數(shù)據(jù)庫安全問題及策略分析

◆黃 磊

（蘭州市環(huán)境保護(hù)局環(huán)境信息中心 甘肅 730030）

數(shù)據(jù)庫安全問題及策略分析

◆黃 磊

（蘭州市環(huán)境保護(hù)局環(huán)境信息中心 甘肅 730030）

現(xiàn)代社會(huì)既是科技的時(shí)代更是信息的時(shí)代，數(shù)據(jù)庫的發(fā)展為現(xiàn)代社會(huì)的發(fā)展提供了便利條件。目前的數(shù)據(jù)庫服務(wù)器不僅為用戶提供數(shù)據(jù)存儲而且還提供資源共享功能，大量數(shù)據(jù)信息在云端進(jìn)行的傳輸，其中不乏隱私性、秘密性的重要數(shù)據(jù)資源，數(shù)據(jù)庫信息系統(tǒng)的安全需要引起我們廣泛關(guān)注。Oracle數(shù)據(jù)庫是一款應(yīng)用范圍廣、性能比較強(qiáng)大的產(chǎn)品，因此本文主要以O(shè)racle數(shù)據(jù)庫為依托，重點(diǎn)介紹了數(shù)據(jù)庫安全的概念，數(shù)據(jù)庫安全存在的問題，并通過查閱大量數(shù)據(jù)資料，瀏覽近期的中外文獻(xiàn)，結(jié)合自身工作實(shí)踐，探討數(shù)據(jù)庫信息安全的診斷方法以及優(yōu)化策略，以期為用戶提供安全、可靠的數(shù)據(jù)信息，為數(shù)據(jù)庫安全運(yùn)行提供保障。

Oracle數(shù)據(jù)庫；安全問題；策略分析

0 引言

隨著我國科學(xué)技術(shù)水平的不斷發(fā)展，大量的數(shù)據(jù)信息資源充斥在我們的生活當(dāng)中，資源共享成為現(xiàn)代社會(huì)發(fā)展的趨勢。Oracle Database，又名Oracle RDBMS，簡稱為Oracle，是甲骨文公司的一款關(guān)系數(shù)據(jù)庫管理系統(tǒng)。數(shù)據(jù)庫系統(tǒng)是計(jì)算機(jī)廣泛應(yīng)用的技術(shù)，為推動(dòng)企業(yè)和行業(yè)的發(fā)展貢獻(xiàn)著重要作用。數(shù)據(jù)庫信息系統(tǒng)的使用過程中很容易產(chǎn)生安全問題。Oracle由多個(gè)子系統(tǒng)組成，數(shù)據(jù)信息的傳輸和使用有著相對安全穩(wěn)定的環(huán)境，但是也存在著一定的安全隱患，引起了社會(huì)的廣泛關(guān)注。

1 數(shù)據(jù)庫安全的概念

一般情況下，數(shù)據(jù)庫安全就是保證數(shù)據(jù)庫信息的保密性、完整性、一致性、可用性和抗否認(rèn)性。保密性指保護(hù)數(shù)據(jù)庫中的數(shù)據(jù)不被泄露和未授權(quán)的獲?。和暾灾副Ｗo(hù)數(shù)據(jù)庫中的數(shù)據(jù)不被破壞和刪除；一致性指確保數(shù)據(jù)庫中的數(shù)據(jù)滿足實(shí)體完整性、參照完整性和用戶定義完整性要求；可用性指確保數(shù)據(jù)庫中的數(shù)據(jù)不因人為或自然的原因?qū)κ跈?quán)用戶不可用；抗否認(rèn)性是保證用戶事后無法否認(rèn)對數(shù)據(jù)庫進(jìn)行的一系列訪問、修改、查洵等操作，便于事后分析調(diào)查。從市場上的DBMs產(chǎn)品來看，當(dāng)前各大廠商提供的網(wǎng)絡(luò)數(shù)據(jù)庫的安全性方法主要有：身份認(rèn)證、存儲訪問控制、審計(jì)跟蹤以及數(shù)據(jù)庫的備份與恢復(fù)等。

