Oracle數(shù)據(jù)庫安全策略研究

摘要：隨著當(dāng)前互聯(lián)網(wǎng)的日益發(fā)展，資源共享已經(jīng)成為了一種必然的發(fā)展趨勢，很多企業(yè)都建立了相應(yīng)的企業(yè)網(wǎng)。其中，數(shù)據(jù)庫服務(wù)器是核心部件，其中存放了大量的數(shù)據(jù)資料，又可以為很多用戶所共享，這就造成了企業(yè)網(wǎng)系統(tǒng)的安全性與保密性問題。作為功能強(qiáng)大、性能優(yōu)越的Oracle數(shù)據(jù)庫來說，其在并行性、安全性以及穩(wěn)定性方面有著較大的優(yōu)勢。因此，該文將圍繞Oracle數(shù)據(jù)庫展開進(jìn)一步的討論，針對當(dāng)前信息系統(tǒng)管理中存在的安全問題，提出了一些有針對性的安全策略，以期能夠?yàn)橛脩籼峁┌踩?、可靠的?shù)據(jù)庫信息，保障整個(gè)信息管理系統(tǒng)的正常運(yùn)行。

關(guān)鍵詞：Oracle數(shù)據(jù)庫；安全問題；安全策略

中圖分類號：TP391 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2013）10-2287-02

當(dāng)前，現(xiàn)代化信息技術(shù)的不斷發(fā)展，企業(yè)管理也進(jìn)入了信息化時(shí)代，資源共享已經(jīng)成為了必然的發(fā)展態(tài)勢，它已經(jīng)成為了世界范圍內(nèi)信息化建設(shè)與發(fā)展進(jìn)程的重要標(biāo)志之一。因此，我國目前有很多企業(yè)已經(jīng)建立了企業(yè)網(wǎng)，其中數(shù)據(jù)庫服務(wù)器就是核心部件，甚至關(guān)系到整個(gè)企業(yè)網(wǎng)中項(xiàng)目實(shí)施的成敗。在這些數(shù)據(jù)庫中，有著大量的數(shù)據(jù)和資料，大部分是用戶共享的資料，顯然，這種數(shù)據(jù)庫的安全性和保密性是非常重要的。一旦發(fā)生意外或重大災(zāi)難的時(shí)候，這些數(shù)據(jù)庫具有快速、高效的恢復(fù)信息的重大功能。因此，它們是企業(yè)在市場競爭中提高自身優(yōu)勢的重要手段和工具。但是，一般的數(shù)據(jù)庫也存在一定的安全隱患，這就需要安全性能和穩(wěn)定性能更好的數(shù)據(jù)庫。那么，Oracle數(shù)據(jù)庫具有強(qiáng)大的功能，性能有極為優(yōu)越，從而使得其成為了當(dāng)前很多企業(yè)歡迎的關(guān)系型數(shù)據(jù)庫系統(tǒng)，在正常使用的情況下，它能夠保證數(shù)據(jù)的安全和系統(tǒng)的穩(wěn)定，為用戶提供較為準(zhǔn)確可靠的數(shù)據(jù)信息，它是當(dāng)前世界上最大的信息管理軟件及服務(wù)供應(yīng)商，主要服務(wù)于高端工作站以及作為服務(wù)器的小型計(jì)算機(jī)，是企業(yè)信息管理系統(tǒng)正常運(yùn)行的重要保障。

1 Oracle數(shù)據(jù)庫安全問題分析

作為全球最大的數(shù)據(jù)庫系統(tǒng)之一，Oracle數(shù)據(jù)庫有著較為穩(wěn)定的安全性能。一般來說，互聯(lián)網(wǎng)的數(shù)據(jù)庫系統(tǒng)安全主要是基于五個(gè)層次，即物理層安全、操作系統(tǒng)層安全、網(wǎng)絡(luò)層安全、數(shù)據(jù)庫系統(tǒng)層安全和應(yīng)用系統(tǒng)層安全等。在這五個(gè)層次中，任何一個(gè)安全環(huán)節(jié)出現(xiàn)狀況，都有可能導(dǎo)致整個(gè)系統(tǒng)的破壞和崩潰。這里，我們著重于分析兩個(gè)方面的安全問題。一方面就是數(shù)據(jù)庫系統(tǒng)安全問題，另外一個(gè)方面就是數(shù)據(jù)庫數(shù)據(jù)安全問題。

