◆謝云升 張智毅 施翔瀚

?

數(shù)據(jù)庫(kù)在企業(yè)管理系統(tǒng)中的安全策略

◆謝云升 張智毅 施翔瀚

(廣東石油化工學(xué)院 廣東 525000)

本文主要以O(shè)RACLE數(shù)據(jù)庫(kù)為例，對(duì)企業(yè)管理系統(tǒng)當(dāng)中數(shù)據(jù)庫(kù)的安全策略進(jìn)行了全面探究，并且細(xì)致地對(duì)借助用戶控制、角色管控、審計(jì)技術(shù)、并發(fā)控制以及數(shù)據(jù)庫(kù)恢復(fù)及備份等技術(shù)手段完成數(shù)據(jù)庫(kù)安全規(guī)劃工作進(jìn)行了論述。

數(shù)據(jù)庫(kù)；企業(yè)；管理系統(tǒng)；安全策略

0 引言

當(dāng)前，伴隨著企業(yè)信息化的演進(jìn)，管理系統(tǒng)在企業(yè)當(dāng)中的運(yùn)用更加普遍。眾所周知，系統(tǒng)的安全管理是每個(gè)企業(yè)平時(shí)運(yùn)營(yíng)的關(guān)鍵一項(xiàng)內(nèi)容，為避免外部對(duì)企業(yè)內(nèi)部系統(tǒng)數(shù)據(jù)的非法訪問(wèn)，保障系統(tǒng)數(shù)據(jù)不被破壞、篡改，系統(tǒng)數(shù)據(jù)發(fā)生意外后可迅速恢復(fù)，其必須更加重視此項(xiàng)工作。本文運(yùn)用用戶及角色管控、視圖、數(shù)據(jù)庫(kù)備份和恢復(fù)等多項(xiàng)技術(shù)手段對(duì)數(shù)據(jù)庫(kù)的安全管理及其在企業(yè)管理系統(tǒng)中的安全策略規(guī)劃展開了詳細(xì)論述。

1 用戶及角色管控

在各個(gè)企業(yè)的信息管理系統(tǒng)當(dāng)中，許許多多運(yùn)營(yíng)及管理數(shù)據(jù)均被存儲(chǔ)在數(shù)據(jù)庫(kù)里，要想有效保障這些重要數(shù)據(jù)的安全，就應(yīng)當(dāng)保證數(shù)據(jù)庫(kù)操作系統(tǒng)的安全性，因?yàn)榇讼到y(tǒng)是禁止任何未經(jīng)授權(quán)的用戶對(duì)數(shù)據(jù)進(jìn)行查看或修改等一切操作的。所以，用戶在進(jìn)入數(shù)據(jù)庫(kù)進(jìn)行操作前，系統(tǒng)首先會(huì)借助用戶標(biāo)識(shí)以及獨(dú)特鑒定的方法讓用戶標(biāo)明自己的身份，再由系統(tǒng)進(jìn)行查驗(yàn)，待通過(guò)鑒定之后方可進(jìn)入系統(tǒng)進(jìn)行操作，現(xiàn)在的用戶標(biāo)識(shí)通常由用戶名稱及用戶密碼兩部分組成。

在企業(yè)的管理信息系統(tǒng)里，用戶的管理及劃分形式選取的是依據(jù)部門及職責(zé)進(jìn)行相關(guān)操作，以各職能部門為單位設(shè)立用戶組，在多個(gè)部門中按照履職的不同創(chuàng)建用戶，各個(gè)用戶都具有自身的密鑰。我們以企業(yè)財(cái)務(wù)部為例進(jìn)行說(shuō)明，首先把財(cái)務(wù)部分成一個(gè)用戶組，接著再按照此部門中人員的不同分工分別建立賬目管理用戶、成本控制用戶、銷售管控用戶、固定資產(chǎn)控制用戶以及財(cái)務(wù)經(jīng)理用戶等等。

