- 相關推薦
數據庫系統安全策略
數據庫系統安全策略
摘 要 數據庫管理系統是一個非常復雜的系統,檢測和評估數據庫的安全性,涉及到了很多的參數和設置。
Oracle數據庫是以高級結構化查詢語言(SQL)為基礎的大型關系數據庫,是使用方便管理的語言操縱大量有規律的數據的集合。
是目前應用最廣泛的客戶/服務器(Client/Sever)體系結構的數據庫之一。
在數據庫中包含了大量的、復雜的數據,所以oracle數據庫的安全管理工作就需要更加的嚴格。
關鍵詞 oracle;數據庫;安全管理
數據庫在生活中應用的非常廣泛,越來越多各行各業的信息都是通過數據進行傳輸的。
IT行業中同樣也不能離開數據庫,例如軟件開發和很多專門做數據庫開發的公司。
數據庫按照應用的規模分為大、中、小三種。
我們最常用的就是中型數據庫,例如SQL Sever數據庫,這種數據庫只能對數據量不是非常大的數據進行操作和管理。
但是要想操作存儲量非常大的數據,中型數據庫就已經實現非常完美的管理了,這時我們就需要選擇大型數據庫。
Oracle數據庫是一種大型數據庫,可以管理存儲大量的數據。
在一些大型的公司、企業、圖書館,操作和管理數據庫是非常重要的,所以通常要選用這樣的大型數據庫來操作。
無論什么數據庫,對數據的管理是最重要的,數據庫正常有效運行的基礎是數據的安全。
Oracle這樣的大型數據庫涉及到了太多的數據,對數據的管理就需要更加的嚴格,必須保證數據的安全性。
稍有疏忽就可能會造成不可估量的損失。
通常意義上來講,數據庫物理部分的完整性、數據庫邏輯意義上的完整性、數據庫中所有數據的安全性、對于數據庫訪問的控制、用戶身份及權限的認證等這些部分共同組成了數據庫安全部分。
我們是這樣來定義數據庫安全的:保證數據庫中所存儲的數據信息的保密性、完整性、一致性、可用性、和抗否認性。
在這其中,數據信息的保密性指的是數據庫中存入的數據不會被泄漏或者非法獲取;完整性是指其中的數據不會被損毀或者刪除;一致性是要完全確保其中的數據是完整的,可以通過用戶自定義的完整性要求;可用性則是要確保數據庫中存儲的各種數據不會因為其他原因導致已被認可的用戶不可用;抗否認性的意義在于能夠記錄用戶的對于數據庫的所有操作,包括訪問修改等,而這些操作的記錄用戶是不能否認的,可以方便管理員做后期分析。
在我們現代的生活中,數據庫面臨的主要安全威脅來自兩個大方面,軟件和硬件方面。
系統的意外崩潰,磁盤的物理損壞網絡中充斥的各種計算機病毒都可能造成系統故障、數據的破壞;用戶的誤操作,可能也會造成數據庫產生錯誤;非授權用戶的非法訪問及操作數據庫,非法盜取,篡改數據庫中的數據,這樣就會導致數據的真實性無法保證。
對于一些重要的單位,或者存儲了各種重要信息的部門,則會面對更多的威脅,需要事先設計好更加完善的安全策略才能夠保證數據的安全。
對于oracle數據庫的安全策略我們分4個方面來說:
第一,系統安全策略:包括了數據庫用戶管理、數據庫操作規范、用戶認證、操作系統安全4個部分。
1)數據庫用戶管理。
數據庫用戶對信息訪問的最直接途徑就是通過用戶訪問。
因此需要對用戶進行嚴格的管理,只有真正可信的人員才擁有管理數據庫用戶的權限;
2)數據庫需要有操作規范。
數據庫中數據才是核心,不能有任何的破壞,數據庫管理員是唯一能直接訪問數據庫的人員,管理員的操作是非常重要的,因此需要對數據庫維護人員培訓,樹立嚴謹的工作態度,同時需要規范操作流程;
3)用戶身份的認證。
