Oracle database security

Чөлөөт нэвтэрхий толь — Википедиагаас
Jump to navigation Jump to search

Өгөгдлийн сангийн аюулгүй байдлын танилцуулга[засварлах | edit source]

Өгөгдлийн сангийн аюулгүй байдал нь өгөгдлийн сан болон түүний доторх объектууд дээр хэрэглэгчийн үйл ажиллагааг зөвшөөрөх буюу хэрэгсэхгүй байхыг шаарддаг. Oracle мэдээллийн бааз нь өгөгдөлд хандах хандалтыг хянах, мэдээллийн баазын нөөцийг ашиглахыг хязгаарлахын тулд схем болон аюулгүй байдлын домайнуудыг ашигладаг. Oracle Database нь өргөн хүрээтэй сонголт хийх хандалтын хяналтыг бий болгодог. Дискрет хандалтын хяналт нь нэртэй обьектуудад хандах бүх хандалтыг давуу эрхээр зохицуулдаг. Онцгой шинжтэй нэртэй объектод хандах эрх нь давуу эрх юм. Жишээ нь хүснэгтийг асуух зөвшөөрөл. Давуу эрхүүд нь бусад хэрэглэгчдийн үзэмжээр олгодог.

Энэ хэсэгт дараах сэдвүүдийг багтаасан болно:

 • Өгөгдлийн сангийн хэрэглэгчид болон схемүүд
 • Давуу эрх
 • Үүрэг
 • Хадгалалтын тохиргоо ба квот


Өгөгдлийн сангийн хэрэглэгчид болон схемүүд[засварлах | edit source]

Oracle мэдээллийн бааз бүр нь хэрэглэгчийн нэрсийн жагсаалттай байна. Өгөгдлийн санд хандахын тулд хэрэглэгч өгөгдлийн сангийн програмыг ашиглах, мэдээллийн баазын хүчинтэй хэрэглэгчийн нэрээр холбогдох ёстой.

Аюулгүй байдлын домайн

Хэрэглэгч бүр дараах аюулгүй байдлын домэйнтэй байдаг. Үүнд:

 • Хэрэглэгчдэд үзүүлэх үйлдэл (давуу эрх ба үүрэг)
 • Хэрэглэгчдэд зориулж хүснэгт квот (боломжит дискний хэмжээ)
 • Системийн нөөцийн хязгаарлалт (жишээлбэл, CPU боловсруулах хугацаа) хэрэглэгчдэд зориулсан.

Хэрэглэгчийн аюулгүй байдлын домэйнд хувь нэмрээ оруулж байгаа эд хөрөнгийг дараах хэсгүүдэд хэлэлцэнэ.

Давуу эрх[засварлах | edit source]

Давуу эрх гэдэг нь тодорхой төрлийн SQL statement ажиллуулах эрх юм. Дараах эрхүүдээс дурдвал:

 • Өгөгдлийн сантай холбогдох (session үүсгэх)
 • Өөрийн схем дээр хүснэгт үүсгэх
 • Хүснэгтээс мөр сонгох.
 • Хадгалсан процедурыг ажиллуулах.

Үүрэг[засварлах | edit source]

Oracle өгөгдлийн сан нь үүрэг хялбар, хяналттай давуу эрх олгох менежментийг бий болгодог. Үүрэг нь хэрэглэгчид болон бусад үүргийг гүйцэтгэхэд олгодог давуу эрхийг бүлэг гэж нэрлэдэг. Хадгалалтын тохиргоо ба квот Та хэрэглэгчийн өгөгдлийн санд хуваарилсан дискний зайг анхдагч, түр зуурын хүснэгтүүд болон хүснэгтийн квотыг оруулан хязгаарлаж болно.Энэ хэсэгт дараах сэдвүүдийг багтаасан болно:

 • Үндсэн хүснэгтүүд
 • Түр зуурын хүснэгтийн хэсэг
 • Хүснэгтийн квот
 • Горим болон нөөцийн хязгаарлалтууд


Үндсэн хүснэгтүүд:

Хэрэглэгч бүр анхдагч хүснэгттэй холбоотой байна. Хэрэглэгч хүснэгт, индекс эсвэл кластер үүсгэх бөгөөд хүснэгтийг схемийн объектыг биет байдлаар оруулахгүй бол хэрэглэгч хэрэглэгчийн анхдагч хүснэгтийн хуудсыг хэрэглэгчид өгөгдсөн үндсэн хүснэгтэн дэх схемийн объект болон квот үүсгэх давуу эрхтэй бол хэрэглэгдэнэ. Анхдагч хүснэгтүүдэд схемийн объект байршлыг зааж өгөөгүй нөхцөлд Oracle мэдээллийн баазад өгөгдлийн тусламжтай мэдээллийг санах ойд өгдөг.
Түр хүснэгтийн хэсэг:

Хэрэглэгч бүр түр зуурын хүснэгттэй байна. Хэрэглэгч SQL statement ажиллаж байгаа үед түр сегментийг үүсгэх шаардлагатай (индекс үүсгэх гэх мэт), хэрэглэгчийн түр хүснэгтийг хэрэглэнэ. Бүх хэрэглэгчдийн түр сегментийг тусад нь хүснэгтэд чиглүүлэх замаар түр зуурын хүснэгт нь түр зуур сегментүүд болон бусад төрлийн сегментүүдийн хооронд I / O-ийн зөрчилдөөнийг бууруулж болно.
Хүснэгтийн Квот

: Oracle Database нь схем дэх обьектуудад очих зайны нийт хэмжээний хязгаарыг хязгаарлаж чадна. Квот (санах ойн хязгаар) нь хэрэглэгчдэд үзүүлэх хүснэгт бүрт тохируулагдаж болно. Энэ нь тусгайлсан схемийн объектуудад хэрэглэж болох дискний хэмжээг сонгох боломжийг олгодог.

Горим болон нөөцийн хязгаарлалтууд:[засварлах | edit source]

Хэрэглэгч бүр хэрэглэгчдэд олгодог хэд хэдэн системийн эх үүсвэрүүдийн хязгаарлалтыг тодорхойлсон профиль хийгддэг. Үүнд:

 • Хэрэглэгчийн үүсгэж болох синхрончлолын тоо
 • CPU-ийн боловсруулах цаг нь хэрэглэгчийн сешнд зориулсан бөгөөд SQL statement-ээр хийсэн Oracle Database-д нэг дуудлага хийх боломжтой
 • Өгөгдлийг ашиглах логик I / O утга болон SQL statement-ээр хийсэн Oracle Database-д нэг дуудлага хийх
 • Хэрэглэгчийн сешнд зориулж сул зогссон хугацаа
 • Хэрэглэгчийн сешнд холбох боломжтой цагийн тоо
 • Нууц үгийн хязгаарлалтууд:
 1. Олон удаагийн амжилтгүй оролдлого хийсний дараа түгжигдэнэ
 2. Нууц үгийн хугацаа дуусах ба сунгагдсан хугацаа
 3. Нууц үг дахин ашиглах болон төвөгтэй хязгаарлалтууд

Ил тод мэдээллийн шифрлэлтийн тойм[засварлах | edit source]

Oracle өгөгдлтийн сан нь аюулгүй байдлыг баталгаажуулах, зөвшөөрөх, аудит хийх хэлбэрээр хангадаг. Баталгаажуулалт нь зөвхөн хууль ёсны хэрэглэгчид системд хандах боломжийг олгодог. Зөвшөөрөл нь эдгээр хэрэглэгчид хандах эрхтэй нөөцүүдэд хандах эрхтэй гэдгийг баталгаажуулдаг. Аудит нь хэрэглэгчид хамгаалагдсан нөөцөд нэвтрэх үед хариуцлагыг баталгаажуулдаг. Хэдийгээр эдгээр аюулгүй байдлын механизм нь өгөгдлийн сан дахь өгөгдлийг үр дүнтэй хамгаалах боловч тэдгээр нь өгөгдөл хадгалагдаж байгаа үйлдлийн системийн файлд хандахаас сэргийлдэггүй. Ил тод өгөгдөлийн шифрлэлт нь үйлдлийн системийн файлд хадгалагдсан тул өгөгдлийн сангийн багануудад өгөгдлийг шифрлэх боломжийг олгодог.Үүнээс гадна мэдээллийн аюулгүй байдлын модулийн гадна шифрлэлтийн түлхүүрүүдийг аюулгүй хадгалах, удирдахад ашигладаг.

Гадаад хамгаалалтын модулийг ашигласнаар аюулгүй байдлын хувьд жирийн програмын функцийг шифрлэлт гэх мэтээр тусгаарлана. Тиймээс администратор өгөгдөлд бүрэн хандах эрхгүй байдаг тул аюулгүй байдлын администраторуудын хоорондох үүргийг хувааж болдог. Гадаад аюулгүй байдлын модулиуд нь шифрлэлтийн түлхүүрүүдийг бий болгож, шифрлэлт болон шифрлэлтийг хийж, мэдээллийн баазаас гадна түлхүүрүүдийг найдвартай хадгалах болно. Ил тод өгөгдөлийн шифрлэлт нь нууц түлхүүрийг агуулсан өгөгдлийг шифрлэх замаар зөвшөөрлийг шаарддаг түлхүүр дээр тулгуурласан хандалтын хяналтын систем юм. Өгөгдсөн хүснэгтэд шифрлэгдсэн багануудын тооноос үл хамааран шифрлэсэн багануудыг агуулж буй өгөгдлийн хүснэгтэд зөвхөн нэг түлхүүр байж болно. Хүснэгтийн баганын шифрлэлтийн түлхүүр нь өгөгдлийн сангийн серверийн мастер түлхүүрээр шифрлэгдсэн байдаг.

Өгөгдлий санд ямар ч түлхүүр хадгалагдаагүй байна. Харин тэдгээр нь гадны аюулгүй байдлын модулийн нэг хэсэг болох Oracle түрийвчэнд хадгалагддаг. Та өгөгдлийн сангийн багануудыг шифрлэхээс өмнө мастер түлхүүр үүсгэх эсвэл тохируулах ёстой. Энэ мастер түлхүүр нь ENCRYPT бүлгийн өгөгдлийн сангийн баганад SQL командыг гаргах үед автоматаар үүсэх баганын шифрлэлтийн түлхүүрийг шифрлэхэд хэрэглэгддэг.

