文｜孫飛

淺談數(shù)據(jù)庫安全技術研究及改進策略

文｜孫飛

計算機技術尤其是數(shù)據(jù)庫技術的不斷發(fā)展，不僅影響了人們的正常生活，也為社會的進步帶來了便利。與計算機技術發(fā)展同步的就是日益凸顯的數(shù)據(jù)庫安全問題，數(shù)據(jù)庫安全問題的正確防范是促進計算機順利應用的重要基礎。各種應用系統(tǒng)中都包含了大量的數(shù)據(jù)庫信息，如果數(shù)據(jù)庫信息被盜或者發(fā)生錯誤都將直接影響到用戶的體驗并帶來各方面的損失。因此要重視數(shù)據(jù)庫安全問題，并加強數(shù)據(jù)庫安全技術的研究。

一、數(shù)據(jù)庫安全技術問題分析

數(shù)據(jù)庫安全一直都是我時刻關注的問題，很多方面不注意都會使得數(shù)據(jù)庫陷入危險的境地，目前數(shù)據(jù)庫安全防范技術也有很多，比如流量監(jiān)控技術、加密技術、審計技術等，基于計算機技術的數(shù)據(jù)庫安全技術問題主要包括以下三個方面，這些問題也是我們加強數(shù)據(jù)庫安全研究的重要基礎。

（一）不安全的Web應用程序

近年來很多的安全編程方法得到了應用和傳播，并在數(shù)據(jù)庫安全方面發(fā)揮了重要的作用，盡管如此，目前互聯(lián)網(wǎng)中的Web應用程序還存在很多的漏洞，這些不安全的Web應用程序漏洞的存在給數(shù)據(jù)庫安全帶來了巨大的風險。就目前國內以及國外的整體Web應用程序現(xiàn)狀來看，在漏洞的修復方面仍然還有很長很長的路要走。

Litchfield作為著名的數(shù)據(jù)庫安全研究人員，他認為當前的漏洞修復進展還是比較緩慢的，而且隨著計算機技術和程序的發(fā)展，很多以前的漏洞修復工具已經失去了原有的價值，而很多時候都以“無法驗證輸入”而告終，因此要求安全技術研究人員要能夠不斷更新漏洞修復系統(tǒng)。再加上當前很多程序開發(fā)人才的培養(yǎng)還存在一定的限制，很多剛畢業(yè)的大學生進入企業(yè)或政府部門就開始計算機編程工作，但在安全編程方面還存在欠缺。

（二）泛濫的數(shù)據(jù)庫系統(tǒng)特權賬戶

由于互聯(lián)網(wǎng)自身的特性，使得很多的企業(yè)以及政府部門（以下簡稱單位）的身份認證和管理都處于一個自動化的過程，并不能夠要求每時每刻都有專門人員進行看管，當然這也是互聯(lián)網(wǎng)技術的一方面優(yōu)勢。每一個單位都擁有自己的數(shù)據(jù)庫系統(tǒng)，各單位會根據(jù)自身的需要設定身份認證要求并進行周期管理，一般情況下這些都是通過共享賬戶或者服務賬戶來完成，賬戶認證和賬戶管理配合來實現(xiàn)對數(shù)據(jù)庫的管理。

在各單位的數(shù)據(jù)庫管理過程中，由于管理模式的限制，很多時候除了IT管理員以外，單位內的很多其他員工也具有系統(tǒng)賬戶的權限，這樣在訪問控制以及監(jiān)控過程中就容易出現(xiàn)漏洞，內部其他人員權限的濫用以及安全管理方面的缺失都會給外部攻擊創(chuàng)造可能，影響了數(shù)據(jù)庫安全。

