数据库安全培训材料V10

1、目 录第一章第一章 数据库安全概述数据库安全概述第二章第二章 数据库安全技术数据库安全技术第三章第三章 数据库安全功能要求数据库安全功能要求第四章第四章 典型数据库安全典型数据库安全ORACLE数据库安全Sql server数据库安全第五章第五章 数据库攻击与防护数据库攻击与防护第六章第六章 数据库安全应急数据库安全应急第一章 数据库安全概述1.1 数据库基本概念-数据库发展历史19611956第一个数据库第一个数据库管理系统管理系统 IDS 第一个第一个磁盘驱动器磁盘驱动器数据库萌芽Cullinane公司公司开发开发IDMS1973一个针对IBM主机的基于网络模型的数据库 1976Honey

2、well公司公司 推出推出 Multics Relational Data Store 1983IBM推出推出 DB2第一个商用关系数据库产品19691979Oracle引入第一个引入第一个商用商用SQL关系数据库关系数据库管理系统管理系统IBMGECodd发明发明关系数据库关系数据库1989微软推出微软推出Sqlserver1.1 数据库基本概念-数据库系统构成数据库数据库 数据库是按照数据结构来组织、存储和管理数据的仓库。数据库管理系统（数据库管理系统（DBMS） 专门负责数据库管理和维护的计算机软件系统。为用户及程序提供数据访问，并对数据库进行管理、维护，通常主要包括存储管理器和查询处理

3、器两大部分。如：DB2、Oracle、SQL Server等。1.1 数据库基本概念-数据库模型1231.2 典型数据库威胁-数据库安全面临的威胁自然的或意外的事故自然的或意外的事故, ,灾难灾难, ,例如地震例如地震, ,水灾水灾, ,火灾等导致的硬件损坏火灾等导致的硬件损坏, ,进而进而导致数据的损坏和丢失导致数据的损坏和丢失. . 由授权用户造成的无意损害由授权用户造成的无意损害, ,特别在批处理作业的情况下。特别在批处理作业的情况下。盗窃行为盗窃行为, ,监守自盗监守自盗, ,工业间谍工业间谍, ,出卖公司秘密和邮件列表数据的雇员出卖公司秘密和邮件列表数据的雇员. . 不负责任的猎奇不

4、负责任的猎奇, ,竞争者查看数据竞争者查看数据, ,为政治和法律目的获取数据为政治和法律目的获取数据. .自然灾害自然灾害 人为疏忽人为疏忽 恶意破坏恶意破坏 犯罪行为犯罪行为 隐私侵害隐私侵害管理的漏洞管理的漏洞软件故障软件故障存心不良的编程人员存心不良的编程人员, ,技术支持人员和执行数据库管理功能的人员的破坏技术支持人员和执行数据库管理功能的人员的破坏, ,毁损及其他行为毁损及其他行为. . 基于数据库的应用系统或者数据库本身的软硬件存在显性或者隐性的缺陷基于数据库的应用系统或者数据库本身的软硬件存在显性或者隐性的缺陷 安全管理制度缺失或者执行不到位，导致系统的安全系数降低。安全管理制度

5、缺失或者执行不到位，导致系统的安全系数降低。 1.2 典型数据库威胁-典型数据库应用与攻击典型数据库应用与攻击典型数据库应用与攻击应用服务器应用服务器中间件中间件数据库服务器数据库服务器Internet等等应应用用网络网络Attack1.2 典型数据库威胁- SQL注入攻击Web应用程序访问数据库会造成特定的一些潜在安应用程序访问数据库会造成特定的一些潜在安全问题。全问题。SQL注入攻击仍然稳居黑客至爱兵器榜的注入攻击仍然稳居黑客至爱兵器榜的首位，对那些想要保护数据安全的企业来说，这是首位，对那些想要保护数据安全的企业来说，这是个大麻烦。个大麻烦。 据CVE的2006年度统计数据显示，SQL注

6、入攻击漏洞呈逐年上升的状态 1.3 数据库安全的基本概念什么是数据库安全性？什么是数据库安全性？ 数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。1.3 数据库安全的基本概念-数据库安全的重要性数据库发展到今天已经不仅仅是存储数据的磁盘数据库发展到今天已经不仅仅是存储数据的磁盘和文件系统的数据文件和文件系统的数据文件运行效率的高下直接影响业务承载的容量和质量运行效率的高下直接影响业务承载的容量和质量系统的安全和稳妥直接影响企业的形象和命运系统的安全和稳妥直接影响企业的形象和命运服务缓慢，用户抱怨服务缓慢，用户抱怨资料泄露，用户投诉资料泄露，用户投诉1.3 数据库安全

7、的基本概念-数据库的安全要求用户认证用户认证 机密性机密性可审计性可审计性完整性完整性可用性可用性访问控制访问控制安全要求安全要求1.3 数据库安全的基本概念-数据库的安全需求对操作系统的安全需求对操作系统的安全需求 防止对DBMS的非法访问和修改 保护存储的数据、文件的安全性 对数据库用户的认证对数据库系统本身的安全需求对数据库系统本身的安全需求 用户认证管理、访问控制、审计 数据库的稳定性 保证数据的安全性与完整性，完善的恢复功能 数据加密对数据库应用系统的安全需求对数据库应用系统的安全需求 访问控制、认证管理 对数据库的保护防止非法访问和修改 自身的稳定性本章主要知识要点小结 数据库容易