Хүснэгтийн шифрлэлт[засварлах | edit source]

Хүснэгтийн шифрлэлт нь энэ хувилбарт нэвтрүүлсэн шинэ боломж юм.Хүснэгтийн шифрлэлт нь бүхэл бүтэн хүснэгтийг шифрлэх боломжийг олгодог. Бүртгэлтэй хэрэглэгч өгөгдлийн хүснэгтэд хандах үед өгөгдөл түүнд зориулж ил тод задлагддаг. Хүснэгтийн шифрлэлт нь ямар багануудыг шифрлэхийг тодорхойлохын тулд аппликешнүүдийн задлан шинжилгээ хийх хэрэгцээг багасгадаг. Та эмзэг өгөгдөл агуулсан байж магадгүй бүхэл бүтэн хүснэгтийг шифрлэхийн тулд хүснэгтэн шифрлэлтийг ашиглаж болно. Ил тод шифрлэлт / шифрлэлт нь диск I / O-д хийгддэг бөгөөд өгөгдөлд логик хандалт бүрт хэрэглэгдэхгүй. Энэ нь гүйцэтгэлийг сайжруулахад хүргэдэг.

Баталгаажуулалтын аргуудын тойм[засварлах | edit source]

Баталгаажуулалт гэдэг нь өгөгдөл, нөөц, эсвэл хэрэглээг ашиглахыг хүссэн хэн нэгний (хэрэглэгч, төхөөрөмж эсвэл бусад аж ахуйн нэгж) хэн болохыг тодорхойлох явдал юм. Энэ байдал нь цаашдын харилцаанд итгэх харилцааг бий болгодог. Баталгаажуулалт нь мөн тодорхой хандлагууд руу хандах, үйлдлийг холбох боломжтой болгосноор хариуцлага тооцох боломжийг олгодог. Баталгаажуулсны дараа зөвшөөрлийн процесс нь тухайн байгууллагын зөвшөөрөгдсөн хандалтын түвшин ба үйлдлийг зөвшөөрч эсвэл хязгаарлаж чадна. Энгийнээр хэлэхэд, адилхан нэвтрэлт танилтын аргыг бүх өгөгдлийн сангуудад хэрэглэгчид ашигладаг. Гэхдээ Oracle өгөгдлийн сан нь ганц эсвэл бүх аргыг ашигладаг нэг мэдээллийн санг зөвшөөрдөг. Oracle өгөгдлийн сан нь сүлжээний нэвтрэлт танилтын аюулгүй байдлыг хангахын тулд дамжууллын үед нууц үгүүдийг шифрлэдэг. Өгөгдлийн сан хэрэглэгчийн хэн болохыг тодорхойлох, өгөгдлийн санд хэрэглэгчийн нэрийг хууль бусаар ашиглахаас сэргийлэхийн тулд дараах хэсгүүдэд тайлбарласан аргуудын аль нэгийг ашиглана:

 • Үйлдлийн системийг баталгаажуулах
 • Сүлжээгээр баталгаажуулах
 • Oracle Database-ийн баталгаажуулалт
 • Multitier Authentication and Authorization
 • Secure Socket Layer Protocol-ээр баталгаажуулах
 • Өгөгдлийн сангийн администраторуудыг баталгаажуулах

Үйлдлийн системийг баталгаажуулах[засварлах | edit source]

Зарим үйлдлийн системүүд нь Oracle Database-ийн хэрэглэгчдэд дараахийг баталгаажуулахын тулд ашигладаг мэдээллийг ашигладаг.

 • Үйлдлийн системээр баталгаажсаны дараа хэрэглэгчид нь Oracle мэдээллийн баазыг хэрэглэгчийн нэр, нууц үг зэргийг заагаагүйгээр илүү хялбар холбогдож болно. Жишээлбэл, үйлдлийн системийн-баталгаажуулсан хэрэглэгч SQL * Plus-ийг дуудаж болох бөгөөд дараах нэрийг оруулах замаар хэрэглэгчийн нэр, нууц үгээ түр орхих хэрэгтэй: SQLPLUS /
 • Үйлдлийн систем дээр төвлөрсөн хэрэглэгчийн баталгаажуулалтад хяналт тавих замаар Oracle-ийн мэдээллийн сан хэрэглэгчийн нууц үгийг хадгалах эсвэл удирдах шаардлагагүй боловч мэдээллийн сан дахь хэрэглэгчийн нэрийг хадгалдаг.
 • Өгөгдлийн сан болон үйлдлийн систем дэх аудитийн мөрүүд ижил хэрэглэгчийн нэрийг ашигладаг.

Өгөгдлийн сангийн хэрэглэгчдийг баталгаажуулахын тулд үйлдлийн системийг ашигладаг бол түгээх мэдээллийн сан орчнуудыг удирдах, мэдээллийн баазын холбоосыг онцгой анхаарах шаардлагатай.

Сүлжээгээр баталгаажуулах[засварлах | edit source]

Oracle Database нь сүлжээгээр баталгаажуулах дараах аргуудыг дэмждэг:

 • Гуравдагчдын Орлогын Танилцуулга Технологи
 • Олон нийтийн түлхүүр-дэд бүтцэд суурилсан баталгаажуулалт
 • Алсын нэвтрэлт танилт


Гуравдагчдын Орлогын Танилцуулга Технологи:

Сүлжээний нэвтрэлт танилтын үйлчилгээнүүд танд (DCE, Kerberos, эсвэл SESAME гэх мэт) боломжтой бол, Oracle Database нь сүлжээний үйлчилгээнээс нэвтрэлт танилтыг хүлээн авч чаддаг. Хэрэв та сүлжээний нэвтрэлт танилтын үйлчилгээг ашиглаж байгаа бол сүлжээний үүрэг болон мэдээллийн баазын холболтуудад зарим онцгой анхаарал хандуулдаг.

Олон нийтийн түлхүүр-дэд бүтцэд суурилсан баталгаажуулалт[засварлах | edit source]

Нийтийн түлхүүрийн криптограф дээр үндэслэн баталгаажуулах систем нь хэрэглэгчийн клиентүүдэд дижитал гэрчилгээ олгох бөгөөд тэдгээр нь шууд баталгаажуулалтын серверт шууд холбогдоогүй аж ахуйн нэгжийн серверүүдтэй шууд холбогдон баталгаажуулах зорилгоор ашигладаг. Oracle мэдээллийн бааз нь дараахь бүрэлдэхүүн хэсгээс бүрдсэн нийтийн түлхүүр ба гэрчилгээг ашиглахад нийтийн түлхүүрийн дэд бүтэц (PKI) олгодог.

Үүнд:

 • Secure Sockets Layer (SSL) ашиглан нэвтрэлт танилт болон нууц түлхүүрийг удирдах.
 • Oracle Call интерфэйс (OCI), PL / SQL функцууд нь хувийн түлхүүр, гэрчилгээ ашиглан хэрэглэгчийн өгөгдөлд гарын үсэг зурах, итгэмжлэгдсэн гэрчилгээ ашиглан өгөгдлүүдийн гарын үсэгийг баталгаажуулах.
 • Итгэмжлэгдсэн сертификат, тухайн байгууллагын мэдэгдэж буй этгээдийн нэгэн адил үнэмлэхийг баталгаажуулж байх үед хэрэглэгчийн гэрчилгээний гэрээнд гарын үсэг зурсан итгэмжлэгдсэн гуравдагч этгээдийг тодорхойлох.
 • Oracle түрийвч, хэрэглэгчийн хувийн түлхүүр, хэрэглэгчийн сертификат, хэрэглэгчийн багц итгэмжлэлийн багц (итгэмжлэгдсэн итгэмжлэгдсэн эрх бүхий байгууллага) агуулсан өгөгдлийн бүтэц байдаг.
 • Oracle Wallet менежер, Oracle түрийвч дэх аюулгүй байдлын итгэмжлэлүүдийг удирдах, засварлахад ашиглагддаг дангаараа Java програм.
 • Oracle Database-ийн гаднах сертификатын байгууллагаас итгэмжлэгдсэн байгууллага (гарын үсэг зурсан) X.509v3 гэрчилгээнүүд.
 • X.509 сертификатаар баталгаажуулсан хэрэглэгчдийг оролцуулан хэрэглэгчдэд зориулсан аюулгүй байдлын шинж чанарууд ба давуу эрхийг удирдахын тулд Oracle Internet Directory. Энэ нь атрибутын түвшний хандалтын хяналтыг идэвхжүүлж, админ гэх мэт тодорхой нэртэй хэрэглэгчдэд хязгаарлахын тулд тусгай шинж чанарууд дээр давуу эрхийг унших, бичих эсвэл шинэчлэх боломжийг идэвхжүүлдэг.
 • Oracle Enterprise Security Manager нь удирдлагын хялбар байдлыг хангаж, аюулгүй байдлын түвшинг нэмэгдүүлэхийн тулд төвлөрсөн давуу эрхтэй удирдлагаар хангадаг. Ингэснээр та Oracle-ийн Интернетийн Домэйноос өөрийн үүргийг хадгалдаг.
 • Oracle Enterprise Login туслах, аппликешн дээр аюулгүй SSL дээр суурилсан холболтыг идэвхжүүлэх буюу идэвхгүй болгохын тулд хэрэглэгчийн түрийвчийг онгойлгох, хаах Java-суурилсан хэрэгсэл.


Алсын нэвтрэлт танилт:

Oracle мэдээллийн сан нь хэрэглэгчийн нэвтрэлт, зөвшөөрөл, нягтлан бодох бүртгэлд хэрэглэгддэг стандарт хөнгөн тохиргоог (RADIUS) ашиглан алсын хэрэглэгчийн нэвтрэлтийг дэмждэг.

Oracle Database-ийн баталгаажуулалт[засварлах | edit source]

Oracle Database нь тухайн өгөгдлийн сан дахь мэдээллийг ашиглан мэдээллийн санд холбохыг оролдож буй хэрэглэгчид баталгаажуулдаг. Өгөгдлийн нотолгоог ашиглахын тулд Oracle мэдээллийн баазыг тохируулахын тулд хэрэглэгчид холбогдох холболтыг үүсгэхдээ холболт үүсгэхийг оролдох үед нийлүүлэх ёстой. Энэ нь мэдээллийн баазыг хууль бусаар ашиглахаас сэргийлдэг. Учир нь хэрэв хэрэглэгч буруу үг өгсөн тохиолдолд холболтыг үгүйсгэх болно. Oracle мэдээллийн сан нь өгөгдлийн толь бичигт хэрэглэгчийн нууц үгийг шифрлэсэн хэлбэрээр хадгалдаг бөгөөд ингэснээр хууль бус өөрчлөлт оруулахаас урьдчилан сэргийлж болох боловч хэрэглэгч ямар ч үед нууц үгээ өөрчилж болно. Өгөгдлийн сангийн нэвтрэлт нь дараахь боломжуудыг агуулдаг:

 • Нууц үг шифрлэх
 • Акаунт түгжих
 • Нууц үг Насан туршийн хугацаа болон хугацаа дуусна
 • Нууц үгийн нарийн төвөгтэй байдал


Нууц үг шифрлэх:

Нууц үгийн нууцыг хамгаалахын тулд Oracle Database нь сүлжээгээр дамжин өнгөрөх классексийн нууц үгийг илгээдэггүй. Хэрэв сүлжээгээр нууц үг дамжуулах шаардлагатай бол Oracle Database нь NIST (National Institute of Standards and Technology) -аас баталсан AES (Advanced Encryption Standard) алгоритм ашиглан нууц кодыг шифрлэдэг.
Акаунт түгжих:

Oracle мэдээллийн бааз нь тодорхой тооны дараалсан амжилтгүй нэвтэрсэн оролдлогын дараа хэрэглэгчийн бүртгэлийг түгжих боломжтой. Та тодорхой хугацааны интервал эсвэл өгөгдлийн сангийн администраторын үйл ажиллагаа түгжигдэхийн тулд автоматаар түгжээг тайлахын тулд акаунтаа тохируулж болно. Өгөгдлийн сангийн администратор нь дансаа дангаараа түгжиж, өгөгдлийн сангийн администратороор түгжигдэх ёстой.

