魯翠柳

（鹽城機(jī)電高等職業(yè)技術(shù)學(xué)校，江蘇 鹽城 224005）

隨著現(xiàn)代信息技術(shù)的高度發(fā)展，整個社會數(shù)據(jù)呈幾何級數(shù)增長。伴隨著大數(shù)據(jù)時代的到來，大數(shù)據(jù)時代龐大的數(shù)據(jù)資源導(dǎo)致了各個領(lǐng)域的定量化進(jìn)程，決策將越來越多地基于數(shù)據(jù)和分析，那么數(shù)據(jù)的安全性也越發(fā)重要。存有海量信息的數(shù)據(jù)庫安全機(jī)制主要側(cè)重預(yù)防和控制，從應(yīng)用外部環(huán)境到數(shù)據(jù)庫文件本身，形成多角度、多方位、多層次的數(shù)據(jù)庫安全保障體系。

1 計算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫的安全威脅形式

1.1 結(jié)構(gòu)化查詢語言的輸入

網(wǎng)絡(luò)中計算機(jī)和互聯(lián)網(wǎng)設(shè)備基于防火墻技術(shù)與網(wǎng)絡(luò)數(shù)據(jù)庫服務(wù)器相連，因?yàn)殛P(guān)閉了特定端口，無法實(shí)現(xiàn)非法訪問。但這個端口就成了黑客們?nèi)肭值闹饕繕?biāo)，而最常用的模式就是結(jié)構(gòu)化查詢語言的輸入。在程序編寫和運(yùn)行過程中，程序編譯階段、對用戶輸入?yún)?shù)的驗(yàn)證過程及程序自身的漏洞等，都對計算機(jī)系統(tǒng)安全運(yùn)行有潛在威脅。

1.2 病毒感染

計算機(jī)系統(tǒng)之間的數(shù)據(jù)交換將隨著大數(shù)據(jù)技術(shù)和產(chǎn)業(yè)的發(fā)展愈加頻繁，這給我們的生活帶來便利，同時也增加了計算機(jī)病毒相互感染的可能性。根據(jù)網(wǎng)絡(luò)數(shù)據(jù)庫數(shù)據(jù)的使用情況來看，病毒嚴(yán)重影響數(shù)據(jù)庫的安全性，已感染病毒的信息來源交叉?zhèn)鞑ズ透腥?，錯誤的操作程序，編譯人員人工植入，這些都增加了病毒的傳播和感染。已感染病毒一旦大量爆發(fā)會影響計算機(jī)系統(tǒng)的使用，并具有很強(qiáng)的破壞力。

1.3 賬戶權(quán)限的脆弱性

計算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫使用者安全意識薄弱，忽略了計算機(jī)安全性，設(shè)置簡單的計算機(jī)用戶賬號和密碼，未對賬號和密碼等信息做好保密工作，監(jiān)控密碼不符合特定需求的數(shù)據(jù)字典。此外，在計算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫的管理中缺乏專業(yè)的安全管理人員，致使計算機(jī)安全管理系統(tǒng)得不到全面的維護(hù)和調(diào)試，這些方面對網(wǎng)絡(luò)數(shù)據(jù)庫的安全造成了威脅。

2 網(wǎng)絡(luò)數(shù)據(jù)庫3層安全防衛(wèi)體系

2.1 網(wǎng)絡(luò)系統(tǒng)安全防衛(wèi)

網(wǎng)絡(luò)數(shù)據(jù)庫應(yīng)用的外部環(huán)境與基礎(chǔ)是網(wǎng)絡(luò)，安全的網(wǎng)絡(luò)環(huán)境是網(wǎng)絡(luò)數(shù)據(jù)庫安全的基石。

2.1.1 合理分配網(wǎng)絡(luò)資源

保障網(wǎng)絡(luò)數(shù)據(jù)庫服務(wù)器安全、高效運(yùn)行的前提是合理分配網(wǎng)絡(luò)資源。網(wǎng)絡(luò)資源在網(wǎng)絡(luò)管理程序的統(tǒng)一管理、集中調(diào)度和合理分配下，以保證網(wǎng)絡(luò)和設(shè)備在一定范圍內(nèi)能夠可靠、高效地運(yùn)行，網(wǎng)絡(luò)資源處于良好的運(yùn)行狀態(tài)，從而保障數(shù)據(jù)庫服務(wù)器安全、高效地運(yùn)行。

