日期:2013-03-23 浏览次数:20678 次
Oracle数据库10g的安全性和身份管理
作者:Michael Miley
Oracle数据库10g为Oracle身份管理提供了一种安全、可伸缩的基础。Oracle互联网目录(OID)是作为一个运转在Oracle数据库10g上的使用程序来实施的,使 OID能够在一个单一服务器上或者某个网格中的各个节点上支持数T字节的目录信息。 Oracle数据库10g凭仗诸如虚拟私无数据库等这样强大的功用来保护原始数据。重要的数据库安全性特性包括:
企业用户安全性。Oracle数据库10g的企业用户安全性特性,涵盖企业访问权限管理和共享的模式(schemas),允许每个用户访问数据,同时支持在Oracle互联网目录中进行集中的用户管理。 用户权限(由角色来体现)和对象约束条件(由访问控制清单来体现)可以存储在OID 数据库中。
虚拟私无数据库。虚拟私无数据库(VPD)允许开发人员将安全政策附加到使用程序表、视图或同义词中。 安全性政策可以使用安全使用上下文(Secure Application Context)来确定如何运用这个政策。 Oracle数据库10g还在虚拟私无数据库中引入了与列相关的安全性政策执行机制,以及可以选择的列遮盖机制。
Oracle标签安全性。Oracle数据库10g允许在Oracle身份管理基础设备中集中创建Oracle 标签安全性政策。通过使用Oracle互联网目录,人们可以在一个集中的位置创建Oracle标签安全性政策,从而简化在企业或网格中的所无数据库中进行安全性保障和管理的过程。可以在一个位置管理机构的敏感性标签及使用程序用户安全性答应证。
细粒度的审计。任何无效的安全性政策的一个重要方面都是维护系统的活动记录,来确保用户对本人的行为担任。 Oracle在Oracle数据库的现有强大而全面的审计功用的基础上,又纳入了细粒度的审计功用。如果用户错误地使用了数据访问权限,则这种功用可以作为机构的预警系统,也可以作为对数据库本身入侵的检测系统。
代理认证。Oracle数据库10g支持代理认证,它通过允许将一个SSL证书(X.509证书或DN)传送到数据库来识别(而不是认证)用户,从而提供三层安全性功用。该数据库利用DN或证书,在Oracle互联网目录或另一个基于LDAP的目录中查找用户。代理认证与Oracle企业用户安全性的集成还使用户身份能够在一个使用程序的所有层面上得到维护,而对用户只需在目录中创建一次即可。
Oracle高级安全性,Oracle高级安全性利用企业现有的安全框架来提供一些功用强大的认证处理方案,其中包括Kerberos、公共密钥密码技术、RADIUS和针对Oracle数据库10g的分布式计算环境。本版本中的一项新功用是通过存储在文件系统、Oracle互联网目录或CRL分部点(Distribution Points)中的证书撤销清单来检查X509v3证书撤销信息的功用。