深入分析Oracle数据库的安全策略

Oracle是关系型数据库管理系统 它功能强大 性能卓越 在当今大型数据库管理系统中占有重要地位 在正常情况下 Oracle数据库会保证数据的安全 稳定 为用户提供正确的数据 但由于计算机系统的故障(硬件故障 软件故障 网络故障和系统故障)影响数据库系统的 *** 作 影响数据库中数据的正确性 甚至破坏数据库 使数据库中全部或部分数据丢失 整个系统都将处于瘫痪状态 因此 如何保证Oracle数据库的安全就成为整个系统安全的重要组成部分

Oracle数据库的安全策略包括数据库的备份和恢复 用户角色管理

一 数据库备份所使用的结构

Oracle数据库使用几种结构来保护数据 数据库后备 日志 回滚段和控制文件

数据库后备是由构成Oracle数据库的物理文件的 *** 作系统后备所组成 当介质故障时进行数据库恢复 利用后备文件恢复毁坏的数据文件或控制文件

每一个Oracle数据库实例都提供日志 记录数据库中所作的全部修改 每一个运行的Oracle数据库实例相应地有一个在线日志 它与Oracle后台进程LGWR一起工作 立即记录该实例所作的全部修改 归档(离线)日志是可选择的 一个Oracle数据库实例一旦在线日志填满后 可形成在线日志归档文件 归档的在线日志文件被唯一标识并合并成归档日志

回滚段用于存储正在进行的事务(为未提交的事务)所修改值的老值 该信息在数据库恢复过程中用于撤消任何非提交的修改

控制文件 一般用于存储数据库的物理结构的状态 控制文件中某些状态信息在实例恢复和介质恢复期间用于引导Oracle

二 在线日志

一个Oracle数据库的每一实例有一个相关联的在线日志 一个在线日志由多个在线日志文件组成 在线日志文件(online redo log file)填入日志项(redo entry) 日志项记录的数据用于重构对数据库所作的全部修改

三 归档日志

Oracle要将填满的在线日志文件组归档时 则要建立归档日志(archived redo log) 其对数据库备份和恢复有下列用处

数据库后备以及在线和归档日志文件 在 *** 作系统和磁盘故障中可保证全部提交的事物可被恢复

在数据库打开和正常系统使用下 如果归档日志是永久保存 在线后备可以进行和使用

数据库可运行在两种不同方式下 NOARCHIVELOG方式或ARCHIVELOG 方式 数据库在NOARCHIVELOG方式下使用时 不能进行在线日志的归档 如果数据库在ARCHIVELOG方式下运行 可实施在线日志的归档

四 Oracle的备份特性

Oracle备份包括逻辑备份和物理备份

逻辑备份

数据库的逻辑备份包含读一个数据库记录集和将记录集写入文件

( )输出(Export)输出可以是整个数据库 指定用户或指定表

( )输入(Import)输入将输出建立的二进制转储文件读入并执行其命令

物理备份

物理备份包含拷贝构成数据库的文件而不管其逻辑内容

Oracle支持两种不同类型的物理文件备份 脱机备份(offline backup)和联机备份(online backup)

( ) 脱机备份

脱机备份用在当数据库已正常关闭 数据库处于 offline 时 要备份下列文件

所有数据文件

所有控制文件

所有联机日志

init ora(可选的)

( ) 联机备份

联机备份可用来备份任何运作在ARCHIVELOG方式下的数据库 在这种方式下 联机日志被归档 在数据库内部建立一个所有作业的完整记录

联机备份过程具备强有力的功能 第一 提供了完全的时间点(point in time)恢复 第二 在文件系统备份时允许数据库保持打开状态

备份方式特性比较

五 Oracle数据库的角色管理

Oracle数据库系统在利用角色管理数据库安全性方面采取的基本措施有

通过验证用户名称和口令 防止非Oracle用户注册到Oracle数据库 对数据库进行非法存取 *** 作

授予用户一定的权限 限制用户 *** 纵数据库的权力

授予用户对数据库实体的存取执行权限 阻止用户访问非授权数据

提供数据库实体存取审计机制 使数据库管理员可以监视数据库中数据的存取情况和系统资源的使用情况

采用视图机制 限制存取基表的行和列集合

六 Oracle数据库的安全策略

由于Oracle数据库备份有三种方式 每种方式具有不同的恢复特性 因此应集成数据库与文件系统备份 集成逻辑备份和物理备份

(一) 备份策略

在 *** 作系统级别 使用大容量磁盘阵列 通过磁盘映像技术使每一个数据库文件自动分布于每个物理磁盘 这样 当某个磁盘出现物理损坏时 *** 作系统会自动引发映像磁盘来取代失效的磁盘 保证数据库的正常运行

