Oracle在网站数据库中的应用及其安全策略.docVIP

Oracle在网站数据库中的应用及其安全策略 　　摘要：该文对Oracle数据库的特点进行了分析，指出了其再网站应用中可能碰到的安全威胁，提出了通过安全审计提高系统安全性的方案，给出了Oracle网站数据库安全审计系统的组成原理和实现过程。 　　关键词：Oracle；数据库；安全策略；安全审计 　　中图分类号：TP311文献标识码：A文章编号：1009-3044(2011)21-5057-02 　　当前，随着国内信息化的大力发展，政府和企业的网站建设进展迅速，网站建设趋向大型化、综合化，网站建设中对数据库的要求与日俱增。Oracle数据库由于其出色的行业特性，成为网站建设中数据库的首先。出于安全性的考虑，Oracle数据库提供了较为广泛的安全特性，但其自身机制仍无法保证信息的安全，出于对传统静态防护不足的认识，以安全审计为代表的动态防护成为保障数据库安全的有效途径。 　　1 Oracle网站数据库系统简介 　　Oracle数据库是由全球最大的数据库厂商美国甲骨文公司（即Oracle）设计研发的一组软件系统产品，其核心是分布式数据库，基础是高级结构化查询语言(SQL)。自Oracle问世以来，市场占有率逐步攀升，据相关统计，全世界有90%以上的上市公司、65%的“全球100强”公司都运用Oracle数据库进行电子商务，绝大部分大型网站运行的都是Oracle数据库。Oracle之所以取得这样的成就，与他的以下特点密不可分： 　　1）Oracle数据库是一个通用系统，它的数据管理功能是非常完整的。 　　2）Oracle数据库是一个关系数据库，具有关系完备的特点。 　　3）Oracle数据库是一种分布式数据库，可实现分布式处理的功能。 　　4）适用于各种硬件平台，如PC机、大型机和服务器等。 　　5）适用于各种操作系统，如UNIX、Linux、Windows、Windows NT、VAX/VMS，和VM/CMS等。 　　6）能够处理多媒体信息，如图片、音频和视频等。 　　7）提供了广泛的安全特性。Oracle数据库设有多个安全层，访问控制、数据完整性验证、授权机制、视图机制、审计机制及加密机制。 　　2 Oracle在网站数据库应用中的安全威胁 　　目前，许多政府部门、企事业单位、银行、证券交易中心等都使用Oracle数据库作为其网站的信息载体，网站中最具价值的部分均集成在数据库里，其安全性就显得尤为重要。如前所述，Oracle数据库本身为保证信息安全，已提供了若干安全防护技术，但任何防护都不是绝对万无一失。数据库厂商在加强产品安全性的同时，计算机犯罪分子及相关组织的攻击手段也日益多样化，Oracle数据库同样会受到各种威胁和攻击，主要有对Oracle数据库信息进行窃取、破坏和篡改、病毒入侵、黑客攻击等等。 　　2.1 通过SQL语句注入进行攻击 　　通过SQL语句注入进行攻击是目前黑客的常用攻击手段。Oracle数据库大多采用B/S模式进行开发，基于这种模式进行编程的程序员数量众多，而各个程序员经验、水平上的差异较大，有许多程序员在编程时，没有对输入的数据进行合法性判断，给数据库应用埋下了安全隐患。非法用户通过提交查询代码，依据程序的返回值，就能够非法得到数据，这就是SQL注入。比如在某个网站中，要求用户输入用户名和密码，然后方能登陆，假定该网站有一个用户kitty，其密码是hk0936，有一黑客不知道其密码，却想通过其身份进行登陆，在通常情形下，用户在用户名框里输入kitty，密码框里输入密码hk0936，输入正确则登陆进入，否则无法登陆。如果程序员的查询语句是： 　　Sql=select*from client where clientname=name. valuesand password= pass. values 　　那么在Oracle数据库系统中执行的程序语句如下： 　　select* from client where clientname =kitty and password= hk0936 　　如果黑客在密码框中输入的不是hk0936, 而是hk0936 or 0=0，这时在Oracle数据库数据库系统中执行的语句就成为了select* from client where clientname =kitty and password= hk0936 or 0=0，这时，由于0=0一直为真，就会造成where条件为真，黑客成功以kitty为用户名登陆系统。 　　2.2 默认密码 　　Oracle数据库自带如scott, ys等初始用户和对应的默认密码。假如网站的管理员缺乏经验，未修改初始密码，黑客就会与普通用户一样，顺利登陆网站数据库。 　　2.3 暴力破解法