一数据库方案用ORACLE实现

这个问题比较具体，实现方案也有多种，一句话你要做完全没问题。但不知道具体需要怎样，也没法具体回答。

例如你是否需要同一个表中的不同字段，A可以看到而B看不到，A可以修改此表B只能查询这都是可以做到的。利用视图的办法，利用赋权的方法都是可以的。

例如，不同的用户开发的表和后台过程，也是可以互不相通，互相看不到，等等。就看你需要怎样，总有办法做到的。

Oracle数据库本身的安全性建设

从总体上而言，Oracle数据库是业界安全性方面最完备的数据库产品。在数据库安全性的国际标准中，Oracle通过了14项标准的测试，是所有数据库产品中通过安全性标准最多、最全面的产品。Oracle在C2级的 *** 作系统上(如商用UNIX,VMS *** 作系统)，不仅满足NCSC C2级安全标准，而且已经正式通过了NCSC C2标准的测试。在B1级的 *** 作系统上不仅满足NCSC B1级安全标准，而且已经通过了NCSC B1级标准的测试。

Oracle提供的主要安全性措施如下：

身份认证功能（Authentication）：识别访问个体的身份

数据访问的机密性（Confidentialty）：保证敏感数据访问的机密性。

数据完整性（Integrity）：保证数据不被篡改。

授权能力（Authorization）：保证被授权用户对数据的查询和修改能力。

访问控制（Access Control）：确定对指定数据的访问能力。

审计能力（Auditing）：提供监测用户行为的能力。

私有性（Privacy）：提供对敏感数据访问的私密性。

高可用性（Availability）：保证数据和系统提供不间断服务的能力。

代理管理能力（Delegated Administration）：提供对用户帐号的集中管理功能。

下面将就应用系统本身对于Oracle提供的安全性措施作更深入的探讨。

$PageTitle= Oracle的安全性领域}

三、 Oracle的安全性领域

Profile控制

Oracle利用profile机制来管理会话资源占用，同时也管理用户密码的安全策略。

通过profile我们可以实现：

某个特定用户最多只能占用系统百分之几的CPU时间？

某个特定用户连接到数据库之后能存活多长时间？

某个特定用户连接到数据库之后多长时间处于非活跃状态就将被系统中断连接？

用户登录密码输入错误多少次之后就将自动锁定用户？

用户密码的长度和包含的字符必须符合什么样的规则？

用户密码在多少天后将自动失效并要求设定新密码？

用户权限控制 （Privilage）

Oracle通过角色（Role），权限（Privilage）等的一系列授予（Grant）和回收（Revoke） *** 作可以有效的进行用户的权限控制。

通过权限控制我们可以实现：

某个特定用户只能读取而不能修改另一个用户的表数据。

某个特定用户只能运行Oracle数据库系统的几个存储过程或者函数。

某个特定用户自己能够拥有修改某些数据的权力，但是却无法给其它不拥有这个权限的用户授予修改该数据的权力。

某个特定用户可以读取数据但是无法创建新的表空间。

虚拟专用数据库（VPD）

虚拟专用数据库 (VPD) 也称为细粒度访问控制，它提供强大的行级安全功能。它是在 Oracle8i 中推出的，已经受到广泛的欢迎。

VPD 的工作方法是，通过透明地更改对数据的请求，基于一系列定义的标准向用户提供表的局部视图。在运行时，所有查询都附加了谓词，以便筛选出准许用户看到的行。

也就是通过VPD的设置，我们可以做到行级安全性控制，特定的用户即使对一张表有读取权限，那么也只能看到符合自身权限的记录。

注意，在Oracle10g版本中，VPD得到增强，已经可以实现字段级的安全性控制了。

实例及搭建步骤参看：利用VPD细粒度访问策略实现行级安全性 Step By Step

Orace Label Security

基于对由客户提交的行级安全性的严格要求，Oracle Label Security（Oracle 数据库企业版的选件之一）利用多级安全性概念解决了世界上政府和商业用户在实际中遇到的数据安全和隐私问题。

