◆谢云升 张智毅 施翔瀚



数据库在企业管理系统中的安全策略

◆谢云升 张智毅 施翔瀚

(广东石油化工学院 广东 525000)

本文主要以ORACLE数据库为例，对企业管理系统当中数据库的安全策略进行了全面探究，并且细致地对借助用户控制、角色管控、审计技术、并发控制以及数据库恢复及备份等技术手段完成数据库安全规划工作进行了论述。

数据库；企业；管理系统；安全策略

0 引言

当前，伴随着企业信息化的演进，管理系统在企业当中的运用更加普遍。众所周知，系统的安全管理是每个企业平时运营的关键一项内容，为避免外部对企业内部系统数据的非法访问，保障系统数据不被破坏、篡改，系统数据发生意外后可迅速恢复，其必须更加重视此项工作。本文运用用户及角色管控、视图、数据库备份和恢复等多项技术手段对数据库的安全管理及其在企业管理系统中的安全策略规划展开了详细论述。

1 用户及角色管控

在各个企业的信息管理系统当中，许许多多运营及管理数据均被存储在数据库里，要想有效保障这些重要数据的安全，就应当保证数据库操作系统的安全性，因为此系统是禁止任何未经授权的用户对数据进行查看或修改等一切操作的。所以，用户在进入数据库进行操作前，系统首先会借助用户标识以及独特鉴定的方法让用户标明自己的身份，再由系统进行查验，待通过鉴定之后方可进入系统进行操作，现在的用户标识通常由用户名称及用户密码两部分组成。

在企业的管理信息系统里，用户的管理及划分形式选取的是依据部门及职责进行相关操作，以各职能部门为单位设立用户组，在多个部门中按照履职的不同创建用户，各个用户都具有自身的密钥。我们以企业财务部为例进行说明，首先把财务部分成一个用户组，接着再按照此部门中人员的不同分工分别建立账目管理用户、成本控制用户、销售管控用户、固定资产控制用户以及财务经理用户等等。

在oracle数据库中，我们可以借助CREATE USER语句在库中重新设立新用户。在用户的创建环节中指定的信息包括用户名、密码、概要、授予用户使用权限、锁定状态等等。此外，在开设新用户的时候，默认分配给用户的概要文件为DEFAULT文件，其可借助CREATE PROFILE语句创建新的概要文件，然后借助概要文件当中的一系列参数设计允许用户连接失败的次数，确定用户被锁定的时长及密钥的最长使用时间等。oracle数据库目前仅支持两类权限：系统权限以及对象权限。在权限管理方面选取基于角色的权限访问管理操作，大体思路为：把访问权限同角色结合，角色和用户结合，进而实现有效的逻辑分离，令访问安全管理更具柔性。借助对企业各部门各用户权限的剖析，同时按照企业安全策略及操作规范可进一步细化数据库角色，紧接着按需求将这部分角色进行用户授权。比如说，企业可以依据职责划分出系统管理员、部门主管、业务人员等多种角色，各角色均拥有自身的权限。系统管理者不但是数据库管理者，还是应用系统管理员，肩负着整个系统的维护工作。除此之外，他们也负责为部门主管以及业务员分配其权限。部门主管仅仅拥有对有关部门数据信息进行查看的权利，但是并没有修改的权利。此外，业务员拥有对数据库系统中本人负责的日常事务进行操作的权限。在某个职务的权限出现变动时，仅需要修改这一职务所对应角色的权限即可，不用修改每个用户的权限。

除此之外，要想更有效地保障数据安全，把授权用户所用角色隐匿于应用程序当中的，唯独应用程序知道这部分角色的用户名和密钥，在用户使用自身标识与密钥注册却未经授权之前，是不具有操作数据库的一切权限的。当且仅当其角色被成功激活之后，并赋予其相对应的一系列权限，方可对数据库进行操作和处理。尽管程序开发者们清楚地知晓角色名与密钥，然而由于不知道用户标识及密码，因此不能登录到oracle数据库中。

