数据库服务器的安全[5]

数据库密码的管理－在多数数据库系统提供的安全标准中，没有任何机制能够保证某个用户正在选择有力的－或任意的－密码。这一基本的安全问题需要细心的监督。此外还需要对全部密码列表进行管理和安全检查。例如，Oracle数据库系统具有十个以上地特定地默认用户帐号和密码，此外还有用于管理重要数据库操作的唯一密码，如对Oracle数据库开机程序的管理、访问网络的听众过程以及远程访问数据库的权限等。如果安全出现了问题，这些系统的许多密码都可让入侵者对数据库进行完全访问，这些密码甚至还被存储在操作系统的普通文本文件里。下面有几个示例：

Oracle Internal 密码－Oracle内部密码存放在文件名为“strXXX.cmd”的文本文件中，XXX是Oracle系统的ID或SID，默认值为“ORCL”。用在Oracle数据库的启动过程中，要用到Oracle Internet密码，具有随意访问数据库资源的权力。这个文件应妥善保管，以用于基于Windows NT的ORACLE程序。

Oracle监听程序过程密码－用于起动并停止Oracle监听程序过程的密码，该过程可将所有的新业务路由到系统上合适的Oracle例子中，需选择一个保密性强的密码替换系统的默认值，使用许可必须在“listener.ora”文件中得到保护，该文件存贮了Oracle所有的使用密码。对密码的不当访问可能会使入侵者对基于Oracle的电子交易站点进行拒绝服务攻击。

Oracle内部密码 －“orapw”文件许可控制－Oracle内部密码和由SYSDBA授权的帐号密码存贮在“Orapw”文本文件中。尽管文件已被加密，但在ORACLE的UNIX和Windows NT的程序中，还是要限制该文件的使用权限。如果该文件被访问，那么遭解密的文件很容易遭到强有力的攻击。

这些例子说明了管理员、系统密码和帐号是何等的重要，它们都可能会遭到意想不到的攻击方法的攻击。注意密码管理问题决不仅限于Oracle数据库，几乎所有主要数据库提供商的产品都有这种问题。