Oracle数据库安全性分析研究

【 摘 要 】 随着计算机网络的发展，数据的共享日益加强，数据的安全保密越来越重要。为了响应数据安全需求，Oracle在其数据库产品中实现了强大的安全特性。文章从数据库用户安全、权限设置、数据限制等几个方面对Oracle数据库的安全性能进行分析研究。

【 关键词 】 Oracle数据库；安全；数据

Oracle Database Security Research

Hu Xin

(Hubei Unversity of Technology HubeiWuhan 430068)

【 Abstract 】 With the development of computer network, data sharing is strengthened increasingly, data security is becoming more and more important. In response to the data security requirements, Oracle in its database product to achieve a strong security features. This article from the database user permissions settings, security, data on several aspects such as the Oracle database security performance analysis.

【 Keywords 】 the Oracle database; safety; data

0 引言

网络技术的快速发展,数据库的普遍应用,使得数据库安全问题变得越来越重要，这个问题一直是围绕着数据库管理员的噩梦。Oracle作为一种大型的数据库系统，其安全问题更为突出。

数据库的安全性是指保护数据以防止非法用户使用，避免数据被有意或无意地丢失、泄露或破坏。数据库的安全性控制通常有用户标识和鉴定、存取控制、视图控制、审计、数据加密等常用方法。下面以日常所使用的Oracle数据库产品为例，从数据库用户安全、权限设置、数据限制等几个方面对其安全性能进行分析研究。

1 用户安全管理

用户是定义在数据库中的一个名称，它是Oracle数据库的基本访问控制机制。当用户要连接到Oracle数据库以进行数据访问时，必须要提供合法的用户名及其口令，如CONNECT scott／tiger。Oracle数据库是可以为多个用户共享使用的，一个数据库中通常会包含多个用户。数据库在新建后通常会自动建好一些用户，其中最重要的有sys和system两个管理员用户及scott等一些普通用户。数据库每个用户都可以拥有自己的对象，一个用户所拥有对象的集合称为一个模式，用户与模式具有一一对应的关系，并且两者名称相同。不同模式中可以具有相同的数据库对象名，即不同用户下的对象名称可以相同。对象的访问格式为[模式名.]对象名，只有访问自己模式对象时，模式名才可以省略。

1.1 用户创建

数据库管理员可以定义和创建新的数据库用户，可以为用户更改口令，可以锁定某用户禁止其登录数据库，总之，用户管理工作是数据库管理员的职责之一。

创建用户必须具有CREATE USER系统权限。通常情况下只有数据库管理员或安全管理员才拥有CREATE USER权限。

创建用户时除了指定用户名外，还要指出验证方式、默认使用表空间、空间使用限额、用户是否被锁定、用于资源限制的概要文件等选项。验证方式包括数据库口令验证、操作系统验证。数据库口令验证要求用户登录时必须要提供口令。

1.2 特权用户

特权用户是指具有特殊权限(SYSDBA或SYSOPER)的数据库用户，这类用户主要用于执行数据库的维护操作，例如，启动和关闭数据库、建立数据库、备份和恢复等任务。

从Oracle9i开始，当建立实例服务时会建立名称为sys的特权用户。另外，当将初始化参数REMOTE-LOGIN_PASSWORDFILE设置为EXCLUSIVE时，还可以将SYSDBA和SYSOPER特权授予其他用户。

需要注意的是，从Oracle9i开始，sys用户或其他欲以特权身份登录的用户登录必须带有As SYSDBA或AS SYSOPER子句，而且特权用户都对应sys用户，表1验证了这一点。

1.3 修改用户

1.3.1 更改口令

使用ALTER USER命令可以修改用户的信息，但是需要由DBA或者具有ALTER USER系统权限的用户来完成。用户经常更改登录口令是一个不错的习惯。每个用户都可以使用如下命令修改其自身口令：SQL>ALTER USER testuser IDENTIFIED BY ertghj。当用户遗忘了口令无法登录时，可以由DBA使用上述命令为其重设一个新口令。

1.3.2 更改某个表空间的使用配额

用户在某个表空间的使用配额可能会根据实际情况有所调整。

1.3.3 更改用户的状态

不希望某用户使用数据库数据时，可以将此用户进行锁定：SQL>ALTER USER testuser ACCOUNT LOCK；而解除对testuser用户账户的锁定，使用如下命令：SQL>ALTER USER testuser ACCOUNT UNLOCK；删除用户之后，Oracle会从数据字典中删除用户及该用户拥有对象的信息。

特权用户具有启动、关闭数据库等特权，通过查询动态性能视图v$pwfile_users，可以确定有哪些特权用户及他们有哪些特权，这样的话就保证了Oracle数据库的安全。

2 权限管理