陳曉剛

摘 要：隨著網(wǎng)絡(luò)應(yīng)用的普及，Oracle數(shù)據(jù)庫(kù)的應(yīng)用日新月異，它性能優(yōu)異，操作方便。但隨著應(yīng)用的深入，數(shù)據(jù)的不斷增加，其安全問(wèn)題也越來(lái)越嚴(yán)重。本文圍繞如何保證Oracle數(shù)據(jù)庫(kù)具有較高的安全性，使數(shù)據(jù)庫(kù)系統(tǒng)處于一個(gè)穩(wěn)定安全的狀態(tài)下，提出了相應(yīng)的安全策略。

關(guān)鍵詞：數(shù)據(jù)庫(kù)；Oralce；安全策略

數(shù)據(jù)庫(kù)安全性問(wèn)題一直是人們關(guān)注的焦點(diǎn)，數(shù)據(jù)庫(kù)數(shù)據(jù)的丟失以及數(shù)據(jù)庫(kù)被非法用戶的侵入對(duì)于任何一個(gè)應(yīng)用系統(tǒng)來(lái)說(shuō)都是至關(guān)重要的問(wèn)題。確保信息安全的重要基礎(chǔ)在于數(shù)據(jù)庫(kù)的安全性能。

1 數(shù)據(jù)庫(kù)安全管理

數(shù)據(jù)庫(kù)的安全性是指保護(hù)數(shù)據(jù)庫(kù)，防止非法操作所造成的數(shù)據(jù)泄露、篡改或損壞。在計(jì)算機(jī)系統(tǒng)中，安全性問(wèn)題普遍存在，特別是當(dāng)大量用戶共享數(shù)據(jù)庫(kù)中的數(shù)據(jù)時(shí)，安全問(wèn)題尤其明顯。保證數(shù)據(jù)庫(kù)安全也成為DBA一項(xiàng)最重要的工作。

1.1 安全性要求

⑴數(shù)據(jù)庫(kù)的完整性。預(yù)防數(shù)據(jù)庫(kù)物理方面的問(wèn)題，保護(hù)數(shù)據(jù)結(jié)構(gòu)；⑵元素的完整性。包含在每個(gè)元素中的數(shù)據(jù)是準(zhǔn)確的；⑶可審計(jì)性。能夠追蹤到誰(shuí)訪問(wèn)修改過(guò)的數(shù)據(jù)元素；⑷訪問(wèn)控制。允許用戶只訪問(wèn)被批準(zhǔn)的數(shù)據(jù)，以及限制不同的用戶有不同的訪問(wèn)模式；⑸用戶認(rèn)證。確保每個(gè)用戶被正確地識(shí)別，既便于審計(jì)追蹤，也為了限制對(duì)特定的數(shù)據(jù)進(jìn)行訪問(wèn)；⑹可獲性。用戶一般可以訪問(wèn)數(shù)據(jù)庫(kù)以及所有被批準(zhǔn)訪問(wèn)的數(shù)據(jù)。

1.2 安全分類

數(shù)據(jù)庫(kù)安全可以分為系統(tǒng)安全和數(shù)據(jù)安全。

系統(tǒng)安全包括在系統(tǒng)級(jí)別上，控制數(shù)據(jù)庫(kù)的存取和使用的機(jī)制。系統(tǒng)安全機(jī)制檢查用戶是否被授權(quán)連接到數(shù)據(jù)庫(kù)，數(shù)據(jù)庫(kù)審計(jì)是否是活動(dòng)的，用戶可以執(zhí)行哪些系統(tǒng)操作等。

數(shù)據(jù)安全包括在方案對(duì)象級(jí)別上，控制數(shù)據(jù)庫(kù)的存取和使用的機(jī)制，如哪個(gè)用戶可以存取指定的方案對(duì)象，在方案對(duì)象上允許每個(gè)用戶采取的操作，每個(gè)方案對(duì)象的審計(jì)操作。

2 Oracle數(shù)據(jù)庫(kù)安全策略

Oralce數(shù)據(jù)庫(kù)系統(tǒng)至少具有以下一些安全策略：⑴保證數(shù)據(jù)庫(kù)的存在安全，確保數(shù)據(jù)庫(kù)系統(tǒng)的安全首先要確保數(shù)據(jù)庫(kù)系統(tǒng)的存在安全；⑵保證數(shù)據(jù)庫(kù)的可用性，數(shù)據(jù)庫(kù)管理系統(tǒng)的可用性表現(xiàn)在兩個(gè)方面：一是需要阻止發(fā)布某些非保護(hù)數(shù)據(jù)以防止敏感數(shù)據(jù)的泄露，二是當(dāng)兩個(gè)用戶同時(shí)請(qǐng)求同一記錄是進(jìn)行仲裁；⑶保障數(shù)據(jù)庫(kù)系統(tǒng)的機(jī)密性，主要包括用戶身份認(rèn)證、訪問(wèn)控制和可審計(jì)性等；⑷保障數(shù)據(jù)庫(kù)的完整性，數(shù)據(jù)庫(kù)的完整性包括物理完整性、邏輯完整性和元素完整性。

