李歐
摘要:Oracle數(shù)據(jù)庫在具體應(yīng)用的過程中會出現(xiàn)較多的安全問題,網(wǎng)絡(luò)整體性能的安全要通過Oracle密碼與用戶默認(rèn)的賬戶保護(hù)的深入探究作為一項重要的具體項目。Oracle數(shù)據(jù)庫含有多種模式的應(yīng)用服務(wù)功能,黑客會經(jīng)常從中抓住目標(biāo),因此要對Oracle數(shù)據(jù)庫進(jìn)行嚴(yán)加看守,保障賬戶的安全使用,防止安全系統(tǒng)出現(xiàn)漏洞所增加的危險性能。
關(guān)鍵詞:Oracle;數(shù)據(jù)庫;訪問機制;策略研究
中圖分類號:TP311 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-3044(2015)13-0010-02
近年來,隨著現(xiàn)代信息科技技術(shù)的迅速發(fā)展,企業(yè)與企業(yè)之間都建立起了廣泛的企業(yè)網(wǎng),而Oracle數(shù)據(jù)庫就是企業(yè)網(wǎng)的重要核心部分。計算機技術(shù)在人類生活中廣泛應(yīng)用使得網(wǎng)絡(luò)技術(shù)的要求更加嚴(yán)格,Oracle數(shù)據(jù)庫所具有的高性能在操作上有著快捷性、方便性、卓越性等的優(yōu)勢,因此在企業(yè)中受到極大的關(guān)注。面對Oracle數(shù)據(jù)庫會出現(xiàn)的安全問題,要采取對Oracle數(shù)據(jù)庫網(wǎng)絡(luò)安全訪問機制深入研究的積極手段,提高Oracle數(shù)據(jù)庫的安全性能,防止給廣大用戶造成重要文件信息和財產(chǎn)安全的威脅。
1 Oracle數(shù)據(jù)庫網(wǎng)絡(luò)安全訪問機制的概述
Oracle數(shù)據(jù)庫屬于一種大型的網(wǎng)絡(luò)數(shù)據(jù)庫,它主要通過以TCP/IP 和計算機網(wǎng)絡(luò)為基礎(chǔ)等的用戶協(xié)議,使客戶能夠在系統(tǒng)終端訪問到來自于Oracle 數(shù)據(jù)庫服務(wù)器中的任意數(shù)據(jù),客戶除了可以通過 TCP/IP 等通用協(xié)議訪問到 Oracle 數(shù)據(jù)庫,還可以通過Oracle 公司所研究開發(fā)的最新版本——Oracle 11g軟件,在現(xiàn)有的版本中還稱作網(wǎng)絡(luò)中間件,在過去的版本中稱為SQL*Net。
Oracle 11g不是針對于某一個軟件呈現(xiàn)而設(shè)計的,它處于網(wǎng)絡(luò)協(xié)議中TCP/IP 之上,所提供的網(wǎng)絡(luò)通道主要是為了客戶訪問Oracle 數(shù)據(jù)庫的方便使用,同時在Oracle 數(shù)據(jù)庫服務(wù)器與Oracle 客戶端應(yīng)用程序之間建立一個網(wǎng)絡(luò)會話并傳輸數(shù)據(jù),網(wǎng)絡(luò)會話建立成功以后,Oracle 11g就成為了數(shù)據(jù)傳送者的重要角色。標(biāo)準(zhǔn)Oracle 11g服務(wù)器與客戶機都有一個附加產(chǎn)品,它叫做Oracle 的高級安全機制,它的作用是能夠?qū)?shù)據(jù)進(jìn)行保密性傳輸[1]。
2 Oracle數(shù)據(jù)庫安全問題
Oracle數(shù)據(jù)庫的安全是極為重要的,Oracle數(shù)據(jù)庫的安全有三個問題:數(shù)據(jù)庫系統(tǒng)安全問題、數(shù)據(jù)庫網(wǎng)絡(luò)環(huán)境問題、數(shù)據(jù)庫數(shù)據(jù)安全問題。第一,數(shù)據(jù)庫使用和存取方面的安全都要有一個防護(hù)措施,而Oracle數(shù)據(jù)庫的安全性主要是通過對使用用戶設(shè)置了特定的訪問權(quán)限功能,其中含有6種安全機制體,分別為:審計機制、資源限制機制、空間氛圍機制、存儲設(shè)置、角色分配機制、權(quán)限分配機制以及模式機制。