企业Oracle数据库保护研究.docVIP

企业Oracle数据库保护研究 　　摘 要：　数据库技术是企业信息化建设的核心和基础，企业建设信息系统，最终是将企业中的信息已数据的形式存储在数据库中，这些数据是企业的高度机密和重要信息。如何确保企业核心数据库中数据的安全，是管理企业Oracle数据库管理员必须掌握的重要技术。从Oracle数据库运行的物理环境安全性、网络环境安全管理、操作系统级安全管理、Oracle的安全性管理、数据备份、审计等方面探讨数据库的保护。 　　关键词：　Oracle数据库；数据保护；安全管理；数据库恢复 　　0　引言 　　计算机的主要应用之一就是数据处理，将大量的信息以数据的形式存放在磁盘上。数据处理是指对各种数据进行收集、存储、加工和传播的一系列活动。数据管理是数据处理的核心，是对数据进行分类、编码、存储、检索和维护。Oracle数据库是一个功能强大的数据库系统，它的特点是支持大数据量、多用户的高性能事务处理，且具有良好的硬件兼容性，支持各种类型的大型、中型、小型和PC操作系统，遵守通用数据存取语言、操作系统、用户接口和网络通信协议的工业标准，因此广泛被电力企业作为信息系统核心数据库使用。但是运行中的数据库系统很容易受到来自多方面的干扰和破坏，如软、硬件系统故障，合法用户的误操作、非法入侵等。数据库的保护就是要排除和防止各种对数据库的干扰破坏，确保数据安全可靠，以及在数据库遭到破坏后尽快地恢复正常。 　　1　物理环境的安全性 　　物理环境是指运行Oracle数据库的服务器所处环境，温湿度、散热、供电、硬件、巡检、值班等。良好的机房环境、服务器的及时巡检是Oracle运行稳定的物理基础。 　　2　网络级安全管理 　　网络级安全管理是指在Oracle数据库的前端要部署防火墙等网络设备，访问策略必须详尽，非C/S架构的数据库只能指定IP地址访问数据库的指定端口，防止非法用户远程登录和攻击数据库服务器。 　　3　操作系统级安全管理 　　操作系统级安全管理是指部署Oracle数据库的服务器操作系统安全，包括：操作系统漏洞、操作系统补丁、操作系统用户和权限管理等。操作系统级安全管理是Oracle数据库正常运行???前提保障。服务器管理员应确保操作系统中的Oracle用户拥有$Oracle_HOME/bin目录的所有权，具有建立、更改、复制、删除文件的操作系统权限。 　　4　Oracle数据库的安全性管理 　　4.1　Orale用户管理 　　Oracle用户包括普通用户、信息系统程序开发员、数据库管理员（DBA）等用户，常用的用户验证是口令验证，数据库管理员可以为每个合法用户创建一个用户账号，同时指定初始化口令。通常数据库管理员在Oracle数据库中通过设置Oracle的环境文件（profile文件）来限制数据库中各用户对数据库系统和数据资源的访问，并管理每个用户的口令、权限、角色等。如果在数据库安装时没有建立环境文件，Oracle则会建立一个缺省环境文件，这是很危险的，因为缺省环境文件对所有用户是不限制资源使用的，数据库管理员在日常管理中应加强对profile文件的管理，通过合理设置profile文件，加强对Oracle数据库的安全性管理。 　　①　锁定不用的账户：在Oracle安装时，会自动建立几个默认的数据库账户。当数据库安装完成时，系统会自动把某些账户锁定和设置为过期，但同时也会打开一些账户，如SYS、SYSTEM、SYSMAN等。为了Oracle数据库的安全性考虑，最好把一些不用的数据库账户锁定，一般只需要保留SYS、SYSTEM、SYSMAN这三个系统账户，其他系统自建账户可以锁定。 　　②　限制口令历史：指在一定的时间间隔内用户不能使用相同的密码，在用户profile文件中利用REUSE_TIME和REUSE_MAX参数来设置，TIME参数用来指定多久后采用相同的密码，MAX参数用来指定在可以使用当前口令之前，用户必须改变该口令的次数。 　　③　锁住一个过期的账号或者多次登录失败的账户：设置用户profile文件中的FAILED.LOGIN.ATTEMPTS的值来控制用户账号连续登录错误的次数。 　　④　限制用户账号的最长使用期限，要求用户定期修改口令：设置用户profile文件中的PASSWORD.LOCK.TIME的值可以限制用户密码的使用期限，比如强制使用户35天修改口令，避免密码长时间使用而被泄露和破解。 　　⑤　强制用户的口令复杂化，纯数字的密码比数字、字符混合的密码好破译，故为了加强用户密码的安全性，需设置一定的复杂性密码管理规则。 　　4.2　Oracle权限管理 　　Oracle数据库中，任何非授权用户都不能在Oracle数据库中执行任何操作。权限是用来定义执行某些特定SQL语句的权力。