陳居權(quán)

摘 要：如今，計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)的發(fā)展已經(jīng)成為現(xiàn)代信息系統(tǒng)的發(fā)展標(biāo)志?，F(xiàn)代計(jì)算機(jī)和高速網(wǎng)絡(luò)正在向著商用化、民用化以及家用化的方向發(fā)展，而且在人類社會及經(jīng)濟(jì)活動中發(fā)揮著至關(guān)重要的作用。因此，信息的安全已經(jīng)成為人們研究與關(guān)注的重點(diǎn)。文章對當(dāng)前網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)庫所面臨的威脅作了分析，包括完整性、保密性、可用性以及一致性這四個方面，對加強(qiáng)網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)庫安全體系的構(gòu)建提出了相應(yīng)的建議。

關(guān)鍵詞：網(wǎng)絡(luò)環(huán)境；數(shù)據(jù)庫安全體系；威脅；建議

1 概述

眾所周知，開放性是網(wǎng)絡(luò)環(huán)境最顯著的特點(diǎn)，人們對于網(wǎng)絡(luò)的利用率正在日益提升。如果我們把網(wǎng)絡(luò)環(huán)境比作市場，那么該市場中具備豐富的信息與資源，人們可以在這個開放的市場中自由進(jìn)行數(shù)據(jù)的交換與傳輸。在網(wǎng)絡(luò)環(huán)境中，這些信息與資源需要數(shù)據(jù)庫的承載，網(wǎng)絡(luò)數(shù)據(jù)庫與其他數(shù)據(jù)庫最顯著的特點(diǎn)在于其能夠?qū)崿F(xiàn)資源共享[1]。我們平時所接觸到的網(wǎng)站、社交軟件等，都是在網(wǎng)絡(luò)數(shù)據(jù)庫的支持下發(fā)展起來的。人類生產(chǎn)生活離不開網(wǎng)絡(luò)，甚至社會對網(wǎng)絡(luò)系統(tǒng)的依賴性也越來越強(qiáng)。因此，我們必須對網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)庫安全體系問題進(jìn)行研究。

2 網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)庫所面臨的威脅

2.1 完整性

所謂數(shù)據(jù)庫的完整性主要是指確保其內(nèi)部數(shù)據(jù)不被破壞與刪除。在操作系統(tǒng)中，網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)通過文件的形式進(jìn)行管理，對入侵者而言，他們可以在網(wǎng)絡(luò)下研究操作系統(tǒng)漏洞來竊取或者修改數(shù)據(jù)庫文件，這些操作在網(wǎng)絡(luò)數(shù)據(jù)庫用戶毫無察覺的情況下進(jìn)行。通過數(shù)據(jù)庫系統(tǒng)可以看出，很多數(shù)據(jù)庫管理員經(jīng)常對安全隱患及不正當(dāng)配置進(jìn)行忽略，數(shù)據(jù)庫廠商也沒有提供專業(yè)審計(jì)接口，或者提供了設(shè)計(jì)接口，其功能也不健全。此外，我國現(xiàn)階段網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)庫系統(tǒng)中，面臨著來自多方面的攻擊印花UN。例如，SQL Server便有多方面的攻擊隱患存在，包含通過網(wǎng)絡(luò)嗅探方式獲取密碼、通過SQL Agent繞過訪問控制機(jī)制、存在于UDP監(jiān)控器端口上的緩沖區(qū)溢出等等。

2.2 保密性

數(shù)據(jù)庫保密性指的是確保數(shù)據(jù)庫數(shù)據(jù)不被泄露以及未經(jīng)授權(quán)的獲取等。SQL Server在進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)交換時，采用了Tabular Data Stream協(xié)議，這一過程中如果不進(jìn)行加密操作，被其他無關(guān)人員截取和篡改的可能性非常大。所以，在用戶或者應(yīng)用程序有必要進(jìn)行數(shù)據(jù)庫訪問時，需要有相互交換憑證的過程。為了避免窺探網(wǎng)絡(luò)通信做出違法行為，要對這些信息進(jìn)行加密處理。