2 數(shù)據(jù)庫安全問題分析

2.1 用戶認(rèn)證安全問題

Oracle 數(shù)據(jù)庫是全球最大的數(shù)據(jù)庫系統(tǒng)，是比較公認(rèn)的具有穩(wěn)定的安全性能。一般情況下，Oracle 數(shù)據(jù)庫系統(tǒng)安全指的是對數(shù)據(jù)庫控制、存取和使用方面涉及的數(shù)據(jù)安全。盡管Oracle數(shù)據(jù)庫自身的配置十分高，但是并不能保證數(shù)據(jù)絕對的安全性。在普通用戶使用權(quán)限和用戶認(rèn)證方面，非用戶往往利用系統(tǒng)缺陷和漏洞進(jìn)行數(shù)據(jù)侵入,通過非法手段獲得賬號和密碼，并對數(shù)據(jù)進(jìn)行一系列的違法操作,這給Oracle 數(shù)據(jù)庫系統(tǒng)安全帶來巨大的威脅。

2.2 數(shù)據(jù)庫系統(tǒng)的操作權(quán)限與權(quán)力問題

在一般情況下，即使對操作權(quán)限設(shè)置的十分高，也并不是代表用戶可以對數(shù)據(jù)庫系統(tǒng)進(jìn)行任意的操作。用戶的使用權(quán)力和使用權(quán)限之間存在著一定的對應(yīng)關(guān)系，甚至在一定條件下，權(quán)限要受到權(quán)力的制約。但是，在具體實(shí)踐中，一旦用戶獲得管理員賬戶和密碼，權(quán)力對權(quán)限的限制會(huì)不再受到時(shí)間和空間的制約，數(shù)據(jù)的可操作性也會(huì)大大增加，數(shù)據(jù)庫的安全控制也會(huì)大大降低。

2.3 數(shù)據(jù)意外丟失和損壞

數(shù)據(jù)庫系統(tǒng)內(nèi)存儲的數(shù)據(jù)在一般情況下，能夠保持長時(shí)間和存儲和使用，同時(shí)也能夠較為便捷的進(jìn)行數(shù)據(jù)的傳輸。然而，數(shù)據(jù)庫當(dāng)中的信息也很容易丟失或者損壞，主要原因有：（1）數(shù)據(jù)庫應(yīng)用程序的bug。數(shù)據(jù)庫系統(tǒng)的長時(shí)間使用，在操作方法和多窗口打開的情況下很容易產(chǎn)生系統(tǒng)bug，導(dǎo)致信息丟失。（2）人為隱患。數(shù)據(jù)庫用戶的操作不慎，導(dǎo)致數(shù)據(jù)損壞或者丟失；外來入侵者故意對數(shù)據(jù)進(jìn)行破壞。

3 維護(hù)數(shù)據(jù)庫系統(tǒng)安全防護(hù)手段

3.1 加強(qiáng)安全問題診斷

數(shù)據(jù)庫系統(tǒng)的安全診斷主要是通過掃描系統(tǒng)漏洞實(shí)現(xiàn)的。數(shù)據(jù)庫漏洞掃描系統(tǒng)Xsecure-DBScan是當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)庫十分常用的一款掃描系統(tǒng)，它能夠?qū)τ脩舻臄?shù)據(jù)系統(tǒng)進(jìn)行全方位、專業(yè)化的掃描評估，發(fā)現(xiàn)數(shù)據(jù)系統(tǒng)內(nèi)部和外部存在的安全風(fēng)險(xiǎn)。首先，通過掃描可以發(fā)現(xiàn)外部黑客的攻擊漏洞，防止惡意性質(zhì)的外部攻擊。通過模擬黑客使用的技術(shù)，對安全系統(tǒng)進(jìn)行檢測，發(fā)現(xiàn)數(shù)據(jù)庫系統(tǒng)存在的技術(shù)性漏洞，搜集詳細(xì)信息。其次，分析內(nèi)部的安全配置，重點(diǎn)檢測非授權(quán)訪問的數(shù)據(jù)信息，設(shè)置只讀賬戶。對數(shù)據(jù)庫系統(tǒng)實(shí)現(xiàn)由外到內(nèi)的全方位安全診斷。

