隨著信息技術的高速發(fā)展，信息系統(tǒng)在各個領域得到廣泛應用，作為系統(tǒng)核心的數(shù)據(jù)庫管理系統(tǒng)，集中存放了大量重要而且敏感的業(yè)務數(shù)據(jù)。一旦數(shù)據(jù)庫系統(tǒng)遭到攻擊或者破壞，造成數(shù)據(jù)丟失，其損失是無法估計的。研究數(shù)據(jù)庫系統(tǒng)的安全機制，為企業(yè)信息化提供可靠的數(shù)據(jù)保障，變得尤為重要。

　　1、數(shù)據(jù)庫面臨的安全威脅

　　通過分析和調查可以認為，數(shù)據(jù)庫安全面臨著前所未有的嚴峻形勢，當前數(shù)據(jù)庫安全主要面臨的威脅有如下幾個方面：

　　(1)權限的濫用。

　　(2)平臺漏洞：底層操作系統(tǒng)中的漏洞和安裝在數(shù)據(jù)庫服務器上的其他服務中的漏洞可能導致未經(jīng)授權的訪問、數(shù)據(jù)破壞或拒絕服務。

　　(3)權限提升：攻擊者利用數(shù)據(jù)庫軟件的漏洞將管理員權限賦予普通用戶。漏洞可能存在與存儲過程、內置函數(shù)、協(xié)議實現(xiàn)甚至是SQL語句中。

　　(4)SQL注入：入侵者將未經(jīng)授權的數(shù)據(jù)庫語句注入到有漏洞的SQL數(shù)據(jù)信道中，從而可以不受限制地訪問整個數(shù)據(jù)庫。如果數(shù)據(jù)庫是為Web應用提供服務的，那么其最大的威脅便是來自SQL注入攻擊。

　　(5)審計記錄不足：自動記錄所有敏感或異常的數(shù)據(jù)庫事務應該是所有數(shù)據(jù)庫部署基礎的一部分。但是出于性能的考慮，多數(shù)數(shù)據(jù)庫并沒有開啟審計功能。如果數(shù)據(jù)庫審計策略不足，則組織將在很多級別上面臨嚴重風險。

　　(6)拒絕服務：通過此攻擊使正常用戶對網(wǎng)絡應用程序或數(shù)據(jù)的訪問被拒絕。

　　(7)身份驗證不足：薄弱的身份驗證方案可以使攻擊者竊取或以其他方法獲得登錄憑據(jù)，從而獲取合法的數(shù)據(jù)庫用戶的身份。

　　(8)業(yè)務數(shù)據(jù)、備份數(shù)據(jù)未經(jīng)加密處理。

　　(9)計算機系統(tǒng)的故障：硬件故障、軟件故障、網(wǎng)絡故障和系統(tǒng)故障。

　　2、Oracle數(shù)據(jù)庫的安全管理機制

　　Oracle數(shù)據(jù)庫管理系統(tǒng)提供了多級別、多層次的安全管理體制。

　　(1)用戶安全。0racle數(shù)據(jù)庫系統(tǒng)不允許未經(jīng)授權的用戶對數(shù)據(jù)庫進行操作。用戶名和口令是數(shù)據(jù)庫提供的最外層的安全保護措施。通過配置PROFILE文件可以配置用戶口令的狀態(tài)、失效策略、重用策略和口令復雜程度，并且可以限制特定用戶對特定資源的占用額度，從而可以有效防止資源爭用。

　　(2)權限和角色管理。Oracle將數(shù)據(jù)庫訪問權限分為兩種：系統(tǒng)權限和對象權限。系統(tǒng)權限向用戶提供執(zhí)行某一種或某一類型的數(shù)據(jù)庫操作能力，而對象權限向用戶提供了操作特定數(shù)據(jù)的能力。角色是系統(tǒng)權限和對象權限的一個集合。角色的實現(xiàn)簡化了數(shù)據(jù)安全管理的復雜度。

　　(3)VPD虛擬專用數(shù)據(jù)庫。虛擬專用數(shù)據(jù)庫(VPD)提供了角色和視圖無法提供的行級訪問控制。虛擬專用數(shù)據(jù)庫可以確保在線用戶只能看到自己的數(shù)據(jù)內容。在企業(yè)內部，虛擬數(shù)據(jù)庫不僅可在應用程序部署方面降低擁有成本，還可以在數(shù)據(jù)庫服務器一次實現(xiàn)安全性，防止用戶饒過安全限制。將一個或多個安全策略與表或視圖關聯(lián)后，就可以實現(xiàn)虛擬專用數(shù)據(jù)庫。對帶有安全策略的表進行直接或間接訪問時，數(shù)據(jù)庫將調用一個實施該策略的函數(shù)。策略函數(shù)返回一個謂詞，應用程序將它附加到用戶的SQL語。

　　(4)審計功能。Oracle利用審計功能來監(jiān)視用戶對0 racle數(shù)據(jù)庫實施的操作及數(shù)據(jù)庫系統(tǒng)運行中的有關情況。監(jiān)控內容包括數(shù)據(jù)非授權刪除、用戶越權操作、用戶獲得不應有的權限等。

