Oracle數(shù)據(jù)庫安全策略與實(shí)現(xiàn)方法_第1頁
Oracle數(shù)據(jù)庫安全策略與實(shí)現(xiàn)方法_第2頁
Oracle數(shù)據(jù)庫安全策略與實(shí)現(xiàn)方法_第3頁
Oracle數(shù)據(jù)庫安全策略與實(shí)現(xiàn)方法_第4頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

Oracle數(shù)據(jù)庫安全策略與實(shí)現(xiàn)方法(1)摘要:數(shù)據(jù)庫丟統(tǒng)的安全性很大程度上依賴于數(shù)據(jù)庫管理丟統(tǒng)-如果數(shù)據(jù)庫管理系編安全機(jī)制非常強(qiáng)大,則數(shù)據(jù)庫系統(tǒng)的安全性能就較好。目前市場(chǎng)上疣行的是關(guān)系式數(shù)據(jù)庫管理系統(tǒng),苴安全性功能很弱,這就導(dǎo)敘數(shù)據(jù)庫系統(tǒng)的安全性存在一定的威脅.因此,數(shù)據(jù)庫管理員應(yīng)從以下幾于方面對(duì)數(shù)據(jù)庫的安全進(jìn)行考慮-標(biāo)賽:0"門£數(shù)據(jù)庫安全策略血HlE幫您淮確洞察各個(gè)物流環(huán)節(jié)數(shù)據(jù)庫安全性問題一直是圍繞著數(shù)據(jù)庫管理員的惡夢(mèng),數(shù)據(jù)庫數(shù)據(jù)的丟失以及數(shù)據(jù)庫被非法用戶的侵入使得數(shù)據(jù)庫管理員身心疲憊不堪。隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展,數(shù)據(jù)庫的應(yīng)用十分廣泛,深入到各個(gè)領(lǐng)域,但隨之而來產(chǎn)生了數(shù)據(jù)的安全問題。各種應(yīng)用系統(tǒng)的數(shù)據(jù)庫中大量數(shù)據(jù)的安全問題、敏感數(shù)據(jù)的防竊取和防篡改問題,越來越引起人們的高度重視。數(shù)據(jù)庫系統(tǒng)作為信息的聚集體,是計(jì)算機(jī)信息系統(tǒng)的核心部件,其安全性至關(guān)重要,關(guān)系到企業(yè)興衰、國(guó)家安全。因此,如何有效地保證數(shù)據(jù)庫系統(tǒng)的安全,實(shí)現(xiàn)數(shù)據(jù)的保密性、完整性和有效性,已經(jīng)成為如今關(guān)注的一個(gè)話題。甲骨文董事長(zhǎng)拉里?埃里森在OracleOpenWorld大會(huì)上,談到了一個(gè)觀點(diǎn)要保護(hù)數(shù)據(jù)庫安全,關(guān)鍵在于加密。他還認(rèn)為,我們不僅要為發(fā)往互聯(lián)網(wǎng)的數(shù)據(jù)庫中的數(shù)據(jù)加密,還要為從硬盤轉(zhuǎn)移到后端系統(tǒng)的過程中的數(shù)據(jù)加密。他還建議企業(yè)禁止用戶在沒有進(jìn)行加密的情況下實(shí)施數(shù)據(jù)備份?!耙?yàn)槿绻麤]有加密的備份CD或者DVD光盤一旦丟失,你就會(huì)失去信息?!睌?shù)據(jù)庫系統(tǒng)的安全性很大程度上依賴于數(shù)據(jù)庫管理系統(tǒng)。如果數(shù)據(jù)庫管理系統(tǒng)安全機(jī)制非常強(qiáng)大,則數(shù)據(jù)庫系統(tǒng)的安全性能就較好。目前市場(chǎng)上流行的是關(guān)系式數(shù)據(jù)庫管理系統(tǒng),其安全性功能很弱,這就導(dǎo)致數(shù)據(jù)庫系統(tǒng)的安全性存在一定的威脅。因此,數(shù)據(jù)庫管理員應(yīng)從以下幾個(gè)方面對(duì)數(shù)據(jù)庫的安全進(jìn)行考慮。