Oracle數據庫安全管理淺析

◆李 翼 孟 莉

（陜西省軍區數據信息室 陜西 710061）

Oracle數據庫安全管理淺析

◆李 翼 孟 莉

（陜西省軍區數據信息室 陜西 710061）

大數據時代，Oracle數據庫得到了更加廣泛的應用，確保其安全可靠是用戶日益關注的問題。本文從介紹Oracle數據庫開始，圍繞其使用中存在的安全風險，剖析了應對方法。

Oracle；數據庫；安全管理

0 引言

作為市場主流的關系型數據庫之一，Oracle數據庫伴隨社會信息化進程的加快，在銀行、金融、電信、制造業等多個行業得到了廣泛應用。作為用戶，在使用Oracle數據庫管理海量數據的同時，也面臨著日益增長的數據安全風險。如何既充分發揮數據庫軟件支撐作用，又有效提升數據安全性，亟需用戶對Oracle數據庫的安全管理機制進行掌握，采取合理的安全管理策略，有效降低數據運維風險。本文首先對Oracle數據庫進行了簡要介紹，接著對當前Oracle數據庫使用存在的常見安全風險進行了梳理，最后就如何降低上述風險進行了剖析。

1 Oracle數據庫簡要介紹

1.1 Oracle數據庫的應用現狀

作為美國甲骨文公司開發的軟件產品，Oracle數據庫誕生于上世紀70年代末。1989年，Oracle公司進入中國市場，其數據庫由于出色穩定的性能在國內諸多行業得到了廣泛應用。從90年代初取得巨大成功的Oracle 7開始，Oracle數據庫先后經歷了8i，9i，10g，11g，12c六個主要版本的迭代升級，其國內企業級用戶根據2016年相關統計幾乎涵蓋了金融、電子、通信、能源、政府等涉及信息化的所有行業[1]。在2015年中國數據庫市場，

Oracle份額達到了56%[2]。

1.2 Oracle數據庫的主要特點

Oracle數據庫得到市場廣泛認可，主要因其具有幾大特點：

（1）高性能。對實時大并發事務處理有很好的支持性，配合相應硬件，能夠高效應對銀行、電信、電子商務等并發用戶在數十萬級以上，數據存儲需求在PB級以上的應用場景。

（2）高可用性。應用RMAN、閃回、RAC、Data Guard等技術，構建從單實例到多實例、單庫到集群的高可用性解決方案，能夠有效減少數據庫計劃內和計劃外的停機。

（3）高安全。通過應用Database Vault，Advanced Security等安全組件，結合傳統的用戶權限管理和審計功能防止未授權的數據庫活動，減少數據庫內外安全風險。

（4）高可管理。提供可視化的Enterprise Manager管理工具，結合自有的SQL*Plus以及PL/SQL Developer，Navicat等第三方工具，可以有效的對數據庫進性能監視、診斷優化，并可根據需求進行相關開發。

2 Oracle數據庫使用存在的安全風險

2.1 數據庫安全規劃缺乏

Oracle數據庫本身提供了大量安全管理工具，但在具體使用中，還是存在用戶把過多重心放在功能發揮、性能提升環節，在如何應用上述手段確保數據庫安全方面還缺少規劃，數據庫多層次多角度的整體性防護還有不少欠缺。有的將安全管理等同于口令管理，認為只要口令足夠復雜，數據庫安全就有保證；有的對數據庫各類用戶權限認識不清，為使用方便，DBA權限隨意授予；有的不能跳出數據庫本身考慮問題，缺乏對操作系統、防火墻、入侵檢測、數據加密、人員管理等安全手段的整合應用能力。

2.2 審計作用發揮不明顯

審計是數據庫安全管理的重要組成部分，它能夠實時記錄數據庫的活動，通過分析用戶行為，對數據庫的潛在風險進行評估，并對攻擊行為進行阻斷。在使用中，很多用戶對審計作用的重要性還認識不足，有的出于性能考慮不愿開啟審計功能；有的開啟了審計功能，但具體策略的設置缺乏針對性；有的沒有周期性的評估審計信息，不能及時從審計信息中發現安全隱患。