2.3 可用性

數(shù)據(jù)庫可用性指的是保證授權(quán)用戶能夠隨時獲得對數(shù)據(jù)庫中數(shù)據(jù)的使用權(quán)，而不受其他因素的影響[2]。一般而言，在對數(shù)據(jù)庫進(jìn)行訪問時，僅僅可以通過用戶控制這種方式來進(jìn)行。前文已經(jīng)提及，網(wǎng)絡(luò)環(huán)境具有開放性，數(shù)據(jù)庫不僅要保證為用戶提供足夠方面的服務(wù)，而且還面臨著來自網(wǎng)絡(luò)中的其他惡意攻擊，使得密碼保護(hù)的難度大大提升，網(wǎng)絡(luò)用戶的可用性威脅增加。

2.4 一致性

數(shù)據(jù)庫的一致性在于保證數(shù)據(jù)庫中的數(shù)據(jù)能夠確保實(shí)體的完整性、參照完整性以及用戶定義的完整性。如今，大部分站點(diǎn)在對網(wǎng)絡(luò)數(shù)據(jù)庫形式進(jìn)行配合時利用了ASP、PHP、JSP等腳本語言。倘若不對網(wǎng)頁中用戶提交的數(shù)據(jù)做出有效分析與判斷，那么，一些不法分子在瀏覽信息時便能夠使用提交自行構(gòu)造的數(shù)據(jù)庫進(jìn)行代碼查詢，做出“SQL注入”攻擊。因此，我們必須通過應(yīng)用程序代碼安全性這一角度來確保數(shù)據(jù)庫系統(tǒng)的安全。

3 網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)庫安全體系的構(gòu)建的策略

在網(wǎng)絡(luò)環(huán)境下，因?yàn)榫W(wǎng)絡(luò)的開放性特點(diǎn)決定了數(shù)據(jù)庫安全所面臨的威脅，我們必須通過加強(qiáng)管理構(gòu)建科學(xué)的數(shù)據(jù)庫安全體系，提升數(shù)據(jù)庫的安全性，減少不必要的損失。

3.1 數(shù)據(jù)庫的物理安全

這一方面是確保數(shù)據(jù)庫安全的最根本環(huán)節(jié)。通過這一環(huán)節(jié)，數(shù)據(jù)庫服務(wù)器、存放環(huán)境以及網(wǎng)絡(luò)等物理安全都能夠得到有效保障。通常情況下，數(shù)據(jù)庫的物理安全指的是與服務(wù)器相連的網(wǎng)絡(luò)電線和交換機(jī)的安置環(huán)境是否合理，要確保這些設(shè)備免受來自自然災(zāi)害或者人為災(zāi)害的侵襲，例如電壓不穩(wěn)定、雷電、火災(zāi)等自然災(zāi)害或者人為破壞物理設(shè)備等等。

3.2 用戶身份確認(rèn)

該環(huán)節(jié)是系統(tǒng)提供的第一道安全保護(hù)閘門。要保障用戶每次在進(jìn)行數(shù)據(jù)庫訪問時，都要經(jīng)過身份驗(yàn)證，如果用戶不能提供正確的登錄口令，那么就說明其身份信息有誤，那么用戶便無法進(jìn)入數(shù)據(jù)庫。通過這種方式，避免非授權(quán)用戶對數(shù)據(jù)庫的惡意訪問，防止其對數(shù)據(jù)庫內(nèi)部信息的破壞與篡改。當(dāng)前形勢下，最為常見的身份驗(yàn)證手段為用戶名/密碼形式。但是也有技術(shù)含量更高的驗(yàn)證方式，并且正在普及開來：例如智能IC卡、人臉檢測、指紋識別等技術(shù)。只有經(jīng)過數(shù)據(jù)庫的授權(quán)和驗(yàn)證過程，才能夠判斷其是否為合法用戶，從而完成對用戶的身份識別過程。

