張翼鵬

摘要：數(shù)據(jù)庫作為信息決策、辦公自動化等管理系統(tǒng)的重要支撐在近年得到了越來越廣泛的應(yīng)用。Oracle數(shù)據(jù)庫具備的適用性好、效率高、吞吐量大等特點(diǎn)使其處在市場主導(dǎo)地位，然而開放的網(wǎng)絡(luò)環(huán)境也使Oracle數(shù)據(jù)庫的應(yīng)用面臨一些安全威脅，因此研究安全訪問機(jī)制非常必要而且具有一定的現(xiàn)實(shí)價值。

關(guān)鍵詞：Oracle數(shù)據(jù)庫;信息安全;訪問機(jī)制

中圖分類號：TP309;TP311.13文獻(xiàn)標(biāo)識碼：A文章編號：1672-9129（2020）14-0021-01

1Oracle數(shù)據(jù)庫

Oracle數(shù)據(jù)庫是一種大型的分布式數(shù)據(jù)庫[1]，具備可用性強(qiáng)、可擴(kuò)展性強(qiáng)、數(shù)據(jù)存儲能力強(qiáng)、開發(fā)工具完備等多個優(yōu)點(diǎn)，適用于多類主流的操作系統(tǒng)，是全球信息化產(chǎn)業(yè)較為重視的軟件之一。銀行保險、工程建設(shè)、醫(yī)療衛(wèi)生、公共事業(yè)等多個領(lǐng)域的有關(guān)企業(yè)使用Oracle數(shù)據(jù)庫作為業(yè)務(wù)支持。Oracle數(shù)據(jù)庫目前使用較多的有Oracle 9i，Oracle 10g，Oracle 11g，Oracle 12c，Oracle 18c等版本，其中，i代表internet，g代表該版本數(shù)據(jù)庫使用網(wǎng)格計(jì)算方式，c代表云計(jì)算，即支持大數(shù)據(jù)處理。

2Oracle數(shù)據(jù)庫的安全問題

2.1賬戶安全問題。盡管Oracle數(shù)據(jù)庫使用多種措施來確保用戶數(shù)據(jù)的安全性，但在進(jìn)行Oracle數(shù)據(jù)庫的安裝時，安裝程序會進(jìn)行幾十種默認(rèn)模式的加載[2]，其中就包含一些賬戶信息。但Oracle數(shù)據(jù)庫并沒有完善對這些默認(rèn)賬戶的保護(hù)機(jī)制，使用搜索引擎就能輕易獲取安裝時默認(rèn)的賬號和密碼。如果這些信息在網(wǎng)上長期公開，可能會使部分用戶的數(shù)據(jù)遭到破壞、惡意修改等，引發(fā)其他問題，造成用戶損失。

2.2系統(tǒng)安全問題。弱算法加密機(jī)制使相同的Oracle賬戶即便在不同的機(jī)器終端進(jìn)行登錄，也具有同樣的Hash值，而這些值又被存儲在數(shù)據(jù)字典中。這就意味著如果黑客獲取了被公開的賬戶及密碼，并利用該賬戶登錄數(shù)據(jù)庫，則其他賬戶密碼的Hash值也有可能被黑客截取、破解;更糟糕的是，如果此網(wǎng)段還包含另外的Oracle數(shù)據(jù)庫，那么該Oracle數(shù)據(jù)庫中的賬戶信息同樣存在被截取、破解的風(fēng)險;而這會對數(shù)據(jù)庫本身安全及用戶信息安全造成不可彌補(bǔ)的傷害。

2.3網(wǎng)絡(luò)安全問題。大型分布式數(shù)據(jù)庫本身就是一個計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，用戶訪問Oracle數(shù)據(jù)庫的行為勢必要借助互聯(lián)網(wǎng)工具，因此Oracle數(shù)據(jù)庫同樣存在病毒感染、黑客入侵等網(wǎng)絡(luò)安全隱患。2013年就有研究人員利用零日漏洞成功擊破Oracle 11g的防御，取得控制權(quán)限。2017年，大范圍的Oracle數(shù)據(jù)庫被比特幣病毒攻擊，數(shù)據(jù)庫被鎖死，用戶登錄數(shù)據(jù)庫只能看到支付贖金的勒索界面。2020年，由于Oracle數(shù)據(jù)庫的服務(wù)器處于非安全狀態(tài)，數(shù)十億條透明度極高的跟蹤數(shù)據(jù)發(fā)生泄漏，堪稱最大安全違規(guī)事件之一。

3Oracle數(shù)據(jù)庫安全訪問機(jī)制

3.1賬戶安全機(jī)制。解決默認(rèn)賬戶信息可能發(fā)生泄漏的問題是加強(qiáng)賬戶安全保護(hù)的首要任務(wù)。首先要更改在創(chuàng)建Oracle數(shù)據(jù)庫時用到的DBCA程序，不提供默認(rèn)的賬戶和密碼，而是以不同形式進(jìn)行密碼構(gòu)建，例如動態(tài)密碼等形式。其次，在安裝結(jié)束后，應(yīng)增加引導(dǎo)程序提醒用戶更改賬戶密碼，檢測密碼難度，規(guī)避簡單密碼可能帶來的風(fēng)險。最后，Oracle數(shù)據(jù)庫有必要增加保護(hù)機(jī)制，當(dāng)檢測到某一賬戶多次登錄失?。ǖ卿浢艽a錯誤）時，應(yīng)暫時禁止該賬戶登入數(shù)據(jù)庫的權(quán)限并進(jìn)行安全認(rèn)證，防止賬戶被冒用。

