Oracle数据库安全策略研究

摘要：随着当前互联网的日益发展，资源共享已经成为了一种必然的发展趋势，很多企业都建立了相应的企业网。其中，数据库服务器是核心部件，其中存放了大量的数据资料，又可以为很多用户所共享，这就造成了企业网系统的安全性与保密性问题。作为功能强大、性能优越的Oracle数据库来说，其在并行性、安全性以及稳定性方面有着较大的优势。因此，该文将围绕Oracle数据库展开进一步的讨论，针对当前信息系统管理中存在的安全问题，提出了一些有针对性的安全策略，以期能够为用户提供安全、可靠的数据库信息，保障整个信息管理系统的正常运行。

关键词：Oracle数据库；安全问题；安全策略

中图分类号：TP391 文献标识码：A 文章编号：1009-3044（2013）10-2287-02

当前，现代化信息技术的不断发展，企业管理也进入了信息化时代，资源共享已经成为了必然的发展态势，它已经成为了世界范围内信息化建设与发展进程的重要标志之一。因此，我国目前有很多企业已经建立了企业网，其中数据库服务器就是核心部件，甚至关系到整个企业网中项目实施的成败。在这些数据库中，有着大量的数据和资料，大部分是用户共享的资料，显然，这种数据库的安全性和保密性是非常重要的。一旦发生意外或重大灾难的时候，这些数据库具有快速、高效的恢复信息的重大功能。因此，它们是企业在市场竞争中提高自身优势的重要手段和工具。但是，一般的数据库也存在一定的安全隐患，这就需要安全性能和稳定性能更好的数据库。那么，Oracle数据库具有强大的功能，性能有极为优越，从而使得其成为了当前很多企业欢迎的关系型数据库系统，在正常使用的情况下，它能够保证数据的安全和系统的稳定，为用户提供较为准确可靠的数据信息，它是当前世界上最大的信息管理软件及服务供应商，主要服务于高端工作站以及作为服务器的小型计算机，是企业信息管理系统正常运行的重要保障。

1 Oracle数据库安全问题分析

作为全球最大的数据库系统之一，Oracle数据库有着较为稳定的安全性能。一般来说，互联网的数据库系统安全主要是基于五个层次，即物理层安全、操作系统层安全、网络层安全、数据库系统层安全和应用系统层安全等。在这五个层次中，任何一个安全环节出现状况，都有可能导致整个系统的破坏和崩溃。这里，我们着重于分析两个方面的安全问题。一方面就是数据库系统安全问题，另外一个方面就是数据库数据安全问题。

1.1 Oracle 数据库系统安全问题的分析

所谓Oracle数据库的系统安全，指的就是该数据库系统在进行数据库的控制、存取和使用方面而涉及到的安全机制。该种数据库的系统安全性主要来自于对用户进行访问权限的限制，仅仅给予用户特定的访问权限，并不是无所制约的使用权限，从而能够确保数据库系统的自身安全。当前，Oracle 数据库系统有六种安全机制，即数据库用户和模式机制、权限分配机制、角色分配机制、存储设置和空间份额机制、资源限制机制以及审计机制。这些安全机制主要是为了防止非授权的数据库存取，防止非授权的对模式对象的存取，控制磁盘使用，控制系统资源使用以及审计用户动作。这些安全机制做到越好，其系统安全性能就越高。

1.2 Oracle 数据库数据安全问题的分析

这种数据库数据安全主要是指数据库内部数据在遭受安全侵害时，数据库能够对相关数据进行保护并有相关的恢复机制进行配套使用。目前来说，Oracle数据库的数据安全问题主要有：地震、水灾等非人力所能控制的意外事故灾害，由授权用户造成的人为疏忽或无意损害，存心不良的编程人员、技术支持人员等的恶意破坏等。这三种类型的数据安全隐患都是必须及时防范的。

