数据库访问限制：保障数据安全 (限制用户访问数据库)

数据库是现代信息技术领域中的重要组成部分，被广泛应用于企业、等机构的信息系统中，承载着大量的敏感信息。由于数据库中的数据对于机构的运营和发展至关重要，在保障数据安全方面也变得尤为重要。其中，数据库访问限制是确保数据库安全的关键。

一、数据库访问控制的基本概念

数据库访问控制是通过设置安全访问控制策略，保护数据库免受非法或未授权的访问、操作，以及其它安全风险的攻击。主要包括数据源的访问控制和安全防护措施的设置两个方面。

数据源的访问控制包括：用户身份验证、角色维护和数据库权限控制。数据库管理员可以通过用户身份验证机制实现各类用户身份识别，通过角色维护机制实现不同用户之间的 数据访问权限、功能操作权限的管理，实现细粒度的访问控制 。数据权限控制机制则可限制用户可对数据表进行的操作，如增、删、改、查等。

安全防护措施的设置包括：传输协议加密、操作审计和安全策略控制。楼盘管理员可以通过数据传输流程进行加密，实现对数据传输流程的保密。操作审计技术则可记录并追踪所有的数据库操作过程和行为，以发现异常的操作和访问行为等，从而预防可能的安全 风险，确保安全访问。安全策略控制则可设置安全策略制定与执行过程，限制不当的操作和使用行为。

二、数据库访问控制的关键作用

数据库访问限制是有效保障数据库安全的重要手段，其具有以下关键作用：

1、保障数据安全：通过访问控制实现对不同用户/角色对数据库的访问限制，确保只有合法、正当的用户才能对数据库进行操作，从而有效地保障数据的安全。

2、识别和排除风险：通过细粒度的权限控制机制可以识别风险扫描、非法侵入等不安全事件，从而排除安全风险，同时及时定位存在的安全问题，进一步提高数据库的安全性。

3、保护数据库层次：数据库权限限制功能允许管理员控制数据访问的范围和级别，保护数据库层次、保持数据完整性以及凝练用户权限。

4、降低数据泄露风险：访问控制功能还允许授权特定用户访问指定数据，从而防止因特定权限导致大量数据泄露等安全漏洞。

三、安全性质量标准

针对数据限制的安全特点，当前研究互补性侧重点几乎都是对数据安全技术的特定关注，对于对安全性质量标准，实现标准的基本要求还需重新进行阐述，确保安全保障方案的有效性和有效性。

安全性质量标准旨在建立安全规范体系，确保安全保障措施的可靠性和有效性，一般包括以下方面：易用性、稳定性、可维护性、可扩展性、灵活性和安全性等；其中，安全性质量标准扮演着基础性的角色，可以反映系统整体的安全能力。

四、对数据安全策略的思考

在今天数据安全“泄密”情况频频发生的背景下，对于数据安全策略的思考与改进尤为重要。可以从以下几方面入手：

1、完善管理员能力：管理者在对数据库的运维过程中，应提高数据管理能力、加强对数据访问限制的控制，提高对敏感信息在数据库中的处理方式，确保数据的实时保密。

2、完善技术手段：应加强对数据库核心应用程序管理的设备和应用程序更新，以及数据库防护相应技术手段、数据库防护模块管理的效能监督，确保数据库运营系统的健康发展。

3、完善安全机制：应加强对外部威胁的检测和处理，加强对用户或威胁行为的检测，设置合理的安全防护措施。

四、结论

综上所述，数据库访问限制是确保机构数据安全的重要手段。通过对数据源的访问控制和安全防护措施的设置，可以保障数据的安全，还可以识别和排除风险，保护数据库层次，降低数据泄露风险。同时，应适度提高管理员的管理能力、加强技术手段改进、完善安全机制等各方面的措施，确保数据安全策略的有效性和可靠性。