8、遭受的数据库容易遭受的7大类安全威胁大类安全威胁对数据库系统的安全需求，数据完整对数据库系统的安全需求，数据完整性、可用性、机密性、可审计性性、可用性、机密性、可审计性影响企业的形影响企业的形象和命运象和命运第二章 数据库安全技术2.1 数据库基本安全架构-数据库系统的安全框架 数据库系统的安全除依赖自身内部的安全机制外，还与外部网络环境、应用环境、从业人员素质等因素息息相关，数据库安全体系按照层次划分可以分为： 这三个层次构筑成数据库系统的安全体系，与数据安全的这三个层次构筑成数据库系统的安全体系，与数据安全的关系是逐步紧密的，防范的重要性也逐层加强，从外到内关系是逐步紧密的，防范的重要性也

9、逐层加强，从外到内、由表及里保证数据的安全。、由表及里保证数据的安全。 网络系统网络系统宿主操作系统宿主操作系统数据库管理系统数据库管理系统2.1 数据库基本安全架构-网络层次 从广义上讲，数据库的安全首先依赖于网络系统。网络系统的安全是数据库安全的第一道屏障，外部入侵首先就是从入侵网络系统开始的。 没有地域和时间的限制，跨越国界的攻击就如同没有地域和时间的限制，跨越国界的攻击就如同在现场一样方便；在现场一样方便； 通过网络的攻击往往混杂在大量正常的网络活动通过网络的攻击往往混杂在大量正常的网络活动之中，隐蔽性强；之中，隐蔽性强； 入侵手段更加隐蔽和复杂。入侵手段更加隐蔽和复杂。 2.1 数据

10、库基本安全架构-网络入侵主要手段拒绝服务拒绝服务(Deny (Deny of service)of service)拒绝服务攻击拒绝服务攻击(Deny of (Deny of service)service)欺骗欺骗(Masquerade)(Masquerade)重发重发(Replay)(Replay)报文修改报文修改(Modification (Modification of message)of message)特洛伊木马特洛伊木马(Trojan horse)(Trojan horse)核心网络核心网络陷阱门陷阱门(Trapdoor)(Trapdoor)攻击（攻击（Tunneling at

11、tackTunneling attack）2.1 数据库基本安全架构-网络安全技术防火墙防火墙入侵检测入侵检测 IDSInstrusion Detection System协作式入侵检测技术协作式入侵检测技术IPS2.1 数据库基本安全架构-宿主操作系统层次操作系统安全策略用于配置本地计算机的安全设置，包括操作系统安全策略用于配置本地计算机的安全设置，包括密码策略、账户锁定策略、审核策略、密码策略、账户锁定策略、审核策略、IP安全策略、用户安全策略、用户权利指派、加密数据的恢复代理以及其它安全选项。权利指派、加密数据的恢复代理以及其它安全选项。体现在用户账户、口令、访问权限、审计等方面体现在用

12、户账户、口令、访问权限、审计等方面用户账户：用户访问系统的用户账户：用户访问系统的“身份证身份证”，只有合法用户才，只有合法用户才有账户。有账户。 口令：用户的口令为用户访问系统提供一道验证。口令：用户的口令为用户访问系统提供一道验证。 访问权限：规定用户的权限。访问权限：规定用户的权限。 审计：对用户的行为进行跟踪和记录，便于系统管理员分审计：对用户的行为进行跟踪和记录，便于系统管理员分析系统的访问情况以及事后的追查使用。析系统的访问情况以及事后的追查使用。2.1 数据库基本安全架构-数据库管理系统层次数据库用户和模式数据库用户和模式特权特权角色角色存储设置和空间份额存储设置和空间份额系统资

13、源限制系统资源限制审计审计数据备份和恢复数据备份和恢复数据加密数据加密2.1 数据库基本安全架构-数据库的安全模型自主安全模型（自主安全模型（DAC）用户对信息的存取控制是基于用户的鉴别和确定的存取访问控制规则每个用户都要给予对系统中每个存取对象的存取权限有权限的用户可自主将权限传授给其他用户典型代表：存取矩阵模型强制安全模型（强制安全模型（MAC）主体和客体分配不同的安全属性只有管理员才能修改安全属性主要应用在对敏感信息的保护典型代表：BLP模型（Belll-La Padula）基于角色的安全模型（基于角色的安全模型（RBAC）将对客体的访问权限赋予不同的角色将角色分配给不同主体一个主体可以

14、担当多个角色一个角色也可以赋予多个主体灵活性比MAC 好安全性比 DAC高获得了数据库(ORACLE) 、操作系(SUN-Solaris) 的支持2.2 数据库用户及权限-用户每一个每一个ORACLE数据库有一组合法的用户，可存数据库有一组合法的用户，可存取该数据库数据，可运行该数据库应用和使用该取该数据库数据，可运行该数据库应用和使用该用户各连接到定义该用户的数据库。当建立一数用户各连接到定义该用户的数据库。当建立一数据库用户时，对该用户建立一个相应的模式，模据库用户时，对该用户建立一个相应的模式，模式名与用户名相同。一旦用户连接一数据库，该式名与用户名相同。一旦用户连接一数据库，该用户就可

