Oracle安全实战——开发完全的数据库与中间件环境
基本信息
原书名: Applied Oracle Security: Developing Secure Database and Middleware Environments
原出版社: McGraw-Hill Osborne Media
作者: (美)David C. Knox Scott G. Gaetjen
译者: 孟祥旭 唐扬斌
出版社:清华大学出版社
ISBN:9787302256328
上架时间:2011-9-8
出版日期:2011 年7月
开本:16开
页码:569
版次:1-1
图书样章:http://product.china-pub.com/57522
内容简介
《oracle安全实战—开发安全的数据库与中间件环境》由oracle安全专家编写,展示如何在oracle环境中开发安全的应用程序。介绍如何最大化地发挥oracle数据库、oracle databasevault、oracle identity management、oracle application express以及oracle business intelligence suite的安全特性。本书通过独家的权威资源,为您提供经过验证的数据和应用程序安全解决方案。主要内容
●使用oracle透明数据加密技术保护敏感信息
●部署oracle audit vault构建一致的企业审计策略
●学习oracle database vault创建者的最佳实践
●使用oracle database vault对现存和新开发的应用程序施加控制
●使用简单实用的方法学构建身份管理的基础架构
●应用oracle identity manager自动实现用户供应流程
●使用oracle internet directory和oracle virtual directoly创建下一代用户目录
●使用apex构建能有效发挥数据库安全特性的应用程序
●集成oracle business intelligence enterprise edition和身份管理解决方案,控制用户对数据和功能的访问
目录
《oracle安全实战—开发安全的数据库与中间件环境》
第ⅰ部分 oracle数据库安全新特性
第1章 安全蓝图与新思路 3
1.1 本书内容 4
1.1.1 背景信息 4
1.1.2 内容组织 5
1.2 当前的数据库安全技术 5
1.3 安全动机 8
1.3.1 敏感数据分类 9
1.3.2 原则 10
1.4 安全数据库架构建模 12
1.4.1 架构配置 12
1.4.2 对象所有者账户 13
1.4.3 用户访问账户 14
1.5 开始工作 15
1.5.1 用户配置 16
1.5.2 架构命名 17
1.5.3 安全体系结构检查表 18
1.6 小结 18
第2章 透明数据加密 21
本书是David C. Knox继Effective Oracle Database 10g Security By Design(McGraw-Hill出版社2004年出版)之后的又一力作,得到了Oracle官方技术网站OTN(Oracle Technology Network)的极力推荐。所有作者都是来自Oracle内部的资深研发和工程人员,很多人曾经是Oracle Database Vault等杰出的安全产品研发团队中的成员。他们对于Oracle的安全机制如数家珍,讲解起来可以追根溯源、深入浅出,对于很多关键机制的讲解更会使您有醍醐灌顶之感。整本书围绕几个简单的安全实例(基于Oracle示例数据库)展开,将各种安全机制和技术融入其中,相互辅衬,前后关联。认真读来,可以更深入地理解如何灵活自如地运用Oracle安全机制。
随着社会的进步,敏感数据越来越多,人们更加关注自己的隐私问题,各种法律法规对企业数据操作的监管也越来越严格。在这样的背景下,Oracle的安全研发人员一直努力在完善自己的安全机制:为了解决特权账户带来的风险,防范内部人员的攻击,研发了Oracle Database Vault;为了符合新的法律规定,设计实现了更加先进的身份管理策略和细粒度的审计策略。可以说Oracle一直在坚持不懈地努力,尽其所能帮助客户解决安全隐患。而本书无疑是对11g中新的安全特性的最权威解读。同时,在您企业的信息系统中,使用Oracle提供的最新安全防护机制是保护敏感数据的最有效途径。
本书是一本理论性和实践性都很强的书,因为作者相信“您对安全组件的架构和原理了解得越多,就越能够有效地降低安全风险”。所以在使用本书时,要先从宏观上掌握Oracle安全体系的整体脉络和原理。如孔子所言“学而不思则罔,思而不学则殆”,在阅读本书的时候,也要“读”“思”并举,尤其要积极思索各种技术的动机和用途,深入理解作者提出的种种安全原理,并将各个分散的部分在头脑中组建成一个有机整体。
“实践出真知”,建议您在阅读的过程中也不断地动手实践,对书中的实例亲自调试运行,最好能够结合自己的工作,做到举一反三,灵活运用。
本书由孟祥旭和唐扬斌翻译。敬请广大读者提供反馈意见,读者可以将意见发到[email protected],我们会仔细查阅读者发来的每一封邮件,以求进一步提高今后译著的质量。由于译者水平有限,时间紧迫,故译文中必定存在很多不足之处,希望读者能够谅解,并不吝斧正。真心希望我们的工作能够给您的工作和学习带来帮助,也希望通过您的安全实践给社会带来更多的安全收益!