1.1 Oracle 數(shù)據(jù)庫系統(tǒng)安全問題的分析

所謂Oracle數(shù)據(jù)庫的系統(tǒng)安全，指的就是該數(shù)據(jù)庫系統(tǒng)在進(jìn)行數(shù)據(jù)庫的控制、存取和使用方面而涉及到的安全機(jī)制。該種數(shù)據(jù)庫的系統(tǒng)安全性主要來自于對用戶進(jìn)行訪問權(quán)限的限制，僅僅給予用戶特定的訪問權(quán)限，并不是無所制約的使用權(quán)限，從而能夠確保數(shù)據(jù)庫系統(tǒng)的自身安全。當(dāng)前，Oracle 數(shù)據(jù)庫系統(tǒng)有六種安全機(jī)制，即數(shù)據(jù)庫用戶和模式機(jī)制、權(quán)限分配機(jī)制、角色分配機(jī)制、存儲設(shè)置和空間份額機(jī)制、資源限制機(jī)制以及審計(jì)機(jī)制。這些安全機(jī)制主要是為了防止非授權(quán)的數(shù)據(jù)庫存取，防止非授權(quán)的對模式對象的存取，控制磁盤使用，控制系統(tǒng)資源使用以及審計(jì)用戶動(dòng)作。這些安全機(jī)制做到越好，其系統(tǒng)安全性能就越高。

1.2 Oracle 數(shù)據(jù)庫數(shù)據(jù)安全問題的分析

這種數(shù)據(jù)庫數(shù)據(jù)安全主要是指數(shù)據(jù)庫內(nèi)部數(shù)據(jù)在遭受安全侵害時(shí)，數(shù)據(jù)庫能夠?qū)ο嚓P(guān)數(shù)據(jù)進(jìn)行保護(hù)并有相關(guān)的恢復(fù)機(jī)制進(jìn)行配套使用。目前來說，Oracle數(shù)據(jù)庫的數(shù)據(jù)安全問題主要有：地震、水災(zāi)等非人力所能控制的意外事故災(zāi)害，由授權(quán)用戶造成的人為疏忽或無意損害，存心不良的編程人員、技術(shù)支持人員等的惡意破壞等。這三種類型的數(shù)據(jù)安全隱患都是必須及時(shí)防范的。

2 Oracle數(shù)據(jù)庫安全策略分析

現(xiàn)代計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的不斷進(jìn)步與發(fā)展，很多企業(yè)都不得不使用先進(jìn)的網(wǎng)絡(luò)技術(shù)，各大企業(yè)必須順應(yīng)時(shí)代發(fā)展的潮流，建立并不斷完善基于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的企業(yè)網(wǎng)，其中最為重要的就是信息系統(tǒng)數(shù)據(jù)庫，它是很多企業(yè)進(jìn)行日常運(yùn)營的重要生產(chǎn)平臺。由于企業(yè)的很多生產(chǎn)數(shù)據(jù)都集中在信息系統(tǒng)的后臺數(shù)據(jù)庫中進(jìn)行統(tǒng)一存儲和處理，這就使得數(shù)據(jù)庫在整個(gè)企業(yè)的運(yùn)營中具有十分重要和關(guān)鍵的作用。然而，在現(xiàn)實(shí)操作過程中，并不是所有企業(yè)都非常重視數(shù)據(jù)庫系統(tǒng)安全的，很多時(shí)候都會遭受攻擊和威脅，有時(shí)候一個(gè)數(shù)據(jù)庫安全漏洞有可能引發(fā)整個(gè)系統(tǒng)的崩潰，從而給企業(yè)造成巨額損失。也有些數(shù)據(jù)庫安全問題是由自身設(shè)計(jì)問題引起的，但是更多的則是由企業(yè)應(yīng)有人員工作失職而造成的。因此，我們應(yīng)該選擇一個(gè)好的數(shù)據(jù)庫產(chǎn)品，并制定出相關(guān)的數(shù)據(jù)庫安全策略，在執(zhí)行的過程中嚴(yán)格遵照這些策略來進(jìn)行，主要可以從這么四個(gè)方面來進(jìn)行數(shù)據(jù)庫安全維護(hù)策略的實(shí)施。