15、存取相应模式中的全部对象，且一个用用户就可存取相应模式中的全部对象，且一个用户仅与同名的模式相联系。在用户建立时，管理户仅与同名的模式相联系。在用户建立时，管理员需要设置该用户对应的安全域，用户的存取数员需要设置该用户对应的安全域，用户的存取数据的权利受用户安全域的设置所控制据的权利受用户安全域的设置所控制2.2 数据库用户及权限-角色角色为相关特权的集合或命名组，可被授权给用户和角色。角色具有有下列优点：减少特权管理，不要显式地将同一特权组授权给几个用户，只需将这特权组授给角色，然后将角色授权给每一用户。动态特权管理，如果一组特权需要改变，只需修改角色的特权，所有授给该角色的全部用户的安全域

16、将自动地反映对角色所作的修改。特权的选择可用性，授权给用户的角色可选择地使其使能（可用）或使不能（不可用）。应用可知性，当一用户经一用户名执行应用时，该数据库应用可查询字典，将自动地选择使角色使能或不能。专门的应用安全性，角色使用可由口令保护，应用可提供正确的口令使用权角色使能，达到专用的应用安全性。因用户不知其口令，不能使角色使能。2.2 数据库用户及权限-角色的功能一个角色可授予系统特权或对象特权。一个角色可授权给其它角色，但不能循环授权。任何角色可授权给任何数据库用户。授权给一用户的每一角色可以是使能的或者使不能的。一个用户的安全域仅包含当前对该用户使能的全部角色的特权。一个间接授权角色

17、（授权给另一角色的角色）对一用户可显式地使其能或使不能。Oracle的系统预定义角色：CONNENT、RESOURCE、DBA、EXP-FULL-DATABASE和IMP-FULL-DATABASE 2.2 数据库用户及权限-特权特权是执行一种特殊类型的特权是执行一种特殊类型的SQL语句或存取另一语句或存取另一用户的对象的权力。用户的对象的权力。有两类特权：系统特权和对象特权。有两类特权：系统特权和对象特权。2.3 数据库加密技术-库外加密库外加密库外加密 将数据库的文件作为加密对象 在库外加密方式中，加解密过程发生在DBMS之外，DBMS管理的是密文。加解密过程大多在客户端实现，也有的由专门

18、的加密服务器或硬件完成。优点：优点： 对DBMS的要求少缺点：缺点： 效率低 数据解密需要很大的时间和空间代价2.3 数据库加密技术-库内加密库内加密库内加密 加密对象为数据库中存储的数据，比如表、记录、元素、数据等。 库内加密在DBMS内核层实现加密，加解密过程对用户与应用透明，数据在物理存取之前完成加解密工作。优点：优点： 加密的粒度可细化 效率较高缺点：缺点： 针对性较强2.3 数据库加密技术-硬件加密硬件加密硬件加密 在物理存储器与数据库系统之间的硬件加密装置 加密解密操作由硬件中间设备完成缺点：缺点： 硬件之间的兼容问题 系统变得更复杂2.4 数据库备份技术数据库有三种标准的备份方法

19、，它们分别为导出数据库有三种标准的备份方法，它们分别为导出/导入（导入（EXPORT/IMPORT）、冷备份、热备份。）、冷备份、热备份。 导入导入/导出备份：逻辑备份导出备份：逻辑备份 冷备份：物理备份冷备份：物理备份 热备份：物理备份热备份：物理备份 设定数据库备份计划设定数据库备份计划启动数据库归档模式启动数据库归档模式定期执行数据库备份定期执行数据库备份监控检查备份情况监控检查备份情况 2.5 数据库审计技术审计是对选定的用户动作的监控和记录，通常用于审计是对选定的用户动作的监控和记录，通常用于：审查可疑的活动。例如：数据被非授权用户所删审查可疑的活动。例如：数据被非授权用户所删除，此

20、时安全管理员可决定对该除，此时安全管理员可决定对该 数据库的所有连数据库的所有连接进行审计，以及对数据库的所有表的成功地或接进行审计，以及对数据库的所有表的成功地或不成功地删除进行审计。不成功地删除进行审计。监视和收集关于指定数据库活动的数据。例如：监视和收集关于指定数据库活动的数据。例如：DBA可收集哪些被修改、执行了多少次逻辑的可收集哪些被修改、执行了多少次逻辑的I/O等统计数据。等统计数据。2.5 数据库审计技术-审计类型语句审计语句审计特权审计特权审计对象审计对象审计123对某种类型的SQL语句审计，不指定结构或对象。对执行相应动作的系统特权的使用审计。对一特殊模式对象上的指定语句的审

21、计。2.5 数据库审计技术-审计的作用能够发现潜在的威胁和运行问题，未雨绸缪化解安全和运行风险。对于安全事件发生或关键数据遭到严重破坏之前可以预先通过日志异常行为告警方式通知管理人员，及时进行分析并采取相应措施进行阻止，降低安全事件的最终发生率。定位定位忠实地记录数据库发生的“一举一动”,能够通过审计这些日志定位系统故障、异常操作和入侵攻击行为。举证举证安全审计的日志可以用来法律举证的证据，必要时能帮助进行事故的责任认定。一些行业要求定期对日志进行全面备份并保留相当时间。预警预警本章主要知识要点小结理解特权、角色、用户三者关系理解特权、角色、用户三者关系审计的重要性审计的重要性 逐层递进的数据

