Oracle數據庫網絡安全訪問機制研究

張翼鵬

摘要：數據庫作為信息決策、辦公自動化等管理系統的重要支撐在近年得到了越來越廣泛的應用。Oracle數據庫具備的適用性好、效率高、吞吐量大等特點使其處在市場主導地位，然而開放的網絡環境也使Oracle數據庫的應用面臨一些安全威脅，因此研究安全訪問機制非常必要而且具有一定的現實價值。

關鍵詞：Oracle數據庫;信息安全;訪問機制

中圖分類號：TP309;TP311.13文獻標識碼：A文章編號：1672-9129（2020）14-0021-01

1Oracle數據庫

Oracle數據庫是一種大型的分布式數據庫[1]，具備可用性強、可擴展性強、數據存儲能力強、開發工具完備等多個優點，適用于多類主流的操作系統，是全球信息化產業較為重視的軟件之一。銀行保險、工程建設、醫療衛生、公共事業等多個領域的有關企業使用Oracle數據庫作為業務支持。Oracle數據庫目前使用較多的有Oracle 9i，Oracle 10g，Oracle 11g，Oracle 12c，Oracle 18c等版本，其中，i代表internet，g代表該版本數據庫使用網格計算方式，c代表云計算，即支持大數據處理。

2Oracle數據庫的安全問題

2.1賬戶安全問題。盡管Oracle數據庫使用多種措施來確保用戶數據的安全性，但在進行Oracle數據庫的安裝時，安裝程序會進行幾十種默認模式的加載[2]，其中就包含一些賬戶信息。但Oracle數據庫并沒有完善對這些默認賬戶的保護機制，使用搜索引擎就能輕易獲取安裝時默認的賬號和密碼。如果這些信息在網上長期公開，可能會使部分用戶的數據遭到破壞、惡意修改等，引發其他問題，造成用戶損失。

2.2系統安全問題。弱算法加密機制使相同的Oracle賬戶即便在不同的機器終端進行登錄，也具有同樣的Hash值，而這些值又被存儲在數據字典中。這就意味著如果黑客獲取了被公開的賬戶及密碼，并利用該賬戶登錄數據庫，則其他賬戶密碼的Hash值也有可能被黑客截取、破解;更糟糕的是，如果此網段還包含另外的Oracle數據庫，那么該Oracle數據庫中的賬戶信息同樣存在被截取、破解的風險;而這會對數據庫本身安全及用戶信息安全造成不可彌補的傷害。

2.3網絡安全問題。大型分布式數據庫本身就是一個計算機網絡系統，用戶訪問Oracle數據庫的行為勢必要借助互聯網工具，因此Oracle數據庫同樣存在病毒感染、黑客入侵等網絡安全隱患。2013年就有研究人員利用零日漏洞成功擊破Oracle 11g的防御，取得控制權限。2017年，大范圍的Oracle數據庫被比特幣病毒攻擊，數據庫被鎖死，用戶登錄數據庫只能看到支付贖金的勒索界面。2020年，由于Oracle數據庫的服務器處于非安全狀態，數十億條透明度極高的跟蹤數據發生泄漏，堪稱最大安全違規事件之一。

3Oracle數據庫安全訪問機制

3.1賬戶安全機制。解決默認賬戶信息可能發生泄漏的問題是加強賬戶安全保護的首要任務。首先要更改在創建Oracle數據庫時用到的DBCA程序，不提供默認的賬戶和密碼，而是以不同形式進行密碼構建，例如動態密碼等形式。其次，在安裝結束后，應增加引導程序提醒用戶更改賬戶密碼，檢測密碼難度，規避簡單密碼可能帶來的風險。最后，Oracle數據庫有必要增加保護機制，當檢測到某一賬戶多次登錄失敗（登錄密碼錯誤）時，應暫時禁止該賬戶登入數據庫的權限并進行安全認證，防止賬戶被冒用。

Oracle數據庫提供三種不同權限，數據庫管理人員通常被授予更大的權限，也由此可能會引發其他問題。例如，授權過的管理員賬戶可能會使系統設置的保護機制失效。因此，針對管理員賬戶也要增加專用的監測機制，避免管理賬戶被盜用造成系統安全風險。

3.2數據安全機制。針對Oracle數據庫系統本身的安全隱患，可以從對數據庫進行加密和備份兩個方面進行加強。數據庫加密可以從內部和外部兩個方向進行，庫內加密通過視圖、擴展索引等技術手段實現內核加密，防止磁盤文件丟失和敏感信息泄露。庫外加密通過部署加密網關、密文等在數據進入存儲系統之前完成加密，理論上庫外加密支持所有數據庫，而且具有更高的安全性。同時，加密過程可以將表單元、屬性單元、記錄單元、數據元素作為加密對象，其中對數據元素進行加密具有更高的安全性。

數據備份主要分為邏輯模式和物理模式，備份內容主要為用戶數據、日志文件等，邏輯備份使用導出命令、導入命令將數據庫內部文件讀出再寫入到其他指定文件中。物理備份有脫機和聯機兩種形式，脫機備份不需要運行數據庫，聯機備份需要在數據庫運行過程中完成。數據備份的主要目的是提高數據庫可靠性，在發生意外情況造成數據損失或毀壞時，可以利用備份數據進行恢復。

3.3網絡安全機制。透明網絡底層（TNS）是管理、配置Oracle數據庫和用戶端連接的工具，主要用于監聽用戶的連接請求[3]。TNS的配置文件包含對服務器端和客戶端的具體配置要求，其中，服務器端包含核心的監聽器，通過監聽器文件可以完成對Oracle數據庫要監聽的地址、端口、通訊協議和數據庫實例的配置。

如果TNS被入侵，攻擊者就可以創建一個同名數據庫，導致用戶申請進行的連接將指向攻擊者創建的新數據庫，造成業務中斷。因此對TNS的維護升級也需要不斷進行，例如，應設置監聽器不接受動態注冊且實例應進行靜態注冊;只允許特定IP地址訪問監聽器;設置安全運輸級別，只允許本機實例或某些特定機器的實例在監聽器上注冊等。

4結論

Oracle數據庫因其分布式處理能力和對大批量數據的存儲、共享等功能而得到了廣泛應用，但隨著Oracle數據庫使用量的增加，一些安全風險也逐漸暴露。本文對Oracle數據庫進行了簡單介紹，指出了Oracle數據庫存在的安全風險，提出了賬戶安全、數據安全和網絡安全機制。

參考文獻：

[1]戈云.科學活動中如何培養幼兒的觀察能力[J].科普童話，2017（44）：118.

[2]宋飛.淺談Oracle數據庫在網絡安全訪問機制的作用[J].電腦迷，2018（02）：47.