　　(5)備份與恢復。Oracle數(shù)據(jù)庫提供了邏輯備份、物理備份、聯(lián)機備份、脫機備份等多種數(shù)據(jù)備份方式、并且可以對備份數(shù)據(jù)進行加密和壓縮處理，提高了備份數(shù)據(jù)的安全性。通過提供RMAN等備份恢復工具，簡化了備份恢復的復雜度、提供了工作效率。

　　3、基于Oracle的數(shù)據(jù)庫安全策略

　　數(shù)據(jù)庫的安全策略主要是維護數(shù)據(jù)信息的完整性、保密性和可用性。雖然0racle數(shù)據(jù)庫提供了有效的安全機制，但是如果沒有好的安全策略，仍會置數(shù)據(jù)于危險之中。

　　(1)數(shù)據(jù)庫用戶管理策略。數(shù)據(jù)庫用戶是訪問Oracle數(shù)據(jù)庫的途徑，應該很好地維護管理數(shù)據(jù)庫用戶的安全性，只有那些值得信任的人才應該有管理數(shù)據(jù)庫用戶的權限。如果操作系統(tǒng)能為數(shù)據(jù)庫用戶分配角色，那么安全性管理者必須有修改操作系統(tǒng)賬戶安全性區(qū)域的操作系統(tǒng)權限；如果用戶是通過數(shù)據(jù)庫進行用戶身份的確認，那么建議使用密碼加密的方式與數(shù)據(jù)庫進行連接；充分利用“角色”機制所帶來的方便性對權限進行有效管理。決定用戶組分類，為這些用戶創(chuàng)建用戶角色，把所需的權限和應用程序角色授予每一個用戶角色。

　　(2)應用程序安全策略。安全的應用程序開發(fā)策略是創(chuàng)建安全數(shù)據(jù)庫應用程序的基礎，它規(guī)定了用戶訪問數(shù)據(jù)庫的限制條件和規(guī)則。數(shù)據(jù)庫管理員應當針對不同的應用制定不同的安全策略。應用程序安全策略主要包含：基于應用程序創(chuàng)建角色，通過PLSQL或者存儲過程進行角色的授予；保證應用程序密碼的安全處理，避免密碼的明文出現(xiàn)，增強密碼復雜度；盡量保證應用程序用戶和數(shù)據(jù)庫用戶的一致性，從而充分利用數(shù)據(jù)庫提供的安全審計等功能；盡可能使用數(shù)據(jù)庫提供的安全特性；以交互方式提示用戶輸入密碼信息；使用綁定變量和有效性驗證，防止SQL注入；配置用戶非授權訪問警告和審計提示信息；采用共享模式和惟一模式保護應用數(shù)據(jù)。

　　(3)備份與恢復策略。數(shù)據(jù)庫系統(tǒng)運行中，軟硬件發(fā)生故障，造成系統(tǒng)崩潰的情況是有可能的。因此研究數(shù)據(jù)備份、恢復技術，應對系統(tǒng)崩潰的突發(fā)是必須的。在備份恢復0racle系統(tǒng)時，我們要考慮的因素主要有：正確評估當前業(yè)務對于數(shù)據(jù)丟失量和數(shù)據(jù)恢復時間的承受能力；盡可能地采用歸檔備份模式；盡可能同時采用邏輯備份和物理備份，從而多層次保障數(shù)據(jù)安全；及時地進行恢復測試，保證備份的可用性。

　　(4)建立科學、完善的數(shù)據(jù)庫管理機制。科學的管理可以有效提高數(shù)據(jù)庫的安全性。制定科學的數(shù)據(jù)庫管理制度，嚴格按照制度實施管理；數(shù)據(jù)庫服務器應當由技術保障單位管理和使用、由專人負責維護。針對數(shù)據(jù)庫維護人員和終端使用用戶制定安全管理規(guī)定。系統(tǒng)管理員、數(shù)據(jù)維護人員和使用人員的安全管理權限嚴格區(qū)分。，用戶的建立和權限分配應經(jīng)主管領導同意方可實施。制訂完善的數(shù)據(jù)庫備份制度、數(shù)據(jù)庫審計制度、安全評估和檢測的制度。

　　(5)研究并采用各種加密手段。不僅要為發(fā)往互聯(lián)網(wǎng)的數(shù)據(jù)庫中的數(shù)據(jù)加密，還要為從硬盤轉移到后端系統(tǒng)的過程中的數(shù)據(jù)加密。充分利用ORACLE提供的各種加密機制，禁止用戶在沒有進行加密的情況下實施數(shù)據(jù)備份。

　　4、結束語

　　總之，信息系統(tǒng)業(yè)務的持續(xù)增長，數(shù)據(jù)庫結構的復雜性，使數(shù)據(jù)庫在安全技術面臨著諸多的突破難點。深入研究數(shù)據(jù)庫的安全技術，充分利用ORACLE提供的安全機制，制定完備的安全策略，是保障數(shù)據(jù)安全的必經(jīng)之路。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網(wǎng)http://m.lukmueng.com/

本文標題：基于ORACLE的企業(yè)敏感數(shù)據(jù)保護策略

本文網(wǎng)址：http://m.lukmueng.com/html/support/1112157350.html