr_dept_ctx USING hr_dept_pkg;
  44. CREATE OR REPLACE PACKAGE hr_dept_pkg AS
  45.   PROCEDURE set_dept_id(p_dept_id NUMBER);
  46. END;
  47. /
  49. CREATE OR REPLACE PACKAGE BODY hr_dept_pkg AS
  50.   PROCEDURE set_dept_id(p_dept_id NUMBER) AS
  51.   BEGIN
  52.     DBMS_SESSION.SET_CONTEXT('hr_dept_ctx', 'CURRENT_DEPARTMENT_ID', p_dept_id);
  53.   END;
  54. END;
  55. /
复制代码

安全最佳实践

安全配置清单

以下是Oracle数据库安全配置的清单:

1. 账户管理修改所有默认密码禁用或删除不必要的账户实施强密码策略定期审查用户账户
2. 修改所有默认密码
3. 禁用或删除不必要的账户
4. 实施强密码策略
5. 定期审查用户账户
6. 权限控制实施最小权限原则使用角色简化权限管理定期审查权限分配限制PUBLIC角色的权限
7. 实施最小权限原则
8. 使用角色简化权限管理
9. 定期审查权限分配
10. 限制PUBLIC角色的权限
11. 数据加密启用透明数据加密对敏感列实施列级加密加密网络通信安全管理加密密钥
12. 启用透明数据加密
13. 对敏感列实施列级加密
14. 加密网络通信
15. 安全管理加密密钥
16. 网络安全修改默认监听端口限制网络访问启用SSL/TLS配置防火墙规则
17. 修改默认监听端口
18. 限制网络访问
19. 启用SSL/TLS
20. 配置防火墙规则
21. 审计与监控启用数据库审计实施细粒度审计定期审查审计日志实时监控异常活动
22. 启用数据库审计
23. 实施细粒度审计
24. 定期审查审计日志
25. 实时监控异常活动

账户管理

• 修改所有默认密码
• 禁用或删除不必要的账户
• 实施强密码策略
• 定期审查用户账户

权限控制

• 实施最小权限原则
• 使用角色简化权限管理
• 定期审查权限分配
• 限制PUBLIC角色的权限

数据加密

• 启用透明数据加密
• 对敏感列实施列级加密
• 加密网络通信
• 安全管理加密密钥

网络安全

• 修改默认监听端口
• 限制网络访问
• 启用SSL/TLS
• 配置防火墙规则

审计与监控

• 启用数据库审计
• 实施细粒度审计
• 定期审查审计日志
• 实时监控异常活动

定期安全评估

定期进行安全评估可以帮助发现潜在的安全问题:
  2. -- 创建安全评估存储过程
  3. CREATE OR REPLACE PROCEDURE security_assessment AS
  4.   v_weak_password_count NUMBER;
  5.   v_excessive_privileges_count NUMBER;
  6.   v_public_privileges_count NUMBER;
  7.   v_unencrypted_tables_count NUMBER;
  8. BEGIN
  9.   -- 检查弱密码
  10.   SELECT COUNT(*) INTO v_weak_password_count
  11.   FROM dba_users
  12.   WHERE password_versions IS NULL OR LENGTH(password) < 10;
  13.   
  14.   -- 检查过度权限
  15.   SELECT COUNT(*) INTO v_excessive_privileges_count
  16.   FROM dba_tab_privs
  17.   WHERE grantee IN (SELECT username FROM dba_users WHERE account_status = 'OPEN')
  18.   AND privilege IN ('ALL', 'ALTER ANY TABLE', 'DROP ANY TABLE');
  19.   
  20.   -- 检查PUBLIC角色的权限
  21.   SELECT COUNT(*) INTO v_public_privileges_count
  22.   FROM dba_tab_privs
  23.   WHERE grantee = 'PUBLIC';
  24.   
  25.   -- 检查未加密的表
  26.   SELECT COUNT(*) INTO v_unencrypted_tables_count
  27.   FROM dba_tables t
  28.   WHERE NOT EXISTS (
  29.     SELECT 1 FROM dba_encrypted_columns ec
  30.     WHERE ec.owner = t.owner AND ec.table_name = t.table_name
  31.   );
  32.   
  33.   -- 输出评估结果
  34.   DBMS_OUTPUT.PUT_LINE('安全评估结果:');
  35.   DBMS_OUTPUT.PUT_LINE('弱密码账户数量: ' || v_weak_password_count);
  36.   DBMS_OUTPUT.PUT_LINE('拥有过度权限的用户数量: ' || v_excessive_privileges_count);
  37.   DBMS_OUTPUT.PUT_LINE('PUBLIC角色的权限数量: ' || v_public_privileges_count);
  38.   DBMS_OUTPUT.PUT_LINE('未加密的表数量: ' || v_unencrypted_tables_count);
  39.   
  40.   -- 生成建议
  41.   IF v_weak_password_count > 0 THEN
  42.     DBMS_OUTPUT.PUT_LINE('建议: 更改弱密码并实施强密码策略');
  43.   END IF;
  44.   
  45.   IF v_excessive_privileges_count > 0 THEN
  46.     DBMS_OUTPUT.PUT_LINE('建议: 审查并减少用户权限,实施最小权限原则');
  47.   END IF;
  48.   
  49.   IF v_public_privileges_count > 0 THEN
  50.     DBMS_OUTPUT.PUT_LINE('建议: 审查并减少PUBLIC角色的权限');
  51.   END IF;
  52.   
  53.   IF v_unencrypted_tables_count > 0 THEN
  54.     DBMS_OUTPUT.PUT_LINE('建议: 对敏感表实施加密');
  55.   END IF;
  56. END;
  57. /
  59. -- 执行安全评估
  60. SET SERVEROUTPUT ON;
  61. EXEC security_assessment;
复制代码

