Oracle數(shù)據(jù)庫安全問題分析及策略

陳冰島

[摘 要]隨著Oracle數(shù)據(jù)庫在各行各業(yè)中的廣泛應(yīng)用，其安全問題給行業(yè)的發(fā)展帶來了較大的困擾，故加強(qiáng)Oracle數(shù)據(jù)庫的安全管理具有非常重要的現(xiàn)實(shí)意義。要實(shí)現(xiàn)對(duì)Oracle數(shù)據(jù)庫的安全運(yùn)用，掌握其安全問題就顯得尤其重要，為此，在本文中對(duì)存在的問題進(jìn)行了分析，同時(shí)提出了相應(yīng)的解決策略。

[關(guān)鍵詞]Oracle數(shù)據(jù)庫；安全問題；管理；策略

中圖分類號(hào)：TP311.13；TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-914X（2016）25-0161-01

21世紀(jì)的社會(huì)發(fā)展決定于社會(huì)朝著多元化和信息化快速的發(fā)展，信息化在未來社會(huì)取決定性作用，而信息安全管理又是重中之重。Oracle是當(dāng)前一種非常流行的數(shù)據(jù)庫系統(tǒng)，其是由多個(gè)子系統(tǒng)構(gòu)成的，并且在進(jìn)行數(shù)據(jù)的存放時(shí)，也是分為多個(gè)不同的服務(wù)器進(jìn)行存放，在進(jìn)行使用和訪問的過程中，其數(shù)據(jù)是出于多用戶共享的狀態(tài)，故對(duì)Oracle數(shù)據(jù)庫安全問題進(jìn)行分析，是當(dāng)前學(xué)界所共同關(guān)注的重要話題?，F(xiàn)結(jié)合筆者多年關(guān)于Oracle數(shù)據(jù)庫安全問題的了解，對(duì)其存在的安全問題進(jìn)行簡(jiǎn)單分析，并提出相應(yīng)的應(yīng)對(duì)建議。

1 Oracle數(shù)據(jù)庫安全問題

Oracle數(shù)據(jù)庫安全問題主要是指非法用戶對(duì)數(shù)據(jù)信息進(jìn)行篡改、竊取和破壞等行為，對(duì)非法用戶的越權(quán)訪問權(quán)限進(jìn)行限制，是有效提升數(shù)據(jù)庫安全性的關(guān)鍵。Oracle數(shù)據(jù)庫為了實(shí)現(xiàn)對(duì)數(shù)據(jù)安全的保護(hù)，其可通過訪問權(quán)限設(shè)置、數(shù)據(jù)庫加密等方式加來安全防護(hù)手段，盡管Oracle數(shù)據(jù)庫本身的安全機(jī)制非常高，但卻無法真正承諾百分百的安全性，非法用戶往往能夠根據(jù)數(shù)據(jù)庫系統(tǒng)的弱點(diǎn)和漏洞來實(shí)現(xiàn)對(duì)數(shù)據(jù)庫信息的破壞和竊取。通常情況下，數(shù)據(jù)庫安全保障機(jī)制更多是對(duì)提高預(yù)防效果，并且在保障用戶合法使用的前提下，對(duì)外部用戶身份進(jìn)行檢驗(yàn)，通過這種方法來實(shí)現(xiàn)對(duì)末授權(quán)操作的預(yù)防。但就實(shí)際情況來看，在Oracle數(shù)據(jù)庫的運(yùn)用中，仍然出現(xiàn)各種安全問題，主要表現(xiàn)為以下幾方面：

