隨著計算機的普及以及網(wǎng)絡的發(fā)展,數(shù)據(jù)庫已經(jīng)不再僅僅是那些程序員所專有的話題。而Oracle數(shù)據(jù)庫更是憑借其性能卓越,操作方便靈活的特點,在數(shù)據(jù)庫的市場中已經(jīng)占據(jù)了一席之地。但是同樣隨著網(wǎng)絡技術的不斷進步,數(shù)據(jù)信息的不斷增加,數(shù)據(jù)安全已經(jīng)不再是以前的“老生長談”,也更不是以前書本上那些“可望不可及”的條條框框。
或許很久以前,大家都覺得Oracle數(shù)據(jù)庫的安全并不存在隱患,因為 Oracle公司在去年11月份開始促銷其數(shù)據(jù)庫軟件時提出的口號是“只有Oracle9i能夠做到絕對安全”。但是不管它這么說是為了促銷,還是為了擴大知名度,總之伴去年12月份,英國的安全專家DavidLitchfield發(fā)現(xiàn)的9iAS中存在的程序錯誤導致的緩沖溢出漏洞以及后來, PenTestLimited和eEyeDigitalSecurity各自提出了一個小的漏洞,所有使用Oracle公司產(chǎn)品的人都不由地緊張了原本松弛的大腦--這個對于用戶來說,畢竟關系到了自己的“身家性命”。
下面筆者將帶著大家走進Oracle數(shù)據(jù)安全的世界。由于筆者水平有限,所以不足之處在所難免,望大家不吝賜教。
(一)Oracle數(shù)據(jù)庫的一些基本常識
這里僅僅是為了以后的安全奠定一些基礎,因為我們后面要用到它們。
1.Oracle所包含的組件:
在Oracle,數(shù)據(jù)庫是指整個OracleRDBMS環(huán)境,它包括以下組件:
·Oracle數(shù)據(jù)庫進程和緩沖(實例)。
·SYSTEM表空間包含一個集中系統(tǒng)類目,它可以由一個或多個數(shù)據(jù)文件構成。
·其它由數(shù)據(jù)庫管理員(DBA)(可選)定義的表空間,每個都由一個或多個數(shù)據(jù)文件構成。
·兩個以上的聯(lián)機恢復日志。
·歸檔恢復日志(可選)。
·其它文件(控制文件、Init.ora、Config.ora等)。
每個Oracle數(shù)據(jù)庫都在一個中央系統(tǒng)類目和數(shù)據(jù)字典上運行,它位于SYSTEM表空間。
2.關于“日志”:
Oracle數(shù)據(jù)庫使用幾種結構來保護數(shù)據(jù):數(shù)據(jù)庫后備、日志、回滾段和控制文件。下面我們將大體上了解一下作為主要結構之一的“日志”:
每一個Oracle數(shù)據(jù)庫實例都提供日志,記錄數(shù)據(jù)庫中所作的全部修改。每一個運行的Oracle數(shù)據(jù)庫實例相應地有一個在線日志,它與Oracle后臺進程LGWR一起工作,立即記錄該實例所作的全部修改。歸檔(離線)日志是可選擇的,一個Oracle數(shù)據(jù)庫實例一旦在線日志填滿后,可形成在線日志歸檔文件。歸檔的在線日志文件被唯一標識并合并成歸檔日志。
·關于在線日志:一個Oracle數(shù)據(jù)庫的每一實例有一個相關聯(lián)的在線日志。一個在線日志由多個在線日志文件組成。在線日志文件(onlineredologfile)填入日志項(redoentry),日志項記錄的數(shù)據(jù)用于重構對數(shù)據(jù)庫所作的全部修改。
·關于歸檔日志:Oracle要將填滿的在線日志文件組歸檔時,則要建立歸檔日志(archivedredolog)。其對數(shù)據(jù)庫備份和恢復有下列用處:
<1>數(shù)據(jù)庫后備以及在線和歸檔日志文件,在操作系統(tǒng)和磁盤故障中可保證全部提交的事物可被恢復。
