Oracle數(shù)據庫應用中的安全管理策略分析

摘要：本文首先分析了Oracle數(shù)據庫應用中的安全管理策略，隨后提出實際的保護手段，以為實踐提供參考。

關鍵詞：Oracle數(shù)據庫；應用；安全管理策略；保護手段

中圖分類號：TP311.13 文獻標識碼：A 文章編號：1007-9599 (2012) 09-0000-02

一、引言

筆者根據自身的實際工作經驗，根據公司Oracle數(shù)據庫的具體運用狀況，為了確保數(shù)據庫系統(tǒng)安全，保證數(shù)據有效性、完整性及保密性，重點分析了Oracle數(shù)據庫在應用中的安全管理以及相應的策略，主要是通過對Oracle數(shù)據庫系統(tǒng)、用戶安全管理以及數(shù)據等方面進行分析，從而為企業(yè)提供可靠、安全的信息管理系統(tǒng)。

二、安全管理策略相關分析

（一）網絡系統(tǒng)層次安全管理策略

網絡系統(tǒng)為數(shù)據庫的安全應用的提供了前提條件及外部環(huán)境，是影響數(shù)據庫安全的主要因素，數(shù)據庫系統(tǒng)功能的發(fā)揮不能脫離網絡系統(tǒng)存在，異地用戶只能經過網絡系統(tǒng)才可以進行數(shù)據庫數(shù)據的訪問。網絡系統(tǒng)的安全防護是數(shù)據庫安全的首道屏障，外部對于數(shù)據庫入侵大多都是從入侵網絡系統(tǒng)開始。進行網絡安全性處理的時候，重點運用如下一些措施：能夠通過設置防火墻技術，合理監(jiān)控不可信任網絡間的訪問，能于內部和外部網絡間產生防護屏障，阻止出于外部的非法訪問，還進行內部信息外泄的制止；于網絡中，運用密碼，網上的用戶可以通過設置安全密碼和安全問題，從而防止非法用戶盜竊密碼，避免系統(tǒng)安全性遭受損害；可以進行拒絕遠程訪問DBA的設置，合理控制網絡的DBA權限。

（二）用戶操作系統(tǒng)安全管理策略

數(shù)據庫系統(tǒng)中采用用戶管理運行模式，可以有效的防止未經授權的用戶直接對數(shù)據庫訪問，同時也可以防止合法用戶使用未經授權的子系統(tǒng)對數(shù)據庫的訪問。有效的保證數(shù)據庫系統(tǒng)安全方法有很多，下面主要介紹：對象授權、用戶賬號、角色與對應運用程序上下文的控制。

角色管理是數(shù)據庫系統(tǒng)安全運行安全用戶管理中的關鍵策略。當數(shù)據庫用戶比較多時，應該對角色實施角色創(chuàng)建，從而規(guī)定每個用戶訪問權限，同時對角色為一類機制實施集中管理，用戶的訪問權限會因為角色權限不同而發(fā)生改變。Oracle數(shù)據庫系統(tǒng)包括三個默認角色，以及這些默認角色有著特定權限：第一，Connect角色，僅允許用戶登錄及建立自身的簡單表與索引，因此通常為臨時用戶；第二，Resource角色，較Connect角色允許更為多的高級權限，例如：建立存儲與觸發(fā)器；第三，DBA角色，具有管理數(shù)據庫和全部用戶的系統(tǒng)權限。

創(chuàng)建用戶賬號也可以增強數(shù)據庫的安全性，采用用戶賬號登錄和動態(tài)口令相結合的方式授予訪問權限，可以很好的避免數(shù)據的損壞、泄露以及無關人員任意干擾，從而成為數(shù)據系統(tǒng)安全管理的重要措施。一定要使用正確的用戶名以及口令進行登陸之后，才可以正確訪問數(shù)據庫。配置文件即為資源限制及口令的一種指定集合，應把它分給用戶能夠運用alter user、create user命令，進行口令管理的增設。

