基于Oracle分布式數(shù)據(jù)庫(kù)遠(yuǎn)程數(shù)據(jù)的維護(hù)和安全性的研究

阮俊

摘 要：隨著社會(huì)和計(jì)算機(jī)技術(shù)的發(fā)展，數(shù)據(jù)信息的存儲(chǔ)越來(lái)越離不開數(shù)據(jù)庫(kù)系統(tǒng)的支持，而Oracle數(shù)據(jù)庫(kù)以其強(qiáng)大的數(shù)據(jù)處理能力，從眾多數(shù)據(jù)庫(kù)系統(tǒng)中脫穎而出，在各行各業(yè)得到了廣泛的應(yīng)用，尤其在很多電子商務(wù)和電子政務(wù)的大型系統(tǒng)中。所以我就提出了"基于Oracle分布式數(shù)據(jù)庫(kù)遠(yuǎn)程數(shù)據(jù)的維護(hù)和安全性的研究"這樣一個(gè)研究課題，并且結(jié)合實(shí)際項(xiàng)目進(jìn)行了一定的研究，對(duì)一些關(guān)鍵技術(shù)進(jìn)行了實(shí)現(xiàn)，為以后更好的進(jìn)行系統(tǒng)開發(fā)做一個(gè)鋪墊。

關(guān)鍵詞：Oracle數(shù)據(jù)；維護(hù)；安全管理

隨著計(jì)算機(jī)科學(xué)技術(shù)的發(fā)展與普及，特別是計(jì)算機(jī)在國(guó)民經(jīng)濟(jì)各重要部門的廣泛應(yīng)用，計(jì)算機(jī)安全已是當(dāng)前信息社會(huì)非常關(guān)注的突出問(wèn)題，而數(shù)據(jù)庫(kù)系統(tǒng)則擔(dān)負(fù)著存儲(chǔ)和管理上述數(shù)據(jù)信息的任務(wù)。我們可以利用網(wǎng)絡(luò)實(shí)現(xiàn)數(shù)據(jù)資源的共享，但是這就給我們提出了分布式數(shù)據(jù)的維護(hù)、處理和安全性的問(wèn)題，如果這幾個(gè)方面的問(wèn)題得不到解決，那么就對(duì)分布在全世界的各種信息沒(méi)有辦法進(jìn)行處理、維護(hù)，并且數(shù)據(jù)的不安全將對(duì)企業(yè)和國(guó)家的利益產(chǎn)生負(fù)面的影響。因而，如何保證和加強(qiáng)其安全性與保密性，已成為目前迫切需要解決的熱門課題。

1 系統(tǒng)建設(shè)的原則

為了保證系統(tǒng)在開發(fā)設(shè)計(jì)的過(guò)程中具有良好的工程化的觀念，使開發(fā)的系統(tǒng)是一個(gè)可用的、易理解、高效率、可維護(hù)的和可靠的軟件系統(tǒng)，我們就要遵循一些標(biāo)準(zhǔn)化的規(guī)程，對(duì)開發(fā)人員以指導(dǎo)和約束，使他們遵照規(guī)定的方法與原則來(lái)理解和處理問(wèn)題，這是系統(tǒng)開發(fā)成功的重要因素。所以我們?cè)陂_發(fā)與數(shù)據(jù)庫(kù)有關(guān)的子系統(tǒng)時(shí)擬定如下原則：實(shí)用性、正確性、先進(jìn)性、可靠性、穩(wěn)定性、可維護(hù)性、有效性、安全性、適應(yīng)性、開放性等原則。

1.1 Orac1e對(duì)組件的支持

Oracle數(shù)據(jù)庫(kù)嵌入了一個(gè)高性能的Java虛擬機(jī)，在Oracle8i和Oracle9i中有Oracle JServer，它支持在數(shù)據(jù)庫(kù)內(nèi)部直接運(yùn)行Java程序的功能，這樣如果開發(fā)語(yǔ)言采用Java的話，可以直接用Java通過(guò)JDBC對(duì)數(shù)據(jù)庫(kù)進(jìn)行操作，并且JServe：完全提供了對(duì)Java2企業(yè)版的支持。企業(yè)JavaBean和CORBA商業(yè)組件對(duì)商業(yè)數(shù)據(jù)安全操作在JServer中也得到了強(qiáng)有力的支持。

