1/1帶你走進(jìn)Oracle數(shù)據(jù)安全的世界一觀數(shù)據(jù)庫-電腦資料下一頁12隨著計算機(jī)的普及以及網(wǎng)絡(luò)的發(fā)展，數(shù)據(jù)庫已經(jīng)不再僅僅是那些程序員所專有的話題，帶你走進(jìn)Oracle數(shù)據(jù)安全的世界一觀數(shù)據(jù)庫

。Oracle數(shù)據(jù)庫更是憑借其性能卓越、操作方便靈活的特點，在數(shù)據(jù)庫的市場中已經(jīng)占據(jù)了一席之地。但是，隨著網(wǎng)絡(luò)技術(shù)的不斷進(jìn)步，數(shù)據(jù)信息的不斷增加，數(shù)據(jù)

下一頁12

隨著計算機(jī)的普及以及網(wǎng)絡(luò)的發(fā)展，數(shù)據(jù)庫已經(jīng)不再僅僅是那些程序員所專有的話題。Oracle數(shù)據(jù)庫更是憑借其性能卓越、操作方便靈活的特點，在數(shù)據(jù)庫的市場中已經(jīng)占據(jù)了一席之地。

但是，隨著網(wǎng)絡(luò)技術(shù)的不斷進(jìn)步，數(shù)據(jù)信息的不斷增加，數(shù)據(jù)安全也已經(jīng)不再是以前的“老生長談”，更不是以前書本上那些“可望而不可及”的條條框框。

或許很久以前，大家都覺得Oracle數(shù)據(jù)庫的安全并不存在隱患，因為Oracle公司在2022年11月份開始促銷其數(shù)據(jù)庫軟件時提出的口號是“只有Oracle9i能夠做到絕對安全”。

但是不管它這么說是為了促銷，還是為了擴(kuò)大知名度，這口號提出僅一個月后，英國的安全專家DavidLitchfield就發(fā)現(xiàn)的9iAS中存在的程序錯誤導(dǎo)致緩沖溢出漏洞。后來，PenTestLimited和eEyeDigitalSecurity各自提出了一個小的漏洞，所有使用Oracle公司產(chǎn)品的人都不由地緊張了原本松弛的大腦——對于用戶來說，畢竟是關(guān)系到了“身家性命”。

下面筆者將帶著大家走進(jìn)Oracle數(shù)據(jù)安全的世界。

一、Oracle數(shù)據(jù)庫的一些基本常識

這里僅僅是為了以后的安全奠定一些基礎(chǔ)，因為我們后面要用到它們。

1.Oracle所包含的組件

Oracle數(shù)據(jù)庫是指整個OracleRDBMS環(huán)境，它包括以下組件:

·Oracle數(shù)據(jù)庫進(jìn)程和緩沖(實例)

·SYSTEM表空間包含一個集中系統(tǒng)類目，它可以由一個或多個數(shù)據(jù)文件構(gòu)成

·其它由數(shù)據(jù)庫管理員(DBA)(可選)定義的表空間，每個都由一個或多個數(shù)據(jù)文件構(gòu)成

·兩個以上的聯(lián)機(jī)恢復(fù)日志

·歸檔恢復(fù)日志(可選)

·其它文件(控制文件、Init.ora、Config.ora等)

每個Oracle數(shù)據(jù)庫都在一個中央系統(tǒng)類目和數(shù)據(jù)字典上運(yùn)行，它位于SYSTEM表空間

2.關(guān)于“日志”

Oracle數(shù)據(jù)庫使用幾種結(jié)構(gòu)來保護(hù)數(shù)據(jù):數(shù)據(jù)庫后備、日志、回滾段和控制文件。下面我們將大體上了解一下作為主要結(jié)構(gòu)之一的“日志”:

每一個Oracle數(shù)據(jù)庫實例都提供日志，記錄數(shù)據(jù)庫中所作的全部修改。每一個運(yùn)行的Oracle數(shù)據(jù)庫實例相應(yīng)地有一個在線日志，它與Oracle后臺進(jìn)程LGWR一起工作，立即記錄該實例所作的全部修改。歸檔(離線)日志是可選擇的，一個Oracle數(shù)據(jù)庫實例一旦在線日志填滿后，可形成在線日志歸檔文件。歸檔的在線日志文件被唯一標(biāo)識并合并成歸檔日志。

·在線日志:一個Oracle數(shù)據(jù)庫的每一實例有一個相關(guān)聯(lián)的在線日志。一個在線日志由多個在線日志文件組成。在線日志文件(onlineredologfile)填入日志項(redoentry)，日志項記錄的數(shù)據(jù)用于重構(gòu)對數(shù)據(jù)庫所作的全部修改。

·歸檔日志:Oracle要將填滿的在線日志文件組歸檔時，則要建立歸檔日志(archivedredolog)。其對數(shù)據(jù)庫備份和恢復(fù)的用處如下:a.數(shù)據(jù)庫后備以及在線和歸檔日志文件，在操作系統(tǒng)和磁盤故障中可保證全部提交的事物可被恢復(fù)。b.在數(shù)據(jù)庫打開和正常系統(tǒng)使用下，如果歸檔日志是永久保存，在線后備可以進(jìn)行和使用。

