《Oracle安全实战——开发安全的数据库与中间件环境》

第Ⅰ部分  Oracle数据库安全
新特性
第1章  安全蓝图与新思路	3
1.1  本书内容	4
1.1.1  背景信息	4
1.1.2  内容组织	5
1.2  当前的数据库安全技术	5
1.3  安全动机	8
1.3.1  敏感数据分类	9
1.3.2  原则	10
1.4  安全数据库架构建模	12
1.4.1  架构配置	12
1.4.2  对象所有者账户	13
1.4.3  用户访问账户	14
1.5  开始工作	15
1.5.1  用户配置	16
1.5.2  架构命名	17
1.5.3  安全体系结构检查表	18
1.6  小结	18
第2章  透明数据加密	21
2.1  口令学基础	22
2.1.1  加密的目标	22
2.1.2  基础知识	23
2.1.3  加密方法的选择	24
2.1.4  算法与密钥	24
2.2  对数据库中的数据加密	27
2.2.1  数据在何处“休眠”	28
2.2.2  数据保护	28
2.2.3  浏览数据	29
2.2.4  应用示例	31
2.2.5  数据库中的加密	31
2.3  TDE解决方案	32
2.3.1  作为高级安全
选项的TDE	32
2.3.2  在Oracle 10g中配置TDE	33
2.3.3  Oracle Wallet	34
2.3.4  TDE的密钥管理	36
2.3.5  在新表中创建加密列	37
2.3.6  查看加密列	40
2.3.7  加密已有列	41
2.3.8  TDE特别说明	43
2.4  表空间加密：Oracle 11g的
新特性	44
2.5  Oracle 11g的配置	45
2.5.1  将TDE用于PCI-DSS	46
2.5.2  操作考量	47
2.5.3  加密数据的导出和导入	50
2.5.4  与HSM的集成	52
2.6  小结	54
第3章  应用审计与Audit Vault	55
3.1  监管的时代	56
3.2  出于非安全目的的审计	56
3.3  审计数据仓库	57
3.4  审计什么以及何时审计	61
3.4.1  指导原则	61
3.4.2  审计模式	62
3.4.3  其他最佳审计实践	64
3.5  从审计仓库到Audit Vault	66
3.6  安装选项	68
3.6.1  安装Audit Vault Server	68
3.6.2  安装Audit Vault Collection 
Agent	68
3.6.3  安装说明	72
3.6.4  报表	76
3.6.5  警报	77
3.6.6  管理源数据库的审计政策	80
3.6.7  审计维护	82
3.7  小结	84
第Ⅱ部分  Oracle Database 
Vault
第4章  Database Vault介绍	89
4.1  安全缺口	90
4.1.1  权限账户的历史	90
4.1.2  安全补救	92
4.1.3  应该具有的安全特性	94
4.2  Database Vault组件	96
4.2.1  因素	97
4.2.2  规则	97
4.2.3  领域	98
4.2.4  命令规则	100
4.3  安装Oracle Database Vault	101
4.3.1  安装的DBV管理角色	101
4.3.2  管理Oracle DBV配置	102
4.3.3  默认的职责分离	106
4.3.4  默认的审计策略	110
4.3.5  与安全相关的默认DBV
因素	111
4.4  小结	111
第5章  Database Vault基础	113
5.1  领域	114
5.1.1  领域保护模式	118
5.1.2  创建第一个领域	119
5.1.3  领域组件	122
5.2  命令规则	132
5.2.1  命令规则组件	134
5.2.2  命令规则支持的命令	139