1.1 用戶認(rèn)證安全問題

Oracle數(shù)據(jù)庫系統(tǒng)可為用戶提供相應(yīng)的身份認(rèn)證機(jī)制，用戶根據(jù)系統(tǒng)所設(shè)定的賬號(hào)和密碼對(duì)實(shí)現(xiàn)對(duì)數(shù)據(jù)庫的訪問，但某用戶通過非法的手法獲得用戶的賬號(hào)和密碼，那么當(dāng)用戶通過權(quán)限認(rèn)證后，同樣能夠?qū)?shù)據(jù)庫進(jìn)行訪問，并且能夠在用戶的使用權(quán)限上實(shí)現(xiàn)對(duì)數(shù)據(jù)庫的操作，由此可知，在安全機(jī)制中，針對(duì)普通用戶的安全認(rèn)證尚不完善。

1.2 數(shù)據(jù)存取控制安全問題

即便是用戶的操作權(quán)限非常高，也并不是指該用戶能夠?qū)?shù)據(jù)庫系統(tǒng)進(jìn)行隨意的操作，在權(quán)力和權(quán)限之間還存在著相互對(duì)應(yīng)的關(guān)系，并且其還應(yīng)當(dāng)受到權(quán)力的制約。但就實(shí)際情況來看，若某數(shù)據(jù)庫用戶能夠獲得管理員的密碼和賬號(hào)，那么其操作就可以不受到時(shí)間和空間的制約，這就使得該用戶能夠?qū)?shù)據(jù)庫系統(tǒng)中，原有的數(shù)據(jù)信息進(jìn)行任意操作，與此同時(shí)，而面對(duì)這種情況，即便時(shí)安全訪問機(jī)制也無法有效展現(xiàn)其對(duì)數(shù)據(jù)庫的保護(hù)機(jī)制。

1.3 人為疏忽

經(jīng)過數(shù)據(jù)庫訪問機(jī)制授權(quán)的用戶，在對(duì)數(shù)據(jù)庫進(jìn)行存取的過程中，無意出現(xiàn)的錯(cuò)誤操作等，或者由于應(yīng)用程序中bug所導(dǎo)致的錯(cuò)誤操作等。

2 Oracle數(shù)據(jù)庫安全問題的應(yīng)對(duì)策略

2.1 用戶操作系統(tǒng)的安全管理

在對(duì)數(shù)據(jù)庫系統(tǒng)進(jìn)行安全管理時(shí)，對(duì)用戶操作系統(tǒng)的優(yōu)化也是很重要的方面， 這主要是防止一些未經(jīng)授權(quán)的用戶直接對(duì)數(shù)據(jù)庫進(jìn)行訪問，從而增加意想不到的安全隱患。用戶管理運(yùn)行模式可對(duì)用戶的訪問進(jìn)行管理，避免合法用戶的權(quán)益受到非正常侵害。其常規(guī)的保護(hù)措施有多種：加強(qiáng)對(duì)用戶賬號(hào)的管理、 加強(qiáng)對(duì)用戶授權(quán)的管理、加強(qiáng)對(duì)角色的管理等，其中角色管理是維持系統(tǒng)安全運(yùn)行的最重要途徑。在通常情況下，對(duì)數(shù)據(jù)庫的訪問一般會(huì)存在多個(gè)用戶同時(shí)訪問的情形，為保證系統(tǒng)有一個(gè)良好有序的運(yùn)行狀態(tài)，應(yīng)考慮建立角色，對(duì)同一類型的用戶進(jìn)行集中管理，允許用戶之間的權(quán)限有一定的區(qū)別，設(shè)定的角色不同， 可訪問的權(quán)限也不同，規(guī)定一部分用戶可以進(jìn)行訪問，未經(jīng)授權(quán)的用戶不得訪問相關(guān)頁面。Oracle數(shù)據(jù)庫管理系統(tǒng)一般有3種角色：第一種是Connect，一般只允許用戶建立自身索引，而且用戶只能登錄自己的簡(jiǎn)表，主要是用作臨時(shí)訪問；第二種是Resource，這是一種較高級(jí)的權(quán)限，可以建立儲(chǔ)存器和觸發(fā)器，能訪問較多的頁面； 第三種是DBA，可以對(duì)全部用戶進(jìn)行訪問，而且擁有一定的管理權(quán)限，強(qiáng)化對(duì)數(shù)據(jù)庫的整體管理。這3種不同的角色都有著不同的權(quán)限， 這種分類管理的方式，可以降低數(shù)據(jù)庫管理人員的技術(shù)工作難度。