3.3 訪問控制技術(shù)的使用

訪問控制技術(shù)指的是對已經(jīng)進(jìn)入系統(tǒng)的用戶進(jìn)行訪問權(quán)限的控制，能夠有效防范系統(tǒng)的安全漏洞，也可以說是數(shù)據(jù)安全體系構(gòu)建的核心技術(shù)。訪問控制指的是對訪問數(shù)據(jù)庫的用戶進(jìn)行分類，防止沒有授權(quán)的用戶惡意訪問。要想實(shí)現(xiàn)對數(shù)據(jù)庫中信息的讀、寫、刪除以及查詢等操作，必須要通過數(shù)據(jù)庫的授權(quán)才能夠進(jìn)行。通常情況下，對用戶的授權(quán)方式主要包含以下兩種：即按功能模塊進(jìn)行授權(quán)和賦予用戶數(shù)據(jù)庫系統(tǒng)權(quán)限。該技術(shù)可以說是數(shù)據(jù)庫安全技術(shù)中最為常見，而且最為有效的方法，可以說是一種核心技術(shù)。

3.4 數(shù)據(jù)加密技術(shù)

通常情況下，數(shù)據(jù)庫系統(tǒng)提供的安全防范措施能夠滿足數(shù)據(jù)庫日常安全需求。然而，當(dāng)數(shù)據(jù)較為重要時，如果僅僅采用前文所述的幾種安全防范措施遠(yuǎn)不能達(dá)到安全要求，例如軍事數(shù)據(jù)、國家機(jī)密以及企業(yè)財(cái)務(wù)數(shù)據(jù)等等。為了提升對重要數(shù)據(jù)的保護(hù)程度，往往需要引入數(shù)據(jù)加密技術(shù)，對數(shù)據(jù)存儲的安全性進(jìn)行提升。我們知道，網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)具有共享性，我們要充分針對這一點(diǎn)，利用公開密鑰的加密方式[3]。公開密鑰加密方式能夠有效防范來自操作系統(tǒng)以及DBMS的攻擊，然而，這種方式只是對數(shù)據(jù)庫中部分機(jī)密數(shù)據(jù)進(jìn)行加密，無法對全部數(shù)據(jù)進(jìn)行保護(hù)。

3.5 數(shù)據(jù)備份與恢復(fù)

在網(wǎng)絡(luò)環(huán)境下，數(shù)據(jù)庫系統(tǒng)運(yùn)行時，我們不能對系統(tǒng)的軟硬件問題作出絕對性的保障。倘若數(shù)據(jù)庫被入侵或者被攻擊、被來自自然方面或者人為方面的物理損壞等，導(dǎo)致數(shù)據(jù)被修改或者丟失，有了備份數(shù)據(jù)而且在短時間內(nèi)恢復(fù)被損數(shù)據(jù)，那么這些問題所造成的影響非常小[4]。因此，要想切實(shí)保護(hù)好數(shù)據(jù)庫，提升其安全性，我們有必要定期對數(shù)據(jù)進(jìn)行備份。通常情況下，數(shù)據(jù)庫的備份方式主要包含：動態(tài)、靜態(tài)以及邏輯備份。在數(shù)據(jù)庫的恢復(fù)中，采用磁盤鏡像、在線日志的形式較為普遍。

網(wǎng)絡(luò)環(huán)境下要想真正構(gòu)建數(shù)據(jù)庫安全體系，必須從防范開始，不斷提升防御能力，抵御來自外界和內(nèi)部的各種攻擊。

參考文獻(xiàn)

[1]邵佩英.數(shù)據(jù)庫安全應(yīng)用服務(wù)器的研究與實(shí)現(xiàn)[J].軟件學(xué)報(bào)，2001，12（1）：154-158.

[2]王靜.網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)庫安全綜述[J].合作經(jīng)濟(jì)與科技，2009（5）：38-39.

[3]熊忠良.關(guān)于網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)庫安全機(jī)制問題的若干思考[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2012（11）：34-35.

[4]付金榮，王淑萍.淺談網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)庫的安全及防范措施[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2011（14）：99.