[論文關鍵詞]Oracle 數據庫 數據庫安全
[論文摘要]數據庫安全性問題一直是圍繞着數據庫員的噩夢,數據庫數據的丟失以及數據庫被非法用戶的侵入使得數據庫管理員身心疲憊。圍繞數據庫的安全性問題提出一些安全性策略,希望對數據庫管理員有所幫助。
數據庫安全性問題應包括兩個部分:一是數據庫數據的安全,它應能確保當數據庫系統停機時,當數據庫數據存儲媒體被破壞時以及當數據庫用戶誤操作時,數據庫數據資訊不至於丟失。二是數據庫系統不被非法用戶侵入,它應儘可能地堵住潛在的各種漏洞,防止非法用戶利用它們侵入數據庫系統。
一、數據庫安全的主要內容
(一)用戶組和安全性
在操作系統下建立用戶組是保證數據庫安全性的一種有效方法。Oracle程序爲了安全性目的一般分爲兩類:一類是所有的用戶都可執行,另一類只有DBA可執行。在Unix下組設定的配置檔案是/etc/group,關於這個檔案如何配置,可以參閱Unix的有關手冊,以下是保證Oracle數據庫安全性的兩種方法:
1.在安裝Oracle Server前,創建數據庫管理員組(DBA)而且分配root和Oracle軟件擁有者的用戶ID給這個組。DBA能執行的程序只有710權限。在安裝過程中SQL*DBA系統權限命令被自動分配給DBA組。
2.允許一部分Unix用戶有限制地訪問Oracle服務器系統,增加一個由授權用戶組成的Oracle組,確保給Oracle服務器實用例程Oracle組ID,公用的可執行程序,比如SQL*Plus、SQL*Forms等,應該可被這組執行,然後這個實用例程的權限爲710,它將允許同組的用戶執行,而其他用戶不能。
(二)數據庫檔案的安全性
Oracle軟件的擁有者應該設定這些數據庫檔案($ORACLE_HOME/dbs/*.
dbf)的使用權限爲0600,即檔案的擁有者可讀可寫,同組的和其他組的用戶沒有寫的權限。
Oracle軟件的擁有者應該擁有包含數據庫檔案的目錄,爲了增加安全性,建議收回同組和其他組用戶對這些檔案的可讀權限。
(三)網絡安全性
當處理網絡安全性時,以下是額外要考慮的幾個問題:一是在網絡上使用密碼,在網上的遠端用戶可以透過加密或不加密方式鍵入密碼,當使用不加密方式鍵入密碼時,密碼很有可能被非法用戶截獲,破壞了系統的安全性。二是網絡上的DBA權限控制,可以透過下列兩種方式對網絡上的DBA權限進行控制:一是設定成拒絕遠程DBA訪問;二是透過orapwd給DBA設定特殊的密碼。
二、制定完整的數據庫監控方案,維護數據庫安全
一般來說,一個Oracle數據庫管理員應該做的Oracle數據庫系統監控方案是這樣的。一是每天對Oracle數據庫的執行狀態、日誌檔案、備份情況、數據庫的空間使用情況、系統資源的使用情況進行檢查,發現並解決問題。二是每週對數據庫對象的空間擴展情況、數據的增長情況進行監控,對數據庫做健康檢查,對數據庫對象的狀態做檢查。三是每月對錶和索引等進行Analyze,檢查表空間碎片,尋找數據庫性能調整的機會,進行數據庫性能調整,提出下一步空間管理計劃。對Oracle數據庫狀態進行一次全面檢查。
制定監控方案的具體步驟如下:
在本地建立一個數據庫sid,然後使用Net Configuration Assistant
工具配置參數,實現與遠程數據庫的連接。