本书是David C. Knox继Effective Oracle Database 10g Security By Design(McGraw-Hill出版社2004年出版)之后的又一力作,得到了Oracle官方技术网站OTN(Oracle Technology Network)的极力推荐。所有作者都是来自Oracle内部的资深研发和工程人员,很多人曾经是Oracle Database Vault等杰出的安全产品研发团队中的成员。他们对于Oracle的安全机制如数家珍,讲解起来可以追根溯源、深入浅出,对于很多关键机制的讲解更会使您有醍醐灌顶之感。整本书围绕几个简单的安全实例(基于Oracle示例数据库)展开,将各种安全机制和技术融入其中,相互辅衬,前后关联。认真读来,可以更深入地理解如何灵活自如地运用Oracle安全机制。
随着社会的进步,敏感数据越来越多,人们更加关注自己的隐私问题,各种法律法规对企业数据操作的监管也越来越严格。在这样的背景下,Oracle的安全研发人员一直努力在完善自己的安全机制:为了解决特权账户带来的风险,防范内部人员的攻击,研发了Oracle Database Vault;为了符合新的法律规定,设计实现了更加先进的身份管理策略和细粒度的审计策略。可以说Oracle一直在坚持不懈地努力,尽其所能帮助客户解决安全隐患。而本书无疑是对11g中新的安全特性的最权威解读。同时,在您企业的信息系统中,使用Oracle提供的最新安全防护机制是保护敏感数据的最有效途径。
本书是一本理论性和实践性都很强的书,因为作者相信“您对安全组件的架构和原理了解得越多,就越能够有效地降低安全风险”。所以在使用本书时,要先从宏观上掌握Oracle安全体系的整体脉络和原理。如孔子所言“学而不思则罔,思而不学则殆”,在阅读本书的时候,也要“读”“思”并举,尤其要积极思索各种技术的动机和用途,深入理解作者提出的种种安全原理,并将各个分散的部分在头脑中组建成一个有机整体。
“实践出真知”,建议您在阅读的过程中也不断地动手实践,对书中的实例亲自调试运行,最好能够结合自己的工作,做到举一反三,灵活运用。
本书由孟祥旭和唐扬斌翻译。敬请广大读者提供反馈意见,读者可以将意见发到[email protected],我们会仔细查阅读者发来的每一封邮件,以求进一步提高今后译著的质量。由于译者水平有限,时间紧迫,故译文中必定存在很多不足之处,希望读者能够谅解,并不吝斧正。真心希望我们的工作能够给您的工作和学习带来帮助,也希望通过您的安全实践给社会带来更多的安全收益!
本书是David C. Knox继Effective Oracle Database 10g Security By Design(McGraw-Hill出版社2004年出版)之后的又一力作,得到了Oracle官方技术网站OTN(Oracle Technology Network)的极力推荐。所有作者都是来自Oracle内部的资深研发和工程人员,很多人曾经是Oracle Database Vault等杰出的安全产品研发团队中的成员。他们对于Oracle的安全机制如数家珍,讲解起来可以追根溯源、深入浅出,对于很多关键机制的讲解更会使您有醍醐灌顶之感。整本书围绕几个简单的安全实例(基于Oracle示例数据库)展开,将各种安全机制和技术融入其中,相互辅衬,前后关联。认真读来,可以更深入地理解如何灵活自如地运用Oracle安全机制。
随着社会的进步,敏感数据越来越多,人们更加关注自己的隐私问题,各种法律法规对企业数据操作的监管也越来越严格。在这样的背景下,Oracle的安全研发人员一直努力在完善自己的安全机制:为了解决特权账户带来的风险,防范内部人员的攻击,研发了Oracle Database Vault;为了符合新的法律规定,设计实现了更加先进的身份管理策略和细粒度的审计策略。可以说Oracle一直在坚持不懈地努力,尽其所能帮助客户解决安全隐患。而本书无疑是对11g中新的安全特性的最权威解读。同时,在您企业的信息系统中,使用Oracle提供的最新安全防护机制是保护敏感数据的最有效途径。
本书是一本理论性和实践性都很强的书,因为作者相信“您对安全组件的架构和原理了解得越多,就越能够有效地降低安全风险”。所以在使用本书时,要先从宏观上掌握Oracle安全体系的整体脉络和原理。如孔子所言“学而不思则罔,思而不学则殆”,在阅读本书的时候,也要“读”“思”并举,尤其要积极思索各种技术的动机和用途,深入理解作者提出的种种安全原理,并将各个分散的部分在头脑中组建成一个有机整体。
“实践出真知”,建议您在阅读的过程中也不断地动手实践,对书中的实例亲自调试运行,最好能够结合自己的工作,做到举一反三,灵活运用。
本书由孟祥旭和唐扬斌翻译。敬请广大读者提供反馈意见,读者可以将意见发到[email protected],我们会仔细查阅读者发来的每一封邮件,以求进一步提高今后译著的质量。由于译者水平有限,时间紧迫,故译文中必定存在很多不足之处,希望读者能够谅解,并不吝斧正。真心希望我们的工作能够给您的工作和学习带来帮助,也希望通过您的安全实践给社会带来更多的安全收益!
本书是David C. Knox继Effective Oracle Database 10g Security By Design(McGraw-Hill出版社2004年出版)之后的又一力作,得到了Oracle官方技术网站OTN(Oracle Technology Network)的极力推荐。所有作者都是来自Oracle内部的资深研发和工程人员,很多人曾经是Oracle Database Vault等杰出的安全产品研发团队中的成员。他们对于Oracle的安全机制如数家珍,讲解起来可以追根溯源、深入浅出,对于很多关键机制的讲解更会使您有醍醐灌顶之感。整本书围绕几个简单的安全实例(基于Oracle示例数据库)展开,将各种安全机制和技术融入其中,相互辅衬,前后关联。认真读来,可以更深入地理解如何灵活自如地运用Oracle安全机制。
随着社会的进步,敏感数据越来越多,人们更加关注自己的隐私问题,各种法律法规对企业数据操作的监管也越来越严格。在这样的背景下,Oracle的安全研发人员一直努力在完善自己的安全机制:为了解决特权账户带来的风险,防范内部人员的攻击,研发了Oracle Database Vault;为了符合新的法律规定,设计实现了更加先进的身份管理策略和细粒度的审计策略。可以说Oracle一直在坚持不懈地努力,尽其所能帮助客户解决安全隐患。而本书无疑是对11g中新的安全特性的最权威解读。同时,在您企业的信息系统中,使用Oracle提供的最新安全防护机制是保护敏感数据的最有效途径。
本书是一本理论性和实践性都很强的书,因为作者相信“您对安全组件的架构和原理了解得越多,就越能够有效地降低安全风险”。所以在使用本书时,要先从宏观上掌握Oracle安全体系的整体脉络和原理。如孔子所言“学而不思则罔,思而不学则殆”,在阅读本书的时候,也要“读”“思”并举,尤其要积极思索各种技术的动机和用途,深入理解作者提出的种种安全原理,并将各个分散的部分在头脑中组建成一个有机整体。
“实践出真知”,建议您在阅读的过程中也不断地动手实践,对书中的实例亲自调试运行,最好能够结合自己的工作,做到举一反三,灵活运用。
本书由孟祥旭和唐扬斌翻译。敬请广大读者提供反馈意见,读者可以将意见发到 [email protected] ,我们会仔细查阅读者发来的每一封邮件,以求进一步提高今后译著的质量。由于译者水平有限,时间紧迫,故译文中必定存在很多不足之处,希望读者能够谅解,并不吝斧正。真心希望我们的工作能够给您的工作和学习带来帮助,也希望通过您的安全实践给社会带来更多的安全收益!