2.3 可用性有待加強

Oracle數據庫提供了多種數據備份及恢復手段，目的就是減少數據丟失風險，提高數據庫的可用性。雖然大多數用戶都主動采用相關技術手段確保具有數據備份及恢復能力，但在作用發揮上還有不如人意的地方。有的還停留在使用Exp/Imp工具的層面上；有的不會使用RMAN、閃回技術；有的制定應用備份策略缺乏針對性；有的對ASM、RAC、Data Guard等技術的作用還存在認識偏差，在應用上存在抵觸情緒。

3 減少數據安全風險的相關對策

3.1 加強用戶及權限管理

良好的用戶及權限管理是降低數據庫內部安全風險的必要措施。對用戶來說，Oracle數據庫常見用戶類型主要有兩類：管理員用戶和普通用戶。管理員用戶主要指SYS、SYSTEM，其中SYS作為超級管理員擁有包括打開、關閉數據庫在內的最高權限；SYSTEM類似于普通管理員，只有在數據庫啟動后進行DBA權限所賦予的管理工作。普通用戶則主要面向數據庫使用者，管理員根據需求對普通用戶進行授權，賦予其具有如建立、更改、刪除數據表類的具體功能。

加強用戶及權限管理，用戶首先要做好分類及規劃。對于管理員用戶，一方面要在數據庫完成部署后就及時更改口令，嚴控口令知曉范圍；另一方面要嚴格身份認證，綜合運用外部驗證、全局驗證手段，建強關鍵用戶的認證可靠性。在權限管理方面，一方面要對Oracle數據庫提供的各類權限作用有清晰理解，不能簡單以DBA權限大而化之；一方面要運用角色管理等手段，以最小權限原則進行權限分配，既確保普通用戶的正常使用，也降低其誤操作帶來的安全風險。

3.2 用好安全審計機制

Oracle數據庫的審計主要包括粗粒度審計、細粒度審計兩大類。前者分為語句級審計、權限級審計、對象級審計三類[3]，后者則根據訪問對象的內容來審計，解決了定位到行或列的問題，其審計更為精確。

在審計使用上，用戶首先要評估需要關注的審計目標，確定哪些是符合粗粒度審計，哪些符合細粒度審計。對于特定SQL語句，可以使用語句級審計；對于CREATE、ALTER等用戶權限，可以使用權限級審計；對于某一特定對象（如表空間，表）的特定操作，則可以使用對象級審計。其次，要根據審計目標，編寫相關SQL語句進行測試，評估審計的可靠性，并進行修改完善。最后，要做好定期評估和改進工作，要掌握從審計日志中發現風險隱患的能力，切實通過審計促進數據庫內部行為管控機制的有效建立。

3.3 優化數據庫的可用性

從某種意義上講，數據是用戶的最大資產。隨著數據量的不斷增長，確保數據不丟失、可恢復，提高數據庫的可用性是數據庫安全管理的核心內容之一。Oracle數據庫為了確保數據安全，從硬件到軟件提供了多種手段，從文件系統的ASM到數據庫內部的閃回技術，從針對實例的RAC到提供數據庫冗余的Data Guard，用戶可以根據需求選擇相應技術手段減少數據庫故障及數據丟失的風險。

在具體應用中，用戶除了使用合理的數據備份策略，例如有效保護控制、歸檔、聯機日志文件，合理安排完全備份、增量備份、差異備份等，還可應用RMAN、閃回技術確保數據庫能有快速從錯誤中恢復。此外，對于關鍵性數據庫，RAC和Data Guard技術的運用是必不可少的，只有可靠的容災備份才能確保數據庫有更為可靠的可用性。

4 結束語

大數據時代，Oracle數據庫使用者所面臨的數據安全風險也日益增長。對于存在的安全問題，準確采取有針對性的應對措施很有必要。當然，在合理運用Oracle數據庫自身機制減少安全風險的同時，管理者也要重視從全局思考問題，綜合運用網絡安全、信息安全方面的多種手段，整體考慮、綜合施策，只有這樣才能更全面地應對風險，減少損失。

[1]科技訊.2016年度中國Oracle數據庫使用現狀分析報告[EB/OL].http://www.kejixun.com/article/170117/275157.shtml.

[2]IT168.2015中國數據庫市場Oracle占有率達56%[EB/OL].http://bigdata.it168.com/a2016/0512/2635/000002 635781.shtml.

[3]姚旭.Oracle數據庫安全管理的分析與策略[J].職業技術,2012.