數據庫在企業管理系統中的安全策略

◆謝云升 張智毅 施翔瀚

?

數據庫在企業管理系統中的安全策略

◆謝云升 張智毅 施翔瀚

(廣東石油化工學院 廣東 525000)

本文主要以ORACLE數據庫為例，對企業管理系統當中數據庫的安全策略進行了全面探究，并且細致地對借助用戶控制、角色管控、審計技術、并發控制以及數據庫恢復及備份等技術手段完成數據庫安全規劃工作進行了論述。

數據庫；企業；管理系統；安全策略

0 引言

當前，伴隨著企業信息化的演進，管理系統在企業當中的運用更加普遍。眾所周知，系統的安全管理是每個企業平時運營的關鍵一項內容，為避免外部對企業內部系統數據的非法訪問，保障系統數據不被破壞、篡改，系統數據發生意外后可迅速恢復，其必須更加重視此項工作。本文運用用戶及角色管控、視圖、數據庫備份和恢復等多項技術手段對數據庫的安全管理及其在企業管理系統中的安全策略規劃展開了詳細論述。

1 用戶及角色管控

在各個企業的信息管理系統當中，許許多多運營及管理數據均被存儲在數據庫里，要想有效保障這些重要數據的安全，就應當保證數據庫操作系統的安全性，因為此系統是禁止任何未經授權的用戶對數據進行查看或修改等一切操作的。所以，用戶在進入數據庫進行操作前，系統首先會借助用戶標識以及獨特鑒定的方法讓用戶標明自己的身份，再由系統進行查驗，待通過鑒定之后方可進入系統進行操作，現在的用戶標識通常由用戶名稱及用戶密碼兩部分組成。

在企業的管理信息系統里，用戶的管理及劃分形式選取的是依據部門及職責進行相關操作，以各職能部門為單位設立用戶組，在多個部門中按照履職的不同創建用戶，各個用戶都具有自身的密鑰。我們以企業財務部為例進行說明，首先把財務部分成一個用戶組，接著再按照此部門中人員的不同分工分別建立賬目管理用戶、成本控制用戶、銷售管控用戶、固定資產控制用戶以及財務經理用戶等等。

在oracle數據庫中，我們可以借助CREATE USER語句在庫中重新設立新用戶。在用戶的創建環節中指定的信息包括用戶名、密碼、概要、授予用戶使用權限、鎖定狀態等等。此外，在開設新用戶的時候，默認分配給用戶的概要文件為DEFAULT文件，其可借助CREATE PROFILE語句創建新的概要文件，然后借助概要文件當中的一系列參數設計允許用戶連接失敗的次數，確定用戶被鎖定的時長及密鑰的最長使用時間等。oracle數據庫目前僅支持兩類權限：系統權限以及對象權限。在權限管理方面選取基于角色的權限訪問管理操作，大體思路為：把訪問權限同角色結合，角色和用戶結合，進而實現有效的邏輯分離，令訪問安全管理更具柔性。借助對企業各部門各用戶權限的剖析，同時按照企業安全策略及操作規范可進一步細化數據庫角色，緊接著按需求將這部分角色進行用戶授權。比如說，企業可以依據職責劃分出系統管理員、部門主管、業務人員等多種角色，各角色均擁有自身的權限。系統管理者不但是數據庫管理者，還是應用系統管理員，肩負著整個系統的維護工作。除此之外，他們也負責為部門主管以及業務員分配其權限。部門主管僅僅擁有對有關部門數據信息進行查看的權利，但是并沒有修改的權利。此外，業務員擁有對數據庫系統中本人負責的日常事務進行操作的權限。在某個職務的權限出現變動時，僅需要修改這一職務所對應角色的權限即可，不用修改每個用戶的權限。

除此之外，要想更有效地保障數據安全，把授權用戶所用角色隱匿于應用程序當中的，唯獨應用程序知道這部分角色的用戶名和密鑰，在用戶使用自身標識與密鑰注冊卻未經授權之前，是不具有操作數據庫的一切權限的。當且僅當其角色被成功激活之后，并賦予其相對應的一系列權限，方可對數據庫進行操作和處理。盡管程序開發者們清楚地知曉角色名與密鑰，然而由于不知道用戶標識及密碼，因此不能登錄到oracle數據庫中。