OLS 通过利用数据敏感度标签（例如“敏感”和“公司机密”）与用户标签授权，提供了完善的行级安全性控制。

OLS 使用政策概念来存储标签定义和授权。该政策可直接在数据库中进行管理，或在 Oracle 身份管理中进行集中管理。

Oracle Database Valut

通常数据库管理员如果具有了DBA权限，那么就很难防止这样的管理员查看应用程序数据。而Oracle Database Valut则解决了必须保护涉及合作伙伴、员工和顾客的敏感业务信息或隐私数据的客户最为担心的问题。

Oracle Database Vault 可防止高权限的应用程序 DBA 访问其他的应用程序、执行其权限之外的任务。Oracle Database Vault 可在不影响应用程序功能的前提下快速而高效地保护现有程序。

Oracle Database Vault 可通过下列方法解决一些最为常见的安全问题和内部威胁：

1 限制 DBA 和其他授权用户访问应用程序数据。

2 防止DBA *** 纵数据库和访问其他应用程序。Oracle Database Vault 提供了强大的职责划分控制功能，可防止擅自更改数据库。比如说如果一个用户具有 CREATE USER 权限，但不具备正确的用户管理权限，则 Oracle Database Vault 将阻止该 DBA 创建新用户。

3 更好的控制何人、何时、何地可以访问应用程序。如日期时间、数据库客户端在网络上的位置之类的因素。

Oracle Database Valut是新的Oracle Database 10g企业版的选件。目前已经有Linux X86以及Solaris SPARC 64bit的版本可以下载使用了。

用户访问审计

审计是Oracle安全性的另一个重要领域，我们还必须小心地计划审计方案。有几种方式可在Oracle中进行审计：

1． SQL审计命令（标准审计）

通过AUDIT语句我们可以对成功或者不成功的特定对象的读取，更新 *** 作进行审计。

标准审计只会记录较少的跟踪信息，比如发出该语句的用户、时间、终端标识号等等。

该审计对于系统性能的影响更多地取决于对象的繁忙程度。

2． 用对象触发器进行审计（也就是DML审计）

此类审计通常由客户自行开发放置于特定数据库对象上的触发器，由于是自行开发，所以相对于标准审计则能够更自由地记录更多感兴趣的跟踪信息。比如更新 *** 作将某个字段从什么原始值更新到了什么新值。

该审计对于系统性能的影响更多地取决于对象的繁忙程度和触发器的编写水平。

3． 用系统级触发器进行审计（记录用户登录和退出）

当用户登录数据库或者离开数据库时，都可以通过自定义的触发器来记录用户名称， *** 作时间，终端标识号等信息。

由于触发器触发几率小，所以该审计对于系统性能影响并不大。

4． 用LogMiner进行审计（也就是DML和DDL）

Oracle数据库将所有的更新 *** 作都记录在重作日志中，而Oracle提供了LogMiner工具用于挖掘重作日志中的所有 *** 作，相比起上述的各种审计方法来说，该种审计可能是信息最为完善，对于应用系统性能影响最小的方法。

此处稍微延展开来说一下，LogMiner是双刃剑，既然可以用来审计，也就能够被恶意使用作为数据窃取的工具。所以在数据本身的加密方面，Oracle同样提供了多种解决方案，比如DBMS_OBFUSCATION_TOOLKIT，DBMS_CRYPTO和最新的透明数据加密，甚至在数据备份方面 Oracle也推出了Secure Backup来应对磁带数据的加密，但是要注意到数据加密不应用作访问控制的替代项，存储加密的数据并不会在存储介质本身提供额外的保护层，只是有助于在发生介质遭窃时保护诸如xyk号之类的敏感数据。本文不再作更多的介绍。

5． 细精度审计（FGA）

细粒度审计 (FGA)，是在 Oracle 9i 中引入的，能够记录 SCN 号和行级的更改以重建旧的数据，但是它们只能用于 select 语句，而不能用于 DML，如 update、insert 和 delete 语句。因此，对于 Oracle 数据库 10g 之前的版本，使用触发器虽然对于以行级跟踪用户初始的更改是没有吸引力的选择,但它也是唯一可靠的方法。

