计算机光盘软件与应用 工程技术 Computer CD Software and Appl icat ions 2010年第l3期 浅谈网络环境下数据库的安全及防范措施 崔焯雄 (杭州师范大学钱江学院,杭州310012) 摘要:网络数据库在电子商务、电子政务等领域的应用日新月异。然而,如何保证开放网络环境中网络信息系统的 安全一直是一个严重而又关键的问题,作为其核心的网络数据库的安全性涉及网络信息管理系统各个方面的全局性问题, 是保证整个信息管理系统安全的关键。网络数据库的安全性问题已成为大型网络信息系统建设的一个十分重要的问题。本 文论述了网络环境下数据库所面临的安全威胁,分析了提高网络数据库安全性的解决办法。 关键词:网络数据库;数据库安全;安全机制 中图分类号:TP393.08 文献标识码:A 文章编号:1007—9599(2010)13—0062—01 The Security and Preventive Measures of Database under Network Environment Cui Zhuoxiong (Qianjiang College,Hangzhou Normal University,Hangzhou 31 001 2,China) Abstract:The network database in electronic commerce,electronic government,and 0ther fields with each passing day.However,how to ensure an open network environment,network information system security has been a serious and critical issue,as the core of the network security of the database related to all aspects of network information management system,global issues.to ensure that the information management system security.Web database security has become a large network information system.a very important issue.This article discusses the network environment security threats faced by the database.analyzes the database to improve network security solutions. Keywords:Network database;Database security;Security 随着嘲络化开放环境的发展,B/S模式的网络应用越来越多, 数据库安全问题也日渐突出。根据我国GB17859--1999《计算机 信息系统安全保护等级划分准则》中的描述:数据库安全就是保 证数据库信息的保密性、完整性、一致性和可用性。本文介绍网 络数据库所面I临的典型威胁,然后从网络和操作系统防护、数据 库注入防范等方面进行了分析。 网络数据库安全机制 B/S模式和c/s模式是两种典型的网络数据库模式。c/s模式 采用“客户机一应用服务器一数据库服务器”三层结构,B/S模式 采用“浏览器一Web服务器一数据库服务器”三层结构。两种模式 在结构上存在很多共同点:均涉及到网络、系统软件和应用软件。 为了使整个安全机制概念清晰,针对两种模式的特点和共性,得 到网络数据库系统安全机制分层结构模型。 二、数据库安全技术 (一)数据加密 数据加密是防止数据泄漏的有效手段。数据加密是就是将明文 数据经过一定的交换变成密文数据。与传统的数据加密技术相比 较,数据库有其自身的要求和特点传统的加密以报文为单位,加、 脱密都是从头至尾顺序进行。大型数据库管理系统的运行平台一般 是Windows NT和Unix,这些操作系统的安全级别通常为C1、C2 级。它们具有用户注册、识别用户、任意存取控制(DAC)、审计等 安全功能。虽然DBMS在Os的基础上增加了不少安全措施,例如基 于权限的访问控制等,但Os和DBMs对数据库文件本身仍然缺乏有 效的保护措施,有经验的网上黑客会“绕道而行”,直接利用Os工 具窃取或篡改数据库文件内容。这种隐患被称为通向DBMS的“隐 秘通道”它所带来的危害一般数据库用户难以觉察。分析和堵塞“隐 秘通道”被认为是B2级的安全技术措施。对数据库中的敏感数据 进行加密处理,是堵塞这一“隐秘通道”的有效手段。 (二)访问控制技术 对于数据库来说,访问用户按权限大致可分为:最终用户、 数据库系统管理员、数据库管理员、超级用户。一般的数据库操 作人员为最终用户,最终用户只拥有最少的访问权限,只能进行 读取或部分写,没有完全写库信息的权限。至于超级用户,可以 进入内核层修改库内容、建立或删除数据库以及维护数据库运行 等。对于大型网络数据库,可以增设访问数据对象不同权限,以 “组”或“角色”形式赋予更多的访问权限。明确不同用户的访 问要求,按访问需求合理分配权限,限制访问级别,是确保访问 数据安全的基本途径。 (三)操作审计 一对数据库系统的操作审计就是记录、检查和回顾对系统进行 所有相关操作的行为。审计的主要任务是对用户及应用程序使用 系统资源包括软硬件或数据的情况进行记录和审查,一时出现问 题,审计人员可以通过审计跟踪,找出问题原因,追查相关责任 人,防止问题再度发生审计过程不可绕过,审计记录也应该得到 保护且不能轻易更改。审计记录要想有效地起作用,就保证审计 、记录的粒度和数。审计作为保证数据库安全的补救措施,可以提 高系统的抗否认能力。 三、数据库安全技术的发展趋势 (~)加密算法越来越复杂化 非对称密码技术就是针对对称密码体制的缺陷被提出来的。 在公钥加密系统中,加密和解密是相对独立的,加密和解密会使 用两“把”不同的密钥,加密密钥(公开密钥)向公众公开,解 密密钥(秘密密钥)只有解密人自己知道,非法使用者根据公开 的加密密钥无法推算出解密密钥,故也称为公钥密码体制。现在 密码研究的重点是对已有的各种密码算法从设计和分析两个角度 上进一步深入发展,完善和改进算法的安全性、易用性。传统密 码将会在安全性、使用代价、算法实现上有进一步发展。 (二)防火墙技术 应用专用集成电路(ASIC)、FPGA特别是网络处理器(NP) 将成为高速防火墙设计的主要方法,除了提高速度外,功能多样 化和安全也是防火墙发展的一个趋势。防火墙将与入侵检测技术、 攻击防御技术以及VPN技术融合;防火墙的另一个发展趋势是与 多个安全产品实现集成化管理和联动,达到立体防御的效果。 四、结语 网络数据库的安全是一个系统性、综合性的问题。综上所述, 网络数据库的安全防范是多层次、大范围的,随着计算机技术的 发展和数据库技术应用范围的扩大,数据库安全必须走立体式发 展道路。因此,在进行系统设计时不能将它孤立考虑,只有结合 实际层层防设,这个问题才能得到有效解决。安全防范是一个永 久性的问题,只有通过不断地改进和完善安全手段,才能提高系 统的可靠性。 参考文献: f1]宋志敏,南相浩.数据库安全的研究与进展.计算机_T-程与应 用.2009 【2】张元全.数据文件的加密技术.现代计算机.期现代计算机,2007,8 【3】张建军.浅析数据库管理系统加密技术及其应用U】l甘肃高师学 报,2008 —62~