隨著計(jì)算機(jī)的普及以及網(wǎng)絡(luò)的發(fā)展，數(shù)據(jù)庫(kù)已經(jīng)不再僅僅是那些程序員所專(zhuān)有的話題。而Oracle數(shù)據(jù)庫(kù)更是憑借其性能卓越，操作方便靈活的特點(diǎn)，在數(shù)據(jù)庫(kù)的市場(chǎng)中已經(jīng)占據(jù)了一席之地。但是同樣隨著網(wǎng)絡(luò)技術(shù)的不斷進(jìn)步，數(shù)據(jù)信息的不斷增加，數(shù)據(jù)安全已經(jīng)不再是以前的“老生長(zhǎng)談”，也更不是以前書(shū)本上那些“可望不可及”的條條框框。

或許很久以前，大家都覺(jué)得Oracle數(shù)據(jù)庫(kù)的安全并不存在隱患，因?yàn)?Oracle公司在去年11月份開(kāi)始促銷(xiāo)其數(shù)據(jù)庫(kù)軟件時(shí)提出的口號(hào)是“只有Oracle9i能夠做到絕對(duì)安全”。但是不管它這么說(shuō)是為了促銷(xiāo)，還是為了擴(kuò)大知名度，總之伴去年12月份，英國(guó)的安全專(zhuān)家DavidLitchfield發(fā)現(xiàn)的9iAS中存在的程序錯(cuò)誤導(dǎo)致的緩沖溢出漏洞以及后來(lái)， PenTestLimited和eEyeDigitalSecurity各自提出了一個(gè)小的漏洞，所有使用Oracle公司產(chǎn)品的人都不由地緊張了原本松弛的大腦--這個(gè)對(duì)于用戶來(lái)說(shuō)，畢竟關(guān)系到了自己的“身家性命”。

下面筆者將帶著大家走進(jìn)Oracle數(shù)據(jù)安全的世界。由于筆者水平有限，所以不足之處在所難免，望大家不吝賜教。

(一)Oracle數(shù)據(jù)庫(kù)的一些基本常識(shí)

這里僅僅是為了以后的安全奠定一些基礎(chǔ)，因?yàn)槲覀兒竺嬉玫剿鼈儭?/P>

1.Oracle所包含的組件：

在Oracle，數(shù)據(jù)庫(kù)是指整個(gè)OracleRDBMS環(huán)境，它包括以下組件：

·Oracle數(shù)據(jù)庫(kù)進(jìn)程和緩沖(實(shí)例)。

·SYSTEM表空間包含一個(gè)集中系統(tǒng)類(lèi)目，它可以由一個(gè)或多個(gè)數(shù)據(jù)文件構(gòu)成。

·其它由數(shù)據(jù)庫(kù)管理員(DBA)(可選)定義的表空間，每個(gè)都由一個(gè)或多個(gè)數(shù)據(jù)文件構(gòu)成。

·兩個(gè)以上的聯(lián)機(jī)恢復(fù)日志。

·歸檔恢復(fù)日志(可選)。

·其它文件(控制文件、Init.ora、Config.ora等)。

每個(gè)Oracle數(shù)據(jù)庫(kù)都在一個(gè)中央系統(tǒng)類(lèi)目和數(shù)據(jù)字典上運(yùn)行，它位于SYSTEM表空間。

2.關(guān)于“日志”：

Oracle數(shù)據(jù)庫(kù)使用幾種結(jié)構(gòu)來(lái)保護(hù)數(shù)據(jù)：數(shù)據(jù)庫(kù)后備、日志、回滾段和控制文件。下面我們將大體上了解一下作為主要結(jié)構(gòu)之一的“日志”：

每一個(gè)Oracle數(shù)據(jù)庫(kù)實(shí)例都提供日志，記錄數(shù)據(jù)庫(kù)中所作的全部修改。每一個(gè)運(yùn)行的Oracle數(shù)據(jù)庫(kù)實(shí)例相應(yīng)地有一個(gè)在線日志，它與Oracle后臺(tái)進(jìn)程LGWR一起工作，立即記錄該實(shí)例所作的全部修改。歸檔(離線)日志是可選擇的，一個(gè)Oracle數(shù)據(jù)庫(kù)實(shí)例一旦在線日志填滿后，可形成在線日志歸檔文件。歸檔的在線日志文件被唯一標(biāo)識(shí)并合并成歸檔日志。

·關(guān)于在線日志：一個(gè)Oracle數(shù)據(jù)庫(kù)的每一實(shí)例有一個(gè)相關(guān)聯(lián)的在線日志。一個(gè)在線日志由多個(gè)在線日志文件組成。在線日志文件(onlineredologfile)填入日志項(xiàng)(redoentry)，日志項(xiàng)記錄的數(shù)據(jù)用于重構(gòu)對(duì)數(shù)據(jù)庫(kù)所作的全部修改。

·關(guān)于歸檔日志：Oracle要將填滿的在線日志文件組歸檔時(shí)，則要建立歸檔日志(archivedredolog)。其對(duì)數(shù)據(jù)庫(kù)備份和恢復(fù)有下列用處：

