Oracle數(shù)據(jù)庫安全隱患排查及維護措施

陶 永

北京工業(yè)職業(yè)技術(shù)學院 北京 100042

隨著信息技術(shù)與計算機技術(shù)的飛速發(fā)展，Oracle數(shù)據(jù)庫也隨之迎來了更加寬廣的發(fā)展空間?，F(xiàn)階段我國很多企業(yè)均建立了屬于自身的Oracle數(shù)據(jù)庫，但是卻經(jīng)常發(fā)生數(shù)據(jù)被竊取、改動和丟失等安全隱患，甚至還遭到黑客的攻擊，出現(xiàn)賬號和密碼被盜用，Oracle數(shù)據(jù)庫不能夠正常使用的情況，這將對企業(yè)的發(fā)展造成影響。為此，一定要加強對Oracle數(shù)據(jù)庫安全隱患的排查與維護，以此提高Oracle數(shù)據(jù)庫的安全性與穩(wěn)定性。

一、Oracle數(shù)據(jù)庫重要性

Oracle數(shù)據(jù)庫屬于應(yīng)用軟件，隨著信息技術(shù)的不斷發(fā)展，該應(yīng)用軟件的版本也隨之更新?lián)Q代，與此同時一些新的漏洞也會隨之出現(xiàn)。這時Oracle數(shù)據(jù)庫的開發(fā)人員便會通過新補丁的發(fā)布對這些新的漏洞進行修復，以此進一步提高其中存儲數(shù)據(jù)的安全性，如此往復，Oracle數(shù)據(jù)庫的安全性能被不斷地優(yōu)化與改進。Oracle數(shù)據(jù)庫通?？梢酝ㄟ^免費下載的方式獲得使用權(quán)，但是如果是運用到商業(yè)中，那么就需要獲得Oracle公司授權(quán)后，方可使用。

站在用戶的角度來看，Oracle數(shù)據(jù)庫內(nèi)存儲數(shù)據(jù)的可靠性與安全性十分的關(guān)鍵。因為用戶在做各項決策時，通過都會先對相關(guān)的數(shù)據(jù)信息進行深入的分析，數(shù)據(jù)信息的完整性與準確性直接影響著決策的正確性。正因如此Oracle數(shù)據(jù)庫的安全性成為該軟件開發(fā)的一個重要環(huán)節(jié)。雖然，在開發(fā)Oracle數(shù)據(jù)庫軟件時，采用的是代碼最大限度地保障了Oracle數(shù)據(jù)庫的安全性。但是當發(fā)生硬件故障、網(wǎng)絡(luò)故障、系統(tǒng)故障、軟件故障等時都會對Oracle數(shù)據(jù)庫的操作造成一定的影響。這樣不單單會對數(shù)據(jù)庫內(nèi)存儲數(shù)據(jù)信息的準確性造成影響，同時還可能會導致整個數(shù)據(jù)庫遭到毀壞，造成所有數(shù)據(jù)信息或者部分數(shù)據(jù)信息丟失。這就Oracle數(shù)據(jù)庫在應(yīng)用的過程中存在著較大的安全隱患。并且這些安全隱患存在很可能會給用戶帶來嚴重的損失。由此可見Oracle數(shù)據(jù)庫的安全性十分的重要。若想切實的保護數(shù)據(jù)的安全性，就需要針對各安全漏洞發(fā)布不同的補丁，以此對數(shù)據(jù)庫中存在的安全隱患進行修復，從而消除或者減少安全隱患的出現(xiàn)。

Oracle數(shù)據(jù)庫是一款當下比較流行的軟件，對于一些需要存儲大量數(shù)據(jù)信息的行業(yè)均比較適用于該數(shù)據(jù)庫。目前，Oracle數(shù)據(jù)庫在金融、電商、電信以及銀行等領(lǐng)域得以廣泛地應(yīng)用。為了保證數(shù)據(jù)的安全性，Oracle數(shù)據(jù)庫還為用戶提供了數(shù)據(jù)恢復與備份服務(wù)。

二、Oracle數(shù)據(jù)庫中存在的安全隱患

Oracle數(shù)據(jù)庫表現(xiàn)出的性能特點主要有高效和穩(wěn)定等，正因如此，使得其在各個行業(yè)領(lǐng)域中得以廣泛應(yīng)用，但是用戶在使用Oracle數(shù)據(jù)庫時，也存在著一定的安全隱患。一旦引發(fā)這些安全隱患，不單單會導致該數(shù)據(jù)庫的安全性受到影響，同時還會給用戶造成損失。雖然自O(shè)racle數(shù)據(jù)庫開發(fā)與廣泛使用以來，已經(jīng)有較長的時間，但其也面臨著諸多問題。像用戶隱私被侵害、人為損壞、管理漏洞、自然因素影響、系統(tǒng)缺陷等。Oracle數(shù)據(jù)庫存在的兩個最為主要的安全隱患就是人為因素對數(shù)據(jù)庫安全性的破壞和技術(shù)方面存在的漏洞。