為了不影響數(shù)據(jù)庫性能的正常發(fā)揮，還可以通過創(chuàng)建用戶賬號(hào)的方式加強(qiáng)數(shù)據(jù)庫的安全管理。用戶訪問時(shí)，首先需要進(jìn)行賬號(hào)登錄，或者輸入動(dòng)態(tài)口令，用戶只有重置訪問權(quán)限，才能對(duì)數(shù)據(jù)庫中的信息進(jìn)行讀取，這種方法既可以預(yù)防外來用戶對(duì)數(shù)據(jù)庫的人為破壞，又可以預(yù)防無關(guān)人員隨意地訪問數(shù)據(jù)庫，從而避免由此帶來的安全威脅。在數(shù)據(jù)庫安全管理中心這種方法應(yīng)用得比較多， 用戶通過創(chuàng)建賬號(hào)， 注冊(cè)自己的用戶名，并得到相關(guān)口令，而且二者必須同時(shí)得到驗(yàn)證，才能成功登錄，對(duì)數(shù)據(jù)庫進(jìn)行訪問?？诹罹哂邢拗频淖饔茫斎胗脩裘_認(rèn)的過程就是匹配文件的過程，用戶登錄成功后會(huì)得到一定權(quán)限，執(zhí)行一定命令，這種口令管理的方法，在實(shí)際工作中收到了良好的效果。

Oracle數(shù)據(jù)庫安全管理的核心是設(shè)置權(quán)限，加強(qiáng)授權(quán)管理，對(duì)用戶進(jìn)行分類管理，由于用戶的類型很多， 所以要針對(duì)不同用戶制定出不同的管理方式， 用戶大致分為兩種：一種是普通用戶；另一種是管理人員DBA，普通用戶只能對(duì)數(shù)據(jù)庫的一部分信息進(jìn)行查看，管理人員被授予的權(quán)限比較多，也有管理普通用戶的權(quán)限，而且還有根據(jù)數(shù)據(jù)結(jié)構(gòu)對(duì)系統(tǒng)進(jìn)行優(yōu)化的權(quán)限。

2.2 入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)主要是指通過對(duì)系統(tǒng)進(jìn)行監(jiān)控管理，對(duì)未授權(quán)訪問中出現(xiàn)的異常操作進(jìn)行識(shí)別，同時(shí)對(duì)攻擊行為進(jìn)行預(yù)防的系統(tǒng)。在數(shù)據(jù)庫中打造一個(gè)具有預(yù)防和抵御非法用戶、動(dòng)態(tài)監(jiān)管入侵行為等作用的安全機(jī)制，是提高Oracle數(shù)據(jù)庫安全性的重要方法。在本文中所指出的入侵檢測(cè)系統(tǒng)是還主要是指，在Oracle數(shù)據(jù)庫系統(tǒng)中，對(duì)用戶的行為和使用情況等進(jìn)行監(jiān)控，以此來實(shí)現(xiàn)對(duì)用戶是否安全，或者是否為外部非法用戶越權(quán)訪問，或者是否由于系統(tǒng)缺陷導(dǎo)致外來用戶出現(xiàn)惡意入侵的判斷。

