劉俊姝

【摘 要】網(wǎng)絡(luò)數(shù)據(jù)庫一般采用客戶機(jī)/服務(wù)器（Client/Server）模式。在客戶機(jī)/服務(wù)器結(jié)構(gòu)中，客戶機(jī)向服務(wù)器發(fā)出請求，服務(wù)器為客戶機(jī)提供完成請求的服務(wù)，并將查出的結(jié)果通過網(wǎng)絡(luò)回送給客戶機(jī)。在網(wǎng)絡(luò)數(shù)據(jù)庫運(yùn)行中，層現(xiàn)出各種安全性問題。本文從物理安全、網(wǎng)絡(luò)安全、管理安全方面，形成網(wǎng)絡(luò)數(shù)據(jù)庫的安全保護(hù)策略，以提高網(wǎng)絡(luò)數(shù)據(jù)的安全性。

【關(guān)鍵詞】網(wǎng)絡(luò)數(shù)據(jù)庫；安全防護(hù)策略；網(wǎng)絡(luò)加密技術(shù)

【中圖分類號】TN915.08【文獻(xiàn)標(biāo)識碼】A【文章編號】1672-5158（2013）07-0105-01

1 網(wǎng)絡(luò)數(shù)據(jù)庫安全性概述

網(wǎng)絡(luò)數(shù)據(jù)庫一般采用客戶機(jī)/服務(wù)器（Client/Server）模式。在客戶機(jī)/服務(wù)器結(jié)構(gòu)中，客戶機(jī)向服務(wù)器發(fā)出請求，服務(wù)器為客戶機(jī)提供完成這個(gè)請求的服務(wù)。例如，當(dāng)某用戶查詢信息時(shí)，客戶機(jī)將用戶的要求轉(zhuǎn)換成一個(gè)或多個(gè)標(biāo)準(zhǔn)的信息查詢請求，通過計(jì)算機(jī)網(wǎng)絡(luò)發(fā)給服務(wù)器，服務(wù)器接到客戶機(jī)的查詢請求后，完成相應(yīng)操作，并將查出的結(jié)果通過網(wǎng)絡(luò)回送給客戶機(jī)。

對網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)運(yùn)行環(huán)境的分析，網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)正常運(yùn)行的管理包括：硬件組成的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的管理、網(wǎng)絡(luò)操作系統(tǒng)及網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)的管理、日常工作中制度和人的管理。它的安全性問題相應(yīng)包括三個(gè)方面的內(nèi)容：

（1）運(yùn)行網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)的硬件安全性，即物理安全。包括服務(wù)器、交換機(jī)、網(wǎng)線、電源等設(shè)備故障、水災(zāi)、火災(zāi)等環(huán)境事故。

（2）運(yùn)行網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)的網(wǎng)絡(luò)安全性。主要指網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)自身安全性以及網(wǎng)絡(luò)數(shù)據(jù)庫所處的網(wǎng)絡(luò)環(huán)境面臨的安全風(fēng)險(xiǎn)。如病毒入侵和黑客攻擊、網(wǎng)絡(luò)操作系統(tǒng)及應(yīng)用系統(tǒng)的安全，主要表現(xiàn)在開發(fā)商的后門（Back-door）以系統(tǒng)本身的漏洞上。

（3）運(yùn)行網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)的管理安全性。主要包括管理不善、人員操作失誤、制度不健全，造成日常管理中出現(xiàn)安全風(fēng)險(xiǎn)。

通過分析網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)的不安全因素，針對不同因素，給出網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)安全的主要防范技術(shù)和措施。它們是相輔相承的，應(yīng)統(tǒng)籌考慮，以確保數(shù)據(jù)的安全。

2 網(wǎng)絡(luò)數(shù)據(jù)庫安全策略

2.1 物理安全防護(hù)策略

物理安全保證重要數(shù)據(jù)免受破壞或受到災(zāi)難性破壞時(shí)及時(shí)得到恢復(fù)，防止系統(tǒng)信息空間的擴(kuò)散。在物理安全方面主要采用如下措施：

（1） 網(wǎng)絡(luò)安全設(shè)計(jì)方案符合國家網(wǎng)絡(luò)安全方面的規(guī)定

（2）建立良好的電磁兼容環(huán)境，安裝防電磁輻射產(chǎn)品，如輻射干擾機(jī)。

（3）產(chǎn)品采購、運(yùn)輸、安裝等方面的安全措施。

（4）對重要設(shè)備和系統(tǒng)設(shè)置備份系統(tǒng)。

（5）網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)運(yùn)行的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的防范，主要包括防水火、防靜電等。

2.2 網(wǎng)絡(luò)安全防護(hù)策略

網(wǎng)絡(luò)系統(tǒng)是網(wǎng)絡(luò)數(shù)據(jù)庫應(yīng)用的基礎(chǔ)，網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)要發(fā)揮其強(qiáng)大作用，離不開網(wǎng)絡(luò)系統(tǒng)的支持。網(wǎng)絡(luò)系統(tǒng)的安全是網(wǎng)絡(luò)數(shù)據(jù)庫安全的第一道屏障，外部入侵首先就是從入侵網(wǎng)絡(luò)系統(tǒng)開始。

（1）網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)的安全防護(hù)策略。主要表現(xiàn)在對數(shù)據(jù)的存取控制上，對不同用戶設(shè)置不同權(quán)限，限制一些用戶的訪問和操作，避免數(shù)據(jù)丟失或泄露。