授權管理相關權限機制即為Oracle數(shù)據庫安全管理的核心內容，即為不相同的權限給予不相同的用戶。因為用戶被授予不相同的權限。能劃成兩種：其一為普通用戶，就是某個指定的數(shù)據庫對象；其二為系統(tǒng)管理員DBA，DBA能進行數(shù)據結構、數(shù)據庫系統(tǒng)的合理操作。此處應說明對于sys以及system特殊用戶和高級用戶的保密管理，sys和system-缺省密碼同為manager，通過Oracle數(shù)據庫主動建立DBA權限、create Public synonym權限以及unlimited tablespace權限，這三個系統(tǒng)訪問權限屬于DBSNMP用戶，其中的缺省密碼為DBSNMP。

（三）數(shù)據庫管理系統(tǒng)安全管理策略

因為數(shù)據庫系統(tǒng)于操作系統(tǒng)之下均是采用文件形式進行實施管理，所以入侵者通常采用操作系統(tǒng)存在的漏洞進行數(shù)據庫數(shù)據的竊取、偽造或是篡改。為了確保之前兩層次已遭受突破的情形之下，還可以保證數(shù)據庫中的數(shù)據信息安全，此時數(shù)據庫安全管理系統(tǒng)應存在一種安全保障機制---數(shù)據庫管理系統(tǒng)層次安全管理策略：數(shù)據庫管理系統(tǒng)安全機制要是極其巨大，那么數(shù)據庫系統(tǒng)具有的安全性能比較良好。

對于Oracle數(shù)據庫系統(tǒng)，它的性能優(yōu)越，安全性可靠、操作方便，存儲量巨大。通常情形之下，該系統(tǒng)能夠給予用戶準確、安全、穩(wěn)定的數(shù)據。同時由于計算機系統(tǒng)的一些硬件及軟件故障或者網絡及系統(tǒng)故障都會對Oracle數(shù)據庫系統(tǒng)操作帶來一定影響，甚至可能會損壞數(shù)據庫，從而使數(shù)據庫全部系統(tǒng)面臨癱瘓情況。所以確保Oracle數(shù)據庫的可用性、安全性，保證Oracle數(shù)據庫系統(tǒng)安全穩(wěn)定，可以運用如下的安全管理措施：

1.針對權限的控制措施

對于Oracle數(shù)據庫系統(tǒng)，其經過角色、權限授予以及回收的操作以后，均能合理實施用戶權限控制。

2.針對用戶的控制措施

安全性是終端用戶具有重大的意義。目前針對擁有大數(shù)量用戶的數(shù)據庫，能夠采用并執(zhí)行的措施有：用戶角色的創(chuàng)建，將需要的權限以及應用程序角色給予各個用戶角色，還給用戶進行對應用戶角色的安配。能運用“角色”就終端用戶實施權限管理。

針對普通用戶，常通過密碼加密手段和數(shù)據庫實施連接。設置方法如下：先于客戶端的oracle．ini文件內進行設置，初始化參數(shù)ora-encrypt-login；后于服務器端的init ORACLE-SID．ora文件內進行設置，初始化參數(shù)dbling-encypt-login。

針對數(shù)據庫管理人員的安全，常運用下面的實際措施：完成數(shù)據庫的創(chuàng)建之后，馬上對那些存在管理權限的sys以及system用戶進行默認密碼的更新，避免不合法用戶進行數(shù)據庫的訪問；確保僅能數(shù)據庫管理人員通過管理權限進行數(shù)據庫的連入，避免按sysdba連接，實施不存在任意制約的操作；

進行默認訪問用戶的鎖定、失效設置權限，對于Oracle數(shù)據庫系統(tǒng)而言，進行系統(tǒng)安裝時會自動的產生一些默認用戶，同時在完成數(shù)據庫成功安裝以后，能篩選用戶、能鎖定用戶以及也能失效用戶，scott就是。

3.針對數(shù)據的控制措施

對數(shù)據進行安全保護是數(shù)據庫管理系統(tǒng)保護的關鍵，保證在服務器發(fā)生件或者軟硬件故障的時候，保障未失去主要數(shù)據，防止企業(yè)受到損失。

