趙勇軍

摘 要：近年來，隨著科技水平的迅猛提升，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)獲得廣泛發(fā)展應(yīng)用，數(shù)據(jù)庫安全性面臨著愈發(fā)嚴(yán)峻的挑戰(zhàn)與考驗(yàn)。本文在數(shù)據(jù)庫屬性基礎(chǔ)上針對運(yùn)用數(shù)據(jù)庫技術(shù)的自主安全防護(hù)展開簡要探討。

關(guān)鍵詞：數(shù)據(jù)庫屬性；自主安全；防護(hù)

1 前言

就目前的情況來看，數(shù)據(jù)庫系統(tǒng)應(yīng)用正面臨著較大威脅，主要包括有幾個(gè)方面的內(nèi)容，第一，錯(cuò)誤訪問數(shù)據(jù)庫所造成的的數(shù)據(jù)錯(cuò)誤問題；第二，為實(shí)現(xiàn)某種目的而使數(shù)據(jù)庫遭遇破壞；第三，針對不可以進(jìn)行訪問的信息展開非法訪問，同時(shí)未留下任何痕跡，在未授權(quán)的情況下進(jìn)行數(shù)據(jù)的非法修改；第四，運(yùn)用各類型技術(shù)針對數(shù)據(jù)庫實(shí)施攻擊行為等等。為此，本文將在數(shù)據(jù)庫屬性基礎(chǔ)上提出一種能夠?qū)崿F(xiàn)良好組態(tài)且獨(dú)立于具體數(shù)據(jù)庫的自主安全防護(hù)模型，同時(shí)給予相應(yīng)的實(shí)現(xiàn)方法。

2 基于數(shù)據(jù)庫屬性基礎(chǔ)上的自主安全防護(hù)系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)

⑴功能。自主安全防護(hù)系統(tǒng)簡稱為DDS，前期功能主要是針對用戶所實(shí)施的非法訪問行為起到有效大的阻止作用，當(dāng)存在有一定的可疑行為情況時(shí)，系統(tǒng)能夠?qū)崿F(xiàn)預(yù)設(shè)告警流程的自動起到，就數(shù)據(jù)庫可能產(chǎn)生的風(fēng)險(xiǎn)盡可能進(jìn)行合理防范，一旦形成非法操作行為，則事先設(shè)置好的防御策略將被觸發(fā)，執(zhí)行阻斷措施，開啟主動防御，同時(shí)根據(jù)具體設(shè)置詳細(xì)記錄實(shí)時(shí)發(fā)生的操作情況，旨在事后進(jìn)行有效的追查分析。

⑵結(jié)構(gòu)。在自主安全防護(hù)系統(tǒng)中，用戶權(quán)限通常是采用安全管理員使用角色機(jī)制實(shí)施管理的，并在進(jìn)行安全策略制定的基礎(chǔ)上針對核心部件Sensor與訪問控制部件展開合理設(shè)置。具體來說，核心部件Sensor可實(shí)現(xiàn)對用戶數(shù)據(jù)庫操作請求大的有效偵聽，通過對命令映射表的運(yùn)用把各類型命令映射成為系統(tǒng)識別命令，將安全檢查所需的相關(guān)信息及時(shí)提起出來，向訪問模塊進(jìn)行發(fā)送后實(shí)施安檢，通過安全檢查之后方可允許用戶執(zhí)行數(shù)據(jù)庫訪問行為，反之則不能夠進(jìn)行訪問，基于此，需結(jié)合相應(yīng)的審計(jì)規(guī)則實(shí)現(xiàn)記錄生成，同時(shí)將其記錄在相應(yīng)的審計(jì)日志中；該系統(tǒng)擁有默認(rèn)的訪問控制流程，可實(shí)現(xiàn)用戶安全策略的自行設(shè)定，同時(shí)系統(tǒng)能夠自動生成對應(yīng)的訪問控制流程。

⑶實(shí)現(xiàn)。自主安全防護(hù)系統(tǒng)實(shí)現(xiàn)通常能夠劃分成為數(shù)據(jù)字典設(shè)計(jì)、用戶登錄和管理、制定系統(tǒng)策略、實(shí)現(xiàn)偵聽器即Sensor、訪問控制、日志審計(jì)這六個(gè)主要方面內(nèi)容。原有數(shù)據(jù)庫API信息即dll以及用戶的自主防護(hù)策略作為輸入，系統(tǒng)核心部件Sensor 能夠在原有數(shù)據(jù)庫API接口中融入用戶防護(hù)策略的同時(shí)將用戶數(shù)據(jù)庫操作行為記錄下來并形成日志，旨在為用戶提供設(shè)計(jì)，便于用戶在實(shí)際的運(yùn)用過程中不需進(jìn)行原有系統(tǒng)更改則能夠有效實(shí)現(xiàn)自主防護(hù)。

