精品一级A片一区二区免费视频,a级小视频

主頁 > 知識庫 > Oracle數據安全面面觀

Oracle數據安全面面觀

正在看的ORACLE教程是:Oracle數據安全面面觀。 Oracle數據安全面面觀 作者：づ★sl戰神    隨著計算機的普及以及網絡的發展，數據庫已經不再僅僅是那些程序員所專有的話題。而Oracle數據庫更是憑借其性能卓越，操作方便靈活的特點，在數據庫的市場中已經占據了一席之地。但是同樣隨著網絡技術的不斷進步，數據信息的不斷增加，數據安全已經不再是以前的“老生長談”，也更不是以前書本上那些“可望不可及”的條條框框。
    或許很久以前，大家都覺得Oracle數據庫的安全并不存在隱患，因為Oracle公司在去年11月份開始促銷其數據庫軟件時提出的口號是“只有Oracle9i能夠做到絕對安全”。但是不管它這么說是為了促銷，還是為了擴大知名度，總之伴去年12 月份，英國的安全專家 David Litchfield 發現的9iAS 中存在的程序錯誤導致的緩沖溢出漏洞以及后來，PenTest Limited 和 eEye Digital Security 各自提出了一個小的漏洞，所有使用Oracle公司產品的人都不由地緊張了原本松弛的大腦--這個對于用戶來說，畢竟關系到了自己的“身家性命”。
      下面筆者將帶著大家走進Oracle數據安全的世界。由于筆者水平有限，所以不足之處在所難免，望大家不吝賜教。

（一）Oracle數據庫的一些基本常識

    這里僅僅是為了以后的安全奠定一些基礎，因為我們后面要用到它們。呵呵~！

1.Oracle所包含的組件

    在 Oracle，數據庫是指整個 Oracle RDBMS 環境，它包括以下組件：
   ·Oracle 數據庫進程和緩沖（實例）。
   ·SYSTEM 表空間包含一個集中系統類目，它可以由一個或多個數據文件構成。
   ·其它由數據庫管理員 (DBA)（可選）定義的表空間，每個都由一個或多個數據文件構成。
   ·兩個以上的聯機恢復日志。
   ·歸檔恢復日志（可選）。
   ·其它文件（控制文件、Init.ora、Config.ora 等）。
    每個 Oracle 數據庫都在一個中央系統類目和數據字典上運行，它位于SYSTEM 表空間。

2.關于“日志”

    Oracle數據庫使用幾種結構來保護數據：數據庫后備、日志、回滾段和控制文件。下面我們將大體上了解一下作為主要結構之一的“日志”：
      每一個Oracle數據庫實例都提供日志，記錄數據庫中所作的全部修改。每一個運行的Oracle數據庫實例相應地有一個在線日志，它與Oracle后臺進程LGWR一起工作，立即記錄該實例所作的全部修改。歸檔（離線）日志是可選擇的，一個Oracle數據庫實例一旦在線日志填滿后，可形成在線日志歸檔文件。歸檔的在線日志文件被唯一標識并合并成歸檔日志。
     ·關于在線日志：一個Oracle數據庫的每一實例有一個相關聯的在線日志。一個在線日志由多個在線日志文件組成。在線日志文件（online redo log file）填入日志項（redo entry），日志項記錄的數據用于重構對數據庫所作的全部修改。
     ·關于歸檔日志：Oracle要將填滿的在線日志文件組歸檔時，則要建立歸檔日志（archived redo log）。其對數據庫備份和恢復有下列用處：
   <1>數據庫后備以及在線和歸檔日志文件，在操作系統和磁盤故障中可保證全部提交的事物可被恢復。
   <2>在數據庫打開和正常系統使用下，如果歸檔日志是永久保存，在線后備可以進行和使用。
      數據庫可運行在兩種不同方式下：NOARCHIVELOG方式或ARCHIVELOG 方式。數據庫在NOARCHIVELOG方式下使用時，不能進行在線日志的歸檔。如果數據庫在ARCHIVELOG方式下運行，可實施在線日志的歸檔。

