摘要：隨著當前互聯(lián)網的日益發(fā)展，資源共享已經成為了一種必然的發(fā)展趨勢，很多企業(yè)都建立了相應的企業(yè)網。其中，數(shù)據庫服務器是核心部件，其中存放了大量的數(shù)據資料，又可以為很多用戶所共享，這就造成了企業(yè)網系統(tǒng)的安全性與保密性問題。作為功能強大、性能優(yōu)越的Oracle數(shù)據庫來說，其在并行性、安全性以及穩(wěn)定性方面有著較大的優(yōu)勢。因此，該文將圍繞Oracle數(shù)據庫展開進一步的討論，針對當前信息系統(tǒng)管理中存在的安全問題，提出了一些有針對性的安全策略，以期能夠為用戶提供安全、可靠的數(shù)據庫信息，保障整個信息管理系統(tǒng)的正常運行。

關鍵詞：Oracle數(shù)據庫；安全問題；安全策略

中圖分類號：TP391 文獻標識碼：A 文章編號：1009-3044（2013）10-2287-02

當前，現(xiàn)代化信息技術的不斷發(fā)展，企業(yè)管理也進入了信息化時代，資源共享已經成為了必然的發(fā)展態(tài)勢，它已經成為了世界范圍內信息化建設與發(fā)展進程的重要標志之一。因此，我國目前有很多企業(yè)已經建立了企業(yè)網，其中數(shù)據庫服務器就是核心部件，甚至關系到整個企業(yè)網中項目實施的成敗。在這些數(shù)據庫中，有著大量的數(shù)據和資料，大部分是用戶共享的資料，顯然，這種數(shù)據庫的安全性和保密性是非常重要的。一旦發(fā)生意外或重大災難的時候，這些數(shù)據庫具有快速、高效的恢復信息的重大功能。因此，它們是企業(yè)在市場競爭中提高自身優(yōu)勢的重要手段和工具。但是，一般的數(shù)據庫也存在一定的安全隱患，這就需要安全性能和穩(wěn)定性能更好的數(shù)據庫。那么，Oracle數(shù)據庫具有強大的功能，性能有極為優(yōu)越，從而使得其成為了當前很多企業(yè)歡迎的關系型數(shù)據庫系統(tǒng)，在正常使用的情況下，它能夠保證數(shù)據的安全和系統(tǒng)的穩(wěn)定，為用戶提供較為準確可靠的數(shù)據信息，它是當前世界上最大的信息管理軟件及服務供應商，主要服務于高端工作站以及作為服務器的小型計算機，是企業(yè)信息管理系統(tǒng)正常運行的重要保障。

1 Oracle數(shù)據庫安全問題分析

作為全球最大的數(shù)據庫系統(tǒng)之一，Oracle數(shù)據庫有著較為穩(wěn)定的安全性能。一般來說，互聯(lián)網的數(shù)據庫系統(tǒng)安全主要是基于五個層次，即物理層安全、操作系統(tǒng)層安全、網絡層安全、數(shù)據庫系統(tǒng)層安全和應用系統(tǒng)層安全等。在這五個層次中，任何一個安全環(huán)節(jié)出現(xiàn)狀況，都有可能導致整個系統(tǒng)的破壞和崩潰。這里，我們著重于分析兩個方面的安全問題。一方面就是數(shù)據庫系統(tǒng)安全問題，另外一個方面就是數(shù)據庫數(shù)據安全問題。

