內容簡介
隨著計算機和信息技術的迅速發展,信息安全日益引起人們的重視,而資料庫安全是保證信息安全的重要環節。
《Oracle安全實踐(來自第3方的關係型資料庫安全指南)/21世紀信息安全大系》旨在創建實踐程式來保證Oracle資料庫安全,深入討論了檔案系統、TNS偵聽、管理員PUBLIC許可權、口令控制,詳細介紹了如何管理默認賬戶、監測資料庫運行、制定安全計畫等內容。適合與資料庫安全、審計、信息安全專業或領域的相關人員閱讀。
作者簡介
JoshShaul,1997年進入safeNet公司,開始安全領域的工作,參與本行業第一塊完整的IPsec加速器晶片的研發工作。在擔任SafeNet開發人員的5年裡,Josh為廣泛範圍的應用程式進行設計、開發和增強SafeNet的嵌入式安全解決方案。在最近的4年裡,Josh主要關注於安裝工程,幫助公司在各種網路設施、晶片系統(SOCS)和處理平台上部署安全軟體及硬體。他是安全協定和標準、可信性計算及應用程式等級安全方面的專家。最近,Josh專注於資料庫安全,幫助大企業研發恰當的深入防範的策略來保證敏感數據源頭的安全。Josh目前在Application Sectlrity公司負責Worldwide Systems Engirleering項目。
目錄
致謝
作者簡介
技術編輯
第1章Oracle安全概述
引言
Oracle安全特性的歷史簡介
許可權控制
網路
審計
口令管理
數據分區
Oracle10g和更高版本
管理環境驅動的資料庫安全
主要的數據竊取事件
CardSysteinsSOlutions——2005年6月
ChoicePoint——2005年2月
TJX——2007年1月
退伍軍人事務部——2006年5月
漸進地保證Oracle安全
對每個種類資料庫系統合適的安全
小結
快速解決方案
常見問題
第2章檔案系統
引言
了解檔案
數據
日誌
軟體
檢查推薦的許可
作業系統基礎
軟體許可
非軟體許可
管理變更
小結
快速解決方案
常見問題
第3章TNS監聽器安全
引言
TNS監聽器介紹
監聽器組件
監聽器命令
Oracle10g監聽器變更
監聽器可能是攻擊缺陷的主要來源
由於設計導致的監聽器缺陷
不存在賬號停用
以明文傳輸的口令
使用口令或者哈希口令的驗證
通過套用Oracle補丁集和CPU來修補監聽器缺陷
監聽器DoS攻擊
監聽器快取區溢出攻擊
保證監聽器配置安全
監聽器安全/監聽器口令
ADMIN—RESTRICTIONS
監聽器日誌和跟蹤
ExtProc
有效的節點檢查
小結
快速解決方案
常見問題
第4章管理默認賬號
引言
從9i到10g的Oracle默認賬號角色
默認賬號
鎖定賬號和中止默認口令
配置強口令
解除賬號鎖定和配置強口令
Oracle的哈希口令算法
定義強口令
配置強口令
自動控制鑑別默認賬號的過程
創建自己的默認口令掃描腳本
使用一種免費可用的默認口令掃描器
使用一種商業化的資料庫缺陷掃描器
小結
快速解決方案
常見問題
第5章PUBLIC特權
引言
PUBLIC組
簡單介紹:Oracle特權和角色
授予PUBLIC的角色
敏感函式上的默認特權
DBMSRANDOM
UTL—FILE
UTL—HTTP
UTL—SMTP
UTL—TCP
從來不應該授予PUBUC的特權
系統特權
SYS模式中的對象特權
使用一般的意義
小結
快速解決方案
常見問題
第6章軟體升級
引言
理解Oracle的軟體補丁思想
安全
成本
平台
檢查CPU
評估風險矩陣
作用於安全顧問
安裝關鍵的補丁升級
計畫
測試和配置
評估安全警告
小結
快速解決方案
常見問題
第7章口令和口令管理
支付卡的行業數據安全標準
小結
快速解決方案
常見問題
引言
配置強口令
什麼使口令變弱?
非生產系統的口令
使用Oracle配置檔案進行口令管理
Oraele配置檔案
失敗的登錄嘗試
口令生命周期
PASSWORDREUSEMAX
口令重用時間
口令鎖定時間
口令彈性時間
口令驗證功能
分配配置檔案給用戶
作業系統驗證
遠程作業系統驗證
作業系統驗證前綴
創建並鑑別作業系統驗證的用戶
對弱口令的自動掃描
免費口令掃描器
商業的口令掃描器
小結
快速解決方案
常見問題
第8章資料庫事件監測
引言
資料庫入侵101
映射SQL
HTTP伺服器
直接訪問資料庫
Oracle監聽器
探測已知的攻擊模式
檢測可疑的事件
追蹤攻擊者
遵循政府法規和行業規則
Sarbanes-OxleyAct
(3ramm-Leach-BlileyAct
加利福尼亞參議員議案1386
健康保險:可攜帶和可說明性的操作
第9章執行指南
引言
開始
執行基本安全
執行最佳實踐
鎖定你的資料庫
小結
快速解決方案
常見問題
……
