文字
分享

数据库安全性策略

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

74

75

76

77

78

79

80

81

82

83

84

85

86

87

88

89

90

91

92

93

94

95

96

97

98

99

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

174

175

176

177

178

179

180

181

182

183

184

185

186

187

188

189

190

191

192

193

194

195

196

197

198

199

200

201

202

203

204

205

206

207

208

209

210

211

    数据库安全性问题一直是围绕着数据库管理员的恶梦,数据库数据的丢失以及数据库

被非法用户的侵入使得数据库管理员身心疲惫不堪。本文围绕数据库的安全性问题提出了

一些安全性策略,希望对数据库管理员有所帮助,不再夜夜恶梦。

 

数据库安全性问题应包括两个部分:

 

一、数据库数据的安全

    它应能确保当数据库系统DownTime时,当数据库数据存储媒体被破坏时以及当数据

库用户误操作时,数据库数据信息不至于丢失。

 

二、数据库系统不被非法用户侵入

    它应尽可能地堵住潜在的各种漏洞,防止非法用户利用它们侵入数据库系统。

    对于数据库数据的安全问题,数据库管理员可以参考有关系统双机热备份功能以及

数据库的备份和恢复的资料。

    以下就数据库系统不被非法用户侵入这个问题作进一步的阐述。

组和安全性

    在操作系统下建立用户组也是保证数据库安全性的一种有效方法。Oracle程序为了安

全性目的一般分为两类:一类所有的用户都可执行,另一类只DBA可执行。在Unix环境下组

设置的配置文件是/etc/group,关于这个文件如何配置,请参阅Unix的有关手册,以下是

保证安全性的几种方法:

    (1) 在安装Oracle Server前,创建数据库管理员组(DBA)而且分配root和Oracle软件

        拥有者的用户ID给这个组。DBA能执行的程序只有710权限。在安装过程中SQL*DBA

        系统权限命令被自动分配给DBA组。

    (2) 允许一部分Unix用户有限制地访问Oracle服务器系统,增加一个由授权用户组成

        的Oracle组,确保给Oracle服务器实用例程Oracle组ID,公用的可执行程序,比

        如SQL*Plus,SQL*Forms等,应该可被这组执行,然后该这个实用例程的权限为

        710,它将允许同组的用户执行,而其他用户不能。

    (3) 改那些不会影响数据库安全性的程序的权限为711。

     注:在我们的系统中为了安装和调试的方便,Oracle数据库中的两个具有DBA权限的

         用户Sys和System的缺省密码是manager。为了您数据库系统的安全,我们强烈

         建议您该掉这两个用户的密码,具体操作如下:

        在SQL*DBA下键入:

        alter user sys indentified by password;

        alter user system indentified by password;

        其中password为您为用户设置的密码。

 

Oracle服务器实用例程的安全性

    以下是保护Oracle服务器不被非法用户使用的几条建议:

    (1) 确保$ORACLE_HOME/bin目录下的所有程序的拥有权归Oracle软件拥有者所有;

    (2) 给所有用户实用便程(sqiplus,sqiforms,exp,imp等)711权限,使服务器上所有的

        用户都可访问Oracle服务器;

    (3) 给所有的DBA实用例程(比如SQL*DBA)700权限。

 

Oracle服务器和Unix组

    当访问本地的服务器时,您可以通过在操作系统下把Oracle服务器的角色映射到Unix

    的组的方式来使用Unix管理服务器的安全性,这种方法适应于本地访问。

    在Unix中指定Oracle服务器角色的格式如下:

    ora_sid_role[_dla]

    其中

    sid     是您Oracle数据库的oracle_sid;

    role        是Oracle服务器中角色的名字;

    d       (可选)表示这个角色是缺省值;

    a       (可选)表示这个角色带有WITH ADMIN选项,您只可以把这个角色

            授予其他角色,不能是其他用户。

    以下是在/etc/group文件中设置的例子:

        ora_test_osoper_d:NONE:1:jim,narry,scott

        ora_test_osdba_a:NONE:3:pat

        ora_test_role1:NONE:4:bob,jane,tom,mary,jim

        bin:    NONE:5:root,oracle,dba

        root:NONE:7:root

    词组“ora_test_osoper_d”表示组的名字;词组“NONE”表示这个组的密码;数字1

    表示这个组的ID;接下来的是这个组的成员。前两行是Oracle服务器角色的例子,使

    用test作为sid,osoper和osdba作为Oracle服务器角色的名字。osoper是分配给用户

    的缺省角色,osdba带有WITH ADMIN选项。

    为了使这些数据库角色起作用,您必须shutdown您的数据库系统,设置Oracle数据库

    参数文件initORACLE_SID.ora中os_roles参数为True,然后重新启动您的数据库。如

    果您想让这些角色有connect internal权限,运行orapwd为这些角色设置密码。当您

    尝试connect internal时,您键入的密码表示了角色所对应的权限。

 