（三）錯誤配置的網(wǎng)絡分段

目前很多方面認為網(wǎng)絡分段之后再進行風險控制可以收到良好的效果，并能夠將風險控制在一定的范圍之內，這種網(wǎng)絡分段式的數(shù)據(jù)庫安全防范也被應用到了很多高價值數(shù)據(jù)庫的管理中，但是這種方式也存在一定的弊端和問題，比如分段控制之后配置不當?shù)脑?，會對防火墻的安全性能帶來隱患，并給攻擊方面帶來可能性，很容易導致數(shù)據(jù)庫受侵。Kevin Beaver是Principle Logic公司的創(chuàng)始人，該公司主要研究安全網(wǎng)絡和數(shù)據(jù)庫安全評估。從該公司的評估結果可以看出，很多單位由于錯誤配置網(wǎng)絡分段導致的錯誤信息非常多，這使得整個數(shù)據(jù)庫系統(tǒng)的安全也會受到影響。

二、數(shù)據(jù)庫安全系統(tǒng)的構建和優(yōu)化

從數(shù)據(jù)庫安全角度來看，數(shù)據(jù)庫系統(tǒng)的安全不僅和自身的系統(tǒng)安全系數(shù)有著很大關系，同時也和網(wǎng)絡運行環(huán)境、管理人員以及運行模式等存在著緊密的聯(lián)系，因此我們可以簡單的將數(shù)據(jù)庫系統(tǒng)的安全防范分為以下三個層次：網(wǎng)絡系統(tǒng)層次；宿主操作系統(tǒng)層次；數(shù)據(jù)庫管理系統(tǒng)層次。這三個層次是數(shù)據(jù)庫廣義方面的系統(tǒng)安全防范角度，同時也是和數(shù)據(jù)庫安全聯(lián)系最為密切的三個方面，從內部到外部的共同安全管理來保證系統(tǒng)的安全性能。

（一）網(wǎng)絡系統(tǒng)層次安全技術

數(shù)據(jù)庫系統(tǒng)是網(wǎng)絡運行的重要基礎，而網(wǎng)絡又是數(shù)據(jù)庫受到威脅的重要途徑，因此保證數(shù)據(jù)庫系統(tǒng)的安全也應從網(wǎng)絡系統(tǒng)的安全入手，進一步加強網(wǎng)絡安全保護?；ヂ?lián)網(wǎng)不僅給社會的發(fā)展和人們的生活創(chuàng)造了更便利的條件，同時也一度成為很多企業(yè)業(yè)務拓展的方向，成為很多政府部門對外宣傳及提高辦事效率的工具，很多單位在網(wǎng)絡數(shù)據(jù)庫和自身產品的基礎上，為用戶提供了更多網(wǎng)絡產品，不僅滿足了用戶的更多需要，同時也是實現(xiàn)自身創(chuàng)新發(fā)展的重要途徑。而這一切都是建立在網(wǎng)絡系統(tǒng)的基礎之上的，網(wǎng)絡系統(tǒng)是數(shù)據(jù)庫的外部基礎，也是數(shù)據(jù)庫安全的重要保障。正常情況下，用戶通過網(wǎng)絡系統(tǒng)才可以實現(xiàn)對數(shù)據(jù)庫的訪問，并應用數(shù)據(jù)庫。因此，保障數(shù)據(jù)庫安全的第一步就是要拓展和應用網(wǎng)絡系統(tǒng)層次的安全技術。

網(wǎng)絡系統(tǒng)是數(shù)據(jù)庫的外部屏障，當外界攻擊數(shù)據(jù)庫的時候，第一要攻擊的就是網(wǎng)絡系統(tǒng)，目前通過網(wǎng)絡入侵實現(xiàn)對整個數(shù)據(jù)庫系統(tǒng)的破壞已經非常常見，這種網(wǎng)絡攻擊具有以下幾個方面的特點：一是不受時間或者空間的限制，很多的跨國或者跨界攻擊也都不受限制；二是一些網(wǎng)絡攻擊會隱蔽在一些正常網(wǎng)絡活動中，因此不容易被發(fā)現(xiàn)，進而對主體進行攻擊。三是在隱蔽性的基礎上更具復雜性和多樣性。當然，網(wǎng)絡攻擊和網(wǎng)絡威脅的種類有很多，比如一些木馬病毒、數(shù)據(jù)盜取、惡意攻擊等，隨著網(wǎng)絡技術的發(fā)展，安全問題也呈現(xiàn)出更加多樣性的發(fā)展趨勢，這些威脅一旦產生影響，其后果都是非常嚴重的，因此必須對這些威脅進行控制和防范，以下將從三個方面對于數(shù)據(jù)庫安全技術進行分析。