Нууц үг насан туршийн хугацаа болон хугацаа дуусна.Өгөгдлийн сангийн администратор нууц үгээ насан туршдаа зааж өгч дууссаны дараа тэдгээр нь хугацаа нь дуусах бөгөөд дансны нэвтрэх дахин зөвшөөрөхөөс өмнө өөрчлөгдөх ёстой. Ачааллын үеийг үүсгэж болох ба, өгөгдлийн сангийн акаунт руу нэвтрэх оролдлого болгон нууц үгээ өөрчлөх дохиог хүлээн авдаг. Хэрэв тухайн хугацааны төгсгөлд энэ нь өөрчлөгдөөгүй бол данс түгжигдэнэ. Өгөгдлийн сангийн администраторын тусламжгүйгээр энэ бүртгэлд нэвтрэх боломжгүй байна. Өгөгдлийн сангийн администратор нь нууц үгийн төлөвийг хугацаа нь дууссан тул хэрэглэгчийн бүртгэлийн статус хугацаа нь дууссаны дараа өөрчлөгддөг. Хэрэглэгч буюу өгөгдлийн сангийн администратор хэрэглэгч өгөгдлийн сан руу нэвтрэхийн өмнө нууц үгээ солих ёстой. Нууц үгийн түүх нь нууц үгээ тодорхой хугацааны туршид эсвэл тодорхой тооны нууц үг өөрчлөгдөхөд нууц үг дахин ашиглахгүй байхын тулд шинээр нууц үг бүрийг шалгадаг.
Нууц үгийн нарийн төвөгтэй байдал:

Нууц үгэнд таах системийг системд оруулахыг оролддог халдагчдаас зохих ёсоор хамгаалж чаддаг комплекс бүрт нарийн түвэгтэй байдлыг шалгах шалгуурыг шалгах.Oracle Database-ийн анхдагч нууц үгийн нарийн төвөгтэй байдлыг шалгах шалгуур нь нууц үг бүр нь дараах шаардлагыг хангасан байна:

 • Хамгийн багадаа 8 тэмдэгт байх ба 30 тэмдэгтээс хэтрэхгүй
 • Хэрэглэгчийн нэртэй адилгүй, хэрэглэгчийн нэр нь хоцрогдсон аттестатчилагдсан, эсвэл хэрэглэгчийн нэр тоон дээр хавсаргасан байна
 • Серверийн нэртэй адилгүй, мөн 1-100 дугаартай серверийн нэртэй адилгүй
 • Нууц үг энгийн welcome биш, жишээ нь welcome1, oracle1, user1234, үсгэн үсгийн дараалсан үсгүүд, эсвэл change_on_install
 • Наад зах нь нэг цагаан толгойн тэмдэгт болон нэг тоон тэмдэглэгээг оруулах
 • Өмнөх нууц үгээс дор хаяж гурван тэмдэгтээс өөр байна


Нэвтрэлт ба зөвшөөрөл

Олон олон орчинд Oracle мэдээллийн бааз нь дунд шатны хэрэглээний аюулгүй байдлыг хянадаг бөгөөд тэдгээрийн давуу эрхийг хязгаарлаж, үйлчлүүлэгчийн танин мэдэхүйг бүх шатанд хадгалж, үйлчлүүлэгчдийн өмнөөс хийсэн аудитын үйлдлүүд юм. Ажил гүйлгээ боловсруулах монитор гэх мэт хүнд дундын түвшний хэрэглээний хувьд дунд шатны түвшинд хүрэх үйлчлүүлэгчийн хувийн байдлыг хадгалах ёстой. Дунд түвшний нэг давуу тал нь олон холболтыг нэг бүрчлэн холболт хийх шаардлагагүй олон сервер хэрэглэгчдэд хандах боломжийг олгодог. Ийм орчинд та маш хурдан холболт үүсгэх, тайлах боломжтой байх ёстой. Эдгээр орчны хувьд Oracle мэдээллийн баазын зохицуулагч нь хэрэглэгч бүрийн мэдээллийн баазыг баталгаажуулах боломжийг олгохын тулд хөнгөн сесс үүсгэхийн тулд Oracle Call Interface (OCI) -ийг ашиглаж болно. Энэ нь хэрэглэгчийг тус тусын мэдээллийн баазын холболтоос хэтрүүлэхгүйгээр дунд шатны тусламжтайгаар бодит хэрэглэгчийг тодорхойлно. Та нууц үгтэй эсвэл нууц үгтэй хөнгөн session үүсгэж болно. Гэсэн хэдий ч, дунд түвшний гадуур эсвэл галт хана бол хөнгөнцагаан бүр өөрийн нууц үгтэй байх үед аюулгүй байдал илүү дээр байдаг. Дотоод хэрэглээний серверийн хувьд нууц үггүй хөнгөн хуралдаан тохиромжтой байж магадгүй. Oracle Database 11g нь танд сервер талын холболтыг нэгтгэх боломжийг олгодог. Энэ нь өгөгдлийн сангийн холболтыг хуваалцах янз бүрийн програмууд болон хэрэглээний процессуудыг зөвшөөрдөг. Сервер талын холболтыг нэгтгэх нь зөвхөн нууц үг суурилсан баталгаажуулалтыг дэмждэг. Advanced Security Option (ASO) болон байгууллагын хэрэглэгчид одоогоор дэмжигдээгүй байна.
Secure Socket Layer Protocol-ээр баталгаажуулах: Secure Socket Layer (SSL) протокол нь application layer protocol юм. Хэрэглэгчид гадны болон гаднах (гаднах эсвэл дэлхий нийтийн хэрэглэгчид) нь SSL-ээр дамжуулан өгөгдлийн санг үүсгэх боломжтой.

Өгөгдлийн сангийн администраторуудыг баталгаажуулах[засварлах | edit source]

Өгөгдлийн сангийн администраторууд өгөгдлийн сангийн хэрэглэгчдийн хийх ёсгүй(жишээ нь, мэдээллийн санг хаах эсвэл унтраах гэх мэт) тусгай үйлдлүүдийг гүйцэтгэдэг. Oracle Database нь өгөгдлийн сангийн администраторын хэрэглэгчийн нэрийг илүү найдвартай баталгаажуулалтын схемээр хангадаг. Та өгөгдлийн сангийн администраторыг баталгаажуулахын тулд үйлдлийн системийн баталгаажуулалт эсвэл нууц үгийн файлуудын хооронд сонголт хийж болно. Нэг алсын зайн клиентээс олон төрлийн өгөгдлийн санг удирдах боломжтой. Нэвтрэлт танилт нь олон тооны мэдээллийн баазуудад SYSDBA болон SYSOPER хандалтыг төвөөс хянах боломжийг олгодог. Нууц үгийн файлын аюулгүй байдал бол асуудал үүсгэх үед өгөгдлийн сангийн удирдлагад энэ төрлийн баталгаажуулалтыг авч үзье. Хэрэв сайт нь аюулгүй байдлын маш нарийн шаардлага тавьдаг бол танай мэдээллийн баазаас таниулах удирдлагыг салгахыг хүсч байна гэсэн үг. Өгөгдлийн сангийн администраторын үйлдлийн системийн нэвтрэлт танилт нь ихэвчлэн үйлдлийн системийн хэрэглэгчийн нэрийг тусгай бүлэгт байрлуулах эсвэл тусгай процесс зөв өгөх боломжийг олгодог. (UNIX системүүд дээр бүлэг нь dba бүлэг юм.) Өгөгдлийн сан нь нууц үгийн файлыг ашигладаг бөгөөд SYSDBA болон SYSOPER давуу эрх олгосон өгөгдлийн санг хөтлөх, дараах үйлдлүүдийг идэвхжүүлдэг:

 • SYSOPER нь өгөгдлийн сангийн администраторууд STARTUP, SHUTDOWN, DATABASE OPEN / MOUNT, DATABASE BACKUP, ARCHIVE LOG, RECOVER-ыг гүйцэтгэх боломжийг олгодог.
 • SYSDBA нь ADMIN OPTION болон SYSOPER системийн давуу эрхтэй бүх системийн зөвшөөрлүүдийг агуулдаг. Зөвшөөрөл DATABASE болон цагт суурилсан сэргээх.

Эрх мэдлийн тойм[засварлах | edit source]

Зөвшөөрөл нь үндсэндээ хоёр үйл явцыг агуулдаг:

 • Зөвхөн зарим хэрэглэгчид хандах, боловсруулах, эсвэл өгөгдлийг өөрчлөхийг зөвшөөрөх
 • Хэрэглэгчийн хандалт эсвэл үйл ажиллагаанд хязгаарлалт хийх. Хэрэглэгч дээр байрлуулсан (эсвэл хасагдсан) хязгаарлалт нь схем, хүснэгт, мөр зэрэг объектуудад хамааралтай байж болно; эсвэл цаг (CPU, холболт, эсвэл сул зогссон цаг) зэрэг нөөцийн хувьд.

