Oracle数据库10g的安全性和身份管理
作者:Michael Miley
Oracle数据库10g为Oracle身份管理提供了一种安全、可伸缩的基础。Oracle互联网目录(OID)是作为一个运行在Oracle数据库10g上的应用程序来实施的,使 OID能够在一个单一服务器上或者某个网格中的各个节点上支持数T字节的目录信息。 Oracle数据库10g凭借诸如虚拟私有数据库等这样强大的功能来保护原始数据。重要的数据库安全性特性包括:
企业用户安全性。Oracle数据库10g的企业用户安全性特性,涵盖企业访问权限管理和共享的模式(schemas),允许每个用户访问数据,同时支持在Oracle互联网目录中进行集中的用户管理。 用户权限(由角色来体现)和对象约束条件(由访问控制清单来体现)可以存储在OID 数据库中。
虚拟私有数据库。虚拟私有数据库(VPD)允许开发人员将安全政策附加到应用程序表、视图或同义词中。 安全性政策可以使用安全应用上下文(Secure Application Context)来确定如何运用这个政策。 Oracle数据库10g还在虚拟私有数据库中引入了与列相关的安全性政策执行机制,以及可以选择的列遮蔽机制。
Oracle标签安全性。Oracle数据库10g允许在Oracle身份管理基础设施中集中创建Oracle 标签安全性政策。通过使用Oracle互联网目录,人们可以在一个集中的位置创建Oracle标签安全性政策,从而简化在企业或网格中的所有数据库中进行安全性保障和管理的过程。可以在一个位置管理机构的敏感性标签及应用程序用户安全性许可证。
细粒度的审计。任何有效的安全性政策的一个重要方面都是维护系统的活动记录,来确保用户对自己的行为负责。 Oracle在Oracle数据库的现有强大而全面的审计功能的基础上,又纳入了细粒度的审计功能。如果用户错误地使用了数据访问权限,则这种功能可以作为机构的预警系统,也可以作为对数据库本身入侵的检测系统。
代理认证。Oracle数据库10g支持代理认证,它通过允许将一个SSL证书(X.509证书或DN)传送到数据库来识别(而不是认证)用户,从而提供三层安全性功能。该数据库利用DN或证书,在Oracle互联网目录或另一个基于LDAP的目录中查找用户。代理认证与Oracle企业用户安全性的集成还使用户身份能够在一个应用程序的所有层面上得到维护,而对用户只需在目录中创建一次即可。
Oracle高级安全性,Oracle高级安全性利用企业现有的安全框架来提供一些功能强大的认证解决方案,其中包括Kerberos、公共密钥密码技术、RADIUS和针对Oracle数据库10g的分布式计算环境。本版本中的一项新功能是通过存储在文件系统、Oracle互联网目录或CRL分部点(Distribution Points)中的证书撤销清单来检查X509v3证书撤销信息的功能。