在多个不同的物理磁盘上保持多个控制文件的备份 控制文件在数据库恢复期间用于引导Oracle 因此保持多个控制文件的备份 可以确保在出现磁盘故障后 能有可用的控制文件用于数据库恢复

使数据库运行在ARCHIVELOG(归档)方式下 归档日志存放于另一映像的逻辑磁盘上 每晚进行一次联机备份 *** 作 备份所有数据文件 所有归档日志文件 一个控制文件 每周进行一次输出(Export) *** 作

(二) 恢复策略

实例失败

从实例失败中恢复是自动进行的 实例失败一般是由服务器失败引起的 当数据库实例失败后 重新启动服务器 启动数据库 Oracle检查数据文件和联机日志文件 并把所有文件同步到同一个时间点上

磁盘失败

如果丢失的是控制文件 只要关闭数据库 从保留有控制文件的地方拷贝一份即可

如果丢失的是数据文件 可用前一天晚上的联机备份进行恢复 步骤如下

)从备份中把丢失的文件存在原来位置

)加载数据库

)恢复数据库

)打开数据库

错误删除或修改对象

在这种情况下 一般希望能追溯返回到错误发生前的那个时间点上 这叫做时间点恢复 完成恢复的步骤如下

)从当前数据库输出(Export) 输入(Import)到备用数据库 使备用数据库与当前数据库保持一致

)向前滚动备用数据库到错误发生前的那个时间点

)从备用数据库输出受错误影响的逻辑对象

)使用上一步产生的输出文件输入那些受影响的对象到当前数据库

(三) 用户角色管理

对所有客户端按工作性质分类 分别授予不同的用户角色

对不同的用户角色 根据其使用的数据源 分别授予不同的数据库对象存取权限

lishixinzhi/Article/program/Oracle/201311/16847

Oracle的来源

oracle是殷墟（Yin Xu）出土的甲骨文（oracle bone inscriptions）的英文翻译的第一个单词，在英语里是“神谕”的意思。

数据库厂商Oracle

Oracle公司是全球最大的信息管理软件及服务供应商，成立于1977年，总部位于美国加州 Redwood shore。2000财年(99年6月到2000年5月)营业额达101亿美元，再创Oracle公司销售额历史新高，比去年增长了13亿美元，盈利增长61%，达到21亿美元。Oracle公司现有员工超过三万六千人，服务遍及全球145个国家。 Oracle公司拥有世界上唯一一个全面集成的电子商务套件Oracle Applications R11i，它能够自动化企业经营管理过程中的各个方面，深受用户的青睐，促使Oracle应用软件在2000财年第四季度的销售额达4.47亿美元，与 SAP公司的同期应用软件销售额3.52亿美元相比，多出近1亿美元，这一事实表明，Oracle已经是世界最大的应用软件供应商。Oracle电子商务套件涵盖了企业经营管理过程中的方方面面，虽然它在不同的方面分别面对不同的竞争对手，而Oracle电子商务解决方案的核心优势就在于它的集成性和完整性，用户完全可以从Oracle公司获得任何所需要的应用功能，更重要的是，它们具有一致的基于Internet技术的应用体系结构，而如果用户想从其它厂商处获得Oracle电子商务所提供的完整功能，不仅需要从多家厂商分别购买不同的应用，而且需要另请咨询公司把这些不同的应用装配起来，还必须确保它们能够协同地工作。

先进的产品和高效率的企业运作，是Oracle公司利润得以继续增长的重要原因，一年前，Oracle公司确定了通过采用自身的Internet电子商务解决方案，实现每年节省10亿美元企业日常运作费用的目标，这一数据相当于将我们的年度利润率提高10%。