1. 防火墻技術

防火墻技術是目前數(shù)據(jù)庫安全防范的基本技術之一，也是重要的技術之一。防火墻是保護網(wǎng)絡系統(tǒng)的最外層保護網(wǎng)，是審核網(wǎng)絡信任的必要通道，防火墻可以將一些不可信的網(wǎng)絡屏蔽在外，對于非法訪問或者不能通過驗證的訪問會進行屏蔽和攔截，進而保證信息流的安全性。但是防火墻技術對于內部的非法操作是無法進行控制的，對于內部信息的外泄也是無法攔截的，因此這種數(shù)據(jù)庫安全技術具有一定的局限性，還不能根據(jù)信息流的源頭和流向進行適時調整，在智能化控制方面還需要進行有效的加強。目前防火墻技術主要包括數(shù)據(jù)包過濾器、代理和狀態(tài)分析三種，目前在具體的實踐中，為了提高防火墻技術的效果，會根據(jù)實際需求將這三種防火墻技術進行混用。

2. 入侵檢測技術

入侵檢測是近些年發(fā)展而來的一種新的數(shù)據(jù)庫安全技術，是在統(tǒng)計分析、網(wǎng)絡通信以及密碼安全等技術基礎上發(fā)展而來的新技術，該技術主要注重事后的檢測和控制，最大的作用就是對于計算機系統(tǒng)和數(shù)據(jù)庫系統(tǒng)進行全面的入侵檢測，一旦發(fā)現(xiàn)一場就會進行分析和監(jiān)控，為應對和防范惡性攻擊提供理論基礎。隨著數(shù)據(jù)庫安全技術的發(fā)展，IDS系統(tǒng)已經成為了數(shù)據(jù)庫安全系統(tǒng)的重要方面。入侵檢測技術主要分為簽名分析、統(tǒng)計分析和數(shù)據(jù)完整性分析三個方面，通過幾方面的協(xié)同作用，對整個數(shù)據(jù)庫系統(tǒng)進行實時的監(jiān)測，一旦遭受到攻擊和入侵都會進行提示 ，以此來提高系統(tǒng)整體的安全性。

3. 協(xié)作式入侵監(jiān)測技術

入侵監(jiān)測技術可以對于整個數(shù)據(jù)庫系統(tǒng)的入侵行為進行監(jiān)測和處理，但是由于單獨系統(tǒng)的單一性，還需要加強協(xié)同作用，建立專門的協(xié)作式入侵監(jiān)測系統(tǒng)進行完善和支持，這不僅可以進一步完善入侵監(jiān)測系統(tǒng)，同時也可以提高監(jiān)測范圍，對于一切的入侵行為進行更快和高有效的打擊。協(xié)作式入侵監(jiān)測技術應用范圍進一步擴大，它適應于多種網(wǎng)絡環(huán)境。

（二）宿主操作系統(tǒng)層次安全技術

為了有效的加強數(shù)據(jù)庫系統(tǒng)的安全，網(wǎng)絡管理員還需要根據(jù)系統(tǒng)的具體需求和常見的數(shù)據(jù)庫安全問題制定相應的安全管理策略。由于每個數(shù)據(jù)庫系統(tǒng)運行的網(wǎng)絡環(huán)境存在一定的差異性，因此所采取的安全管理方法也要具有一定的針對性，最終目的都是為了提高系統(tǒng)的安全性，并能夠保證權限分配的合理性。