而Oracle10g种FGA功能的增强使其不但能够支持select *** 作，同时也支持DML *** 作。在 Oracle 10g 中，审计已经从一个单纯的“ *** 作记录者”成长为一个“事实记录机制”，它能以一个非常详细的级别来捕获用户的行为，这可以消除您对手动的、基于触发器的审计的需要。它还结合了标准审计和 FGA 的跟踪，这使其更易于跟踪数据库访问，而不用考虑它是如何生成的。

通过细粒度审计我们可以记录：

在早上九点到下午六点之间或在星期六和星期日对某个表进行了访问。

使用了公司网络外部的某个 IP 地址。

选定或更新了特定列。

使用了该列的特定值。

在Oracle数据库中 创建索引虽然比较简单 但是要合理的创建索引则比较困难了 笔者认为 在创建索引时要做到三个适当 即在适当的表上 适当的列上创建适当数量的索引 虽然这可以通过一句话来概括优化的索引的基本准则 但是要做到这一点的话 需要数据库管理员做出很大的努力 具体的来说 要做到这个三个适当有如下几个要求

一 根据表的大小来创建索引

虽然给表创建索引 可以提高查询的效率 但是数据库管理员需要注意的是 索引也需要一定的开销的 为此并不是说给所有的表都创建索引 那么就可以提高数据库的性能 这个认识是错误的 恰恰相反 如果不管三七二十一 给所有的表都创建了索引 那么其反而会给数据库的性能造成负面的影响 因为此时滥用索引的开销可能已经远远大于由此带来的性能方面的收益 所以笔者认为 数据库管理员首先需要做到 为合适的表来建立索引 而不是为所有的表建立索引

一般来说 不需要为比较小的表创建索引 如在一个ERP系统的数据库中 department表用来存储企业部门的信息 一般企业的部分也就十几个 最多不会超过一百个 这 条记录对于人来说 可能算是比较多了 但是对于计算机来说 这给他塞塞牙缝都还不够 所以 对类似的小表没有必要建立索引 因为即使建立了索引 其性能也不会得到很大的改善 相反索引建立的开销 如维护成本等等 要比这个要大 也就是说 付出的要比得到的多 显然违反常理

另外 就是对于超大的表 也不一定要建立索引 有些表虽然比较大 记录数量非常的多 但是此时为这个表建立索引并一定的合适 如系统中有一张表 其主要用来保存数据库中的一些变更信息 往往这些信息只给数据库管理员使用 此时为这张表建立索引的话 反而不合适 因为这张表很少用到 只有在出问题的时候才需要查看 其次其即使查看 需要查询的纪录也不会很多 可能就是最近一周的更新记录等等 对于对于一些超大的表 建立索引有时候往往不能够达到预计的效果 而且在打表上建立索引 其索引的开销要比普通的表大的多 那么到底是否给大表建立索引呢笔者认为 主要是看两个方面的内容 首先是需要关注一下 在这张大表中经常需要查询的记录数量 一般来说 如果经常需要查询的数据不超过 %到 %的话 那就没有必要为其建立索引的必要 因为此时建立索引的开销可能要比性能的改善大的多 这个比例只是一个经验的数据 如果数据库管理员需要得出一个比较精确的结论 那么就需要进行测试分析 即数据库管理员需要测试一下全表扫描的时间 看看其是否比建立索引后的查询时间要长或者短 如果是长的话 则说明有建立索引的必要 但是如果没有的话 则说明还是全表扫描速度来的快 此时也就没有必要建立索引了

总之 在考虑是否该为表建立索引时 一般来说小表没有建立索引的必要 而对于打表的话 则需要进行实际情况实际分析 简单一点的 可以根据大致的比率来确定 如果要精确一点的 则可以进行全表扫描性能分析 以判断建立索引后是否真的如预期那样改善了数据库性能

二 根据列的特征来创建索引

列的特点不同 索引创建的效果也不同 数据库管理员需要了解为哪些列创建索引可以起到事倍功半的效果 同时也需要了解为哪些列创建索引反而起到的是事倍功半的效果 这有利于他们了解到底给为怎么样的字段建立索引

根据笔者的经验 往往为如下特征的列创建索引能够起到比较明显的效果 如对于一些重复内容比较少的列 特别是对于那些定义了唯一约束的列 在这些列上建立索引 往往可以起到非常不错的效果 如对于一些null值的列与非Null值的列混合情况下 如果用户需要经常查询所有的非Null值记录的列 则最好为其设置索引 如果经常需要多表连接查询 在用与连接的列上设置索引可以达到事半功倍的效果