2.1.2 構(gòu)筑防火墻

構(gòu)筑防火墻是數(shù)據(jù)庫安全的第一道防線。防火墻位于內(nèi)網(wǎng)與外網(wǎng)之間，內(nèi)網(wǎng)流入流出的所有信息均要經(jīng)過防火墻。防火墻對流經(jīng)它的IP數(shù)據(jù)報進(jìn)行掃描，檢查其IP地址和端口號，確保進(jìn)入內(nèi)網(wǎng)和流出內(nèi)網(wǎng)的信息的合法性。防火墻還能阻擋來自外部的非法訪問，防止內(nèi)部信息的外泄，濾掉黑客的攻擊，關(guān)閉不使用的端口，形成內(nèi)部和外部網(wǎng)絡(luò)之間的屏障，達(dá)到保護(hù)網(wǎng)絡(luò)數(shù)據(jù)庫信息安全的目的。但防火墻是被動的，不能防范從網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊，黑客利用系統(tǒng)缺陷和漏洞，竊取賬號、密碼，非法訪問，傳播病毒等形式危害網(wǎng)絡(luò)數(shù)據(jù)庫安全[1]。

2.1.3 使用入侵檢測技術(shù)

入侵檢測技術(shù)（Intrusion Detection System，IDS）是一種主動保護(hù)系統(tǒng)免受攻擊的網(wǎng)絡(luò)安全防范技術(shù)。入侵檢測技術(shù)是綜合運(yùn)用網(wǎng)絡(luò)通信、統(tǒng)計、規(guī)則方法等技術(shù)，通過在網(wǎng)絡(luò)若干關(guān)鍵點(diǎn)上監(jiān)聽和收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，及時進(jìn)行報警、阻斷和審計跟蹤。IDS基于統(tǒng)一的規(guī)范，在入侵監(jiān)控組件之間自動交換信息，通過信息交換有效地監(jiān)控入侵，可以應(yīng)用于不同的網(wǎng)絡(luò)環(huán)境[2]。

2.2 服務(wù)器操作系統(tǒng)的安全防衛(wèi)

服務(wù)器操作系統(tǒng)的安全是網(wǎng)絡(luò)數(shù)據(jù)庫安全的重要保障。高性能、高可靠性和高安全性是服務(wù)器上的操作系統(tǒng)必備要素。服務(wù)器操作系統(tǒng)中可能存在的不安全因素：（1）操作系統(tǒng)本身存在不穩(wěn)定或不安全的因素。（2）操作系統(tǒng)本身的安全配置。（3）對操作系統(tǒng)本身的病毒或木馬威脅。為了更加安全地進(jìn)行系統(tǒng)操作，需要按照以下機(jī)制進(jìn)行改進(jìn)。

2.2.1 在使用安全性的操作系統(tǒng)的基礎(chǔ)上，對安全策略進(jìn)行全面安全配置

例如，密碼策略、賬戶鎖定策略、系統(tǒng)監(jiān)控、審核策略、IP安全策略、用戶權(quán)限分配等安全選項，用戶信息或重要文檔的訪問限制。安全策略的配置可以防止信息安全事故的影響降為最小，保證業(yè)務(wù)的持續(xù)性，保護(hù)組織的資源。

2.2.2 選擇安全文件系統(tǒng)

例如，新技術(shù)文件系統(tǒng)（New Technology File System，NTFS）是最合適的SQL Server數(shù)據(jù)庫文件系統(tǒng)。NFTS比文件配置表（File Allocation Table，F(xiàn)AT）的系統(tǒng)更加穩(wěn)定，更安全的文件保障，提供文件加密，可以設(shè)置單個文件和文件夾權(quán)限，能夠大大提高數(shù)據(jù)的安全性。

2.2.3 及時更新補(bǔ)丁和防病毒軟件

軟件漏洞已經(jīng)成為信息安全事件主要原因之一。針對軟件漏洞帶來的危害，及時安裝補(bǔ)丁程序，是最有效、最經(jīng)濟(jì)的防范措施，也是改善安全環(huán)境的有效途徑。及時更新防病毒軟件，使病毒庫處于最新狀態(tài)，可以協(xié)助保護(hù)計算機(jī)系統(tǒng)免受病毒的攻擊，降低計算機(jī)系統(tǒng)遭受的安全威脅。

2.3 數(shù)據(jù)庫管理系統(tǒng)安全防衛(wèi)

