陳 潔

（江蘇省無(wú)錫市人民醫(yī)院 江蘇 214023）

0 引言

隨著21世紀(jì)的到來(lái)，計(jì)算機(jī)的應(yīng)用和網(wǎng)絡(luò)技術(shù)的發(fā)展，使得越來(lái)越多的領(lǐng)域逐漸現(xiàn)代化，而數(shù)據(jù)庫(kù)系統(tǒng)作為計(jì)算機(jī)應(yīng)用中非常重要的技術(shù)，其適用于任何行業(yè)，在推動(dòng)企業(yè)和行業(yè)快速發(fā)展上有著重要作用，這使得數(shù)據(jù)庫(kù)系統(tǒng)在計(jì)算機(jī)的普及下被廣泛運(yùn)用。但與數(shù)據(jù)庫(kù)系統(tǒng)發(fā)展相伴隨的是，其安全問(wèn)題的頻繁發(fā)生，其中病毒損害、黑客攻擊、系統(tǒng)漏洞以及信息竊取等安全問(wèn)題層出不窮，甚至成為了不少數(shù)據(jù)庫(kù)安全管理人員的噩夢(mèng)。Oracle是當(dāng)前一種非常流行的數(shù)據(jù)庫(kù)系統(tǒng)，其是由多個(gè)子系統(tǒng)構(gòu)成的，并且在進(jìn)行數(shù)據(jù)的存放時(shí)，也是分為多個(gè)不同的服務(wù)器進(jìn)行存放，在進(jìn)行使用和訪問(wèn)的過(guò)程中，其數(shù)據(jù)是出于多用戶共享的狀態(tài)，故對(duì)Oracle數(shù)據(jù)庫(kù)安全問(wèn)題進(jìn)行分析，是當(dāng)前學(xué)界所共同關(guān)注的重要話題?，F(xiàn)結(jié)合筆者多年關(guān)于Oracle數(shù)據(jù)庫(kù)安全問(wèn)題的了解，對(duì)其存在的安全問(wèn)題進(jìn)行簡(jiǎn)單分析，并提出相應(yīng)的應(yīng)對(duì)建議。

1 Oracle數(shù)據(jù)庫(kù)安全問(wèn)題

Oracle數(shù)據(jù)庫(kù)安全問(wèn)題主要是指非法用戶對(duì)數(shù)據(jù)信息進(jìn)行篡改、竊取和破壞等行為，對(duì)非法用戶的越權(quán)訪問(wèn)權(quán)限進(jìn)行限制，是有效提升數(shù)據(jù)庫(kù)安全性的關(guān)鍵[1]。Oracle數(shù)據(jù)庫(kù)為了實(shí)現(xiàn)對(duì)數(shù)據(jù)安全的保護(hù)，其可通過(guò)訪問(wèn)權(quán)限設(shè)置、數(shù)據(jù)庫(kù)加密等方式加來(lái)安全防護(hù)手段，盡管Oracle數(shù)據(jù)庫(kù)本身的安全機(jī)制非常高，但卻無(wú)法真正承諾百分百的安全性，非法用戶往往能夠根據(jù)數(shù)據(jù)庫(kù)系統(tǒng)的弱點(diǎn)和漏洞來(lái)實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)信息的破壞和竊取。通常情況下，數(shù)據(jù)庫(kù)安全保障機(jī)制更多是對(duì)提高預(yù)防效果，并且在保障用戶合法使用的前提下，對(duì)外部用戶身份進(jìn)行檢驗(yàn)，通過(guò)這種方法來(lái)實(shí)現(xiàn)對(duì)未授權(quán)操作的預(yù)防。但就實(shí)際情況來(lái)看，在Oracle數(shù)據(jù)庫(kù)的運(yùn)用中，仍然出現(xiàn)各種安全問(wèn)題，主要表現(xiàn)為以下幾方面：

1.1 用戶認(rèn)證安全問(wèn)題

Oracle數(shù)據(jù)庫(kù)系統(tǒng)可為用戶提供相應(yīng)的身份認(rèn)證機(jī)制，用戶根據(jù)系統(tǒng)所設(shè)定的賬號(hào)和密碼對(duì)實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)，但某用戶通過(guò)非法的手法獲得用戶的賬號(hào)和密碼，那么當(dāng)用戶通過(guò)權(quán)限認(rèn)證后，同樣能夠?qū)?shù)據(jù)庫(kù)進(jìn)行訪問(wèn)，并且能夠在用戶的使用權(quán)限上實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的操作，由此可知，在安全機(jī)制中，針對(duì)普通用戶的安全認(rèn)證尚不完善。