3.物理和邏輯存儲結構

    Oracle RDBMS是由表空間組成的，而表空間又是由數據文件組成的。表空間數據文件被格式化為內部的塊單位。塊的大小，是由DBA在Oracle第一次創建的時候設置的，可以在512到8192個字節的范圍內變動。當一個對象在Oracle表空間中創建的時候，用戶用叫做長度的單位（初始長度（(initial extent)、下一個長度（next extent）、最小長度（min extents）、以及最大長度（max extents））來標明該對象的空間大小。一個Oracle長度的大小可以變化，但是要包含一個由至少五個連續的塊構成的鏈。

（二）Oracle數據安全的維護

    記得某位哲學家說過：“事物的變化離不開內因和外因。”那么對于Oracle數據安全這個話題而言，也勢必分為“內”和“外”兩個部分。那么好，我們就先從“內”開始說起：

1.從Oracle系統本身說起

    我們先拋開令人聞風色變的“hacker”和其他一些外部的原因，先想一下我們的數據庫。什么硬盤損壞，什么軟件受損，什么操作事物……一系列由于我們的“疏忽”而造成的系統問題就完全可以讓我們辛苦建立的數據庫中的數據一去不復返。那么，我們就先從自己身上找找原因吧。
    【一】解決系統本身問題的方法--數據庫的備份及恢復
   ·數據庫的備份：
   關于Oracle數據庫的備份，標準地有三中辦法：導出/導入（Export/Import）、冷備份、熱備份。導出備份是一種邏輯備份，冷備份和熱備份是物理備份。
   <1>導出/導入（Export/Import）
    利用Export可將數據從數據庫中提取出來，利用Import則可將提取出來的數據送回Oracle數據庫中去。
   a.簡單導出數據（Export）和導入數據（Import）
     Oracle支持三種類型的輸出：
    （1）表方式（T方式），將指定表的數據導出。
    （2）用戶方式（U方式），將指定用戶的所有對象及數據導出。
    （3）全庫方式（Full方式），將數據庫中的所有對象導出。
    數據導出（Import）的過程是數據導入（Export）的逆過程，它們的數據流向不同。
   b.增量導出/導入
    增量導出是一種常用的數據備份方法，它只能對整個數據庫來實施，并且必須作為SYSTEM來導