四年前电子商务在全球范围内还仅处于萌芽状态时，Oracle公司便前瞻性地作出了从领先的数据库厂商向以Internet计算为基础的完整的电子商务解决方案供应商转型的战略部署。这一前瞻性战略为Oracle带来了巨大的利益，今天，Oracle能够领先于竞争对手提供包括平台产品、应用产品和完善的服务在内的先进的、完整的、集成的电子商务解决方案，可以无缝集成供应链管理(SCM)、企业资源管理(ERP)、客户资源管理(CRM)和企业商业智能 (BI)和电子商务应用IP(Internet Pocurement)、Exchange、Portal-to-go等产品。Oracle从低端到高端的所有方案100%基于Internet应用体系结构，都可以通过Web安全、直接地访问，使企业能够通过Web完成包括报价、定单、支付、执行、服务等在内的企业业务过程的所有环节，帮助企业将现有业务内容快速转移到电子商务，迅速获得来自电子商务的高效益。

Oracle应用产品包括财务、供应链、制造、项目管理、人力资源和市场与销售等150多个模块，荣获多项世界大奖,现已被全球近7600多家企业所采用。由于在电子商务方面的杰出表现，Oracle公司在美国Mongan Stanley公司最新公布的权威性全球企业1000强中，从去年的第122名一跃成为第13名，成为全球第二大独立软件公司和最大的电子商务解决方案供应商。目前， Amazon和Dell等全球十个最大的Internet电子商务网站、全球十个最大的B-to-B网站中的九个、93%的上市.COM公司、65家“财富全球100强”企业均不约而同地采用Oracle电子商务解决方案。

公司类型 上市公司 (NASDAQ: ORCL)

口号 Oracle is the information company

成立于 加利福尼亚 (1977年)[1]

总部位于 美国加州红木滩市

重要人物 劳伦斯·埃里森 Lawrence (Larry) J. Ellison, 首席执行官

产业 数据库软件

雇员数目 35000+

Oracle 公司年表

约70年代 一间名为Ampex的软件公司，正为中央情报局设计一套名叫Oracle的数据库，Ellison是程序员之一。

1977 年艾利森与女上司Robert Miner创立“软件开发实验室”（Software Development Labs），当时IBM发表“关联数据库”的论文，艾利森以此造出新数据库，名为甲骨文。

1978 年 公司迁往硅谷，更名为“关系式软件公司” (RSI)，两年后，共有8名员工，年收入少于100万美金。最先提出“关联数据库”的IBM采用RSI的数据库。1982年再更名为甲骨文(Oracle)。

1984年　三年内，先后进军加、荷、英、奥地利、日、德、瑞士、瑞典、澳洲、芬兰、法、香港、挪威、西班牙。1986年上市时，年收入暴升至5500 万美元，同年3月招股，集资3150万美元。

1987年 年收入达到 1.31 亿美元，甲骨文一年后成为世界第四大软件公司。两年内再进军墨西哥、巴、中、塞浦路斯、马来西亚及新西兰。一年后，收入再升一倍至2.82亿美元。

1990年　甲骨文两年内挥军进入智利、希腊、韩、葡、土、委内瑞拉、台、比利是、阿根延、哥伦比亚、哥斯达黎加及菲等地，但市甲骨文首次录得亏蚀，市值急跌80%，艾利森首次安排资深管理人员参与经营。

1992年　旗鉴产品Oracle 7面世，该公司重拾升轨，年收入达到 11.79 亿美元。曾被视为甲骨文接班人、但后来被踼出局的Raymond Lane担任营运总监。

1995年　艾利森宣布PC已死，把全数产品推向因特网发展，并另组“网络电脑公司”（Network Computer），销售“网络电脑”，最终被淘汰收场。

2000年　科网接近尾声时，推出E-Business Suite，抢占应用产品市场，与昔日的生意伙伴构成严重利益冲突。同期微软及IBM数据技术提升，此后Oracle新增订单数目的占有率，在两年内下跌6.6%，业务倒退10%。

