陳聞凱

【摘 要】隨著因特網和數據庫技術的成熟和發(fā)展，網絡數據庫安全性問題是一直是圍繞著數據庫管理的重要問題，本文論述了網絡環(huán)境下數據庫所面臨的安全威脅，分析了提高網絡數據庫安全性的解決辦法。

【關鍵詞】網絡數據庫；數據庫安全；安全機制

對于任何使用數據庫管理系統(tǒng)的企業(yè)來說，安全性尤為重要。正如去年大肆宣傳的從一些電子商務企業(yè)中盜竊信用卡號碼的事件所表明的，安全性缺口的確引人矚目。因此，本文介紹網絡數據庫所面臨的典型威脅，然后從網絡和操作系統(tǒng)防護、數據庫注入防范等方面進行了分析。

1.網絡數據庫安全機制

網絡數據庫是以后臺數據庫為基礎，加上前臺程序提供訪問控制，通過瀏覽器完成數據存儲、查詢等操作的信息集合。在網絡環(huán)境下，數據庫的最大特點就是能夠共享大量數據信息，同時保持數據的完整性和一致性，實現(xiàn)最小冗余度和訪問控制。

B/S模式和C/S模式是兩種典型的網絡數據庫模式。C/S模式采用“客戶機一應用服務器一數據庫服務器”三層結構，B/S模式采用“瀏覽器—Web服務器一數據庫服務器”三層結構。兩種模式在結構上存在很多共同點：均涉及到網絡、系統(tǒng)軟件和應用軟件。為了使整個安全機制概念清晰，針對兩種模式的特點和共性，得到網絡數據庫系統(tǒng)安全機制分層結構模型?？蛻?服務器模式與WWW技術相結合進一步演化為瀏覽器服務器模式B/S。該模型是數據庫技術與網絡技術相結合的產物，其結構表示為：瀏覽器（Browser）、Web服務器和應用服務器、數據庫服務器三層結構。

2.各層安全機制詳述

2.1網絡系統(tǒng)安全機制

網絡系統(tǒng)層次的安全防范技術有很多種，大致可以分為防火墻、入侵檢測、協(xié)作式入侵檢測技術等。

（1）防火墻是應用最廣的一種防范技術。作為系統(tǒng)的第一道防線，其主要作用是監(jiān)控可信任網絡和不可信任網絡之間的訪問通道，可在內部與外部網絡之間形成一道防護屏障，攔截來自外部的非法訪問并阻止內部信息的外泄，但它無法阻攔來自網絡內部的非法操作。

（2）入侵檢測（IDS—Instrusion Detection System）是近年來發(fā)展起來的一種防范技術，綜合采用了統(tǒng)計技術、規(guī)則方法、網絡通信技術、人工智能、密碼學、推理等技術和方法，其作用是監(jiān)控網絡和計算機系統(tǒng)是否出現(xiàn)被入侵或濫用的征兆。1987年，Derothy Denning首次提出了一種檢測入侵的思想，經過不斷發(fā)展和完善，作為監(jiān)控和識別攻擊的標準解決方案，IDS系統(tǒng)已經成為安全防御系統(tǒng)的；重要組成部分。

（3）協(xié)作式入侵監(jiān)測技術彌補了獨立的入侵監(jiān)測系統(tǒng)的不足。在協(xié)作式入侵監(jiān)測系統(tǒng)中，IDS基于一種統(tǒng)一的規(guī)范，入侵監(jiān)測組件之間自動地交換信息，并且通過信息的交換得到了對入侵的有效監(jiān)測，可以應用于不同的網絡環(huán)境。

2.2服務器操作系統(tǒng)安全機制

操作系統(tǒng)是大型數據庫系統(tǒng)的運行平臺，為數據庫系統(tǒng)提供一定程度的安全保護。

（1）操作系統(tǒng)安全策略用于配置本地計算機的安全設置，包括密碼策略、賬戶鎖定策略、審核策略、IP安全策略、用戶權利指派、加密數據的恢復代理以及其它安全選項。具體可以體現(xiàn)在用戶賬戶、口令、訪問權限、審計等方面。

（2）安全管理策略是指網絡管理員對系統(tǒng)實施安全管理所采取的方法及策略。針對不同的操作系統(tǒng)、網絡環(huán)境需要采取的安全管理策略一般也不盡相同，其核心是保證服務器的安全和分配好各類用戶的權限。