[1] [2] [3] [4] 下一頁

正在看的ORACLE教程是:Oracle數據安全面面觀。出。在進行此種導出時，系統不要求回答任何問題。導出文件名缺省為export.dmp，如果不希望自己的輸出文件定名為export.dmp，必須在命令行中指出要用的文件名。
     增量導出包括三個類型：
     （1）“完全”增量導出（Complete）
    即備份整個數據庫，比如：
        ＄exp system/manager inctype=complete file=990702.dmp
     （2）“增量型”增量導出
        備份上一次備份后改變的數據。比如：
        ＄exp system/manager inctype=incremental file=990702.dmp
     （3）“累計型”增量導出（Cumulative）
        累計型導出方式只是導出自上次“完全” 導出之后數據庫中變化了的信息。比如：
        ＄exp system/manager inctype=cumulative file=990702.dmp
     數據庫管理員可以排定一個備份日程表，用數據導出的三個不同方式合理高效地完成。比如數據庫的備份任務可作如下安排：
       ·星期一：完全導出（A）
       ·星期二：增量導出（B）
       ·星期三：增量導出（C）
       ·星期四：增量導出（D）
       ·星期五：累計導出（E）
       ·星期六：增量導出（F）
       ·星期日：增量導出（G）
   如果在星期日，數據庫遭到意外破壞，數據庫管理員可按以下步驟來恢復數據庫：
    第一步：用命令CREATE DATABASE重新生成數據庫結構；
    第二步：創建一個足夠大的附加回段。
    第三步：完全增量導入A：
      ＄imp system./manager inctype= RECTORE FULL=Y FILE=A
   第四步：累計增量導入E：
    ＄imp system/manager inctype= RECTORE FULL=Y FILE =E
    第五步：最近增量導入F：
    ＄imp system/manager inctype=RESTORE FULL=Y FILE=F
    <2>冷備份
    冷備份發生在數據庫已經正常關閉的情況下，當正常關閉時會提供給我們一個完整的數據庫。冷備份是將關鍵性文件拷貝到另外位置的一種說法。對于備份Oracle信息而言，冷備份是最快和最安全的方法。冷備份的優點是：
   ·是非常快速的備份方法（只需拷貝文件）
   ·容易歸檔（簡單拷貝即可）
   ·容易恢復到某個時間點上（只需將文件再拷貝回去）
   ·能與歸檔方法相結合，作數據庫“最新狀態”的恢復。
   ·低度維護，高度安全。
    但冷備份也有如下不足：
   ·單獨使用時，只能提供到“某一時間點上”的恢復。
   ·在實施備份的全過程中，數據庫必須要作備份而不能作其它工作。也就是說，在冷備份過程中，數據庫必須是關閉狀態。
   ·若磁盤空間有限，只能拷貝到磁帶等其它外部存儲設備上，速度會很慢。
   ·不能按表或按用戶恢復。
    如果可能的話（主要看效率），應將信息備份到磁盤上，然后啟動數據庫（使用戶可以工作）并將所備份的信息拷貝到磁帶上（拷貝的同時，數據庫也可以工作）。冷備份中必須拷貝的文件包括：
   ·所有數據文件
   ·所有控制文件
   ·所有聯機REDO LOG文件
   ·Init.ora文件（可選）
    值得注意的是冷備份必須在數據庫關閉的情況下進行，當數據庫處于打開狀態時，執行數據庫文件系統備份是無效的
   下面是做冷備份的完整例子：
   （1）關閉數據庫＄sqldba lmode=y
                 SQLDBA >connect internal;
                 SQLDBA >shutdown normal;
   （2）用拷貝命令備份全部的時間文件、重做日志文件、控制文件、初始化參數文件
                 SQLDBA >! cp < file > < backup directory >
   （3）重啟Oracle數據庫
                 ＄sqldba

上一頁 [1] [2] [3] [4] 下一頁

正在看的ORACLE教程是:Oracle數據安全面面觀。lmode=y
                 SQLDBA >connect internal;
                 SQLDBA >startup;
    <3>熱備份
        熱備份是在數據庫運行的情況下，采用archivelog mode方式備份數據的方法。所以，如果你有昨天夜里的一個冷備份而且又有今天的熱備份文件，在發生問題時，就可以利用這些資料恢復更多的信息。熱備份要求數據庫在Archivelog方式下操作，并需要大量的檔案空間。一旦數據庫運行在archivelog狀態下，就可以做備份了。熱備份的命令文件由三部分組成：
1．數據文件一個表空間一個表空間地備份。
（1）設置表空間為備份狀態
（2）備份表空間的數據文件
（3）恢復表空間為正常狀態
2．備份歸檔log文件。
（1）臨時停止歸檔進程
（2）log下那些在archive redo log目標目錄中的文件
（3）重新啟動archive進程
（4）備份歸檔的redo log 文件
3．用alter database backup controlfile命令來備份拷貝文件
   熱備份的優點是：
  ·可在表空間或數據文件級備份，備份時間短。
  ·備份時數據庫仍可使用。
  ·可達到秒級恢復（恢復到某一時間點上）。
  ·可對幾乎所有數據庫實體作恢復。
  ·恢復是快速的，在大多數情況下在數據庫仍工作時恢復。
   熱備份的不足是：
  ·不能出錯，否則后果嚴重。
  ·若熱備份不成功，所得結果不可用于時間點的恢復。
  ·因難于維護，所以要特別仔細小心，不允許“以失敗而告終”。
二)來自內部的另外一個隱患--用戶管理以及密碼問題

    在這里，其實作為一個差不多點的數據庫管理員都很清楚，Oracle數據庫本身就使用了很多種手段來加強數據庫的安全性，經常見到的就有密碼，角色，權限等等。那么我們就從最簡單的DBSNMP說起：
    Oralce數據庫如果采用典型安裝后，自動創建了一個叫做DBSNMP的用戶，該用戶負責運行Oracle系統的智能代理（Intelligent Agent），該用戶的缺省密碼也是“DBSNMP”。如果忘記修改該用戶的口令，任何人都可以通過該用戶存取數據庫系統。現在我們來看一下該用戶具有哪些權限和角色，然后來分析一下該用戶對數據庫系統可能造成的損失。