數(shù)據備份是數(shù)據庫數(shù)據保護有效措施，在數(shù)據庫出現(xiàn)服務器故障的時候，數(shù)據庫可以自動的通過備份實施恢復，從而使數(shù)據庫文件、文本文件、控制文件以及另外的文件回復。

Oracle數(shù)據庫均進行日志的給予，用于進行數(shù)據庫內實施的每類操作的記錄，有調整、修改參數(shù)，有拷貝，從而在數(shù)據庫中創(chuàng)建出全部作業(yè)的一個綜合記錄。

控制文件的備份常用來對數(shù)據庫物理結構狀態(tài)進行存貯，從而對文件內若干狀態(tài)信息的進行控制，進行實例恢復以及介質恢復的時候，便于進行Oracle數(shù)據庫的正確引導。

三、Oracle數(shù)據庫保護手段

（一）磁盤陣列

在操作系統(tǒng)層次，運用大容量磁盤陣列和磁盤映像技術，保證各個數(shù)據庫文件（控制以及日志文件）均在各個物理磁盤進行自覺分布。在某磁盤產生物理破壞的時候，操作系統(tǒng)能主動引發(fā)映像磁盤，進而代替失效磁盤，致使數(shù)據庫能順利運作。

（二）數(shù)據備份

邏輯備份主要任務是正確讀出數(shù)據庫的數(shù)據記錄以及把這些記錄錄入一些文件內；對于物理備份，具有完整拷貝構成數(shù)據庫的文件的功能，但不足是忽略了邏輯內容。它能拷貝Oracle數(shù)據庫的全部數(shù)據內容，方式有許多種，主要包括聯(lián)機備份及脫機備份：對于聯(lián)機備份方式，其把聯(lián)機日志轉儲歸檔，于Oracle數(shù)據庫中，可以記錄全部進程以及正確的作業(yè)。能備份任意運作于ARCHIVELOG數(shù)據庫。聯(lián)機備份能恢復全部的時間點point-in-time，同時在還原文件系統(tǒng)備份的時，允許數(shù)據庫系統(tǒng)處于打開狀態(tài)，然而因為此備份方式要求貯存許多歸檔文件，使系統(tǒng)維護困難增大，進行恢復時，要是某歸檔文件破壞或者失去，也實現(xiàn)不了完全恢復；對于脫機備份，在數(shù)據庫順利關閉，數(shù)據庫處在“offline”的時候，應進行以下文件的備份：全部的聯(lián)機日志，全部數(shù)據及控制文件和初始化參數(shù)文件init．ora。上述備份文件可以通過磁帶機轉存至磁帶之上，在服務器產生故障數(shù)據出現(xiàn)丟失時候，可以直接把磁帶之上的備份文件導出來轉到硬盤之上，從而實現(xiàn)數(shù)據恢復，這種備份方式可靠，維護簡易，但是，由于是冷備份，應按時關閉數(shù)據庫，以為其備份時間具有一定期限，所以實施數(shù)據恢復時，僅可恢復至之前進行備份的時間點之上，實施不了完全恢復。

應重視的是，不論運用何種方式進行數(shù)據備份，都要百分之百的確保備份文件的完整性和有效性，這對于數(shù)據庫系統(tǒng)的恢復起著至關重要的作用。

四、總結

Oracle安全策略有著高的可伸縮性以及安全性，還有著多樣的可擴展性以及可用性。進行數(shù)據庫系統(tǒng)安全管理工作，應堅持長期性、持久性。為了組建相對安全及穩(wěn)定的數(shù)據庫系統(tǒng)，數(shù)據庫管理者要通過技術方式進行嚴格管理，做好防御，更應增加防范意識。

參考文獻：

[1]巢子杰.Oracle數(shù)據庫優(yōu)化探究[J].軟件導刊，2010，2

[2]邢春暉，鄭智星.ORACLE數(shù)據庫的管理[J].黑龍江科技信息，2010，8

[3]趙世杰.關于Oracle數(shù)據庫應用中的安全管理策略[J].價值工程，2011，15