一:用戶角色的管理這是保護(hù)數(shù)據(jù)庫系統(tǒng)安全的重要手段之一。它通過建立不同的用戶組和用戶口令驗(yàn)證,可以有效地防止非法的Oracle用戶進(jìn)入數(shù)據(jù)庫系統(tǒng),造成不必要的麻煩和損壞;另外在Oracle數(shù)據(jù)庫中,可以通過授權(quán)來對(duì)Oracle用戶的操作進(jìn)行限制,即允許一些用戶可以對(duì)Oracle服務(wù)器進(jìn)行訪問,也就是說對(duì)整個(gè)數(shù)據(jù)庫具有讀寫的權(quán)利,而大多數(shù)用戶只能在同組內(nèi)進(jìn)行讀寫或?qū)φ麄€(gè)數(shù)據(jù)庫只具有讀的權(quán)利。在此,特別強(qiáng)調(diào)對(duì)SYS和SYSTEM兩個(gè)特殊賬戶的保密管理。為了保護(hù)ORACLE數(shù)據(jù)庫服務(wù)器的安全,應(yīng)保證$ORACLE_HOME/bin目錄下的所有內(nèi)容的所有權(quán)為Oracle用戶所有。為了加強(qiáng)數(shù)據(jù)庫在網(wǎng)絡(luò)中的安全性,對(duì)于遠(yuǎn)程用戶,應(yīng)使用加密方式通過密碼來訪問數(shù)據(jù)庫,加強(qiáng)網(wǎng)絡(luò)上的DBA權(quán)限控制,如拒絕遠(yuǎn)程的DBA訪問等。

二:數(shù)據(jù)庫的加密由于數(shù)據(jù)庫系統(tǒng)在操作系統(tǒng)下都是以文件形式進(jìn)行管理的,因此入侵者可以直接利用操作系統(tǒng)的漏洞竊取數(shù)據(jù)庫文件,或者直接利用OS工具來非法偽造、篡改數(shù)據(jù)庫文件內(nèi)容。這種隱患一般數(shù)據(jù)庫用戶難以察覺,分析和堵塞這種漏洞被認(rèn)為是B2級(jí)的安全技術(shù)措施。數(shù)據(jù)庫管理系統(tǒng)分層次的安全加密方法主要用來解決這一問題,它可以保證當(dāng)前面的層次已經(jīng)被突破的情況下仍能保障數(shù)據(jù)庫數(shù)據(jù)的安全,這就要求數(shù)據(jù)庫管理系統(tǒng)必須有一套強(qiáng)有力的安全機(jī)制。解決這一問題的有效方法之一是數(shù)據(jù)庫管理系統(tǒng)對(duì)數(shù)據(jù)庫文件進(jìn)行加密處理,使得即使數(shù)據(jù)不幸泄露或者丟失,也難以被人破譯和閱讀。我們可以考慮在三個(gè)不同層次實(shí)現(xiàn)對(duì)數(shù)據(jù)庫數(shù)據(jù)的加密,這三個(gè)層次分別是OS層、DBMS內(nèi)核層和DBMS外層。⑴在OS層加密。在OS層無法辨認(rèn)數(shù)據(jù)庫文件中的數(shù)據(jù)關(guān)系,從而無法產(chǎn)生合理的密鑰,對(duì)密鑰合理的管理和使用也很難。所以,對(duì)大型數(shù)據(jù)庫來說,在OS層對(duì)數(shù)據(jù)庫文件進(jìn)行加密很難實(shí)現(xiàn)。⑵在DBMS內(nèi)核層實(shí)現(xiàn)加密。這種加密是指數(shù)據(jù)在物理存取之前完成加/解密工作。這種加密方式的優(yōu)點(diǎn)是加密功能強(qiáng),并且加密功能幾乎不會(huì)影響DBMS的功能,可以實(shí)現(xiàn)加密功能與數(shù)據(jù)庫管理系統(tǒng)之間的無縫耦合。其缺點(diǎn)是加密運(yùn)算在服務(wù)器端進(jìn)行,加重了服務(wù)器的負(fù)載,而且DBMS和加密器之間的接口需要DBMS開發(fā)商的支持。⑶在DBMS外層實(shí)現(xiàn)加密。比較實(shí)際的做法是將數(shù)據(jù)庫加密系統(tǒng)做成DBMS的一個(gè)外層工具,根據(jù)加密要求自動(dòng)完成對(duì)數(shù)據(jù)庫數(shù)據(jù)的加/解密處理。