（3）數據安全主要體現(xiàn)在以下幾個方面：數據加密技術、數據備份、數據存儲的安全性、數據傳輸的安全性等?？梢圆捎玫募夹g很多，主要有Kerberos認證、IPSec、SSL、TLS、VPN（PPTP、L2TP）等技術。

2.3數據庫管理系統(tǒng)安全機制

由于數據庫系統(tǒng)在操作系統(tǒng)下都是以文件形式進行管理的，因此入侵者可以直接利用操作系統(tǒng)的漏洞竊取數據庫文件，或者直接利用OS工具來非法偽造、篡改數據庫文件內容。數據庫管理系統(tǒng)層次安全技術主要是用來解決這一問題，即當前面兩個層次已經被突破的情況下仍能保障數據庫數據的安全，這就要求數據庫管理系統(tǒng)必須有一套強有力的安全機制。

視圖機制把需要保密的數據對無權存取這些數據的用戶隱藏起來，可以對數據庫提供一定程度的安全保護；用戶存取權限是指不同的用戶對于不同的數據對象有不同的操作權限；數據加密是保護數據在存儲和傳遞過程中不被竊取或修改的有效手段；數據庫管理系統(tǒng)的備份和恢復機制就是保證在數據庫系統(tǒng)出故障時，能夠將數據庫系統(tǒng)還原到正常狀態(tài)；審計追蹤機制是指系統(tǒng)設置相應的日志記錄，特別是對數據更新、刪除、修改的記錄，以便日后查證。

2.4客戶端應用程序安全機制

客戶端應用程序是網絡數據庫安全性的重要方面。它的特點是獨立性強，而且實現(xiàn)較為方便，尤其易于根據需求變化而作出相應更改?？蛻舳藨贸绦蚩梢钥刂朴脩舻暮戏ǖ顷憽⑸矸蒡炞C等，還可以直接設置數據。從應用程序上加強控制，能更好的保證應用系統(tǒng)的安全性。另外客戶應用程序的編寫具有很大的靈活性，同時也有很多技巧，可實現(xiàn)用戶端靈活安全有效的管理?；贑OM+組件應用程序實現(xiàn)的用戶身份鑒定技術可大大提高客戶端的安全控制管理。

3.使用DBMS安全機制防范網絡攻擊

3.1認證和授權

認證是驗證系統(tǒng)中請求服務的人或應用程序身份的過程；授權是將一個通過身份認證的身份映射已經授予數據庫用戶的許可的過程，該過程限制用戶在數據庫內部允許發(fā)生的行為。通過SQLServer數據庫的認證機制，可以解決“我是誰”的問題；通過授權機制，可以解決“我可以干什么”的問題。這方面的技術主要包括用戶標志和鑒別、存取控制等。

3.2備份與恢復

通過數據庫備份，當系統(tǒng)發(fā)生故障時，管理員就能迅速把數據庫恢復到原來的狀態(tài)，以保持數據的完整性和一致性。一般來說，數據庫備份常用的方法有：靜態(tài)備份、動態(tài)備份和邏輯備份等；而數據庫恢復則可以通過磁盤鏡像、數據庫備份文件和數據庫在線日志等方式來完成。

3.3審計是指監(jiān)視和記錄用戶對數據庫所施加的各種操作的機制

通過審計，可以把用戶對數據庫的所有操作自動記錄下來放入審計日志中，這樣數據庫系統(tǒng)可以利用審計跟蹤的信息，重現(xiàn)導致數據庫現(xiàn)有狀況的一系列事件，找出非法存取數據的人、時間和內容等，以便于追查有關責任同時審計也有助于發(fā)現(xiàn)系統(tǒng)安全方面的弱點和漏洞。

4.結語

Internet的飛速發(fā)展，使得網絡不再是單純的信使，而是一個交互的平臺，而數據庫的安全性問題也是一個永遠發(fā)展的問題，隨著入侵者的手段的不斷提高，采用的安全技術也在不斷地提高。只有不斷地研究處理新情況、新問題，才能繼續(xù)加強數據庫的安全性。安全防范是一個永久性的問題，只有通過不斷地改進和完善安全手段，才能提高系統(tǒng)的可靠性。

【參考文獻】

[1]李陶深.網絡數據庫.重慶：重慶大學出版社，2004，8.

[2]蔡立軍.計算機網絡安全技術（第二版）.中國水利水電出版社，2005，7.