致谢 1
作者简介 1
技术编辑 1
第1章 Oracle安全概述 1
引言 2
Oracle安全特性的历史简介 2
权限控制 3
网络 4
审计 5
口令管理 6
数据分区 8
Oraclw 10g和更高版本 10
管理环境驱动的数据库安全 11
主要的数据窃取事件 14
CardSystems Solutions—2005年6月 14
ChoicePoint—2005年2月 15
TJX—2007年1月 15
退伍军人事务部—2006年5月 16
渐进地保证Oracle安全 17
对每个种类数据库系统合适的安全 18
小结 19
快速解决方案 20
常见问题 21
第2章 文件系统 23
引言 24
了解文件 24
数据 25
日志 30
软件 31
检查推荐的许可 33
操作系统基础 33
软件许可 34
非软件许可 35
管理变更 35
小结 36
快速解决方案 36
常见问题 37
第3章 TNS监听器安全 39
引言 40
TNS监听器介绍 40
监听器组件 40
监听器命令 42
Oracle 10g监听器变更 43
监听器可能是攻击缺陷的主要来源 43
由于设计导致的监听器缺陷 44
不存在账号停用 44
以明文传输的口令 44
使用口令或者哈希口令的验证 45
通过应用Oracle补丁集和CPU来修补监听器缺陷 45
监听器DoS攻击 45
监听器缓存区溢出攻击 47
保证监听器配置安全 48
监听器安全/监听器口令 48
ADMIN_RESTRICTIONS 48
监听器日志和跟踪 49
ExtProc 51
有效的节点检查 54
小结 55
快速解决方案 55
常见问题 57
第4章 管理默认账号 59
引言 60
从9i到10g的Oracle默认账号角色 61
默认账号 62
锁定账号和中止默认口令 72
配置强口令 73
解除账号锁定和配置强口令 74
Oracle的哈希口令算法 74
定义强口令 75
配置强口令 76
自动控制鉴别默认账号的过程 77
创建自己的默认口令扫描脚本 77
使用一种免费可用的默认口令扫描器 78
使用一种商业化的数据库缺陷扫描器 79
小结 80
快速解决方案 81
常见问题 82
第5章 PUBLIC特权 85
引言 86
PUBLIC组 86
简单介绍:Oracle特权和角色 87
授予PUBLIC的角色 92
敏感函数上的默认特权 92
DBMS_RANDOM 93
UTL_FILE 93
UTL_HTTP 96
UTL_SMTP 97
UTL_TCP 97
从来不应该授予PUBLIC的特权 97
系统特权 98
SYS模式中的对象特权 101
使用一般的意义 102
小结 102
快速解决方案 102
常见问题 103
第6章 软件升级 105
引言 106
理解Oracle的软件补丁思想 106
安全 107
成本 110
平台 110
检查CPU 111
评估风险矩阵 111
作用于安全顾问 113
安装关键的补丁升级 115
计划 115
测试和配置 116
评估安全警告 117
小结 117
快速解决方案 118
常见问题 119
第7章 口令和口令管理 121
引言 122
配置强口令 122
什么使口令变弱? 122
非生产系统的口令 124
使用Oracle配置文件进行口令管理 125
Oracle配置文件 125
失败的登录尝试 126
口令生命周期 126
PASSWORD_REUSE_MAX 127
口令重用时间 128
口令锁定时间 128
口令弹性时间 128
口令验证功能 128
分配配置文件给用户 129
操作系统验证 131
远程操作系统验证 131
操作系统验证前缀 132
创建并鉴别操作系统验证的用户 133
对弱口令的自动扫描 133
免费口令扫描器 135
商业的口令扫描器 136
小结 137
快速解决方案 138
常见问题 139
第8章 数据库事件监测 141
引言 142
数据库入侵101 142
映射SQL 143
HTTP服务器 144
直接访问数据库 144
Oracle监听器 146
探测已知的攻击模式 147
检测可疑的事件 149
追踪攻击者 151
遵循政府法规和行业规则 152
Sarbanes-Oxley Act 153
Gramm-Leach-Bliley Act 153
加利福尼亚参议员议案1386 153
健康保险:可携带和可说明性的操作 154
支付卡的行业数据安全标准 154
小结 151
快速解决方案 155
常见问题 156
第9章 执行指南 157
引言 158
开始 158
执行基本安全 160
执行最佳实践 161
锁定你的数据库 162
小结 164
快速解决方案 164
常见问题 165