摘要：本文首先分析了Oracle數(shù)據(jù)庫(kù)應(yīng)用中的安全管理策略，隨后提出實(shí)際的保護(hù)手段，以為實(shí)踐提供參考。

關(guān)鍵詞：Oracle數(shù)據(jù)庫(kù)；應(yīng)用；安全管理策略；保護(hù)手段

中圖分類(lèi)號(hào)：TP311.13 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 (2012) 09-0000-02

一、引言

筆者根據(jù)自身的實(shí)際工作經(jīng)驗(yàn)，根據(jù)公司Oracle數(shù)據(jù)庫(kù)的具體運(yùn)用狀況，為了確保數(shù)據(jù)庫(kù)系統(tǒng)安全，保證數(shù)據(jù)有效性、完整性及保密性，重點(diǎn)分析了Oracle數(shù)據(jù)庫(kù)在應(yīng)用中的安全管理以及相應(yīng)的策略，主要是通過(guò)對(duì)Oracle數(shù)據(jù)庫(kù)系統(tǒng)、用戶(hù)安全管理以及數(shù)據(jù)等方面進(jìn)行分析，從而為企業(yè)提供可靠、安全的信息管理系統(tǒng)。

二、安全管理策略相關(guān)分析

（一）網(wǎng)絡(luò)系統(tǒng)層次安全管理策略

網(wǎng)絡(luò)系統(tǒng)為數(shù)據(jù)庫(kù)的安全應(yīng)用的提供了前提條件及外部環(huán)境，是影響數(shù)據(jù)庫(kù)安全的主要因素，數(shù)據(jù)庫(kù)系統(tǒng)功能的發(fā)揮不能脫離網(wǎng)絡(luò)系統(tǒng)存在，異地用戶(hù)只能經(jīng)過(guò)網(wǎng)絡(luò)系統(tǒng)才可以進(jìn)行數(shù)據(jù)庫(kù)數(shù)據(jù)的訪問(wèn)。網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)是數(shù)據(jù)庫(kù)安全的首道屏障，外部對(duì)于數(shù)據(jù)庫(kù)入侵大多都是從入侵網(wǎng)絡(luò)系統(tǒng)開(kāi)始。進(jìn)行網(wǎng)絡(luò)安全性處理的時(shí)候，重點(diǎn)運(yùn)用如下一些措施：能夠通過(guò)設(shè)置防火墻技術(shù)，合理監(jiān)控不可信任網(wǎng)絡(luò)間的訪問(wèn)，能于內(nèi)部和外部網(wǎng)絡(luò)間產(chǎn)生防護(hù)屏障，阻止出于外部的非法訪問(wèn)，還進(jìn)行內(nèi)部信息外泄的制止；于網(wǎng)絡(luò)中，運(yùn)用密碼，網(wǎng)上的用戶(hù)可以通過(guò)設(shè)置安全密碼和安全問(wèn)題，從而防止非法用戶(hù)盜竊密碼，避免系統(tǒng)安全性遭受損害；可以進(jìn)行拒絕遠(yuǎn)程訪問(wèn)DBA的設(shè)置，合理控制網(wǎng)絡(luò)的DBA權(quán)限。

（二）用戶(hù)操作系統(tǒng)安全管理策略

數(shù)據(jù)庫(kù)系統(tǒng)中采用用戶(hù)管理運(yùn)行模式，可以有效的防止未經(jīng)授權(quán)的用戶(hù)直接對(duì)數(shù)據(jù)庫(kù)訪問(wèn)，同時(shí)也可以防止合法用戶(hù)使用未經(jīng)授權(quán)的子系統(tǒng)對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)。有效的保證數(shù)據(jù)庫(kù)系統(tǒng)安全方法有很多，下面主要介紹：對(duì)象授權(quán)、用戶(hù)賬號(hào)、角色與對(duì)應(yīng)運(yùn)用程序上下文的控制。

角色管理是數(shù)據(jù)庫(kù)系統(tǒng)安全運(yùn)行安全用戶(hù)管理中的關(guān)鍵策略。當(dāng)數(shù)據(jù)庫(kù)用戶(hù)比較多時(shí)，應(yīng)該對(duì)角色實(shí)施角色創(chuàng)建，從而規(guī)定每個(gè)用戶(hù)訪問(wèn)權(quán)限，同時(shí)對(duì)角色為一類(lèi)機(jī)制實(shí)施集中管理，用戶(hù)的訪問(wèn)權(quán)限會(huì)因?yàn)榻巧珯?quán)限不同而發(fā)生改變。Oracle數(shù)據(jù)庫(kù)系統(tǒng)包括三個(gè)默認(rèn)角色，以及這些默認(rèn)角色有著特定權(quán)限：第一，Connect角色，僅允許用戶(hù)登錄及建立自身的簡(jiǎn)單表與索引，因此通常為臨時(shí)用戶(hù)；第二，Resource角色，較Connect角色允許更為多的高級(jí)權(quán)限，例如：建立存儲(chǔ)與觸發(fā)器；第三，DBA角色，具有管理數(shù)據(jù)庫(kù)和全部用戶(hù)的系統(tǒng)權(quán)限。