這些安全機制都是對數(shù)據(jù)庫起著對應(yīng)的防止存取作用。第二,Oracle數(shù)據(jù)庫網(wǎng)絡(luò)環(huán)境安全因素有:假冒用戶身份、數(shù)據(jù)竊取、篡改數(shù)據(jù)等。第三,Oracle數(shù)據(jù)庫數(shù)據(jù)的安全主要是在數(shù)據(jù)系統(tǒng)內(nèi)部受到危險入侵時,數(shù)據(jù)庫會自動產(chǎn)生數(shù)據(jù)回復(fù)及保護(hù)的防御機制。數(shù)據(jù)操作過程中若輸入的數(shù)據(jù)有誤,系統(tǒng)發(fā)生故障等問題,沒有遵守數(shù)據(jù)庫的統(tǒng)一性原則,或者是被人為惡意破壞或篡改等造成了四大塊安全因素。
3 Oracle數(shù)據(jù)庫網(wǎng)絡(luò)安全訪問機制的策略
3.1系統(tǒng)內(nèi)部機制安全對策
Oracle數(shù)據(jù)庫本身是一個大型軟件系統(tǒng),主要通過對重要文件、角色、權(quán)限等控制用戶訪問數(shù)據(jù)操作,用戶主要以DBA進(jìn)行創(chuàng)建,再給用戶授予最基本的權(quán)限方便用戶能夠連接到數(shù)據(jù)庫查看資料及對象。通過用戶的創(chuàng)建及登陸數(shù)據(jù)庫,有效避免應(yīng)用程序的用戶利用數(shù)據(jù)庫用戶賬戶進(jìn)行登陸,對數(shù)據(jù)庫產(chǎn)生不可測的以外破壞。用戶要連接Oracle數(shù)據(jù)庫時必須通過身份的驗證才能進(jìn)行登陸,常用的有效身份驗證方式分別為:外部身份驗證以及數(shù)據(jù)庫身份驗證。一般情況下數(shù)據(jù)庫身份驗證主要是通過用戶創(chuàng)建使用IDENTIFIED BY口令選項,Oracle全權(quán)管理用戶的賬戶及口令并進(jìn)行驗證。但在用戶更改的時候需要注意的是,表空間的限額,若表空間的限額為0,則用戶在撤銷的表空間里仍然保留擁有的對象,但無法提高新的空間分配;在刪除用戶之前,要選中所有刪除隨性,若方案中包括了任意對象,則必須將該選項進(jìn)行指定,切記不能刪除與Oracle服務(wù)器的連接用戶[2]。
3.1.1對數(shù)據(jù)庫進(jìn)行加密
在操作系統(tǒng)中數(shù)據(jù)庫是以文件的形式存在的,惡意攻擊者主要以操作系統(tǒng)的漏洞對數(shù)據(jù)文件進(jìn)行竊取或篡改,而管理員有數(shù)據(jù)的訪問權(quán)限也會留下安全隱患。1)數(shù)據(jù)庫加密要通過數(shù)據(jù)庫系統(tǒng)中的加密部件獲得最佳的系統(tǒng)結(jié)構(gòu),首先,數(shù)據(jù)在介質(zhì)里存取之前,數(shù)據(jù)庫加密要在數(shù)據(jù)庫系統(tǒng)的內(nèi)核部分進(jìn)行完成工作。2)加解密的過程中所發(fā)生的數(shù)據(jù)都是在數(shù)據(jù)庫的管理系統(tǒng)外,所加入都是密文。
數(shù)據(jù)庫加密粒度主要由表、記錄、屬性和數(shù)據(jù)元素組成,加密粒度越小靈活性越好,從而使得安全性也越高。數(shù)據(jù)庫加密單元有以下4種方式: 1)表單元加密:主要是把加密的對象用在整個表中,分別把不同的表密鑰進(jìn)行嚴(yán)謹(jǐn)?shù)募用苓\算,最后形成密文。2)屬性單元加密:字段或者域都是表的加密對象,在一般情況下,記錄的條數(shù)都會多于屬性的個數(shù),則會出現(xiàn)密鑰數(shù)量較少。3)記錄單元加密:行等同于記錄加密,主要把表中的記錄行為作為加密的對象,數(shù)據(jù)庫中加密的行數(shù)越少時,恰恰這種方法是最有效的。4)數(shù)據(jù)庫元素本身是數(shù)據(jù)庫中最小的加密粒度也是記錄字段值的加密對象,系統(tǒng)的靈活與安全性高,但要實現(xiàn)該方式的加密卻非常復(fù)雜。
3.1.2 審計機制的數(shù)據(jù)安全保障
