随着计算机和信息技术的迅速发展,信息安全日益引起人们的重视,而数据库安全是保证信息安全的重要环节。
本书旨在创建实践程序来保证Oracle数据库安全,深入讨论了文件系统、TNS侦听、管理员PUBLIC权限、口令控制,详细介绍了如何管理默认账户、监测数据库运行、制定安全计划等内容。适合与数据库安全、审计、信息安全专业或领域的相关人员阅读。
样章试读
目录
- 致谢
作者简介
技术编辑
第1章 Oracle安全概述
引言
Oracle安全特性的历史简介
权限控制
网络
审计
口令管理
数据分区
Oracle10g和更高版本
管理环境驱动的数据库安全
主要的数据窃取事件
CardSystemsSolutions——2005年6月
ChoicePoint——2005年2月
TJX——2007年1月
退伍军人事务部——2006年5月
渐进地保证Oracle安全
对每个种类数据库系统合适的安全
小结
快速解决方案
常见问题
第2章 文件系统
引言
了解文件
数据
日志
软件
检查推荐的许可
操作系统基础
软件许可
非软件许可
管理变更
小结
快速解决方案
常见问题
第3章 TNS监听器安全
引言
TNS监听器介绍
监听器组件
监听器命令
Oracle10g监听器变更
监听器可能是攻击缺陷的主要来源
由于设计导致的监听器缺陷
不存在账号停用
以明文传输的口令
使用口令或者哈希口令的验证
通过应用Oracle补丁集和CPU来修补监听器缺陷
监听器DoS攻击
监听器缓存区溢出攻击
保证监听器配置安全
监听器安全/监听器口令
ADMIN_RESTRICTIONS
监听器日志和跟踪
ExtProc
有效的节点检查
小结
快速解决方案
常见问题
第4章 管理默认账号
引言
从9i到10g的Oracle默认账号角色
默认账号
锁定账号和中止默认口令
配置强口令
解除账号锁定和配置强口令
Oracle的哈希口令算法
定义强口令
配置强口令
自动控制鉴别默认账号的过程
创建自己的默认口令扫描脚本
使用一种免费可用的默认口令扫描器
使用一种商业化的数据库缺陷扫描器
小结
快速解决方案
常见问题
第5章 PUBLIC特权
引言
PUBLIC组
简单介绍:Oracle特权和角色
授予PUBLIC的角色
敏感函数上的默认特权
DBMS_RANDOM
UTL_FILE
UTL_HTTP
UTL_SMTP
UTL_TCP
从来不应该授予PUBLIC的特权
系统特权
SYS模式中的对象特权
使用一般的意义
小结
快速解决方案
常见问题
第6章 软件升级
引言
理解Oracle的软件补丁思想
安全
成本
平台
检查CPU
评估风险矩阵
作用于安全顾问
安装关键的补丁升级
计划
测试和配置
评估安全警告
小结
快速解决方案
常见问题
第7章 口令和口令管理
引言
配置强口令
什么使口令变弱?
非生产系统的口令
使用Oracle配置文件进行口令管理
Oracle配置文件
失败的登录尝试
口令生命周期
PASSWORD_REUSE_MAX
口令重用时间
口令锁定时间
口令弹性时间
口令验证功能
分配配置文件给用户
操作系统验证
远程操作系统验证
操作系统验证前缀
创建并鉴别操作系统验证的用户
对弱口令的自动扫描
免费口令扫描器
商业的口令扫描器
小结
快速解决方案
常见问题
第8章 数据库事件监测
引言
数据库入侵101
映射SQL
HTTP服务器
直接访问数据库
Oracle监听器
探测已知的攻击模式
检测可疑的事件
追踪攻击者
遵循政府法规和行业规则
Sarbanes-Oxley Act
Gramm-Leach-Bliley Act
加利福尼亚参议员议案1386
健康保险:可携带和可说明性的操作
支付卡的行业数据安全标准
小结
快速解决方案
常见问题
第9章 执行指南
引言
开始
执行基本安全
执行最佳实践
锁定你的数据库
小结
快速解决方案
常见问题