Oracle 23ai 数据库新的安全增强功能

数据库安全对于保护数据的完整性、机密性和可用性至关重要。它建立客户信任，有助于遵守法规，并降低网络攻击或未经授权访问的风险。

Oracle 23ai 引入了几项高级安全功能，有助于保护数据、管理权限、增强加密等。

TLS 1.3

TLS 1.3 是 TLS 协议的主要更新之一，与 TLS 1.2 协议相比，提供了显著的安全性和性能改进。

Oracle Database 23ai 客户端，包括 SQL*Plus、JDBC 和 ODP.NET，支持使用 TLS 1.3 连接到 Oracle 数据库。TLS 1.3 是默认设置。
Oracle 数据库 23ai，因此无需在 Oracle 数据库 23ai 客户端或服务器上进行进一步配置步骤。

23ai 还简化了与 Sqlnet.ora（SSL_VERSION = TLSv1.3）的 TSL 设置配置和管理。

TLS 1.3 在 Oracle 数据库中的关键优势

增强安全性：TLS 1.3 减少了握手过程中所需的往返次数，有助于防范各种攻击。
更快握手：TLS 1.3 通过减少建立安全连接所需的往返次数，显著提高了性能，改善了响应时间。

SSL 启用弱加密套件

参数 SSL_ENABLE_WEAK_CIPHERS 在 Oracle 的 sqlnet.ora 文件中控制 SSL/TLS 通信期间是否允许弱加密算法。弱加密算法是已知存在漏洞或不再符合现代安全标准的加密算法。

通过设置 SSL_ENABLE_WEAK_CIPHERS = FALSE，您正在积极提高 Oracle 数据库网络通信的安全性。

这确保了在 Oracle 客户端和数据库之间加密数据时仅使用强大、安全的加密算法，从而提高了数据库连接的整体安全性。如果您在一个受监管或高风险环境中运行 Oracle 数据库，这是加强系统抵御潜在攻击的重要步骤。

密码长度最多 1024 字节

Oracle Database 23ai 支持长达 1024 字节的密码。在之前的版本中，密码长度仅为 30 字节。当 NLS 配置中使用的密码多字节字符超过 1 字节时，30 字节的限制过于严格。

更长的密码可以提供更大的保护，以抵御暴力破解攻击。

表和视图的列级审计

此功能使您能够配置更细粒度和更专注的审计策略，并确保审计是足够选择性的，以减少不必要的审计记录的创建，并且足够有效，以满足您的合规性要求。

在早期版本中，如果您想审计一列，您必须在整个表上启用审计。然而，在 23ai 中，您可以在特定列上启用它。

创建审计策略和修改审计策略过程中的 ACTIONS 子句允许您指定要审计的列列表。例如，要审计表中对 SALARY 列的更新语句，您将指定 ACTIONS UPDATE(SALARY)。

创建审计策略 employees 操作更新在 DV.EMPLOYEES (旧)
创建审计策略 employees 操作更新(SALARY)在 DV.EMPLOYEES (23ai)上

SQL 防火墙

SQL 注入攻击和账户泄露是导致攻击者获取数据库中存储的敏感数据完全访问权限的两种最常见技术。
SQL 防火墙直接集成在 Oracle Database 23ai 中，有助于有效解决 SQL 注入攻击和账户受损问题。

Oracle SQL 防火墙检查所有传入的数据库连接和 SQL 语句，包括来自 PL/SQL（Oracle 对 SQL 的过程扩展）的，无论是本地还是通过网络，加密的还是明文。防火墙评估完整的 SQL 和处理上下文，并且仅允许明确授权的 SQL。您可以决定是否要阻止未授权的 SQL 或仅记录它，这为您提供了如何处理攻击的灵活性。

Oracle SQL 防火墙策略在数据库账户级别工作，适用于应用程序账户或直接数据库用户，例如报告用户或数据库管理员。这种灵活性允许您逐步建立数据库的保护级别，从数据库管理员或应用程序账户开始。

数据字典保护扩展至非 SYS Oracle 模式

数据字典保护功能是 Oracle Database 23ai 中的一个特性，通过保护数据字典免受非 SYSDBA 用户的未授权访问、修改或破坏，从而增强安全性。

数据字典包含关于数据库的关键元数据，例如有关表、索引、用户等信息。这些元数据对于数据库管理至关重要，因此确保其完整性和机密性是至关重要的。

Oracle 数据库模式现在可以为 SYSBACKUP、SYSKM、SYSRAC 和 SYSDG 模式提供数据字典保护，并具有额外的职责分离保护。受数据字典保护的 Oracle 模式完整列表包括：SELECT USERNAME, DICTIONARY_PROTECTED FROM DBA_USERS WHERE DICTIONARY_PROTECTED=’YES’;