2.1 數(shù)據(jù)安全策略

這里的數(shù)據(jù)安全策略主要是指對數(shù)據(jù)庫中數(shù)據(jù)的修改權(quán)限控制以及數(shù)據(jù)加密。就前者來說，當(dāng)前主要是通過角色控制和視圖等方法來實(shí)現(xiàn)，而后者則是還沒有得到應(yīng)有的重視。事實(shí)上，我們認(rèn)為只要數(shù)據(jù)庫中的數(shù)據(jù)是可讀的，就有可能遭受一定的攻擊和危險(xiǎn)。我們只能說把這種危險(xiǎn)降低到最小值，這就需要我們對這些數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行加密處理。一旦這些數(shù)據(jù)庫中的數(shù)據(jù)按照一定的規(guī)則變?yōu)槊芪臄?shù)據(jù)，用戶就可以通過相關(guān)密鑰來使用，同時(shí)，還可以使得這些數(shù)據(jù)庫中的數(shù)據(jù)保持較高的安全特性。當(dāng)前，我們對于數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行加密的技術(shù)主要有兩種，即DBMS 內(nèi)核層加密和 DBMS 外圍層加密。所謂 DBMS 內(nèi)核層加密就是指可以實(shí)現(xiàn)加密與數(shù)據(jù)庫管理系統(tǒng)的無縫耦合，但是，其加密功能強(qiáng)而易降低數(shù)據(jù)庫運(yùn)行性能。DBMS 外圍層加密則有多樣性選擇，但是卻會增大整個(gè)系統(tǒng)的通信壓力。因此，這兩種加密技術(shù)各有利弊。我們對這些數(shù)據(jù)庫進(jìn)行保護(hù)，其實(shí)現(xiàn)的主要手段是備份數(shù)據(jù)庫，一旦發(fā)生障礙的時(shí)候，就可以對這些文件進(jìn)行恢復(fù)。應(yīng)該來說，數(shù)據(jù)庫的備份就是數(shù)據(jù)庫數(shù)據(jù)的一個(gè)副本，其中包含了數(shù)據(jù)庫所有重要的組成部分，比如說控制文件、數(shù)據(jù)文件等。我們對數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行備份的方式主要有物理備份和邏輯備份兩種。其中，物理備份也稱文件系統(tǒng)備份，是不管數(shù)據(jù)文件的邏輯內(nèi)容如何進(jìn)行的全盤拷貝，它又分為冷備份和熱備份兩種。而邏輯備份則是利用SQL語言從數(shù)據(jù)庫中抽取數(shù)據(jù)并存為二進(jìn)制文件的過程，支持全部、累計(jì)、增量三種方式。而且，在邏輯備份的時(shí)候，數(shù)據(jù)庫應(yīng)該處于打開的狀態(tài)。對于數(shù)據(jù)庫安全恢復(fù)來說，主要有物理恢復(fù)和邏輯恢復(fù)。其中，物理恢復(fù)又可分為非歸檔模式和歸檔模式。邏輯恢復(fù)則是利用import命令來實(shí)現(xiàn)數(shù)據(jù)恢復(fù)，其必須是在數(shù)據(jù)庫聯(lián)機(jī)狀態(tài)下進(jìn)行。