    啟動SQL/PLUS程序，使用該用戶登錄進入：

SQL> select * from session_privs; CREATE SESSION ALTER SESSION UNLIMITED TABLESPACE CREATE TABLE CREATE CLUSTER CREATE SYNONYM CREATE PUBLIC SYNONYM CREATE VIEW CREATE SEQUENCE CREATE DATABASE LINK CREATE PROCEDURE CREATE TRIGGER ANALYZE ANY CREATE TYPE CREATE OPERATOR CREATE INDEXTYPE

    可以看到該用戶不是SYS或SYSTEM管理用戶，然而，它卻具有兩個系統級權限：UNLIMITED TABLESPACE和CREATE PUBLIC SYNONYM。

    看到這兩個權限你應該馬上想到，這些都是安全隱患，尤其是UNLIMITED TABLESPACE，它是破壞數據庫系統的攻擊點之一。如果這時候你還依然認為，即使有人利用這個沒有修改的口令登錄進數據庫也造成不了什么損失的話，我就不得不提醒你：該用戶具有UNLIMITED TABLESPACE的系統權限，它可以寫一個小的腳本，然后惡意將系統用垃圾數據填滿，這樣數據庫系統也就無法運行，并將直接導致最終的癱瘓。目前很多數據庫系統都要求7X24的工作，如果出現了系統用垃圾數據填滿的情況，那么，等數據庫系統恢復時，恐怕不可挽回的損失已經造成了。

     可是除了DBSNMP還有很多其他的用戶，怎么辦呢？讓我們先看一下目前普遍存在于Oracle數據庫中的用戶管理問題：

    （1）權限過大：對ORACLE數據庫編程和瀏覽的一般用戶常常具有DBA (數據庫管理員權限)，能對數據庫系統做任何修改或刪除。

    （2）安全性差：很多ORACLE用戶缺省存儲位置都在系統表空間，這樣不僅影響系統的正常工作，而且不同用戶的數據信息互相影響、透明，保密性差。隨著數據的不斷加入，有可能使整個數據庫系統崩潰。

    （3）密碼有規律：在ORACLE調試初期形成的用戶名和密碼一致的不良習慣保留到現在；系統用戶SYS和SYSTEM的密碼也眾所皆知。

    知道了這些普遍的“毛病”，我們怎么做呢？下面是我的一些建議：

（1）ORACLE DBA (數據庫管理員)的規范

    ·SUN Solaris操作系統下ORACLE用戶密碼應嚴格保密，絕不該把密碼設成ORACLE；并指定專門的數據庫管理員定期修改。

    ·ORACLE初始化建立的SYS和SYSTEM系統管理員用戶密碼應由原來MANAGER改成別的不易被記憶的字符串。

    ·ORACLE WEB SERVER的管理端口具備DBA瀏覽數據庫的能力，因此其管理者ADMIN的密碼也應保密，不該把密碼設成MANAGER；并指定專門的數據庫管理員定期修改。

    ·ORACLE DBA最好在SUN SPARC服務器控制臺上用窗口式界面實現管理。前提是ORACLE用戶啟動服務器，然后在窗口式命令行下輸入SVRMGRM，即啟動了ORACLE SERVER MANAGER菜單式管理；用SYSDBA身份登錄后，就可做數據庫系統維護工作了

（2）SQL*PLUS編程用戶的規范

    ·存儲結構的規范

    考慮到用SQL*PLUS編程可實現各行各業、各公司、各部門多種多樣的應用需求，我們的SQL*PLUS編程用戶也應該朝這個方向規范：不同種類的應用必須有不同的用戶；不同種類的應用必須有不同的存儲位置，包括物理文件、缺省表空間、臨時表空間的創建和規劃：當準備編寫某一較大規模(從ORACLE數據量和面向用戶量考慮)應用程序時，首先應該創建一個邏輯的存儲位置-表空間，同時定義物理文件的存放路徑和所占硬盤的大小。