相关问题拓展阅读：

• Oracle数据库安全

Oracle数据库安全

导读：随着计算机的普及以及网络的发展，数据库已经不再仅仅是那些程序员所专有的话题，更是被很多人所熟悉的，数据安全已经不再是以前的“老生长谈”，也更不是以前书本上那些“可望不可及”的条条框框。同时，安全问题也是现今最为热门的话题，也是企业比较关心的问题，可见安全问题的重要性，那就大家一起来探讨一下Oracle数据库安全问题。

以下就数据库唤悉闷系统不被非法用户侵入这个问题作进一步的阐述。

一、组和安全性：

在操作系统下建立用户组也是保证数据库安全性的一种有效方法。Oracle程序为了安全性目的一般分为两类：一类所有的用户都可执行，另一类只DBA可执行。在Unix环境下组设置的配置文件是/etc/group，关于这个文件如何配置，请参阅Unix的有关手册，以下是保证安全性的几种方法：

（1）在安装Oracle Server前，创建数据库管理员组（DBA）而且分配root和Oracle软件拥有者的用户ID给这个组。DBA能执行的程序只有710权限。在安装过程中SQL*DBA系统权限命令被自动分配给DBA组。

（2）允许一部分Unix用户有限制地访问Oracle服务器系统，增加一个由授权用户组的Oracle组，确保给Oracle服务器实用例程Oracle组ID，公用的可执行程序，比如SQL*Plus，SQL*forms等，应该可被这组执行，然后该这个实用例程的权限为710，它将允许同组的用户执行，而其他用户不能。

（3）改那些不会影响数据库安全性的程序的权限为711。（注：在我们的系统中为了安装和调试的方便，Oracle数据库中的两个具有DBA权限的用户Sys和System的缺省密码是manager。为了您数据库系统的安全，我们强烈建议您该掉这两个用户的密码，具体操作如下：

在SQL*DBA下键入：

alter user sys indentified by password;

alter user system indentified by password;

其中password为您为用户设置的密码。

二、Oracle服务器实用例程的安全性：

以下是保护Oracle服务器不被非法用户使用的几条建议：

（1） 确保$ORACLE_HOME/bin目录下的所有程序的拥有权归Oracle软件拥有者所有；

（2） 给所有用户实用便程（sqiplus,sqiforms,exp,imp等）711权限，使服务器上所有的用户都可访问Oracle服务器；

（3） 给所有的DBA实用例程（比如SQL*DBA）700权限。Oracle服务器和Unix组当访问本地的服务时，您可以通过在操作系统下把Oracle服务器的角色映射到Unix的组的方式来使用Unix管理服务器的安全性，这种方法适应于本地访问。

在Unix中指定Oracle服务器角色的格式如下：

ora_sid_role

其中 sid 是您Oracle数据库的oracle_sid；

role 是Oracle服务器中角色的名字；

d （可选）表示这个角色是缺省值；a （可选）表示和弯这个角色带有WITH ADMIN选项，您只可以把这个角色授予其他角色，不能是其他用户。

以下是在/etc/group文件中设置的例子：

ora_test_osoper_d:NONE:1:jim,narry,scott

ora_test_osdba_a:NONE:3:pat

ora_test_role1:NONE:4:bob,jane,tom,mary,jim

bin: NONE:5:root,oracle,dba

root:NONE:7:root

词组“ora_test_osoper_d”表示组的名字；词组“NONE”表示这个组的密码；数字1表示这个组的ID；接下来陆斗的是这个组的成员。前两行是Oracle服务器角色的例子，使用test作为sid，osoper和osdba作为Oracle服务器角色的名字。osoper是分配给用户的缺省角色，osdba带有WITH ADMIN选项。为了使这些数据库角色起作用，您必须shutdown您的数据库系统，设置Oracle数据库参数文件initORACLE_SID.ora中os_roles参数为True，然后重新启动您的数据库。如果您想让这些角色有connect internal权限，运行orapwd为这些角色设置密码。当您尝试connect internal时，您键入的密码表示了角色所对应的权限。

