Oracle 概况

Oracle 公司于 1979 年首先推出基于 SQL 标准的关系型数据库产品，可在多种硬件平台上运行，支持多种操作系统

Oracle遵守数据存取语言，操作系统，用户接口和网络通信协议的工业标准

Oracle 数据库安全分析

Oracle 数据库提供多种安全机制和技术。

• 认证
• 访问控制
• 特权管理
• 透明加密等

(1)用户认证

Oracle 数据库的认证机制

• Oracle 数据库认证
• 支持操作系统认证
• 支持网络认证
• 支持多级认证
• 支持SSL 认证

Oracle 数据库的认证方式采用“用户名+口令”，具有口令加密、账户锁定、口令生命期和过期、口令复杂度验证等安全功能。

对于数据库管理员认证，Oracle 数据库要求进行特别认证，支持强认证、操作系统认证、口令文件认证。

网络认证支持第三方认证、PKI 认证、远程认证等

(2)访问控制

Oracle 数据库内部集成网络访问控制和数据对象授权控制。

(3)保险库

Oracle 数据库建立数据库保险库(Datebase Vault, DV)机制，该机制用于保护敏感数据，具有防止数据系统未授权变更、多因素可信授权、职责隔离、最小化特权的功能。

DV 机制通过设置安全域(Realm)和命令规则(Command Rules)对特权进行控制

(4)安全审计和数据库防火墙

Oracle 数据库具有对其内部所有发生的活动进行审计的能力

Oracle 数据库可审计的活动有 3 种类型:

• 登录尝试
• 数据库活动
• 对象存取

Oracle 数据库防火墙的主要功能

①提供SQL 语法分析引擎，检查进入数据库的 SQL 语句，精确地确定是否允许、记录、警告、 替换或阻止 SQL。

②支持白名单、黑名单和基于例外名单的策略

• 白名单就是数据库防火墙认可的 SQL 语句。
• 黑名单是指数据库不允许含有特定用户、IP 地址或特定类型的 SQL 语句
• 基于例外名单的策略则提供安全策略设置的灵活性，可以覆盖白名单或黑名单策略，例外安全策略可以基于 SQL 类别、时间、应用、用户和 IP 地址等属性来实施。

(5)高级安全功能

Oracle 数据库提供透明数据加密(Transparent Data Encryption)和数据屏蔽(Data Masking)机制，以保护数据安全

Oracle 数据库系统的透明数据加密可以阻止者绕过数据库，是为了避免攻击者强制从存储设备上读取敏感信息而提出的安全技术方案

Oracle 安全最佳实践

(1)增强 Oracle 数据库服务器的操作系统安全。

最小化系统服务，安装最新补丁，关闭不需要的网络通信端口。

(2)最小化安装 Oracle 删除不必要的组件。

采用满足需求的最小安装随着版本的不断升级，Oracle 的功能也越来越多，整个系统越来越复杂，因此安全威胁也越来越大。根据需求只安装所需内容，可以降低数据库安全风险。

(3)安装最新的安全补丁。

Oracle 的安全漏洞还是非常多的，一个比较安全的办法是时刻关注 Oracle 的安全公告，并及时安装安全补丁。

(4)删除或修改默认的用户名和密码。

Oracle 的默认安装会建立很多默认的用户名和密码，大部分的数据库管理员都不清楚到底有多少数据库用户，从而留下了很大的安全隐患。

(5)启用认证机制。

Oracle 支持多种认证方式，为了安全，必须启用认证机制，防止非法用户访问数据库

(6)设置好的口令密码策略。

在 Oracle 中，可以自定义密码的复杂度。其中， 概要文件设置了多项密码安全策略，如最大错误登录次数、口令失效锁定时间、口令有效时间、口令复杂检查等

(7)设置最小化权限。

采用最小授权原则，给用户尽量少的权限。

(8)限制连接 Oracle 的 IP 地址。

由于 Oracle 的 TNS 监听器有许多安全漏洞，其中的一些漏洞甚至能让入侵者得到操作系统的超级用户权限，或者能修改数据库中的数据。因此，在打补丁的同时限制连接的 IP,避免攻击者的 IP 访问到数据库。

(9)传输加密。

Oracle 采用的是 TNS 协议传输数据，在传输过程中不能保证其中的数据不被窃听乃至修改，因此最好对传输进行加密。例如，采用 SSL 加密机制。

(10)启用 Oracle 审计。

记录所有的用户失败访问和分析安全事件日志。 加强数据库日志的记录，特别是审核数据库登录“失败”事件，定期查看 Oracle 日志，检查是否有可疑的登录事件发生。

(11)定期查看 Oracle 漏洞发布信息，及时修补漏洞。

Oracle 漏洞公布网址有 Oracle 厂商自身、应急响应部门、安全专业服务公司等。

(12)实施 Oracle 灾备计划。

监测 Oracle 的安全运行，定期对数据库数据进行备份。针对 Oracle 的可能安全事件，制定安全应急预案。

学习参考资料：

信息安全工程师教程（第二版）

建群网培信息安全工程师系列视频教程

信息安全工程师5天修炼