2 Oracle数据库安全策略分析

现代计算机技术和网络技术的不断进步与发展，很多企业都不得不使用先进的网络技术，各大企业必须顺应时展的潮流，建立并不断完善基于计算机网络技术的企业网，其中最为重要的就是信息系统数据库，它是很多企业进行日常运营的重要生产平台。由于企业的很多生产数据都集中在信息系统的后台数据库中进行统一存储和处理，这就使得数据库在整个企业的运营中具有十分重要和关键的作用。然而，在现实操作过程中，并不是所有企业都非常重视数据库系统安全的，很多时候都会遭受攻击和威胁，有时候一个数据库安全漏洞有可能引发整个系统的崩溃，从而给企业造成巨额损失。也有些数据库安全问题是由自身设计问题引起的，但是更多的则是由企业应有人员工作失职而造成的。因此，我们应该选择一个好的数据库产品，并制定出相关的数据库安全策略，在执行的过程中严格遵照这些策略来进行，主要可以从这么四个方面来进行数据库安全维护策略的实施。

2.1 数据安全策略

这里的数据安全策略主要是指对数据库中数据的修改权限控制以及数据加密。就前者来说，当前主要是通过角色控制和视图等方法来实现，而后者则是还没有得到应有的重视。事实上，我们认为只要数据库中的数据是可读的，就有可能遭受一定的攻击和危险。我们只能说把这种危险降低到最小值，这就需要我们对这些数据库中的数据进行加密处理。一旦这些数据库中的数据按照一定的规则变为密文数据，用户就可以通过相关密钥来使用，同时，还可以使得这些数据库中的数据保持较高的安全特性。当前，我们对于数据库中的数据进行加密的技术主要有两种，即DBMS 内核层加密和 DBMS 层加密。所谓 DBMS 内核层加密就是指可以实现加密与数据库管理系统的无缝耦合，但是，其加密功能强而易降低数据库运行性能。DBMS 层加密则有多样性选择，但是却会增大整个系统的通信压力。因此，这两种加密技术各有利弊。我们对这些数据库进行保护，其实现的主要手段是备份数据库，一旦发生障碍的时候，就可以对这些文件进行恢复。应该来说，数据库的备份就是数据库数据的一个副本，其中包含了数据库所有重要的组成部分，比如说控制文件、数据文件等。我们对数据库中的数据进行备份的方式主要有物理备份和逻辑备份两种。其中，物理备份也称文件系统备份，是不管数据文件的逻辑内容如何进行的全盘拷贝，它又分为冷备份和热备份两种。而逻辑备份则是利用SQL语言从数据库中抽取数据并存为二进制文件的过程，支持全部、累计、增量三种方式。而且，在逻辑备份的时候，数据库应该处于打开的状态。对于数据库安全恢复来说，主要有物理恢复和逻辑恢复。其中，物理恢复又可分为非归档模式和归档模式。逻辑恢复则是利用import命令来实现数据恢复，其必须是在数据库联机状态下进行。

2.2 用户安全策略

对于Oracle 数据库来说，其用户经常会由于使用不当而造成一定的危险，这是因为数据库用户是连接数据库、存取表和记录的重要通道，一旦他们发生问题和障碍，就会直接影响到Oracle 数据库的安全问题。因此，我们应该加强对于数据库用户账户的有效管理，从而切实达到对于这种数据库系统安全的最终目的。具体来讲，由于Oracle 数据库的用户非常多，一般用户到数据库管理员都是这种数据库的直接用户。因此，我们应该尽快建立一个可靠有效的口令安全策略，加强对数据库用户的账号管理工作，防止敏感数据的泄露或破坏，使用profile文件来限制用户使用系统和数据库资源，防止无关人员对数据库进行的任何干扰，让每一个合法用户能够创建相应的用户账号及口令。除了防止未授权用户使用数据库系统，还要防止一些合法用户对未授权的子系统进行使用。我们可以进行基于角色的用户权限管理，这是Oracle 提供的一种数据库权限管理机制，用户被赋予角色，是保护数据库系统安全的重要策略之一，它可以根据不同的职能岗位划分角色，提供了一种灵活的方法，实现了最基本的安全原则，即最小特权原则和职责分离原则，进一步加大了数据库的安全性能。Oracle数据库安全管理的核心内容就是有关权限的管理，就是根据不同的授予权限来进行分类，对一般用户和指定用户进行管理。