1.2 數(shù)據(jù)存取控制安全問(wèn)題

即便是用戶的操作權(quán)限非常高，也并不是指該用戶能夠?qū)?shù)據(jù)庫(kù)系統(tǒng)進(jìn)行隨意的操作，在權(quán)力和權(quán)限之間還存在著相互對(duì)應(yīng)的關(guān)系，并且其還應(yīng)當(dāng)受到權(quán)力的制約。但就實(shí)際情況來(lái)看，若某數(shù)據(jù)庫(kù)用戶能夠獲得管理員的密碼和賬號(hào)，那么其操作就可以不受到時(shí)間和空間的制約，這就使得該用戶能夠?qū)?shù)據(jù)庫(kù)系統(tǒng)中，原有的數(shù)據(jù)信息進(jìn)行任意操作，與此同時(shí)，而面對(duì)這種情況，即便時(shí)安全訪問(wèn)機(jī)制也無(wú)法有效展現(xiàn)其對(duì)數(shù)據(jù)庫(kù)的保護(hù)機(jī)制[2]。

1.3 人為疏忽

經(jīng)過(guò)數(shù)據(jù)庫(kù)訪問(wèn)機(jī)制授權(quán)的用戶，在對(duì)數(shù)據(jù)庫(kù)進(jìn)行存取的過(guò)程中，無(wú)意出現(xiàn)的錯(cuò)誤操作等，或者由于應(yīng)用程序中bug所導(dǎo)致的錯(cuò)誤操作等。

2 Oracle數(shù)據(jù)庫(kù)安全問(wèn)題的應(yīng)對(duì)策略

2.1 用戶認(rèn)證和用戶權(quán)限管理技術(shù)

在對(duì)用戶進(jìn)行管理的過(guò)程中，身份認(rèn)真技術(shù)主要是對(duì)用戶身份進(jìn)行確認(rèn)，該技術(shù)是數(shù)據(jù)庫(kù)安全訪問(wèn)和管理的第一道門檻，任何用戶都有一個(gè)相應(yīng)的賬號(hào)和密碼，通過(guò)對(duì)身份進(jìn)行認(rèn)證后即可對(duì)數(shù)據(jù)庫(kù)進(jìn)行訪問(wèn)，這種用戶的認(rèn)證往往在用戶生成之后即可確定。針對(duì)Oracle數(shù)據(jù)庫(kù)系統(tǒng)中的關(guān)鍵應(yīng)用，都均需要經(jīng)由用戶認(rèn)證在明確是否為授權(quán)用戶才能夠進(jìn)行訪問(wèn)。在對(duì)用戶權(quán)限和身份認(rèn)證中，其技術(shù)應(yīng)當(dāng)考慮以下幾方面：一是，針對(duì)普通的用戶，管理人員應(yīng)當(dāng)將其設(shè)定為不同的類型，同時(shí)對(duì)用戶的不同角色進(jìn)行定位；二是，針對(duì)數(shù)據(jù)庫(kù)管理員，可能僅僅是一個(gè)擁有數(shù)據(jù)庫(kù)管理和使用權(quán)限的特殊用戶，或者具有某些權(quán)限的部分用戶，只有具有較高安全性的個(gè)人，才能夠?qū)τ脩暨M(jìn)行分配和對(duì)數(shù)據(jù)庫(kù)的管理。Oracle數(shù)據(jù)庫(kù)在對(duì)角色進(jìn)行管理的過(guò)程中，應(yīng)發(fā)揮較高的實(shí)時(shí)性，并且角色的權(quán)限必須具有取消或者授予即時(shí)生效的效果，通過(guò)這種安全控制可使用戶權(quán)限管理和認(rèn)真具有更高的靈活性，同時(shí)也能夠促使安全性得到提高。

2.2 入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)主要是指通過(guò)對(duì)系統(tǒng)進(jìn)行監(jiān)控管理，對(duì)未授權(quán)訪問(wèn)中出現(xiàn)的異常操作進(jìn)行識(shí)別，同時(shí)對(duì)攻擊行為進(jìn)行預(yù)防的系統(tǒng)。在數(shù)據(jù)庫(kù)中打造一個(gè)具有預(yù)防和抵御非法用戶、動(dòng)態(tài)監(jiān)管入侵行為等作用的安全機(jī)制，是提高Oracle數(shù)據(jù)庫(kù)安全性的重要方法[3]。在本文中所指出的入侵檢測(cè)系統(tǒng)是還主要是指，在Oracle數(shù)據(jù)庫(kù)系統(tǒng)中，對(duì)用戶的行為和使用情況等進(jìn)行監(jiān)控，以此來(lái)實(shí)現(xiàn)對(duì)用戶是否安全，或者是否為外部非法用戶越權(quán)訪問(wèn)，或者是否由于系統(tǒng)缺陷導(dǎo)致外來(lái)用戶出現(xiàn)惡意入侵的判斷。