1.1 Oracle 數(shù)據庫系統(tǒng)安全問題的分析

所謂Oracle數(shù)據庫的系統(tǒng)安全，指的就是該數(shù)據庫系統(tǒng)在進行數(shù)據庫的控制、存取和使用方面而涉及到的安全機制。該種數(shù)據庫的系統(tǒng)安全性主要來自于對用戶進行訪問權限的限制，僅僅給予用戶特定的訪問權限，并不是無所制約的使用權限，從而能夠確保數(shù)據庫系統(tǒng)的自身安全。當前，Oracle 數(shù)據庫系統(tǒng)有六種安全機制，即數(shù)據庫用戶和模式機制、權限分配機制、角色分配機制、存儲設置和空間份額機制、資源限制機制以及審計機制。這些安全機制主要是為了防止非授權的數(shù)據庫存取，防止非授權的對模式對象的存取，控制磁盤使用，控制系統(tǒng)資源使用以及審計用戶動作。這些安全機制做到越好，其系統(tǒng)安全性能就越高。

1.2 Oracle 數(shù)據庫數(shù)據安全問題的分析

這種數(shù)據庫數(shù)據安全主要是指數(shù)據庫內部數(shù)據在遭受安全侵害時，數(shù)據庫能夠對相關數(shù)據進行保護并有相關的恢復機制進行配套使用。目前來說，Oracle數(shù)據庫的數(shù)據安全問題主要有：地震、水災等非人力所能控制的意外事故災害，由授權用戶造成的人為疏忽或無意損害，存心不良的編程人員、技術支持人員等的惡意破壞等。這三種類型的數(shù)據安全隱患都是必須及時防范的。

2 Oracle數(shù)據庫安全策略分析

現(xiàn)代計算機技術和網絡技術的不斷進步與發(fā)展，很多企業(yè)都不得不使用先進的網絡技術，各大企業(yè)必須順應時代發(fā)展的潮流，建立并不斷完善基于計算機網絡技術的企業(yè)網，其中最為重要的就是信息系統(tǒng)數(shù)據庫，它是很多企業(yè)進行日常運營的重要生產平臺。由于企業(yè)的很多生產數(shù)據都集中在信息系統(tǒng)的后臺數(shù)據庫中進行統(tǒng)一存儲和處理，這就使得數(shù)據庫在整個企業(yè)的運營中具有十分重要和關鍵的作用。然而，在現(xiàn)實操作過程中，并不是所有企業(yè)都非常重視數(shù)據庫系統(tǒng)安全的，很多時候都會遭受攻擊和威脅，有時候一個數(shù)據庫安全漏洞有可能引發(fā)整個系統(tǒng)的崩潰，從而給企業(yè)造成巨額損失。也有些數(shù)據庫安全問題是由自身設計問題引起的，但是更多的則是由企業(yè)應有人員工作失職而造成的。因此，我們應該選擇一個好的數(shù)據庫產品，并制定出相關的數(shù)據庫安全策略，在執(zhí)行的過程中嚴格遵照這些策略來進行，主要可以從這么四個方面來進行數(shù)據庫安全維護策略的實施。