2.3 系统安全策略

所谓系统安全策略主要是指数据库系统自身的安全问题，就是对数据库的备份与恢复工作。应该来说，Oracle 的备份和恢复工具是当前最为先进的企业级数据库系统，它能够简化、自动化及改善备份与恢复操作，最大的特性就是增量备份方式，是数据库系统为达到安全目标和相应的安全级别所定义的安全技术、方法、机制的总和。数据库系统的安全性在很大程度上依赖于数据库的管理，操作系统的稳定对数据库来说十分重要。维护管理数据库用户的安全性是保护数据库系统安全的重要手段之一。数据库安全性管理者可能只是拥有 create、alter 或 drop数据库用户的一个特殊用户。对于一般用户权限，数据库管理员可以决定用户组分类。数据库应用程序开发者是一类需要特殊权限组完成自己工作的数据库用户。此外，数据加密是 Oracle 数据库系统的最后一道防线，操作系统（OS）层加密，数据库管理系统（DBMS）内核层加密，数据库管理系统（DBMS）外层实现加密，通过这些层层加密，使得数据库具有更高的安全性能。

2.4 审计策略

这里的Oracle数据库审计安全策略主要是指监视和记录用户的数据活动，它主要是要记录关于数据库操作的信息，如操作时间、执行用户等。这是因为任何网络系统都不可能是完美无瑕的，都或多或少的存在安全漏洞，并没有一个绝对可靠的安全性措施。因此，我们应该做好数据库的审计策略，尤其要针对一些高度敏感的保密数据，Oracle数据库就要以审计作为主要的预防手段，让窃密者不能有办法打破数据库的控制。这就是说要让Oracle数据库管理人员能够有效的审计用户，主要是对用户的实际操作情况进行有效的监控和记录，随时跟踪并记录他们的数据的访问活动，其中监控的内容有：数据被非授权用户删除、用户越权操作、权限管理不正确、用户获得不应有的系统权限等，一旦发生任何数据库破坏，就可以及时排除不安全因素，及时挽救或恢复相关数据。这里的审计方法主要有：权限审计、语句审计和方案对象审计，应该有选择地使用审计。

3 结束语

总之，我们应该在网络信息时代，针对网络安全隐患采取必要的Oracle数据库安全策略，主要是针对数据库安全体系结构进行保护，对数据文件进行加密，增加数据库数据的破解难度，也增加加密文件的可扩展性，让外部入侵者在防护屏障外得以阻止，还要从内部采取安全策略，这就是说我们应该做好尽量采用安全性较高的网络操作系统并进行必要的安全配置，使用适合数据库的文件系统，及时给Windows和Oracle安装补丁，还要实施诸如用户口令策略，设置用户权限策略，数据备份与存储策略，视图策略，连接监控策略等数据库系统安全策略，从而真正从内外部切实保障Oracle数据库的安全。

参考文献：

[1] 陈从锦，杨昱.Oracle数据库的安全防护概述[J].中山大学学报论丛，2003（4）.

[2] 李卓玲，费雅洁，孙宪丽.Oracle大型数据库及应用[M].北京：高等教育出版社，2004.

[3] 萨师煊，王珊.数据库系统概论[M].北京：高等教育出版社，2000.

[4] 谈竹奎，况志军.Oracle数据库管理员高级技术指南[M].北京：中国铁道出版社，2003.

[5] 滕永昌.Oracle数据库管理员使用大全[M].北京：清华大学出版社，2004.

[6] 谢东.基于Oracle 的数据库安全策略[J].现代情报，2006（1）.