Энэ хэсэгт хэрэглэгчид дээрхи хязгаарлалтыг дангаар нь эсвэл бүлгээр нь байршуулах, зайлуулах үндсэн ойлголт, механизмыг танилцуулна.Энэ хэсэгт дараах сэдвүүдийг багтаасан болно:

 • Хэрэглэгчийн нөөцийн хязгаарууд ба горимууд
 • Давуу эрхийн танилцуулга
 • Үүргийн танилцуулга
 • Хэрэглээний аюулгүй байдлыг хангах

Хэрэглэгчийн нөөцийн хязгаарууд ба горимууд[засварлах | edit source]

Та хэрэглэгчид зориулж төрөл бүрийн системийн эх үүсвэрүүдийн хэмжээг хэрэглэгчийн аюулгүй байдлын домэйны хэсэг дээр хязгаарлах боломжтой. Үүнийг хийснээр та CPU-ийн цаг гэх мэт үнэ цэнэтэй системийн нөөцийн хяналтгүй хэрэглээг зогсооно. Энэ нь системийн эх үүсвэрүүд үнэтэй байдаг том, олон хэрэглэгчийн системүүд дээр маш ашигтай байдаг. Нөөцийн хэт их хэрэглээ нь нэг буюу түүнээс олон хэрэглэгчид нь мэдээллийн сангийн бусад хэрэглэгчидэд сөргөөр нөлөөлж болзошгүй. Хэрэглэгчийн нөөцийн хязгаарлалт ба нууц үгийн удирдлагын тохиргоонуудыг өөрийн профайлтай удирдах удирдамж -Та тухайн хэрэглэгчийн өгөгдсөн нөөцийн хязгаарыг тодорхойлдог. Өгөгдлийн сан бүр нь хязгааргүй тооны профайлтай байж болно. Аюулгүй байдлын администратор профайл нөөцийн хязгаарлалтыг бүхэлд нь хэрэгжүүлж, идэвхгүй болгох боломжтой. Хэрэв та нөөцийн хязгаарлалтыг тогтоосон бол хэрэглэгчид гүйцэтгэл үүсгэх үед гүйцэтгэлийн явцад бага зэрэг доройтол үүсдэг. Учир нь хэрэглэгч нь мэдээллийн бааз руу холбогдох үед Oracle Database нь хэрэглэгчийн бүх нөөцийн хязгаарыг агуулдаг.

Давуу эрхийн танилцуулга[засварлах | edit source]

Давуу эрх гэдэг нь тодорхой төрлийн SQL statement эсвэл өөр хэрэглэгчийн объектод хандах эрх юм. Хэрэглэгчдэд ажил олгогчдод олгох давуу эрхийг эдлүүлэхийн тулд ажил олгогчдод олгох давуу эрх олгодог. Зөвхөн тэдгээрийг шаарддаг хэрэглэгчдэд лицензийн эрх олгоно. Шаардлагагүй давуу эрхүүдийг хэт их олгох нь аюулгүй байдлыг алдагдуулж болзошгүй. Хэрэглэгч нь давуу эрхтэй хоёр өөр аргаар хүлээн авч болно:

 • Та хэрэглэгчдэд онцгой эрхийг олгож болно. Жишээлбэл, та SCOTT хэрэглэгчийн бүртгэлд ажилтнуудын хүснэгтэнд бичилт хийх эрх олгож болно.
 • Та онцгой үүрэг гүйцэтгэх эрх (нэртэй бүлгийн тусгай бүлэг) олгож, дараа нь нэг буюу түүнээс олон хэрэглэгчдэд үүрэг гүйцэтгэх боломжтой. Жишээлбэл, та ажилчдын хүснэгтээс баримтыг сонгох, оруулах, шинэчлэх, устгах эрх бүхий албан тушаалтны үүрэг ролийг олгодог бөгөөд ингэснээр та хэрэглэгчид scott болон brian-д олгож болно.


Үүргийн танилцуулга[засварлах | edit source]

Эрх олгох, хянах эрхтэй давуу талуудыг ашиглан, таны олгосон эрх ямба, групп, хэрэглэгчид эсвэл бусад үүрэг хариуцлагыг групп гэж нэрлэнэ. Өгөгдлийн сан доторхи нэр бүрийн нэр нь өвөрмөц байх бөгөөд бүх хэрэглэгчийн нэрс болон бусад бүх нэрний нэрээс ялгаатай байх ёстой. Схемийн объектуудаас ялгаатай нь ямар ч схемд ямар ч үүрэг гүйцэтгээгүй. Тиймээс үүрэг гүйцэтгэгчийг үүсгэх хэрэглэгчийг дүрмэнд ямар ч нөлөө үзүүлэхгүй.Үүрэг-төгсгөлийн хэрэглэгчийн систем ба схемийн объектын давуу эрхийг удирдах. Гэсэн хэдий ч, програм хөгжүүлэгчдийн үүрэг ролийг ашиглах шаардлагагүй юм. Учир нь хадгалагдсан программын хүрээнд схемийн обьектуудад хандах эрхүүд шууд олгогддог.

Хэрэглээний аюулгүй байдлыг хангах[засварлах | edit source]

Oracle өгөгдлийн сан нь аюулгүй програмын үүргийг гүйцэтгэдэг бөгөөд энэ нь эрх бүхий PL / SQL багцуудыг л идэвхжүүлсэн үүргийг гүйцэтгэдэг. Энэ механизм нь хэрэглээний програмд ийм үүргийг гүйцэтгэх боломжийг хязгаарладаг.Нууц үг нь програмын эх кодод суулгаагүй эсвэл хүснэгтэнд хадгалагдаагүй үед нууцлалыг бэхжүүлдэг. Үүний оронд аюулгүй байдлын хэрэглээний үүргийг үүсгэж болох бөгөөд ингэснээр PL / SQL багц үүргийг нь идэвхжүүлэхийг зааж өгнө. Багцын тодорхойлолт нь давуу эрхийг хангалттай эсэхийг тодорхойлоход ашигладаг. Үүрэг идэвхжүүлэхээсээ өмнө програм нь хэрэглэгчийн итгэмжлэгдсэнээр холбогдож байгаа эсэхийг шалгах гэх мэт нэвтрэлт танилт болон өөрчилсөн зөвшөөрлийг гүйцэтгэх боломжтой.

Хүснэгт, View , синониум, Мөр эсвэл Хандалтын хязгаарлалтуудын тойм[засварлах | edit source]

Энэ хэсэг нь хэрэглэгчидтэй бус, харин обьектуудтай холбоотой хязгаарлалтуудыг тайлбарладаг. Хязгаарлалтууд нь тэднийг нэвтрэх, өөрчлөхийг хүсч байгаа байгууллагаас үл хамааран хамгаалалтыг бий болгоно. Та тусгай хүснэгт, views, синониум, мөрүүд рүү хандах хандалтыг хязгаарлахын тулд бодлого боловсруулах, ашиглах замаар энэхүү хамгаалалтыг хангадаг. Эдгээр бодлого нь хязгаарлалтуудыг бий болгосон динамик үзүүлэлтүүдийг тодорхойлохоор төлөвлөж буй функцуудыг дууддаг. Та мөн бодлогын бүлгийг тодорхой нэг аппликешнд нэвтрүүлж, тогтоосон бодлогыг бүлэглэж болно. Ийм хамгаалалтыг бий болгосноор тэднийг заналхийлсэн, зөрчсөн тохиолдолд мэдэгдэх шаардлагатай. Мэдэгдэл өгснөөр та өөрийн хамгаалалтаа бэхжүүлж, зохисгүй үйлдлийн үр дагавар болон тэдгээрийг үүсгэсэн байгууллагуудын үр дагаврыг шийдвэрлэх боломжтой.

Нарийн боловсруулсан Хандалтын хяналт[засварлах | edit source]

Нарийн боловсруулсан хандалтын хяналт нь аюулгүй байдлын бодлогуудыг хэрэгжүүлэх болон тэдгээр аюулгүй байдлын бодлогыг хүснэгт, үзэл бодол, эсвэл синониумуудтай холбох боломжийг танд олгоно. Өгөгдлийн сангийн сервер нь өгөгдөл хэрхэн хандаж байгаагаас үл хамааран таны аюулгүй байдлын бодлогыг автоматаар хэрэгжүүлдэг. You can:

 • SELECT, INSERT, UPDATE, болон DELETE (INDEX түвшний аюулгүй байдлын бодлогуудын хувьд) өөр өөр бодлогуудыг ашиглаарай.
 • Аюулгүй байдлын бодлогыг зөвхөн хэрэгцээтэй газарт нь ашиглаарай (жишээ нь, цалингийн мэдээлэл).
 • Хүснэгт бүрийн хувьд нэгээс олон бодлогыг ашиглах, багц бүрийн хэрэглээний үндсэн бодлогыг дээшлүүлэх гэх мэт.
 • Бодлогын бүлгийг ашиглан өөр өөр хэрэглээний програмуудын хоорондох бодлогыг ялгах. Бодлогын бүлэг бүр нь програмд хамаарах бодлогын багц юм. Өгөгдлийн сангийн администратор нь бодлогын бүлэгийг идэвхжүүлэхийн тулд аппликешны орчинг тодорхойлж өгдөг. Хүснэгт, үзэл бодол эсвэл синониумд хандах үед нарийн боловсруулсан хандалтын хяналтын хөдөлгүүр нь бодлогын бүлэгт нөлөөлөх бодлогын бүлгийг тодорхойлж, тухайн бодлогын бүлэгт хамаарах бүх холбогдох бодлогуудыг шаарддаг.

PL / SQL багцын DBMS_RLS нь аюулгүй байдлын бодлогуудыг удирдах боломжийг олгоно.Энэ багцыг ашиглан та өөрийн үүсгэсэн бодлого (эсвэл бодлогын бүлгүүд) нэмэх, хасах, идэвхжүүлэх, идэвхгүй болгох, сэргээх боломжтой.

Холбоос:
 *https://docs.oracle.com/cd/B19306_01/appdev.102/b14258/toc.htm* Багцын хэрэгжилтийн талаархи мэдээлэл
 *https://docs.oracle.com/cd/B19306_01/appdev.102/b14251/toc.htm* Аюулгүй байдлын бодлогыг бий болгох мэдээлэл, жишээнүүд

Динамик хэсгүүд[засварлах | edit source]

Үзүүлэлтийн үед аюулгүй байдлын дүрмүүд агуулаагүй байхын оронд үндсэн хүснэгт эсвэл үзэл баримтлалыг DML мэдэгдэлд иш татсан үед динамик үндсэн утгууд нь мэдэгдэж буй задлан шинжилгээний үед олж авна. Таны үүсгэсэн аюулгүй байдлын бодлогыг хэрэгжүүлдэг функц эсвэл багц нь үндсэн мэдээлэл (WHERE нөхцөл) -ийг буцаадаг. Энэ үндсэн хяналт нь бодлогын тодорхойлолтоор хандах хандалтыг хянадаг. Дахин бичсэн асуулга (querie )нь бүрэн оновчтой, хуваалцах боломжтой. Хүснэгт, харах, эсвэл синкийн хувьд динамик үндсэн суурь нь аюулгүй байдлын бодлоготой холбоотой PL / SQL функцээр үүсгэгддэг.