（2）防火墻技術(shù)。防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，目前越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中。防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合系統(tǒng)，包括硬件和軟件兩個(gè)部分。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的惟一出入口，能根據(jù)企業(yè)單位的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。在邏輯上，防火墻可以是一個(gè)分離器、一個(gè)限制器、一個(gè)分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)和 Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻主要功能體現(xiàn)在可以強(qiáng)化網(wǎng)絡(luò)安全策略，對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)，防止內(nèi)部信息的外泄等方面。防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點(diǎn)的不同而分為很多種類型，但總體來講可分為兩大類：分組過濾（Packet filtering）和應(yīng)用代理（Application Proxy）。

（3）網(wǎng)絡(luò)防病毒技術(shù)。對于復(fù)雜的網(wǎng)絡(luò)環(huán)境，系統(tǒng)的錯(cuò)誤和漏洞是難以避免的，病毒就是利用這一特點(diǎn)，進(jìn)行網(wǎng)絡(luò)攻擊或信息竊取，構(gòu)成對網(wǎng)絡(luò)安全的巨大威脅，因此必須嚴(yán)防計(jì)算機(jī)病毒對網(wǎng)絡(luò)的侵襲。網(wǎng)絡(luò)防病毒技術(shù)包括預(yù)防病毒、檢測病毒和消除病毒等三個(gè)方面。管理上加強(qiáng)對工作站和服務(wù)器操作的要求，防止病毒從工作站侵入；技術(shù)上可以采取帶防毒芯片的網(wǎng)卡，安裝網(wǎng)絡(luò)防病毒軟件，配備專用病毒免疫程序來進(jìn)行預(yù)防，采用多重技術(shù)，互為補(bǔ)充。

（4）入侵檢測（Instrusion Detection）。入侵監(jiān)測系統(tǒng)處于防火墻之后對網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)檢測。許多情況下，由于可以記錄和禁止網(wǎng)絡(luò)活動(dòng)，可以說入侵監(jiān)測系統(tǒng)是防火墻的延續(xù)。它們可以和防火墻、路由器配合工作。入侵檢測是近年來發(fā)展起來的一種防范技術(shù)，綜合采用了統(tǒng)計(jì)技術(shù)、規(guī)則方法、網(wǎng)絡(luò)通信技術(shù)、人工智能、密碼推理等技術(shù)和方法。入侵監(jiān)測系統(tǒng)IDS掃描當(dāng)前網(wǎng)絡(luò)的活動(dòng)，監(jiān)視和記錄網(wǎng)絡(luò)的流量，根據(jù)定義好的規(guī)則來過濾從主機(jī)網(wǎng)卡到網(wǎng)線上的流量，提供實(shí)時(shí)監(jiān)控和報(bào)警。

（5）網(wǎng)絡(luò)加密技術(shù)。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全也就成為當(dāng)今網(wǎng)絡(luò)社會的焦點(diǎn)，病毒、黑客程序、郵件炸彈、遠(yuǎn)程偵聽等這一切都無不讓人膽戰(zhàn)心驚。采用網(wǎng)絡(luò)加密技術(shù)，可實(shí)現(xiàn)數(shù)據(jù)傳輸入的保密性、完整性。它可解決網(wǎng)絡(luò)在公網(wǎng)的數(shù)據(jù)傳輸安全性問題，也可解決遠(yuǎn)程用戶訪問內(nèi)網(wǎng)的安全問題。

2.3 管理安全防護(hù)策略

網(wǎng)絡(luò)和網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)的使用、維護(hù)和安全運(yùn)行，歸根結(jié)底都離不開人，所以要時(shí)刻加強(qiáng)對操作人員管理與培訓(xùn)。

（1）根據(jù)國家、行業(yè)等相關(guān)標(biāo)準(zhǔn)，結(jié)合實(shí)際機(jī)房、硬件、軟件、數(shù)據(jù)和網(wǎng)絡(luò)等各個(gè)方面的安全問題，制定切實(shí)可行的規(guī)章制度。

（2）對操作人員進(jìn)行培訓(xùn)，提高技術(shù)水平，對系統(tǒng)進(jìn)行及時(shí)的升級并利用最新的軟件工具制定、分配、實(shí)施和審核安全策略。

（3）進(jìn)行安全宣傳教育。對操作人員結(jié)合實(shí)際安全問題進(jìn)行安全教育，嚴(yán)格執(zhí)行操作規(guī)章，提高操作人員責(zé)任心。

（4）加強(qiáng)內(nèi)部管理，建立審計(jì)和跟蹤體系，提高信息安全意識。

3 結(jié)論

保障網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)安全，不僅涉及應(yīng)用技術(shù)，還包括管理等層面上的問題，是各個(gè)防范措施綜合應(yīng)用的結(jié)果，是物理安全、網(wǎng)絡(luò)安全、管理安全等方面的防范策略有效的結(jié)合。在具體實(shí)施時(shí)，應(yīng)根據(jù)實(shí)際、因地制宜進(jìn)行分析和采取相應(yīng)有效措施保護(hù)網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)乃至整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全。

隨著網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)的發(fā)展，對網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)的攻擊方式也不斷改變，網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)的安全和維護(hù)工作也要與時(shí)俱進(jìn)、合理升級更新技術(shù)、加強(qiáng)網(wǎng)絡(luò)檢測與加密技術(shù)，確保網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)運(yùn)行安全。

參考文獻(xiàn)

[1] 陳鳴（譯）.《計(jì)算機(jī)網(wǎng)絡(luò)》.機(jī)械工業(yè)出版社