數據庫系統(tǒng)安全策略

數據庫系統(tǒng)平安策略摘要數據庫管理系統(tǒng)是一個非常復雜的系統(tǒng)，檢測和評估數據庫的平安性，涉及到了很多的參數和設置。Oracle數據庫是以高級構造化查詢語言(SQL)為根底的大型關系數據庫，是使用方便管理的語言操縱大量有規(guī)律的數據的集合。是目前應用最廣泛的客戶/效勞器(Client/Sever)體系構造的數據庫之一。在數據庫中包含了大量的、復雜的數據，所以oracle數據庫的平安管理工作就需要更加的嚴格。關鍵詞oracle;數據庫;平安管理數據庫在生活中應用的非常廣泛，越來越多各行各業(yè)的信息都是通過數據進展傳輸的。IT行業(yè)中同樣也不能分開數據庫，例如軟件開發(fā)和很多專門做數據庫開發(fā)的公司。數據庫按照應用的規(guī)模分為大、中、小三種。我們最常用的就是中型數據庫，例如SQLSever數據庫，這種數據庫只能對數據量不是非常大的數據進展操作和管理。但是要想操作存儲量非常大的數據，中型數據庫就已經實現非常完美的管理了，這時我們就需要選擇大型數據庫。Oracle數據庫是一種大型數據庫，可以管理存儲大量的數據。在一些大型的公司、企業(yè)、圖書館，操作和管理數據庫是非常重要的，所以通常要選用這樣的大型數據庫來操作。無論什么數據庫，對數據的管理是最重要的，數據庫正常有效運行的根底是數據的平安。Oracle這樣的大型數據庫涉及到了太多的數據，對數據的管理就需要更加的嚴格，必須保證數據的平安性。稍有忽略就可能會造成不可估量的損失。通常意義上來講，數據庫物理部分的完好性、數據庫邏輯意義上的完好性、數據庫中所有數據的平安性、對于數據庫訪問的控制、用戶身份及權限的認證等這些部分共同組成了數據庫平安部分。我們是這樣來定義數據庫平安的：保證數據庫中所存儲的數據信息的保密性、完好性、一致性、可用性、和抗否認性。在這其中，數據信息的保密性指的是數據庫中存入的數據不會被泄漏或者非法獲取;完好性是指其中的數據不會被損毀或者刪除;一致性是要完全確保其中的數據是完好的，可以通過用戶自定義的完好性要求;可用性那么是要確保數據庫中存儲的各種數據不會因為其他原因導致已被認可的用戶不可用;抗否認性的意義在于可以記錄用戶的對于數據庫的所有操作，包括訪問修改等，而這些操作的記錄用戶是不能否認的，可以方便管理員做后期分析。在我們現代的生活中，數據庫面臨的主要平安威脅兩個大方面，軟件和硬件方面。系統(tǒng)的意外崩潰，磁盤的物理損壞網絡中充滿的各種計算機病毒都可能造成系統(tǒng)故障、數據的破壞;用戶的誤操作，可能也會造成數據庫產生錯誤;非受權用戶的非法訪問及操作數據庫，非法盜取，篡改數據庫中的數據，這樣就會導致數據的真實性無法保證。對于一些重要的單位，或者存儲了各種重要信息的部門，那么會面對更多的威脅，需要事先設計好更加完善的平安策略才可以保證數據的平安。對于oracle數據庫的平安策略我們分4個方面來說：第一，系統(tǒng)平安策略：包括了數據庫用戶管理、數據庫操作標準、用戶認證、操作系統(tǒng)平安4個部分。1)數據庫用戶管理。數據庫用戶對信息訪問的最直接途徑就是通過用戶訪問。因此需要對用戶進展嚴格的管理，只有真正可信的人員才擁有管理數據庫用戶的權限;2)數據庫需要有操作標準。數據庫中數據才是核心，不能有任何的破壞，數據庫管理員是唯一能直接訪問數據庫的人員，管理員的操作是非常重要的，因此需要對數據庫維護人員培訓，樹立嚴謹的工作態(tài)度，同時需要標準操作流程;3)用戶身份的認證。Oracle數據庫可以使用主機操作系統(tǒng)認證用戶，也可以使用數據庫的用戶認證，從平安角度出發(fā)，initSID.ora文件中的remoteosauthent參數設成FALSE，以防止沒有口令的連接。建議將remoteosroles設成FALSE，防止欺騙性連接;4)操作系統(tǒng)平安。對于運行任何一種數據庫的操作系統(tǒng)來說，都需要考慮平安問題。數據庫管理員以及系統(tǒng)賬戶的口令都必須符合規(guī)定，不能過于簡單而且需要定期的更換口令，對于口令的平安同樣重要。系統(tǒng)管理員在給操作系統(tǒng)做維護的時候，需要與數據庫管理員合作，防止。第二，數據平安策略。數據平安策略決定了可以訪問特定數據的用戶組，以及這些用戶的操作權限。數據的平安性取決數據的敏感程度，假設數據不是那么敏感，那么數據的平安策略那么可以略微松一些;反之那么需要制定特定的平安策略，嚴格的控制訪問對象，確保數據的平安。第三，用戶平安策略。用戶平安策略是由一般用戶平安、最終用戶平安、管理員平安、應用程序及開發(fā)人員平安、應用程序管理員平安5個部分組成。1)一般用戶平安。假設對于用戶的認證由數據庫進展管理，那么平安管理員就應該制定口令平安策略來維護數據庫訪問的平安性。可以配置oracle使用加密口令來進展客戶機/效勞器連接;2)最終用戶平安。平安管理員必須為最終用戶平安制定策略。假設使用的是大型數據庫同時還有許多用戶，這是就需要平安管理員對用戶組進展分類，為每個用戶組創(chuàng)立用戶角色，并且對每個角色授予相應的權限;3)管理員平安。平安管理員應當擁有闡述管理員平安的策略。在數據庫創(chuàng)立后，應對SYS和SYSTEM用戶名更改口令，以防止對數據庫的未認證訪問，且只有數據庫管理員才可用;4)應用程序開發(fā)人員平安。平安管理員必須為使用數據庫的應用程序開發(fā)人員制定一套特殊的平安策略。平安管理員可以把創(chuàng)立必要對象的權限授予應用程序開發(fā)人員。反之，創(chuàng)立對象的權限只能授予數據庫管理員，他從開發(fā)人員那里接收對象創(chuàng)立懇求;5)應用程序管理員平安。在有許多數據庫應用程序的大型數據庫系統(tǒng)中，可以設立應用程序管理員第四，口令管理策略?？诹罟芾戆ㄙ~戶鎖定、口令老化及到期、口令歷史記錄、口令復雜性校驗。1)帳戶鎖定。當某一特定用戶超過了失敗嘗試的指定次數，效勞器會自動鎖定這個用戶帳戶;2)口令老化及到期。DBA使用CREATEPROFILE語句指定口令的最大生存期，當到達了指定的時間長度那么口令到期，用戶或DBA必須變更口令;3)口令歷史記錄。DBA使用CREATEPROFILE語句指定時間間隔，在這一間隔內用戶不能重用口令;4)口令復雜性校驗。