Хэрэглээний програмын байдал[засварлах | edit source]

Хэрэглээний програмын нөхцөл нь нарийн боловсруулагдсан хандалтын хяналтыг ашиглахад тусалдаг тул та функцэд суурилсан аюулгүй байдлын бодлогыг хэрэглэж болно. Хэрэглээний програм бүр өөрийн гэсэн онцлогтой ямар ч хэрэглэгч дур мэдэн өөрчилж чадахгүй (жишээ нь, SQL * Plus -ээр дамжуулан). Хамаарлын шинж чанарууд нь таны аюулгүй байдлын бодлогыг хэрэгжүүлдэг функцүүдэд хүртээмжтэй байдаг. Жишээлбэл, хүний нөөцийн хэрэглээний агуулгын шинж чанар нь "байршил", "байгууллагын нэгж", "улс орон" -ыг багтааж болно. Захиалгын элементийн захиалга нь "хэрэглэгчийн дугаар", "борлуулалтын бүс" байж болно. Хэрэглээний програм нь уян хатан програмд ашигласан шинж чанаруудыг, парамерт суурилсан хандалтын хяналтыг зөвшөөрдөг. You can:

 • Base predicates on context values-Хүрээллийн утгын үндсэн суурь
 • Үндсэн утгын хүрээнд утгыг ашиглаж хувьсагчдыг холбох
 • Тодорхой хэрэглэгчийн шинж чанарууд
 • Нэвтрэх хэрэглэгчийн шинж чанарууд
 Холбоос:
 *https://docs.oracle.com/cd/B19306_01/appdev.102/b14258/toc.htm* 
 *https://docs.oracle.com/cd/B19306_01/appdev.102/b14251/toc.htm* 

Динамик нөхцөлүүд[засварлах | edit source]

Таны бодлого бодлогын статик, хуваалцсан, контекст-мэдрэмжтэй, эсвэл динамик эсэхийг тодорхойлох замаар цаг хугацааны үр нөлөөг тодорхойлж чадна Хэрэв энэ нь статик юм бол, тухайн обьектод хандах хүн бүрт ижил үндсэн мөрийг үүсгэдэг бөгөөд энэ нь нэг удаа SGA ажиллуулж, кэшлэгдсэн байдаг. Нэг обьект руу хандах мэдэгдлийн бодлогууд нь бодлогын функцийг дахин ажиллуулдаггүй, гэхдээ оронд нь cached predicate ашигладаг. Энэ нь бодлогын ижил төрлийн бодлогын ижил функцаар үүсгэгдсэн кэшийн үндсэн эх үүсвэрийг сервер эхлээд хайж байгаа статик-бодлогын хувьд мөн адил юм. Хуваалцсан-статик бодлого нь байршлын талаарх өгөгдлийн хуваалтад тохиромжгүй байдаг тул бараг бүх обьектууд нь ижил функцтэй байдаг бөгөөд энэ нь статик бодлого юм. Хэрэв та өөрийн бодлогын контекст-мэдрэмжийг шошголдог бол сервер нь бодлогын функцийг задлан шинжлэх аргаар үргэлж ажиллуулдаг бөгөөд энэ нь буцаасан утга буцаахгүй. Сервер нь курсорын хамгийн сүүлчийн хэрэглээтэй болсноор контекстын өөрчлөлтийг илрүүлэхгүй бол бодлогын функцийг илэрхийлсэн гүйцэтгэлийн цагт дахин үнэлгээ хийгддэггүй.(Олон тооны клиентүүд өгөгдлийн сангийн сеансаа хуваалцдаг сеанс холболтод зориулж клиент свопын үед дунд шатны утгыг дахин тохируулах ёстой.) Контекст-мэдрэмжтэй бодлогыг хуваалцах үед,сервер эхлээд ижил мэдээллийн бодлогын хүрээнд ижил төрлийн бодлогын функцээр үүсгэгдсэн кэшийн үндсэн ойлголтыг хайж олох болно. Хэрэв үндсэн өгөгдлүүд нь сессийн санах ойд байгаа бол дараа нь бодлогын функцыг дахин ажиллуулахгүй бөгөөд сеанс хувийн хэрэглээний орчин өөрчлөгдөх хүртэл кэш хийгдсэн утга хүчин төгөлдөр байна. Динамик бодлогын үүднээс, сервер нь ямар нэгэн систем эсвэл сесс орчинд ямар нэгэн нөлөөнд өртөж болзошгүй гэж үздэг бөгөөд энэ нь бодлогын функцийг үргэлжлүүлэн задлан шинжлэх эсвэл гүйцэтгэх үйл явцад үргэлжл ажиллуулдаг.

Нарийн боловсруулсан аудит/хяналт/[засварлах | edit source]

Нарийн боловсруулсан аудит нь контент дээр тулгуурлан өгөгдлийн хандалтын мониторинг хийх боломжийг олгодог. Энэ аудит нь INSERT, UPDATE, болон DELETE үйлдлүүдийг агуулдаг. Жишээлбэл, төв татварын алба нь ажилчдын анхаарлыг сарниулахын тулд татварын өгөөж рүү хандах хандалтыг хянах, ямар өгөгдөлд хандах вэ гэдгийг тодорхойлох хангалттай нарийвчилсан мэдээлэлтэй байх шаардлагатай. SELECT цэсийг тодорхой хүснэгтэнд тодорхой хэрэглэгч ашиглаж байсан нь хангалттай биш юм. Нарийн боловсруулсан аудит нь илүү гүнзгий үйл ажиллагааг хангадаг. Ер нь нарийн боловсруулсан аудитын бодлого нь сонгогдсон аудитын нөхцөл болох хүснэгтийн объект дээрх энгийн хэрэглэгчийн тодорхойлсон SQL-ийн үндсэн дээр үндэслэдэг. Ачаалах үед, буцах мөрийн хувьд бодлогын нөхцөл хангагдсан тохиолдолд хайлтыг аудит хийх болно. Дараа нь, Oracle нь хэрэглэгчийн тодорхойлсон аудитийн үйл явдлуудыг ажиллуулахын тулд бие даасан гүйлгээнүүдийг ашиглан ажиллуулдаг. Нарийн боловсруулсан аудитыг DBMS_FGA багцыг ашиглан хэрэглэгчийн програмуудаар эсвэл мэдээллийн санг ашиглах замаар хэрэгжүүлж болно.

 Холбоос:
 *https://docs.oracle.com/cd/B19306_01/appdev.102/b14251/toc.htm* 

Аюулгүй байдлын бодлогын тойм[засварлах | edit source]

Энэ хэсэгт дараах сэдвүүдийг агуулна:

 1. Системийн аюулгүй байдлын бодлого
 2. Өгөгдлийн аюулгүй байдлын бодлого
 3. Хэрэглэгчийн аюулгүй байдлын бодлого
 4. Нууц үгийн менежментийн бодлого
 5. Аудитын бодлого

Системийн аюулгүй байдлын бодлого[засварлах | edit source]

Аюулгүй байдлын администраторууд: Мэдээллийн бааз бүр аюулгүй байдлын бодлогын бүх асуудлыг хангах үүрэгтэй нэг буюу түүнээс дээш администраторуудад байдаг.Хэрэв өгөгдлийн сангийн систем нь жижиг бол мэдээллийн сангийн администратор аюулгүй байдлын администраторын үүрэгтэй байж болно. Гэхдээ өгөгдлийн сангийн систем нь том бол тусгай хүн эсвэл бүлэг хүмүүс аюулгүй байдлын администраторын үүрэгтэй байдаг. Аюулгүй байдлын бодлого бүр мэдээллийн сан бүрдүүлэх ёстой. Аюулгүй байдлын бодлого нь дараах дэд хэсгүүдэд тайлбарласны дагуу хэд хэдэн дэд бодлогыг агуулах ёстой.

Өгөгдлийн сангийн хэрэглэгчийн удирдлага

Өгөгдлийн сангийн системийн хэмжээ, өгөгдлийн сангийн хэрэглэгчдийг удирдахад шаардагдах ажлын хэмжээ зэргээс хамааран аюулгүй байдлын администратор нь өгөгдлийн сангийн хэрэглэгчдийг үүсгэх, өөрчлөх, эсвэл устгахад шаардагдах давуу эрх бүхий цорын ганц хэрэглэгч байж болно. Эсвэл, өгөгдлийн сангийн хэрэглэгчдийг удирдах эрхтэй хэд хэдэн администраторууд байж болно. Үүний зэрэгцээ, зөвхөн итгэмжлэгдсэн хүмүүс өгөгдлийн сангийн хэрэглэгчидийг удирдах хүчтэй давуу эрхтэй байх ёстой.

Хэрэглэгчийн баталгаажуулалт

Өгөгдлийн сангуудын хэрэглэгчид нь Oracle-ээр өгөгдлийн сангийн нууц үг, хост үйлдлийн систем, сүлжээний үйлчилгээ, эсвэл Secure Sockets Layer (SSL) ашиглан баталгаажуулж болно.

 Холбоос:
 *https://docs.oracle.com/cd/B19306_01/server.102/b14220/security.htm#i12374*

Үйлдлийн системийн аюулгүй байдал

Хэрэв боломжтой бол Oracle-г ажиллуулж байгаа үйлдлийн системийн орчны хувьд аюулгүй байдлын дараах асуудлуудыг мөн авч үзэх хэрэгтэй бөгөөд ямар ч өгөгдлийн сангийн програмуудад зориулсан:

 • Өгөгдлийн сангийн администраторууд файл үүсгэх, устгах үйлдлийн системийн зөвшөөрлүүдтэй байх ёстой.
 • Өгөгдлийн сангийн хэрэглэгчид өгөгдлийн сантай холбоотой файл үүсгэх эсвэл устгах үйлдлийн системийн давуу эрхгүй байх ёсгүй.
 • Үйлдлийн систем хэрэглэгчдийн өгөгдлийн сангийн үүрэг хариуцлагыг тодорхойлдог бол аюулгүй байдлын админууд үйлдлийн системийн акаунтын аюулгүй байдлын домайныг өөрчлөх үйлдлийн системийн зөвшөөрлүүдтэй байх ёстой.

