如何提高Oracle資料庫安全性

筆者今天就談談自己對這兩種操作模式的理解，並且給出一些可行的建議，跟大家一起來提高Oracle資料庫的安全性。

　　一、非歸檔模式的利與弊。

非歸檔模式是指不保留重做歷史的日誌操作模式，只能夠用於保護例程失敗，而不能夠保護介質損壞。如果資料庫採用的是日誌操作模式的話，則進行日誌切換時，新的日誌會直接覆蓋原有日誌檔案的內容，不會保留原有日誌檔案中的資料。

這麼說聽起來可能比較難理解。筆者舉一個簡單的例子，就會清楚許多。如現在Oracle資料庫中有四個日誌組，日誌序列號分別為11、 12、13、14。當資料庫事務變化寫滿第一個日誌組檔案(序列號為11)時，Oracle資料庫就會自動切換到第二個日誌組檔案(序列號為12)中。依次類推。當第三個日誌組檔案(序列號為13)寫滿時，就會切換到第四個日誌組(序列號為14)。當第四個日誌組(序列號為14)滿時，其就會切換到第一個日誌組(序列號為15)。這裡，序列號雖然與剛才第一個日誌檔案組不同，但是日誌組仍然是同一個。此時，由於資料庫的操作模式選擇為非歸檔模式，所以第一組日誌檔案(序列號為11)中的內容並沒有歸檔。新的日誌檔案的內容將直接覆蓋第一個日誌組檔案中的內容。若第一個日誌組檔案(序列號為15)滿時，切換到第二個日誌檔案組時，新的內容又會在第二個日誌檔案組沒有歸檔的情況下，直接覆蓋日誌檔案12中的原有資料。

通過以上的分析，我們可以歸納出非歸檔操作日誌模式的一些特點。

一是當檢查點完成之後，後臺程序可以覆蓋原有重做日誌的內容。也就是說，在日誌切換時，後來的日誌檔案內容可以在以前的日誌檔案內容沒有歸檔的情況下，覆蓋原有日誌檔案的內容。如此的話，當出現數據檔案損壞時，資料庫管理員只能夠恢復到過去的完全被分點。如資料庫有四個日誌組。如果在日誌組序列號為16的時候資料庫管理員進行了完全備份。而在日誌組序列號為28的時候資料檔案出現了損壞。此時，由於中間的日誌檔案內容被覆蓋掉了。所以，此時資料庫管理員只能夠恢復到完全備份的那個點，而不能夠恢復資料庫檔案損壞時的點的資料(即序列號為28)的資料。如果在序列號為18的時候出現了資料檔案損壞的事故，則可以先對資料庫進行還原(還原點為序列號為16時的資料)，然後再利用重做日誌檔案(序列號為17、18)，即可以把資料恢復到故障發生時的資料。故雖然不用對重做日誌檔案進行歸檔，節省磁碟空間。但是，卻給後續資料庫的恢復帶來的麻煩，降低了資料庫的安全性。為此，如何取捨，還是需要資料庫管理員根據自己企業的情況，作出選擇。

二是執行資料庫備份時，必須要備份所有資料檔案和控制檔案。根據上面筆者所講述的，因為重做日誌會被後來的所覆蓋，所以，基本上資料庫管理員不能夠通過重做日誌檔案來恢復資料庫的資料，或者說，通過重做日誌檔案不能夠恢復全部的資料。為此，在執行資料庫備份時，就必須備份所有的資料檔案和控制檔案。同時，還必須使用SHUTDOWNNORMAL等命令關閉資料庫。

　　二、歸檔日誌模式。

歸檔日誌模式與非歸檔日誌模式相對應，是指保留重做日誌歷史的日誌操作模式。這種日誌操作模式不僅可用於保護例程失敗，還可以用於保護介質損壞的情況。如果資料庫管理員把日誌設定為歸檔日誌模式，則當後臺程序在進行日誌切換時，後臺程序會自動將重做日誌的內容複製到歸檔日誌中。歸檔日誌就是非活動重做日誌的備份。

如現在Oracle資料庫中有四個日誌組，日誌序列號分別為11、12、13、14。當資料庫事務變化寫滿第一個日誌組檔案(序列號為11) 時，後臺程序就會切換到第二個日誌組中(序列號為12)。不過在這個切換之前，資料庫有一個程序，會負責將第一個日誌組中的檔案內容複製到歸檔日誌中去。依次類推。這就是歸檔日誌模式與非歸檔日誌模式最本質的區別。不過這個區別卻給資料庫安全性帶來了很大的變化。

