某天，公司生產(chǎn)環(huán)境中的某一個(gè)產(chǎn)品庫(kù)被研發(fā)人員truncate一張非常重要的表，研發(fā)總監(jiān)知道后非常生氣，要求嚴(yán)格控制研發(fā)人員的權(quán)限問(wèn)題，每個(gè)人用自己的用戶名稱操作數(shù)據(jù)庫(kù)，審計(jì)每個(gè)人的操作權(quán)限，將每個(gè)研發(fā)人員對(duì)生產(chǎn)庫(kù)的操作進(jìn)行記錄。

在這種情況下，需要嚴(yán)格控制研發(fā)人員的DDL權(quán)限，限制用戶對(duì)數(shù)據(jù)庫(kù)進(jìn)行DDL等操作。如果單純的進(jìn)行限制，可以通過(guò)觸發(fā)器來(lái)進(jìn)行控制，語(yǔ)句如下：

CREATEORREPLACETRIGGERDDL_RESTRICT
 BEFOREDROPORCREATEORTRUNCATEORALTERONDATABASE
  DECLARE
   BEGIN
 IFORA_SYSEVENT()IN('DROP','CREATE','ALTER','TRUNCATE')
    ANDORA_DICT_OBJ_OWNER()IN('BUPTDREAM'AND
     ORA_DICT_OBJ_TYPEIN('TABLE')  AND       
      ORA_DICT_OBJ_NAME()NOTLIKE'%a%'AND    
     ORA_DICT_OBJ_NAME()NOTLIKE'%b%'AND     
     ORA_DICT_OBJ_NAME()NOTLIKE'%c%'THEN
    RAISE_APPLICATION_ERROR(NUM => -20000,
                            MSG =>'禁止'|| ORA_SYSEVENT() ||'  '||
                                   ORA_DICT_OBJ_OWNER() ||'用戶下的'||
                                   ORA_DICT_OBJ_NAME() ||'表，請(qǐng)與DBA聯(lián)系');
 ENDIF;
END;

通過(guò)觸發(fā)器可以控制開(kāi)發(fā)人員對(duì)生產(chǎn)庫(kù)的DDL操作，如果想要禁止delete的DML操作，也可以用觸發(fā)器來(lái)實(shí)現(xiàn)。

在Oracle數(shù)據(jù)庫(kù)中對(duì)用戶的管理是使用權(quán)限的方式，也就是說(shuō)，如果直接將生產(chǎn)庫(kù)的權(quán)限給某個(gè)用戶，我們必須要已授權(quán)的表的名稱前鍵入該表所有者的名稱，所以比較麻煩。

Oracle數(shù)據(jù)庫(kù)中同義詞是數(shù)據(jù)庫(kù)方案對(duì)象的一個(gè)別名，經(jīng)常用于簡(jiǎn)化對(duì)象訪問(wèn)和提高對(duì)象訪問(wèn)的安全性。在使用同義詞時(shí)，Oracle數(shù)據(jù)庫(kù)將它翻譯成對(duì)應(yīng)方案對(duì)象的名字。與視圖類似，同義詞并不占用實(shí)際存儲(chǔ)空間，只有在數(shù)據(jù)字典中保存了同義詞的定義。在Oracle數(shù)據(jù)庫(kù)中的大部分?jǐn)?shù)據(jù)庫(kù)對(duì)象，如表、視圖、同義詞、序列、存儲(chǔ)過(guò)程、包等等，數(shù)據(jù)庫(kù)管理員都可以根據(jù)實(shí)際情況為他們定義同義詞。

批量建立同義詞的語(yǔ)句如下：

select' create public synonym '|| OBJECT_NAME ||
' for CMAPP_PRODUCTION.'|| OBJECT_NAME ||';'
  fromuser_objects
 whereobject_typein
        ('TABLE','VIEW','PROCEDURE','TRIGGER','FUNCTION','PACKAGE');

同義詞賦權(quán)的語(yǔ)句如下：

SELECT'grant select,insert,update,delete  on '||
           OBJECT_NAME ||' to buptdream;'
     FROMUSER_OBJECTS
    WHEREOBJECT_TYPE ='TABLE';
   SELECT'grant select,insert,update,delete on '|| OBJECT_NAME ||
' to buptdream;'
      FROMUSER_OBJECTS
    WHEREOBJECT_TYPE ='VIEW';
      SELECT'grant EXECUTE on '|| OBJECT_NAME ||' to buptdream;'
     FROMUSER_OBJECTS
    WHEREOBJECT_TYPE ='PROCEDURE';
      SELECT'grant EXECUTE on '|| OBJECT_NAME ||' to buptdream;'
     FROMUSER_OBJECTS
    WHEREOBJECT_TYPE ='FUNCTION';
     SELECT'grant select on '|| OBJECT_NAME ||' to buptdream;'
     FROMUSER_OBJECTS
    WHEREOBJECT_TYPE ='SEQUENCE';

通過(guò)上述方法，可以控制研發(fā)人員對(duì)生產(chǎn)庫(kù)的操作，一旦權(quán)限被控制，就大大降低了數(shù)據(jù)庫(kù)面臨的風(fēng)險(xiǎn)。在這個(gè)過(guò)程中，我們可以采用審計(jì)方式記錄下每個(gè)操作。

在數(shù)據(jù)庫(kù)開(kāi)發(fā)過(guò)程中，如果研發(fā)人員很多，進(jìn)行相關(guān)的權(quán)限管理是非常重要的事情，可以大大減少對(duì)數(shù)據(jù)庫(kù)的誤操作。觸發(fā)器是一個(gè)方法，另外通過(guò)同義詞，可以為每個(gè)用戶單獨(dú)建立用戶，提高研發(fā)人員操作數(shù)據(jù)庫(kù)時(shí)的專心程度，防止誤操作的發(fā)生。

啟明星辰公司數(shù)據(jù)庫(kù)審計(jì)專家點(diǎn)評(píng)

本案例比較生動(dòng)，且詳細(xì)描述了權(quán)限控制方法。從數(shù)據(jù)庫(kù)安全的角度來(lái)講，除了建立良好的權(quán)限控制機(jī)制，還要考慮管理上的風(fēng)險(xiǎn)（賬號(hào)共用）及數(shù)據(jù)庫(kù)自身弱點(diǎn)（漏洞利用等），數(shù)據(jù)庫(kù)自身的安全檢查、系統(tǒng)加固、審計(jì)等措施都很有必要。

標(biāo)簽： 安全 漏洞 權(quán)限 權(quán)限管理 數(shù)據(jù)庫(kù) 數(shù)據(jù)庫(kù)安全 問(wèn)題 用戶

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。