Өгөгдлийн аюулгүй байдлын бодлого[засварлах | edit source]

Өгөгдлийн аюулгүй байдал нь обьектийн түвшинд өгөгдөлд хандах хандалтыг хянах механизмтай байдаг.Таны өгөгдлийн аюулгүй байдлын бодлого нь хэрэглэгчид тухайн схемийн тодорхой обьектод хандах хандалтыг тодорхойлдог ба тухайн объект дээрх хэрэглэгч бүрийн зөвшөөрөгдсөн үйлдлийн тодорхой төрлийг тодорхойлно. Жишээлбэл, хэрэглэгчийн scott нь SELECT болон INSERT мэдэгдлүүдийг гаргаж болох боловч ажилчдын хүснэгтийг ашиглан DELETE мэдэгдэл хийх биш юм. Таны өгөгдлийн аюулгүй байдлын бодлого нь схемийн объект бүрийн хувьд аудитлагдсан үйлдлүүдийг тодорхойлох ёстой. Таны өгөгдлийн аюулгүй байдлын бодлогыг үндсэндээ таны өгөгдлийн санд байгаа өгөгдлүүдийн аюулгүй байдлын түвшингээр тодорхойлно. Жишээлбэл, хэрэглэгч ямарваа нэгэн схем объект үүсгэхийг зөвшөөрөх эсвэл өөрийн объектуудад системийн ямар ч хэрэглэгч рүү хандах эрх олгодогийг зөвшөөрөхийн тулд өгөгдлийн сан дахь өгөгдлийн аюулгүй байдлын хувьд бага байж болох юм. Өөрөөр хэлбэл, өгөгдлийн аюулгүй байдлын хувьд өгөгдлийн аюулгүй байдлын администратор эсвэл обьектууд үүсгэх давуу эрх бүхий этгээдийг үүсгэх, обьект болон хэрэглэгчдэд обьектуудад хандах эрхүүдийг олгохыг хүсэх үед шаардлагатай байж болох юм. Өгөгдлийн аюулгүй байдлын ерөнхий байдал нь өгөгдлийн мэдрэмж- sensitivity дээр суурилсан байх ёстой. Мэдээлэл мэдрэмтгий биш бол өгөгдлийн аюулгүй байдлын бодлого илүү сул болно. Гэсэн хэдий ч, өгөгдөл мэдрэмтгий бол обьектод хандах хандалтыг хянахын тулд аюулгүй байдлын бодлогыг боловсруулсан байх ёстой. Өгөгдлийн аюулгүй байдлыг хэрэгжүүлэх зарим арга зам нь систем, объектын давуу эрх, үүрэг роль зэргийг багтаадаг. Үүрэг нь хэрэглэгчдэд олгож болох давуу эрхүүдийн багц юм. Тэдгээрийн тодорхойлолт нь хүснэгтийн хандалтад хандах хандалтыг хязгаарлаж болох учраас өгөгдлийн аюулгүй байдлыг хэрэгжүүлэх боломжтой. Тэд эмзэг-sensitivity өгөгдлийг агуулсан багануудыг хасч болно. Өгөгдлийн аюулгүй байдлыг хэрэгжүүлэх өөр нэг арга бол нарийн боловсруулсан хандалтын хяналт болон холбогдох хэрэглээний орчинг ашиглах явдал юм. Нарийн боловсруулсан хандалтын хяналт нь аюулгүй байдлын бодлогыг функцтэйгээр хэрэгжүүлж, тэдгээр аюулгүй байдлын бодлогыг хүснэгтээр эсвэл үзэл бодолтой холбох боломжийг олгодог. Үүний үр дүнд аюулгүй байдлын бодлогын функц нь SQL statement-т тавигдаж байгаа WHERE нөхцөлийг үүсгэдэг бөгөөд ингэснээр хүснэгтийн эсвэл өгөгдөл дэх өгөгдлийн мөрүүдийг хэрэглэгчдэд хандахыг хязгаарладаг. Хэрэглээний програмын нөхцөл нь хандалтын хяналтын шийдвэр гаргахад ашиглагддаг мэдээллийг хадгалахад аюулгүй өгөгдлийн кэш юм.

 Холбоос:
 *https://docs.oracle.com/cd/B19306_01/server.102/b14231/toc.htm* үзэл бодлын талаар илүү дэлгэрэнгүйг үзнэ үү
 *https://docs.oracle.com/cd/B19306_01/appdev.102/b14251/toc.htm* нарийн боловсруулсан хандалтын хяналт болон хэрэглээний програмын тухай илүү дэлгэрэнгүйг үзнэ үү
 *https://docs.oracle.com/cd/B19306_01/appdev.102/b14258/toc.htm*

Хэрэглэгчийн аюулгүй байдлын бодлого[засварлах | edit source]

Энэ хэсэг нь хэрэглэгчийн аюулгүй байдлын бодлогын асуудлуудыг тодорхойлж дараах сэдвүүдийг агуулна:

 1. Хэрэглэгчийн ерөнхий аюулгүй байдал
 2. Эцсийн хэрэглэгчийн аюулгүй байдал
 3. Админы аюулгүй байдал
 4. Програм хөгжүүлэгчийн аюулгүй байдал
 5. Програмын Админаторын аюулгүй байдал

Хэрэглэгчийн ерөнхий аюулгүй байдал

Бүх төрлийн өгөгдлийн сангийн хэрэглэгчдийн хувьд нууц үгийн аюулгүй байдал болон онцгой эрхийн менежментийг авч үзэх. Хэрэв хэрэглэгчийн нэвтрэлт танилтын өгөгдлийн сангаар удирдуулсан бол аюулгүй байдлын админууд мэдээллийн аюулгүй байдлын нууцлалыг хадгалахын тулд нууц үгийн аюулгүй байдлын бодлогыг боловсруулах ёстой. Жишээлбэл, өгөгдлийн сангийн хэрэглэгчид өөрсдийн нууц үгийг тогтмол давтамжтайгаар солих ёстой. Хэрэглэгчийг нууц үгээ өөрчлөх замаар мэдээллийн санд хууль бусаар хандах боломжийг бууруулж болно. Таны нууц үгийн нууцлалыг хамгаалахын тулд Oracle-ийг клиент / сервер болон сервер / серверийн холболтын хувьд шифрлэсэн нууц үгүүдийг ашиглах боломжтойгоор тохируулж болно. Мөн бүх төрлийн хэрэглэгчдэд зориулсан давуу эрхийн менежменттэй холбоотой асуудлыг авч үзэх. Жишээлбэл, олон хэрэглэгчид, програмууд, обьектууд бүхий өгөгдлийн сан нь хэрэглэгчид ашиглах боломжтой давуу эрхийг удирдахын тулд үүргийг ашиглахаас ашиг тус хүртэнэ. Өөрөөр, хэрэглэгчийн нэрс бүхий өгөгдлийн сан дахь хэрэглэгчдэд давуу эрх олгож, үүрэг хариуцлагаас зайлсхийх нь илүү хялбар байж болох юм.

Эцсийн хэрэглэгчийн аюулгүй байдал

Аюулгүй байдлын администраторууд эцсийн хэрэглэгчийн аюулгүй байдлын бодлогыг тодорхойлох ёстой. Хэрэв мэдээллийн бааз олон хэрэглэгчидтэй бол, аюулгүй байдлын администратор аль бүлгийн хэрэглэгчийг хэрэглэгчийн бүлгүүдэд ангилж болохыг тодорхойлж дараа нь эдгээр бүлгүүдийн хувьд хэрэглэгчийн үүрэг үүсгэх болно. Аюулгүй байдлын админ хэрэглэгчийн үүрэг болгонд шаардлагатай давуу эрх, хэрэглээний үүргийг олгож, хэрэглэгчдэд хэрэглэгчийн үүрэг оноож чадна. Аливаа үл хамаарах зүйлийг тооцоолохын тулд аюулгүй байдлын администратор нэг хэрэглэгчидэд ямар давуу эрх олгох ёстойг шийдэх ёстой. Үүрэг нь өгөгдлийн сангийн хэрэглэгчдийн хэрэгцээнд нийтлэг давуу эрх олгох, хамгийн хялбар арга юм. Та мөн хэрэглэгчид болон тэдгээрийн зөвшөөрлийг Oracle Advanced Security-ийн аж ахуйн нэгжийн хэрэглэгчид болон аж ахуйн нэгжийн гүйцэтгэх үүрэг функцоор төвийн үйлчилгээнд төвтэйгээр удирдах боломжтой.

Админы аюулгүй байдал

Аюулгүй байдлын администраторууд өгөгдлийн сангийн администраторын аюулгүй байдлыг хангах бодлоготой байх ёстой. Жишээлбэл, өгөгдлийн сан нь том бөгөөд өгөгдлийн сангийн администраторын хэд хэдэн төрлүүд байдаг бөгөөд аюулгүй байдлын администратор нь захиргааны удирдлагын хэд хэдэн үүргийг гүйцэтгэж болно. Захиргааны үүргийг зохих администратор хэрэглэгчдэд олгож болно. Эсвэл өгөгдлийн сан нь жижиг, цөөхөн админтай байх тохиолдолд захиргааны нэг үүрэг үүсгэх, бүх администраторуудад олгоход илүү тохиромжтой байж болох юм.

Холболтыг SYS болон SYSTEM гэж хамгаална

Өгөгдлийн сан үүсгэсний дараа SYS болон SYSTEM-д зориулсан анхдагч нууц үгүүдийг ашиглавал SYS, SYSTEM удирдлагын хэрэглэгчийн нэрсийг нууц үгээ солино. SYS буюу SYSTEM-г холбох нь өгөгдлийн санг өөрчлөхөд маш их давуу эрх олгодог.

Админы холболтыг хамгаалах

Зөвхөн өгөгдлийн сангийн администраторууд нь өгөгдлийн санд холбогдох боломжтой давуу эрхтэй байх ёстой.

For example: CONNECT username/password AS SYSDBA/SYSOPER

SYSOPER-г холбох нь хэрэглэгчид үйл ажиллагааны үндсэн ажлуудыг гүйцэтгэх боломжтой (STARTUP, SHUTDOWN, сэргээх ажиллагаа гэх мэт). SYSDBA-г холбох нь эдгээр хэрэглэгчдэд өгөгдлийн сангийн өгөгдлүүд эсвэл өгөгдлийн сан доторх обьектууд (үүнд CREATE, DROP, DELETE зэрэг) юу ч хийх эрхгүй давуу эрх олгодог. SYSDBA нь SYS схемд хэрэглэгчийг өгдөг бөгөөд тэдгээр нь өгөгдлийн толь хүснэгтүүдийг өөрчилдөг.

Програм хөгжүүлэгчийн аюулгүй байдал[засварлах | edit source]

Аюулгүй байдлын администраторууд аппликешн хөгжүүлэгчдийн өгөгдлийн санг ашиглан аюулгүй байдлын бодлогыг тодорхойлох ёстой. Аюулгүй байдлын администратор аппликешн хөгжүүлэгчдэд шаардлагатай обьектуудыг үүсгэх давуу эрх олгож болно. Эсвэл, өөрөөр хэлбэл, обьектуудыг үүсгэх давуу эрхүүд зөвхөн өгөгдлийн сангийн администраторид олгогдож болох бөгөөд дараа нь хөгжүүлэгчээс обьект үүсгэх хүсэлтийг хүлээн авдаг.