2.3 數(shù)據(jù)庫的加密

在數(shù)據(jù)庫安全性中，加密是保護(hù)Oracle數(shù)據(jù)庫的最后一道防線或者最關(guān)鍵的一道防線。在Oracle數(shù)據(jù)庫管理中，主要是以文件的方式來實(shí)現(xiàn)管理，若出現(xiàn)非法用戶入侵的情況，那么入侵者能夠借由存在的數(shù)據(jù)庫漏洞來對(duì)數(shù)據(jù)庫中的文件進(jìn)行篡改、破壞和竊取，這些行為的隱蔽性非常的高，常規(guī)情況下，很難發(fā)現(xiàn)數(shù)據(jù)庫已出現(xiàn)安全問題。針對(duì)這種安全問題，通過分層加密的方式來加強(qiáng)數(shù)據(jù)庫管理系統(tǒng)的控制，其能夠更好的實(shí)現(xiàn)對(duì)系統(tǒng)安全性能的提升，即便是首層的密碼被解決，后面的幾層密碼仍然能夠?qū)崿F(xiàn)對(duì)Oracle數(shù)據(jù)庫安全的保障。當(dāng)然，在對(duì)Oracle數(shù)據(jù)庫進(jìn)行加密處理后，即便是出現(xiàn)了數(shù)據(jù)不慎被盜取或者丟失的情況，也很難實(shí)現(xiàn)對(duì)數(shù)據(jù)的傳播和閱讀。在進(jìn)行加密處理中，可以分別在操作系統(tǒng)層、數(shù)據(jù)庫管理系統(tǒng)內(nèi)層以及管理系統(tǒng)外層來進(jìn)行三層密碼的設(shè)置。

2.4 數(shù)據(jù)庫的備份和恢復(fù)技術(shù)

Oracle數(shù)據(jù)庫的企業(yè)的應(yīng)用中，多將數(shù)據(jù)庫資源分為公開資源、內(nèi)部資源和核心資源這三大類，故在對(duì)數(shù)據(jù)庫資源進(jìn)行備份時(shí)，應(yīng)針對(duì)不同的資源要求給予相應(yīng)的備份策略。在Oracle數(shù)據(jù)庫應(yīng)用中，數(shù)據(jù)備份是非常重要的工作內(nèi)容，而Oracle數(shù)據(jù)庫在進(jìn)行備份時(shí)，主要采用邏輯備份和物理備份兩種方法來實(shí)現(xiàn)。通過有效的備份管理，即便是出現(xiàn)黑客入侵、系統(tǒng)故障或者病毒等導(dǎo)致數(shù)據(jù)庫受到攻擊，那么也能夠根據(jù)備份資源來進(jìn)行及時(shí)的恢復(fù)。而在對(duì)Oracle數(shù)據(jù)庫資源進(jìn)行恢復(fù)中，根據(jù)不同的故障可實(shí)施不同的恢復(fù)，主要包括了磁盤失敗恢復(fù)、實(shí)例失敗恢復(fù)和操作錯(cuò)誤恢復(fù)等。

3 結(jié)論

隨著Oracle數(shù)據(jù)庫在各行各業(yè)中的廣泛應(yīng)用，其安全問題給行業(yè)的發(fā)展帶來了較大的困擾，故加強(qiáng)Oracle數(shù)據(jù)庫的安全管理具有非常重要的現(xiàn)實(shí)意義。要實(shí)現(xiàn)對(duì)Oracle數(shù)據(jù)庫的安全運(yùn)用，掌握其安全問題就顯得尤其重要，為此，在本文中對(duì)存在的問題進(jìn)行了分析，同時(shí)提出了相應(yīng)的解決策略。

參考文獻(xiàn)：

[1] 何子龍.Oracle數(shù)據(jù)庫安全及安全策略研究[J].現(xiàn)代計(jì)算機(jī)（專業(yè)版），2015，05（01）：22-26.

[2] 李紅，劉志杰，謝曉堯.Oracle分布式數(shù)據(jù)庫系統(tǒng)及網(wǎng)絡(luò)安全策略研究[J].貴州師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2011，51（3）：88-92.

[3] 王東芝，楊占文，魏陸軍.淺談數(shù)據(jù)庫安全應(yīng)用的認(rèn)識(shí)與分析探討 [J]. 江西信息產(chǎn)業(yè)知識(shí)學(xué)報(bào)，2011（01）.