Oracle数据安全面面观(一).docxVIP

PAGE PAGE # Oracle 数据安全面面观（1） 随着计算机的普及以及网络的发展，数据库已经不再仅仅是那 些程序员所专有的话题。而 Oracle数据库更是凭借其性能卓越，操 作方便灵活的特点，在数据库的市场中已经占据了一席之地。 但是同 样随着网络技术的不断进步，数据信息的不断增加，数据安全已经不 再是以前的“老生长谈”，也更不是以前书本上那些“可望不可及” 的条条框框。 或许很久以前，大家都觉得Oracle数据库的安全并不存在隐患， 因为Oracle公司在去年11月份开始促销其数据库软件时提出的口 号是“只有Oracle9i能够做到绝对安全”。但是不管它这么说是为了 促销，还是为了扩大知名度，总之伴去年 12月份，英国的安全专家 DavidLitchfield 发现的9iAS中存在的程序错误导致的缓冲溢出漏洞 以及后来，PenTestLimited 和 eEyeDigitalSecurity 各自提出了一个 小的漏洞，所有使用 Oracle公司产品的人都不由地紧张了原本松弛 的大脑--这个对于用户来说，毕竟关系到了自己的“身家性命”。 下面笔者将带着大家走进Oracle数据安全的世界。由于笔者水 平有限，所以不足之处在所难免，望大家不吝赐教。 （一）Oracle数据库的一些基本常识 这里仅仅是为了以后的安全奠定一些基础， 因为我们后面要用到 它们。呵呵?！ 1.Oracle所包含的组件 在Oracle ,数据库是指整个OracleRDBMS环境，它包括以下 组件： Oracle数据库进程和缓冲（实例）。 SYSTEM表空间包含一个集中系统类目，它可以由一个或多个 数据文件构成。 其它由数据库管理员（DBA）（可选）定义的表空间，每个都由一 个或多个数据文件构成。 两个以上的联机恢复日志。 归档恢复日志（可选）。 其它文件（控制文件、Init.ora、Config.ora 等）。 每个Oracle数据库都在一个中央系统类目和数据字典上运行， 它位于SYSTEM表空间。 .关于“日志” Oracle数据库使用几种结构来保护数据：数据库后备、日志、 回滚段和控制文件。下面我们将大体上了解一下作为主要结构之一的 “日志”： 每一个Oracle数据库实例都提供日志，记录数据库中所作的全 部修改。每一个运行的Oracle数据库实例相应地有一个在线日志， 它与Oracle后台进程LGWR一起工作，立即记录该实例所作的全部 修改。归档(离线)日志是可选择的，一个 Oracle数据库实例一旦 在线日志填满后，可形成在线日志归档文件。归档的在线日志文件被 唯一标识并合并成归档日志。 ?关于在线日志:一个Oracle数据库的每一实例有一个相关联的 在线日志。一个在线日志由多个在线日志文件组成。在线日志文件 (onlineredologfile )填入日志项(redoentry ),日志项记录的数 据用于重构对数据库所作的全部修改。 ?关于归档日志：Oracle要将填满的在线日志文件组归档时，则 要建立归档日志(archivedredolog )。其对数据库备份和恢复有下 列用处： 1数据库后备以及在线和归档日志文件，在操作系统和磁盘故 障中可保证全部提交的事物可被恢复。 2在数据库打开和正常系统使用下，如果归档日志是永久保存， 在线后备可以进行和使用。 数据库可运行在两种不同方式下： NOARCHIVELOG 方式或 ARCHIVELOG方式。数据库在NOARCHIVELOG 方式下使用时，不 能进行在线日志的归档。如果数据库在 ARCHIVELOG方式下运行， 可实施在线日志的归档。 .物理和逻辑存储结构 OracleRDBMS是由表空间组成的，而表空间又是由数据文件组 成的。表空间数据文件被格式化为内部的块单位。块的大小，是由 DBA在Oracle第一次创建的时候设置的，可以在512到8192个字 节的范围内变动。当一个对象在 Oracle表空间中创建的时候，用户 用叫做长度的单位(初始长度((initialextent)、下一个长度 (nextextent )、最 小长度(minextents )、以及最 大长度 (maxextents ))来标明该对象的空间大小。一个 Oracle长度的大 小可以变化，但是要包含一个由至少五个连续的块构成的链。 (二)Oracle数据安全的维护 记得某位哲学家说过：“事物的变化离不开内因和外因。”那么对 于Oracle数据安全这个话题而言，也势必分为“内”和“外”两个 部分。那么好，我们就先从“内”开始说起： .从Oracle系统本身说起 我们先抛开令人闻风色变的“ hacker”和其他一些外部的原因， 先想一下我们的数据库。什么硬盘损坏，什么软件受损，什么操作事 物……一系列由于我们