第Ⅰ部分Oracle数据库安全新特性 3
第1章 安全蓝图与新思路 3
1.1本书内容 4
1.1.1背景信息 4
1.1.2内容组织 5
1.2当前的数据库安全技术 5
1.3安全动机 8
1.3.1敏感数据分类 9
1.3.2原则 10
1.4安全数据库架构建模 12
1.4.1架构配置 12
1.4.2对象所有者账户 13
1.4.3用户访问账户 14
1.5开始工作 15
1.5.1用户配置 16
1.5.2架构命名 17
1.5.3安全体系结构检查表 18
1.6小结 18
第2章 透明数据加密 21
2.1口令学基础 22
2.1.1加密的目标 22
2.1.2基础知识 23
2.1.3加密方法的选择 24
2.1.4算法与密钥 24
2.2对数据库中的数据加密 27
2.2.1数据在何处“休眠” 28
2.2.2数据保护 28
2.2.3浏览数据 29
2.2.4应用示例 31
2.2.5数据库中的加密 31
2.3 TDE解决方案 32
2.3.1作为高级安全选项的TDE 32
2.3.2在Oracle 10g中配置TDE 33
2.3.3 Oracle Wallet 34
2.3.4 TDE的密钥管理 36
2.3.5在新表中创建加密列 37
2.3.6查看加密列 40
2.3.7加密已有列 41
2.3.8 TDE特别说明 43
2.4表空间加密:Oracle 11g的新特性 44
2.5 Oracle l 1g的配置 45
2.5.1将TDE用于PCI-DSS 46
2.5.2操作考量 47
2.5.3加密数据的导出和导入 50
2.5.4与HSM的集成 52
2.6小结 54
第3章 应用审计与Audit Vault 55
3.1监管的时代 56
3.2出于非安全目的的审计 56
3.3审计数据仓库 57
3.4审计什么以及何时审计 61
3.4.1指导原则 61
3.4.2审计模式 62
3.4.3其他最佳审计实践 64
3.5从审计仓库到Audit Vault 66
3.6安装选项 68
3.6.1安装Audit Vault Server 68
3.6.2安装Audit Vault Collection Agent 68
3.6.3安装说明 72
3.6.4报表 76
3.6.5警报 77
3.6.6管理源数据库的审计政策 80
3.6.7审计维护 82
3.7小结 84
第Ⅱ部分Oracle Database Vault 89
第4章Database Vault介绍 89
4.1安全缺口 90
4.1.1权限账户的历史 90
4.1.2安全补救 92
4.1.3应该具有的安全特性 94
4.2 Database Vault组件 96
4.2.1因素 97
4.2.2规则 97
4.2.3领域 98
4.2.4命令规则 100
4.3安装Oracle Database Vault 101
4.3.1安装的DBV管理角色 101
4.3.2管理Oracle DBV配置 102
4.3.3默认的职责分离 106
4.3.4默认的审计策略 110
4.3.5与安全相关的默认DBV因素 111
4.4小结 111
第5章Database Vault基础 113
5.1领域 114
5.1.1领域保护模式 118
5.1.2创建第一个领域 119
5.1.3领域组件 122
5.2命令规则 132
5.2.1命令规则组件 134
5.2.2命令规则支持的命令 139
5.2.3 DBV CONNECT命令规则 139
5.3规则集 142
5.3.1规则集的评估模式 143
5.3.2规则集审计 144
5.3.3自定义事件处理程序 145
5.3.4规则配置 147
5.3.5 DBV规则集事件函数 150
5.3.6在规则集表达式中使用的DBV因素 151
5.4因素 152
5.4.1创建因素 153
5.4.2因素标识 158
5.4.3 DBV因素与OLS集成 169
5.5 DBV安全应用程序角色 189
5.6小结 193
第6章 在自定义应用程序中使用DBV 195
6.1假想的数据库应用环境 196
6.2从需求到安全配置文件设计 197
6.3需求分析技术:用例与场景 198
6.4确定粗粒度的安全配置文件 200
6.5确定细粒度的安全配置文件 202
6.6基于业务或系统条件确定DBV因素 203
6.6.1集中管理为DBV因素和规则设计的PL/SQL例程 205
6.6.2基于合规性的因素 209
6.6.3基于利益冲突或职责分离的因素 210
6.6.4基于组织策略的因素 211
6.6.5基于身份管理的因素 211
6.6.6基于访问路径或运行上下文的因素 212
6.6.7基于时间或顺序条件的因素 213
6.6.8基于外部数据或事件的因素 214
6.6.9在应用程序中使用DBV因素 214
6.7基于对象确定DBV领域及领域对象 218
6.7.1为领域保护的对象配置标准的对象级审计 220
6.7.2在领域保护的对象上配置RLS 221
6.8基于用例参与者确定账户、角色和DBV领域授权 221
6.8.1 DBV的安全架构 222
6.8.2用户访问账户 225
6.8.3基于DBV安全架构的示例实现 231
6.8.4后期的配置账户供应 261
6.9基于条件建立DBV命令规则 261
6.10基于条件建立DBV安全应用程序角色 274
6.11小结 278
第7章 在已有的应用程序中使用DBV 281
7.1捕获审计信息的准备工作 282
7.2捕获审计数据 283
7.3分析审计记录 283
7.3.1基于对象所有者账户确定DBV领域 285
7.3.2 DBV领域保护的对象 286
7.3.3 DBV领域授权 290
7.3.4为DBV SAR确定终端用户访问账户和角色 304
7.3.5基于条件确定DBV命令规则 305
7.3.6基于业务或系统条件确定DBV因素 312
7.3.7精化DBV策略设计 321
7.3.8部署和验证DBV策略 321
7.4将DBV与Oracle数据库功能集成 323
7.4.1 Oracle Text 324
7.4.2 Oracle Spatial 327
7.4.3表达式过滤器 328