Oracle數(shù)據(jù)庫提供三種不同權(quán)限，數(shù)據(jù)庫管理人員通常被授予更大的權(quán)限，也由此可能會引發(fā)其他問題。例如，授權(quán)過的管理員賬戶可能會使系統(tǒng)設(shè)置的保護(hù)機(jī)制失效。因此，針對管理員賬戶也要增加專用的監(jiān)測機(jī)制，避免管理賬戶被盜用造成系統(tǒng)安全風(fēng)險。

3.2數(shù)據(jù)安全機(jī)制。針對Oracle數(shù)據(jù)庫系統(tǒng)本身的安全隱患，可以從對數(shù)據(jù)庫進(jìn)行加密和備份兩個方面進(jìn)行加強(qiáng)。數(shù)據(jù)庫加密可以從內(nèi)部和外部兩個方向進(jìn)行，庫內(nèi)加密通過視圖、擴(kuò)展索引等技術(shù)手段實(shí)現(xiàn)內(nèi)核加密，防止磁盤文件丟失和敏感信息泄露。庫外加密通過部署加密網(wǎng)關(guān)、密文等在數(shù)據(jù)進(jìn)入存儲系統(tǒng)之前完成加密，理論上庫外加密支持所有數(shù)據(jù)庫，而且具有更高的安全性。同時，加密過程可以將表單元、屬性單元、記錄單元、數(shù)據(jù)元素作為加密對象，其中對數(shù)據(jù)元素進(jìn)行加密具有更高的安全性。

數(shù)據(jù)備份主要分為邏輯模式和物理模式，備份內(nèi)容主要為用戶數(shù)據(jù)、日志文件等，邏輯備份使用導(dǎo)出命令、導(dǎo)入命令將數(shù)據(jù)庫內(nèi)部文件讀出再寫入到其他指定文件中。物理備份有脫機(jī)和聯(lián)機(jī)兩種形式，脫機(jī)備份不需要運(yùn)行數(shù)據(jù)庫，聯(lián)機(jī)備份需要在數(shù)據(jù)庫運(yùn)行過程中完成。數(shù)據(jù)備份的主要目的是提高數(shù)據(jù)庫可靠性，在發(fā)生意外情況造成數(shù)據(jù)損失或毀壞時，可以利用備份數(shù)據(jù)進(jìn)行恢復(fù)。

3.3網(wǎng)絡(luò)安全機(jī)制。透明網(wǎng)絡(luò)底層（TNS）是管理、配置Oracle數(shù)據(jù)庫和用戶端連接的工具，主要用于監(jiān)聽用戶的連接請求[3]。TNS的配置文件包含對服務(wù)器端和客戶端的具體配置要求，其中，服務(wù)器端包含核心的監(jiān)聽器，通過監(jiān)聽器文件可以完成對Oracle數(shù)據(jù)庫要監(jiān)聽的地址、端口、通訊協(xié)議和數(shù)據(jù)庫實(shí)例的配置。

如果TNS被入侵，攻擊者就可以創(chuàng)建一個同名數(shù)據(jù)庫，導(dǎo)致用戶申請進(jìn)行的連接將指向攻擊者創(chuàng)建的新數(shù)據(jù)庫，造成業(yè)務(wù)中斷。因此對TNS的維護(hù)升級也需要不斷進(jìn)行，例如，應(yīng)設(shè)置監(jiān)聽器不接受動態(tài)注冊且實(shí)例應(yīng)進(jìn)行靜態(tài)注冊;只允許特定IP地址訪問監(jiān)聽器;設(shè)置安全運(yùn)輸級別，只允許本機(jī)實(shí)例或某些特定機(jī)器的實(shí)例在監(jiān)聽器上注冊等。

4結(jié)論

Oracle數(shù)據(jù)庫因其分布式處理能力和對大批量數(shù)據(jù)的存儲、共享等功能而得到了廣泛應(yīng)用，但隨著Oracle數(shù)據(jù)庫使用量的增加，一些安全風(fēng)險也逐漸暴露。本文對Oracle數(shù)據(jù)庫進(jìn)行了簡單介紹，指出了Oracle數(shù)據(jù)庫存在的安全風(fēng)險，提出了賬戶安全、數(shù)據(jù)安全和網(wǎng)絡(luò)安全機(jī)制。

參考文獻(xiàn)：

[1]戈云.科學(xué)活動中如何培養(yǎng)幼兒的觀察能力[J].科普童話，2017（44）：118.

[2]宋飛.淺談Oracle數(shù)據(jù)庫在網(wǎng)絡(luò)安全訪問機(jī)制的作用[J].電腦迷，2018（02）：47.