    ①、物理文件缺省的存放路徑在/oracle_home/dbs下，在命令行下用UNIX指令df -k 可查看硬盤資源分區的使用情況。如果oracle_home使用率達90‰以上，而且有一個或多個

上一頁 [1] [2] [3] [4] 下一頁

正在看的ORACLE教程是:Oracle數據安全面面觀。較為空閑的硬盤資源分區可以利用，我們最好把物理文件缺省的存放路徑改到較為空閑的硬盤資源分區路徑下。在此路徑下我們可以這樣規劃資源物理文件的存儲：

xxx表空間
xxx行業/ xxx公司/ xxx 部門/ xxx 服務.dbf

DEMO表空間
default_datafile_home1/col /elec/sys4/demo1.dbf
default_datafile_home1/col /elec/sys4/demo2.dbf

公司系統四部摹擬演示系統物理文件

HUMAN表空間
default_datafile_home1/col/elec/human/human.dbf

公司人事部人事管理系統物理文件

BOOK表空間
default_datafile_home1/col/elec/book/book.dbf

公司資料室圖書管理系統物理文件

QUESTION表空間
default_datafile_home1/col/elec/client/question.dbf

公司客戶服務部問題庫系統物理文件

PC表空間
default_datafile_home1/col/chaoxun/client/pc.dbf

公司PC機售后服務系統物理文件

……表空間
default_datafile_home2/……………………………

等等

    說明：其中default_datafile_home1指oracle_home/dbs；default_datafile_home2指較為空閑的硬盤資源分區路徑。

    ②、物理文件的大小根據應用系統的數據量、數據對象、程序包的多少來定。一般用于摹擬演示的小系統，表空間初始的物理文件為2M即能滿足要求，如果信息量滿，還可以增加物理文件，擴充表空間(每次擴充大小也可暫定為2M)；一般實際運行的應用系統可適當增加表空間初始的物理文件大小，但也不要一次分配太大(因為不易回收空間，卻易擴充空間)，這也需要根據具體情況具體分析：信息量大、需長時間保存的應用在條件允許情況下，表空間可以大到幾百M甚至上G；信息量小、短期經常刷新的應用，表空間可以控制在2M以下。

    ③、表空間的名稱應該采用同系統應用相似的英文字符或字符縮寫，表空間所對應的一個或多個物理文件名也應有相關性。不同用戶所處的缺省表空間不同，存儲的信息就不能互相訪問。這比把所有用戶信息都儲存在系統表空間，安全性大大提高了。如果用ORACLE WEB SERVER管理端口創建的用戶，其缺省和臨時表空間一定是系統表空間，DBA切記要改變用戶的缺省表空間。臨時表空間存放臨時數據段，處理一些排序、合并等中間操作，根據實際應用的需求可以把它們放在專門創建的表空間里；如果系統表空間大，也可以把它們放在系統表空間。用戶創建的數據索引最好和數據文件分開存放在不同表空間，以減少數據爭用和提高響應速度。

上一頁 [1] [2] [3] [4]

您可能感興趣的文章:

oracle 11g數據庫安全加固注意事項
Oracle數據庫安全策略分析（一）
Oracle數據庫安全策略分析 (三)
Oracle數據庫的安全策略
Oracle數據庫安全策略分析(二）
Oracle監聽口令及監聽器安全詳解
Oracle數據庫安全策略
Oracle數據庫的安全策略
提升Oracle用戶密碼安全性的策略
Oracle 11g實現安全加固的完整步驟

標簽：股票投資嘉峪關聊城南平南平襄陽通化池州

巨人網絡通訊聲明：本文標題《Oracle數據安全面面觀》，本文關鍵詞 Oracle,數據,安全,面面觀,；如發現本文內容存在版權問題，煩請提供相關信息告之我們，我們將及時溝通與處理。本站內容系統采集于網絡，涉及言論、版權與本站無關。

好湿?好紧?好多水好爽自慰,久久久噜久噜久久综合,成人做爰A片免费看黄冈,机机对机机30分钟无遮挡

Oracle數據安全面面觀