第ⅰ部分 oracle数据库安全新特性
第1章 安全蓝图与新思路 3
1.1 本书内容 4
1.1.1 背景信息 4
1.1.2 内容组织 5
1.2 当前的数据库安全技术 5
1.3 安全动机 8
1.3.1 敏感数据分类 9
1.3.2 原则 10
1.4 安全数据库架构建模 12
1.4.1 架构配置 12
1.4.2 对象所有者账户 13
1.4.3 用户访问账户 14
1.5 开始工作 15
1.5.1 用户配置 16
1.5.2 架构命名 17
1.5.3 安全体系结构检查表 18
1.6 小结 18
第2章 透明数据加密 21
.2.1 口令学基础 22
2.1.1 加密的目标 22
2.1.2 基础知识 23
2.1.3 加密方法的选择 24
2.1.4 算法与密钥 24
2.2 对数据库中的数据加密 27
2.2.1 数据在何处“休眠” 28
2.2.2 数据保护 28
2.2.3 浏览数据 29
2.2.4 应用示例 31
2.2.5 数据库中的加密 31
2.3 tde解决方案 32
2.3.1 作为高级安全选项的tde 32
2.3.2 在oracle 10g中配置tde 33
2.3.3 oracle wallet 34
2.3.4 tde的密钥管理 36
2.3.5 在新表中创建加密列 37
2.3.6 查看加密列 40
2.3.7 加密已有列 41
2.3.8 tde特别说明 43
2.4 表空间加密:oracle 11g的新特性 44
2.5 oracle 11g的配置 45
2.5.1 将tde用于pci-dss 46
2.5.2 操作考量 47
2.5.3 加密数据的导出和导入 50
2.5.4 与hsm的集成 52
2.6 小结 54
第3章 应用审计与audit vault 55
3.1 监管的时代 56
3.2 出于非安全目的的审计 56
3.3 审计数据仓库 57
3.4 审计什么以及何时审计 61
3.4.1 指导原则 61
3.4.2 审计模式 62
3.4.3 其他最佳审计实践 64
3.5 从审计仓库到audit vault 66
3.6 安装选项 68
3.6.1 安装audit vault server 68
3.6.2 安装audit vault collection agent 68
3.6.3 安装说明 72
3.6.4 报表 76
3.6.5 警报 77
3.6.6 管理源数据库的审计政策 80
3.6.7 审计维护 82
3.7 小结 84
第ⅱ部分 oracle database vault
第4章 database vault介绍 89
4.1 安全缺口 90
4.1.1 权限账户的历史 90
4.1.2 安全补救 92
4.1.3 应该具有的安全特性 94
4.2 database vault组件 96
4.2.1 因素 97
4.2.2 规则 97
4.2.3 领域 98
4.2.4 命令规则 100
4.3 安装oracle database vault 101
4.3.1 安装的dbv管理角色 101
4.3.2 管理oracle dbv配置 102
4.3.3 默认的职责分离 106
4.3.4 默认的审计策略 110
4.3.5 与安全相关的默认dbv因素 111
4.4 小结 111
第5章 database vault基础 113
5.1 领域 114
5.1.1 领域保护模式 118
5.1.2 创建第一个领域 119
5.1.3 领域组件 122
5.2 命令规则 132
5.2.1 命令规则组件 134
5.2.2 命令规则支持的命令 139
5.2.3 dbv connect命令规则 139
5.3 规则集 142
5.3.1 规则集的评估模式 143
5.3.2 规则集审计 144
5.3.3 自定义事件处理程序 145
5.3.4 规则配置 147
5.3.5 dbv规则集事件函数 150
5.3.6 在规则集表达式中使用的dbv因素 151
5.4 因素 152
5.4.1 创建因素 153
5.4.2 因素标识 158
5.4.3 dbv因素与ols集成 169
5.5 dbv安全应用程序角色 189
5.6 小结 193
第6章 在自定义应用程序中使用dbv 195
6.1 假想的数据库应用环境 196
6.2 从需求到安全配置文件设计 197
6.3 需求分析技术:用例与场景 198
6.4 确定粗粒度的安全配置文件 200
6.5 确定细粒度的安全配置文件 202
6.6 基于业务或系统条件确定dbv因素 203
6.6.1 集中管理为dbv因素和规则设计的pl/sql例程 205
6.6.2 基于合规性的因素 209
6.6.3 基于利益冲突或职责分离的因素 210
6.6.4 基于组织策略的因素 211
6.6.5 基于身份管理的因素 211
6.6.6 基于访问路径或运行上下文的因素 212
6.6.7 基于时间或顺序条件的因素 213
6.6.8 基于外部数据或事件的因素 214
6.6.9 在应用程序中使用dbv因素 214
6.7 基于对象确定dbv领域及领域对象 218
6.7.1 为领域保护的对象配置标准的对象级审计 220
6.7.2 在领域保护的对象上配置rls 221
6.8 基于用例参与者确定账户、角色和dbv领域授权 221
6.8.1 dbv的安全架构 222
6.8.2 用户访问账户 225
6.8.3 基于dbv安全架构的示例实现 231
6.8.4 后期的配置账户供应 261
6.9 基于条件建立dbv命令规则 261
6.10 基于条件建立dbv安全应用程序角色 274
6.11 小结 278
第7章 在已有的应用程序中使用dbv 281
7.1 捕获审计信息的准备工作 282
7.2 捕获审计数据 283
7.3 分析审计记录 283
7.3.1 基于对象所有者账户确定dbv领域 285
7.3.2 dbv领域保护的对象 286
7.3.3 dbv领域授权 290
7.3.4 为dbv sar确定终端用户访问账户和角色 304
