如何消除Oracle數據庫的安全隱患

　　一用戶角色的管理與口令保密
　　
　　這是保護數據庫系統安全的重要手段之一它通過建立不同的用戶組和用戶口令驗證可以有效地防止非法的Oracle用戶進入數據庫系統造成不必要的麻煩和損壞另外在Oracle數據庫中可以通過授權來對Oracle用戶的操作進行限制即允許一些用戶可以對Oracle服務器進行訪問也就是說對整個數據庫具有讀寫的權利而大多數用戶只能在同組內進行讀寫或對整個數據庫只具有讀的權利在此特別強調對SYS和SYSTEM兩個特殊賬戶的保密管理Oracle的數據庫管理員都知道數據庫系統典型安裝後一般sys和system以及internal這三個用戶具有默認的口令數據庫安裝成功後系統管理員作的第一件工作就是修改這些用戶的口令保證數據庫的安全性
　　
　　為了加強數據庫在網絡中的安全性對於遠程用戶應使用加密方式通過密碼來訪問數據庫加強網絡上的DBA權限控制如拒絕遠程的DBA訪問等
　　
　　二數據保護
　　
　　數據庫的數據保護主要是數據庫的備份當計算機的軟硬件發生故障時利用備份進行數據庫恢復以恢復破壞的數據庫文件或控制文件或其他文件
　　
　　另一種數據保護就是日志Oracle數據庫實例都提供日志用以記錄數據庫中所進行的各種操作包括修改調整參數等在數據庫內部建立一個所有作業的完整記錄
　　
　　再一個就是控制文件的備份它一般用於存儲數據庫物理結構的狀態控制文件中的某些狀態信息在實例恢復和介質恢復期間用於引導Oracle數據庫
　　
　　（一）ORACLE數據庫的備份
　　
　　日常工作中數據庫的備份是數據庫管理員必須不斷要進行的一項工作Oracle 數據庫的備份主要有以下幾種方式
　　
　　． 邏輯備份
　　
　　邏輯備份就是將某個數據庫的記錄讀出並將其寫入到一個文件中這是經常使用的一種備份方式
　　
　　·export（導出）此命令可以將某個數據文件某個用戶的數據文件或整個數據庫進行備份
　　
　　·import（導入）此命令將export建立的轉儲文件讀入數據庫系統中也可按某個數據文件用戶或整個數據庫進行
　　
　　． 物理備份
　　
　　物理備份也是數據庫管理員經常使用的一種備份方式它可以對Oracle數據庫的所有內容進行拷貝方式可以是多種有脫機備份和聯機備份它們各有所長在實際中應根據具體情況和所處狀態進行選擇
　　
　　·脫機備份
　　
　　其操作是在Oracle數據庫正常關閉後對Oracle數據庫進行備份備份的內容包括所有用戶的數據庫文件和表所有控制文件所有的日志文件數據庫初始化文件等可采取不同的備份方式如利用磁帶轉儲命令（tar）將所有文件轉儲到磁帶上或將所有文件原樣復制（copyrcp）到另一個備份磁盤中或另一個主機的磁盤中
　　
　　·聯機備份
　　
　　這種備份方式也是切實有效的它可以將聯機日志轉儲歸擋在 Oracle數據庫內部建立一個所有進程和作業的詳細准確的完全記錄
　　
　　物理備份的另一個好處是可將Oracle數據庫管理系統完整轉儲 一旦發生故障可以方便及時地恢復以減少數據庫管理員重新安裝Oracle帶來的麻煩
　　
　　（二）數據庫系統的恢復
　　
　　有了上述幾種備份方法即使計算機發生故障如介質損壞軟件系統異常等情況時也不必驚慌失措可以通過備份進行不同程度的恢復使Oracle數據庫系統盡快恢復到正常狀態
　　
　　． 數據文件損壞
　　
　　這種情況可以用最近所做的數據庫文件備份進行恢復即將備份中的對應文件恢復到原來位置重新加載數據庫
　　
　　． 控制文件損壞
　　
　　若數據庫系統中的控制文件損壞則數據庫系統將不能正常運行那麼只須將數據庫系統關閉然後從備份中將相應的控制文件恢復到原位置重新啟動數據庫系統
　　
　　． 整個文件系統損壞
　　
　　在大型的操作系統中如UNIX由於磁盤或磁盤陣列的介質不可靠或損壞是經常發生的這將導致整個Oracle數據庫系統崩潰這種情形只能
　　
　　·將磁盤或磁盤陣列重新初始化去掉失效或不可靠的壞塊
　　
　　·重新創建文件系統
　　
　　·利用備份將數據庫系統完整地恢復
　　
　　·啟動數據庫系統
　　
　　三建立Oracle的審計機制
　　
　　Oracle的審計機制是用來監視用戶對ORACLE數據庫所做的各種操作在缺省情況下系統的審計功能是關閉的激活的辦法是在INITORA參數文件中將參數AUDIT_TRAIL設置為正整數
　　
　　審計功能激活後任何擁有表或視圖的用戶就可以進行如下審計操作
　　
　　·使用SQL語句來挑選審計選擇項
　　
　　·審計對該用戶所擁有的表或視圖的成功或不成功的存取企圖
　　
　　·有選擇的審計各種類型的SQL操作（SELECTUPDATEINSERTDELETE)
　　
　　·控制審計的程度（是以SESSION還是ACCESS為單位）
　　
　　另外對於DBA用戶還可以以下審計功能
　　
　　·對成功的LOGONLOGOFFGRANTREVOKE進行審計
　　
　　·允許或禁止向審計追蹤表寄數據
　　
　　·為某些數據庫表設定缺省選擇項
　　

From:http://tw.wingwit.com/Article/program/Oracle/201311/16588.html