3.2 提高事中控制能力

安裝數(shù)據(jù)庫防泄漏系統(tǒng)數(shù)據(jù)庫保險(xiǎn)箱Xsecure-DBCoffer。此產(chǎn)品具有主動(dòng)防御機(jī)制，主要是通過防止存儲過程的明文存儲所導(dǎo)致的信息泄露、黑客的數(shù)據(jù)侵入等行為，實(shí)現(xiàn)對數(shù)據(jù)的存儲進(jìn)行強(qiáng)制增強(qiáng)。其次，對于內(nèi)部高權(quán)限用戶和逃開應(yīng)用系統(tǒng)非法訪問的用戶，可以利用DBCoffter特有的應(yīng)用訪問安全、安全審計(jì)的功能，通過獨(dú)創(chuàng)的獲取專利的三層視圖技術(shù)和密文索引等核心技術(shù)對數(shù)據(jù)庫系統(tǒng)安全進(jìn)行防護(hù)。努力做到保護(hù)數(shù)據(jù)庫安全，防止數(shù)據(jù)庫信息丟失。

3.3 注重事后研究分析

數(shù)據(jù)庫防火墻系統(tǒng)Xsecure-DBFirewall與保險(xiǎn)箱系統(tǒng)同樣都是采用主動(dòng)防御的機(jī)制。但是DBFirewall主要強(qiáng)調(diào)外圍防御圈的作用。這是一款數(shù)據(jù)庫協(xié)議分析與控制技術(shù)的數(shù)據(jù)庫安全防護(hù)系統(tǒng)，它通過預(yù)設(shè)的條件對操作進(jìn)行檢測篩選，許可合法的SQL操作，而阻止違規(guī)違法的操作行為。此數(shù)據(jù)庫防火墻的最大特點(diǎn)在于不必進(jìn)行不斷的系統(tǒng)維護(hù)和升級，在此系統(tǒng)運(yùn)行初期，便對外部的入侵行為提供SQL注入禁止和數(shù)據(jù)庫虛擬補(bǔ)丁包功能。通過及時(shí)的系統(tǒng)防護(hù)便可以提供最優(yōu)質(zhì)最安全的防火墻服務(wù)。

4 對網(wǎng)絡(luò)數(shù)據(jù)庫安全性能優(yōu)化的策略實(shí)施

4.1 安全認(rèn)證和訪問控制

為了更加有效的避免數(shù)據(jù)信息的流失，可以加強(qiáng)對用戶身份的安全認(rèn)證和訪問控制環(huán)節(jié)。常見的用戶安全認(rèn)證多是設(shè)置密碼，指紋認(rèn)證等，在此基礎(chǔ)上對重要信息設(shè)置入網(wǎng)安全控制，通過對數(shù)據(jù)源的控制，保證數(shù)據(jù)的真實(shí)和完整性。這樣雙重的安全控制機(jī)制能夠有效的對數(shù)據(jù)庫安全進(jìn)行保護(hù)。加強(qiáng)數(shù)據(jù)的一致性保護(hù)，在數(shù)據(jù)存儲系統(tǒng)中采用最終一致模型，為用戶在數(shù)據(jù)節(jié)點(diǎn)返回的操作后再次進(jìn)入原始數(shù)據(jù)的查看。

4.2 數(shù)據(jù)庫的加密保護(hù)