可见 索引设置的是否恰当 不仅跟数据库设计架构有关 而且还跟企业的经济业务相关 为此 对于一些套装软件 虽然一开始数据库管理员已经做了索引的优化工作 但是随着后来经济数据的增加 这个索引的效果会越来越打折扣 这主要是因为记录的表化影响到了索引优化的效果 所以笔者建议各位数据库管理员 即使采用的是大牌软件公司的套装软件 也需要隔一段时间 如一年 对数据库的索引进行优化 该去掉的去掉 该调整的调整 以提高数据库的性能

如在数据库中有一张表是用来保存用户信息的 其中有个字段身份z号码 这是一个唯一的字段 在数据库设计时 给这个字段创建了索引 但是当这个数据库投入使用之后 用户不怎么输入用户的身份z号码 而且平时也基本不按这个号码来进行查询 当记录月来月多时 这个身份z号码上的索引字段不但不能够改善数据库的查询性能 反而成了鸡肋 对于这些有很多NULL值的列 而且不会经常查询所有的非NULL值记录的列 数据库管理员要下决心 即使清除这些列上的索引

所以说索引的优化与调整是一个动态的过程 并不是说数据库设计好之后就不需要经过调整 数据库管理员往往需要根据记录的变化情况 来进行适当的变更 以提高索引的效果

三 在一个表上创建多少索引合适

虽然说 在表上创建索引的数量没有限制 但是决不是越多越好 也就是说 在创建索引这项事情上 + 〉 往往不成立 有时候 创建索引越多 其可能会得到适得其反的效果 那么在一个表上 到底给创建多少索引合适呢这个没有一个明确的标准 而是需要数据库管理员根据实际的用途以及数据库中记录的情况 来进行判断

通常来说 表的索引越多 其查询的速度也就越快 但是 表的更新速度则会降低 这主要是因为表的更新(如往表中插入一条记录)速度 反而随着索引的增加而增加 这主要是因为 在更新记录的同时需要更新相关的索引信息 为此 到底在表中创建多少索引合适 就需要在这个更新速度与查询速度之间取得一个均衡点 如对于一些数据仓库或者决策型数据库系统 其主要用来进行查询 相关的记录往往是在数据库初始化的时候倒入 此时 设置的索引多一点 可以提高数据库的查询性能 同时因为记录不怎么更新 所以索引比较多的情况下 也不会影响到更新的速度 即使在起初的时候需要导入大量的数据 此时也可以先将索引禁用掉 等到数据导入完毕后 再启用索引 可以通过这种方式来减少索引对数据更新的影响 相反 如果那些表中经常需要更新记录 如一些事务型的应用系统 数据更新 *** 作是家常便饭的事情 此时如果在一张表中建立过多的索引 则会影响到更新的速度 由于更新 *** 作比较频繁 所以对其的负面影响 要比查询效率提升要大的多 此时就需要限制索引的数量 只在一些必要的字段上建立索引

笔者在平时数据库优化时 往往会根据这些表的用途来为列设置索引 可以查询相关的动态视图 看看对于这张表的 *** 作 是更新 *** 作(包括更新 删除 插入等等)占的比例大 还是查询 *** 作占的比例大 当过多的索引已经影响到更新 *** 作的速度时 则数据库管理员就需要先禁用某些索引 以提高数据库的性能

lishixinzhi/Article/program/Oracle/201311/18407

大量是多少？ 几个GB？几百个GB 几个TB

你打算用哪家的硬件和 *** 作系统？IBM的？HP的？ 还是LINUX EXADATA

峰值会有多少个连接？1000个以下？ 还是更多？ 用来做什么业务？数据分析（一次查询几个小时）？ 还是实时业务？

是打算用单机，还是Oracle的RAC集群(至少需要2台机器)？

以上就是关于一数据库方案用ORACLE实现全部的内容，包括:一数据库方案用ORACLE实现、对三大数据库提点建议、在Oracle中合理创建数据库的索引等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！