应用系统新上线时,为图方便,使用了简单的owner直接作为应用程序的数据库连接配置,为安全考虑,最近对用户做了整理,根据应用不同,分设了多个用户。
分类:
1、主应用登陆用户,为及时切换,授予了所有表、视图的select、update、insert、delete权限。
2、周边应用,根据应用不同,只授予足够的权限,仅限于部分表、部分视图。
上述用户并建立synonyms, 可避免重构应用程序。
3、开发人员授予全部公用表、非敏感表的select权限,极少数表的update权限。先建立角色权限,再分别授予各开发人员。
待解决问题:
1、登陆用户密码如何避免开发人员破解。
2、如何采用ROLE的密码二次认证。以避免pl/sql的直接登陆。
3、考虑敏感表访问审计。