如何改进ORACLE的安全性？？望高手指点

显示全部楼层 · 2015-3-6 11:57:31

在NT+ORACLE8I的应用环境。因为开发人员比较多对系统应用用户名和密码多是公开，使用SQLPLUS就可以删除系统数据，造成数据丢失，而查不到是哪个用户删除的，现在希望限制开发人员使用SQLPLUS进行操作数据库。或对数据库UPDATE，DELETE命令进行限制，或进行审计和等方法。各位高手指点！！！

千问 · 2015-3-6 11:57:31

1、你可以设置不同用户的权限嘛，对于每个人的权限进行划分，去除 Update,delete 等特殊权限。
2、考虑使用角色；

千问 · 2015-3-6 11:57:31

any delete or update, write to another table with the person who did it, then, fire him

千问 · 2015-3-6 11:57:31

如何使用TRIGGER，因涉及到表比较多，用不好怕对应用系统造成影响？

千问 · 2015-3-6 11:57:31

stevenzhaoyi好阴险，挖好了陷阱专等猎物。
如果表和用户很多的话，使用角色比较方便些。

千问 · 2015-3-6 11:57:31

我意思权限对开发人员进行限制，比如只能特定服务器上使用
SQLPLUS，和ORACLE DBA等工具，在其他CLIENT均不能使用，就算你装有ORACLE的管理工具

千问 · 2015-3-6 11:57:31

c/s结构恐怕是比较麻烦了
不允许登陆sqlplus的话
三层结构可以
控制client的ip

千问 · 2015-3-6 11:57:31

我以为这和安全性关系不大!
如果你限制了开发人员的权限, 会给开发工作带来很大的麻烦.
实际上, 一般开发项目, 应该将在线系统与开发系统完全隔离, 如果开发人员需要上传应用, 只能有某特定人员或以特定用户登录数据库.
对于应用用户的管理, 那需要看你们的系统的用户登录数据库的方式是假用户方式还是真用户方式, 所谓假用户, 即所有应用用户是以同一个数据库用户登录并且操作. 这样你无法在数据库一级控制用户的权限. 如果用真用户, 那么会有许多办法, 比方通过权限, 或在数据库级加AFTER LOGON TRIGGER, 你可以根据用户登录数据库的应用程序来判断其是否可以登录.
GOOD LUCKY!

千问 · 2015-3-6 11:57:31

给不同的用户分配不同的权限和角色

千问 · 2015-3-6 11:57:31

最初由 ora_xya 发布
[B]我意思权限对开发人员进行限制，比如只能特定服务器上使用
SQLPLUS，和ORACLE DBA等工具，在其他CLIENT均不能使用，就算你装有ORACLE的管理工具 [/B]

早说嘛，在服务端设置访问权限不就得了！