數(shù)據(jù)庫的加密防護(hù)是對數(shù)據(jù)信息的最后一道保護(hù)屏障。在Oracle數(shù)據(jù)庫的管理和使用中，主要將數(shù)據(jù)以文件的形式進(jìn)行保存和傳輸，一旦有不法分子的惡意進(jìn)入，很容易對文件的進(jìn)行篡改、破壞和盜取。Oracle數(shù)據(jù)庫設(shè)置三層密碼對數(shù)據(jù)庫系統(tǒng)進(jìn)行加密處理。即使最外層的操作系統(tǒng)層的賬號密碼被破獲，還有數(shù)據(jù)庫管理內(nèi)層和外層這兩層防護(hù)。除此之外，在數(shù)據(jù)庫的信息不慎被盜或者丟失的情況下，數(shù)據(jù)的加密也會(huì)讓數(shù)據(jù)不被輕易破解，從而難以傳播和利用。

4.3 外來入侵攻擊檢測

入侵攻擊檢測系統(tǒng)的設(shè)置主要是為了避免非授權(quán)用戶對數(shù)據(jù)庫系統(tǒng)資源的非法使用和破壞。入侵檢測系統(tǒng)主要是通過對未授權(quán)訪問中出現(xiàn)的異常狀況進(jìn)行檢測和識別，并對攻擊系統(tǒng)進(jìn)行阻止來實(shí)現(xiàn)對數(shù)據(jù)庫信息安全的保護(hù)。Oracle數(shù)據(jù)庫的安全入侵檢測主要是對操作環(huán)節(jié)進(jìn)行實(shí)時(shí)監(jiān)控，一旦發(fā)現(xiàn)不法行為，立即進(jìn)行控制和阻止，達(dá)到用戶使用安全、非法用戶無法越權(quán)訪問和系統(tǒng)漏洞及時(shí)修復(fù)的安全目標(biāo)。

4.4 數(shù)據(jù)備份與恢復(fù)

為了有效防止數(shù)據(jù)意外損壞和丟失，要做好數(shù)據(jù)的備份和恢復(fù)工作。Oracle數(shù)據(jù)庫為了更好的備份數(shù)據(jù)，將數(shù)據(jù)庫資源進(jìn)行不同的分類，分為公開資源、內(nèi)部資源和核心資源，并根據(jù)數(shù)據(jù)的不同類型進(jìn)行不同方式的備份。對于Oracle數(shù)據(jù)庫的備份方式主要有物理備份和邏輯備份兩種方式。選擇正確的備份方法，即使有非法用戶的入侵，也能夠迅速采取應(yīng)急措施，利用備份資源進(jìn)行數(shù)據(jù)恢復(fù)，避免信息丟失，挽救巨大的經(jīng)濟(jì)損失。

5 結(jié)語

隨著我國現(xiàn)代可續(xù)信息技術(shù)的不斷發(fā)展，數(shù)據(jù)庫系統(tǒng)應(yīng)用也會(huì)越來越廣泛。Oracle數(shù)據(jù)庫在各個(gè)行業(yè)當(dāng)中的廣泛應(yīng)用也引發(fā)我們對數(shù)據(jù)安全的不斷深入思考。加強(qiáng)Oracle數(shù)據(jù)庫安全性具有非常重要的現(xiàn)實(shí)意義。Oracle數(shù)據(jù)庫的安全機(jī)制雖然比較完善，但是隨著數(shù)據(jù)信息的不斷增加，人們對數(shù)據(jù)安全性的要求也越來越高，因此就要針對薄弱的環(huán)節(jié)不斷增強(qiáng)安全性能，為廣大用戶提供最優(yōu)質(zhì)的服務(wù)。

[1]趙明坤.現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫安全技術(shù)分析[J].黑龍江科技信息，2015.

[2]王雪婷.計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫的安全及對其的優(yōu)化[J].通訊世界，2015.

[3]李太連，龍科.計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫存在的安全威脅與應(yīng)對措施探討[J].信息與電腦（理論版），2014.

[4]楊小琴.計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫存在的安全威脅及措施[J].信息與電腦（理論版），2015.

[5]呂歆.淺析計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫的安全問題[J].雪蓮，2015.