Oracle數(shù)據(jù)庫安全策略

陳曉剛

摘 要：隨著網(wǎng)絡(luò)應(yīng)用的普及，Oracle數(shù)據(jù)庫的應(yīng)用日新月異，它性能優(yōu)異，操作方便。但隨著應(yīng)用的深入，數(shù)據(jù)的不斷增加，其安全問題也越來越嚴(yán)重。本文圍繞如何保證Oracle數(shù)據(jù)庫具有較高的安全性，使數(shù)據(jù)庫系統(tǒng)處于一個穩(wěn)定安全的狀態(tài)下，提出了相應(yīng)的安全策略。

關(guān)鍵詞：數(shù)據(jù)庫；Oralce；安全策略

數(shù)據(jù)庫安全性問題一直是人們關(guān)注的焦點(diǎn)，數(shù)據(jù)庫數(shù)據(jù)的丟失以及數(shù)據(jù)庫被非法用戶的侵入對于任何一個應(yīng)用系統(tǒng)來說都是至關(guān)重要的問題。確保信息安全的重要基礎(chǔ)在于數(shù)據(jù)庫的安全性能。

1 數(shù)據(jù)庫安全管理

數(shù)據(jù)庫的安全性是指保護(hù)數(shù)據(jù)庫，防止非法操作所造成的數(shù)據(jù)泄露、篡改或損壞。在計算機(jī)系統(tǒng)中，安全性問題普遍存在，特別是當(dāng)大量用戶共享數(shù)據(jù)庫中的數(shù)據(jù)時，安全問題尤其明顯。保證數(shù)據(jù)庫安全也成為DBA一項(xiàng)最重要的工作。

1.1 安全性要求

⑴數(shù)據(jù)庫的完整性。預(yù)防數(shù)據(jù)庫物理方面的問題，保護(hù)數(shù)據(jù)結(jié)構(gòu)；⑵元素的完整性。包含在每個元素中的數(shù)據(jù)是準(zhǔn)確的；⑶可審計性。能夠追蹤到誰訪問修改過的數(shù)據(jù)元素；⑷訪問控制。允許用戶只訪問被批準(zhǔn)的數(shù)據(jù)，以及限制不同的用戶有不同的訪問模式；⑸用戶認(rèn)證。確保每個用戶被正確地識別，既便于審計追蹤，也為了限制對特定的數(shù)據(jù)進(jìn)行訪問；⑹可獲性。用戶一般可以訪問數(shù)據(jù)庫以及所有被批準(zhǔn)訪問的數(shù)據(jù)。

1.2 安全分類

數(shù)據(jù)庫安全可以分為系統(tǒng)安全和數(shù)據(jù)安全。

系統(tǒng)安全包括在系統(tǒng)級別上，控制數(shù)據(jù)庫的存取和使用的機(jī)制。系統(tǒng)安全機(jī)制檢查用戶是否被授權(quán)連接到數(shù)據(jù)庫，數(shù)據(jù)庫審計是否是活動的，用戶可以執(zhí)行哪些系統(tǒng)操作等。

數(shù)據(jù)安全包括在方案對象級別上，控制數(shù)據(jù)庫的存取和使用的機(jī)制，如哪個用戶可以存取指定的方案對象，在方案對象上允許每個用戶采取的操作，每個方案對象的審計操作。

2 Oracle數(shù)據(jù)庫安全策略

Oralce數(shù)據(jù)庫系統(tǒng)至少具有以下一些安全策略：⑴保證數(shù)據(jù)庫的存在安全，確保數(shù)據(jù)庫系統(tǒng)的安全首先要確保數(shù)據(jù)庫系統(tǒng)的存在安全；⑵保證數(shù)據(jù)庫的可用性，數(shù)據(jù)庫管理系統(tǒng)的可用性表現(xiàn)在兩個方面：一是需要阻止發(fā)布某些非保護(hù)數(shù)據(jù)以防止敏感數(shù)據(jù)的泄露，二是當(dāng)兩個用戶同時請求同一記錄是進(jìn)行仲裁；⑶保障數(shù)據(jù)庫系統(tǒng)的機(jī)密性，主要包括用戶身份認(rèn)證、訪問控制和可審計性等；⑷保障數(shù)據(jù)庫的完整性，數(shù)據(jù)庫的完整性包括物理完整性、邏輯完整性和元素完整性。

2.1 系統(tǒng)安全策略

⑴數(shù)據(jù)庫用戶管理。數(shù)據(jù)庫用戶是存取數(shù)據(jù)庫中信息的通道，必須對數(shù)據(jù)庫用戶進(jìn)行嚴(yán)格的安全管理。既可以由安全管理員作為唯一有權(quán)限創(chuàng)建、修改和刪除數(shù)據(jù)庫用戶的用戶，也可以由多個有權(quán)限的管理員來管理數(shù)據(jù)庫用戶。