22、库安全构架：逐层递进的数据库安全构架： Network - OS- DBMS第三章 数据库安全功能要求3.1 账号管理、认证授权-总体功能要求 具有对数据库账号的管理功能，包括删除或修改具有对数据库账号的管理功能，包括删除或修改用户名和密码的功能。用户名和密码的功能。具有对默认帐号的密码进行修改或锁定无用的默具有对默认帐号的密码进行修改或锁定无用的默认帐号的功能。认帐号的功能。具备通过角色来对用户进行授权的功能；具备通过角色来对用户进行授权的功能；具备除数据库管理账号外，其他账号不能被授予具备除数据库管理账号外，其他账号不能被授予访问系统表和视图权限的功能。访问系统表和视图权限的功能。3.1账

23、号管理、认证授权-账号安全功能要求功能要求 支持按用户分配账号； 与设备运行、维护等工作无关的账号，应能够删除或锁定； 设备应能够限制允许远程登录的账号。 配置要求配置要求 按照用户分配账号，避免不同用户间共享账号，避免用户账号和设 备间通信使用的账号共享； 应更改默认帐号密码，删除或锁定与设备运行、维护等工作无关的 账号； 限制具备管理员权限的用户远程登录。远程执行管理员权限操作， 应先以普通权限用户远程登录后，再切换到管理员权限账号后执 行相应操作。 3.1账号管理、认证授权-账号安全配置说明（以配置说明（以oracle为例，以后同）为例，以后同） 删除或锁定帐号删除或锁定帐号alter

24、user username lock;drop user username cascade; 更改密码：更改密码：Alter user username identified by “password” 限制具备数据库超级管理员（限制具备数据库超级管理员（SYSDBA）权限的用户远）权限的用户远程登录程登录 1. 在在spfile中设置中设置REMOTE_LOGIN_PASSWORDFILE=NONE来禁止来禁止SYSDBA用户从远程登陆。用户从远程登陆。2. 在在sqlnet.ora中设置中设置SQLNET.AUTHENTICATION_SERVICES=NONE来禁用来禁用 SYSDBA

25、角角色的自动登录。色的自动登录。3.1账号管理、认证授权-口令安全功能要求功能要求功能要求 对于采用静态口令认证技术的设备，应支持数字、小写字母、大写 字母和特殊符号4类字符构成的口令。应支持配置口令复杂度。在 配置了复杂度后，设备自动拒绝用户设置不符合复杂度要求的口 令； 对于采用静态口令认证技术的设备，应支持按天配置口令生存期功 能。在配置了口令生存期后，设备在口令超过生存期的用户登录 时，应提示并强迫该用户设置新口令； 对于采用静态口令认证技术的设备，应支持配置用户连续认证失败 次数上限。当用户连续认证失败次数超过上限时，设备自动锁定 该用户账号。必须由其他账号，通常为具有管理员权限的账

26、号， 才可以解除该账号锁定； 对于采用静态口令认证技术的设备，必须支持口令修改，口令修改 后不影响设备中业务的正常使用； 对于采用静态口令认证技术的设备，支持静态口令加密存放。3.1账号管理、认证授权-口令安全配置要求配置要求：配置要求： 配置口令复杂度，要求口令长度至少配置口令复杂度，要求口令长度至少6位，并包括数字位，并包括数字、小写字母、大写字母和特殊符号、小写字母、大写字母和特殊符号4类中至少类中至少2类；类； 配置口令生存期，要求账户口令的生存期不长于配置口令生存期，要求账户口令的生存期不长于90天；天； 配置口令重复使用限制，要求用户不能重复使用最近配置口令重复使用限制，要求用户不

27、能重复使用最近5次（含次（含5次）内已使用的口令；次）内已使用的口令； 配置认证失败次数限制，当用户连续认证失败次数超过配置认证失败次数限制，当用户连续认证失败次数超过6次（不含次（不含6次），锁定该用户使用的账号。次），锁定该用户使用的账号。 3.1账号管理、认证授权-口令安全配置要求配置说明：配置说明： 可通过下面类似命令来创建profile，并把它赋予一个用户CREATE PROFILE app_user2 LIMIT FAILED_LOGIN_ATTEMPTS 6 PASSWORD_LIFE_TIME 60 PASSWORD_REUSE_TIME 60 PASSWORD_REUSE_M

28、AX 5 PASSWORD_VERIFY_FUNCTION verify_function PASSWORD_LOCK_TIME 1/24 PASSWORD_GRACE_TIME 90;ALTER USER jd PROFILE app_user2; 其中verify_function可自定义为密码检查函数。3.1账号管理、认证授权-授权安全功能要求功能要求 设备应支持对不同用户授予不同权限； 对于用户可通过人机交互界面访问文件系统的设备，设备应支持对 文件系统中的目录和文件，给不同用户或用户组分别授予读、 写、执行权限； 对于存在关系型数据库的设备，设备应支持对数据库表，给不同数 据库用户或