2.1 數(shù)據安全策略

這里的數(shù)據安全策略主要是指對數(shù)據庫中數(shù)據的修改權限控制以及數(shù)據加密。就前者來說，當前主要是通過角色控制和視圖等方法來實現(xiàn)，而后者則是還沒有得到應有的重視。事實上，我們認為只要數(shù)據庫中的數(shù)據是可讀的，就有可能遭受一定的攻擊和危險。我們只能說把這種危險降低到最小值，這就需要我們對這些數(shù)據庫中的數(shù)據進行加密處理。一旦這些數(shù)據庫中的數(shù)據按照一定的規(guī)則變?yōu)槊芪臄?shù)據，用戶就可以通過相關密鑰來使用，同時，還可以使得這些數(shù)據庫中的數(shù)據保持較高的安全特性。當前，我們對于數(shù)據庫中的數(shù)據進行加密的技術主要有兩種，即DBMS 內核層加密和 DBMS 外圍層加密。所謂 DBMS 內核層加密就是指可以實現(xiàn)加密與數(shù)據庫管理系統(tǒng)的無縫耦合，但是，其加密功能強而易降低數(shù)據庫運行性能。DBMS 外圍層加密則有多樣性選擇，但是卻會增大整個系統(tǒng)的通信壓力。因此，這兩種加密技術各有利弊。我們對這些數(shù)據庫進行保護，其實現(xiàn)的主要手段是備份數(shù)據庫，一旦發(fā)生障礙的時候，就可以對這些文件進行恢復。應該來說，數(shù)據庫的備份就是數(shù)據庫數(shù)據的一個副本，其中包含了數(shù)據庫所有重要的組成部分，比如說控制文件、數(shù)據文件等。我們對數(shù)據庫中的數(shù)據進行備份的方式主要有物理備份和邏輯備份兩種。其中，物理備份也稱文件系統(tǒng)備份，是不管數(shù)據文件的邏輯內容如何進行的全盤拷貝，它又分為冷備份和熱備份兩種。而邏輯備份則是利用SQL語言從數(shù)據庫中抽取數(shù)據并存為二進制文件的過程，支持全部、累計、增量三種方式。而且，在邏輯備份的時候，數(shù)據庫應該處于打開的狀態(tài)。對于數(shù)據庫安全恢復來說，主要有物理恢復和邏輯恢復。其中，物理恢復又可分為非歸檔模式和歸檔模式。邏輯恢復則是利用import命令來實現(xiàn)數(shù)據恢復，其必須是在數(shù)據庫聯(lián)機狀態(tài)下進行。

2.2 用戶安全策略

對于Oracle 數(shù)據庫來說，其用戶經常會由于使用不當而造成一定的危險，這是因為數(shù)據庫用戶是連接數(shù)據庫、存取表和記錄的重要通道，一旦他們發(fā)生問題和障礙，就會直接影響到Oracle 數(shù)據庫的安全問題。因此，我們應該加強對于數(shù)據庫用戶賬戶的有效管理，從而切實達到對于這種數(shù)據庫系統(tǒng)安全的最終目的。具體來講，由于Oracle 數(shù)據庫的用戶非常多，一般用戶到數(shù)據庫管理員都是這種數(shù)據庫的直接用戶。因此，我們應該盡快建立一個可靠有效的口令安全策略，加強對數(shù)據庫用戶的賬號管理工作，防止敏感數(shù)據的泄露或破壞，使用profile文件來限制用戶使用系統(tǒng)和數(shù)據庫資源，防止無關人員對數(shù)據庫進行的任何干擾，讓每一個合法用戶能夠創(chuàng)建相應的用戶賬號及口令。除了防止未授權用戶使用數(shù)據庫系統(tǒng)，還要防止一些合法用戶對未授權的子系統(tǒng)進行使用。我們可以進行基于角色的用戶權限管理，這是Oracle 提供的一種數(shù)據庫權限管理機制，用戶被賦予角色，是保護數(shù)據庫系統(tǒng)安全的重要策略之一，它可以根據不同的職能崗位劃分角色，提供了一種靈活的方法，實現(xiàn)了最基本的安全原則，即最小特權原則和職責分離原則，進一步加大了數(shù)據庫的安全性能。Oracle數(shù)據庫安全管理的核心內容就是有關權限的管理，就是根據不同的授予權限來進行分類，對一般用戶和指定用戶進行管理。