2 视图的使用

所谓“视图”，即展示给一个或众多用户的数据库子集，借助视图的构建能够只展示出用户所需访问的相关数据，对部分有可能涉及到重大机密的、私密的数据进行自动保密。与此同时，借助对用户访问视图权限的授予操作，能够有效避免用户访问此视图所赖以构建的基表。比如说，在企业的运行过程中，用户往往需要了解企业产品的材质数据，对另外一些数据（材料价格和员工工作没有联系的信息等）应进行屏蔽处理，这种情况下便可以借助视图的构建获得实现。尽管通过视图能够有效限制用户对数据的访问，提升数据的安全系数，然而其并非最有效的安全策略，因未经授权的用户也可能会了解或访问特定视图。

3 审计技术

我们都知道，审计即为对选定用户动作进行监控与记录，利用oracle数据库的审计特性，我们可以监测并搜集整理数据库中的一切活动内容，并对用户的操作行为实施记录。数据库审计涵盖了对表和视图的审计以及对系统的设计两方面内容。现在，oracle支持三类审计，分别为语句审计、特权设计以及对象审计。

当前，oracle数据库所允许的审计选择主要限于下列几个方面：第一，审计语句的成功执行、失败执行或者二者皆选；第二，对所有用户或者部分特定用户的行为进行审计；第三，对每个用户会话审计语句执行一次或对语句每次执行一次审计。在企业管理系统当中，我们不妨借助对象审计以及触发器对系统里几个关键的表实行控制。但是，因为审计工作会对系统的运行有效性产生一定的影响，因此通常是在出现可疑操作的时候才展开审计的。

4 数据库的恢复和备份

在企业的信息管理系统当中，要想有效确保信息的安全性和稳定性，避免因为计算机系统故障（包括硬件故障、软件故障、网络故障以及系统故障等）而导致的数据库中所有或者部分数据丢失，搞好数据库安全防护是一项十分关键的任务。数据库的防护机制之一为定期或者不定期地进行备份操作，这样做的目的是一旦发生系统崩溃、用户不正确、冲突或者另外一些灾难的情况下，可以迅速使数据库得以复原。

当前，oracle数据库备份主要包含物理备份以及逻辑备份两部分。具体而言，物理备份又可以被分成脱机备份与联机备份两类，其中，脱机备份仅仅可以在数据库已经正常关闭之后进行；而联机备份则是用于数据库运行期间所作的备份，用户依旧能够访问数据库。对于数据库必须运行在7*24模式下的作业，仅可借助联机备份的方式。逻辑备份则主要是一个数据库记录集、把记录集录入文件中。借助EXPORT以及ORACLE实用程序能够实现逻辑备份操作，同时此两种程序亦可以用来完成对数据库的恢复操作。如果依据备份工具进行分类，则可分成EXP/IMP备份、RMAN或者第三方工具等。不管选取何种形式的备份或者恢复手段，均需要对数据库的数据文件、日志文件以及控制文件的操作系统进行备份操作。

在企业管理系统当中，相关人员可以按照各个行业的特点、数据库大小以及数据库中数据的修改频率来规划数据库安全备份策略。比如说，对备份内容、备份周期等各项内容的确准；选取增量备份、全面备份或者脱机备份的手段；确定数据量以及最长保留时长等等。

5 结束语

综上所述，在企业管理系统的建设过程中，对系统中各项数据的安全管控与规划是不可忽视的关键性工作之一。笔者依照oracle数据库的特点，并根据开发企业管理信息系统的经验，从数据安全性控制角度出发，提出了一些企业管理系统中数据库的安全策略，主要包括用户及角色管理、视图、审计技术、并发控制以及数据库的备份及恢复等技术方略，旨在保障企业管理系统中数据的安全性、完整性以及准确性。

[1]李晓黎，刘宗尧.Oracle10g数据库管理与应用系统开发[M].北京:人民邮电出版社，2017.

[2]浦云明，林颖贤.Oracle数据库实用教程[M].北京:机械工业出版社，2017.

[3]郑丹青.企业管理信息系统中数据安全策略规划[J].吉林师范大学学报(自然科学版)，2014.

[4]Jeffrey A.Hoffer Mary B.Prescott Fred R.McFadden著.施伯乐等译.现代数据库管理[M].北京:机械工业出版社，2014.