[译] Oracle 23ai 中的新数据库安全增强功能

数据库安全对于保护数据的完整性、保密性和可用性至关重要。它能够建立客户信任，帮助企业遵守法规，并降低与网络攻击或未经授权访问相关的风险。

Oracle一直将安全视为首要任务。Oracle 23ai引入了多项先进的安全特性，这些特性有助于保护数据、管理权限、增强加密等。

TLS 1.3

TLS 1.3是TLS协议的重大更新之一，与TLS 1.2协议相比，它在安全性和性能方面都有显著提升。Oracle Database 23ai的客户端（包括SQL*Plus、JDBC和ODP.NET）支持使用TLS 1.3连接到Oracle数据库。在Oracle Database 23ai中，TLS 1.3是默认设置，因此无需在客户端或服务器上进行额外配置。

TLS 1.3在Oracle数据库中的主要优势：

安全性提升：TLS 1.3减少了握手过程中所需的往返次数，有助于抵御各种攻击。
更快的握手：TLS 1.3通过减少建立安全连接所需的往返次数，显著提高了性能，从而缩短了响应时间。

SSL_ENABLE_WEAK_CIPHERS参数

Oracle的sqlnet.ora文件中的SSL_ENABLE_WEAK_CIPHERS参数控制在SSL/TLS通信中是否允许使用弱加密算法。弱加密算法是指那些存在已知漏洞或不再符合现代安全标准的加密算法。

通过将SSL_ENABLE_WEAK_CIPHERS设置为FALSE，可以主动提升Oracle数据库网络通信的安全性。这确保了只有强加密算法被用于加密Oracle客户端与数据库之间的数据，从而提高了数据库连接的整体安全性。如果您的Oracle数据库运行在受监管或高风险环境中，这是加强系统防护、抵御潜在攻击的重要步骤。

支持长达1024字节的密码

Oracle Database 23ai支持长达1024字节的密码长度，而之前的版本中密码长度限制为30字节。30字节的限制在使用多字节字符（在NLS配置中占用超过1字节）时显得过于严格。更长的密码可以更好地抵御暴力破解攻击。

表和视图的列级审计

此功能允许您配置更精细、更有针对性的审计策略，确保审计既足够选择性，以减少不必要的审计记录的生成，又足够有效，以满足合规要求。在之前的版本中，如果要审计一个列，必须启用对整个表的审计。而在23ai版本中，您可以仅对特定列启用审计。

CREATE AUDIT POLICY和ALTER AUDIT POLICY过程的ACTIONS子句允许您指定要审计的列列表。例如，要审计对表中SALARY列的UPDATE语句，您将指定ACTIONS UPDATE(SALARY)。

旧版本示例：

CREATE AUDIT POLICY employees ACTIONS UPDATE ON DV.EMPLOYEES (OLD)
复制

23ai版本示例：

CREATE AUDIT POLICY employees ACTIONS UPDATE(SALARY) ON DV.EMPLOYEES (23ai)
复制

SQL防火墙

SQL注入攻击和被攻破的账户是攻击者获取数据库中存储的敏感数据的两种最常见手段。Oracle 23ai中直接集成了SQL防火墙，可有效应对SQL注入攻击和被攻破账户问题。

Oracle SQL防火墙会检查所有传入的数据库连接和SQL语句，包括来自PL/SQL（Oracle对SQL的程序性扩展）的语句，无论这些语句是本地的还是通过网络传输的，是加密的还是明文的。防火墙会评估完整的SQL语句及其处理上下文，并且仅允许明确授权的SQL语句通过。您可以决定是要阻止未经授权的SQL语句，还是仅记录它们，从而在处理攻击时拥有灵活性。

Oracle SQL防火墙策略在数据库账户级别工作，适用于应用程序账户或直接数据库用户，例如报表用户或数据库管理员。这种灵活性使您可以逐步提高数据库的保护级别，从数据库管理员或应用程序账户开始。

对非SYS Oracle模式的数据字典保护

Oracle Database 23ai中的这一特性通过防止未经授权的访问、修改或破坏，增强了数据字典的安全性。数据字典包含有关数据库的关键元数据，例如表、索引、用户等信息。这些元数据对于数据库管理至关重要，因此确保其完整性和保密性是必不可少的。

现在，Oracle数据库模式可以拥有数据字典保护，并且为SYSBACKUP、SYSKM、SYSRAC和SYSDG模式提供了额外的职责分离保护。以下是受数据字典保护的Oracle模式列表的查询语句：

SELECT USERNAME, DICTIONARY_PROTECTED FROM DBA_USERS WHERE DICTIONARY_PROTECTED='YES';
复制

无需客户端钱包的传输层安全（TLS）连接

以前，从数据库发起的HTTPS调用需要使用客户端钱包。在23ai版本中，您可以使用操作系统的证书存储，这减轻了证书管理的负担。通常，操作系统会有一个包含根证书的证书存储，通过使用根证书可以建立到站点的信任连接。

更安全的本地自动登录钱包

在23ai版本中，新创建的本地自动登录钱包与创建它的主机（物理或虚拟）紧密集成，与之前的Oracle版本相比，提供了额外的安全性。它也适用于透明数据加密（TDE）本地自动登录密钥库。本地自动登录过程不需要额外的部署或root访问权限。

原文地址：https://www.dbta.com/Editorial/Quest-IOUG-Database–Technology-Community-News/New-Database-Security-Enhancements-in-Oracle-23ai-168317.aspx
原文作者：Ozwen Coelho