2.3 數(shù)據(jù)庫(kù)的加密

在數(shù)據(jù)庫(kù)安全性中，加密是保護(hù)Oracle數(shù)據(jù)庫(kù)的最后一道防線或者最關(guān)鍵的一道防線。在Oracle數(shù)據(jù)庫(kù)管理中，主要是以文件的方式來(lái)實(shí)現(xiàn)管理，若出現(xiàn)非法用戶入侵的情況，那么入侵者能夠借由存在的數(shù)據(jù)庫(kù)漏洞來(lái)對(duì)數(shù)據(jù)庫(kù)中的文件進(jìn)行篡改、破壞和竊取，這些行為的隱蔽性非常的高，常規(guī)情況下，很難發(fā)現(xiàn)數(shù)據(jù)庫(kù)已出現(xiàn)安全問(wèn)題。針對(duì)這種安全問(wèn)題，通過(guò)分層加密的方式來(lái)加強(qiáng)數(shù)據(jù)庫(kù)管理系統(tǒng)的控制，其能夠更好的實(shí)現(xiàn)對(duì)系統(tǒng)安全性能的提升，即便是首層的密碼被解決，后面的幾層密碼仍然能夠?qū)崿F(xiàn)對(duì)Oracle數(shù)據(jù)庫(kù)安全的保障。當(dāng)然，在對(duì)Oracle數(shù)據(jù)庫(kù)進(jìn)行加密處理后，即便是出現(xiàn)了數(shù)據(jù)不慎被盜取或者丟失的情況，也很難實(shí)現(xiàn)對(duì)數(shù)據(jù)的傳播和閱讀。在進(jìn)行加密處理中，可以分別在操作系統(tǒng)層、數(shù)據(jù)庫(kù)管理系統(tǒng)內(nèi)層以及管理系統(tǒng)外層來(lái)進(jìn)行三層密碼的設(shè)置。

2.4 數(shù)據(jù)庫(kù)的備份和恢復(fù)技術(shù)

Oracle數(shù)據(jù)庫(kù)的企業(yè)的應(yīng)用中，多將數(shù)據(jù)庫(kù)資源分為公開資源、內(nèi)部資源和核心資源這三大類，故在對(duì)數(shù)據(jù)庫(kù)資源進(jìn)行備份時(shí)，應(yīng)針對(duì)不同的資源要求給予相應(yīng)的備份策略。在Oracle數(shù)據(jù)庫(kù)應(yīng)用中，數(shù)據(jù)備份是非常重要的工作內(nèi)容，而Oracle數(shù)據(jù)庫(kù)在進(jìn)行備份時(shí)，主要采用邏輯備份和物理備份兩種方法來(lái)實(shí)現(xiàn)。通過(guò)有效的備份管理，即便是出現(xiàn)黑客入侵、系統(tǒng)故障或者病毒等導(dǎo)致數(shù)據(jù)庫(kù)受到攻擊，那么也能夠根據(jù)備份資源來(lái)進(jìn)行及時(shí)的恢復(fù)[4]。而在對(duì)Oracle數(shù)據(jù)庫(kù)資源進(jìn)行恢復(fù)中，根據(jù)不同的故障可實(shí)施不同的恢復(fù)，主要包括了磁盤失敗恢復(fù)、實(shí)例失敗恢復(fù)和操作錯(cuò)誤恢復(fù)等。

3 結(jié)論

隨著Oracle數(shù)據(jù)庫(kù)在各行各業(yè)中的廣泛應(yīng)用，其安全問(wèn)題給行業(yè)的發(fā)展帶來(lái)了較大的困擾，故加強(qiáng)Oracle數(shù)據(jù)庫(kù)的安全管理具有非常重要的現(xiàn)實(shí)意義。要實(shí)現(xiàn)對(duì)Oracle數(shù)據(jù)庫(kù)的安全運(yùn)用，掌握其安全問(wèn)題就顯得尤其重要，為此，在本文中對(duì)存在的問(wèn)題進(jìn)行了分析，同時(shí)提出了相應(yīng)的解決策略。

[1] 胡歆.Oracle數(shù)據(jù)庫(kù)安全性分析研究[J].信息安全與技術(shù)，2012，2（4）：32-35.

[2] 李紅，劉志杰，謝曉堯.Oracle分布式數(shù)據(jù)庫(kù)系統(tǒng)及網(wǎng)絡(luò)安全策略研究[J].貴州師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2011，51（3）：88-92.

[3] 吳孝麗，周焱，耿驚濤.ORACLE數(shù)據(jù)庫(kù)安全策略和方法[J].煤炭技術(shù)，2011，29（5）：113-116.

[4] 江楠.淺析 ORACLE數(shù)據(jù)庫(kù)安全策略和方法[J].中國(guó)電子商務(wù)，2012，12（14）：51.