創(chuàng)建用戶(hù)賬號(hào)也可以增強(qiáng)數(shù)據(jù)庫(kù)的安全性，采用用戶(hù)賬號(hào)登錄和動(dòng)態(tài)口令相結(jié)合的方式授予訪問(wèn)權(quán)限，可以很好的避免數(shù)據(jù)的損壞、泄露以及無(wú)關(guān)人員任意干擾，從而成為數(shù)據(jù)系統(tǒng)安全管理的重要措施。一定要使用正確的用戶(hù)名以及口令進(jìn)行登陸之后，才可以正確訪問(wèn)數(shù)據(jù)庫(kù)。配置文件即為資源限制及口令的一種指定集合，應(yīng)把它分給用戶(hù)能夠運(yùn)用alter user、create user命令，進(jìn)行口令管理的增設(shè)。

授權(quán)管理相關(guān)權(quán)限機(jī)制即為Oracle數(shù)據(jù)庫(kù)安全管理的核心內(nèi)容，即為不相同的權(quán)限給予不相同的用戶(hù)。因?yàn)橛脩?hù)被授予不相同的權(quán)限。能劃成兩種：其一為普通用戶(hù)，就是某個(gè)指定的數(shù)據(jù)庫(kù)對(duì)象；其二為系統(tǒng)管理員DBA，DBA能進(jìn)行數(shù)據(jù)結(jié)構(gòu)、數(shù)據(jù)庫(kù)系統(tǒng)的合理操作。此處應(yīng)說(shuō)明對(duì)于sys以及system特殊用戶(hù)和高級(jí)用戶(hù)的保密管理，sys和system-缺省密碼同為manager，通過(guò)Oracle數(shù)據(jù)庫(kù)主動(dòng)建立DBA權(quán)限、create Public synonym權(quán)限以及unlimited tablespace權(quán)限，這三個(gè)系統(tǒng)訪問(wèn)權(quán)限屬于DBSNMP用戶(hù)，其中的缺省密碼為DBSNMP。

（三）數(shù)據(jù)庫(kù)管理系統(tǒng)安全管理策略

因?yàn)閿?shù)據(jù)庫(kù)系統(tǒng)于操作系統(tǒng)之下均是采用文件形式進(jìn)行實(shí)施管理，所以入侵者通常采用操作系統(tǒng)存在的漏洞進(jìn)行數(shù)據(jù)庫(kù)數(shù)據(jù)的竊取、偽造或是篡改。為了確保之前兩層次已遭受突破的情形之下，還可以保證數(shù)據(jù)庫(kù)中的數(shù)據(jù)信息安全，此時(shí)數(shù)據(jù)庫(kù)安全管理系統(tǒng)應(yīng)存在一種安全保障機(jī)制---數(shù)據(jù)庫(kù)管理系統(tǒng)層次安全管理策略：數(shù)據(jù)庫(kù)管理系統(tǒng)安全機(jī)制要是極其巨大，那么數(shù)據(jù)庫(kù)系統(tǒng)具有的安全性能比較良好。

對(duì)于Oracle數(shù)據(jù)庫(kù)系統(tǒng)，它的性能優(yōu)越，安全性可靠、操作方便，存儲(chǔ)量巨大。通常情形之下，該系統(tǒng)能夠給予用戶(hù)準(zhǔn)確、安全、穩(wěn)定的數(shù)據(jù)。同時(shí)由于計(jì)算機(jī)系統(tǒng)的一些硬件及軟件故障或者網(wǎng)絡(luò)及系統(tǒng)故障都會(huì)對(duì)Oracle數(shù)據(jù)庫(kù)系統(tǒng)操作帶來(lái)一定影響，甚至可能會(huì)損壞數(shù)據(jù)庫(kù)，從而使數(shù)據(jù)庫(kù)全部系統(tǒng)面臨癱瘓情況。所以確保Oracle數(shù)據(jù)庫(kù)的可用性、安全性，保證Oracle數(shù)據(jù)庫(kù)系統(tǒng)安全穩(wěn)定，可以運(yùn)用如下的安全管理措施：