7.3.5 基于条件确定dbv命令规则 305
7.3.6 基于业务或系统条件确定dbv因素 312
7.3.7 精化dbv策略设计 321
7.3.8 部署和验证dbv策略 321
7.4 将dbv与oracle数据库功能集成 323
7.4.1 oracle text 324
7.4.2 oracle spatial 327
7.4.3 表达式过滤器 328
7.4.4 oracle流高级排队 331
7.4.5 透明数据加密 335
7.4.6 oracle恢复管理器 336
7.4.7 在领域保护的架构中收集统计信息 338
7.4.8 在领域保护的架构上使用explain plan功能 338
7.5 dbv数据库的高级监控和报警功能 339
7.5.1 使用oem gc对dbv进行监控和报警 339
7.5.2 扩展dbv规则集的自定义事件处理程序 342
7.6 小结 347
第ⅲ部分 身 份 管 理
第8章 身份管理体系结构设计 351
8.1 理解与身份管理相关的问题 352
8.1.1 中央发行机构 352
8.1.2 身份验证 353
8.1.3 身份传递 353
8.2 构建身份管理体系结构 354
8.2.1 身份管理发现 354
8.2.2 身份管理模式 359
8.3 oracle身份管理解决方案 364
8.3.1 用户供应 364
8.3.2 目录管理 365
8.3.3 身份验证管理 366
8.3.4 授权管理 370
8.3.5 角色挖掘和管理 373
8.4 小结 374
第9章 oracle身份管理器 375
9.1 用户供应面临的挑战 375
9.2 oim概况 376
9.2.1 用户 377
9.2.2 用户组 377
9.2.3 组织 378
9.2.4 访问策略 378
9.2.5 资源对象 379
9.2.6 it 资源 380
9.3 用户供应进程 380
9.3.1 全权委托的账户供应 380
9.3.2 自助式供应 381
9.3.3 基于工作流的供应 383
9.3.4 访问策略驱动的供应 384
9.4 用户供应集成 386
9.4.1 预置的连接器 386
9.4.2 通用技术连接器 386
9.5 调和集成 387
9.6 合规性解决方案 388
9.6.1 验证 388
9.6.2 访问报表 389
9.7 oim的部署 390
9.8 小结 392
第10章 oracle目录服务 393
10.1 身份管理与ldap目录 394
10.2 oid 394
10.2.1 oid体系结构 394
10.2.2 oid同步 395
10.3 目录虚拟化和ovd 397
10.3.1 ovd 101 397
10.3.2 ovd体系结构 398
10.4 使用ovd 400
10.4.1 安装ovd 400
10.4.2 创建新的ovd服务器 400
10.4.3 使用本地存储适配器初始化虚拟ldap树 401
10.4.4 集成ovd与活动目录ldap服务器 403
10.4.5 集成ovd与oracle关系数据库 405
10.4.6 在ovd中连接信息 408
10.5 小结 414
第ⅳ部分 oracle apex和oracle商业智能安全
第11章 apex中以web为中心的安全 417
11.1 apex环境介绍 417
11.1.1 组件和配置 418
11.1.2 体系结构 418
11.1.3 apex与数据库角色 421
11.1.4 apex会话 422
11.2 增强apex实例的安全性 423
11.2.1 apex安全设置 423
11.2.2 增强应用服务器层的安全性 427
11.2.3 使用mod_security阻止基于web的攻击 433
11.2.4 ssl/tls 技术 435
11.3 保护apex 数据库架构 441
11.4 小结 444
第12章 apex安全编程实践 445
12.1 身份验证与授权 446
12.1.1 身份验证模式 446
12.1.2 自定义的用户名与口令表 446
12.1.3 授权模式 452
12.2 sql 注入 455
12.2.1 示例1:错误的方法 456
12.2.2 示例2:正确的方法 458
12.3 跨站点脚本 460
12.4 使用数据库安全功能 468
12.4.1 vpd 468
12.4.2 细粒度审计 473
12.5 小结 480
第13章 安全访问oracle bi 481
13.1 商业智能安全面临的挑战 482
13.1.1 系统用户 483
13.1.2 数据仓库的安全与事务系统的安全 483
13.2 安全的各方面 485
13.3 oracle bi访问数据的机制 486
13.3.1 体系结构 486
13.3.2 连接池 487
13.3.3 变量 489
13.4 身份验证与授权 492
13.4.1 身份验证选项 492
13.4.2 授权 498
13.5 单点登录 506
13.5.1 sso选项 506
13.5.2 sso设置的注意事项 506
13.5.3 使用oracle访问管理器实现sso 507
13.6 安全环境中的部署 511
13.6.1 ssl everywhere 511
13.6.2 加密的外向连接 512
13.7 bi缓存的安全 513
13.8 面向公众的应用程序 514
13.8.1 防火墙和隔离区 514
13.8.2 公共用户 514
13.9 小结 515
第14章 oracle bi内容与数据的安全 517
14.1 web目录内容安全 518
14.1.1 web目录组 518
14.1.2 基于文件夹的安全 519
14.1.3 ibot安全 519
14.1.4 bi publisher目录内容的安全 521
14.2 向数据库传递身份 521
14.3 oracle bi表示数据的安全 523
14.3.1 bi服务器中的安全策略 524
14.3.2 集成oracle bi与数据库安全策略 532