2003年　敌意收购仁科软件公司(Peoplesoft)，引起业界轰动。两公司的争嗌新闻层出不穷。同年美国司法部落案阻止甲骨文收购。

Oracle中国公司

1989年Oracle公司正式进入中国市场，成为第一家进入中国的世界软件巨头，标志着刚刚起飞的中国国民经济信息化建设已经得到Oracle的积极响应，由Oracle首创的关系型数据库技术开始服务于中国用户。1991年7月，经过了近两年时间的努力开拓，为了更好地与迅速发展的业务相适应，Oracle在北京建立独资公司。今天的Oracle中国公司拥有超过3500名员工，并在全国十二个城市设立了分公司。

为了帮助中国用户及时、充分利用世界最先进的计算机软件技术与产品，Oracle中国公司在产品汉化方面投入了大量的资源，目前，Oracle的大部分产品均已实现了全面中文化，中文版产品的更新节奏与美国本土基本同步一致。与此同时，Oracle在中国得到了数以百计的国内计算机企业的合作与支持，除了惠普、Sun、康柏、Cisco、Intel等Oracle全球联盟合作伙伴和普华永道咨询有限公司、安达信企业咨询有限公司、安盛咨询、德勤企业管理咨询公司、凯捷安永咨询(亚太)有限公司等Oracle全球系统集成商外，Oracle公司在中国还建立起完整的合作伙伴体系，6家增值经销商、72家独立软件开发商、3家应用软件合作伙伴、180家授权分销商和4家授权培训中心，他们共同构成了基于Oracle技术产品基础的全国性市场开拓、系统集成、增值开发与技术服务体系，为Oracle在中国的业务发展提供了强有力的支持。由他们开发的数百个基于Oracle平台的商品化应用软件包，已经广泛应用于国内的政府部门、电信、邮政、公安、金融、保险、能源电力、交通、科教、石化、航空航天、民航等各行各业。

甲骨文公司主要产品简介

1. Oracle电子商务套件（Oracle E-Business Suite）

Oracle电子商务套件是行业中第一个集成的基于互联网的商务应用套件，它将前台与后台运营中的关键业务流程自动化。Oracle电子商务套件涵盖了营销、销售、服务、合同、定单管理、产品设计、采购、供应链、制造、财务、项目管理、人力资源与专业服务自动化在内的企业中每一个领域的业务。2001年全球共有1100多家企业实施了Oracle电子商务套件，目前全球已经有超过12000家用户正在获益于Oracle电子商务套件所带来的前所未有的好处。

自从Oracle电子商务套件首次面世以来，甲骨文公司已经推出了6种电子商务套件的增强版本，从而形成了一整套成熟的、功能齐全的应用套件。Oracle电子商务套件能够使用户在实施业务应用时拥有前所未有的可选择性与灵活性，它的开放式基础架构与单一数据模型使用户在部署套件中的应用软件时拥有多种选择，既可以单独使用，也可以组成业务流，还可以作为一个整体的集成套件来部署。Oracle电子商务套件既可以作为用CD ROM为载体的传统软件的形式，也可以作为一种在线服务的形式来提供给用户。

2. Oracle10g —— 新一代电子商务平台

Oracle10g是业界第一个完整的、智能化的新一代Internet基础架构，Oracle10g电子商务平台实际上是指Oracle数据库10g、Oracle应用服务器10g和Oracle开发工具套件10g的完整集成。

Oracle数据库10g是第一套具有无限可伸缩性与高可用性，并可在集群环境中运行商业软件的互联网数据库，具有400多个领先的数据库功能，在集群技术、高可用性、商业智能、安全性、系统管理等方面都实现了新的突破。作为甲骨文公司长达十年的软件技术研发成果，真正应用集群技术（Real Application Clusters）能够提供近乎无限的扩充能力与整体可用性，为用户带来透明的、高速增长的集群功能。

Oracle应用服务器10g是J2EE认证的、最轻、最快、最具伸缩性的应用服务器，提供了企业门户软件、无线支持、高速缓存、轻量级J2EE引擎、商务智能、快速应用开发、应用与业务集成、Web 服务等多种应用开发功能，形成完整的电子商务应用开发和部署环境。使用了Oracle应用服务器10g的用户可以通过升级软件来取代升级硬件，大大的节省了基础设施的成本花费。

