摘 要：本文主要以O(shè)RACLE數(shù)據(jù)庫為例, 對企業(yè)管理系統(tǒng)當(dāng)中數(shù)據(jù)庫的安全策略進行了全面探究, 并且細致地對借助用戶控制、角色管控、審計技術(shù)、并發(fā)控制以及數(shù)據(jù)庫恢復(fù)及備份等技術(shù)手段完成數(shù)據(jù)庫安全規(guī)劃工作進行了論述。

　　關(guān)鍵詞：數(shù)據(jù)庫; 企業(yè); 管理系統(tǒng); 安全策略;

　　0 引言

　　當(dāng)前, 伴隨著企業(yè)信息化的演進, 管理系統(tǒng)在企業(yè)當(dāng)中的運用更加普遍。眾所周知, 系統(tǒng)的安全管理是每個企業(yè)平時運營的關(guān)鍵一項內(nèi)容, 為避免外部對企業(yè)內(nèi)部系統(tǒng)數(shù)據(jù)的非法訪問, 保障系統(tǒng)數(shù)據(jù)不被破壞、篡改, 系統(tǒng)數(shù)據(jù)發(fā)生意外后可迅速恢復(fù), 其必須更加重視此項工作。本文運用用戶及角色管控、視圖、數(shù)據(jù)庫備份和恢復(fù)等多項技術(shù)手段對數(shù)據(jù)庫的安全管理及其在企業(yè)管理系統(tǒng)中的安全策略規(guī)劃展開了詳細論述。

　　1 用戶及角色管控

　　在各個企業(yè)的信息管理系統(tǒng)當(dāng)中, 許許多多運營及管理數(shù)據(jù)均被存儲在數(shù)據(jù)庫里, 要想有效保障這些重要數(shù)據(jù)的安全, 就應(yīng)當(dāng)保證數(shù)據(jù)庫操作系統(tǒng)的安全性, 因為此系統(tǒng)是禁止任何未經(jīng)授權(quán)的用戶對數(shù)據(jù)進行查看或修改等一切操作的。所以, 用戶在進入數(shù)據(jù)庫進行操作前, 系統(tǒng)首先會借助用戶標(biāo)識以及獨特鑒定的方法讓用戶標(biāo)明自己的身份, 再由系統(tǒng)進行查驗, 待通過鑒定之后方可進入系統(tǒng)進行操作, 現(xiàn)在的用戶標(biāo)識通常由用戶名稱及用戶密碼兩部分組成。在企業(yè)的管理信息系統(tǒng)里, 用戶的管理及劃分形式選取的是依據(jù)部門及職責(zé)進行相關(guān)操作, 以各職能部門為單位設(shè)立用戶組, 在多個部門中按照履職的不同創(chuàng)建用戶, 各個用戶都具有自身的密鑰。我們以企業(yè)財務(wù)部為例進行說明, 首先把財務(wù)部分成一個用戶組, 接著再按照此部門中人員的不同分工分別建立賬目管理用戶、成本控制用戶、銷售管控用戶、固定資產(chǎn)控制用戶以及財務(wù)經(jīng)理用戶等等。在oracle數(shù)據(jù)庫中, 我們可以借助CREATE USER語句在庫中重新設(shè)立新用戶。

　　在用戶的創(chuàng)建環(huán)節(jié)中指定的信息包括用戶名、密碼、概要、授予用戶使用權(quán)限、鎖定狀態(tài)等等。此外, 在開設(shè)新用戶的時候, 默認分配給用戶的概要文件為DEFAULT文件, 其可借助CREATE PROFILE語句創(chuàng)建新的概要文件, 然后借助概要文件當(dāng)中的一系列參數(shù)設(shè)計允許用戶連接失敗的次數(shù), 確定用戶被鎖定的時長及密鑰的最長使用時間等。oracle數(shù)據(jù)庫目前僅支持兩類權(quán)限:系統(tǒng)權(quán)限以及對象權(quán)限。在權(quán)限管理方面選取基于角色的權(quán)限訪問管理操作, 大體思路為:把訪問權(quán)限同角色結(jié)合, 角色和用戶結(jié)合, 進而實現(xiàn)有效的邏輯分離, 令訪問安全管理更具柔性。借助對企業(yè)各部門各用戶權(quán)限的剖析, 同時按照企業(yè)安全策略及操作規(guī)范可進一步細化數(shù)據(jù)庫角色, 緊接著按需求將這部分角色進行用戶授權(quán)。