1.針對(duì)權(quán)限的控制措施

對(duì)于Oracle數(shù)據(jù)庫(kù)系統(tǒng)，其經(jīng)過(guò)角色、權(quán)限授予以及回收的操作以后，均能合理實(shí)施用戶(hù)權(quán)限控制。

2.針對(duì)用戶(hù)的控制措施

安全性是終端用戶(hù)具有重大的意義。目前針對(duì)擁有大數(shù)量用戶(hù)的數(shù)據(jù)庫(kù)，能夠采用并執(zhí)行的措施有：用戶(hù)角色的創(chuàng)建，將需要的權(quán)限以及應(yīng)用程序角色給予各個(gè)用戶(hù)角色，還給用戶(hù)進(jìn)行對(duì)應(yīng)用戶(hù)角色的安配。能運(yùn)用“角色”就終端用戶(hù)實(shí)施權(quán)限管理。

針對(duì)普通用戶(hù)，常通過(guò)密碼加密手段和數(shù)據(jù)庫(kù)實(shí)施連接。設(shè)置方法如下：先于客戶(hù)端的oracle．ini文件內(nèi)進(jìn)行設(shè)置，初始化參數(shù)ora-encrypt-login；后于服務(wù)器端的init ORACLE-SID．ora文件內(nèi)進(jìn)行設(shè)置，初始化參數(shù)dbling-encypt-login。

針對(duì)數(shù)據(jù)庫(kù)管理人員的安全，常運(yùn)用下面的實(shí)際措施：完成數(shù)據(jù)庫(kù)的創(chuàng)建之后，馬上對(duì)那些存在管理權(quán)限的sys以及system用戶(hù)進(jìn)行默認(rèn)密碼的更新，避免不合法用戶(hù)進(jìn)行數(shù)據(jù)庫(kù)的訪問(wèn)；確保僅能數(shù)據(jù)庫(kù)管理人員通過(guò)管理權(quán)限進(jìn)行數(shù)據(jù)庫(kù)的連入，避免按sysdba連接，實(shí)施不存在任意制約的操作；

進(jìn)行默認(rèn)訪問(wèn)用戶(hù)的鎖定、失效設(shè)置權(quán)限，對(duì)于Oracle數(shù)據(jù)庫(kù)系統(tǒng)而言，進(jìn)行系統(tǒng)安裝時(shí)會(huì)自動(dòng)的產(chǎn)生一些默認(rèn)用戶(hù)，同時(shí)在完成數(shù)據(jù)庫(kù)成功安裝以后，能篩選用戶(hù)、能鎖定用戶(hù)以及也能失效用戶(hù)，scott就是。

3.針對(duì)數(shù)據(jù)的控制措施

對(duì)數(shù)據(jù)進(jìn)行安全保護(hù)是數(shù)據(jù)庫(kù)管理系統(tǒng)保護(hù)的關(guān)鍵，保證在服務(wù)器發(fā)生件或者軟硬件故障的時(shí)候，保障未失去主要數(shù)據(jù)，防止企業(yè)受到損失。

數(shù)據(jù)備份是數(shù)據(jù)庫(kù)數(shù)據(jù)保護(hù)有效措施，在數(shù)據(jù)庫(kù)出現(xiàn)服務(wù)器故障的時(shí)候，數(shù)據(jù)庫(kù)可以自動(dòng)的通過(guò)備份實(shí)施恢復(fù)，從而使數(shù)據(jù)庫(kù)文件、文本文件、控制文件以及另外的文件回復(fù)。

Oracle數(shù)據(jù)庫(kù)均進(jìn)行日志的給予，用于進(jìn)行數(shù)據(jù)庫(kù)內(nèi)實(shí)施的每類(lèi)操作的記錄，有調(diào)整、修改參數(shù)，有拷貝，從而在數(shù)據(jù)庫(kù)中創(chuàng)建出全部作業(yè)的一個(gè)綜合記錄。

控制文件的備份常用來(lái)對(duì)數(shù)據(jù)庫(kù)物理結(jié)構(gòu)狀態(tài)進(jìn)行存貯，從而對(duì)文件內(nèi)若干狀態(tài)信息的進(jìn)行控制，進(jìn)行實(shí)例恢復(fù)以及介質(zhì)恢復(fù)的時(shí)候，便于進(jìn)行Oracle數(shù)據(jù)庫(kù)的正確引導(dǎo)。