安全更新与补丁管理

定期应用安全补丁是保持数据库安全的关键:
  2. # 1. 检查当前数据库版本和补丁级别
  3. sqlplus / as sysdba
  4. SELECT * FROM v$version;
  6. # 2. 下载最新的补丁集
  7. # 访问Oracle支持网站(https://support.oracle.com)下载适用的补丁
  9. # 3. 准备应用补丁
  10. # 停止监听器
  11. lsnrctl stop
  13. # 停止数据库
  14. sqlplus / as sysdba
  15. SHUTDOWN IMMEDIATE;
  17. # 4. 应用补丁
  18. # 解压补丁文件
  19. cd /path/to/patch
  20. unzip p<number>_<platform>.zip
  22. # 运行OPatch工具
  23. cd <patch_number>
  24. $ORACLE_HOME/OPatch/opatch apply
  26. # 5. 启动数据库和监听器
  27. sqlplus / as sysdba
  28. STARTUP;
  30. lsnrctl start
  32. # 6. 验证补丁安装
  33. $ORACLE_HOME/OPatch/opatch lsinventory
  35. # 7. 运行数据字典更新
  36. sqlplus / as sysdba
  37. @?/rdbms/admin/catbundle.sql psu apply
  38. @?/rdbms/admin/utlrp.sql
复制代码

应急响应与恢复

安全事件响应

建立有效的安全事件响应流程可以减少安全事件的影响:
  2. -- 创建安全事件记录表
  3. CREATE TABLE security_incidents (
  4.   id NUMBER GENERATED ALWAYS AS IDENTITY,
  5.   incident_type VARCHAR2(50),
  6.   description VARCHAR2(4000),
  7.   severity NUMBER(1),
  8.   status VARCHAR2(20),
  9.   detected_by VARCHAR2(30),
  10.   detected_time TIMESTAMP,
  11.   assigned_to VARCHAR2(30),
  12.   resolution VARCHAR2(4000),
  13.   resolved_time TIMESTAMP,
  14.   created_time TIMESTAMP DEFAULT SYSTIMESTAMP,
  15.   updated_time TIMESTAMP DEFAULT SYSTIMESTAMP
  16. );
  18. -- 创建安全事件响应存储过程
  19. CREATE OR REPLACE PROCEDURE log_security_incident(
  20.   p_incident_type IN VARCHAR2,
  21.   p_description IN VARCHAR2,
  22.   p_severity IN NUMBER,
  23.   p_detected_by IN VARCHAR2
  24. ) AS
  25. BEGIN
  26.   INSERT INTO security_incidents (
  27.     incident_type,
  28.     description,
  29.     severity,
  30.     status,
  31.     detected_by,
  32.     detected_time
  33.   ) VALUES (
  34.     p_incident_type,
  35.     p_description,
  36.     p_severity,
  37.     'OPEN',
  38.     p_detected_by,
  39.     SYSTIMESTAMP
  40.   );
  41.   
  42.   COMMIT;
  43.   
  44.   -- 如果是高严重性事件,发送警报
  45.   IF p_severity >= 4 THEN
  46.     -- 这里可以添加发送邮件或短信的代码
  47.     DBMS_OUTPUT.PUT_LINE('高严重性安全事件警报: ' || p_description);
  48.   END IF;
  49. END;
  50. /
  52. -- 示例:记录可疑登录尝试
  53. BEGIN
  54.   log_security_incident(
  55.     '可疑登录尝试',
  56.     '用户' || SYS_CONTEXT('USERENV', 'SESSION_USER') ||
  57.     '从IP ' || SYS_CONTEXT('USERENV', 'IP_ADDRESS') ||
  58.     '在' || TO_CHAR(SYSDATE, 'YYYY-MM-DD HH24:MI:SS') ||
  59.     '进行了多次失败的登录尝试',
  60.     3,
  61.     'SYSTEM'
  62.   );
  63. END;
  64. /
复制代码