14.3.3 决定何时使用vpd或oracle bi的行级安全 539
14.4 oracle bi与database vault 541
14.4.1 因素与oracle bi 541
14.4.2 领域与oracle bi 542
14.5 审计 543
14.5.1 效用跟踪 544
14.5.2 数据库审计 545
14.5.3 结合效用跟踪和数据库审计 546
14.6 具有安全风险的bi功能 547
14.6.1 默认权限 547
14.6.2 以代理身份运行 548
14.6.3 直接数据库请求 551
14.6.4 advanced选项卡 554
14.6.5 直接访问bi服务器 554
14.6.6 web服务访问 555
14.7 小结 555
附录a 使用oracle bi的示例 557
2.1.1 加密的目标 22
2.1.2 基础知识 23
2.1.3 加密方法的选择 24
2.1.4 算法与密钥 24
2.2 对数据库中的数据加密 27
2.2.1 数据在何处“休眠” 28
2.2.2 数据保护 28
2.2.3 浏览数据 29
2.2.4 应用示例 31
2.2.5 数据库中的加密 31
2.3 tde解决方案 32
2.3.1 作为高级安全选项的tde 32
2.3.2 在oracle 10g中配置tde 33
2.3.3 oracle wallet 34
2.3.4 tde的密钥管理 36
2.3.5 在新表中创建加密列 37
2.3.6 查看加密列 40
2.3.7 加密已有列 41
2.3.8 tde特别说明 43
2.4 表空间加密:oracle 11g的新特性 44
2.5 oracle 11g的配置 45
2.5.1 将tde用于pci-dss 46
2.5.2 操作考量 47
2.5.3 加密数据的导出和导入 50
2.5.4 与hsm的集成 52
2.6 小结 54
第3章 应用审计与audit vault 55
3.1 监管的时代 56
3.2 出于非安全目的的审计 56
3.3 审计数据仓库 57
3.4 审计什么以及何时审计 61
3.4.1 指导原则 61
3.4.2 审计模式 62
3.4.3 其他最佳审计实践 64
3.5 从审计仓库到audit vault 66
3.6 安装选项 68
3.6.1 安装audit vault server 68
3.6.2 安装audit vault collection agent 68
3.6.3 安装说明 72
3.6.4 报表 76
3.6.5 警报 77
3.6.6 管理源数据库的审计政策 80
3.6.7 审计维护 82
3.7 小结 84
第ⅱ部分 oracle database vault
第4章 database vault介绍 89
4.1 安全缺口 90
4.1.1 权限账户的历史 90
4.1.2 安全补救 92
4.1.3 应该具有的安全特性 94
4.2 database vault组件 96
4.2.1 因素 97
4.2.2 规则 97
4.2.3 领域 98
4.2.4 命令规则 100
4.3 安装oracle database vault 101
4.3.1 安装的dbv管理角色 101
4.3.2 管理oracle dbv配置 102
4.3.3 默认的职责分离 106
4.3.4 默认的审计策略 110
4.3.5 与安全相关的默认dbv因素 111
4.4 小结 111
第5章 database vault基础 113
5.1 领域 114
5.1.1 领域保护模式 118
5.1.2 创建第一个领域 119
5.1.3 领域组件 122
5.2 命令规则 132
5.2.1 命令规则组件 134
5.2.2 命令规则支持的命令 139
5.2.3 dbv connect命令规则 139
5.3 规则集 142
5.3.1 规则集的评估模式 143
5.3.2 规则集审计 144
5.3.3 自定义事件处理程序 145
5.3.4 规则配置 147
5.3.5 dbv规则集事件函数 150
5.3.6 在规则集表达式中使用的dbv因素 151
5.4 因素 152
5.4.1 创建因素 153
5.4.2 因素标识 158
5.4.3 dbv因素与ols集成 169
5.5 dbv安全应用程序角色 189
5.6 小结 193
第6章 在自定义应用程序中使用dbv 195
6.1 假想的数据库应用环境 196
6.2 从需求到安全配置文件设计 197
6.3 需求分析技术:用例与场景 198
6.4 确定粗粒度的安全配置文件 200
6.5 确定细粒度的安全配置文件 202
6.6 基于业务或系统条件确定dbv因素 203
6.6.1 集中管理为dbv因素和规则设计的pl/sql例程 205
6.6.2 基于合规性的因素 209
6.6.3 基于利益冲突或职责分离的因素 210
6.6.4 基于组织策略的因素 211
6.6.5 基于身份管理的因素 211
6.6.6 基于访问路径或运行上下文的因素 212
6.6.7 基于时间或顺序条件的因素 213
6.6.8 基于外部数据或事件的因素 214
6.6.9 在应用程序中使用dbv因素 214
6.7 基于对象确定dbv领域及领域对象 218
6.7.1 为领域保护的对象配置标准的对象级审计 220
6.7.2 在领域保护的对象上配置rls 221
6.8 基于用例参与者确定账户、角色和dbv领域授权 221
6.8.1 dbv的安全架构 222
6.8.2 用户访问账户 225
6.8.3 基于dbv安全架构的示例实现 231
6.8.4 后期的配置账户供应 261
6.9 基于条件建立dbv命令规则 261
6.10 基于条件建立dbv安全应用程序角色 274
6.11 小结 278
第7章 在已有的应用程序中使用dbv 281
7.1 捕获审计信息的准备工作 282
7.2 捕获审计数据 283
7.3 分析审计记录 283
7.3.1 基于对象所有者账户确定dbv领域 285
7.3.2 dbv领域保护的对象 286