2.3 系統(tǒng)安全策略

所謂系統(tǒng)安全策略主要是指數(shù)據庫系統(tǒng)自身的安全問題，就是對數(shù)據庫的備份與恢復工作。應該來說，Oracle 的備份和恢復工具是當前最為先進的企業(yè)級數(shù)據庫系統(tǒng)，它能夠簡化、自動化及改善備份與恢復操作，最大的特性就是增量備份方式，是數(shù)據庫系統(tǒng)為達到安全目標和相應的安全級別所定義的安全技術、方法、機制的總和。數(shù)據庫系統(tǒng)的安全性在很大程度上依賴于數(shù)據庫的管理，操作系統(tǒng)的穩(wěn)定對數(shù)據庫來說十分重要。維護管理數(shù)據庫用戶的安全性是保護數(shù)據庫系統(tǒng)安全的重要手段之一。數(shù)據庫安全性管理者可能只是擁有 create、alter 或 drop數(shù)據庫用戶的一個特殊用戶。對于一般用戶權限，數(shù)據庫管理員可以決定用戶組分類。數(shù)據庫應用程序開發(fā)者是一類需要特殊權限組完成自己工作的數(shù)據庫用戶。此外，數(shù)據加密是 Oracle 數(shù)據庫系統(tǒng)的最后一道防線，操作系統(tǒng)（OS）層加密，數(shù)據庫管理系統(tǒng)（DBMS）內核層加密，數(shù)據庫管理系統(tǒng)（DBMS）外層實現(xiàn)加密，通過這些層層加密，使得數(shù)據庫具有更高的安全性能。

2.4 審計策略

這里的Oracle數(shù)據庫審計安全策略主要是指監(jiān)視和記錄用戶的數(shù)據活動，它主要是要記錄關于數(shù)據庫操作的信息，如操作時間、執(zhí)行用戶等。這是因為任何網絡系統(tǒng)都不可能是完美無瑕的，都或多或少的存在安全漏洞，并沒有一個絕對可靠的安全性措施。因此，我們應該做好數(shù)據庫的審計策略，尤其要針對一些高度敏感的保密數(shù)據，Oracle數(shù)據庫就要以審計作為主要的預防手段，讓竊密者不能有辦法打破數(shù)據庫的控制。這就是說要讓Oracle數(shù)據庫管理人員能夠有效的審計用戶，主要是對用戶的實際操作情況進行有效的監(jiān)控和記錄，隨時跟蹤并記錄他們的數(shù)據的訪問活動，其中監(jiān)控的內容有：數(shù)據被非授權用戶刪除、用戶越權操作、權限管理不正確、用戶獲得不應有的系統(tǒng)權限等，一旦發(fā)生任何數(shù)據庫破壞，就可以及時排除不安全因素，及時挽救或恢復相關數(shù)據。這里的審計方法主要有：權限審計、語句審計和方案對象審計，應該有選擇地使用審計。

3 結束語

總之，我們應該在網絡信息時代，針對網絡安全隱患采取必要的Oracle數(shù)據庫安全策略，主要是針對數(shù)據庫安全體系結構進行保護，對數(shù)據文件進行加密，增加數(shù)據庫數(shù)據的破解難度，也增加加密文件的可擴展性，讓外部入侵者在防護屏障外得以阻止，還要從內部采取安全策略，這就是說我們應該做好盡量采用安全性較高的網絡操作系統(tǒng)并進行必要的安全配置，使用適合數(shù)據庫的文件系統(tǒng)，及時給Windows和Oracle安裝補丁，還要實施諸如用戶口令策略，設置用戶權限策略，數(shù)據備份與存儲策略，視圖策略，連接監(jiān)控策略等數(shù)據庫系統(tǒng)安全策略，從而真正從內外部切實保障Oracle數(shù)據庫的安全。

參考文獻：

[1] 陳從錦，楊昱.Oracle數(shù)據庫的安全防護概述[J].中山大學學報論叢，2003（4）.

[2] 李卓玲，費雅潔，孫憲麗.Oracle大型數(shù)據庫及應用[M].北京：高等教育出版社，2004.

[3] 薩師煊，王珊.數(shù)據庫系統(tǒng)概論[M].北京：高等教育出版社，2000.

[4] 談竹奎，況志軍.Oracle數(shù)據庫管理員高級技術指南[M].北京：中國鐵道出版社，2003.

[5] 滕永昌.Oracle數(shù)據庫管理員使用大全[M].北京：清華大學出版社，2004.

[6] 謝東.基于Oracle 的數(shù)據庫安全策略[J].現(xiàn)代情報，2006（1）.