三、Oracle數(shù)據(jù)庫安全隱患的排查

Oracle數(shù)據(jù)庫中存儲有大量的數(shù)據(jù)信息，這些數(shù)據(jù)信息通常需要長久的儲存，并且還需要進行共享。為了保證其中存儲信息的安全性，就需要定期地針對Oracle數(shù)據(jù)庫的安全隱患進行排查。首先，認真地查看Oracle數(shù)據(jù)庫的登錄事務(wù)日志，當發(fā)現(xiàn)用戶登錄的IP地址比較可疑時，可以借助防火墻阻止該非法IP登錄數(shù)據(jù)庫。其次，仔細地檢查數(shù)據(jù)庫發(fā)生各種事件的日志記錄，以此及時發(fā)現(xiàn)是否存在有攻擊數(shù)據(jù)庫的行為，并及時地做好防護。再次，查看Oracle數(shù)據(jù)庫的extproc功能是否處于關(guān)閉的狀態(tài)，因為攻擊者很可能會利用數(shù)據(jù)庫的這一功能竊取用戶的密碼，這將對Oracle數(shù)據(jù)庫的安全性造成嚴重威脅。然后，認真地查看是否已經(jīng)啟用數(shù)據(jù)字典保護功能。因為有關(guān)用戶的信息都存儲在數(shù)據(jù)字典內(nèi)，其中包括訪問權(quán)限等，一旦數(shù)據(jù)字典保護功能沒有被啟用，攻擊者很可能會趁機侵入，查看其中存儲的一些敏感信息，這將對用戶信息的安全性造成較大影響。最后，查看Oracle數(shù)據(jù)庫的監(jiān)聽器是否已經(jīng)設(shè)置口令保護。Oracle數(shù)據(jù)庫的監(jiān)聽器是一種建立在服務(wù)器端的網(wǎng)絡(luò)服務(wù)，用來監(jiān)聽用戶向Oracle數(shù)據(jù)庫發(fā)生的登錄請求，以此保障數(shù)據(jù)庫的安全性。另外，還需要認真的檢查SQL92_SECURITY、UTL_TCP包中各項使用權(quán)的設(shè)置是否足夠的準確。如果在Oracle數(shù)據(jù)庫中，對需要保護和限制的權(quán)限沒有進行保護與限制，這很可能就會給攻擊者的非法訪問帶來可乘之機會，導致Oracle數(shù)據(jù)庫中的數(shù)據(jù)被改動或者刪除，嚴重影響著數(shù)據(jù)庫內(nèi)存儲信息的安全性。

四、保護Oracle數(shù)據(jù)庫安全性的有效措施

(一)邏輯隔離局域網(wǎng)與外界網(wǎng)絡(luò)

通常情況下，一些用戶在實施Oracle數(shù)據(jù)庫安全管理的過程中，通常會借助較為高端的防火墻技術(shù)手段的使用，防范數(shù)據(jù)庫安全隱患的出現(xiàn)。通過防火墻技術(shù)手段的使用，可以有效地控制網(wǎng)絡(luò)間的訪問，對于通過外界網(wǎng)絡(luò)非法入侵數(shù)據(jù)庫的行為具有很好的控制作用。但是防火墻軟件的應(yīng)用，會導致Oracle數(shù)據(jù)庫的使用效率降低，同時還會導致Oracle數(shù)據(jù)庫吞吐數(shù)據(jù)信息的速度下降。一旦防火墻軟件自身存在安全隱患，那么反而會為黑客的非法入侵提供條件，從而嚴重威脅數(shù)據(jù)庫的安全性。所以在管理Oracle數(shù)據(jù)庫的過程中，不但需要邏輯隔離局域網(wǎng)與往屆網(wǎng)，同時還需要做好物理隔離，以此進一步保障安全隱患的出現(xiàn)。

(二)物理隔離局域網(wǎng)與外界網(wǎng)絡(luò)

物理隔離Oracle數(shù)據(jù)庫使用的局域網(wǎng)與外界網(wǎng)絡(luò)，簡單來說就是將Oracle數(shù)據(jù)庫使用的內(nèi)部網(wǎng)絡(luò)斷開與外界網(wǎng)絡(luò)的連接，促使兩者之間不存在有任何的物理關(guān)系。當物理隔離局域網(wǎng)與外界網(wǎng)絡(luò)后，可以很好地降低黑客、病毒對數(shù)據(jù)庫的非法入侵行為出現(xiàn)的概率，從而有效地保證數(shù)據(jù)庫的安全性。