Програм хөгжүүлэгчид ба тэдний эрх ямба

Өгөгдлийн сангийн програм хөгжүүлэгчид нь тусгайлсан мэдээллийн давуу эрхтэй хэрэглэгчдийн тусгайлсан бүлгүүдийг шаарддаг. Эцсийн хэрэглэгчидээс ялгаатай нь хөгжүүлэгчид TREASURES, CREATE PROCEDURE гэх мэт системийн давуу эрх хэрэгтэй. Гэсэн хэдий ч, хөгжүүлэгчдэд өгөгдлийн сангийн ерөнхий чадамжаа хязгаарлахад зөвхөн системийн тусгай зөвшөөрлүүд олгоно. Ихэнх тохиолдолд програмын санг тестлэхийн тулд програм хөгжүүлэх нь хязгаарлагдсан бөгөөд үйлдвэрлэлийн өгөгдлийн сангуудад зөвшөөрөгдөхгүй. Энэ хязгаарлалт нь програм хөгжүүлэгчид эцсийн хэрэглэгчдэд өгөгдлийн сангийн эх үүсвэрүүдтэй өрсөлдөх чадваргүй бөгөөд үйлдвэрлэлийн өгөгдлийн санд сөргөөр нөлөөлж чадахгүй гэдгийг баталгаажуулдаг. Аппликейшнийг сайтар боловсруулж, туршиж үзсэний дараа үйлдвэрлэлийн өгөгдлийн санд хандах боломжтой ба үйлдвэрлэлийн өгөгдлийн сангийн зохих хэрэглэгчдэд бэлэн болно. Аюулгүй байдлын админууд ердийн програм хөгжүүлэгчийн шаарддаг давуу эрхүүдийг удирдах үүргийг бий болгож чадна. Програм хөгжүүлэгчид нь обьектуудыг хөгжүүлэх процессийн нэг хэсэг болгон үүсгэх давуу эрх өгдөг боловч аюулгүй байдлын администраторууд програмын хөгжүүлэгч бүрийн хувьд ямар, хэр хэмжээний өгөгдлийн санг ашиглаж болохыг хязгаарлах ёстой. Жишээлбэл, аюулгүй байдлын админ нь програм хөгжүүлэгч бүрийн хувьд дараах хязгаарыг тусгайлан зааж өгөх буюу хязгаарлах ёстой:

 • Хөгжүүлэгчид хүснэгт эсвэл индекс үүсгэх боломжтой хүснэгтүүд
 • Хөгжүүлэгчид зориулсан хүснэгт бүрийн хувьд квот

Аль алиныг нь хөгжүүлэгчийн аюулгүй байдлын домэйныг өөрчлөх замаар тохируулж болно.

Програмын Админаторын аюулгүй байдал[засварлах | edit source]

Том өгөгдлийн сангийн системд олон төрлийн өгөгдлийн сантай програмуудад дараах төрлийн ажлуудыг хариуцаж буй администраторыг томилох:

 • Хэрэглээний програм гаргахад үүрэг гүйцэтгэх ба програм тус бүрийн давуу эрхүүдийг удирдах
 • Өгөгдлийн сангийн хэрэглээнд хэрэглэгддэг обьектуудыг үүсгэх, удирдах
 • Шаардлагатай тохиолдолд өргөдлийн код болон Oracle-ийн журам, багцыг хадгалах, шинэчлэх

Ихэнхдээ, аппликешны администратор нь аппликейшнийг зохиосон програм хөгжүүлэгч програм юм. Гэсэн хэдий ч, аппликешний администратор нь өгөгдлийн сангийн програмын талаар мэддэг хүн байж болно.

Нууц үгийн менежментийн бодлого

Өгөгдлийн сангийн аюулгүй байдлын системүүд нь нууц үгнээс хамааралтай байхыг шаарддаг бөгөөд нууц үгийг бүх үед нууцлахыг шаарддаг. Гэвч нууц үг хулгайлах, хуурамчаар үйлдэх, буруугаар ашиглахад хялбар байдаг. Өгөгдлийн сангийн аюулгүй байдлыг илүү хянах боломжийг олгохын тулд Oracle-ийн нууц үгийн менежментийн бодлогыг DBA болон аюулгүй байдлын ажилтнууд хянадаг.

 Холбоос:
 *https://docs.oracle.com/cd/B19306_01/server.102/b14220/security.htm#i13371*

Аудитын бодлого

Аюулгүй байдлын администраторууд өгөгдлийн сан бүрийн аудитын горимыг тодорхойлох ёстой. Та эргэлзээтэй үйл ажиллагаа нь сэжигтэй тохиолдолд өгөгдлийн сангийн аудитыг идэвхгүй болгох шийдвэр гаргаж болно. Аудитыг дараах хэсэгт хэлэлцсэн болно.

Өгөгдлийн сангийн аудитын ерөнхий тойм[засварлах | edit source]

Аудит нь сонгосон хэрэглэгчийн өгөгдлийн сангийн үйл ажиллагааны хяналт, бичлэг юм. Энэ нь SQL statement ажиллуулах төрөл эсвэл нэр, хэрэглээ, хугацаа, гэх мэт оруулдаг хүчин зүйлсийн хослол гэх мэт бие даасан үйлдэл дээр үндэслэж болно. Аюулгүй байдлын бодлогууд нь Oracle-ийн өгөгдлийн сан дахь тодорхой элементүүдэд хандах, өөрчлөх, агуулгаар нь аудит хийхэд хүргэж болно. Аудитыг дараах зорилгоор ашигладаг:

 • Enable future accountability for current actions taken in a particular schema, table, or row, or affecting specific content-Тухайн схем, хүснэгт, эгнээнд авсан одоогийн үйл ажиллагааны ирээдүйн хариуцлагыг идэвхжүүлэх, эсвэл тодорхой агуулгад нөлөөлөх
 • Сэжигтэй үйлдлийг шалгах. Жишээ нь, хэрэв зөвшөөрөлгүй хэрэглэгч хүснэгтээс өгөгдлийг устгавал аюулгүй байдлын администратор бүх өгөгдлийн санд байгаа бүх мөрөөр амжилттай, амжилтгүй устгагдсан өгөгдлийн санд аудит хийж болно.
 • Өгөгдлийн сангийн тодорхой үйл ажиллагааны талаархи мэдээллийг цуглуулах. Жишээлбэл, өгөгдлийн сангийн администратор аль хүснэгтүүдийг шинэчилж байгаа, ямар логик I / Os-г гүйцэтгэдэг, эсвэл зэрэгцээ хэрэглэгчид оргил цаг дээр хэрхэн холбогдож байгааг статистикийн мэдээнүүд цуглуулж чаддаг.

Андройд Менежер ашиглан аудиттай холбоотой эхлүүлэх параметрүүдийг харж тохируулах, аудитлагдсан обьектуудыг шалган баталгаажуулах, схемийн объект аудит хийх боломжтой болно. Жишээ нь, аж ахуйн нэгжийн менежер нь одоогийн шалгагдаж буй тайлан, давуу эрх, обьектуудын шинж чанаруудыг харуулдаг. Та объект бүрийн шинж чанарыг харж чадна, шалгагдаж буй объектуудыг шинж чанараараа хайж болно. Та обьектууд, мэдэгдэл болон зөвшөөрлүүд дээр аудиог унтраах боломжтой.

Аудитын төрөл, бүртгэл[засварлах | edit source]

Oracle аудитын тохируулгууд нь анхаарал хандуулах эсвэл өргөн цар хүрээтэй байх боломжийг олгодог. Та аудит хийж болно:

 • Амжилттай гүйцэтгэл, амжилтгүй болсон гүйцэтгэл, эсвэл хоёулаа
 • Хэрэглэгчийн сешн дээр нэг удаа мэдүүлгийг гүйцэтгэх эсвэл нэг удаа мэдүүлэг гаргана
 • Бүх хэрэглэгчийн эсвэл тодорхой хэрэглэгчдийн үйл ажиллагаа

Oracle аудит нь дараах боломжуудыг агуулсан хэд хэдэн өөр өөр механизмуудыг ашиглах боломжийг олгодог:

Д/д Аудитын төрөл Утга / тайлбар
1 Тайлан аудит Аудитын SQL мэдэгдэл нь үйл ажиллагааных нь тодорхой схемийн объектоор биш, харин мэдэгдлийн төрлөөр. Ерөнхийдөө өргөн, мэдэгдлийн аудит нь опцион бүрийн хувьд холбоотой хэд хэдэн төрлийн үйлдлүүдийг аудит хийх болно. Жишээ нь, AUDIT хүснэгт нь хэд хэдэн DDL мэдэгдлийг гаргаж ирдэг хүснэгтээс үл хамааран явуулдаг. Та сонгосон хэрэглэгчид эсвэл өгөгдлийн санд байгаа хэрэглэгч бүрийг аудит хийлгэж болно.
2 Эрх олголтын аудит AUDIT CREATE TABLE.- гэх мэт холбогдох үйлдлүүдийг идэвхжүүлсэн хүчирхэг системийн давуу эрхүүдийг ашиглах аудит. Аудитын давуу эрх гэдэг нь зөвхөн аудитын шалгалтаас илүү анхаарал төвлөрч байдаг. Та сонгосон хэрэглэгч эсвэл өгөгдлийн санд байгаа бүх хэрэглэгчдийг аудит хийх боломж олгох аудитыг тохируулж болно.
3 Схем объект аудит Аудит нь тухайн опционы обьектийн тухай тодорхой мэдэгдэл, тухайлбал AUDIT SELECT ажилтан дээр ажиллана. Схемийн объект аудит нь тусгайлсан схемийн обьект дээр зөвхөн тусгайлсан дүгнэлтийг аудит хийхэд анхаарлаа төвлөрүүлдэг. Схем обьектийн аудит нь өгөгдлийн сангийн бүх хэрэглэгчид хамаарна.
4 Нарийн боловсруулалттай аудит хийх Агуулга дээр тулгуурлан өгөгдлийн хандалт, үйлдлийг аудит хийх. DBMS_FGA-г ашиглан аюулгүй байдлын администратор нь зорилтот хүснэгтэд аудитын бодлого үүсгэдэг. Хэрэв ямар нэг мөр нь DML мэдэгдлийн блокоос буцаж ирвэл аудитийн нөхцөл таарвал аудитын үйл явцын оруулгыг аудитийн мөрт оруулах болно.

Аудитын бүртгэл ба Аудитын мөрүүд[засварлах | edit source]

Аудитын бүртгэлд аудит хийгдсэн үйл ажиллагаа, үйл ажиллагааг гүйцэтгэсэн хэрэглэгч, үйл ажиллагааны огноо, цаг зэрэг мэдээллийг багтаасан болно. Аудитийн бүртгэлийг өгөгдлийн хүснэгтийн хүснэгтэнд, өгөгдлийн аудитийн мөрийн бичлэг гэж нэрлэдэг эсвэл үйлдлийн системийн аудитийн мөр гэж нэрлэгддэг үйлдлийн системийн файлд хадгалагдаж болно.