Oracle开发工具套件10g是一套完整的集成开发工具，可用于快速开发使用Java和XML语言的互联网应用和Web服务，支持任何语言、任何 *** 作系统、任何开发风格、开发生命周期的任何阶段以及所有最新的互联网标准。

9i之后的Oracle的硬件要求很高，（Windows版本）9i建议配512M内存，10g建议配1G内存。

oracle11g

2007年7月12日，甲骨文公司在美国纽约宣布推出数据库Oracle 11g，这是Oracle数据库的最新版本。甲骨文介绍说，Oracle 11g有400多项功能，经过了1500万个小时的测试，开发工作量达到了3.6万人/月。

有意思的是，根据甲骨文以往几个版本的发行经验，发布新版Oracle数据库的频率在3年左右，以此类推，Oracle 11g应该在07年年底发布，选择在7月份发布，不知道是否和代号Katmai的SQL Server 2008有关，因为目前还处于测试阶段的SQL Server 2008将在08年2月发布，业内用Oracle 10g和SQL Server 2003做比较也曾一度惹恼了甲骨文。

XML显高温

当XML面世之时，也许没有哪个数据库厂商会对这种技术给以足够的关注，然而在今天，XML已经开始对数据存储产生巨大的影响。到现在，这种可扩展标记语言已是各种数据，特别是文档的首选格式，国际主流的数据库厂商们自然也随行就市，全都推出了兼容传统关系型数据与XML数据混合应用的新一代数据库产品。

XML在数据存储方面有一个明显的优点，那就是可以直接将逻辑关系编写在XML文件当中。一个时髦的XML数据库应该提供哪些功能呢?归纳起来应该有四个基本功能：使用、存储、查询和产生XML的能力。

在Oracle 10g中，曾被人们津津乐道的最重要的改进是增加了对XML schema(XML语法)转换的支持，它允许用户通过将现有的数据映射为新的schema来实现XML schema转换。而不必把所有XML数据输出后再重新输入进去，其它事情将由数据库自动完成。

在Oracle 11g中， XML DB的性能又获得很大提高，XML DB是Oracle数据库的一个组件，客户可以以本机方式存储和 *** 作XML数据。11g增加了对二进制XML数据的支持，现在客户可以选择适合自己特定应用及性能需求的XML存储选项。

当然，不仅仅是甲骨文看好XML，为吸引Oracle用户，IBM公司DB2 9打XML旗号直接把XML作为其新产品的最大卖点微软和Sybase也宣称它们的产品也可以实现高性能XML存储与查询，使现有应用更好地与XML并存。

网格计算有点冷

新的Oracle 11g仍使用g(Grid)作为后缀，以代表这是一个包含了网格技术基础的数据库。甲骨文称，Oracle 11g能更方便地在低成本服务器和存储设备组成的网格上运行。不过，目前仅有IBM DB2数据库也支持网格计算技术。

网格计算将多个服务器和存储器当作一台大型电脑协调使用，使它们在高速网络上动态地共享计算机资源，以满足不断变化的计算需求。简而言之，即将多个服务器和存储器当作一台主机协调使用。网格计算被广泛视为未来的计算方式。

尽管微软对网格计算的兴趣也很浓厚，承诺要让Windows能够更好地适应高数据强度的计算网格。但微软除了在内部研究之外，似乎一直在这个话题上非常沉默。对于数据库中网格计算，微软和Sybase方面表示，网格应用在技术上还需解决一些问题(如：多节点性能问题) ，网格技术要成为商业应用的主流，还需要几年时间在应用和产品上进一步完善。

不容乐观的是，在咨询公司Quocirca发布的调查显示，我国网格实际采用率仍然偏低，总体网格指数在15个被调查国家中只排第9位，处于中下游，甲骨文表示，中国用户可能对网格的价值还没有真正接受。很多中国企业有一种观望的心态，觉得应用网格存在风险。

11g安全了吗?