⑵用戶驗(yàn)證。為了防止數(shù)據(jù)庫用戶未經(jīng)授權(quán)訪問，Oracle提供主機(jī)操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)和數(shù)據(jù)庫驗(yàn)證等方法對數(shù)據(jù)庫用戶實(shí)施驗(yàn)證。一般情況下，使用一種方法驗(yàn)證數(shù)據(jù)庫中的所有用戶，但也允許在同一數(shù)據(jù)庫實(shí)例中使用多種驗(yàn)證方法。

⑶操作系統(tǒng)安全。為運(yùn)行Oracle和數(shù)據(jù)庫應(yīng)用程序的操作系統(tǒng)環(huán)境考慮安全：DBA必須有創(chuàng)建和刪除文件的操作系統(tǒng)權(quán)限；通常的數(shù)據(jù)庫用戶不應(yīng)該有創(chuàng)建和刪除文件的操作系統(tǒng)權(quán)限；若操作系統(tǒng)識別用戶的數(shù)據(jù)庫角色，則安全管理員必須擁有操作系統(tǒng)權(quán)限，以修改系統(tǒng)賬戶和安全域。

2.2 數(shù)據(jù)安全策略

數(shù)據(jù)安全包括在對象級控制數(shù)據(jù)庫訪問和使用的機(jī)制，它決定了哪個用戶訪問特定方案對象，在對象上允許每個用戶的特定類型操作，也可以定義審計每個方案對象的操作。

為數(shù)據(jù)庫中數(shù)據(jù)創(chuàng)建的安全等級決定數(shù)據(jù)安全策略。若要允許任何用戶創(chuàng)建任何方案對象，或?qū)ο蟮拇嫒?quán)限授予系統(tǒng)中的其他用戶，數(shù)據(jù)庫將缺乏安全保障。當(dāng)希望僅有DBA或安全管理員有權(quán)限創(chuàng)建對象，并向角色和用戶授權(quán)對象的存取權(quán)限時，必須完全控制數(shù)據(jù)安全。

2.3 用戶安全策略

用戶安全策略包括一般用戶、最終用戶、管理員、應(yīng)用程序開發(fā)人員和應(yīng)用程序管理員的安全策略。

⑴一般用戶安全。對于一般用戶安全，主要考慮口令安全和權(quán)限管理問題；⑵最終用戶安全；⑶管理員安全。由于SYSTEM和SYS用戶擁有強(qiáng)大的權(quán)限，在創(chuàng)建數(shù)據(jù)庫后，應(yīng)該立即修改SYSTEM和SYS用戶的口令；⑷應(yīng)用程序開發(fā)人員安全；⑸應(yīng)用程序管理員安全。

2.4 數(shù)據(jù)庫管理者安全性策略

⑴保護(hù)作為sys和system用戶的連接；⑵保護(hù)管理者與數(shù)據(jù)庫的連接；⑶使用角色對管理者權(quán)限進(jìn)行管理。

2.5 應(yīng)用程序開發(fā)者的安全性策略

⑴應(yīng)用程序開發(fā)者和他們的權(quán)限；⑵應(yīng)用程序開發(fā)者的環(huán)境。程序開發(fā)者不應(yīng)與終端用戶競爭數(shù)據(jù)庫資源；程序開發(fā)者不能損害數(shù)據(jù)庫其他應(yīng)用產(chǎn)品；⑶應(yīng)用程序開發(fā)者的空間限制。作為數(shù)據(jù)庫安全性管理者，應(yīng)該特別地為每個應(yīng)用程序開發(fā)者設(shè)置以下的一些限制：開發(fā)者可以創(chuàng)建table或index的表空間；在每一個表空間中，開發(fā)者所擁有的空間份額。

3 結(jié)束語

Oracle安全策略有著教高的可伸縮性以及安全性，還有著多樣的可擴(kuò)展性以及可用性。進(jìn)行數(shù)據(jù)庫系統(tǒng)安全管理工作，應(yīng)堅持長期性、持久性。為了組建相對安全及穩(wěn)定的數(shù)據(jù)庫系統(tǒng)，數(shù)據(jù)庫管理者要通過技術(shù)方式進(jìn)行嚴(yán)格管理，做好防御，更應(yīng)增加防范意識。

[參考文獻(xiàn)]

[1]巢子杰.數(shù)據(jù)庫優(yōu)化探究[J].軟件導(dǎo)刊，2010，2.

[2]邢春暉，鄭智星.ORACLE數(shù)據(jù)庫的管理[J].黑龍江科技信息，2010，8.