　　比如說, 企業(yè)可以依據(jù)職責(zé)劃分出系統(tǒng)管理員、部門主管、業(yè)務(wù)人員等多種角色, 各角色均擁有自身的權(quán)限。系統(tǒng)管理者不但是數(shù)據(jù)庫管理者, 還是應(yīng)用系統(tǒng)管理員, 肩負著整個系統(tǒng)的維護工作。除此之外, 他們也負責(zé)為部門主管以及業(yè)務(wù)員分配其權(quán)限。部門主管僅僅擁有對有關(guān)部門數(shù)據(jù)信息進行查看的權(quán)利, 但是并沒有修改的權(quán)利。此外, 業(yè)務(wù)員擁有對數(shù)據(jù)庫系統(tǒng)中本人負責(zé)的日常事務(wù)進行操作的權(quán)限。在某個職務(wù)的權(quán)限出現(xiàn)變動時, 僅需要修改這一職務(wù)所對應(yīng)角色的權(quán)限即可, 不用修改每個用戶的權(quán)限。除此之外, 要想更有效地保障數(shù)據(jù)安全, 把授權(quán)用戶所用角色隱匿于應(yīng)用程序當(dāng)中的, 唯獨應(yīng)用程序知道這部分角色的用戶名和密鑰, 在用戶使用自身標(biāo)識與密鑰注冊卻未經(jīng)授權(quán)之前, 是不具有操作數(shù)據(jù)庫的一切權(quán)限的。當(dāng)且僅當(dāng)其角色被成功激活之后, 并賦予其相對應(yīng)的一系列權(quán)限, 方可對數(shù)據(jù)庫進行操作和處理。盡管程序開發(fā)者們清楚地知曉角色名與密鑰, 然而由于不知道用戶標(biāo)識及密碼, 因此不能登錄到oracle數(shù)據(jù)庫中。

　　2 視圖的使用

　　所謂“視圖”, 即展示給一個或眾多用戶的數(shù)據(jù)庫子集, 借助視圖的構(gòu)建能夠只展示出用戶所需訪問的相關(guān)數(shù)據(jù), 對部分有可能涉及到重大機密的、私密的數(shù)據(jù)進行自動保密。與此同時, 借助對用戶訪問視圖權(quán)限的授予操作, 能夠有效避免用戶訪問此視圖所賴以構(gòu)建的基表。比如說, 在企業(yè)的運行過程中, 用戶往往需要了解企業(yè)產(chǎn)品的材質(zhì)數(shù)據(jù), 對另外一些數(shù)據(jù) (材料價格和員工工作沒有聯(lián)系的信息等) 應(yīng)進行屏蔽處理, 這種情況下便可以借助視圖的構(gòu)建獲得實現(xiàn)。盡管通過視圖能夠有效限制用戶對數(shù)據(jù)的訪問, 提升數(shù)據(jù)的安全系數(shù), 然而其并非最有效的安全策略, 因未經(jīng)授權(quán)的用戶也可能會了解或訪問特定視圖。

　　3 審計技術(shù)

　　我們都知道, 審計即為對選定用戶動作進行監(jiān)控與記錄, 利用oracle數(shù)據(jù)庫的審計特性, 我們可以監(jiān)測并搜集整理數(shù)據(jù)庫中的一切活動內(nèi)容, 并對用戶的操作行為實施記錄。數(shù)據(jù)庫審計涵蓋了對表和視圖的審計以及對系統(tǒng)的設(shè)計兩方面內(nèi)容。現(xiàn)在, oracle支持三類審計, 分別為語句審計、特權(quán)設(shè)計以及對象審計。當(dāng)前, oracle數(shù)據(jù)庫所允許的審計選擇主要限于下列幾個方面:第一, 審計語句的成功執(zhí)行、失敗執(zhí)行或者二者皆選;第二, 對所有用戶或者部分特定用戶的行為進行審計;第三, 對每個用戶會話審計語句執(zhí)行一次或?qū)φZ句每次執(zhí)行一次審計。在企業(yè)管理系統(tǒng)當(dāng)中, 我們不妨借助對象審計以及觸發(fā)器對系統(tǒng)里幾個關(guān)鍵的表實行控制。但是, 因為審計工作會對系統(tǒng)的運行有效性產(chǎn)生一定的影響, 因此通常是在出現(xiàn)可疑操作的時候才展開審計的。