Oracle數據庫可以使用主機操作系統認證用戶,也可以使用數據庫的用戶認證,從安全角度出發,initSID.ora文件中的remote_os_authent參數設成FALSE,以防止沒有口令的連接。
建議將remote_os_roles設成FALSE,防止欺騙性連接;
4)操作系統安全。
對于運行任何一種數據庫的操作系統來說,都需要考慮安全問題。
數據庫管理員以及系統賬戶的口令都必須符合規定,不能過于簡單而且需要定期的更換口令,對于口令的安全同樣重要。
系統管理員在給操作系統做維護的時候,需要與數據庫管理員合作,避免。
第二,數據安全策略。
數據安全策略決定了可以訪問特定數據的用戶組,以及這些用戶的操作權限。
數據的安全性取決數據的敏感程度,如果數據不是那么敏感,則數據的安全策略則可以稍微松一些;反之則需要制定特定的安全策略,嚴格的控制訪問對象,確保數據的安全。
第三,用戶安全策略。
用戶安全策略是由一般用戶安全、最終用戶安全、管理員安全、應用程序及開發人員安全、應用程序管理員安全5個部分組成。
1)一般用戶安全。
如果對于用戶的認證由數據庫進行管理,則安全管理員就應該制定口令安全策略來維護數據庫訪問的安全性。
可以配置oracle使用加密口令來進行客戶機/服務器連接;
2)最終用戶安全。
安全管理員必須為最終用戶安全制定策略。
如果使用的是大型數據庫同時還有許多用戶,這是就需要安全管理員對用戶組進行分類,為每個用戶組創建用戶角色,并且對每個角色授予相應的權限;
3)管理員安全。
安全管理員應當擁有闡述管理員安全的策略。
在數據庫創建后,應對SYS和SYSTEM用戶名更改口令,以防止對數據庫的未認證訪問,且只有數據庫管理員才可用;
4)應用程序開發人員安全。
安全管理員必須為使用數據庫的應用程序開發人員制定一套特殊的安全策略。
安全管理員可以把創建必要對象的權限授予應用程序開發人員。
反之,創建對象的權限只能授予數據庫管理員,他從開發人員那里接收對象創建請求;
5)應用程序管理員安全。
在有許多數據庫應用程序的大型數據庫系統中,可以設立應用程序管理員
第四,口令管理策略。
口令管理包括賬戶鎖定、口令老化及到期、口令歷史記錄、口令復雜性校驗。
1)帳戶鎖定。
當某一特定用戶超過了失敗登錄嘗試的指定次數,服務器會自動鎖定這個用戶帳戶;
2)口令老化及到期。
DBA使用CREATE PROFILE語句指定口令的最大生存期,當到達了指定的時間長度則口令到期,用戶或DBA必須變更口令;
3)口令歷史記錄。
DBA使用CREATE PROFILE語句指定時間間隔,在這一間隔內用戶不能重用口令;
4)口令復雜性校驗。
通過使用PL/SQL腳本utlpwdmg.sql(它設置缺省的概要文件參數),可以指定口令復雜性校驗例行程序。
參考文獻
[1]陳越,等.數據庫安全[M].北京:國防工業出版社,2011.
[2]馮登國,趙險峰.信息安全技術概論[M].北京:電子工業出版社,2009.
【數據庫系統安全策略】相關文章:
檔案信息安全策略研究論文10-11
云計算下的網絡信息安全策略研究論文10-08
淺析遠程網絡信息安全策略論文10-09
計算機網絡安全策略淺議10-26
農產品電子商務安全策略研究論文10-09
氣象信息網絡安全策略與技術論文10-08
航空氣象數據庫系統通信分系統設計解析10-26
學校計算機網絡安全策略論文10-09
地級市供電企業信息網絡安全策略論文10-08