Sensor遠(yuǎn)程注射功能則主要是由Inject/Eject為其提供的。Core在運(yùn)用攔截的基礎(chǔ)上能夠通過調(diào)用API來實(shí)現(xiàn)自身所具備的定制功能，為充分實(shí)現(xiàn)攔截，則可運(yùn)用HOOK API技術(shù)，其能夠執(zhí)行攔截的操作涵蓋有indows中的API調(diào)用、中斷服務(wù)、IFS 與NDIS過濾以及DOS下的中斷等等內(nèi)容，該技術(shù)的實(shí)質(zhì)內(nèi)容為針對具體的系統(tǒng)程序流程實(shí)施合理更改。

⑷結(jié)果分析。自主安全防護(hù)系統(tǒng)的開發(fā)過程一般是運(yùn)用VS2005進(jìn)行實(shí)現(xiàn)的，當(dāng)完成開發(fā)之后能夠在一臺2GB（內(nèi)存）、2.8GHz（主頻）、配置有Windows操作系統(tǒng)的普通PC機(jī)上測試系統(tǒng)功能與性能。在此所采用的數(shù)據(jù)庫為開源嵌入式數(shù)據(jù)庫SQLITE3.6。具體來說，主要的測試內(nèi)容涵蓋有登錄以及用戶管理、核心部件Sensor以及訪問控制、設(shè)計(jì)日志、增加DSS以后數(shù)據(jù)庫功能變化與性能影響。

通過兩表中的測試結(jié)果能夠知道，從功能測試的角度來看，DSS可實(shí)現(xiàn)對數(shù)據(jù)庫系統(tǒng)的自主防護(hù)；從性能測試的角度來看，查詢與插入這兩種操作之間存在有較大的耗時(shí)差異，該種情況通常是由SQLITE工作形式所導(dǎo)致的，當(dāng)用戶實(shí)施插入操作的時(shí)候，數(shù)據(jù)為將內(nèi)存數(shù)據(jù)在磁盤數(shù)據(jù)庫文件中進(jìn)行寫入，則需占用一定時(shí)間，然而用戶執(zhí)行查詢操作的時(shí)候，SQLITE則能夠把數(shù)據(jù)庫文件部分內(nèi)容緩存起來，使得查詢速度得以加快。除此之外，因?yàn)镈SS的增加會對系統(tǒng)性能造成微小影響，但其仍然可實(shí)現(xiàn)數(shù)據(jù)庫系統(tǒng)自主保護(hù)。

3 結(jié)語

相較于傳統(tǒng)意義上的數(shù)據(jù)庫安全防護(hù)而言，基于數(shù)據(jù)庫屬性的DSS系統(tǒng)具備有相關(guān)優(yōu)勢特征，第一，獨(dú)立于具體的數(shù)據(jù)庫，其獨(dú)立性表現(xiàn)在只需具備接口信息則能展開數(shù)據(jù)庫工作，能夠支持不同標(biāo)準(zhǔn)的SQL語句，系統(tǒng)數(shù)據(jù)物理存儲是跟數(shù)據(jù)庫相互獨(dú)立的；第二，針對性與靈活性可實(shí)現(xiàn)有效統(tǒng)一，使得用戶能夠按照所需進(jìn)行特定應(yīng)用規(guī)則的靈活配置；第三，其自我安全保護(hù)措施相對較為完善；第四，報(bào)警功能與信息查閱功能比較完備。由此可見，所構(gòu)建出的系統(tǒng)模型能夠從數(shù)據(jù)庫中獨(dú)立出來，實(shí)現(xiàn)對多個(gè)數(shù)據(jù)庫安全防護(hù)的集中配置，充分滿足用戶的自主防護(hù)要求。

[參考文獻(xiàn)]

[1]龔媛媛.數(shù)據(jù)庫安全威脅及數(shù)據(jù)備份恢復(fù)技術(shù)研究[J].硅谷，2011（06）.

[2]張敏.數(shù)據(jù)庫安全研究現(xiàn)狀與展望[J].中國科學(xué)院院刊，2011（03）.

[3]王安娜.網(wǎng)絡(luò)數(shù)據(jù)庫安全模型的設(shè)計(jì)與實(shí)現(xiàn)[J].硅谷，2011（13）.

[4]王靜.網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)庫安全綜述[J].合作經(jīng)濟(jì)與科技，2009（05）.