2 視圖的使用

所謂“視圖”，即展示給一個或眾多用戶的數據庫子集，借助視圖的構建能夠只展示出用戶所需訪問的相關數據，對部分有可能涉及到重大機密的、私密的數據進行自動保密。與此同時，借助對用戶訪問視圖權限的授予操作，能夠有效避免用戶訪問此視圖所賴以構建的基表。比如說，在企業的運行過程中，用戶往往需要了解企業產品的材質數據，對另外一些數據（材料價格和員工工作沒有聯系的信息等）應進行屏蔽處理，這種情況下便可以借助視圖的構建獲得實現。盡管通過視圖能夠有效限制用戶對數據的訪問，提升數據的安全系數，然而其并非最有效的安全策略，因未經授權的用戶也可能會了解或訪問特定視圖。

3 審計技術

我們都知道，審計即為對選定用戶動作進行監控與記錄，利用oracle數據庫的審計特性，我們可以監測并搜集整理數據庫中的一切活動內容，并對用戶的操作行為實施記錄。數據庫審計涵蓋了對表和視圖的審計以及對系統的設計兩方面內容。現在，oracle支持三類審計，分別為語句審計、特權設計以及對象審計。

當前，oracle數據庫所允許的審計選擇主要限于下列幾個方面：第一，審計語句的成功執行、失敗執行或者二者皆選；第二，對所有用戶或者部分特定用戶的行為進行審計；第三，對每個用戶會話審計語句執行一次或對語句每次執行一次審計。在企業管理系統當中，我們不妨借助對象審計以及觸發器對系統里幾個關鍵的表實行控制。但是，因為審計工作會對系統的運行有效性產生一定的影響，因此通常是在出現可疑操作的時候才展開審計的。

4 數據庫的恢復和備份

在企業的信息管理系統當中，要想有效確保信息的安全性和穩定性，避免因為計算機系統故障（包括硬件故障、軟件故障、網絡故障以及系統故障等）而導致的數據庫中所有或者部分數據丟失，搞好數據庫安全防護是一項十分關鍵的任務。數據庫的防護機制之一為定期或者不定期地進行備份操作，這樣做的目的是一旦發生系統崩潰、用戶不正確、沖突或者另外一些災難的情況下，可以迅速使數據庫得以復原。

當前，oracle數據庫備份主要包含物理備份以及邏輯備份兩部分。具體而言，物理備份又可以被分成脫機備份與聯機備份兩類，其中，脫機備份僅僅可以在數據庫已經正常關閉之后進行；而聯機備份則是用于數據庫運行期間所作的備份，用戶依舊能夠訪問數據庫。對于數據庫必須運行在7*24模式下的作業，僅可借助聯機備份的方式。邏輯備份則主要是一個數據庫記錄集、把記錄集錄入文件中。借助EXPORT以及ORACLE實用程序能夠實現邏輯備份操作，同時此兩種程序亦可以用來完成對數據庫的恢復操作。如果依據備份工具進行分類，則可分成EXP/IMP備份、RMAN或者第三方工具等。不管選取何種形式的備份或者恢復手段，均需要對數據庫的數據文件、日志文件以及控制文件的操作系統進行備份操作。

在企業管理系統當中，相關人員可以按照各個行業的特點、數據庫大小以及數據庫中數據的修改頻率來規劃數據庫安全備份策略。比如說，對備份內容、備份周期等各項內容的確準；選取增量備份、全面備份或者脫機備份的手段；確定數據量以及最長保留時長等等。

5 結束語

綜上所述，在企業管理系統的建設過程中，對系統中各項數據的安全管控與規劃是不可忽視的關鍵性工作之一。筆者依照oracle數據庫的特點，并根據開發企業管理信息系統的經驗，從數據安全性控制角度出發，提出了一些企業管理系統中數據庫的安全策略，主要包括用戶及角色管理、視圖、審計技術、并發控制以及數據庫的備份及恢復等技術方略，旨在保障企業管理系統中數據的安全性、完整性以及準確性。

[1]李曉黎，劉宗堯.Oracle10g數據庫管理與應用系統開發[M].北京:人民郵電出版社，2017.

[2]浦云明，林穎賢.Oracle數據庫實用教程[M].北京:機械工業出版社，2017.

[3]鄭丹青.企業管理信息系統中數據安全策略規劃[J].吉林師范大學學報(自然科學版)，2014.

[4]Jeffrey A.Hoffer Mary B.Prescott Fred R.McFadden著.施伯樂等譯.現代數據庫管理[M].北京:機械工業出版社，2014.