(三)加強對內(nèi)部網(wǎng)絡(luò)的安全管理

若想有效地避免Oracle數(shù)據(jù)庫出現(xiàn)安全隱患，就需要規(guī)范內(nèi)部網(wǎng)絡(luò)的使用，對內(nèi)部網(wǎng)絡(luò)覆蓋的所有計算機進行嚴格的檢查，并引進先進的、高效的殺毒軟件，同時定期地對殺毒軟件進行升級與更新。一旦在檢查中發(fā)現(xiàn)有計算機存在異常，一定要對其進行殺毒處理。另外還需要嚴格的控制Oracle數(shù)據(jù)庫的光驅(qū)和軟驅(qū)，并對U盤的連接行為做好屏蔽，一方面避免帶有病毒的U盤與計算機連接后，直接導致計算機中毒，從而給影響Oracle數(shù)據(jù)庫數(shù)據(jù)的安全性。另一方面，避免非法分子利用U盤竊取數(shù)據(jù)庫內(nèi)的數(shù)據(jù)信息。

(四)建立完善的Oracle數(shù)據(jù)庫用戶管理制度

為了保障Oracle數(shù)據(jù)庫的安全性，防范各種安全隱患的出現(xiàn)，就需要嚴格的審核和限制Oracle數(shù)據(jù)庫用戶的權(quán)限。在具體建立完善的Oracle數(shù)據(jù)庫用戶管理制度時，一方面，需要嚴格的控制Oracle數(shù)據(jù)庫前端用戶的授權(quán)。在使用Oracle數(shù)據(jù)庫時，用戶首先需要獲得數(shù)據(jù)庫使用部門領(lǐng)導的審批，隨后還需要獲得上級主管部門的審批，最后有數(shù)據(jù)庫管理人員根據(jù)用戶自身工作崗位的性質(zhì)和數(shù)據(jù)庫使用程序為用戶合理的分配權(quán)限。所有用戶的賬號與密碼都是專人專用，其他人員不可以借用。另一方面，為了提高用戶使用Oracle數(shù)據(jù)庫的安全性，就需要安全管理用戶的密碼。為此，相關(guān)管理人員可以通過相關(guān)用戶密碼使用規(guī)則的制定，做好密碼管理工作。每一名用戶對于自己的Oracle數(shù)據(jù)庫密碼都必須做好嚴格的管理。必須對原始密碼做出修改后才可以使用數(shù)據(jù)庫，不可以直接利用管理人員設(shè)置的原始密碼直接登錄到Oracle數(shù)據(jù)庫。用戶在修改和使用密碼時需要注意的是：第一，修改的密碼最好不要與賬號相同。第二，最好將密碼修改為比較復雜或者陌生的形式。第三，修改后的密碼不可以過短，建議多于6個數(shù)字，并且盡量不要簡單地使用數(shù)字密碼。第四，修改后的密碼最好不存在重復或者連續(xù)的情況。建議將密碼修改成為數(shù)字和字母相組合的形式。第五，用戶在使用密碼一段時候后就需要更換一次密碼，以此進一步保障Oracle數(shù)據(jù)庫的安全性。

五、Oracle數(shù)據(jù)庫的維護

(一)優(yōu)化系統(tǒng)的穩(wěn)定性

用戶操作系統(tǒng)是否足夠的穩(wěn)定直接關(guān)系著Oracle數(shù)據(jù)庫的安全性，如果用戶操作系統(tǒng)不夠穩(wěn)定，那么就會導致數(shù)據(jù)庫中存在較大的安全隱患。為了促使用戶操作系統(tǒng)始終處于穩(wěn)定運行的狀態(tài)，在維護Oracle數(shù)據(jù)庫的過程中，必須注重優(yōu)化系統(tǒng)的穩(wěn)定性。在具體優(yōu)化的過程中，對于同一類型的用戶，可以通過角色的建立實施集中化管理。通過各種不同角色的設(shè)定，對用戶的使用權(quán)限進行區(qū)分，也可以通過頁面不可訪問的設(shè)置對用戶的權(quán)限加以限制。系統(tǒng)管理工作人員應(yīng)該結(jié)合用戶使用Oracle數(shù)據(jù)庫的習慣，對用戶操作系統(tǒng)加以優(yōu)化。Oracle數(shù)據(jù)庫用戶操作系統(tǒng)主要包括三種分別為DBA、Resource和Connect，即強化數(shù)據(jù)庫管理、多頁面訪問和臨時訪問系統(tǒng)。