三、Oracle數(shù)據(jù)庫(kù)保護(hù)手段

（一）磁盤(pán)陣列

在操作系統(tǒng)層次，運(yùn)用大容量磁盤(pán)陣列和磁盤(pán)映像技術(shù)，保證各個(gè)數(shù)據(jù)庫(kù)文件（控制以及日志文件）均在各個(gè)物理磁盤(pán)進(jìn)行自覺(jué)分布。在某磁盤(pán)產(chǎn)生物理破壞的時(shí)候，操作系統(tǒng)能主動(dòng)引發(fā)映像磁盤(pán)，進(jìn)而代替失效磁盤(pán)，致使數(shù)據(jù)庫(kù)能順利運(yùn)作。

（二）數(shù)據(jù)備份

邏輯備份主要任務(wù)是正確讀出數(shù)據(jù)庫(kù)的數(shù)據(jù)記錄以及把這些記錄錄入一些文件內(nèi)；對(duì)于物理備份，具有完整拷貝構(gòu)成數(shù)據(jù)庫(kù)的文件的功能，但不足是忽略了邏輯內(nèi)容。它能拷貝Oracle數(shù)據(jù)庫(kù)的全部數(shù)據(jù)內(nèi)容，方式有許多種，主要包括聯(lián)機(jī)備份及脫機(jī)備份：對(duì)于聯(lián)機(jī)備份方式，其把聯(lián)機(jī)日志轉(zhuǎn)儲(chǔ)歸檔，于Oracle數(shù)據(jù)庫(kù)中，可以記錄全部進(jìn)程以及正確的作業(yè)。能備份任意運(yùn)作于ARCHIVELOG數(shù)據(jù)庫(kù)。聯(lián)機(jī)備份能恢復(fù)全部的時(shí)間點(diǎn)point-in-time，同時(shí)在還原文件系統(tǒng)備份的時(shí)，允許數(shù)據(jù)庫(kù)系統(tǒng)處于打開(kāi)狀態(tài)，然而因?yàn)榇藗浞莘绞揭筚A存許多歸檔文件，使系統(tǒng)維護(hù)困難增大，進(jìn)行恢復(fù)時(shí)，要是某歸檔文件破壞或者失去，也實(shí)現(xiàn)不了完全恢復(fù)；對(duì)于脫機(jī)備份，在數(shù)據(jù)庫(kù)順利關(guān)閉，數(shù)據(jù)庫(kù)處在“offline”的時(shí)候，應(yīng)進(jìn)行以下文件的備份：全部的聯(lián)機(jī)日志，全部數(shù)據(jù)及控制文件和初始化參數(shù)文件init．ora。上述備份文件可以通過(guò)磁帶機(jī)轉(zhuǎn)存至磁帶之上，在服務(wù)器產(chǎn)生故障數(shù)據(jù)出現(xiàn)丟失時(shí)候，可以直接把磁帶之上的備份文件導(dǎo)出來(lái)轉(zhuǎn)到硬盤(pán)之上，從而實(shí)現(xiàn)數(shù)據(jù)恢復(fù)，這種備份方式可靠，維護(hù)簡(jiǎn)易，但是，由于是冷備份，應(yīng)按時(shí)關(guān)閉數(shù)據(jù)庫(kù)，以為其備份時(shí)間具有一定期限，所以實(shí)施數(shù)據(jù)恢復(fù)時(shí)，僅可恢復(fù)至之前進(jìn)行備份的時(shí)間點(diǎn)之上，實(shí)施不了完全恢復(fù)。

應(yīng)重視的是，不論運(yùn)用何種方式進(jìn)行數(shù)據(jù)備份，都要百分之百的確保備份文件的完整性和有效性，這對(duì)于數(shù)據(jù)庫(kù)系統(tǒng)的恢復(fù)起著至關(guān)重要的作用。

四、總結(jié)

Oracle安全策略有著高的可伸縮性以及安全性，還有著多樣的可擴(kuò)展性以及可用性。進(jìn)行數(shù)據(jù)庫(kù)系統(tǒng)安全管理工作，應(yīng)堅(jiān)持長(zhǎng)期性、持久性。為了組建相對(duì)安全及穩(wěn)定的數(shù)據(jù)庫(kù)系統(tǒng)，數(shù)據(jù)庫(kù)管理者要通過(guò)技術(shù)方式進(jìn)行嚴(yán)格管理，做好防御，更應(yīng)增加防范意識(shí)。

參考文獻(xiàn)：

[1]巢子杰.Oracle數(shù)據(jù)庫(kù)優(yōu)化探究[J].軟件導(dǎo)刊，2010，2

[2]邢春暉，鄭智星.ORACLE數(shù)據(jù)庫(kù)的管理[J].黑龍江科技信息，2010，8

[3]趙世杰.關(guān)于Oracle數(shù)據(jù)庫(kù)應(yīng)用中的安全管理策略[J].價(jià)值工程，2011，15