【TechTarget中国原创】问：能否请你告诉我：“Oracle 9i的安全特性以及其在金融交易中对生物扫描技术的影响?”

　　当员工把手指放在指纹扫描仪上时会发生什么事情?(即：员工被授予访问权限之前指纹扫描仪和数据库之间会有那些操作产生)。

　　我需要在方案中加入更多的关于这方面技术的内容。如果你能帮助我，我将不胜感激。

　　答：生物识别扫描仪可以作为一种附加的认证方式去校验您访问的数据是否被授权。在一个多因子认证方案中 -(如：ID，密码)- 考虑到金融交易潜在的敏感性采用指纹绑定技术是一种非常谨慎的措施。

　　Oracle 9i数据库没有对指纹验证提供任何原生支持，据我所知，也没有提供其他的方式。下面你将看到的解决方案是比较简单的通过指纹扫描硬件或支持软件进行数据存储和比对。其基本思路是：

　　用户在交易过程中提供用户名、密码和指纹图像。指纹图像本身是很少被存储或使用的，但是指纹图像的细节会被硬件或软件进行分析。凡是你的指纹脊线或细节点都被标记，然后各点之间的角度和距离被准确地测量和记录。不同的生物识别扫描仪制造商通常有不同的技术和算法去处理这些数据，并创建一个{dywe}的指纹识别码。一旦得到这个指纹识别码，我们就可以简单的使用3个数据(用户名、密码和指纹识别码)来进行验证。

　　在这一点上，你有数种选择：

• 　　你可以对这些值加上(或不加上)一个随机字符串分别进行哈希散列计算
• 　　你可以对这些值组合起来后加上(或不加上)一个随机字符串进行哈希散列计算
• 　　你可以对这些值加上(或不加上)一个随机字符串进行加密

　　没有随机字符串的哈希散列是复杂度{zd1}的，在受到强力攻击时非常脆弱。哈希输入长度和可预测性则是减轻这种风险的关键。带随机字符串的加密可以极大地增强抵御未授权访问的强度，然而密钥管理和随机字符串的产生可能会非常复杂且很难进行有效地管理。您需要从系统、环境、曝光等各方面来考虑选择何种途径。

　　在这一点上，你必须考虑如何将信息传送到数据库以避免被捕获、注入、人为攻击等等，如果这是一个封闭的工作环境，风险可以被降低。如果信息是通过互联网传送，那么进行通信加密就是必须的。

　　{zh1}，你需要把你所生成的值与数据库中的记录值进行比较。这往往是最不易解决的，因为数据库往往得到很好的保护并被放在网络安全层后面的受信任区域中。不幸的是，大多数数据库非常容易受到内部的威胁。其次，解决方法包括：良好的人员安全做法，职责分离，最小权限原则等。对表、包、函数和过程制定适当的对象权限规则是最重要的，加上大量的有重点的审计(不断地监测异常审核表)。Oracle提供了许多原生工具和特性来进行保护数据库。与9i相比，你在10g中有更多的选择，特别是11g。这些特性包括：Label Security，Database Vault，Audit Vault，Oracle Advance Security和TDE!

　　总而言之：从顾客/用户那里收集数据，保护数据，传输数据，比较数据和授予/拒绝访问。这无疑是一件重要和复杂的工作，但是你把这个过程分解成必要的步骤，并采取谨慎的预防措施，你就有一个可行的操作计划。