操作系統(tǒng)安全策略用于配置本地計算機的安全設置，包括密碼策略、賬戶鎖定策略、審核策略、IP安全策略、用戶權利指派、加密數(shù)據(jù)的恢復代理以及其它安全選項。具體可以體現(xiàn)在用戶賬戶、口令、訪問權限、審計等方面。

◆用戶賬戶：用戶訪問系統(tǒng)的“身份證”，只有合法用戶才有賬戶。

◆口令：用戶的口令為用戶訪問系統(tǒng)提供一道驗證。

◆訪問權限：規(guī)定用戶的權限。

◆審計：對用戶的行為進行跟蹤和記錄，便于系統(tǒng)管理員分析系統(tǒng)的訪問情況以及事后的追查使用。

（三）數(shù)據(jù)庫管理系統(tǒng)層次安全技術

當前很多的數(shù)據(jù)庫管理都是采用關系式數(shù)據(jù)庫管理，這種數(shù)據(jù)庫管理方式具有一定的漏洞和風險，在關系處理之間容易給外部的攻擊行為創(chuàng)造條件。如果數(shù)據(jù)庫受到攻擊，入侵者會借助OS工具對于數(shù)據(jù)庫內容進行偽造和盜取，這種篡改是不容易發(fā)現(xiàn)的，而這種攻擊性行為對于安全技術的要求也更高。根據(jù)數(shù)據(jù)庫系統(tǒng)的層次性再進行逐個層次的加密管理，這可以提高系統(tǒng)保護的全面性。對于數(shù)據(jù)庫系統(tǒng)進行分層次的安全保護，以下從三個方面進行相應的介紹和分析。

1.在OS層加密

由于在數(shù)據(jù)庫的OS層不能夠對于數(shù)據(jù)關系進行分析和辨別，因此并不能根據(jù)數(shù)據(jù)信息產生相應的秘鑰，所以數(shù)據(jù)的管理和秘鑰的產生都比較困難，因此目前的OS層加密還停留在小型數(shù)據(jù)庫方面，對于大型數(shù)據(jù)庫的OS層加密技術還具有一定的難度。

2.在DBMS內核層實現(xiàn)加密

物理存儲是數(shù)據(jù)庫存儲的重要方面，在數(shù)據(jù)庫進行物理存儲之前會對數(shù)據(jù)進行DBMS內核層加密。這種加密形式一般具有很強的功能性，而且整個加密過程也不對DBMS的功能產生影響，同時這種加密也可以實現(xiàn)和整體數(shù)據(jù)庫系統(tǒng)的完美耦合，提高系統(tǒng)安全性。但是這種加密大大增加了系統(tǒng)的運載負荷，同時這種加密也需要開發(fā)特定的端口和服務器，需要資本的投入和開發(fā)商的支持。

◆定義加密要求工具；

◆DBMS；

◆數(shù)據(jù)庫應用系統(tǒng)；

◆加密器（軟件或硬件）。

3.在DBMS外層實現(xiàn)加密

DBMS外層加密相比內核加密更簡單，只需要根據(jù)數(shù)據(jù)庫系統(tǒng)制作相應的外層加密工具就可以完成。

◆定義加密要求工具加密器；

◆軟件或硬件；

◆DBMS；

◆數(shù)據(jù)庫應用系統(tǒng)。

三、結束語

數(shù)據(jù)庫是一個龐大的信息系統(tǒng)，其中包含著大量的數(shù)據(jù)信息，也正是由于這個原因使得數(shù)據(jù)庫系統(tǒng)安全問題備受關注。當數(shù)據(jù)庫受到外來安全攻擊的時候，如果不能夠及時有效的對攻擊進行預防和防范，就會造成數(shù)據(jù)的丟失、損壞以及被非法修改等，這些都是當前的數(shù)據(jù)庫安全技術需要進行完善的方面。如今網(wǎng)絡技術已經融入到人們生活的方方面面，各方面也應該加強研究和投入，持續(xù)保證數(shù)據(jù)庫的安全。

作者單位：國家海洋局秦皇島海洋環(huán)境監(jiān)測中心站