Өгөгдлийн аудитийн мөрийн хөтөлбөр[засварлах | edit source]

Өгөгдлийн сангийн аудитийн мөр нь SYS нэртэй нэг хүснэгт юм. AUD $ нь Oracle мэдээллийн баазын өгөгдлийн толь бүрийн SYS схемд байна. Энэ хүснэгтэд байгаа мэдээллийг ашиглахад туслах хэд хэдэн тодорхой үзэл бодол байдаг. Аудитын мөрийн бүртгэл нь аудит хийгдсэн үйл явдлууд болон аудитын тохируулгуудаас хамааран янз бүрийн төрлийн мэдээллийг агуулсан байж болно. Мэдээлэл нь аудитын тодорхой үйл ажиллагаанд чухал ач холбогдолтой бол аудитын мөрийн бүртгэл бүрт дараах мэдээллийг үргэлж багтаасан байна:

 • Хэрэглэгчийн нэр
 • Шуудангийн дугаар
 • Процессийн тодорхойлогч
 • Салбарын ялгуур
 • Терминал танигч
 • Онооны схемийн нэр
 • Гүйцэтгэсэн буюу оролдлого
 • Үйл ажиллагааны гүйцэтгэлийн код
 • Огноо, цаг хугацааны тамга
 • Ашигласан системийн давуу эрх

Тархсан өгөгдлийн санд аудит хийх[засварлах | edit source]

Аудит нь бие даасан байна. Жишээ нь зөвхөн шууд холбогдсон хэрэглэгчийн гаргасан тайлан. Орон нутгийн Oracle цэг нь алсын өгөгдлийн санд явагдаж буй үйлдлүүдийг аудит хийж чадахгүй. Учир нь алсын холболтууд нь өгөгдлийн сангийн хэрэглэгчийн бүртгэлээр үүсгэгдсэн учир өгөгдлийн сангийн холболтоор гаргасан мэдэгдлүүд нь алсын Oracle цэгээр шалгагддаг.

Үйлдлийн систем Аудит Trail[засварлах | edit source]

Хэрэв Oracle үйлдлийн систем ийм аудитийн мөрийг Oracle-д ашиглах боломжтой бол аудит мөрийн бичлэгүүдийг үйлдлийн системийн аудитийн мөрөөр чиглүүлэх боломж, аудит хийх боломжийг олгодог. Хэрэв тийм биш бол аудитийн бичлэгүүд нь бусад Oracle мөрийн файлтай адил хэлбэрийн өгөгдлийн сангаас гадуур файл уруу бичигддэг. Үйлдлийн системийн аудитийн мөрийг (эсвэл аудитийн бичлэг агуулсан үйлдлийн системийн файл) аудитийн бичлэгийг бүртгэх боломжгүй байсан ч Oracle үргэлжлүүлэн аудит хийх зарим үйлдлийг зөвшөөрдөг. Үүний гол шалтгаан нь үйлдлийн системийн аудитийн мөр эсвэл файлын систем дүүрэн бөгөөд шинэ бүртгэл хүлээн авах боломжгүй байдаг явдал юм. Үйлдлийн системийн аудитыг тохируулах системийн администраторууд аудитийн мөр буюу файлын систем нь бүрэн дүүрэн бөглөхгүй байхыг баталгаажуулах ёстой. Ихэнх үйлдлийн системүүд нь ийм зүйл хийхгүй байхын тулд хангалттай мэдээлэл, сануулгатай администраторуудад өгдөг. Гэхдээ аудитын дата аудит мөрийг ашиглахыг тохируулах нь энэ эмзэг байдлыг арилгах явдал юм. Учир нь, хэрэв аудитийн мөр нь өгөгдлийн сангийн өгөгдлийн аудитын бичлэгийг хүлээн зөвшөөрөх боломжгүй бол Oracle өгөгдлийн сангийн сервер аудитлагдсан үйл явцыг салдаг.

Үйлдлийн системийн аудитын бүртгэл[засварлах | edit source]

Үйлдлийн системийн аудитийн мөр кодлогдсон байдаг боловч энэ нь өгөгдлийн толь бичигт файл болон алдааны мэдэгдлүүдээр декодлогддог. Үйл ажиллагааны код нь гүйцэтгэсэн эсвэл оролдлого хийсэн үйлдлийг дүрслэв. AUDIT_ACTIONS өгөгдлийн толь хүснэгт нь эдгээр кодыг тайлбарладаг. Эрхэмлэх нь ашиглалтанд ашигласан ямар ч системийн зөвшөөрлүүдийг тайлбарладаг. SYSTEM_PRIVILEGE_MAP хүснэгтэд эдгээр бүх кодыг тайлбарласан болно. Ажил дууссан код нь оролдлогын үр дүнг тайлбарлана. Амжилттай ажиллагаа нь тэг утгатай болох бөгөөд амжилтгүй үйлдэл нь яагаад амжилтгүй болсон тухай тайлбарласан Oracle алдааны кодыг буцаана.

  Холбоос:
 *https://docs.oracle.com/cd/B19306_01/server.102/b14231/toc.htm* урьдчилан тодорхойлсон үзэл баримтлалыг үүсгэх, ашиглах заавар
 *https://docs.oracle.com/cd/B19306_01/server.102/b14219/toc.htm* гүйцэтгэлийн кодын жагсаалт

Үйлдлийн систем үргэлж Аудитийн мөрийг бүртгэх[засварлах | edit source]

Өгөгдлийн сантай холбоотой зарим үйлдлүүд нь үйлдлийн системийн аудитийн мөрөөр үргэлжлүүлэн өгөгдлийн сангийн аудит идэвхжсэн эсэхээс үл хамааран үргэлжлэх болно:

 • Жишээ нь эхлүүлэхээр, аудитийн бичлэг нь үйлдлийн системийн хэрэглэгчийн жишээ, хэрэглэгчийн терминал тодорхойлогч, огноо, цагийг тэмдэглэж, мэдээллийн сангийн аудитыг идэвхжүүлсэн эсвэл идэвхгүй болгосон эсэхийг тодорхойлдог. Энэ мэдээлэл нь үйлдлийн системийн аудитийн мөрөөр бүртгэгддэг, учир нь өгөгдлийн сангийн аудитын мөр нь эхлүүлсний дараа амжилттай хийгдэж дуусах хүртэл боломжгүй. Өгөгдлийн сангийн аудитыг эхлүүлэх үеэр бичлэг хийх нь аудитийн тугийн үүрэг гүйцэтгэдэг бөгөөд администраторыг идэвхгүй болгосон үйлдлийг гүйцэтгэхэд саад болж байгаа өгөгдлийн сангийн аудитад идэвхжүүлээгүй байна.
 • Жишээлбэл, shutdown нь аудитийн бичлэг нь үйлдлийн системийн хэрэглэгч instance, хэрэглэгчийн терминал тодорхойлогч, огноо, цагны тамга зэргийг далдлана.
 • Администраторын давуу эрхтэй холболтуудын үед, үйлдлийн системийн хэрэглэгчид Oracle-д администраторын зөвшөөрлүүдтэй холбогдох нарийвчилсан мэдээллийг аудит бичлэгийн бичилт хийсэн болно. Энэ бичлэг нь администраторын давуу эрхтэй холбоотой хэрэглэгчдийн талаархи хариуцлагыг өгдөг.

Oracle-д хандах аудитийн мөрийг үүсгэдэггүй үйлдлийн системүүд дээрх аудит мөрийн бичлэгүүд нь үндсэн процессийн мөрийн файлуудтай ижил сан доторх Oracle audit мөрийн файлд байршдаг.

Аудит бүртгэлийг хэзээ үүсгэсэн бэ?[засварлах | edit source]

Аливаа эрх бүхий өгөгдлийн сангийн хэрэглэгч өөрийн хүссэн үедээ аудитын тохируулгуудыг тохируулж болох боловч аудитын мэдээллийг бүртгэх нь аюулгүй байдлын администраторыг идэвхжүүлсэн эсвэл идэвхгүй болгосон байдаг. Өгөгдлийн санд аудитыг идэвхжүүлсэн үед аудитын бичлэг нь гүйцэтгэлийн үе шатанд үүсгэгддэг. Хөтөлбөрийн нэгж ажиллаж байх үед PL / SQL програмын нэгж дэх SQL мэдэгдлийг шаардлагатай гэж үздэг. Аудитийн мөрийн бичлэгийг үүсгэх, оруулах нь хэрэглэгчийн гүйлгээ хийгдсэнээс үл хамаарна. Энэ нь, хэрэглэгчийн гүйлгээ буцаж эргэсэн ч гэсэн аудитын мөрийн бүртгэл хэвээр үлддэг. Өгөгдлийн сангийн хэрэглэгчийн холболтыг өгөгдлийн санд холбох үед хүчин төгөлдөр үйлчилж буй мэдэгдэл ба давтамжийн аудитын сонголтууд нь хуралдааны үргэлжлэх хугацаанд хүчинтэй байна. Сеанс дэхь давтамж эсвэл давуу эрхтэй аудитийн тохируулгуудыг тохируулах эсвэл өөрчлөх нь тухайн сессийн нөлөөллийг үүсгэдэггүй. Өөрчлөгдсөн мэдэгдэл буюу давуу эрх аудитын сонголтын хувилбарууд нь тухайн сешнээ дуусгавар болж шинэ сесс үүсгэгдсэн үед хүчин төгөлдөр болно. Үүний эсрэгээр, схемийн объект аудитын сонголтуудад өөрчлөлт орсон нь одоогийн хэлэлцүүлэгт үр дүнтэй болж байна. SYSDBA эсвэл SYSOPER дамжуулан холбогдсон SYS хэрэглэгчид болон хэрэглэгчид нь AUDIT_SYS_OPERATIONS эхлүүлэх параметрээр бүрэн аудит хийж болно. SYS-ийн амжилттай SQL мэдэгдэл нь шалгагддаг. Хэрэглэгчийн SYS эсвэл захиргааны давуу эрхтэй холбоотой холболтуудыг үйлдлийн системийн байршлуудад илгээнэ. SYS-ийн схемд байгаа ердийн өгөгдлийн сангийн аудитийн мөрнөөс тусдаа байрлал уруу тэдгээрийг илгээх нь аудитын аюулгүй байдлыг илүү ихээр хангадаг.

Холбоос:
 *https://docs.oracle.com/cd/B19306_01/server.102/b14231/toc.htm* аудитын идэвхжүүлэх болон идэвхгүй болгох тухай зааварчилгааг авна уу
 *https://docs.oracle.com/cd/B19306_01/server.102/b14220/sqlplsql.htm#g35564* SQL statement боловсруулалт болон SQL хуваалцсан өөр өөр үе шатны тухай мэдээллийг авах

Ашигласан материал[засварлах | edit source]