<1>數(shù)據(jù)庫(kù)后備以及在線和歸檔日志文件，在操作系統(tǒng)和磁盤(pán)故障中可保證全部提交的事物可被恢復(fù)。

<2>在數(shù)據(jù)庫(kù)打開(kāi)和正常系統(tǒng)使用下，如果歸檔日志是永久保存，在線后備可以進(jìn)行和使用。

數(shù)據(jù)庫(kù)可運(yùn)行在兩種不同方式下：NOARCHIVELOG方式或ARCHIVELOG方式。數(shù)據(jù)庫(kù)在NOARCHIVELOG方式下使用時(shí)，不能進(jìn)行在線日志的歸檔。如果數(shù)據(jù)庫(kù)在ARCHIVELOG方式下運(yùn)行，可實(shí)施在線日志的歸檔。

3.物理和邏輯存儲(chǔ)結(jié)構(gòu)：

OracleRDBMS是由表空間組成的，而表空間又是由數(shù)據(jù)文件組成的。表空間數(shù)據(jù)文件被格式化為內(nèi)部的塊單位。塊的大小，是由DBA在Oracle第一次創(chuàng)建的時(shí)候設(shè)置的，可以在512到8192個(gè)字節(jié)的范圍內(nèi)變動(dòng)。當(dāng)一個(gè)對(duì)象在 Oracle表空間中創(chuàng)建的時(shí)候，用戶用叫做長(zhǎng)度的單位(初始長(zhǎng)度((initialextent)、下一個(gè)長(zhǎng)度(nextextent)、最小長(zhǎng)度(minextents)、以及最大長(zhǎng)度(maxextents))來(lái)標(biāo)明該對(duì)象的空間大小。一個(gè)Oracle長(zhǎng)度的大小可以變化，但是要包含一個(gè)由至少五個(gè)連續(xù)的塊構(gòu)成的鏈。

(二)Oracle數(shù)據(jù)安全的維護(hù)

記得某位哲學(xué)家說(shuō)過(guò)：“事物的變化離不開(kāi)內(nèi)因和外因?！蹦敲磳?duì)于Oracle數(shù)據(jù)安全這個(gè)話題而言，也勢(shì)必分為“內(nèi)”和“外”兩個(gè)部分。那么好，我們就先從“內(nèi)”開(kāi)始說(shuō)起：

1.從Oracle系統(tǒng)本身說(shuō)起:

我們先拋開(kāi)令人聞風(fēng)色變的“hacker”和其他一些外部的原因，先想一下我們的數(shù)據(jù)庫(kù)。什么硬盤(pán)損壞，什么軟件受損，什么操作事物……一系列由于我們的“疏忽”而造成的系統(tǒng)問(wèn)題就完全可以讓我們辛苦建立的數(shù)據(jù)庫(kù)中的數(shù)據(jù)一去不復(fù)返。那么，我們就先從自己身上找找原因吧。

【一】解決系統(tǒng)本身問(wèn)題的方法--數(shù)據(jù)庫(kù)的備份及恢復(fù):

·數(shù)據(jù)庫(kù)的備份：

關(guān)于Oracle數(shù)據(jù)庫(kù)的備份，標(biāo)準(zhǔn)地有三中辦法：導(dǎo)出/導(dǎo)入(Export/Import)、冷備份、熱備份。導(dǎo)出備份是一種邏輯備份，冷備份和熱備份是物理備份。

<1>導(dǎo)出/導(dǎo)入(Export/Import)

利用Export可將數(shù)據(jù)從數(shù)據(jù)庫(kù)中提取出來(lái)，利用Import則可將提取出來(lái)的數(shù)據(jù)送回Oracle數(shù)據(jù)庫(kù)中去。

a.簡(jiǎn)單導(dǎo)出數(shù)據(jù)(Export)和導(dǎo)入數(shù)據(jù)(Import)

Oracle支持三種類(lèi)型的輸出：

(1)表方式(T方式)，將指定表的數(shù)據(jù)導(dǎo)出。

(2)用戶方式(U方式)，將指定用戶的所有對(duì)象及數(shù)據(jù)導(dǎo)出。

(3)全庫(kù)方式(Full方式)，將數(shù)據(jù)庫(kù)中的所有對(duì)象導(dǎo)出。

數(shù)據(jù)導(dǎo)出(Import)的過(guò)程是數(shù)據(jù)導(dǎo)入(Export)的逆過(guò)程，它們的數(shù)據(jù)流向不同。

b.增量導(dǎo)出/導(dǎo)入：

增量導(dǎo)出是一種常用的數(shù)據(jù)備份方法，它只能對(duì)整個(gè)數(shù)據(jù)庫(kù)來(lái)實(shí)施，并且必須作為SYSTEM來(lái)導(dǎo)出。在進(jìn)行此種導(dǎo)出時(shí)，系統(tǒng)不要求回答任何問(wèn)題。導(dǎo)出文件名缺省為export.dmp，如果不希望自己的輸出文件定名為export.dmp，必須在命令行中指出要用的文件名。

增量導(dǎo)出包括三個(gè)類(lèi)型：

(1)“完全”增量導(dǎo)出(Complete)

即備份整個(gè)數(shù)據(jù)庫(kù)，比如：$expsystem/managerinctype=completefile=990702.dmp。

更多信息請(qǐng)查看IT技術(shù)專(zhuān)欄