Oracle数据库安全设计的核心是多层次防护，包括身份验证、授权控制、数据加密、审计监控和网络安全。首先，确保使用强密码策略和多因素认证；其次，实施最小权限原则，只授予必要权限；第三，启用透明数据加密（TDE）保护静态数据；第四，配置细粒度审计跟踪用户活动；最后，结合Oracle Advanced Security实现网络传输加密和访问控制列表（ACL）。通过这些步骤，从入门配置到高级优化，能全面守护数据安全，避免常见漏洞如SQL注入和权限提升攻击。

入门级安全配置

在Oracle数据库安装后，第一步是修改默认密码。使用ALTER USER命令更改SYS和SYSTEM用户的密码，例如：ALTER USER SYS IDENTIFIED BY new_strong_password; 同时锁定不必要的默认账户，如OUTLN和SCOTT。启用密码过期策略：CREATE PROFILE default_profile LIMIT PASSWORD_LIFE_TIME 180; 这能防止弱密码长期使用。

角色与权限管理

Oracle使用角色来简化权限分配。创建自定义角色：CREATE ROLE app_reader; GRANT SELECT ON schema.table TO app_reader; 然后分配给用户：GRANT app_reader TO app_user; 避免直接授予DBA角色，使用最小权限原则。定期审查权限：SELECT * FROM DBA_SYS_PRIVS WHERE GRANTEE='用户名';

数据加密实践

Oracle Transparent Data Encryption (TDE) 用于保护敏感列。创建钱包：orapki wallet create -wallet /path/to/wallet -auto_login；生成主密钥：ADMINISTER KEY MANAGEMENT CREATE KEYSTORE '/path/to/wallet' IDENTIFIED BY password; 加密表空间：ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN IDENTIFIED BY password; ALTER TABLESPACE users ENCRYPTION ONLINE USING 'AES256'; 这确保数据在磁盘上加密。

审计与监控

启用统一审计：AUDIT POLICY audit_policy BY ACCESS; CREATE AUDIT POLICY audit_policy ACTIONS SELECT ON schema.table; AUDIT POLICY audit_policy; 查看审计记录：SELECT * FROM UNIFIED_AUDIT_TRAIL; 这能实时监控异常访问，及时发现安全事件。

网络安全防护

使用Oracle Net Services配置ACL限制连接：在sqlnet.ora中添加TCP.VALIDNODE_CHECKING = YES; TCP.INVITED_NODES=(ip地址列表)。启用SSL/TLS：配置wallet并在listener.ora中设置SSL_CLIENT_AUTHENTICATION = TRUE; 防止未授权网络访问。

高级安全特性

Oracle Database Vault限制高权限用户访问敏感数据。配置Realm保护核心表：DBVSECURE INSTALL; 创建Realm并添加命令规则。结合Label Security实现强制访问控制，根据标签级别过滤数据访问，提升合规性。

常见漏洞修复

定期应用安全补丁：使用OPatch工具，opatch apply /path/to/patch。扫描漏洞：使用Oracle Security Assessment Tool。防范SQL注入：使用绑定变量和白名单验证输入。

FAQ
Q: 如何快速检查数据库权限？
A: 执行SELECT * FROM DBA_ROLE_PRIVS; 和 SELECT * FROM DBA_SYS_PRIVS;
Q: TDE加密需要重启数据库吗？
A: 不需要，透明加密支持在线操作。
Q: 审计记录存储在哪里？
A: UNIFIED_AUDIT_TRAIL视图或操作系统文件。
Q: 如何禁用不安全协议？
A: 在sqlnet.ora中设置SQLNET.ALLOWED_LOGON_VERSION_SERVER=12a;