5.2.3  DBV CONNECT命令
规则	139
5.3  规则集	142
5.3.1  规则集的评估模式	143
5.3.2  规则集审计	144
5.3.3  自定义事件处理程序	145
5.3.4  规则配置	147
5.3.5  DBV规则集事件函数	150
5.3.6  在规则集表达式中
使用的DBV因素	151
5.4  因素	152
5.4.1  创建因素	153
5.4.2  因素标识	158
5.4.3  DBV因素与OLS集成	169
5.5  DBV安全应用程序角色	189
5.6  小结	193
第6章  在自定义应用程序中
使用DBV	195
6.1  假想的数据库应用环境	196
6.2  从需求到安全配置
文件设计	197
6.3  需求分析技术：用例与
场景	198
6.4  确定粗粒度的安全配置
文件	200
6.5  确定细粒度的安全
配置文件	202
6.6  基于业务或系统条件确定
DBV因素	203
6.6.1  集中管理为DBV因素和
规则设计的PL/SQL例程	205
6.6.2  基于合规性的因素	209
6.6.3  基于利益冲突或职责分离
的因素	210
6.6.4  基于组织策略的因素	211
6.6.5  基于身份管理的因素	211

6.6.6  基于访问路径或运行
上下文的因素	212
6.6.7  基于时间或顺序条件的
因素	213
6.6.8  基于外部数据或事件的
因素	214
6.6.9  在应用程序中使用DBV
因素	214
6.7  基于对象确定DBV领域及
领域对象	218
6.7.1  为领域保护的对象配置
标准的对象级审计	220
6.7.2  在领域保护的对象上
配置RLS	221
6.8  基于用例参与者确定账户、
角色和DBV领域授权	221
6.8.1  DBV的安全架构	222
6.8.2  用户访问账户	225
6.8.3  基于DBV安全架构的
示例实现	231
6.8.4  后期的配置账户供应	261
6.9  基于条件建立DBV
命令规则	261
6.10  基于条件建立DBV安全
应用程序角色	274
6.11  小结	278
第7章  在已有的应用程序中
使用DBV	281
7.1  捕获审计信息的准备工作	282
7.2  捕获审计数据	283
7.3  分析审计记录	283
7.3.1  基于对象所有者账户
确定DBV领域	285
7.3.2  DBV领域保护的对象	286
7.3.3  DBV领域授权	290
7.3.4  为DBV SAR确定终端
用户访问账户和角色	304

7.3.5  基于条件确定DBV命令
规则	305
7.3.6  基于业务或系统条件
确定DBV因素	312
7.3.7  精化DBV策略设计	321
7.3.8  部署和验证DBV策略	321
7.4  将DBV与Oracle数据库
功能集成	323
7.4.1  Oracle Text	324
7.4.2  Oracle Spatial	327
7.4.3  表达式过滤器	328
7.4.4  Oracle流高级排队	331
7.4.5  透明数据加密	335
7.4.6  Oracle恢复管理器	336
7.4.7  在领域保护的架构中收集
统计信息	338
7.4.8  在领域保护的架构上使用
EXPLAIN PLAN功能	338
7.5  DBV数据库的高级监控
和报警功能	339
7.5.1  使用OEM GC对DBV
进行监控和报警	339
7.5.2  扩展DBV规则集的自定义
事件处理程序	342
7.6  小结	347
第Ⅲ部分  身 份 管 理
第8章  身份管理体系结构设计	351
8.1  理解与身份管理相关的
问题	352
8.1.1  中央发行机构	352
8.1.2  身份验证	353
8.1.3  身份传递	353
8.2  构建身份管理体系结构	354
8.2.1  身份管理发现	354
8.2.2  身份管理模式	359
8.3  Oracle身份管理解决方案	364
8.3.1  用户供应	364
8.3.2  目录管理	365
8.3.3  身份验证管理	366
8.3.4  授权管理	370
8.3.5  角色挖掘和管理	373
8.4  小结	374
第9章  Oracle身份管理器	375
9.1  用户供应面临的挑战	375
9.2  OIM概况	376
9.2.1  用户	377
9.2.2  用户组	377
9.2.3  组织	378
9.2.4  访问策略	378
9.2.5  资源对象	379
9.2.6  IT 资源	380
9.3  用户供应进程	380
9.3.1  全权委托的账户供应	380
9.3.2  自助式供应	381
9.3.3  基于工作流的供应	383
9.3.4  访问策略驱动的供应	384
9.4  用户供应集成	386
9.4.1  预置的连接器	386
9.4.2  通用技术连接器	386
9.5  调和集成	387
9.6  合规性解决方案	388
9.6.1  验证	388
9.6.2  访问报表	389
9.7  OIM的部署	390
9.8  小结	392
第10章  Oracle目录服务	393
10.1  身份管理与LDAP目录	394
10.2  OID	394
10.2.1  OID体系结构	394
10.2.2  OID同步	395
10.3  目录虚拟化和OVD	397
10.3.1  OVD 101	397
10.3.2  OVD体系结构	398
10.4  使用OVD	400
10.4.1  安装OVD	400
10.4.2  创建新的OVD
服务器	400
10.4.3  使用本地存储适配器
初始化虚拟LDAP树	401
10.4.4  集成OVD与活动目录
LDAP服务器	403
10.4.5  集成OVD与Oracle
关系数据库	405
10.4.6  在OVD中连接信息	408
10.5  小结	414
第Ⅳ部分  Oracle APEX和
Oracle商业智能
安全
第11章  APEX中以Web为中心的
安全	417
11.1  APEX环境介绍	417
11.1.1  组件和配置	418
11.1.2  体系结构	418
11.1.3  APEX与数据库角色	421
11.1.4  APEX会话	422
11.2  增强APEX实例的安全性	423
11.2.1  APEX安全设置	423
11.2.2  增强应用服务器层的
安全性	427
11.2.3  使用mod_security阻止
基于Web的攻击	433
11.2.4  SSL/TLS 技术	435
11.3  保护APEX 数据库架构	441
11.4  小结	444
第12章  APEX安全编程实践	445
12.1  身份验证与授权	446
12.1.1  身份验证模式	446