SQL*DBA命令的安全性

    如果您没有SQL*PLUS应用程序,您也可以使用SQL*DBA作SQL查权限相关的命令只能分

    配给Oracle软件拥有者和DBA组的用户,因为这些命令被授予了特殊的系统权限。

    (1) startup

    (2) shutdown

    (3) connect internal

 

数据库文件的安全性

    Oracle软件的拥有者应该这些数据库文件($ORACLE_HOME/dbs<br>

#############################<br><br>

#the following demostrate the open method.<br>

$newOda->Open("select * from test")) or die $newOda->err;<br><br>

#Get data from RS<br>

echo "count is" .$newOda->Rows;<br>

for($i=0;$i<$newOda->Rows;$i++)<br>

   for($j=0;$j<$newOda->Cols;$j++)<br>

    {<br>

       echo $newOda->RS[$i][$j];<br>

       <br>

       }<br><br><br>

$newOda->Logoff();<br>

?><br>

 <?<br>

 <br><br><br>

 <br><br>

   file://$conn = OCILogon("www_ce", "ceonline99", "wsgp");<br>

  // $conn = OCILogon("www_cec", "webchn99", "unicorn");<br>

 //  if ($SERVER_NAME == "")<br>

 //          $SERVER_NAME = $HTTP_HOST;<br><br>

class ODA<br>

{<br>

  <br><br><br>

  <br>

  function ODA($cn="") {<br><br>

   if($cn!="")<br>

    $this->conn=$cn;<br>

    return TRUE;<br>

  <br>

  }<br>

  <br>

  function Logon($user,$pass,$db) {<br>

  <br>

    if(!($this->conn = OCILogon($user, $pass, $db))){<br>

    <br>

     $this->err_no=106;<br>

     $this->err="Error 106: Failed to logon.";<br>

     return FALSE;<br>

    };<br>

    <br>

    return TRUE;<br>

    <br>

  }<br>

  function Open($sql="") file://$this->CmdString<br>

  {<br>

     if($this->conn=="") {<br>

        $this->err_no=100;<br>

        $this->err="Error 100,Connection Object Required.";<br>

        return FALSE;<br>

      }<br>

     <br>

     if($sql=="" and $this->CmdString=="") {<br>

        $this->err_no=101;<br>

        $this->err="Error 101,SQL Statement Required.";<br>

        return FALSE;<br>

      }<br>

     if($sql=="")<br>

        $sql=$this->CmdString;<br>

    if(!($cursor=OCIParse($this->conn,$sql))) {<br>

       $this->err_no=102;<br>

       $this->err="Server Internal Error: Failed to parse SQL Statement.";<br>

       return FALSE;<br>

    }<br>

    <br>

    if(!OCIExecute($cursor))  {<br>

      $this->err_no=103;<br>

      $this->err="Server Internal Error: Failed to execute SQL Statement.";<br>

      return FALSE;<br>

    }<br>

    $this->Rows=0;<br>

    while(OCIFetchInto($cursor,$this->RS[$this->Rows])){<br>

    <br>

      $this->Rows++;<br>

      <br>

     }<br>

     $this->Cols=OCINumCols($cursor);<br><br>

    if($this->Rows==0) {<br>

    <br>

     $this->err_no=104;<br>

     $this->err="Warning: No rows affectted.RS result is not available.";<br>

    }<br><br>

     OCIFreeStatement($cursor);<br>

     <br>

     return TRUE;<br>

  }<br>

  <br>

  <br>

    function Execute($sql="") {<br>

     if($this->conn=="") {<br>

        $this->err_no=100;<br>

        $this->err="Error 100,Connection Object Required.";<br>

        return FALSE;<br>

      }<br>

    <br>

     if($sql=="" and $this->CmdString=="") {<br>

        $this->err_no=101;<br>

        $this->err="Error 101,SQL Statement Required.";<br>

        return FALSE;<br>

      }<br>

     if($sql=="")<br>

        $sql=$this->CmdString;<br>

    <br>

    if(!($cursor=OCIParse($this->conn,$sql))) {<br>

       $this->err_no=102;<br>

       $this->err="Server Internal Error: Failed to parse SQL Statement.";<br>

       return FALSE;<br>

    }<br>

   <br>

    <br>

    if(!OCIExecute($cursor))  {<br>

      $this->err_no=103;<br>

      $this->err="Server Internal Error: Failed to execute SQL Statement.";<br>

      return FALSE;<br>

    }<br>

    $this->Rows=OCIRowCount($cursor);<br>

    OCIFreeStatement($cursor);<br>

    <br>

    return TRUE;<br>

  }<br>

  function LogOff(){<br>

  <br>

  if(!OCILogoff($conn)){<br>

    <br>

    $this->err_no=105;<br>

    $this->err="Server Internal Error: Failed to logoff database.";<br>

    return FALSE;<br>

   }<br>

  return TRUE;<br>

  <br>

  }<br>

}<br>

?><hr noshade="" size="1">

<br><br><p></p>