SQL*DBA命令的安全性：

如果您没有SQL*PLUS应用程序，您也可以使用SQL*DBA作SQL查权限相关的命令只能分配给Oracle软件拥有者和DBA组的用户，因为这些命令被授予了特殊的系统权限。

（1） startup

（2） shutdown

（3） connect internal

数据库文件的安全性：

Oracle软件的拥有者应该这些数据库文件（$ORACLE_HOME/dbs/*.dbf）设置这些文件的使用权限为0600：文件的拥有者可读可写，同组的和其他组的用户没有写的权限。

Oracle软件的拥有者应该拥有包含数据库文件的目录，为了增加安全性，建议收回同组和其他组用户对这些文件的可读权限。

网络安全性：

当处理网络安全性时，以下是额外要考虑的几个问题。

（1） 在网络上使用密码在网上的远端用户可以通过加密或不加密方式键入密码，当您用不加密方式键入密码时，您的密码很有可能被非法用户截获，导致破坏了系统的安全性。

（2） 网络上的DBA权限控制您可以通过下列两种方式对网络上的DBA权限进行控制：

A 设置成拒绝远程DBA访问；

B 通过orapwd给DBA设置特殊的密码。

三、建立安全性策略：

系统安全性策略

（1）管理数据库用户：数据库用户是访问Oracle数据库信息的途径，因此，应该很好地维护管理数据库用户的安全性。按照数据库系统的大小和管理数据库用户所需的工作量，数据库安全性管理者可能只是拥有create，alter，或drop数据库用户的一个特殊用户，或者是拥有这些权限的一组用户，应注意的是，只有那些值得信任的个人才应该有管理数据库用户的权限。

（2） 用户身份确认：数据库用户可以通过操作系统，网络服务，或数据库进行身份确认，通过主机操作系统进行用户身份认证的优点有：

A 用户能更快，更方便地联入数据库；

B 通过操作系统对用户身份确认进行集中控制：如果操作系统与数据库用户信息一致，Oracle无须存储和管理用户名以及密码；

C 用户进入数据库和操作系统审计信息一致。

（3） 操作系统安全性

A 数据库管理员必须有create和delete文件的操作系统权限；

B 一般数据库用户不应该有create或delete与数据库相关文件的操作系统权限；

C 如果操作系统能为数据库用户分配角色，那么安全性管理者必须有修改操作系统帐户安全性区域的操作系统权限。

数据的安全性策略：

数据的生考虑应基于数据的重要性。如果数据不是很重要，那么数据的安全性策略可以稍稍放松一些。然而，如果数据很重要，那么应该有一谨慎的安全性策略，用它来维护对数据对象访问的有效控制。

用户安全性策略：

（1） 一般用户的安全性：

A 密码的安全性：如果用户是通过数据库进行用户身份的确认，那么建议使用密码加密的方式与数据库进行连接。这种方式的设置方法如下：

在客户端的oracle.ini文件中设置ora_encrypt_login数为true；

在服务器端的initORACLE_SID.ora文件中设置dbling_encypt_login参数为true。

B 权限管理：对于那些用户很多，应用程序和数据对象很丰富的数据库，应充分利用“角色”这个机制所带的方便性对权限进行有效管理。对于复杂的系统环境，“角色”能大大地简化权限的理。

（2） 终端用户的安全性：

您必须针对终端用户制定安全性策略。例如，对于一个有很多用户的大规模数据库，安全性管理者可以决定用户组分类为这些用户组创建用户角色，把所需的权限和应用程序角色授予每一个用户角色，以及为用户分配相应的用户角色。当处理特殊的应用要求时，安全性管理者也必须明确地把一些特定的权限要求授予给用户。您可以使用“角色”对终端用户进行权限管理。