1.2 多媒體大數(shù)據(jù)對(duì)象

多媒體信息指的是數(shù)據(jù)長(zhǎng)度沒(méi)有界限的圖像、聲音、視頻動(dòng)畫和文本等大數(shù)據(jù)對(duì)象（Large Objects）。幾乎所有的應(yīng)用都會(huì)用到大數(shù)據(jù)對(duì)象，在Oracle8系列數(shù)據(jù)庫(kù)中，Oracle interMedia能為需要訪問(wèn)圖像、聲音、視頻動(dòng)畫、文本和關(guān)系數(shù)據(jù)的應(yīng)用管理多媒體內(nèi)容。而在Oracle9i協(xié)作內(nèi)容管理中的Oracle多媒體功能（Oracle interMedia）支持所有類型的多媒體數(shù)據(jù)，提供一套標(biāo)準(zhǔn)的管理工具，使用戶能夠?qū)D片、音頻、視頻的安全、備份和恢復(fù)都能夠進(jìn)行控制管理。

1.3 數(shù)據(jù)庫(kù)鏈接與快照

遠(yuǎn)程數(shù)據(jù)庫(kù)訪問(wèn)是通過(guò)建立數(shù)據(jù)庫(kù)鏈路來(lái)實(shí)現(xiàn)的，數(shù)據(jù)庫(kù)鏈路是通過(guò)Oracle通信軟件SQL*Net來(lái)工作的。各服務(wù)器上的SQL*Net要根據(jù)網(wǎng)絡(luò)的情況來(lái)配置，網(wǎng)絡(luò)中每一臺(tái)服務(wù)器都有一個(gè)特定的名稱，這個(gè)名稱在數(shù)據(jù)庫(kù)鏈路中稱為鏈接串（connectstring），在Oracle數(shù)據(jù)庫(kù)中對(duì)遠(yuǎn)程數(shù)據(jù)庫(kù)的訪問(wèn)一般都采用鏈接串進(jìn)行數(shù)據(jù)庫(kù)的訪問(wèn)，這樣有利于對(duì)數(shù)據(jù)庫(kù)的管理。

2 Oracle分布式數(shù)據(jù)的維護(hù)

2.1 利用Oracle數(shù)據(jù)庫(kù)快照來(lái)維護(hù)

在實(shí)際系統(tǒng)開發(fā)過(guò)程中我們往往會(huì)碰到這樣一個(gè)問(wèn)題：對(duì)外發(fā)布的數(shù)據(jù)往往是內(nèi)部使用數(shù)據(jù)的一個(gè)子集，有些數(shù)據(jù)只能對(duì)外進(jìn)行查詢而不能讓用戶進(jìn)行修改，這樣即使外部數(shù)據(jù)遭到破壞也能很快進(jìn)行恢復(fù)。這種我在實(shí)際工作中常用的解決方案就是利用Oracle數(shù)據(jù)庫(kù)快照來(lái)實(shí)現(xiàn)數(shù)據(jù)的同步。Oracle數(shù)據(jù)庫(kù)的快照實(shí)際上是一個(gè)表，它包含有對(duì)一個(gè)本地或遠(yuǎn)程數(shù)據(jù)庫(kù)上一個(gè)或多個(gè)表或視圖的查詢的結(jié)果。正因?yàn)镺racle數(shù)據(jù)庫(kù)快照可以是一個(gè)主表的查詢子集，也可以是整個(gè)表，所以使用快照可以加快數(shù)據(jù)的查詢速度；在保持不同數(shù)據(jù)庫(kù)中的兩個(gè)表的同步中，利用快照刷新，數(shù)據(jù)庫(kù)數(shù)據(jù)的更新性能也會(huì)有很大的改善。