在oracle數(shù)據(jù)庫(kù)中，我們可以借助CREATE USER語(yǔ)句在庫(kù)中重新設(shè)立新用戶。在用戶的創(chuàng)建環(huán)節(jié)中指定的信息包括用戶名、密碼、概要、授予用戶使用權(quán)限、鎖定狀態(tài)等等。此外，在開設(shè)新用戶的時(shí)候，默認(rèn)分配給用戶的概要文件為DEFAULT文件，其可借助CREATE PROFILE語(yǔ)句創(chuàng)建新的概要文件，然后借助概要文件當(dāng)中的一系列參數(shù)設(shè)計(jì)允許用戶連接失敗的次數(shù)，確定用戶被鎖定的時(shí)長(zhǎng)及密鑰的最長(zhǎng)使用時(shí)間等。oracle數(shù)據(jù)庫(kù)目前僅支持兩類權(quán)限：系統(tǒng)權(quán)限以及對(duì)象權(quán)限。在權(quán)限管理方面選取基于角色的權(quán)限訪問(wèn)管理操作，大體思路為：把訪問(wèn)權(quán)限同角色結(jié)合，角色和用戶結(jié)合，進(jìn)而實(shí)現(xiàn)有效的邏輯分離，令訪問(wèn)安全管理更具柔性。借助對(duì)企業(yè)各部門各用戶權(quán)限的剖析，同時(shí)按照企業(yè)安全策略及操作規(guī)范可進(jìn)一步細(xì)化數(shù)據(jù)庫(kù)角色，緊接著按需求將這部分角色進(jìn)行用戶授權(quán)。比如說(shuō)，企業(yè)可以依據(jù)職責(zé)劃分出系統(tǒng)管理員、部門主管、業(yè)務(wù)人員等多種角色，各角色均擁有自身的權(quán)限。系統(tǒng)管理者不但是數(shù)據(jù)庫(kù)管理者，還是應(yīng)用系統(tǒng)管理員，肩負(fù)著整個(gè)系統(tǒng)的維護(hù)工作。除此之外，他們也負(fù)責(zé)為部門主管以及業(yè)務(wù)員分配其權(quán)限。部門主管僅僅擁有對(duì)有關(guān)部門數(shù)據(jù)信息進(jìn)行查看的權(quán)利，但是并沒(méi)有修改的權(quán)利。此外，業(yè)務(wù)員擁有對(duì)數(shù)據(jù)庫(kù)系統(tǒng)中本人負(fù)責(zé)的日常事務(wù)進(jìn)行操作的權(quán)限。在某個(gè)職務(wù)的權(quán)限出現(xiàn)變動(dòng)時(shí)，僅需要修改這一職務(wù)所對(duì)應(yīng)角色的權(quán)限即可，不用修改每個(gè)用戶的權(quán)限。

除此之外，要想更有效地保障數(shù)據(jù)安全，把授權(quán)用戶所用角色隱匿于應(yīng)用程序當(dāng)中的，唯獨(dú)應(yīng)用程序知道這部分角色的用戶名和密鑰，在用戶使用自身標(biāo)識(shí)與密鑰注冊(cè)卻未經(jīng)授權(quán)之前，是不具有操作數(shù)據(jù)庫(kù)的一切權(quán)限的。當(dāng)且僅當(dāng)其角色被成功激活之后，并賦予其相對(duì)應(yīng)的一系列權(quán)限，方可對(duì)數(shù)據(jù)庫(kù)進(jìn)行操作和處理。盡管程序開發(fā)者們清楚地知曉角色名與密鑰，然而由于不知道用戶標(biāo)識(shí)及密碼，因此不能登錄到oracle數(shù)據(jù)庫(kù)中。

