數(shù)據(jù)庫(kù)系統(tǒng)安全策略

　　數(shù)據(jù)庫(kù)系統(tǒng)安全策略

　　摘 要 數(shù)據(jù)庫(kù)管理系統(tǒng)是一個(gè)非常復(fù)雜的系統(tǒng)，檢測(cè)和評(píng)估數(shù)據(jù)庫(kù)的安全性，涉及到了很多的參數(shù)和設(shè)置。

　　Oracle數(shù)據(jù)庫(kù)是以高級(jí)結(jié)構(gòu)化查詢語言(SQL)為基礎(chǔ)的大型關(guān)系數(shù)據(jù)庫(kù)，是使用方便管理的語言操縱大量有規(guī)律的數(shù)據(jù)的集合。

　　是目前應(yīng)用最廣泛的客戶/服務(wù)器(Client/Sever)體系結(jié)構(gòu)的數(shù)據(jù)庫(kù)之一。

　　在數(shù)據(jù)庫(kù)中包含了大量的、復(fù)雜的數(shù)據(jù)，所以oracle數(shù)據(jù)庫(kù)的安全管理工作就需要更加的嚴(yán)格。

　　關(guān)鍵詞 oracle;數(shù)據(jù)庫(kù);安全管理

　　數(shù)據(jù)庫(kù)在生活中應(yīng)用的非常廣泛，越來越多各行各業(yè)的信息都是通過數(shù)據(jù)進(jìn)行傳輸?shù)摹?/p>

　　IT行業(yè)中同樣也不能離開數(shù)據(jù)庫(kù)，例如軟件開發(fā)和很多專門做數(shù)據(jù)庫(kù)開發(fā)的公司。

　　數(shù)據(jù)庫(kù)按照應(yīng)用的規(guī)模分為大、中、小三種。

　　我們最常用的就是中型數(shù)據(jù)庫(kù)，例如SQL Sever數(shù)據(jù)庫(kù)，這種數(shù)據(jù)庫(kù)只能對(duì)數(shù)據(jù)量不是非常大的數(shù)據(jù)進(jìn)行操作和管理。

　　但是要想操作存儲(chǔ)量非常大的數(shù)據(jù)，中型數(shù)據(jù)庫(kù)就已經(jīng)實(shí)現(xiàn)非常完美的管理了，這時(shí)我們就需要選擇大型數(shù)據(jù)庫(kù)。

　　Oracle數(shù)據(jù)庫(kù)是一種大型數(shù)據(jù)庫(kù)，可以管理存儲(chǔ)大量的數(shù)據(jù)。

　　在一些大型的公司、企業(yè)、圖書館，操作和管理數(shù)據(jù)庫(kù)是非常重要的，所以通常要選用這樣的大型數(shù)據(jù)庫(kù)來操作。

　　無論什么數(shù)據(jù)庫(kù)，對(duì)數(shù)據(jù)的管理是最重要的，數(shù)據(jù)庫(kù)正常有效運(yùn)行的基礎(chǔ)是數(shù)據(jù)的安全。

　　Oracle這樣的大型數(shù)據(jù)庫(kù)涉及到了太多的數(shù)據(jù)，對(duì)數(shù)據(jù)的管理就需要更加的嚴(yán)格，必須保證數(shù)據(jù)的安全性。

　　稍有疏忽就可能會(huì)造成不可估量的損失。

　　通常意義上來講，數(shù)據(jù)庫(kù)物理部分的完整性、數(shù)據(jù)庫(kù)邏輯意義上的完整性、數(shù)據(jù)庫(kù)中所有數(shù)據(jù)的安全性、對(duì)于數(shù)據(jù)庫(kù)訪問的控制、用戶身份及權(quán)限的認(rèn)證等這些部分共同組成了數(shù)據(jù)庫(kù)安全部分。

　　我們是這樣來定義數(shù)據(jù)庫(kù)安全的：保證數(shù)據(jù)庫(kù)中所存儲(chǔ)的數(shù)據(jù)信息的保密性、完整性、一致性、可用性、和抗否認(rèn)性。

　　在這其中，數(shù)據(jù)信息的保密性指的是數(shù)據(jù)庫(kù)中存入的數(shù)據(jù)不會(huì)被泄漏或者非法獲取;完整性是指其中的數(shù)據(jù)不會(huì)被損毀或者刪除;一致性是要完全確保其中的數(shù)據(jù)是完整的，可以通過用戶自定義的完整性要求;可用性則是要確保數(shù)據(jù)庫(kù)中存儲(chǔ)的各種數(shù)據(jù)不會(huì)因?yàn)槠渌�原因�(qū)е乱驯徽J(rèn)可的用戶不可用;抗否認(rèn)性的意義在于能夠記錄用戶的對(duì)于數(shù)據(jù)庫(kù)的所有操作，包括訪問修改等，而這些操作的記錄用戶是不能否認(rèn)的，可以方便管理員做后期分析。