29、用户组分别授予读取、修改的权限。配置要求配置要求 在设备权限配置能力内，根据用户的业务需要，配置其所需的最小 权限。 3.1账号管理、认证授权-授权安全配置说明配置说明 对用户授权：对用户授权：grant权限权限to username;revoke 权限权限from username; 对角色授权：对角色授权：1. 使用使用Create Role命令创建角色。命令创建角色。2. 使用用使用用Grant命令将相应的系统、对象或命令将相应的系统、对象或Role的权限赋予应用用户。的权限赋予应用用户。3.2日志安全 - 总体要求 具有对数据库进行操作，数据对象修改，数据库具有对数据库进行操作，数据对

30、象修改，数据库结构修改，数据库访问异常报错，启动和禁用审结构修改，数据库访问异常报错，启动和禁用审计等事件进行日至记录的功能；计等事件进行日至记录的功能；具有对日志记录进行更新和删除的操作进行日志具有对日志记录进行更新和删除的操作进行日志记录的功能；记录的功能；具有对数据库系统的日志记录项进行自定义选择具有对数据库系统的日志记录项进行自定义选择记录的功能记录的功能3.2日志安全 - 功能细则功能要求功能要求 设备日志应支持对用户登录/登出进行记录。记录内容包括用户登 录使用的账号，登录是否成功，登录时间，以及远程登录时，用 户使用的IP地址。 设备日志应支持记录用户对设备的操作，包括但不限于以

31、下内 容：账号创建、删除和权限修改，口令修改，读取和修改设备配 置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私 数据。记录需要包含用户账号，操作时间，操作内容以及操作结 果。 设备日志应支持记录与设备相关的安全事件。 设备应支持远程日志功能。所有设备日志均能通过远程日志功能 传输到日志服务器。 设备应支持至少一种通用的远程标准日志接口，如SYSLOG、 FTP等。设备应能够按账号分配日志文件读取、修改和删除权 限，从而防止日志文件被篡改或非法删除。3.2日志安全 - 配置要求配置要求配置要求 设备应配置日志功能，对用户登录进行记录，记录内容包括用户 登录使用的账号，登录是否成功，登录

32、时间，以及远程登录时， 用户使用的IP地址。 备应配置日志功能，记录用户对设备的操作，包括但不限于以下 内容：账号创建、删除和权限修改，口令修改，读取和修改设备 配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐 私数据。记录需要包含用户账号，操作时间，操作内容以及操作 结果。 设备应配置日志功能，记录对与设备相关的安全事件。 设备配置远程日志功能，将需要重点关注的日志内容传输到日志 服务器。 设备应配置权限，控制对日志文件读取、修改和删除权限操作。3.2日志安全 - 配置要求配置说明配置说明 记录登录日志：记录登录日志：创建创建ORACLE登录触发器，记录相关信息，但对登录触发器，记录

33、相关信息，但对IP地址的记录会有困难地址的记录会有困难1.建表建表LOGON_TABLE2.建触发器建触发器CREATE TRIGGER TRI_LOGON AFTER LOGON ON DATABASEBEGIN INSERT INTO LOGON_TABLE VALUES (SYS_CONTEXT(USERENV, SESSION_USER),SYSDATE);END; 启用审计日志：启用审计日志：1. 通过设置参数通过设置参数audit_trail = db或或os来打开数据库审计。来打开数据库审计。2. 然后可使用然后可使用Audit命令对相应的对象进行审计设置。命令对相应的对象进行审

34、计设置。3.3 IP协议安全 总体要求支持数据库管理员对数据库管理操作的远程连接支持数据库管理员对数据库管理操作的远程连接进行加密的功能进行加密的功能数据库连接池支持对单个用户进行鉴权和认证的数据库连接池支持对单个用户进行鉴权和认证的功能。功能。3.3 IP协议安全 功能细则功能要求功能要求 对于具备TCP/UDP协议功能的设备，应支持列出当前开放端口列 表以及设备和其他设备连接情况。 对于具备TCP/UDP协议功能的设备，应支持配置基于源IP地址、 目的IP地址、通信协议类型（如TCP、UDP、ICMP）、源端口、 目的端口的流量过滤。 对于通过IP协议进行远程维护的设备，设备应支持使用SS

35、H等加 密协议。 设备应支持列出对外开放的IP服务端口和设备内部进程的对应 表。 对于通过IP协议进行远程维护的设备，设备应支持对允许登陆到 该设备的IP地址范围进行设定。3.3 IP协议安全 配置要求配置要求配置要求 配置允许连接服务器的客户端IP地址。也可以在网络或服务器防火墙上实现 应配置使用SSH等加密协议进行远程连接。 配置连接超时。3.3 IP协议安全 配置要求配置说明配置说明 设置只有信任的设置只有信任的IP地址才能通过监听器访问数据库：地址才能通过监听器访问数据库：在服务器上的文件在服务器上的文件$ORACLE_HOME/network/admin/sqlnet.ora中设置以

36、下行中设置以下行：tcp.validnode_checking = yes tcp.invited_nodes = (ip1,ip2) 加密客户端与数据库之间的网络传输数据加密客户端与数据库之间的网络传输数据 1. 在在Oracle Net Manager中选择中选择“Oracle Advanced Security”。2. 然后选择然后选择Encryption。3. 选择选择Client或或Server选项。选项。4. 选择加密类型。选择加密类型。5. 输入加密种子（可选）。输入加密种子（可选）。6. 选择加密算法（可选）。选择加密算法（可选）。7. 保存网络配置，保存网络配置，sqlnet

