OracleDatabaseSecurity.ppt

云和恩墨 成就所托,YUNHE ENMO(BEIJING)TECHNOLOGY CO.,LTD,Oracle Database Security&,Recovery Case Study,盖国强(Eygle)电话:13911812803邮件:,微博:,DTCC2012,云和恩墨 成就所托,云和恩墨 成就所托,Who am I,盖国强,云和恩墨（北京）信息技术有限公司,创始,人 盖国强是国内第一个Oracle ACE及ACE总监 有超过10年的Oracle从业经验至今仍然奋战在技术前线 国内最大数据库技术论坛ITPUB的主要发起人之一，致力于技术分享与传播，截至2011年已经出版了10本技术书籍，自2010年开始，主编出版Oracle DBA手记系列书籍 2010年，他和张乐奕共同创建了旨在开展技术交流的中国Oracle用户组（ACOUG All ChinaOracle User Group），并开展了持续的公益活动DTCC2012云和恩墨 成就所托,云和恩墨 成就所托,信息安全：三个要素和10个Domain,信息安全三要素(CIA),保密性(Confidentiality),完整性(Integrity),可用性(Availability),DTCC2012,云和恩墨 成就所托,云和恩墨 成就所托,数据库安全-威胁来自何方？,外部威胁,内部威胁管理安全,数据库应用用户,应用,访问安全,防护安全,管理员,TDESecureBackup,云和恩墨 成就所托,软件安全,DTCC2012,云和恩墨 成就所托,数据库安全-安全的五大方向,DTCC2012,云和恩墨 成就所托,云和恩墨 成就所托,数据库安全-软件安全,DTCC2012,云和恩墨 成就所托,云和恩墨 成就所托,软件安全-安全补丁和组件安全,Oracle定期发布CPU补丁修正安全隐患,Oracle对CPU补丁不做详细说明,主要的安全风险来自组件安全,DTCC2012,云和恩墨 成就所托,云和恩墨 成就所托,软件安全-安全补丁和组件安全,Oracle 10g Exploit,DTCC2012,云和恩墨 成就所托,云和恩墨 成就所托,软件安全-行业案例及软件BUG 组件安全通常由权限引发问题,软件安全通常由功能缺陷引发BUG,DTCC2012,云和恩墨 成就所托,云和恩墨 成就所托,备份安全-备份重于一切,DTCC2012,云和恩墨 成就所托,云和恩墨 成就所托,访问安全-4W1H,Who 谁？,When 什么时间？What 用什么方法？Where 在何处？,How 如何访问和操纵了数据库？,DTCC2012,云和恩墨 成就所托,云和恩墨 成就所托,访问安全-明确访问来源,DTCC2012,云和恩墨 成就所托,云和恩墨 成就所托,防护安全-从零开始,DTCC2012,云和恩墨 成就所托,云和恩墨 成就所托,防护安全-提升请从今日始,Oracle Database 11g,Data Masking,TDE Tablespace EncryptionOracle Total Recall,Oracle Database 10g,Oracle Audit Vault,Oracle Database VaultTransparent Data Encryption(TDE)Real Time Masking,Oracle Database 9i,Secure Config Scanning,Fine Grained AuditingOracle Label Security,Oracle8i,Enterprise User Security,Virtual Private Database(VPD)Database Encryption APIStrong Authentication,Oracle7,Native Network Encryption,Database Auditing,Government customer云和恩墨 成就所托,DTCC2012,云和恩墨 成就所托,管理安全-主要威胁来自内部,DTCC2012,云和恩墨 成就所托,云和恩墨 成就所托,Recovery Case Study 10046事件、sql_trace、DTraceDBMS_SYSTEM/DBMS_MONITORalter session set events 10046 trace name contextforever,level 12;控制文件与文件头的转储与分析alter session set events immediate trace namecontrolf,level 12;alter session set events immediate trace name,file_hdrs,level 12;云和恩墨 成就所托,DTCC2012,云和恩墨 成就所托,Whats Oracle RBA,RBA Redo Byte Address,Log File Sequence Number(4 Bytes)Log File Block Number(4 Bytes),Redo Record Start Offset(2 Bytes),参考链接,http:/,DTCC2012,云和恩墨 成就所托,云和恩墨 成就所托,Controlfile inconsistent 断电后导致控制文件不一致SQL startup pfile=initora9i.oraORACLE instance started.Total System Global Area 126950956 bytes,Fixed SizeVariable SizeDatabase BuffersRedo Buffers,454188 bytes92274688 bytes33554432 bytes667648 bytes,ORA-00214:controlfile D:ORACLEORADATASXXHDTSCONTROL03.CTL version 2623inconsistent with file D:ORACLEORADATASXXHDTSCONTROL02.CTL version 2619DTCC2012云和恩墨 成就所托,云和恩墨 成就所托,How to verify controlfile?,控制文件的一致性判断,DTCC2012,云和恩墨 成就所托,云和恩墨 成就所托,How to verify controlfile?,控制文件的一致性判断,DTCC2012,云和恩墨 成就所托,云和恩墨 成就所托,File to recovery 数据文件恢复提示SQL startup pfile=initora9i.oraORACLE instance started.Total System Global Area 126950956 bytes,Fixed SizeVariable SizeDatabase BuffersRedo Buffers,454188 bytes92274688 bytes33554432 bytes667648 bytes,Database mounted.ORA-01113:file 2 needs media recoveryORA-01110:data file 2:D:ORACLEORADATASXXHDTSUNDOTBS01.DBFDTCC2012云和恩墨 成就所托,云和恩墨 成就所托,Why Undo tablespace?,通过跟踪获进行深入探索,SQL alter session set events 10046 trace name context forever,level 12;,Session altered.,SQL alter database open;alter database open*,ERROR at line 1:,ORA-01113:file 2 needs media recovery,ORA-01110:data file 2:D:ORACLEORADATASXXHDTSUNDOTBS01.DBF,DTCC2012,云和恩墨 成就所托,云和恩墨 成就所托,Why Undo tablespace?,UNDO的恢复判断,DTCC2012,云和恩墨 成就所托,云和恩墨 成就所托,Why Undo tablespace?,UNDO的恢复判断,Direct Path read Datafile header,DTCC2012,云和恩墨 成就所托,云和恩墨 成就所托,Why Undo tablespace?,UNDO的恢复判断,Checkpoint SCN/RBA,DTCC2012,云和恩墨 成就所托,云和恩墨 成就所托,Why Undo tablespace?,DTCC2012,云和恩墨 成就所托,云和恩墨 成就所托,ORA-600 2758,What is mean ORA-600 2758?,DTCC2012,云和恩墨 成就所托,云和恩墨 成就所托,Why Ora-00600？,Checkpoint SCN&RBA,DTCC2012,云和恩墨 成就所托,云和恩墨 成就所托,Why Ora-00600？,After Undo Recovery,DTCC2012,云和恩墨 成就所托,云和恩墨 成就所托,Why Ora-00600？,Checkpoint RBA Wrong,DTCC2012,云和恩墨 成就所托,云和恩墨 成就所托,Why Ora-00600？,Tablespace Checkpoint,Wrong,DTCC2012,云和恩墨 成就所托,云和恩墨 成就所托,Where RBA Ended?,DTCC2012,云和恩墨 成就所托,云和恩墨 成就所托,Make RBA Back,Database can open smoothly,DTCC2012,云和恩墨 成就所托,云和恩墨 成就所托,Did you see alert carefully?,Logseq/block/scn,DTCC2012,云和恩墨 成就所托,云和恩墨 成就所托,Q&A,DTCC2012,云和恩墨 成就所托,