有业内人士曾表示，Oracle 10g只能算是一个过渡版本。因为06年，下一代安全软件机构NGSS对微软SQL Server和Oracle数据库做了一个弱点对比，结果表明Oracle的数据库产品存在更多的弱点。

NGSS的研究人员称，Oracle有233个缺陷点，而SQL Server只有59个。这些缺陷在SQL Server7、2000以及2005中，在Oracle8、9以及10g版本中被报道，并被修复。分析机构ESG也发布调查报告表示，在安全性方面微软击败了甲骨文，似乎甲骨文数据库“无懈可击”的安全神话已不复存在。

针对那些不断对甲骨文安全性能表示批评的专家，甲骨文终于开始猛烈还击。2006年底，甲骨文全球技术事业部的安全经理Eric Maurice在公司的博客上表示，甲骨文在开发和安全方面的技术水平居业界领先位置。与微软数据库的安全性能比较，不过是别有用心的人在玩数字游戏，甲骨文不会让外部的压力改变其既定的安全策略。

到现在，起码可以从资料上看到，Oracle的安全认证获得最高认证级别的ISO标准认证，而SQL Server并没有获得什么安全认证。从这方面证明了Oracle的安全性不应该被受到如此指责。

从甲骨文此次推出的11g可以看到，在安全方面除了10g已经存在的数据阀门和加密外，11g又增加了四项安全功能，即安全备份、非对称数据的授权安全检索、监控、管理和报警。

Oracle 11g数据库增强了Oracle透明数据加密功能，将这种功能扩展到了卷级加密之外。11g还增加了表空间加密功能，可用来加密整个表、索引和所存储的其它数据。存储在数据库中的大型对象也可以加密。

看来甲骨文很注重11g在安全上的表现，闪回交易技术可以撤销错误交易以及任何相关交易，并行备份和恢复功能。另外，一种新的顾问软件—数据恢复顾问，可自动调查问题，智能地确定恢复计划并处理多种故障情况。

Oracle 11g的Oracle Data Guard组件可用于对生产数据库的报告、备份、测试和“滚动”升级。通过将工作量从生产系统卸载到备用系统，并组成一个更经济的灾难恢复解决方案。

也许正是在安全性上的增强，才使得甲骨文公司数据库服务器技术高级副总裁Andy Mendelsohn自信地表示：“Oracle 11g真正克服了挑战并实现了真正的创新。

ORACLE特点

* ORACLE7.X以来引入了共享SQL和多线索服务器体系结构。这减少了ORACLE的资源占用，并增强了ORACLE的能力，使之在低档软硬件平台上用较少的资源就可以支持更多的用户，而在高档平台上可以支持成百上千个用户。

* 提供了基于角色(ROLE)分工的安全保密管理。在数据库管理功能、完整性检查、安全性、一致性方面都有良好的表现。

* 支持大量多媒体数据，如二进制图形、声音、动画以及多维数据结构等。

* 提供了与第三代高级语言的接口软件PRO*系列，能在C,C++等主语言中嵌入SQL语句及过程化(PL/SQL)语句，对数据库中的数据进行 *** 纵。加上它有许多优秀的前台开发工具如 POWER BUILD、SQL*FORMS、VISIA BASIC 等，可以快速开发生成基于客户端PC 平台的应用程序，并具有良好的移植性。

* 提供了新的分布式数据库能力。可通过网络较方便地读写远端数据库里的数据，并有对称复制的技术。

Oracle也许是最流行的服务器,占有最大的市场份额.它被广泛用于各个市场领域,满足一系列的存储需求,例如财务记录,人力资源及订单编制等.造成这种现象的原因之一在于Oracle较早的进入RDBMS(关系型数据库管理系统)领域,并且提供可运行于大多数 *** 作系统能够上的数据库版本,虽然Orcle的首选 *** 作系统似乎正由Solaris转为Linux,但是Oracle仍然在进行与其他 *** 作系统的兼容工作.尽管Oracle经常在Unix或是Linux平台上运行,但是也有大量的Oracle在HP-UX和AIX上运行.随着几年前电子商务的激增,将会驱使Oracle成为WEB应用所需数据库的选择.这使数据库更容易受攻击者的控制,事实上,一旦Oracle从后台进入前端,那么人们会更多地关注它的安全方面。

---