2.2 用戶安全策略

對于Oracle 數(shù)據(jù)庫來說，其用戶經(jīng)常會由于使用不當(dāng)而造成一定的危險(xiǎn)，這是因?yàn)閿?shù)據(jù)庫用戶是連接數(shù)據(jù)庫、存取表和記錄的重要通道，一旦他們發(fā)生問題和障礙，就會直接影響到Oracle 數(shù)據(jù)庫的安全問題。因此，我們應(yīng)該加強(qiáng)對于數(shù)據(jù)庫用戶賬戶的有效管理，從而切實(shí)達(dá)到對于這種數(shù)據(jù)庫系統(tǒng)安全的最終目的。具體來講，由于Oracle 數(shù)據(jù)庫的用戶非常多，一般用戶到數(shù)據(jù)庫管理員都是這種數(shù)據(jù)庫的直接用戶。因此，我們應(yīng)該盡快建立一個(gè)可靠有效的口令安全策略，加強(qiáng)對數(shù)據(jù)庫用戶的賬號管理工作，防止敏感數(shù)據(jù)的泄露或破壞，使用profile文件來限制用戶使用系統(tǒng)和數(shù)據(jù)庫資源，防止無關(guān)人員對數(shù)據(jù)庫進(jìn)行的任何干擾，讓每一個(gè)合法用戶能夠創(chuàng)建相應(yīng)的用戶賬號及口令。除了防止未授權(quán)用戶使用數(shù)據(jù)庫系統(tǒng)，還要防止一些合法用戶對未授權(quán)的子系統(tǒng)進(jìn)行使用。我們可以進(jìn)行基于角色的用戶權(quán)限管理，這是Oracle 提供的一種數(shù)據(jù)庫權(quán)限管理機(jī)制，用戶被賦予角色，是保護(hù)數(shù)據(jù)庫系統(tǒng)安全的重要策略之一，它可以根據(jù)不同的職能崗位劃分角色，提供了一種靈活的方法，實(shí)現(xiàn)了最基本的安全原則，即最小特權(quán)原則和職責(zé)分離原則，進(jìn)一步加大了數(shù)據(jù)庫的安全性能。Oracle數(shù)據(jù)庫安全管理的核心內(nèi)容就是有關(guān)權(quán)限的管理，就是根據(jù)不同的授予權(quán)限來進(jìn)行分類，對一般用戶和指定用戶進(jìn)行管理。

2.3 系統(tǒng)安全策略

所謂系統(tǒng)安全策略主要是指數(shù)據(jù)庫系統(tǒng)自身的安全問題，就是對數(shù)據(jù)庫的備份與恢復(fù)工作。應(yīng)該來說，Oracle 的備份和恢復(fù)工具是當(dāng)前最為先進(jìn)的企業(yè)級數(shù)據(jù)庫系統(tǒng)，它能夠簡化、自動(dòng)化及改善備份與恢復(fù)操作，最大的特性就是增量備份方式，是數(shù)據(jù)庫系統(tǒng)為達(dá)到安全目標(biāo)和相應(yīng)的安全級別所定義的安全技術(shù)、方法、機(jī)制的總和。數(shù)據(jù)庫系統(tǒng)的安全性在很大程度上依賴于數(shù)據(jù)庫的管理，操作系統(tǒng)的穩(wěn)定對數(shù)據(jù)庫來說十分重要。維護(hù)管理數(shù)據(jù)庫用戶的安全性是保護(hù)數(shù)據(jù)庫系統(tǒng)安全的重要手段之一。數(shù)據(jù)庫安全性管理者可能只是擁有 create、alter 或 drop數(shù)據(jù)庫用戶的一個(gè)特殊用戶。對于一般用戶權(quán)限，數(shù)據(jù)庫管理員可以決定用戶組分類。數(shù)據(jù)庫應(yīng)用程序開發(fā)者是一類需要特殊權(quán)限組完成自己工作的數(shù)據(jù)庫用戶。此外，數(shù)據(jù)加密是 Oracle 數(shù)據(jù)庫系統(tǒng)的最后一道防線，操作系統(tǒng)（OS）層加密，數(shù)據(jù)庫管理系統(tǒng)（DBMS）內(nèi)核層加密，數(shù)據(jù)庫管理系統(tǒng)（DBMS）外層實(shí)現(xiàn)加密，通過這些層層加密，使得數(shù)據(jù)庫具有更高的安全性能。

