帶你走進Oracle數據安全的世界一觀
2024-08-29 13:34:30
供稿:網友
隨著計算機的普及以及網絡的發展,數據庫已經不再僅僅是那些程序員所專有的話題。Oracle數據庫更是憑借其性能卓越、操作方便靈活的特點,在數據庫的市場中已經占據了一席之地。 但是,隨著網絡技術的不斷進步,數據信息的不斷增加,數據安全也已經不再是以前的“老生長談”,更不是以前書本上那些“可望而不可及”的條條框框。 或許很久以前,大家都覺得Oracle數據庫的安全并不存在隱患,因為Oracle公司在2003年11月份開始促銷其數據庫軟件時提出的口號是“只有Oracle9i能夠做到絕對安全”。 但是不管它這么說是為了促銷,還是為了擴大知名度,這口號提出僅一個月后,英國的安全專家 David Litchfield就發現的9iAS中存在的程序錯誤導致緩沖溢出漏洞。后來,PenTest Limited和 eEye Digital Security各自提出了一個小的漏洞,所有使用Oracle公司產品的人都不由地緊張了原本松弛的大腦——對于用戶來說,究竟是關系到了“身家性命”。 下面筆者將帶著大家走進Oracle數據安全的世界。 一、Oracle數據庫的一些基本常識 這里僅僅是為了以后的安全奠定一些基礎,因為我們后面要用到它們。 1. Oracle所包含的組件 Oracle數據庫是指整個Oracle RDBMS環境,它包括以下組件: ·Oracle 數據庫進程和緩沖(實例) ·SYSTEM 表空間包含一個集中系統類目,它可以由一個或多個數據文件構成 ·其它由數據庫治理員(DBA)(可選)定義的表空間,每個都由一個或多個數據文件構成 ·兩個以上的聯機恢復日志 ·歸檔恢復日志(可選) ·其它文件(控制文件、Init.ora、Config.ora 等) 每個 Oracle 數據庫都在一個中心系統類目和數據字典上運行,它位于SYSTEM 表空間 2. 關于“日志” Oracle數據庫使用幾種結構來保護數據:數據庫后備、日志、回滾段和控制文件。下面我們將大體上了解一下作為主要結構之一的“日志”: 每一個Oracle數據庫實例都提供日志,記錄數據庫中所作的全部修改。每一個運行的Oracle數據庫實例相應地有一個在線日志,它與Oracle后臺進程LGWR一起工作,立即記錄該實例所作的全部修改。歸檔(離線)日志是可選擇的,一個Oracle數據庫實例一旦在線日志填滿后,可形成在線日志歸檔文件。歸檔的在線日志文件被唯一標識并合并成歸檔日志。 ·在線日志:一個Oracle數據庫的每一實例有一個相關聯的在線日志。一個在線日志由多個在線日志文件組成。在線日志文件(online redo log file)填入日志項(redo entry),日志項記錄的數據用于重構對數據庫所作的全部修改。 ·歸檔日志:Oracle要將填滿的在線日志文件組歸檔時,則要建立歸檔日志(archived redo log)。其對數據庫備份和恢復的用處如下:a. 數據庫后備以及在線和歸檔日志文件,在操作系統和磁盤故障中可保證全部提交的事物可被恢復。b. 在數據庫打開和正常系統使用下,假如歸檔日志是永久保存,在線后備可以進行和使用。 數據庫可運行在兩種不同方式下:NOARCHIVELOG方式或ARCHIVELOG方式。數據庫在NOARCHIVELOG方式下使用時,不能進行在線日志的歸檔。假如數據庫在ARCHIVELOG方式下運行,可實施在線日志的歸檔。 3. 物理和邏輯存儲結構 Oracle RDBMS是由表空間組成的,而表空間又是由數據文件組成的。表空間數據文件被格式化為內部的塊單位。塊的大小,是由DBA在Oracle第一次創建的時候設置的,可以在512到8192個字節的范圍內變動。 當一個對象在Oracle表空間中創建的時候,用戶用叫做長度的單位(初始長度(initial extent)、下一個長度(next extent)、最小長度(min extents)以及最大長度(max extents))來標明該對象的空間大小。一個Oracle長度的大小可以變化,但是要包含一個由至少五個連續的塊構成的鏈。 二、Oracle數據安全的維護 記得某位哲學家說過:“事物的變化離不開內因和外因。”Oracle數據安全也不例外,分為“內”和“外”兩個部分。我們就先從“內”開始說起: 1. 從Oracle系統本身說起 先拋開令人聞風色變的“hacker”和其他一些外部的原因,來想一下我們的數據庫。硬盤損壞,軟件受損,操作事物……,一系列由于我們的“疏忽”而造成的系統問題就完全可以讓我們辛勞建立的數據庫中的數據一去不復返。那么,我們先從自己身上找找原因吧。 (1). 解決系統本身問題的方法--數據庫的備份及恢復 首先講數據庫的備份。關于Oracle數據庫的備份,有三種標準辦法:導出/導入(EXPort/Import)、冷備份、熱備份。導出/導入備份是一種邏輯備份,冷備份和熱備份是物理備份。
<1>導出/導入(Export/Import) 利用Export可將數據從數據庫中提取出來,利用Import則可將提取出來的數據送回Oracle數據庫中去。 a.簡單導出數據(Export)和導入數據(Import) Oracle支持三種類型的輸出: (a). 表方式(T方式),將指定表的數據導出。 (b). 用戶方式(U方式),將指定用戶的所有對象及數據導出。 (c). 全庫方式(Full方式),將數據庫中的所有對象導出。 數據導出(Import)是數據導入(Export)的逆過程,它們的數據流向不同。 b.增量導出/導入 增量導出是一種常用的數據備份方法,它只能對整個數據庫來實施,并且必須作為SYSTEM來導出。在進行此種導出時,系統不要求回答任何問題。導出文件名缺省為export.dmp,假如不希望自己的輸出文件定名為export.dmp,必須在命令行中指出要用的文件名。 增量導出包括三個類型: (a). “完全”增量導出(Complete) 即備份整個數據庫,比如: $exp system/manager inctype=complete file=990702.dmp(b). “增量型”增量導出 備份上一次備份后改變的數據。比如: $exp system/manager inctype=incremental file=990702.dmp(c). “累計型”增量導出(Cumulative) 累計型導出方式只是導出自上次“完全” 導出之后數據庫中變化了的信息。比如: $exp system/manager inctype=cumulative file=990702.dmp數據庫治理員可以排定一個備份日程表,用數據導出的三個不同方式合理高效地完成。比如數據庫的備份任務可作如下安排: ·星期一:完全導出(A) ·星期二:增量導出(B) ·星期三:增量導出(C) ·星期四:增量導出(D) ·星期五:累計導出(E) ·星期六:增量導出(F) ·星期日:增量導出(G)