37、.ora被更新。被更新。 设置数据库连接超时设置数据库连接超时 （10分钟）分钟）在在sqlnet.ora中设置下面参数：中设置下面参数：SQLNET.EXPIRE_TIME=103.4 其他安全功能要求具备通过补丁升级消除软件安全漏洞的能力具备通过补丁升级消除软件安全漏洞的能力具备对数据文件进行备份以及恢复的功能具备对数据文件进行备份以及恢复的功能具有只安装必需组件和软件的最小需求的安装功具有只安装必需组件和软件的最小需求的安装功能；具有对不使用的组件可删除的功能能；具有对不使用的组件可删除的功能具有设置数据库会话空置超时退出的功能，只有具有设置数据库会话空置超时退出的功能，只有管理员账号能

38、够禁用此超时退出功能。管理员账号能够禁用此超时退出功能。3.4 其他安全功能要求 - 功能配置细则功能要求功能要求 对于具备字符交互界面的设备，应支持定时账户自动登出。登出 后用户需再次登录才能进入系统。 对于具备图形界面（含WEB界面）的设备，应支持手动和定时自 动屏幕锁定。锁屏后需再次进行身份认证后才能解除屏幕锁定。 设备应具备通过补丁升级消除软件安全漏洞的能力。配置要求配置要求 对于具备字符交互界面的设备，应配置定时账户自动登出。 对于具备图形界面（含WEB界面）的设备，应配置定时自动屏幕 锁定。 及时升级安全漏洞补丁。本章主要知识要点小结日志功能应该能够记录安全相关操作日志功能应该能够

39、记录安全相关操作和对业务敏感数据进行修改的操作和对业务敏感数据进行修改的操作使用使用SSH，对远程连接进行加密，支，对远程连接进行加密，支持安全持安全IP段配置段配置第四章 典型数据库安全4.1 ORACLE4.1 ORACLE数据库安全配置及检查数据库安全配置及检查-Oracle-Oracle介介绍绍近近30年的数据库历史年的数据库历史使用最广的大型关系数据库使用最广的大型关系数据库支持大量多媒体数据支持大量多媒体数据提供分布式数据库能力提供分布式数据库能力最新产品为最新产品为Oracle 10g4.1 ORACLE4.1 ORACLE数据库安全配置及检查数据库安全配置及检查-Oracle-

40、Oracle安安全特性全特性Virtual Private Database(虚拟专用数据库虚拟专用数据库)Oracle 标签安全标签安全选择性数据加密选择性数据加密Oracle Policy Manager数据保密性（数据保密性（RSA DES）数据完整性（数据完整性（MD5、SHA）多层审核多层审核4.1 ORACLE4.1 ORACLE数据库安全配置及检查数据库安全配置及检查-Oracle-Oracle安安全问题全问题Oracle号称号称“Unbreakable”但是：但是： Oracle9i Application Server的SQL Injection 漏洞（61号警报2003年1

41、1月7日） 文件中受限内容的未授权访问（60号警报2003年10月28日） Database Server Binaries的缓冲区溢出（59号警报2003年11月13日） Oracle9i Database Server的XML Database的缓冲区溢出（58号警报2003年8月18日） 2008年4月份Oracle发布安全漏洞达41个。其中包括参数过滤不严密导致允许远程攻击者执行SQL注入攻击。4.1 ORACLE4.1 ORACLE数据库安全配置及检查数据库安全配置及检查-Oracle-Oracle基基础知识础知识Oracle 8i及更高版本数据库的版本信息的命令是及更高版本数据库的

42、版本信息的命令是 cd $ORACLE_HOME/installcat unix.rgsOracle数据库中，物理磁盘资源包括以下：数据库中，物理磁盘资源包括以下： 控制文件 重作日志文件 数据文件 Oracle数据库数据库listener的日志文件的日志文件$ORACLE_HOME/network/log/listener.log包含以下内容：包含以下内容： 客户端请求的时间 连接方式 连接程序，网络协议 主机名，网络端口号Oracle数据库的归档日志是在线日志的备份数据库的归档日志是在线日志的备份 在在Oracle数据库设置数据库设置listener口令时，在口令时，在oracle用户下运

43、行用户下运行lsnrctl命令命令4.1 ORACLE4.1 ORACLE数据库安全配置及检查数据库安全配置及检查- -主要安全主要安全问题问题严重的缓冲区溢出漏洞严重的缓冲区溢出漏洞Oracle默认情况下，口令的传输方式是明文默认情况下，口令的传输方式是明文多个默认账户口令多个默认账户口令 SYS： CHANGE_ON_INSTALL SYSTEM：MANAGER DBSNMP：DBSNMP SCOTT：TIGERSQL InjectionListener Service错误的角色管理错误的角色管理4.1 ORACLE4.1 ORACLE数据库安全配置及检查数据库安全配置及检查-Oracle