7.3.3 dbv领域授权 290
7.3.4 为dbv sar确定终端用户访问账户和角色 304
7.3.5 基于条件确定dbv命令规则 305
7.3.6 基于业务或系统条件确定dbv因素 312
7.3.7 精化dbv策略设计 321
7.3.8 部署和验证dbv策略 321
7.4 将dbv与oracle数据库功能集成 323
7.4.1 oracle text 324
7.4.2 oracle spatial 327
7.4.3 表达式过滤器 328
7.4.4 oracle流高级排队 331
7.4.5 透明数据加密 335
7.4.6 oracle恢复管理器 336
7.4.7 在领域保护的架构中收集统计信息 338
7.4.8 在领域保护的架构上使用explain plan功能 338
7.5 dbv数据库的高级监控和报警功能 339
7.5.1 使用oem gc对dbv进行监控和报警 339
7.5.2 扩展dbv规则集的自定义事件处理程序 342
7.6 小结 347
第ⅲ部分 身 份 管 理
第8章 身份管理体系结构设计 351
8.1 理解与身份管理相关的问题 352
8.1.1 中央发行机构 352
8.1.2 身份验证 353
8.1.3 身份传递 353
8.2 构建身份管理体系结构 354
8.2.1 身份管理发现 354
8.2.2 身份管理模式 359
8.3 oracle身份管理解决方案 364
8.3.1 用户供应 364
8.3.2 目录管理 365
8.3.3 身份验证管理 366
8.3.4 授权管理 370
8.3.5 角色挖掘和管理 373
8.4 小结 374
第9章 oracle身份管理器 375
9.1 用户供应面临的挑战 375
9.2 oim概况 376
9.2.1 用户 377
9.2.2 用户组 377
9.2.3 组织 378
9.2.4 访问策略 378
9.2.5 资源对象 379
9.2.6 it 资源 380
9.3 用户供应进程 380
9.3.1 全权委托的账户供应 380
9.3.2 自助式供应 381
9.3.3 基于工作流的供应 383
9.3.4 访问策略驱动的供应 384
9.4 用户供应集成 386
9.4.1 预置的连接器 386
9.4.2 通用技术连接器 386
9.5 调和集成 387
9.6 合规性解决方案 388
9.6.1 验证 388
9.6.2 访问报表 389
9.7 oim的部署 390
9.8 小结 392
第10章 oracle目录服务 393
10.1 身份管理与ldap目录 394
10.2 oid 394
10.2.1 oid体系结构 394
10.2.2 oid同步 395
10.3 目录虚拟化和ovd 397
10.3.1 ovd 101 397
10.3.2 ovd体系结构 398
10.4 使用ovd 400
10.4.1 安装ovd 400
10.4.2 创建新的ovd服务器 400
10.4.3 使用本地存储适配器初始化虚拟ldap树 401
10.4.4 集成ovd与活动目录ldap服务器 403
10.4.5 集成ovd与oracle关系数据库 405
10.4.6 在ovd中连接信息 408
10.5 小结 414
第ⅳ部分 oracle apex和oracle商业智能安全
第11章 apex中以web为中心的安全 417
11.1 apex环境介绍 417
11.1.1 组件和配置 418
11.1.2 体系结构 418
11.1.3 apex与数据库角色 421
11.1.4 apex会话 422
11.2 增强apex实例的安全性 423
11.2.1 apex安全设置 423
11.2.2 增强应用服务器层的安全性 427
11.2.3 使用mod_security阻止基于web的攻击 433
11.2.4 ssl/tls 技术 435
11.3 保护apex 数据库架构 441
11.4 小结 444
第12章 apex安全编程实践 445
12.1 身份验证与授权 446
12.1.1 身份验证模式 446
12.1.2 自定义的用户名与口令表 446
12.1.3 授权模式 452
12.2 sql 注入 455
12.2.1 示例1:错误的方法 456
12.2.2 示例2:正确的方法 458
12.3 跨站点脚本 460
12.4 使用数据库安全功能 468
12.4.1 vpd 468
12.4.2 细粒度审计 473
12.5 小结 480
第13章 安全访问oracle bi 481
13.1 商业智能安全面临的挑战 482
13.1.1 系统用户 483
13.1.2 数据仓库的安全与事务系统的安全 483
13.2 安全的各方面 485
13.3 oracle bi访问数据的机制 486
13.3.1 体系结构 486
13.3.2 连接池 487
13.3.3 变量 489
13.4 身份验证与授权 492
13.4.1 身份验证选项 492
13.4.2 授权 498
13.5 单点登录 506
13.5.1 sso选项 506
13.5.2 sso设置的注意事项 506
13.5.3 使用oracle访问管理器实现sso 507
13.6 安全环境中的部署 511
13.6.1 ssl everywhere 511
13.6.2 加密的外向连接 512
13.7 bi缓存的安全 513
13.8 面向公众的应用程序 514
13.8.1 防火墙和隔离区 514
13.8.2 公共用户 514
13.9 小结 515
第14章 oracle bi内容与数据的安全 517
14.1 web目录内容安全 518
14.1.1 web目录组 518
14.1.2 基于文件夹的安全 519
14.1.3 ibot安全 519
14.1.4 bi publisher目录内容的安全 521
14.2 向数据库传递身份 521
14.3 oracle bi表示数据的安全 523
