张翼鹏

摘要：数据库作为信息决策、办公自动化等管理系统的重要支撑在近年得到了越来越广泛的应用。Oracle数据库具备的适用性好、效率高、吞吐量大等特点使其处在市场主导地位，然而开放的网络环境也使Oracle数据库的应用面临一些安全威胁，因此研究安全访问机制非常必要而且具有一定的现实价值。

关键词：Oracle数据库;信息安全;访问机制

中图分类号：TP309;TP311.13文献标识码：A文章编号：1672-9129（2020）14-0021-01

1Oracle数据库

Oracle数据库是一种大型的分布式数据库[1]，具备可用性强、可扩展性强、数据存储能力强、开发工具完备等多个优点，适用于多类主流的操作系统，是全球信息化产业较为重视的软件之一。银行保险、工程建设、医疗卫生、公共事业等多个领域的有关企业使用Oracle数据库作为业务支持。Oracle数据库目前使用较多的有Oracle 9i，Oracle 10g，Oracle 11g，Oracle 12c，Oracle 18c等版本，其中，i代表internet，g代表该版本数据库使用网格计算方式，c代表云计算，即支持大数据处理。

2Oracle数据库的安全问题

2.1账户安全问题。尽管Oracle数据库使用多种措施来确保用户数据的安全性，但在进行Oracle数据库的安装时，安装程序会进行几十种默认模式的加载[2]，其中就包含一些账户信息。但Oracle数据库并没有完善对这些默认账户的保护机制，使用搜索引擎就能轻易获取安装时默认的账号和密码。如果这些信息在网上长期公开，可能会使部分用户的数据遭到破坏、恶意修改等，引发其他问题，造成用户损失。

2.2系统安全问题。弱算法加密机制使相同的Oracle账户即便在不同的机器终端进行登录，也具有同样的Hash值，而这些值又被存储在数据字典中。这就意味着如果黑客获取了被公开的账户及密码，并利用该账户登录数据库，则其他账户密码的Hash值也有可能被黑客截取、破解;更糟糕的是，如果此网段还包含另外的Oracle数据库，那么该Oracle数据库中的账户信息同样存在被截取、破解的风险;而这会对数据库本身安全及用户信息安全造成不可弥补的伤害。

2.3网络安全问题。大型分布式数据库本身就是一个计算机网络系统，用户访问Oracle数据库的行为势必要借助互联网工具，因此Oracle数据库同样存在病毒感染、黑客入侵等网络安全隐患。2013年就有研究人员利用零日漏洞成功击破Oracle 11g的防御，取得控制权限。2017年，大范围的Oracle数据库被比特币病毒攻击，数据库被锁死，用户登录数据库只能看到支付赎金的勒索界面。2020年，由于Oracle数据库的服务器处于非安全状态，数十亿条透明度極高的跟踪数据发生泄漏，堪称最大安全违规事件之一。

3Oracle数据库安全访问机制

3.1账户安全机制。解决默认账户信息可能发生泄漏的问题是加强账户安全保护的首要任务。首先要更改在创建Oracle数据库时用到的DBCA程序，不提供默认的账户和密码，而是以不同形式进行密码构建，例如动态密码等形式。其次，在安装结束后，应增加引导程序提醒用户更改账户密码，检测密码难度，规避简单密码可能带来的风险。最后，Oracle数据库有必要增加保护机制，当检测到某一账户多次登录失败（登录密码错误）时，应暂时禁止该账户登入数据库的权限并进行安全认证，防止账户被冒用。

Oracle数据库提供三种不同权限，数据库管理人员通常被授予更大的权限，也由此可能会引发其他问题。例如，授权过的管理员账户可能会使系统设置的保护机制失效。因此，针对管理员账户也要增加专用的监测机制，避免管理账户被盗用造成系统安全风险。

3.2数据安全机制。针对Oracle数据库系统本身的安全隐患，可以从对数据库进行加密和备份两个方面进行加强。数据库加密可以从内部和外部两个方向进行，库内加密通过视图、扩展索引等技术手段实现内核加密，防止磁盘文件丢失和敏感信息泄露。库外加密通过部署加密网关、密文等在数据进入存储系统之前完成加密，理论上库外加密支持所有数据库，而且具有更高的安全性。同时，加密过程可以将表单元、属性单元、记录单元、数据元素作为加密对象，其中对数据元素进行加密具有更高的安全性。

数据备份主要分为逻辑模式和物理模式，备份内容主要为用户数据、日志文件等，逻辑备份使用导出命令、导入命令将数据库内部文件读出再写入到其他指定文件中。物理备份有脱机和联机两种形式，脱机备份不需要运行数据库，联机备份需要在数据库运行过程中完成。数据备份的主要目的是提高数据库可靠性，在发生意外情况造成数据损失或毁坏时，可以利用备份数据进行恢复。

3.3网络安全机制。透明网络底层（TNS）是管理、配置Oracle数据库和用户端连接的工具，主要用于监听用户的连接请求[3]。TNS的配置文件包含对服务器端和客户端的具体配置要求，其中，服务器端包含核心的监听器，通过监听器文件可以完成对Oracle数据库要监听的地址、端口、通讯协议和数据库实例的配置。

如果TNS被入侵，攻击者就可以创建一个同名数据库，导致用户申请进行的连接将指向攻击者创建的新数据库，造成业务中断。因此对TNS的维护升级也需要不断进行，例如，应设置监听器不接受动态注册且实例应进行静态注册;只允许特定IP地址访问监听器;设置安全运输级别，只允许本机实例或某些特定机器的实例在监听器上注册等。

4结论

Oracle数据库因其分布式处理能力和对大批量数据的存储、共享等功能而得到了广泛应用，但随着Oracle数据库使用量的增加，一些安全风险也逐渐暴露。本文对Oracle数据库进行了简单介绍，指出了Oracle数据库存在的安全风险，提出了账户安全、数据安全和网络安全机制。

参考文献：

[1]戈云.科学活动中如何培养幼儿的观察能力[J].科普童话，2017（44）：118.

[2]宋飞.浅谈Oracle数据库在网络安全访问机制的作用[J].电脑迷，2018（02）：47.