44、-Oracle补补丁管理丁管理在在Oracle数据库进行安全补丁升级时，需要关闭所数据库进行安全补丁升级时，需要关闭所有与有与Oracle数据库相关的应用和服务数据库相关的应用和服务。参考参考： 英文站点：http:/ 中文站点：http:/ ORACLE4.1 ORACLE数据库安全配置及检查数据库安全配置及检查-Oracle-Oracle账账户管理户管理列举可见用户列举可见用户 select username from all_users列举所有用户列举所有用户 select username from dba_users检查用户配置检查用户配置 select username,profi

45、le,account_status from dba_users为为Oracle数据库安全考虑，在多人共同对数据库进数据库安全考虑，在多人共同对数据库进行维护时，应分别重新定义角色。行维护时，应分别重新定义角色。若对多个若对多个Oracle数据库进行集中管理，对数据库进行集中管理，对sysdba的的管理方式最好选择管理方式最好选择password文件认证方式。文件认证方式。4.1 ORACLE4.1 ORACLE数据库安全配置及检查数据库安全配置及检查-Oracle-Oracle口口令检查令检查Oracle 8i及更高版本数据库的版本信息的命令是及更高版本数据库的版本信息的命令是 cd $OR

46、ACLE_HOME/installcat unix.rgsOracle数据库中，物理磁盘资源包括以下：数据库中，物理磁盘资源包括以下： 控制文件 重作日志文件 数据文件 Oracle数据库数据库listener的日志文件的日志文件$ORACLE_HOME/network/log/listener.log包含以下内容：包含以下内容： 客户端请求的时间 连接方式 连接程序，网络协议 主机名，网络端口号Oracle数据库的归档日志是在线日志的备份数据库的归档日志是在线日志的备份 在在Oracle数据库设置数据库设置listener口令时，在口令时，在oracle用户下运行用户下运行lsnrctl命令

47、命令4.1 ORACLE4.1 ORACLE数据库安全配置及检查数据库安全配置及检查-Oracle-Oracle限限制访问制访问Oracle数据库可通过设置数据库可通过设置listener.ora文件文件限制客户端IP地址对数据库的访问，具体操作包括以下步骤，具体操作包括以下步骤： tcp.validnode_checking = YES tcp.excluded_nodes = (list of IP addresses) tcp.invited_nodes = (list of IP addresses) 重启listener4.1 ORACLE4.1 ORACLE数据库安全配置及检查数据

48、库安全配置及检查- -限制登陆限制登陆次数次数失败的登录尝试失败的登录尝试 检查失败的登录尝试SQL select * from dba_profiles where RESOURCE_NAME = FAILED_LOGIN_ATTEMPTS; 如果LIMIT为NULL，建议修改失败的登录尝试ALTER PROFILE DEFAULT LIMIT FAILED_LOGIN_ATTEMPTS 3;4.1 ORACLE4.1 ORACLE数据库安全配置及检查数据库安全配置及检查- -口令加密口令加密传输传输默认情况下，口令明文传输默认情况下，口令明文传输通过配置在网络上通过通过配置在网络上通过DE

49、S加密传输加密传输 在Client上将ORA_ENCRYPT_LOGIN 变量设置成TURE 在Server上将DBLINK_ENCRYPT_LOGIN 参数设置成TURE4.1 ORACLE4.1 ORACLE数据库安全配置及检查数据库安全配置及检查- -角色安全角色安全性性创建安全的创建安全的DBA账户密码账户密码只有只有DBA能用管理权限连入数据库能用管理权限连入数据库限制特定的系统权限授予开发者和应用限制特定的系统权限授予开发者和应用 回收PUBLIC的权限UTL_FILE权限权限 SQL revoke execute on utl_FILE from public; UTL_HTTP

50、权限权限 SQL revoke execute on utl_HTTP from public; UTL_TCP权限权限 SQL revoke execute on utl_TCP from public;UTL_SMTP权限权限 SQL revoke execute on utl_SMTP from public;4.1 ORACLE4.1 ORACLE数据库安全配置及检查数据库安全配置及检查- -资源安全资源安全审计审计设置限制的设置限制的Oracle安装目录权限安装目录权限设置数据库文件权限设置数据库文件权限 $ORACLE_HOME/dbs/*.dbf，设置这些文件的使用权限为0600

51、让让DBA才有权限处理数据库目录才有权限处理数据库目录 设置init.ora（9i控制文件）参数：O7_DICTIONARY_ACCESSIBILITY = FALSE4.1 ORACLE4.1 ORACLE数据库安全配置及检查数据库安全配置及检查- -网络安全网络安全审计审计限制限制IP地址地址 protocol.ora（Oracle Net配置文件）tcp.validnode_checking = YEStcp.excluded_nodes = list of IP addressestcp.invited_nodes = list of IP addresses阻止阻止Listener上

52、的未授权管理上的未授权管理 listener.ora（Oracle Listener配置文件）ADMIN_RESTRICTIONS_listener_name=ON限制远程鉴别限制远程鉴别 init.ora （Oracle控制文件）REMOTE_OS_AUTHENT = FALSE通过防火墙等保护通讯端口通过防火墙等保护通讯端口（TCP1521）4.1 ORACLE4.1 ORACLE数据库安全配置及检查数据库安全配置及检查- -启用启用审计审计在初始化配置文件中设置参数：在初始化配置文件中设置参数： AUDIT_TRAIL=DB 需要重起数据库实例指定审计指定审计 例：审计所有数据库连接和断