采用這種加密方式進(jìn)行加密,加/解密運(yùn)算可在客戶端進(jìn)行,它的優(yōu)點(diǎn)是不會(huì)加重?cái)?shù)據(jù)庫服務(wù)器的負(fù)載并且可以實(shí)現(xiàn)網(wǎng)上傳輸?shù)募用?,缺點(diǎn)是加密功能會(huì)受到一些限制,與數(shù)據(jù)庫管理系統(tǒng)之間的耦合性稍差。下面我們進(jìn)一步解釋在DBMS外層實(shí)現(xiàn)加密功能的原理:數(shù)據(jù)庫加密系統(tǒng)分成兩個(gè)功能獨(dú)立的主要部件:一個(gè)是加密字典管理程序,另一個(gè)是數(shù)據(jù)庫加/解密引擎。數(shù)據(jù)庫加密系統(tǒng)將用戶對(duì)數(shù)據(jù)庫信息具體的加密要求以及基礎(chǔ)信息保存在加密字典中,通過調(diào)用數(shù)據(jù)加/解密引擎實(shí)現(xiàn)對(duì)數(shù)據(jù)庫表的加密、脫密及數(shù)據(jù)轉(zhuǎn)換等功能。數(shù)據(jù)庫信息的加/解密處理是在后臺(tái)完成的,對(duì)數(shù)據(jù)庫服務(wù)器是透明的。按以上方式實(shí)現(xiàn)的數(shù)據(jù)庫加密系統(tǒng)具有很多優(yōu)點(diǎn):首先,系統(tǒng)對(duì)數(shù)據(jù)庫的最終用戶是完全透明的,管理員可以根據(jù)需要進(jìn)行明文和密文的轉(zhuǎn)換工作;其次,加密系統(tǒng)完全獨(dú)立于數(shù)據(jù)庫應(yīng)用系統(tǒng),無須改動(dòng)數(shù)據(jù)庫應(yīng)用系統(tǒng)就能實(shí)現(xiàn)數(shù)據(jù)加密功能;第三,加解密處理在客戶端進(jìn)行,不會(huì)影響數(shù)據(jù)庫服務(wù)器的效率。

數(shù)據(jù)庫加/解密引擎是數(shù)據(jù)庫加密系統(tǒng)的核心部件,它位于應(yīng)用程序與數(shù)據(jù)庫服務(wù)器之間,負(fù)責(zé)在后臺(tái)完成數(shù)據(jù)庫信息的加/解密處理,對(duì)應(yīng)用開發(fā)人員和操作人員來說是透明的。數(shù)據(jù)加/解密引擎沒有操作界面,在需要時(shí)由操作系統(tǒng)自動(dòng)加載并駐留在內(nèi)存中,通過內(nèi)部接口與加密字典管理程序和用戶應(yīng)用程序通訊。數(shù)據(jù)庫加/解密引擎由三大模塊組成:加/解密處理模塊、用戶接口模塊和數(shù)據(jù)庫接口模塊。其中,“數(shù)據(jù)庫接口模塊”的主要工作是接受用戶的操作請(qǐng)求,并傳遞給“加/解密處理模塊”,此外還要代替“加/解密處理模塊”去訪問數(shù)據(jù)庫服務(wù)器,并完成外部接口參數(shù)與加/脫密引擎內(nèi)部數(shù)據(jù)結(jié)構(gòu)之間的轉(zhuǎn)換?!凹?解密處理模塊”完成數(shù)據(jù)庫加/解密引擎的初始化、內(nèi)部專用命令的處理、加密字典信息的檢索、加密字典緩沖區(qū)的管理、SQL命令的加密變換、查詢結(jié)果的脫密處理以及加脫密算法實(shí)現(xiàn)等功能,另外還包括一些公用的輔助函數(shù)。三:數(shù)據(jù)保護(hù)數(shù)據(jù)庫的數(shù)據(jù)保護(hù)主要是數(shù)據(jù)庫的備份,當(dāng)計(jì)算機(jī)的軟硬件發(fā)生故障時(shí),利用備份進(jìn)行數(shù)據(jù)庫恢復(fù),以恢復(fù)破壞的數(shù)據(jù)庫文件或控制文件或其他文件。另一種數(shù)據(jù)保護(hù)就是日志,Oracle數(shù)據(jù)庫提供日志,用以記錄數(shù)據(jù)庫中所進(jìn)行的各種操作,包括修改、調(diào)整參數(shù)等,在數(shù)據(jù)庫內(nèi)部建立一個(gè)所有作業(yè)的完整記錄。