(二)注重加強對用戶的控制

用戶在訪問Oracle數(shù)據(jù)庫時，需要先登錄賬號或者將動態(tài)口令輸入其中。隨后用戶需要對訪問權(quán)限進行重置，這時才可以讀取Oracle數(shù)據(jù)庫中的數(shù)據(jù)信息。通過這種方法的運用，不單單可以避免非法分子入侵數(shù)據(jù)庫，肆意的破壞數(shù)據(jù)庫內(nèi)的數(shù)據(jù)信息，同時還可以避免不相關(guān)的人員隨意訪問Oracle數(shù)據(jù)庫，從而嚴重威脅數(shù)據(jù)庫內(nèi)數(shù)據(jù)的安全性。通過這種方式實施用戶管理，可以很好地維持Oracle數(shù)據(jù)庫的安全性與穩(wěn)定性。

(三)注重加強對熱備份的優(yōu)化

熱備份并不會對用戶使用Oracle數(shù)據(jù)庫產(chǎn)生任何的影響，在用戶正常使用Oracle數(shù)據(jù)庫的過程中，熱備份可以自動化對文件進行備份，該備份方式不會被時間所影響，只要文件出現(xiàn)過期就會被備份，彌補了以往時間點備份文件方式中存在的不足。

(四)注重加強對實例恢復的優(yōu)化

優(yōu)化實例恢復是為了確保用戶在使用Oracle數(shù)據(jù)庫時，因為聯(lián)機失敗而導致文件丟失的情況。當實例恢復得以優(yōu)化后，Oracle數(shù)據(jù)庫一旦被異常重新啟動后，用戶可以通過檢查數(shù)據(jù)庫日志數(shù)據(jù)信息并啟動實例恢復，以此恢復Oracle數(shù)據(jù)庫異常重新啟動前沒有被及時保存的數(shù)據(jù)。

(五)注重加強對介質(zhì)恢復的優(yōu)化

當用戶使用Oracle數(shù)據(jù)庫時，出現(xiàn)無法讀取磁盤內(nèi)數(shù)據(jù)信息時，可以通過對介質(zhì)恢復的優(yōu)化，根據(jù)數(shù)據(jù)信息在歸檔時采用的方法對數(shù)據(jù)信息進行恢復。以往在進行介質(zhì)恢復操作的過程中，可能會發(fā)生兩種情況，一種為完全恢復丟失的所有數(shù)據(jù)信息，另一種僅恢復對介質(zhì)有要求的部分數(shù)據(jù)信息。若想切實做好Oracle數(shù)據(jù)庫安全管理，保護用戶的利益，數(shù)據(jù)庫管理人員一定要注重加強對介質(zhì)恢復的優(yōu)化，以此自動化地將介質(zhì)完全保存下來，進而促使介質(zhì)恢復更具實用性。

(六)注重加強對存儲數(shù)據(jù)的加密

若想提高Oracle數(shù)據(jù)庫內(nèi)存儲數(shù)據(jù)的安全性，避免和減少存儲數(shù)據(jù)被盜取情況的出現(xiàn)，就必須注重加強對數(shù)據(jù)庫內(nèi)存儲數(shù)據(jù)的加密處理，以此提高數(shù)據(jù)的安全性。這樣即便有用戶非法入侵到Oracle數(shù)據(jù)庫，也很難利用常規(guī)方式成功地盜取其中存儲的數(shù)據(jù)，可以成功地將非法入侵數(shù)據(jù)庫的用戶進行攔截。加密存儲數(shù)據(jù)是一種具有較高性價比的保障Oracle數(shù)據(jù)庫安全的方法。在信息技術(shù)高速發(fā)展的現(xiàn)如今，數(shù)據(jù)信息共享技術(shù)隨之不斷推廣，加密存儲數(shù)據(jù)的功能也得到了不斷優(yōu)化與完善。例如：在加密處理音頻文件、視頻文件、圖片文件以及文檔文件時，都可以利用水印的方式完成加密處理，其并不需要特殊的技術(shù)，但是卻可以達到較好的加密效果。所以在維護Oracle數(shù)據(jù)庫時，若想避免或者減少數(shù)據(jù)安全風險的觸發(fā)，一定要加強對存儲數(shù)據(jù)的加密處理。

結(jié)語

綜上所述，Oracle數(shù)據(jù)庫不僅可以存儲大量的數(shù)據(jù)信息，并且還具有高效性的特點，所以該應(yīng)用軟件在各個領(lǐng)域中的應(yīng)用十分廣泛。但是隨著信息技術(shù)的不斷發(fā)展，Oracle數(shù)據(jù)庫在升級與更新的過程中，也出現(xiàn)了一些新的安全隱患。一旦這些安全隱患被觸發(fā)，那么可能會出現(xiàn)Oracle數(shù)據(jù)庫內(nèi)的數(shù)據(jù)信息被改動、竊取和破壞的情況，這將給用戶帶來不可估量的損失。為此，Oracle數(shù)據(jù)庫管理人員一定要加強對各種安全隱患的了解，并做好安全隱患排查工作，以此及時將安全隱患消滅在萌芽狀態(tài)，從而保障Oracle數(shù)據(jù)庫的安全性與穩(wěn)定性。