2.4 審計(jì)策略

這里的Oracle數(shù)據(jù)庫審計(jì)安全策略主要是指監(jiān)視和記錄用戶的數(shù)據(jù)活動(dòng)，它主要是要記錄關(guān)于數(shù)據(jù)庫操作的信息，如操作時(shí)間、執(zhí)行用戶等。這是因?yàn)槿魏尉W(wǎng)絡(luò)系統(tǒng)都不可能是完美無瑕的，都或多或少的存在安全漏洞，并沒有一個(gè)絕對可靠的安全性措施。因此，我們應(yīng)該做好數(shù)據(jù)庫的審計(jì)策略，尤其要針對一些高度敏感的保密數(shù)據(jù)，Oracle數(shù)據(jù)庫就要以審計(jì)作為主要的預(yù)防手段，讓竊密者不能有辦法打破數(shù)據(jù)庫的控制。這就是說要讓Oracle數(shù)據(jù)庫管理人員能夠有效的審計(jì)用戶，主要是對用戶的實(shí)際操作情況進(jìn)行有效的監(jiān)控和記錄，隨時(shí)跟蹤并記錄他們的數(shù)據(jù)的訪問活動(dòng)，其中監(jiān)控的內(nèi)容有：數(shù)據(jù)被非授權(quán)用戶刪除、用戶越權(quán)操作、權(quán)限管理不正確、用戶獲得不應(yīng)有的系統(tǒng)權(quán)限等，一旦發(fā)生任何數(shù)據(jù)庫破壞，就可以及時(shí)排除不安全因素，及時(shí)挽救或恢復(fù)相關(guān)數(shù)據(jù)。這里的審計(jì)方法主要有：權(quán)限審計(jì)、語句審計(jì)和方案對象審計(jì)，應(yīng)該有選擇地使用審計(jì)。

3 結(jié)束語

總之，我們應(yīng)該在網(wǎng)絡(luò)信息時(shí)代，針對網(wǎng)絡(luò)安全隱患采取必要的Oracle數(shù)據(jù)庫安全策略，主要是針對數(shù)據(jù)庫安全體系結(jié)構(gòu)進(jìn)行保護(hù)，對數(shù)據(jù)文件進(jìn)行加密，增加數(shù)據(jù)庫數(shù)據(jù)的破解難度，也增加加密文件的可擴(kuò)展性，讓外部入侵者在防護(hù)屏障外得以阻止，還要從內(nèi)部采取安全策略，這就是說我們應(yīng)該做好盡量采用安全性較高的網(wǎng)絡(luò)操作系統(tǒng)并進(jìn)行必要的安全配置，使用適合數(shù)據(jù)庫的文件系統(tǒng)，及時(shí)給Windows和Oracle安裝補(bǔ)丁，還要實(shí)施諸如用戶口令策略，設(shè)置用戶權(quán)限策略，數(shù)據(jù)備份與存儲策略，視圖策略，連接監(jiān)控策略等數(shù)據(jù)庫系統(tǒng)安全策略，從而真正從內(nèi)外部切實(shí)保障Oracle數(shù)據(jù)庫的安全。

參考文獻(xiàn)：

[1] 陳從錦，楊昱.Oracle數(shù)據(jù)庫的安全防護(hù)概述[J].中山大學(xué)學(xué)報(bào)論叢，2003（4）.

[2] 李卓玲，費(fèi)雅潔，孫憲麗.Oracle大型數(shù)據(jù)庫及應(yīng)用[M].北京：高等教育出版社，2004.

[3] 薩師煊，王珊.數(shù)據(jù)庫系統(tǒng)概論[M].北京：高等教育出版社，2000.

[4] 談竹奎，況志軍.Oracle數(shù)據(jù)庫管理員高級技術(shù)指南[M].北京：中國鐵道出版社，2003.

[5] 滕永昌.Oracle數(shù)據(jù)庫管理員使用大全[M].北京：清華大學(xué)出版社，2004.

[6] 謝東.基于Oracle 的數(shù)據(jù)庫安全策略[J].現(xiàn)代情報(bào)，2006（1）.