2.2 數(shù)據(jù)庫(kù)的導(dǎo)入和導(dǎo)出

數(shù)據(jù)庫(kù)的導(dǎo)入和導(dǎo)出是數(shù)據(jù)庫(kù)日常維護(hù)的一個(gè)要經(jīng)常遇到的問(wèn)題，也是我們平常所說(shuō)的邏輯備份。對(duì)于數(shù)據(jù)庫(kù)系統(tǒng)管理員來(lái)說(shuō)，數(shù)據(jù)庫(kù)的導(dǎo)入和導(dǎo)出是維護(hù)一個(gè)數(shù)據(jù)庫(kù)正常運(yùn)行的基本手段，萬(wàn)一數(shù)據(jù)庫(kù)出現(xiàn)不可恢復(fù)的嚴(yán)重問(wèn)題，就可以用最近的備份文件進(jìn)行復(fù)原，使數(shù)據(jù)庫(kù)正常運(yùn)行。

2.3 Oracle數(shù)據(jù)庫(kù)的備份和恢復(fù)

簡(jiǎn)單地說(shuō)，備份就是一個(gè)數(shù)據(jù)庫(kù)數(shù)據(jù)的拷貝，這個(gè)拷貝包括你的數(shù)據(jù)庫(kù)的重要的部分如控制文件、數(shù)據(jù)文件、初始化文件和日志文件等。備份是為了防止意外的數(shù)據(jù)丟失和應(yīng)用錯(cuò)誤。一旦你丟失了原始數(shù)據(jù)，你可以通過(guò)備份來(lái)找到它，并且進(jìn)行必要的恢復(fù)工作，使數(shù)據(jù)庫(kù)正常運(yùn)行。數(shù)據(jù)庫(kù)的備份分為物理備份和邏輯備份。你可以將邏輯備份作為物理備份的補(bǔ)充，這一部分內(nèi)容在上一節(jié)已經(jīng)講過(guò)了。物理備份也是數(shù)據(jù)庫(kù)管理員經(jīng)常使用的一種備份方式。它可以對(duì)Oracle數(shù)據(jù)庫(kù)的所有內(nèi)容進(jìn)行拷貝，方式可以是多種，有脫機(jī)備份和聯(lián)機(jī)備份，它們各有所長(zhǎng)，在實(shí)際中應(yīng)根據(jù)具體情況和所處狀態(tài)進(jìn)行選擇。你可以使用Oracle8iRecoveryManager或別的。O/S工具來(lái)實(shí)現(xiàn)物理備份。還原（Restore）一個(gè)備份是指重新構(gòu)造它并使其可以被OracleServer使用。恢復(fù)（Recovery）一個(gè)已還原數(shù)據(jù)文件是指用重寫日志記錄（Redologrecord）來(lái)更新它，例如數(shù)據(jù)庫(kù)備份以后所修改的記錄。

3 Oracle數(shù)據(jù)庫(kù)安全性的研究

3.1 數(shù)據(jù)加密

在一些較大規(guī)模的Client/Server系統(tǒng)中或者B/S架構(gòu)的系統(tǒng)里面，Client端與瀏覽器的應(yīng)用程序一般是通過(guò)主程序中的語(yǔ)句來(lái)實(shí)現(xiàn)與數(shù)據(jù)庫(kù)的連接。這種情況下，任何人打開源程序便能清楚了解數(shù)據(jù)庫(kù)的連接口令，這就可能導(dǎo)致安全性問(wèn)題。通過(guò)開始用Sniffer Portable 4.7進(jìn)行數(shù)據(jù)傳輸過(guò)程的整個(gè)數(shù)據(jù)包，發(fā)現(xiàn)原來(lái)數(shù)據(jù)傳輸為明文的部分已經(jīng)變成加了密的數(shù)據(jù)格式。并且就算知道數(shù)據(jù)庫(kù)的密碼，但是如果不知道加密的種子和加密算法的話，還是鏈接不上該數(shù)據(jù)庫(kù)。加密方式也可以經(jīng)常改變和加密的種子可以經(jīng)常改變，這樣對(duì)數(shù)據(jù)庫(kù)的安全性有了一個(gè)重要保證。endprint