数据库管理者安全性策略：

（1） 保护作为sys和system用户的连接：

当数据库创建好以后，立即更改有管理权限的sys和system用户的密码，防止非法用户访问数据库。当作为sys和system用户连入数据库后，用户有强大的权限用各种方式对数据库进行改动。

（2） 保护管理者与数据库的连接：

应该只有数据库管理者能用管理权限连入数据库，当以sysdba或startup，shutdown，和recover或数据库对象（例如create,drop，和delete等）进行没有任何限制的操作。

（3） 使用角色对管理者权限进行管理

应用程序开发者的安全性策略：

（1） 应用程序开发者和他们的权限数据库应用程序开发者是唯一一类需要特殊权限组完成自己工作的数据库用户。开发者需要诸如create table,create，procedure等系统权限，然而，为了限制开发者对数据库的操作，只应该把一些特定的系统权限授予开发者。

（2） 应用程序开发者的环境：

A 程序开发者不应与终端用户竞争数据库资源；

B 用程序开发者不能损害数据库其他应用产品。

（3） free和controlled应用程序开发应用程序开发者有一下两种权限：

A free development

应用程序开发者允许创建新的模式对象，包括table,index,procedure,package等，它允许应用程序开发者开发独立于其他对象的应用程序。

B controlled development

应用程序开发者不允许创建新的模式对象。所有需要table,indes procedure等都由数据库管理者创建，它保证了数据库管理者能完全控制数据空间的使用以及访问数据库信息的途径。但有时应用程序开发者也需这两种权限的混和。

（4） 应用程序开发者的角色和权限数据库安全性管理者能创建角色来管理典型的应用程序开发者的权限要求。

A create系统权限常常授予给应用程序开发者，以至于他们能创建他的数据对象。

B 数据对象角色几乎不会授予给应用程序开发者使用的角色。

（5） 加强应用程序开发者的空间限制作为数据库安全性管理者，您应该特别地为每个应用程序开发者设置以下的一些限制：

A 开发者可以创建table或index的表空间；

B 在每一个表空间中，开发者所拥有的空间份额。应用程序管理者的安全在有许多数据库应用程序的数据库系统中，您可能需要一应用程序管理者，应用程序管理者应负责起以下的任务：

a）为每一个应用程序创建角色以及管理每一个应用程序的角色；

b）创建和管理数据库应用程序使用的数据对象；

c）需要的话，维护和更新应用程序代码和Oracle的存储过程和程序包。

我相信有了以上的这些建议，作为一个Oracle的管理者绝对可以做好他本职的工作了。可是，我们再怎么努力，都始终得面对这样一个现实，那就是Oracle毕竟是其他人开发的，而我们却在使用。所以，Oracle到底有多少漏洞–我想这个不是你和我所能解决的。不过既然作为一篇讨论Oracle数据安全的文章，我认为有必要把漏洞这一块也写进去，毕竟这也是“安全”必不可少的一部分。呵呵！

所以

Oracle漏洞举例：

1.Oracle9iAS Web Cache远程拒绝服务攻击漏洞（）

2.Oracle 8.1.6的oidldapd中的漏洞

3.Oracle 9iAS OracleP 泄漏P文件信息漏洞

4.Linux ORACLE 8.1.5漏洞

限制用户访问数据库的介绍就聊到这里吧，感谢你花时间阅读本站内容，更多关于限制用户访问数据库,数据库访问限制：保障数据安全,Oracle数据库安全的信息别忘了在本站进行查找喔。

成都服务器租用选创新互联，先试用再开通。
创新互联（www.cdcxhl.com）提供简单好用，价格厚道的香港/美国云服务器和独立服务器。物理服务器托管租用：四川成都、绵阳、重庆、贵阳机房服务器托管租用。

网站名称：数据库访问限制：保障数据安全 (限制用户访问数据库)
文章路径：http://www.csdahua.cn/qtweb/news28/318328.html

网站建设、网络推广公司-快上网，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 快上网