論數據庫安全策略與實現方法

姚衛國

[摘 要]本文首先闡述了數據庫安全的重要性，然后以目前應用廣泛的oracle數據庫為例，先詳細地介紹了數據庫安全的主要內容，并針對數據庫安全問題提出且制定了完整的數據庫監控方案，再系統地分析了啟用備份對保證數據安全的方法，最后進行了總結。

[關鍵詞]數據安全；安全性策略；備份

隨著計算機技術的飛速發展，數據庫的廣泛應用已深入各個領域，隨之而來的數據數據丟失、數據庫被非法用戶的侵入、敏感數據的防竊取和防篡改等數據庫庫安全問題，越來越引起人們的重視，如何有效的保護數據庫的安全，實現數據的保密性，完整性和有效性，已成為當今的一個熱門話題。

要保護數據庫安全，關鍵在于加密，我們不僅要給發往互聯網的數據庫中的數據加密，還要為從硬盤移到后端系統的過程中的數據加密，并且禁止用戶在沒有進行加密的情況下實施數據備份。數據庫安全性很大程度上依賴于數據庫管理系統。目前市場上流行的是關系式數據庫管理系統，其安全性功能很弱，這就導致數據庫安全性存在一定的威脅。下面以oracle數據庫為例，討論數據庫安全的幾個方面。

一、數據庫安全的主要內容

（一）用戶安全性

1.用戶安全性定義及分類。在操作系統下建立用戶組是保證數據庫安全性的一種有效方法，oracle程序為了安全性一般分為兩類：一類是所有的用戶都可執行，另一類是DBA可執行。

2.用戶安全性策略的分類。第一，一般用戶的安全性主要包括密碼的安全性和權限管理。密碼的安全性，如果用戶是通過數據庫進行用戶身份的確認，那么建議使用密碼加密的方式與數據庫進行連接；權限管理，對于那些用戶很多，應用程序和數據對象很豐富的數據庫，應充分利用“角色”這個機制所帶的方便性對權限進行有效管理，對于復雜的系統環境，“角色”這個機制所帶的方便性對權限進行有效的管理。第二，終端用戶的安全性，必須針對終端用戶定義安全性策略，例如，對于一個有很多用戶的大規模數據庫，安全性管理者可以決定用戶組分類，把所需的權限和應用程序角色授予每一個用戶角色，以及為用戶分配相應的用戶角色，當處理特殊的應用要求時，安全性管理者也必須明確地一些特定的權限要求授予給用戶，您可以使用“角色”對終端用戶進行權限管理。

（二）數據庫管理者安全性策略。首先，保護作為sys和syst em 用戶的連接當數據庫創建好以后，立刻更改有管理權限的sys和syst em用戶的密碼，防止非法用戶訪問數據庫，當作為sys 和syst em用戶連入數據庫后，用戶有強大的權限用各種方式對數據庫進行改動。其次，保護管理者與數據庫的連接應該只有數據庫管理者能管理權限連入數據庫，當以sysdba或st artup ， shut down ， 和 recover 或數據庫對象例如create ， drop ， 和 delete 等）進行沒有任何限制的操作。再次，使用角色對管理者權限進行管理。

（三）應用程序開發者的安全性策略。應用程序開發者和他們的權限數據庫應用程序開發者是唯一一類需要特殊權限組完成自己工作的數據庫用戶，為了限制開發者對數據庫的操作，只應該把一些特定的系統權限授予開發者。對于應用程序開發者的環境，程序開發者不應與終端用戶競爭數據庫資源，用程序開發者不能損害數據庫其他應用產品。應用程序開發者的角色和權限方面，數據庫安全性管理者能創建角色來管理典型的應用程序開發者的權限要求，A create 系統權限常常授予給應用程序開發者，以到于他們能創建它的數據對象，B 數據對象角色幾乎不會授予給應用程序開發者使用的角色。

二、制定完整的數據庫監控方案，維護數據庫安全

一個Oracle數據庫管理員應該做的Oracle 數據庫系統監控方案是這樣的，一是每天對Oracle數據庫的運行狀態、日志文件、備份情況、數據庫的空間使用情況、系統資源的使用情況進行檢查，發現并解決問題。二是每周對數據庫對象的空間擴展情況、數據的增長情況進行監控，對數據庫做健康檢查，對數據庫對象的狀態做檢查。三是每月對表和索引等進行Anqalyze ， 檢查表，空間碎片，尋找數據庫性能調整的機會，進行數據庫性能調整，提出下一步空間管理計劃，對oracle 數據庫狀態進行一次全面檢查。

三、啟用備份保證數據安全

由于計算機系統的故障（包括機器故障、介質故障、誤操作等），數據庫隨時可能遭到破壞。因此，做好數據庫的備份非常重要。

數據庫的數據保護主要是數據庫的備份，一種是利用備份進行數據庫恢復，另一種數據保護就是日志，Oracle數據庫提供日志，用以記錄數據庫中所進行的各種操作，在數據庫內部建立一個所有作業的完整記錄，再一個就是控制文件的備份，它一般用于存儲數據庫物理結構的狀態，控制文件中的某些控制信息在實例恢復和介質恢復期間用于引導Oracle數據庫。Oracle數據庫的備份主要有以下幾種方式：

（一）邏輯備份。邏輯備份就是將某個數據庫的記錄讀出并將其寫入到一個文件中，這事經常使用的一種備份方式。

（二）物理備份。物理備份也是數據庫管理員經常使用的一種備份方式，它可以對oracle 數據庫的所有內容進行拷貝，其另一個好處是可將oracle數據庫管理系統完整轉儲，一旦發生故障，可以方便及時地恢復，以減少數據庫管理員重新安裝oracle帶來的麻煩。物理備份主要包括脫機備份和聯機備份。

采用上述幾種備份方法，即使計算機發生故障，如介質損壞，軟件系統異常等情況是，也可以通過備份進行不同程度的恢復，使orcle數據庫系統盡快恢復到正常狀態，幾種數據庫損害情況的恢復方式有：數據文件損壞，這種情況可以用最近所做的數據庫文件備份進行恢復，即將備份中的對應文件的對應文件恢復到原來的位置，重新加載數據庫。控制文件損壞，數據庫系統將不能正常運行，須將數據庫系統關閉，再從備份中將相應的控制文件恢復到原位置，重新啟動數據庫系統。整個文件系統損壞，這將導致整個Oracle數據庫系統崩潰，這種情況這能將磁盤或磁盤陣列重新初始化，去掉失效或不可靠的壞塊，重新創建文件系統，利用備份將數據庫系統完整地恢復，啟動數據庫系統。

四、結語

數據庫技術的不斷發展，對數據庫的攻擊方式也多種多樣，我們應該在保證自身電腦系統安全性的基礎上采用多種方法保證數據庫系統的安全。

參考文獻：

[1]肖英，信息保障極其評價指標應用基礎研究【D】。武漢大學，2010（04）.

[2]劉娜，淺淡數據庫安全【J】。長沙民政職業技術學院學報，2009，（04）.

[3]楊勇，數據庫服務模型極其加密方法的研究與實現【D】。四川大學，2011.

[4]趙衛利，基于SSL的數據庫安全代理研究與實現【D】。武漢理工大學，2008.