2 視圖的使用

所謂“視圖”，即展示給一個(gè)或眾多用戶的數(shù)據(jù)庫(kù)子集，借助視圖的構(gòu)建能夠只展示出用戶所需訪問(wèn)的相關(guān)數(shù)據(jù)，對(duì)部分有可能涉及到重大機(jī)密的、私密的數(shù)據(jù)進(jìn)行自動(dòng)保密。與此同時(shí)，借助對(duì)用戶訪問(wèn)視圖權(quán)限的授予操作，能夠有效避免用戶訪問(wèn)此視圖所賴以構(gòu)建的基表。比如說(shuō)，在企業(yè)的運(yùn)行過(guò)程中，用戶往往需要了解企業(yè)產(chǎn)品的材質(zhì)數(shù)據(jù)，對(duì)另外一些數(shù)據(jù)（材料價(jià)格和員工工作沒(méi)有聯(lián)系的信息等）應(yīng)進(jìn)行屏蔽處理，這種情況下便可以借助視圖的構(gòu)建獲得實(shí)現(xiàn)。盡管通過(guò)視圖能夠有效限制用戶對(duì)數(shù)據(jù)的訪問(wèn)，提升數(shù)據(jù)的安全系數(shù)，然而其并非最有效的安全策略，因未經(jīng)授權(quán)的用戶也可能會(huì)了解或訪問(wèn)特定視圖。

3 審計(jì)技術(shù)

我們都知道，審計(jì)即為對(duì)選定用戶動(dòng)作進(jìn)行監(jiān)控與記錄，利用oracle數(shù)據(jù)庫(kù)的審計(jì)特性，我們可以監(jiān)測(cè)并搜集整理數(shù)據(jù)庫(kù)中的一切活動(dòng)內(nèi)容，并對(duì)用戶的操作行為實(shí)施記錄。數(shù)據(jù)庫(kù)審計(jì)涵蓋了對(duì)表和視圖的審計(jì)以及對(duì)系統(tǒng)的設(shè)計(jì)兩方面內(nèi)容。現(xiàn)在，oracle支持三類審計(jì)，分別為語(yǔ)句審計(jì)、特權(quán)設(shè)計(jì)以及對(duì)象審計(jì)。

當(dāng)前，oracle數(shù)據(jù)庫(kù)所允許的審計(jì)選擇主要限于下列幾個(gè)方面：第一，審計(jì)語(yǔ)句的成功執(zhí)行、失敗執(zhí)行或者二者皆選；第二，對(duì)所有用戶或者部分特定用戶的行為進(jìn)行審計(jì)；第三，對(duì)每個(gè)用戶會(huì)話審計(jì)語(yǔ)句執(zhí)行一次或?qū)φZ(yǔ)句每次執(zhí)行一次審計(jì)。在企業(yè)管理系統(tǒng)當(dāng)中，我們不妨借助對(duì)象審計(jì)以及觸發(fā)器對(duì)系統(tǒng)里幾個(gè)關(guān)鍵的表實(shí)行控制。但是，因?yàn)閷徲?jì)工作會(huì)對(duì)系統(tǒng)的運(yùn)行有效性產(chǎn)生一定的影響，因此通常是在出現(xiàn)可疑操作的時(shí)候才展開審計(jì)的。

4 數(shù)據(jù)庫(kù)的恢復(fù)和備份

在企業(yè)的信息管理系統(tǒng)當(dāng)中，要想有效確保信息的安全性和穩(wěn)定性，避免因?yàn)橛?jì)算機(jī)系統(tǒng)故障（包括硬件故障、軟件故障、網(wǎng)絡(luò)故障以及系統(tǒng)故障等）而導(dǎo)致的數(shù)據(jù)庫(kù)中所有或者部分?jǐn)?shù)據(jù)丟失，搞好數(shù)據(jù)庫(kù)安全防護(hù)是一項(xiàng)十分關(guān)鍵的任務(wù)。數(shù)據(jù)庫(kù)的防護(hù)機(jī)制之一為定期或者不定期地進(jìn)行備份操作，這樣做的目的是一旦發(fā)生系統(tǒng)崩潰、用戶不正確、沖突或者另外一些災(zāi)難的情況下，可以迅速使數(shù)據(jù)庫(kù)得以復(fù)原。