　　4 數(shù)據(jù)庫的恢復(fù)和備份

　　在企業(yè)的信息管理系統(tǒng)當(dāng)中, 要想有效確保信息的安全性和穩(wěn)定性, 避免因為計算機系統(tǒng)故障 (包括硬件故障、軟件故障、網(wǎng)絡(luò)故障以及系統(tǒng)故障等) 而導(dǎo)致的數(shù)據(jù)庫中所有或者部分數(shù)據(jù)丟失, 搞好數(shù)據(jù)庫安全防護是一項十分關(guān)鍵的任務(wù)。數(shù)據(jù)庫的防護機制之一為定期或者不定期地進行備份操作, 這樣做的目的是一旦發(fā)生系統(tǒng)崩潰、用戶不正確、沖突或者另外一些災(zāi)難的情況下, 可以迅速使數(shù)據(jù)庫得以復(fù)原。當(dāng)前, oracle數(shù)據(jù)庫備份主要包含物理備份以及邏輯備份兩部分。具體而言, 物理備份又可以被分成脫機備份與聯(lián)機備份兩類, 其中, 脫機備份僅僅可以在數(shù)據(jù)庫已經(jīng)正常關(guān)閉之后進行;而聯(lián)機備份則是用于數(shù)據(jù)庫運行期間所作的備份, 用戶依舊能夠訪問數(shù)據(jù)庫。對于數(shù)據(jù)庫必須運行在7*24模式下的作業(yè), 僅可借助聯(lián)機備份的方式。邏輯備份則主要是一個數(shù)據(jù)庫記錄集、把記錄集錄入文件中。借助EXPORT以及ORACLE實用程序能夠?qū)崿F(xiàn)邏輯備份操作, 同時此兩種程序亦可以用來完成對數(shù)據(jù)庫的恢復(fù)操作。

　　如果依據(jù)備份工具進行分類, 則可分成EXP/IMP備份、RMAN或者第三方工具等。不管選取何種形式的備份或者恢復(fù)手段, 均需要對數(shù)據(jù)庫的數(shù)據(jù)文件、日志文件以及控制文件的操作系統(tǒng)進行備份操作。在企業(yè)管理系統(tǒng)當(dāng)中, 相關(guān)人員可以按照各個行業(yè)的特點、數(shù)據(jù)庫大小以及數(shù)據(jù)庫中數(shù)據(jù)的修改頻率來規(guī)劃數(shù)據(jù)庫安全備份策略。比如說, 對備份內(nèi)容、備份周期等各項內(nèi)容的確準(zhǔn);選取增量備份、全面?zhèn)浞莼蛘呙摍C備份的手段;確定數(shù)據(jù)量以及最長保留時長等等。

　　5 結(jié)束語

　　綜上所述, 在企業(yè)管理系統(tǒng)的建設(shè)過程中, 對系統(tǒng)中各項數(shù)據(jù)的安全管控與規(guī)劃是不可忽視的關(guān)鍵性工作之一。筆者依照oracle數(shù)據(jù)庫的特點, 并根據(jù)開發(fā)企業(yè)管理信息系統(tǒng)的經(jīng)驗, 從數(shù)據(jù)安全性控制角度出發(fā), 提出了一些企業(yè)管理系統(tǒng)中數(shù)據(jù)庫的安全策略, 主要包括用戶及角色管理、視圖、審計技術(shù)、并發(fā)控制以及數(shù)據(jù)庫的備份及恢復(fù)等技術(shù)方略, 旨在保障企業(yè)管理系統(tǒng)中數(shù)據(jù)的安全性、完整性以及準(zhǔn)確性。

　　參考文獻

　　[1]李曉黎, 劉宗堯.Oracle10g數(shù)據(jù)庫管理與應(yīng)用系統(tǒng)開發(fā)[M].北京:人民郵電出版社, 2017.[2]浦云明, 林穎賢.Oracle數(shù)據(jù)庫實用教程[M].北京:機械工業(yè)出版社, 2017.[3]鄭丹青.企業(yè)管理信息系統(tǒng)中數(shù)據(jù)安全策略規(guī)劃[J].吉林師范大學(xué)學(xué)報 (自然科學(xué)版) , 2014.[4]Jeffrey A.Hoffer Mary B.Prescott Fred R.Mc Fadden著.施伯樂等譯.現(xiàn)代數(shù)據(jù)庫管理[M].北京:機械工業(yè)出版社, 2014.