　　在我們現(xiàn)代的生活中，數(shù)據(jù)庫(kù)面臨的主要安全威脅來自兩個(gè)大方面，軟件和硬件方面。

　　系統(tǒng)的意外崩潰，磁盤的物理損壞網(wǎng)絡(luò)中充斥的各種計(jì)算機(jī)病毒都可能造成系統(tǒng)故障、數(shù)據(jù)的破壞;用戶的誤操作，可能也會(huì)造成數(shù)據(jù)庫(kù)產(chǎn)生錯(cuò)誤;非授權(quán)用戶的非法訪問及操作數(shù)據(jù)庫(kù)，非法盜取，篡改數(shù)據(jù)庫(kù)中的數(shù)據(jù)，這樣就會(huì)導(dǎo)致數(shù)據(jù)的真實(shí)性無法保證。

　　對(duì)于一些重要的單位，或者存儲(chǔ)了各種重要信息的部門，則會(huì)面對(duì)更多的威脅，需要事先設(shè)計(jì)好更加完善的安全策略才能夠保證數(shù)據(jù)的安全。

　　對(duì)于oracle數(shù)據(jù)庫(kù)的安全策略我們分4個(gè)方面來說：

　　第一，系統(tǒng)安全策略：包括了數(shù)據(jù)庫(kù)用戶管理、數(shù)據(jù)庫(kù)操作規(guī)范、用戶認(rèn)證、操作系統(tǒng)安全4個(gè)部分。

　　1)數(shù)據(jù)庫(kù)用戶管理。

　　數(shù)據(jù)庫(kù)用戶對(duì)信息訪問的最直接途徑就是通過用戶訪問。

　　因此需要對(duì)用戶進(jìn)行嚴(yán)格的管理，只有真正可信的人員才擁有管理數(shù)據(jù)庫(kù)用戶的權(quán)限;

　　2)數(shù)據(jù)庫(kù)需要有操作規(guī)范。

　　數(shù)據(jù)庫(kù)中數(shù)據(jù)才是核心，不能有任何的破壞，數(shù)據(jù)庫(kù)管理員是唯一能直接訪問數(shù)據(jù)庫(kù)的人員，管理員的操作是非常重要的，因此需要對(duì)數(shù)據(jù)庫(kù)維護(hù)人員培訓(xùn)，樹立嚴(yán)謹(jǐn)?shù)墓ぷ鲬B(tài)度，同時(shí)需要規(guī)范操作流程;

　　3)用戶身份的認(rèn)證。

　　Oracle數(shù)據(jù)庫(kù)可以使用主機(jī)操作系統(tǒng)認(rèn)證用戶，也可以使用數(shù)據(jù)庫(kù)的用戶認(rèn)證，從安全角度出發(fā)，initSID.ora文件中的remote_os_authent參數(shù)設(shè)成FALSE，以防止沒有口令的連接。

　　建議將remote_os_roles設(shè)成FALSE，防止欺騙性連接;

　　4)操作系統(tǒng)安全。

　　對(duì)于運(yùn)行任何一種數(shù)據(jù)庫(kù)的操作系統(tǒng)來說，都需要考慮安全問題。

　　數(shù)據(jù)庫(kù)管理員以及系統(tǒng)賬戶的口令都必須符合規(guī)定，不能過于簡(jiǎn)單而且需要定期的更換口令，對(duì)于口令的安全同樣重要。

　　系統(tǒng)管理員在給操作系統(tǒng)做維護(hù)的時(shí)候，需要與數(shù)據(jù)庫(kù)管理員合作，避免。

　　第二，數(shù)據(jù)安全策略。

　　數(shù)據(jù)安全策略決定了可以訪問特定數(shù)據(jù)的用戶組，以及這些用戶的操作權(quán)限。

　　數(shù)據(jù)的安全性取決數(shù)據(jù)的敏感程度，如果數(shù)據(jù)不是那么敏感，則數(shù)據(jù)的安全策略則可以稍微松一些;反之則需要制定特定的安全策略，嚴(yán)格的控制訪問對(duì)象，確保數(shù)據(jù)的安全。