12.1.2  自定义的用户名与
口令表	446
12.1.3  授权模式	452
12.2  SQL 注入	455
12.2.1  示例1：错误的方法	456
12.2.2  示例2：正确的方法	458
12.3  跨站点脚本	460
12.4  使用数据库安全功能	468
12.4.1  VPD	468
12.4.2  细粒度审计	473
12.5  小结	480
第13章  安全访问Oracle BI	481
13.1  商业智能安全面临的挑战	482
13.1.1  系统用户	483
13.1.2  数据仓库的安全与事务
系统的安全	483
13.2  安全的各方面	485
13.3  Oracle BI访问数据的机制	486
13.3.1  体系结构	486
13.3.2  连接池	487
13.3.3  变量	489
13.4  身份验证与授权	492
13.4.1  身份验证选项	492
13.4.2  授权	498
13.5  单点登录	506
13.5.1  SSO选项	506
13.5.2  SSO设置的注意事项	506
13.5.3  使用Oracle访问管理器
实现SSO	507
13.6  安全环境中的部署	511
13.6.1  SSL Everywhere	511
13.6.2  加密的外向连接	512
13.7  BI缓存的安全	513
13.8  面向公众的应用程序	514
13.8.1  防火墙和隔离区	514
13.8.2  公共用户	514
13.9  小结	515
第14章  Oracle BI内容与数据的
安全	517
14.1  Web目录内容安全	518
14.1.1  Web目录组	518
14.1.2  基于文件夹的安全	519
14.1.3  iBot安全	519
14.1.4  BI Publisher目录内容的
安全	521
14.2  向数据库传递身份	521
14.3  Oracle BI表示数据的安全	523
14.3.1  BI服务器中的安全
策略	524
14.3.2  集成Oracle BI与数据库
安全策略	532
14.3.3  决定何时使用VPD或
Oracle BI的行级安全	539
14.4  Oracle BI与Database Vault	541
14.4.1  因素与Oracle BI	541
14.4.2  领域与Oracle BI	542
14.5  审计	543
14.5.1  效用跟踪	544
14.5.2  数据库审计	545
14.5.3  结合效用跟踪和数据库
审计	546
14.6  具有安全风险的BI功能	547
14.6.1  默认权限	547
14.6.2  以代理身份运行	548
14.6.3  直接数据库请求	551
14.6.4  Advanced选项卡	554
14.6.5  直接访问BI服务器	554
14.6.6  Web服务访问	555
14.7  小结	555
附录A  使用Oracle BI的示例	557