如當日志序列號為28時出現了資料檔案的錯誤或者伺服器硬碟損壞的事故時，因為日誌檔案中記錄了從資料庫備份以來所有的資料變化情況。而且這些日誌檔案與資料庫備份檔案儲存在其他媒體中，那麼資料庫管理員就可以通過這些資料，把資料庫恢復到介質損壞時(即日誌檔案序列號為28)的資料。從保護資料庫資料的角度講，這是一個接近於比較理想的狀態了。

若把非歸檔模式與歸檔模式進行對比的話，可以發現歸檔模式有如下的特點。

一是當出現介質損壞(如硬碟損壞或者意外刪除資料檔案)或者出現例程失敗(如伺服器突然斷電)時，資料庫管理員可以憑藉歸檔日誌檔案來防止丟失資料。而非歸檔模式則往往只能夠應對例程失敗的情況。所以，其應用範圍要比非歸檔模式大的多。

二是資料備份的限制條件。正如上面所說的，如果資料庫處於非歸檔模式，則對資料庫進行備份時，要先用SHUTDOWNNORMAL等命令關閉資料庫。而處於歸檔模式的時候，則當資料庫處於Open狀態時，資料庫管理員仍然可以備份資料庫，而且不會影響資料庫的正常使用。除了資料庫備份兩者有本質上的差異之外，在資料庫恢復上也有很大的差別。若資料庫採用歸檔日誌模式，不僅可以執行完全恢復，而且在歸檔日誌檔案的幫助下，還可以將資料庫恢復到特定的點。從而當資料庫出現意外故障時，最大限度的`保護資料的安全性。

不過若採取歸檔模式的話，則必須要犧牲一定的磁碟空間。

　　三、如何選擇合適的日誌操作模式？

非歸檔模式只適用於例程失敗時恢復資料，不能夠用來保護介質損壞。即當資料庫的資料檔案意外損壞時，非歸檔模式沒有應對之策。歸檔模式不僅可以用來保護例程失敗，而且還可以在介質失敗的時候，最大程度的恢復資料庫的原有資料。此時，資料庫管理員可以利用資料庫備份檔案、歸檔日誌檔案、重做日誌檔案等把資料庫中的資料恢復到故障發生的那一時點。

既然歸檔操作模式與非歸檔操作模式各有各的特點，那麼在什麼時候採用歸檔日誌模式為好，什麼時候又該採用非歸檔模式呢?這個問題的答案，是公說公有理，婆說婆有理。恐怕爭論個幾年也沒有一個固定的答案。對此，筆者就提一下自己的意見。這也不是標準答案，只是供大家參考。

首先要看資料庫中資料變化的頻繁程度。當資料庫中資料變化比較少的時候，則最好採用非歸檔模式。相反，如果資料庫中的資料變化比較頻繁，如一些業務作業系統，則最好能夠採用歸檔模式。

其次，要看企業對資料丟失的態度。如果企業對於資料安全要求比較高，如銀行，不允許丟失任何資料，則最好能夠採用歸檔日誌模式。在資料庫意外故障的時候，其可以幫助資料庫管理員在最大程度上恢復資料。同理，當企業可以允許部分損壞資料的時候，則可以採用非歸檔模式，以節省切換日誌組時的對日誌檔案備份的額外開銷與磁碟空間。

再者，要看看資料庫是否需要全天候執行。因為在非歸檔模式下，必須利用SHUTDOWNNORMAL等命令關閉資料庫，才能過對資料庫進行備份。這跟資料庫全天候執行的要求是不符合的。而歸檔模式下，即使資料庫出於OPEN狀態，也可以對其進行備份，也不會影響資料庫的正常執行。為此，若果資料庫需要全天候執行的話，則最好採用歸檔模式。雖然資料庫為此要付出一些額外的開銷，筆者認為也是值得的。畢竟硬體投資有價，資料無價。

資料庫管理員要根據企業的實際情況，選擇合適的日誌操作模式。從而讓重做日誌與歸檔日誌真正成為Oracle資料庫的保護傘。