　　第三，用戶安全策略。

　　用戶安全策略是由一般用戶安全、最終用戶安全、管理員安全、應(yīng)用程序及開發(fā)人員安全、應(yīng)用程序管理員安全5個(gè)部分組成。

　　1)一般用戶安全。

　　如果對(duì)于用戶的認(rèn)證由數(shù)據(jù)庫(kù)進(jìn)行管理，則安全管理員就應(yīng)該制定口令安全策略來維護(hù)數(shù)據(jù)庫(kù)訪問的安全性。

　　可以配置oracle使用加密口令來進(jìn)行客戶機(jī)/服務(wù)器連接;

　　2)最終用戶安全。

　　安全管理員必須為最終用戶安全制定策略。

　　如果使用的是大型數(shù)據(jù)庫(kù)同時(shí)還有許多用戶，這是就需要安全管理員對(duì)用戶組進(jìn)行分類，為每個(gè)用戶組創(chuàng)建用戶角色，并且對(duì)每個(gè)角色授予相應(yīng)的權(quán)限;

　　3)管理員安全。

　　安全管理員應(yīng)當(dāng)擁有闡述管理員安全的策略。

　　在數(shù)據(jù)庫(kù)創(chuàng)建后，應(yīng)對(duì)SYS和SYSTEM用戶名更改口令，以防止對(duì)數(shù)據(jù)庫(kù)的未認(rèn)證訪問，且只有數(shù)據(jù)庫(kù)管理員才可用;

　　4)應(yīng)用程序開發(fā)人員安全。

　　安全管理員必須為使用數(shù)據(jù)庫(kù)的應(yīng)用程序開發(fā)人員制定一套特殊的安全策略。

　　安全管理員可以把創(chuàng)建必要對(duì)象的權(quán)限授予應(yīng)用程序開發(fā)人員。

　　反之，創(chuàng)建對(duì)象的權(quán)限只能授予數(shù)據(jù)庫(kù)管理員，他從開發(fā)人員那里接收對(duì)象創(chuàng)建請(qǐng)求;

　　5)應(yīng)用程序管理員安全。

　　在有許多數(shù)據(jù)庫(kù)應(yīng)用程序的大型數(shù)據(jù)庫(kù)系統(tǒng)中，可以設(shè)立應(yīng)用程序管理員

　　第四，口令管理策略。

　　口令管理包括賬戶鎖定、口令老化及到期、口令歷史記錄、口令復(fù)雜性校驗(yàn)。

　　1)帳戶鎖定。

　　當(dāng)某一特定用戶超過了失敗登錄嘗試的指定次數(shù)，服務(wù)器會(huì)自動(dòng)鎖定這個(gè)用戶帳戶;

　　2)口令老化及到期。

　　DBA使用CREATE PROFILE語句指定口令的最大生存期，當(dāng)?shù)竭_(dá)了指定的時(shí)間長(zhǎng)度則口令到期，用戶或DBA必須變更口令;

　　3)口令歷史記錄。

　　DBA使用CREATE PROFILE語句指定時(shí)間間隔，在這一間隔內(nèi)用戶不能重用口令;

　　4)口令復(fù)雜性校驗(yàn)。

　　通過使用PL/SQL腳本utlpwdmg.sql(它設(shè)置缺省的概要文件參數(shù))，可以指定口令復(fù)雜性校驗(yàn)例行程序。

　　參考文獻(xiàn)

　　[1]陳越，等.數(shù)據(jù)庫(kù)安全[M].北京：國(guó)防工業(yè)出版社，2011.

　　[2]馮登國(guó)，趙險(xiǎn)峰.信息安全技術(shù)概論[M].北京：電子工業(yè)出版社，2009.

【數(shù)據(jù)庫(kù)系統(tǒng)安全策略】相關(guān)文章：

檔案信息安全策略研究論文10-11

云計(jì)算下的網(wǎng)絡(luò)信息安全策略研究論文10-08

淺析遠(yuǎn)程網(wǎng)絡(luò)信息安全策略論文10-09

計(jì)算機(jī)網(wǎng)絡(luò)安全策略淺議10-26

農(nóng)產(chǎn)品電子商務(wù)安全策略研究論文10-09

氣象信息網(wǎng)絡(luò)安全策略與技術(shù)論文10-08

航空氣象數(shù)據(jù)庫(kù)系統(tǒng)通信分系統(tǒng)設(shè)計(jì)解析10-26

學(xué)校計(jì)算機(jī)網(wǎng)絡(luò)安全策略論文10-09

網(wǎng)絡(luò)環(huán)境下電子商務(wù)安全策略的研究經(jīng)濟(jì)管理論文10-12

地級(jí)市供電企業(yè)信息網(wǎng)絡(luò)安全策略論文10-08