7.4.4 Oracle流高级排队 331
7.4.5透明数据加密 335
7.4.6 Oracle恢复管理器 336
7.4.7在领域保护的架构中收集统计信息 338
7.4.8在领域保护的架构上使用EXPLAIN PLAN功能 338
7.5 DBV数据库的高级监控和报警功能 339
7.5.1使用OEM GC对DBV进行监控和报警 339
7.5.2扩展DBV规则集的自定义事件处理程序 342
7.6小结 347
第Ⅲ部分 身份管理 351
第8章 身份管理体系结构设计 351
8.1理解与身份管理相关的问题 352
8.1.1中央发行机构 352
8.1.2身份验证 353
8.1.3身份传递 353
8.2构建身份管理体系结构 354
8.2.1身份管理发现 354
8.2.2身份管理模式 359
8.3 Oracle身份管理解决方案 364
8.3.1用户供应 364
8.3.2目录管理 365
8.3.3身份验证管理 366
8.3.4授权管理 370
8.3.5角色挖掘和管理 373
8.4小结 374
第9章Oracle身份管理器 375
9.1用户供应面临的挑战 375
9.2 OIM概况 376
9.2.1用户 377
9.2.2用户组 377
9.2.3组织 378
9.2.4访问策略 378
9.2.5资源对象 379
9.2.6 IT资源 380
9.3用户供应进程 380
9.3.1全权委托的账户供应 380
9.3.2自助式供应 381
9.3.3基于工作流的供应 383
9.3.4访问策略驱动的供应 384
9.4用户供应集成 386
9.4.1预置的连接器 386
9.4.2通用技术连接器 386
9.5调和集成 387
9.6合规性解决方案 388
9.6.1验证 388
9.6.2访问报表 389
9.7 OIM的部署 390
9.8小结 392
第10章Oracle目录服务 393
10.1身份管理与LDAP目录 394
10.2 OID 394
10.2.1 OID体系结构 394
10.2.2 OID同步 395
10.3目录虚拟化和OVD 397
10.3.1 OVD 101 397
10.3.2 OVD体系结构 398
10.4使用OVD 400
10.4.1安装OVD 400
10.4.2创建新的OVD 服务器 400
10.4.3使用本地存储适配器初始化虚拟LDAP树 401
10.4.4集成OVD与活动目录LDAP服务器 403
10.4.5集成OVD与Oracle关系数据库 405
10.4.6在OVD中连接信息 408
10.5小结 414
第Ⅳ部分Oracle APEX和Oracle商业智能安全 417
第11章APEX中以Web为中心的安全 417
11.1 APEX环境介绍 417
11.1.1组件和配置 418
11.1.2体系结构 418
11.1.3 APEX与数据库角色 421
11.1.4 APEX会话 422
11.2增强APEX实例的安全性 423
11.2.1 APEX安全设置 423
11.2.2增强应用服务器层的安全性 427
11.2.3使用mod security阻止基于Web的攻击 433
11.2.4 SSL/TLS技术 435
11.3保护APEX数据库架构 441
11.4小结 444
第12章APEX安全编程实践 445
12.1身份验证与授权 446
12.1.1身份验证模式 446
12.1.2自定义的用户名与口令表 446
12.1.3授权模式 452
12.2 SQL注入 455
12.2.1示例1:错误的方法 456
12.2.2示例2:正确的方法 458
12.3跨站点脚本 460
12.4使用数据库安全功能 468
12.4.1 VPD 468
12.4.2细粒度审计 473
12.5小结 480
第13章 安全访问Oracle BI 481
13.1商业智能安全面临的挑战 482
13.1.1系统用户 483
13.1.2数据仓库的安全与事务系统的安全 483
13.2安全的各方面 485
13.3 Oracle BI访问数据的机制 486
13.3.1体系结构 486
13.3.2连接池 487
13.3.3变量 489
13.4身份验证与授权 492
13.4.1身份验证选项 492
13.4.2授权 498
13.5单点登录 506
13.5.1 SSO选项 506
13.5.2 SSO设置的注意事项 506
13.5.3使用Oracle访问管理器实现SSO 507
13.6安全环境中的部署 511
13.6.1 SSL Everywhere 511
13.6.2加密的外向连接 512
13.7 BI缓存的安全 513
13.8面向公众的应用程序 514
13.8.1防火墙和隔离区 514
13.8.2公共用户 514
13.9小结 515
第14章Oracle BI内容与数据的安全 517
14.1 Web目录内容安全 518
14.1.1 Web目录组 518
14.1.2基于文件夹的安全 519
14.1.3 iBot安全 519
14.1.4 BI Publisher目录内容的安全 521
14.2向数据库传递身份 521
14.3 Oracle BI表示数据的安全 523
14.3.1 BI服务器中的安全策略 524
14.3.2集成Oracle BI与数据库安全策略 532
14.3.3决定何时使用VPD或Oracle BI的行级安全 539
14.4 Oracle BI与Database Vault 541
14.4.1因素与Oracle BI 541
14.4.2领域与Oracle BI 542
14.5审计 543
14.5.1效用跟踪 544
14.5.2数据库审计 545
14.5.3结合效用跟踪和数据库审计 546
14.6具有安全风险的BI功能 547
14.6.1默认权限 547
14.6.2以代理身份运行 548
14.6.3直接数据库请求 551
14.6.4 Advanced选项卡 554
14.6.5直接访问BI服务器 554
14.6.6 Web服务访问 555
14.7小结 555
附录A使用Oracle BI的示例 557