14.3.1 bi服务器中的安全策略 524
14.3.2 集成oracle bi与数据库安全策略 532
14.3.3 决定何时使用vpd或oracle bi的行级安全 539
14.4 oracle bi与database vault 541
14.4.1 因素与oracle bi 541
14.4.2 领域与oracle bi 542
14.5 审计 543
14.5.1 效用跟踪 544
14.5.2 数据库审计 545
14.5.3 结合效用跟踪和数据库审计 546
14.6 具有安全风险的bi功能 547
14.6.1 默认权限 547
14.6.2 以代理身份运行 548
14.6.3 直接数据库请求 551
14.6.4 advanced选项卡 554
14.6.5 直接访问bi服务器 554
14.6.6 web服务访问 555
14.7 小结 555
附录a 使用oracle bi的示例 557
译者序
本书是David C. Knox继Effective Oracle Database 10g Security By Design(McGraw-Hill出版社2004年出版)之后的又一力作,得到了Oracle官方技术网站OTN(Oracle Technology Network)的极力推荐。所有作者都是来自Oracle内部的资深研发和工程人员,很多人曾经是Oracle Database Vault等杰出的安全产品研发团队中的成员。他们对于Oracle的安全机制如数家珍,讲解起来可以追根溯源、深入浅出,对于很多关键机制的讲解更会使您有醍醐灌顶之感。整本书围绕几个简单的安全实例(基于Oracle示例数据库)展开,将各种安全机制和技术融入其中,相互辅衬,前后关联。认真读来,可以更深入地理解如何灵活自如地运用Oracle安全机制。
随着社会的进步,敏感数据越来越多,人们更加关注自己的隐私问题,各种法律法规对企业数据操作的监管也越来越严格。在这样的背景下,Oracle的安全研发人员一直努力在完善自己的安全机制:为了解决特权账户带来的风险,防范内部人员的攻击,研发了Oracle Database Vault;为了符合新的法律规定,设计实现了更加先进的身份管理策略和细粒度的审计策略。可以说Oracle一直在坚持不懈地努力,尽其所能帮助客户解决安全隐患。而本书无疑是对11g中新的安全特性的最权威解读。同时,在您企业的信息系统中,使用Oracle提供的最新安全防护机制是保护敏感数据的最有效途径。
本书是一本理论性和实践性都很强的书,因为作者相信“您对安全组件的架构和原理了解得越多,就越能够有效地降低安全风险”。所以在使用本书时,要先从宏观上掌握Oracle安全体系的整体脉络和原理。如孔子所言“学而不思则罔,思而不学则殆”,在阅读本书的时候,也要“读”“思”并举,尤其要积极思索各种技术的动机和用途,深入理解作者提出的种种安全原理,并将各个分散的部分在头脑中组建成一个有机整体。
“实践出真知”,建议您在阅读的过程中也不断地动手实践,对书中的实例亲自调试运行,最好能够结合自己的工作,做到举一反三,灵活运用。
本书由孟祥旭和唐扬斌翻译。敬请广大读者提供反馈意见,读者可以将意见发到[email protected],我们会仔细查阅读者发来的每一封邮件,以求进一步提高今后译著的质量。由于译者水平有限,时间紧迫,故译文中必定存在很多不足之处,希望读者能够谅解,并不吝斧正。真心希望我们的工作能够给您的工作和学习带来帮助,也希望通过您的安全实践给社会带来更多的安全收益!
本书是David C. Knox继Effective Oracle Database 10g Security By Design(McGraw-Hill出版社2004年出版)之后的又一力作,得到了Oracle官方技术网站OTN(Oracle Technology Network)的极力推荐。所有作者都是来自Oracle内部的资深研发和工程人员,很多人曾经是Oracle Database Vault等杰出的安全产品研发团队中的成员。他们对于Oracle的安全机制如数家珍,讲解起来可以追根溯源、深入浅出,对于很多关键机制的讲解更会使您有醍醐灌顶之感。整本书围绕几个简单的安全实例(基于Oracle示例数据库)展开,将各种安全机制和技术融入其中,相互辅衬,前后关联。认真读来,可以更深入地理解如何灵活自如地运用Oracle安全机制。
随着社会的进步,敏感数据越来越多,人们更加关注自己的隐私问题,各种法律法规对企业数据操作的监管也越来越严格。在这样的背景下,Oracle的安全研发人员一直努力在完善自己的安全机制:为了解决特权账户带来的风险,防范内部人员的攻击,研发了Oracle Database Vault;为了符合新的法律规定,设计实现了更加先进的身份管理策略和细粒度的审计策略。可以说Oracle一直在坚持不懈地努力,尽其所能帮助客户解决安全隐患。而本书无疑是对11g中新的安全特性的最权威解读。同时,在您企业的信息系统中,使用Oracle提供的最新安全防护机制是保护敏感数据的最有效途径。
本书是一本理论性和实践性都很强的书,因为作者相信“您对安全组件的架构和原理了解得越多,就越能够有效地降低安全风险”。所以在使用本书时,要先从宏观上掌握Oracle安全体系的整体脉络和原理。如孔子所言“学而不思则罔,思而不学则殆”,在阅读本书的时候,也要“读”“思”并举,尤其要积极思索各种技术的动机和用途,深入理解作者提出的种种安全原理,并将各个分散的部分在头脑中组建成一个有机整体。
“实践出真知”,建议您在阅读的过程中也不断地动手实践,对书中的实例亲自调试运行,最好能够结合自己的工作,做到举一反三,灵活运用。
本书由孟祥旭和唐扬斌翻译。敬请广大读者提供反馈意见,读者可以将意见发到[email protected],我们会仔细查阅读者发来的每一封邮件,以求进一步提高今后译著的质量。由于译者水平有限,时间紧迫,故译文中必定存在很多不足之处,希望读者能够谅解,并不吝斧正。真心希望我们的工作能够给您的工作和学习带来帮助,也希望通过您的安全实践给社会带来更多的安全收益!