數(shù)據(jù)庫可運(yùn)行在兩種不同方式下:NOARCHIVELOG方式或ARCHIVELOG方式。數(shù)據(jù)庫在NOARCHIVELOG方式下使用時，不能進(jìn)行在線日志的歸檔。如果數(shù)據(jù)庫在ARCHIVELOG方式下運(yùn)行，可實施在線日志的歸檔。

3.物理和邏輯存儲結(jié)構(gòu)

OracleRDBMS是由表空間組成的，而表空間又是由數(shù)據(jù)文件組成的。表空間數(shù)據(jù)文件被格式化為內(nèi)部的塊單位，電腦資料《帶你走進(jìn)Oracle數(shù)據(jù)安全的世界一觀數(shù)據(jù)庫》(https://.)。塊的大小，是由DBA在Oracle第一次創(chuàng)建的時候設(shè)置的，可以在512到8192個字節(jié)的范圍內(nèi)變動。

當(dāng)一個對象在Oracle表空間中創(chuàng)建的時候，用戶用叫做長度的單位(初始長度(initialextent)、下一個長度(nextextent)、最小長度(minextents)以及最大長度(maxextents))來標(biāo)明該對象的空間大小。一個Oracle長度的大小可以變化，但是要包含一個由至少五個連續(xù)的塊構(gòu)成的鏈。

二、Oracle數(shù)據(jù)安全的維護(hù)

記得某位哲學(xué)家說過:“事物的變化離不開內(nèi)因和外因。”O(jiān)racle數(shù)據(jù)安全也不例外，分為“內(nèi)”和“外”兩個部分。我們就先從“內(nèi)”開始說起:

1.從Oracle系統(tǒng)本身說起

先拋開令人聞風(fēng)色變的“hacker”和其他一些外部的原因，來想一下我們的數(shù)據(jù)庫。硬盤損壞，軟件受損，操作事物……，一系列由于我們的“疏忽”而造成的系統(tǒng)問題就完全可以讓我們辛苦建立的數(shù)據(jù)庫中的數(shù)據(jù)一去不復(fù)返。那么，我們先從自己身上找找原因吧。

(1).解決系統(tǒng)本身問題的方法--數(shù)據(jù)庫的備份及恢復(fù)

首先講數(shù)據(jù)庫的備份。關(guān)于Oracle數(shù)據(jù)庫的備份，有三種標(biāo)準(zhǔn)辦法:導(dǎo)出/導(dǎo)入(Export/Import)、冷備份、熱備份。導(dǎo)出/導(dǎo)入備份是一種邏輯備份，冷備份和熱備份是物理備份。

導(dǎo)出/導(dǎo)入(Export/Import)

利用Export可將數(shù)據(jù)從數(shù)據(jù)庫中提取出來，利用Import則可將提取出來的數(shù)據(jù)送回Oracle數(shù)據(jù)庫中去。

a.簡單導(dǎo)出數(shù)據(jù)(Export)和導(dǎo)入數(shù)據(jù)(Import)

Oracle支持三種類型的輸出:

(a).表方式(T方式)，將指定表的數(shù)據(jù)導(dǎo)出。

(b).用戶方式(U方式)，將指定用戶的所有對象及數(shù)據(jù)導(dǎo)出。

(c).全庫方式(Full方式)，將數(shù)據(jù)庫中的所有對象導(dǎo)出。

數(shù)據(jù)導(dǎo)出(Import)是數(shù)據(jù)導(dǎo)入(Export)的逆過程，它們的數(shù)據(jù)流向不同。

b.增量導(dǎo)出/導(dǎo)入

增量導(dǎo)出是一種常用的數(shù)據(jù)備份方法，它只能對整個數(shù)據(jù)庫來實施，并且必須作為SYSTEM來導(dǎo)出。在進(jìn)行此種導(dǎo)出時，系統(tǒng)不要求回答任何問題。導(dǎo)出文件名缺省為export.dmp，如果不希望自己的輸出文件定名為export.dmp，必須在命令行中指出要用的文件名。

增量導(dǎo)出包括三個類型:

(a).“完全”增量導(dǎo)出(Complete)

即備份整個數(shù)據(jù)庫，比如:

PRE>CCID_CODE$expsystem/managerinctype=completefile=990702.dmp/CCID_CODE/PRE

(b).“增量型”增量導(dǎo)出

備份上一次備份后改變的數(shù)據(jù)。比如:

PRE>CCID_CODE$expsystem/managerinctype=incrementalfile=990702.dmp/CCID_CODE/PRE

(c).“累計型”增量導(dǎo)出(Cumulative)

累計型導(dǎo)出方式只是導(dǎo)出自上次“完全”導(dǎo)出之后數(shù)據(jù)庫中變化了的信息。比如:

PRE>CCID_CODE$expsystem/managerinctype=cumulativefile=990702.dmp/CCID_CODE/PRE

數(shù)據(jù)庫管理員可以排定一個備份日程表，用數(shù)據(jù)導(dǎo)出的三個不同方式合理高效地完成。比如數(shù)據(jù)庫的備份任務(wù)可作如下安排:

·星期