<2>在數(shù)據(jù)庫打開和正常系統(tǒng)使用下,如果歸檔日志是永久保存,在線后備可以進行和使用。
數(shù)據(jù)庫可運行在兩種不同方式下:NOARCHIVELOG方式或ARCHIVELOG方式。數(shù)據(jù)庫在NOARCHIVELOG方式下使用時,不能進行在線日志的歸檔。如果數(shù)據(jù)庫在ARCHIVELOG方式下運行,可實施在線日志的歸檔。
3.物理和邏輯存儲結構:
OracleRDBMS是由表空間組成的,而表空間又是由數(shù)據(jù)文件組成的。表空間數(shù)據(jù)文件被格式化為內(nèi)部的塊單位。塊的大小,是由DBA在Oracle第一次創(chuàng)建的時候設置的,可以在512到8192個字節(jié)的范圍內(nèi)變動。當一個對象在 Oracle表空間中創(chuàng)建的時候,用戶用叫做長度的單位(初始長度((initialextent)、下一個長度(nextextent)、最小長度(minextents)、以及最大長度(maxextents))來標明該對象的空間大小。一個Oracle長度的大小可以變化,但是要包含一個由至少五個連續(xù)的塊構成的鏈。
(二)Oracle數(shù)據(jù)安全的維護
記得某位哲學家說過:“事物的變化離不開內(nèi)因和外因?!蹦敲磳τ贠racle數(shù)據(jù)安全這個話題而言,也勢必分為“內(nèi)”和“外”兩個部分。那么好,我們就先從“內(nèi)”開始說起:
1.從Oracle系統(tǒng)本身說起:
我們先拋開令人聞風色變的“hacker”和其他一些外部的原因,先想一下我們的數(shù)據(jù)庫。什么硬盤損壞,什么軟件受損,什么操作事物……一系列由于我們的“疏忽”而造成的系統(tǒng)問題就完全可以讓我們辛苦建立的數(shù)據(jù)庫中的數(shù)據(jù)一去不復返。那么,我們就先從自己身上找找原因吧。
【一】解決系統(tǒng)本身問題的方法--數(shù)據(jù)庫的備份及恢復:
·數(shù)據(jù)庫的備份:
關于Oracle數(shù)據(jù)庫的備份,標準地有三中辦法:導出/導入(Export/Import)、冷備份、熱備份。導出備份是一種邏輯備份,冷備份和熱備份是物理備份。
<1>導出/導入(Export/Import)
利用Export可將數(shù)據(jù)從數(shù)據(jù)庫中提取出來,利用Import則可將提取出來的數(shù)據(jù)送回Oracle數(shù)據(jù)庫中去。
a.簡單導出數(shù)據(jù)(Export)和導入數(shù)據(jù)(Import)
Oracle支持三種類型的輸出:
(1)表方式(T方式),將指定表的數(shù)據(jù)導出。
(2)用戶方式(U方式),將指定用戶的所有對象及數(shù)據(jù)導出。
(3)全庫方式(Full方式),將數(shù)據(jù)庫中的所有對象導出。
數(shù)據(jù)導出(Import)的過程是數(shù)據(jù)導入(Export)的逆過程,它們的數(shù)據(jù)流向不同。
b.增量導出/導入:
增量導出是一種常用的數(shù)據(jù)備份方法,它只能對整個數(shù)據(jù)庫來實施,并且必須作為SYSTEM來導出。在進行此種導出時,系統(tǒng)不要求回答任何問題。導出文件名缺省為export.dmp,如果不希望自己的輸出文件定名為export.dmp,必須在命令行中指出要用的文件名。
增量導出包括三個類型:
(1)“完全”增量導出(Complete)
即備份整個數(shù)據(jù)庫,比如:$expsystem/managerinctype=completefile=990702.dmp。
更多信息請查看IT技術專欄
2025國考·省考課程試聽報名