3.2 Oracle數(shù)據(jù)厚密碼文件管理

當(dāng)創(chuàng)建了一個(gè)數(shù)據(jù)庫(kù)實(shí)例的時(shí)候，在%ORACLE_HOME/DATABASE目錄下會(huì)自動(dòng)創(chuàng)建了一個(gè)與之對(duì)應(yīng)的密碼文件，文件名為PWDSID.ORA，其中SID代表相應(yīng)的Oracle數(shù)據(jù)庫(kù)系統(tǒng)標(biāo)識(shí)符。此密碼文件是進(jìn)行初始數(shù)據(jù)庫(kù)管理工作的基礎(chǔ)，一旦數(shù)據(jù)庫(kù)進(jìn)行發(fā)布建議系統(tǒng)管理員更改此文件。管理員可以使用工具ORAPWD.EXE手工創(chuàng)建密碼文件。命令格式如下：

orapwdfile=password=entries=

相關(guān)命令參數(shù)的含義為：fname：密碼文件名；password：設(shè)置internal/sys帳號(hào)的口令；users：密碼文件中可以存放的最大用戶數(shù)，對(duì)應(yīng)于允許以sysdba/sysoper權(quán)限登錄數(shù)據(jù)庫(kù)的最大用戶數(shù)。由于在以后的維護(hù)中，若用戶數(shù)超出了此限制，則需要重建密碼文件，所以此參數(shù)可以根據(jù)需要設(shè)置得大一些。有了密碼文件之后，需要設(shè)置初始化參數(shù)加入一行

REMOTE_LOGIN_PASSWORDFILE=EXCLUSIVE或SHARE

來(lái)控制密碼文件的使用狀態(tài)。

3.3 建立Oracle的安全審計(jì)機(jī)制

Oracle的審計(jì)機(jī)制是用來(lái)監(jiān)視用戶對(duì)ORACLE數(shù)據(jù)庫(kù)所做的各種操作。在缺省情況下，系統(tǒng)的審計(jì)功能是關(guān)閉的。激活的辦法是，在INIT.ORA參數(shù)文件中，將參數(shù)AUDIT_TRAIL設(shè)置為正整數(shù)。審計(jì)功能激活后，任何擁有表或視圖的用戶就可以進(jìn)行如下審計(jì)操作：》使用SQL語(yǔ)句來(lái)挑選審計(jì)選擇項(xiàng)；》審計(jì)對(duì)該用戶所擁有的表或視圖的成功或不成功的存取企圖；》有選擇的審計(jì)各種類型的SQL操作（SELECT，UPDATE，INSERT，DELETE；》控制審計(jì)的程度（是以SESSION還是ACCESS為單位）。

綜上所述，數(shù)據(jù)庫(kù)管理系統(tǒng)DBMS存在不同的安全隱患和管理人員對(duì)數(shù)據(jù)庫(kù)安全性的認(rèn)識(shí)不足是造成數(shù)據(jù)信息的安全受到威脅的根本原因，并且使得在遠(yuǎn)程維護(hù)問(wèn)題上存在不同的安全威脅，比方說(shuō)數(shù)據(jù)的盜用等。本課題結(jié)合實(shí)際系統(tǒng)開發(fā)經(jīng)驗(yàn)提出針對(duì)基于Oracle分布式數(shù)據(jù)庫(kù)遠(yuǎn)程數(shù)據(jù)的維護(hù)和安全性的研究問(wèn)題，并且對(duì)系統(tǒng)開發(fā)過(guò)程中的解決方法中提煉出一系列的解決方案。

參考文獻(xiàn)：

[1] 曹紅雙，梁建軍. Oracle分布式數(shù)據(jù)庫(kù)遠(yuǎn)程數(shù)據(jù)訪問(wèn)的安全性[J]. 微電腦世界，1999，Z1：87-88.

[2] 賈麗. 分布式數(shù)據(jù)庫(kù)在物流倉(cāng)儲(chǔ)管理系統(tǒng)中的應(yīng)用[D]. 西安建筑科技大學(xué)，2009.