審計追蹤操作能夠通過系統(tǒng)將用戶對數(shù)據(jù)庫所進(jìn)行的所有數(shù)據(jù)操作記錄存儲起來,以一個專用文件通過追蹤把數(shù)據(jù)庫信息進(jìn)行分析,最后找出原因。使用審計的時候,要先將數(shù)據(jù)庫做好相應(yīng)的配置,只有數(shù)據(jù)庫中產(chǎn)生的實例能夠重新啟動才能激活審計或者終止審計。
3.2 數(shù)據(jù)庫數(shù)據(jù)安全對策
首先,要習(xí)慣性對數(shù)據(jù)庫進(jìn)行安全備份,第一,邏輯備份;就是通過數(shù)據(jù)庫的記錄將數(shù)據(jù)讀出再寫入到另一個文件中。具體步驟為:使用Export命令將某個數(shù)據(jù)和數(shù)據(jù)文件進(jìn)行備份,最后再使用Import口令將之前建立的文件寫入到數(shù)據(jù)庫系統(tǒng)之中,同樣的,還可以使用數(shù)據(jù)泵工工具進(jìn)行邏輯備份。第二,物理備份;物理備份有兩種方式分別為:聯(lián)機備份和脫機備份。假設(shè)計算機硬件和軟件都發(fā)生了故障,例如:系統(tǒng)異常、介質(zhì)損耗等,可以通過備份工作來恢復(fù)其工作,磁盤的介質(zhì)出現(xiàn)問題率很高,很容易導(dǎo)致整個Oracle數(shù)據(jù)庫出現(xiàn)崩潰的現(xiàn)象,在這種情況下只能采用將磁盤初始化的方式來去掉所失去功能的壞塊,使用備份再把數(shù)據(jù)重新恢復(fù)[3]。
3.3 Oracle數(shù)據(jù)庫網(wǎng)絡(luò)安全對策
TNS是Oracle Net的重要組成部分,是作為客戶端和數(shù)據(jù)庫連接的一個重要工具,在普遍情況下,數(shù)據(jù)庫和客戶端都需要網(wǎng)絡(luò)通訊,因此必須要進(jìn)行TNS配置,同時客戶端也要安裝好Oracle client程序。通過監(jiān)聽器的文件配置來對客戶端的連接請求進(jìn)行偵測,其中的具體步驟為:監(jiān)聽器與客戶端要建立好之間的穩(wěn)定連接,在連接成功之后,客戶端會發(fā)送出一個會話請求,這個請求包含了一些相關(guān)的終端服務(wù)信息,同時客戶要十分確認(rèn)好數(shù)據(jù)庫的IP地址以及監(jiān)聽端口所傳送出來的數(shù)據(jù)庫的全局服務(wù)標(biāo)志。接聽者在街道來自客戶端的會話請求后,從傳送過來的報文數(shù)據(jù)提取客戶的全局服務(wù)標(biāo)志,并明確告知數(shù)據(jù)庫的服務(wù)實例。與此同時,Oracle服務(wù)器是要對客戶端所傳送過來的用戶身份請求進(jìn)行檢測的,通過服務(wù)器上的目標(biāo)服務(wù)實例將會對用戶身份進(jìn)行判定,若身份是合法的就會連接成功,建立會話,反之,倘若身份不合法則會立即斷開連接。
4 結(jié)束語
綜上所述,Oracle數(shù)據(jù)庫的網(wǎng)絡(luò)安全訪問機制是關(guān)鍵的數(shù)據(jù)保護(hù)模式,它能夠確保用戶在使用過程中具有安全可靠性,Oracle數(shù)據(jù)庫所包含的的多種應(yīng)用服務(wù)模式所帶來的安全漏洞,以上所列出的幾個方法都是能夠有效針對安全問題作出有效的制止和防御,確保用戶賬戶的安全,而通過對數(shù)據(jù)庫系統(tǒng)各項安全因素進(jìn)行考慮,所采取的NET技術(shù)等能夠為數(shù)據(jù)庫系統(tǒng)的安全提供全面的可靠性策略,提高Oracle數(shù)據(jù)庫的安全性能。
參考文獻(xiàn):
[1] 褚孔統(tǒng),宋建宇,王國強.基于代理服務(wù)的Oracle數(shù)據(jù)庫安全訪問[J].指揮信息系統(tǒng)與技術(shù),2012(2).
[2] 冀健.關(guān)于Oracle數(shù)據(jù)庫的安全訪問及其備份管理探析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014(4):126-127.
[3] 陳潔.Oracle數(shù)據(jù)庫安全問題探析與應(yīng)對策略[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014(9):115-116.