2.1 系統(tǒng)安全策略

⑴數(shù)據(jù)庫(kù)用戶管理。數(shù)據(jù)庫(kù)用戶是存取數(shù)據(jù)庫(kù)中信息的通道，必須對(duì)數(shù)據(jù)庫(kù)用戶進(jìn)行嚴(yán)格的安全管理。既可以由安全管理員作為唯一有權(quán)限創(chuàng)建、修改和刪除數(shù)據(jù)庫(kù)用戶的用戶，也可以由多個(gè)有權(quán)限的管理員來(lái)管理數(shù)據(jù)庫(kù)用戶。

⑵用戶驗(yàn)證。為了防止數(shù)據(jù)庫(kù)用戶未經(jīng)授權(quán)訪問(wèn)，Oracle提供主機(jī)操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)和數(shù)據(jù)庫(kù)驗(yàn)證等方法對(duì)數(shù)據(jù)庫(kù)用戶實(shí)施驗(yàn)證。一般情況下，使用一種方法驗(yàn)證數(shù)據(jù)庫(kù)中的所有用戶，但也允許在同一數(shù)據(jù)庫(kù)實(shí)例中使用多種驗(yàn)證方法。

⑶操作系統(tǒng)安全。為運(yùn)行Oracle和數(shù)據(jù)庫(kù)應(yīng)用程序的操作系統(tǒng)環(huán)境考慮安全：DBA必須有創(chuàng)建和刪除文件的操作系統(tǒng)權(quán)限；通常的數(shù)據(jù)庫(kù)用戶不應(yīng)該有創(chuàng)建和刪除文件的操作系統(tǒng)權(quán)限；若操作系統(tǒng)識(shí)別用戶的數(shù)據(jù)庫(kù)角色，則安全管理員必須擁有操作系統(tǒng)權(quán)限，以修改系統(tǒng)賬戶和安全域。

2.2 數(shù)據(jù)安全策略

數(shù)據(jù)安全包括在對(duì)象級(jí)控制數(shù)據(jù)庫(kù)訪問(wèn)和使用的機(jī)制，它決定了哪個(gè)用戶訪問(wèn)特定方案對(duì)象，在對(duì)象上允許每個(gè)用戶的特定類型操作，也可以定義審計(jì)每個(gè)方案對(duì)象的操作。

為數(shù)據(jù)庫(kù)中數(shù)據(jù)創(chuàng)建的安全等級(jí)決定數(shù)據(jù)安全策略。若要允許任何用戶創(chuàng)建任何方案對(duì)象，或?qū)?duì)象的存取權(quán)限授予系統(tǒng)中的其他用戶，數(shù)據(jù)庫(kù)將缺乏安全保障。當(dāng)希望僅有DBA或安全管理員有權(quán)限創(chuàng)建對(duì)象，并向角色和用戶授權(quán)對(duì)象的存取權(quán)限時(shí)，必須完全控制數(shù)據(jù)安全。

2.3 用戶安全策略

用戶安全策略包括一般用戶、最終用戶、管理員、應(yīng)用程序開發(fā)人員和應(yīng)用程序管理員的安全策略。

⑴一般用戶安全。對(duì)于一般用戶安全，主要考慮口令安全和權(quán)限管理問(wèn)題；⑵最終用戶安全；⑶管理員安全。由于SYSTEM和SYS用戶擁有強(qiáng)大的權(quán)限，在創(chuàng)建數(shù)據(jù)庫(kù)后，應(yīng)該立即修改SYSTEM和SYS用戶的口令；⑷應(yīng)用程序開發(fā)人員安全；⑸應(yīng)用程序管理員安全。

2.4 數(shù)據(jù)庫(kù)管理者安全性策略

⑴保護(hù)作為sys和system用戶的連接；⑵保護(hù)管理者與數(shù)據(jù)庫(kù)的連接；⑶使用角色對(duì)管理者權(quán)限進(jìn)行管理。

2.5 應(yīng)用程序開發(fā)者的安全性策略

⑴應(yīng)用程序開發(fā)者和他們的權(quán)限；⑵應(yīng)用程序開發(fā)者的環(huán)境。程序開發(fā)者不應(yīng)與終端用戶競(jìng)爭(zhēng)數(shù)據(jù)庫(kù)資源；程序開發(fā)者不能損害數(shù)據(jù)庫(kù)其他應(yīng)用產(chǎn)品；⑶應(yīng)用程序開發(fā)者的空間限制。作為數(shù)據(jù)庫(kù)安全性管理者，應(yīng)該特別地為每個(gè)應(yīng)用程序開發(fā)者設(shè)置以下的一些限制：開發(fā)者可以創(chuàng)建table或index的表空間；在每一個(gè)表空間中，開發(fā)者所擁有的空間份額。

3 結(jié)束語(yǔ)

Oracle安全策略有著教高的可伸縮性以及安全性，還有著多樣的可擴(kuò)展性以及可用性。進(jìn)行數(shù)據(jù)庫(kù)系統(tǒng)安全管理工作，應(yīng)堅(jiān)持長(zhǎng)期性、持久性。為了組建相對(duì)安全及穩(wěn)定的數(shù)據(jù)庫(kù)系統(tǒng)，數(shù)據(jù)庫(kù)管理者要通過(guò)技術(shù)方式進(jìn)行嚴(yán)格管理，做好防御，更應(yīng)增加防范意識(shí)。

[參考文獻(xiàn)]

[1]巢子杰.數(shù)據(jù)庫(kù)優(yōu)化探究[J].軟件導(dǎo)刊，2010，2.

[2]邢春暉，鄭智星.ORACLE數(shù)據(jù)庫(kù)的管理[J].黑龍江科技信息，2010，8.