数据恢复策略

制定有效的数据恢复策略可以确保在安全事件后快速恢复:
  2. -- 创建恢复测试表
  3. CREATE TABLE recovery_test (
  4.   id NUMBER,
  5.   data VARCHAR2(100),
  6.   created_time TIMESTAMP DEFAULT SYSTIMESTAMP,
  7.   CONSTRAINT pk_recovery_test PRIMARY KEY (id)
  8. );
  10. -- 插入测试数据
  11. INSERT INTO recovery_test (id, data) VALUES (1, 'Test data 1');
  12. INSERT INTO recovery_test (id, data) VALUES (2, 'Test data 2');
  13. COMMIT;
  15. -- 创建恢复存储过程
  16. CREATE OR REPLACE PROCEDURE test_recovery AS
  17.   v_before_count NUMBER;
  18.   v_after_count NUMBER;
  19. BEGIN
  20.   -- 记录表中的行数
  21.   SELECT COUNT(*) INTO v_before_count FROM recovery_test;
  22.   DBMS_OUTPUT.PUT_LINE('恢复前表中的行数: ' || v_before_count);
  23.   
  24.   -- 模拟数据丢失
  25.   DELETE FROM recovery_test;
  26.   COMMIT;
  27.   
  28.   -- 验证数据已删除
  29.   SELECT COUNT(*) INTO v_after_count FROM recovery_test;
  30.   DBMS_OUTPUT.PUT_LINE('删除后表中的行数: ' || v_after_count);
  31.   
  32.   -- 使用闪回技术恢复数据
  33.   INSERT INTO recovery_test
  34.   SELECT * FROM recovery_test AS OF TIMESTAMP SYSTIMESTAMP - INTERVAL '1' MINUTE;
  35.   
  36.   -- 验证数据已恢复
  37.   SELECT COUNT(*) INTO v_after_count FROM recovery_test;
  38.   DBMS_OUTPUT.PUT_LINE('恢复后表中的行数: ' || v_after_count);
  39.   
  40.   COMMIT;
  41. END;
  42. /
  44. -- 执行恢复测试
  45. SET SERVEROUTPUT ON;
  46. EXEC test_recovery;
  48. -- 配置闪回数据库
  49. -- 1. 启用归档日志
  50. ALTER SYSTEM SET log_archive_dest_1='LOCATION=/path/to/archive' SCOPE=BOTH;
  51. ALTER SYSTEM SET log_archive_format='arch_%t_%s_%r.arc' SCOPE=SPFILE;
  52. SHUTDOWN IMMEDIATE;
  53. STARTUP MOUNT;
  54. ALTER DATABASE ARCHIVELOG;
  55. ALTER DATABASE OPEN;
  57. -- 2. 设置闪回恢复区
  58. ALTER SYSTEM SET db_recovery_file_dest='/path/to/flash_recovery_area' SCOPE=BOTH;
  59. ALTER SYSTEM SET db_recovery_file_dest_size=10G SCOPE=BOTH;
  61. -- 3. 启用闪回数据库
  62. ALTER SYSTEM SET db_flashback_retention_target=1440 SCOPE=BOTH; -- 24小时
  63. ALTER DATABASE FLASHBACK ON;
复制代码