本书是David C. Knox继Effective Oracle Database 10g Security By Design(McGraw-Hill出版社2004年出版)之后的又一力作,得到了Oracle官方技术网站OTN(Oracle Technology Network)的极力推荐。所有作者都是来自Oracle内部的资深研发和工程人员,很多人曾经是Oracle Database Vault等杰出的安全产品研发团队中的成员。他们对于Oracle的安全机制如数家珍,讲解起来可以追根溯源、深入浅出,对于很多关键机制的讲解更会使您有醍醐灌顶之感。整本书围绕几个简单的安全实例(基于Oracle示例数据库)展开,将各种安全机制和技术融入其中,相互辅衬,前后关联。认真读来,可以更深入地理解如何灵活自如地运用Oracle安全机制。
随着社会的进步,敏感数据越来越多,人们更加关注自己的隐私问题,各种法律法规对企业数据操作的监管也越来越严格。在这样的背景下,Oracle的安全研发人员一直努力在完善自己的安全机制:为了解决特权账户带来的风险,防范内部人员的攻击,研发了Oracle Database Vault;为了符合新的法律规定,设计实现了更加先进的身份管理策略和细粒度的审计策略。可以说Oracle一直在坚持不懈地努力,尽其所能帮助客户解决安全隐患。而本书无疑是对11g中新的安全特性的最权威解读。同时,在您企业的信息系统中,使用Oracle提供的最新安全防护机制是保护敏感数据的最有效途径。
本书是一本理论性和实践性都很强的书,因为作者相信“您对安全组件的架构和原理了解得越多,就越能够有效地降低安全风险”。所以在使用本书时,要先从宏观上掌握Oracle安全体系的整体脉络和原理。如孔子所言“学而不思则罔,思而不学则殆”,在阅读本书的时候,也要“读”“思”并举,尤其要积极思索各种技术的动机和用途,深入理解作者提出的种种安全原理,并将各个分散的部分在头脑中组建成一个有机整体。
“实践出真知”,建议您在阅读的过程中也不断地动手实践,对书中的实例亲自调试运行,最好能够结合自己的工作,做到举一反三,灵活运用。
本书由孟祥旭和唐扬斌翻译。敬请广大读者提供反馈意见,读者可以将意见发到[email protected],我们会仔细查阅读者发来的每一封邮件,以求进一步提高今后译著的质量。由于译者水平有限,时间紧迫,故译文中必定存在很多不足之处,希望读者能够谅解,并不吝斧正。真心希望我们的工作能够给您的工作和学习带来帮助,也希望通过您的安全实践给社会带来更多的安全收益!
本书是David C. Knox继Effective Oracle Database 10g Security By Design(McGraw-Hill出版社2004年出版)之后的又一力作,得到了Oracle官方技术网站OTN(Oracle Technology Network)的极力推荐。所有作者都是来自Oracle内部的资深研发和工程人员,很多人曾经是Oracle Database Vault等杰出的安全产品研发团队中的成员。他们对于Oracle的安全机制如数家珍,讲解起来可以追根溯源、深入浅出,对于很多关键机制的讲解更会使您有醍醐灌顶之感。整本书围绕几个简单的安全实例(基于Oracle示例数据库)展开,将各种安全机制和技术融入其中,相互辅衬,前后关联。认真读来,可以更深入地理解如何灵活自如地运用Oracle安全机制。
随着社会的进步,敏感数据越来越多,人们更加关注自己的隐私问题,各种法律法规对企业数据操作的监管也越来越严格。在这样的背景下,Oracle的安全研发人员一直努力在完善自己的安全机制:为了解决特权账户带来的风险,防范内部人员的攻击,研发了Oracle Database Vault;为了符合新的法律规定,设计实现了更加先进的身份管理策略和细粒度的审计策略。可以说Oracle一直在坚持不懈地努力,尽其所能帮助客户解决安全隐患。而本书无疑是对11g中新的安全特性的最权威解读。同时,在您企业的信息系统中,使用Oracle提供的最新安全防护机制是保护敏感数据的最有效途径。
本书是一本理论性和实践性都很强的书,因为作者相信“您对安全组件的架构和原理了解得越多,就越能够有效地降低安全风险”。所以在使用本书时,要先从宏观上掌握Oracle安全体系的整体脉络和原理。如孔子所言“学而不思则罔,思而不学则殆”,在阅读本书的时候,也要“读”“思”并举,尤其要积极思索各种技术的动机和用途,深入理解作者提出的种种安全原理,并将各个分散的部分在头脑中组建成一个有机整体。
“实践出真知”,建议您在阅读的过程中也不断地动手实践,对书中的实例亲自调试运行,最好能够结合自己的工作,做到举一反三,灵活运用。
本书由孟祥旭和唐扬斌翻译。敬请广大读者提供反馈意见,读者可以将意见发到 [email protected] ,我们会仔细查阅读者发来的每一封邮件,以求进一步提高今后译著的质量。由于译者水平有限,时间紧迫,故译文中必定存在很多不足之处,希望读者能够谅解,并不吝斧正。真心希望我们的工作能够给您的工作和学习带来帮助,也希望通过您的安全实践给社会带来更多的安全收益!
序言:
Oracle业务的核心是信息:信息的管理、信息的利用及信息安全。作为Oracle的首席架构师,我不仅仅要确保我们的技术能够为客户创造价值,还包括使之以可靠的方式实现。在我经历过的每一次对客户经理的访问中,都会谈及安全问题,因为其重要性毋庸置疑。今天,安全、隐私及信息的监管对每个人来说都是最重要的事情。对于每个人,它们早已不是“锦上添花”的奢侈品,而是“不可或缺”的实际需求。正因为如此,人们一直都在努力寻找各种途径,确保自己已经完成了满足这些需求所需完成的任务。
本书讲解了从体系结构、设计场景到Oracle编码配置等多方面的内容,其目的是帮助Oracle客户实现可靠的信息安全系统。本书最引人注目之处在于它完全由Oracle内部的专家编写。几位作者都是每天为实际客户寻求安全方案的顶尖工程师。Oracle的许多产品和技术正是诞生于在这些专家与一线客户实际接触所积累下的丰富经验之上的。
毫无疑问,您一定会在本书中找到非常深入和有价值的信息。建议您从头开始仔细地阅读本书,及时在重要的地方做好书签,当然,最重要的,应该是亲自动手,将其中的方法和建议付诸实践。
———Edward Screven
Oracle公司首席架构师
本书讲解了从体系结构、设计场景到Oracle编码配置等多方面的内容,其目的是帮助Oracle客户实现可靠的信息安全系统。本书最引人注目之处在于它完全由Oracle内部的专家编写。几位作者都是每天为实际客户寻求安全方案的顶尖工程师。Oracle的许多产品和技术正是诞生于在这些专家与一线客户实际接触所积累下的丰富经验之上的。
毫无疑问,您一定会在本书中找到非常深入和有价值的信息。建议您从头开始仔细地阅读本书,及时在重要的地方做好书签,当然,最重要的,应该是亲自动手,将其中的方法和建议付诸实践。
———Edward Screven
Oracle公司首席架构师