當(dāng)前，oracle數(shù)據(jù)庫(kù)備份主要包含物理備份以及邏輯備份兩部分。具體而言，物理備份又可以被分成脫機(jī)備份與聯(lián)機(jī)備份兩類，其中，脫機(jī)備份僅僅可以在數(shù)據(jù)庫(kù)已經(jīng)正常關(guān)閉之后進(jìn)行；而聯(lián)機(jī)備份則是用于數(shù)據(jù)庫(kù)運(yùn)行期間所作的備份，用戶依舊能夠訪問(wèn)數(shù)據(jù)庫(kù)。對(duì)于數(shù)據(jù)庫(kù)必須運(yùn)行在7*24模式下的作業(yè)，僅可借助聯(lián)機(jī)備份的方式。邏輯備份則主要是一個(gè)數(shù)據(jù)庫(kù)記錄集、把記錄集錄入文件中。借助EXPORT以及ORACLE實(shí)用程序能夠?qū)崿F(xiàn)邏輯備份操作，同時(shí)此兩種程序亦可以用來(lái)完成對(duì)數(shù)據(jù)庫(kù)的恢復(fù)操作。如果依據(jù)備份工具進(jìn)行分類，則可分成EXP/IMP備份、RMAN或者第三方工具等。不管選取何種形式的備份或者恢復(fù)手段，均需要對(duì)數(shù)據(jù)庫(kù)的數(shù)據(jù)文件、日志文件以及控制文件的操作系統(tǒng)進(jìn)行備份操作。

在企業(yè)管理系統(tǒng)當(dāng)中，相關(guān)人員可以按照各個(gè)行業(yè)的特點(diǎn)、數(shù)據(jù)庫(kù)大小以及數(shù)據(jù)庫(kù)中數(shù)據(jù)的修改頻率來(lái)規(guī)劃數(shù)據(jù)庫(kù)安全備份策略。比如說(shuō)，對(duì)備份內(nèi)容、備份周期等各項(xiàng)內(nèi)容的確準(zhǔn)；選取增量備份、全面?zhèn)浞莼蛘呙摍C(jī)備份的手段；確定數(shù)據(jù)量以及最長(zhǎng)保留時(shí)長(zhǎng)等等。

5 結(jié)束語(yǔ)

綜上所述，在企業(yè)管理系統(tǒng)的建設(shè)過(guò)程中，對(duì)系統(tǒng)中各項(xiàng)數(shù)據(jù)的安全管控與規(guī)劃是不可忽視的關(guān)鍵性工作之一。筆者依照oracle數(shù)據(jù)庫(kù)的特點(diǎn)，并根據(jù)開發(fā)企業(yè)管理信息系統(tǒng)的經(jīng)驗(yàn)，從數(shù)據(jù)安全性控制角度出發(fā)，提出了一些企業(yè)管理系統(tǒng)中數(shù)據(jù)庫(kù)的安全策略，主要包括用戶及角色管理、視圖、審計(jì)技術(shù)、并發(fā)控制以及數(shù)據(jù)庫(kù)的備份及恢復(fù)等技術(shù)方略，旨在保障企業(yè)管理系統(tǒng)中數(shù)據(jù)的安全性、完整性以及準(zhǔn)確性。

[1]李曉黎，劉宗堯.Oracle10g數(shù)據(jù)庫(kù)管理與應(yīng)用系統(tǒng)開發(fā)[M].北京:人民郵電出版社，2017.

[2]浦云明，林穎賢.Oracle數(shù)據(jù)庫(kù)實(shí)用教程[M].北京:機(jī)械工業(yè)出版社，2017.

[3]鄭丹青.企業(yè)管理信息系統(tǒng)中數(shù)據(jù)安全策略規(guī)劃[J].吉林師范大學(xué)學(xué)報(bào)(自然科學(xué)版)，2014.

[4]Jeffrey A.Hoffer Mary B.Prescott Fred R.McFadden著.施伯樂(lè)等譯.現(xiàn)代數(shù)據(jù)庫(kù)管理[M].北京:機(jī)械工業(yè)出版社，2014.