业务连续性规划

业务连续性规划确保在发生安全事件时业务能够持续运行:
  2. -- 创建数据保护配置表
  3. CREATE TABLE data_protection_config (
  4.   config_id NUMBER GENERATED ALWAYS AS IDENTITY,
  5.   config_name VARCHAR2(50),
  6.   config_value VARCHAR2(100),
  7.   description VARCHAR2(4000),
  8.   last_updated TIMESTAMP DEFAULT SYSTIMESTAMP,
  9.   CONSTRAINT pk_data_protection_config PRIMARY KEY (config_id)
  10. );
  12. -- 插入配置数据
  13. INSERT INTO data_protection_config (config_name, config_value, description) VALUES
  14. ('RPO', '15 minutes', '恢复点目标:数据丢失的最大可接受时间'),
  15. ('RTO', '1 hour', '恢复时间目标:恢复服务的最大可接受时间'),
  16. ('BACKUP_FREQUENCY', 'DAILY', '备份频率'),
  17. ('BACKUP_RETENTION', '30 days', '备份保留期'),
  18. ('DR_SITE', 'ENABLED', '灾难恢复站点状态'),
  19. ('FAILOVER_TEST_FREQUENCY', 'QUARTERLY', '故障转移测试频率');
  21. -- 创建业务连续性检查存储过程
  22. CREATE OR REPLACE PROCEDURE check_business_continuity AS
  23.   v_last_backup_date DATE;
  24.   v_days_since_backup NUMBER;
  25.   v_rpo_minutes NUMBER;
  26.   v_rto_hours NUMBER;
  27. BEGIN
  28.   -- 获取配置值
  29.   SELECT TO_NUMBER(config_value) INTO v_rpo_minutes
  30.   FROM data_protection_config
  31.   WHERE config_name = 'RPO';
  32.   
  33.   SELECT TO_NUMBER(config_value) INTO v_rto_hours
  34.   FROM data_protection_config
  35.   WHERE config_name = 'RTO';
  36.   
  37.   -- 检查最后一次备份
  38.   SELECT MAX(completion_time) INTO v_last_backup_date
  39.   FROM v$backup_piece
  40.   WHERE status = 'A';
  41.   
  42.   v_days_since_backup := SYSDATE - v_last_backup_date;
  43.   
  44.   DBMS_OUTPUT.PUT_LINE('业务连续性检查结果:');
  45.   DBMS_OUTPUT.PUT_LINE('恢复点目标(RPO): ' || v_rpo_minutes || ' 分钟');
  46.   DBMS_OUTPUT.PUT_LINE('恢复时间目标(RTO): ' || v_rto_hours || ' 小时');
  47.   DBMS_OUTPUT.PUT_LINE('最后一次备份日期: ' || TO_CHAR(v_last_backup_date, 'YYYY-MM-DD HH24:MI:SS'));
  48.   DBMS_OUTPUT.PUT_LINE('距离上次备份天数: ' || v_days_since_backup);
  49.   
  50.   -- 检查是否符合RPO
  51.   IF v_days_since_backup * 24 * 60 > v_rpo_minutes THEN
  52.     DBMS_OUTPUT.PUT_LINE('警告: 备份频率不符合RPO要求');
  53.   ELSE
  54.     DBMS_OUTPUT.PUT_LINE('备份频率符合RPO要求');
  55.   END IF;
  56.   
  57.   -- 检查灾难恢复配置
  58.   IF (SELECT config_value FROM data_protection_config WHERE config_name = 'DR_SITE') = 'ENABLED' THEN
  59.     DBMS_OUTPUT.PUT_LINE('灾难恢复站点: 已启用');
  60.    
  61.     -- 这里可以添加检查Data Guard配置的代码
  62.     -- 例如检查主备库同步状态
  63.   ELSE
  64.     DBMS_OUTPUT.PUT_LINE('灾难恢复站点: 未启用');
  65.   END IF;
  66. END;
  67. /
  69. -- 执行业务连续性检查
  70. SET SERVEROUTPUT ON;
  71. EXEC check_business_continuity;
复制代码

结论与展望

Oracle数据库安全防护与权限控制是一个复杂而持续的过程,需要从基础配置到高级应用全方位考虑。通过本文介绍的各种策略和技术,企业可以构建起强大的数据安全防线,有效防止信息泄露与恶意攻击,全面提升系统防护能力。

随着技术的发展,Oracle数据库安全也在不断演进。未来,我们可以预见以下趋势:

1. 人工智能与机器学习:AI技术将被更多地应用于异常检测和威胁预测,实现更智能的安全防护。
2. 零信任架构:传统的边界安全模型将逐渐被零信任架构取代,每次访问都需要严格的身份验证和授权。
3. 自动化安全运维:安全配置、监控和响应将更加自动化,减少人为错误,提高响应速度。
4. 云原生安全:随着数据库向云端迁移,云原生安全解决方案将成为主流,提供更灵活、更可扩展的安全防护。
5. 合规性要求提高:随着数据保护法规的日益严格,数据库安全将更加注重合规性,提供更完善的审计和报告功能。

人工智能与机器学习:AI技术将被更多地应用于异常检测和威胁预测,实现更智能的安全防护。

零信任架构:传统的边界安全模型将逐渐被零信任架构取代,每次访问都需要严格的身份验证和授权。

自动化安全运维:安全配置、监控和响应将更加自动化,减少人为错误,提高响应速度。

云原生安全:随着数据库向云端迁移,云原生安全解决方案将成为主流,提供更灵活、更可扩展的安全防护。

合规性要求提高:随着数据保护法规的日益严格,数据库安全将更加注重合规性,提供更完善的审计和报告功能。

企业应当持续关注这些发展趋势,不断更新和完善自身的数据库安全策略,以应对不断变化的安全挑战。只有将安全视为一个持续的过程,而非一次性的项目,才能真正保障企业数据的安全,为业务发展提供坚实的支撑。
数据安全
「七転び八起き(ななころびやおき)」
回复

使用道具 举报

返回列表 发新帖
您需要登录后才可以回帖 登录 | 立即注册
高级模式
B Color Image Link Quote Code Smilies

本版积分规则