再一個(gè)就是控制文件的備份,它一般用于存儲(chǔ)數(shù)據(jù)庫物理結(jié)構(gòu)的狀態(tài),控制文件中的某些狀態(tài)信息在實(shí)例恢復(fù)和介質(zhì)恢復(fù)期間用于引導(dǎo)Oracle數(shù)據(jù)庫。日常工作中,數(shù)據(jù)庫的備份是數(shù)據(jù)庫管理員必須不斷要進(jìn)行的一項(xiàng)工作,Oracle數(shù)據(jù)庫的備份主要有以下幾種方式:邏輯備份邏輯備份就是將某個(gè)數(shù)據(jù)庫的記錄讀出并將其寫入到一個(gè)文件中,這是經(jīng)常使用的一種備份方式。export(導(dǎo)出):此命令可以將某個(gè)數(shù)據(jù)文件、某個(gè)用戶的數(shù)據(jù)文件或整個(gè)數(shù)據(jù)庫進(jìn)行備份。import(導(dǎo)入):此命令將export建立的轉(zhuǎn)儲(chǔ)文件讀入數(shù)據(jù)庫系統(tǒng)中,也可按某個(gè)數(shù)據(jù)文件、用戶或整個(gè)數(shù)據(jù)庫進(jìn)行。物理備份物理備份也是數(shù)據(jù)庫管理員經(jīng)常使用的一種備份方式。它可以對(duì)Oracle數(shù)據(jù)庫的所有內(nèi)容進(jìn)行拷貝,方式可以是多種,有脫機(jī)備份和聯(lián)機(jī)備份,它們各有所長(zhǎng),在實(shí)際中應(yīng)根據(jù)具體情況和所處狀態(tài)進(jìn)行選擇。?脫機(jī)備份

其操作是在Oracle數(shù)據(jù)庫正常關(guān)閉后,對(duì)Oracle數(shù)據(jù)庫進(jìn)行備份,備份的內(nèi)容包括:所有用戶的數(shù)據(jù)庫文件和表;所有控制文件;所有的日志文件;數(shù)據(jù)庫初始化文件等??刹扇〔煌膫浞莘绞剑纾豪么艓мD(zhuǎn)儲(chǔ)命令(tar)將所有文件轉(zhuǎn)儲(chǔ)到磁帶上,或?qū)⑺形募瓨訌?fù)制(copy,rcp)到另一個(gè)備份磁盤中或另一個(gè)主機(jī)的磁盤中。?聯(lián)機(jī)備份這種備份方式也是切實(shí)有效的,它可以將聯(lián)機(jī)日志轉(zhuǎn)儲(chǔ)歸擋,在Oracle數(shù)據(jù)庫內(nèi)部建立一個(gè)所有進(jìn)程和作業(yè)的詳細(xì)準(zhǔn)確的完全記錄。物理備份的另一個(gè)好處是可將Oracle數(shù)據(jù)庫管理系統(tǒng)完整轉(zhuǎn)儲(chǔ),一旦發(fā)生故障,可以方便及時(shí)地恢復(fù),以減少數(shù)據(jù)庫管理員重新安裝Oracle帶來的麻煩。有了上述幾種備份方法,即使計(jì)算機(jī)發(fā)生故障,如介質(zhì)損壞、軟件系統(tǒng)異常等情況時(shí),也不必驚慌失措,可以通過備份進(jìn)行不同程度的恢復(fù),使Oracle數(shù)據(jù)庫系統(tǒng)盡快恢復(fù)到正常狀態(tài)。幾種數(shù)據(jù)庫損壞情況的恢復(fù)方式有:數(shù)據(jù)文件損壞這種情況可以用最近所做的數(shù)據(jù)庫文件備份進(jìn)行恢復(fù),即將備份中的對(duì)應(yīng)文件恢復(fù)到原來位置,重新加載數(shù)據(jù)庫??刂莆募p壞若數(shù)據(jù)庫系統(tǒng)中的控制文件損壞,則數(shù)據(jù)庫系統(tǒng)將不能正常運(yùn)行,那么,只須將數(shù)據(jù)庫系統(tǒng)關(guān)閉,然后從備份中將相應(yīng)的控制文件恢復(fù)到原位

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論