Oracle
Database Vault
合规性解决方案

权限分析

Oracle Database 18c 中包含的 Oracle Database Vault 新增了一个名为“权限分析”的特性，它根据用户或应用内部对角色和权限的实际使用情况识别未使用的权限和角色，进一步强化了应用。了解未使用的角色和权限非常重要，因为这有助于确定应用运行所需的最小权限，从而提高应用的安全性。此特性扩展了 Oracle Database Vault 的功能，包括对现有应用的最小权限分析，以及对新应用开发过程中所用权限的持续分析。权限分析让客户可以：

• 

  报告数据库中使用的实际权限和角色
• 

  识别用户和应用未使用的权限和角色
• 

  通过帮助对用户和应用执行最小权限，从而降低风险

 

使用新的权限分析特性，可以确定特定工作职能或应用所需的运行时角色和权限集，然后将其封装在一个新的数据库角色中。可对未使用的权限进行审计以跟踪其使用情况，然后再确定是否将其从用户或角色处撤销。采用权限分析，企业既可以提高现有应用的安全性，还可以监视应用开发过程所需的权限。

特权用户控制

加强对特权帐户和 DBA 帐户的控制，对于提高安全性来说至关重要。Oracle Database Vault 将在 Oracle 数据库中创建一个高度受限的应用环境（“领域”），防止特权帐户访问应用数据，同时继续允许数据库上的常规授权管理活动。领域可以涵盖所有或特定的应用表和模式，以保护它们免受未经授权的访问，同时继续允许这些表和模式的所有者访问它们，包括已授权直接访问这些对象的人员。

Oracle Database 12c 包含的 Oracle Database Vault 引入了“强制领域”，可有效禁止所有人员（包括对象所有者和特权用户）访问应用表、视图或其他对象，除非访问者获得了专门授权。强制领域可预先配置，之后可在维护过程中启用。强制领域还可以充当应用的另一道防线。在这种情况下，它们不仅可以像普通领域那样防止特权用户访问，还会对所有具备应用访问权限的用户（包括具备直接访问权限的人员和应用所有者）进行额外的检查。可以授予这些用户访问强制领域的权限，并在他们访问应用数据之前执行额外的检查。

防止未授权的数据库更改

技术控制可防止那些可能导致不安全数据库配置的改动、避免配置偏差、降低审计问题出现的几率以及提高合规性。配置偏差多种多样，而更改数据库结构（例如应用表和角色）、授予特权角色和即席创建新数据库帐户只是少数几种可导致严重后果的行为。为了防止这些审计问题的发生，也处于遵从规定的需要，客户需要在数据库中实施严格的操作控制。而客户可通过 Oracle Database Vault 对某些命令（如 ALTER SYSTEM、ALTER USER、CREATE USER、DROP USER 等等）的使用加以控制，以防止配置偏差。

有些 SQL 命令可能会对应用和数据库的安全性和可用性造成影响，而 Oracle Database Vault 可用来控制这些命令。Oracle Database Vault 命令控制提供了一个额外的规则和检查层，任何 SQL 命令（包括 CONNECT、DROP TABLE、TRUNCATE TABLE 和 DROP TABLESPACE）在执行之前，都要在这一层接受检查，符合规则才能继续。Oracle Database Vault 命令控制可以将数据库访问现定于特定的子网、应用服务器和程序，从而建立一条 从应用到数据库的可靠路径。IP 地址、主机名和会话用户名等内置因素则可以用来在数据库内部执行 SQL 命令控制。也可以使用 Oracle Label Security 因素根据数据库会话的安全许可对活动加以控制。此外，Oracle APEX 应用的原生函数和因素可与 Oracle Database Vault 命令控制配合使用，确定是否允许访问特定的 DML 或 DDL 语句。