Oracle資料庫10g的安全性和身份管理

Oracle資料庫10g的安全性和身份管理

　　作者:Michael Miley

　　Oracle資料庫10g為Oracle身份管理提供了一種安全、可伸縮的基礎。Oracle互連網目錄(OID)是作為一個運行在Oracle資料庫10g上的應用程式來實施的，使 OID能夠在一個單一伺服器上或者某個網格中的各個節點上支援數T位元組的目錄資訊。 Oracle資料庫10g憑藉諸如虛擬私人資料庫等這樣強大的功能來保護未經處理資料。重要的資料庫安全性特性包括:

　　企業使用者安全性。Oracle資料庫10g的企業使用者安全性特性，涵蓋企業存取權限管理和共用的模式(schemas)，允許每個使用者訪問資料，同時支援在Oracle互連網目錄中進行集中的使用者管理。 使用者權限(由角色來體現)和對象約束條件(由存取控制清單來體現)可以儲存在OID 資料庫中。

　　虛擬私人資料庫。虛擬私人資料庫(VPD)允許開發人員將安全政策附加到應用程式表、視圖或同義字中。 安全性政策可以使用安全應用上下文(Secure Application Context)來確定如何運用這個政策。 Oracle資料庫10g還在虛擬私人資料庫中引入了與列相關的安全性政策執行機制，以及可以選擇的列遮蔽機制。

　　Oracle標籤安全性。Oracle資料庫10g允許在Oracle身份管理基礎設施中集中建立Oracle 標籤安全性政策。通過使用Oracle互連網目錄，人們可以在一個集中的位置建立Oracle標籤安全性政策，從而簡化在企業或網格中的所有資料庫中進行安全性保障和管理的過程。可以在一個位置管理機構的敏感性標籤及應用程式使用者安全性許可證。

　　細粒度的審計。任何有效安全性政策的一個重要方面都是維護系統的活動記錄，來確保使用者對自己的行為負責。 Oracle在Oracle資料庫的現有強大而全面的審計功能的基礎上，又納入了細粒度的審計功能。如果使用者錯誤地使用了資料存取權限，則這種功能可以作為機構的預警系統，也可以作為對資料庫本身入侵的檢測系統。

　　代理認證。Oracle資料庫10g支援代理認證，它通過允許將一個SSL認證(X.509認證或DN)傳送到資料庫來識別(而不是認證)使用者，從而提供三層安全性功能。該資料庫利用DN或認證，在Oracle互連網目錄或另一個基於LDAP的目錄中尋找使用者。代理認證與Oracle企業使用者安全性的整合還使使用者身份能夠在一個應用程式的所有層面上得到維護，而對使用者只需在目錄中建立一次即可。

　　Oracle進階安全性，Oracle進階安全性利用企業現有的安全架構來提供一些功能強大的認證解決方案，其中包括Kerberos、公用密鑰密碼技術、RADIUS和針對Oracle資料庫10g的分散式運算環境。本版本中的一項新功能是通過儲存在檔案系統、Oracle互連網目錄或CRL分部點(Distribution Points)中的認證撤銷清單來檢查X509v3認證撤銷資訊的功能。