53、开连接AUDIT SESSION 例：审计以下不成功操作AUDIT select table, delete table, execute procedure BY ACCESS WHENEVER NOT SUCCESSFUL察看审计察看审计 select * from SYS.AUD$4.1 ORACLE4.1 ORACLE数据库安全配置及检查数据库安全配置及检查- -保护保护审计审计只为管理员授予只为管理员授予SYS.AUD$ 的的DELETE、INSERT、UPDATE权限权限只为安全管理员授予只为安全管理员授予DELETE ANY TABLE权限权限审计对数据库审计跟踪所做的修改审计对

54、数据库审计跟踪所做的修改 AUDIT INSERT, UPDATE, DELETE ON sys.aud$ BY ACCESS;4.1 ORACLE4.1 ORACLE数据库安全配置及检查数据库安全配置及检查- -常用常用命令命令oracle数据库用户登陆数据库用户登陆 运行命令 sqlplus /nolog sql connect /as sysdba; sqlselect ,a.ctime,a.ptime,b.account_status,file,b.default_tablespace from user$ a,dba_users b where a. name=

55、b.username; 更改用户口令更改用户口令 alter user 用户名 identified by 新口令 4.2 SQLSERVER4.2 SQLSERVER数据库安全配置及检查数据库安全配置及检查- -介绍介绍1987年微软与年微软与Sybase合作合作,并使用并使用Sybase的技术开的技术开发发OS/2平台的数据库平台的数据库1989年，年，SQL Server1.0推出推出1992年，推出年，推出OS/2平台的平台的SQLServer4.21993年，发布基于年，发布基于NT平台的平台的SQLServer1994年，微软脱离年，微软脱离Sybase自行开发数据库自行开发数据库

56、,并与并与95和和96年分别发布了年分别发布了SQLServer6.5和和7.0版本版本基于关系型数据库的大型数据库系统基于关系型数据库的大型数据库系统广泛应用于电子商务、金融等行业广泛应用于电子商务、金融等行业最新产品为最新产品为SQL Server 20054.2 SQLSERVER4.2 SQLSERVER数据库安全配置及检查数据库安全配置及检查- -主要安主要安全问题全问题严重的安全漏洞严重的安全漏洞 拒绝服务漏洞 UDP缓冲区溢出漏洞SQL Slammer蠕虫蠕虫默认的默认的sa空口令空口令“明文明文”传输问题传输问题数据库应用中存在的数据库应用中存在的SQL Injection4.

57、2 SQLSERVER4.2 SQLSERVER数据库安全配置及检查数据库安全配置及检查- -安全管安全管理要点理要点账号账号资源资源系统系统审核及日志审核及日志数据库应用数据库应用4.2 SQLSERVER4.2 SQLSERVER数据库安全配置及检查数据库安全配置及检查- -帐号管帐号管理理检查数据库账号检查数据库账号检查无用的数据库账号检查无用的数据库账号检查弱口令账号检查弱口令账号4.2 SQLSERVER4.2 SQLSERVER数据库安全配置及检查数据库安全配置及检查- -口令检口令检查查本地账号检查本地账号检查 检查空口令账户：Select name from syslogins

58、 where password is null 脚本:audit.sql密码破解工具密码破解工具 SQLCracker.exe forceSQL.exe ASI产品 其他漏洞扫描工具4.2 SQLSERVER4.2 SQLSERVER数据库安全配置及检查数据库安全配置及检查- -口令传口令传输加密输加密登录密码在网络中传输是登录密码在网络中传输是“加密加密”的的事实上：事实上： 加密是“弱”的 基本等同于明文传输密码嗅探工具密码嗅探工具 SQLServerSniffer.exe4.2 SQLSERVER4.2 SQLSERVER数据库安全配置及检查数据库安全配置及检查- -资源管资源管理理检查

59、数据库安装目录的文件安全性检查数据库安装目录的文件安全性检查数据库文件的安全性检查数据库文件的安全性4.2 SQLSERVER4.2 SQLSERVER数据库安全配置及检查数据库安全配置及检查- -系统配系统配置管理置管理补丁安装补丁安装安全层次和身份验证模式安全层次和身份验证模式数据库的网络配置数据库的网络配置扩展存储过程检查扩展存储过程检查4.2 SQLSERVER4.2 SQLSERVER数据库安全配置及检查数据库安全配置及检查- -版本与版本与补丁补丁察看数据库版本察看数据库版本 执行 xp_msver最新版本最新版本 SQL Server2005：9.00.2153 SQL Serv

60、er 2000：8.00.2189 SQL Server 7.0： 7.00.1149在在SQL Server安装安装SP3补丁时，必须在系统中已经补丁时，必须在系统中已经安装了安装了SP1或或SP2。4.2 SQLSERVER4.2 SQLSERVER数据库安全配置及检查数据库安全配置及检查- -身份验身份验证证SQL Server支持三级安全层次：支持三级安全层次： 第一个层次是，用户必须登录到SQL Server，或者已经成功登录了一个映射到SQL Server的NT帐号。在SQL Server登录成功并不意味着用户已经可以访问SQL Server上的数据库。 第二层次的安全权限允许用户