當(dāng)前兩個層次防衛(wèi)被破壞時，仍然可以保證數(shù)據(jù)庫數(shù)據(jù)的安全性，這就要求數(shù)據(jù)庫管理系統(tǒng)本身必須具有強(qiáng)大的安全機(jī)制。針對以文件形式存儲的數(shù)據(jù)庫系統(tǒng)，入侵者一般采用竊取和篡改兩種方式，竊取數(shù)據(jù)庫文件是利用操作系統(tǒng)漏洞，非法偽造，篡改數(shù)據(jù)庫文件內(nèi)容是使用操作系統(tǒng)工具。用戶難以察覺這些針對數(shù)據(jù)庫非法操作，分析和攔截這種漏洞被認(rèn)為是B2級安全技術(shù)措施。數(shù)據(jù)庫管理系統(tǒng)采取分級安全策略來解決這個問題[3]。

很多數(shù)據(jù)庫管理系統(tǒng)為提高數(shù)據(jù)庫系統(tǒng)的安全性，綜合利用完備的數(shù)據(jù)庫安全技術(shù)，成交顯著。

2.3.1 利用身份認(rèn)證和訪問控制技術(shù)

身份認(rèn)證是安全系統(tǒng)的第一級。訪問控制和審計系統(tǒng)依賴于身份驗(yàn)證系統(tǒng)提供的信息和用戶的身份。身份驗(yàn)證是在系統(tǒng)中驗(yàn)證請求服務(wù)的人或應(yīng)用程序標(biāo)識的過程，目的是為了防止假冒和欺詐。基本的認(rèn)證技術(shù)包括數(shù)字簽名、消息認(rèn)證和簡單身份認(rèn)證。

訪問控制是保證網(wǎng)絡(luò)數(shù)據(jù)庫安全的主要途徑。訪問控制是控制用戶訪問數(shù)據(jù)庫中各種資源的權(quán)限的過程。訪問控制是對未授權(quán)使用資源的防御措施。訪問控制機(jī)制決定并實(shí)現(xiàn)實(shí)體的訪問權(quán)限，拒絕使用未經(jīng)授權(quán)的資源或以非法方式使用未經(jīng)授權(quán)的資源。例如根據(jù)應(yīng)用系統(tǒng)的特點(diǎn)，可以在實(shí)際應(yīng)用中建立幾個核心用戶。在相應(yīng)的核心用戶中建立數(shù)據(jù)庫對象，如表、視圖、存儲過程、觸發(fā)器等。根據(jù)使用數(shù)據(jù)庫系統(tǒng)的用戶特點(diǎn)，建立多種層次的角色。創(chuàng)建擁有數(shù)據(jù)庫對象權(quán)限及系統(tǒng)權(quán)限的核心用戶角色，創(chuàng)建僅具有連接權(quán)限的通用用戶默認(rèn)角色[4]。在用戶與數(shù)據(jù)庫連接時段，將其他角色屏蔽，只有該角色有效；其后根據(jù)用戶的需要，在應(yīng)用程序中設(shè)置其他角色有效。

2.3.2 利用視圖對數(shù)據(jù)庫系統(tǒng)的安全性進(jìn)行維護(hù)

視圖是通過對表的某一行或者某一列進(jìn)行訪問，保障數(shù)據(jù)的安全性。視圖是一個或者多個表中的行和列組成一個子集。在保護(hù)視圖信息的前提下，要給用戶授予操作視圖權(quán)限，以保護(hù)基礎(chǔ)表不被操作和修改。由于不同的操作用戶被授予不同的數(shù)據(jù)庫使用權(quán)限，當(dāng)用戶在訪問數(shù)據(jù)庫時，應(yīng)用程序?qū)σ晥D的角色進(jìn)行檢查，由此來決定用戶的訪問權(quán)限。某個用戶在執(zhí)行任務(wù)時，只能看到自身權(quán)限下的數(shù)據(jù)庫內(nèi)容，其他的數(shù)據(jù)庫信息是隱藏的。用戶也可以將自己的權(quán)限授予其他用戶，同時也可以回收。根據(jù)視圖角色關(guān)系的變化實(shí)現(xiàn)授權(quán)或恢復(fù)用戶，與系統(tǒng)的應(yīng)用程序無關(guān)。因此，用戶密碼不需要修改。

2.3.3 利用數(shù)據(jù)庫備份與恢復(fù)技術(shù)

同步時實(shí)的數(shù)據(jù)庫備份是數(shù)據(jù)庫防范災(zāi)難的一種強(qiáng)力手段。當(dāng)數(shù)據(jù)庫系統(tǒng)發(fā)生故障時，管理員可以通過數(shù)據(jù)庫備份快速、低價地恢復(fù)到原始狀態(tài)數(shù)據(jù)庫，以保持?jǐn)?shù)據(jù)的完整性和一致性，提高系統(tǒng)的可用性和災(zāi)難可恢復(fù)性。

數(shù)據(jù)庫恢復(fù)可以通過磁盤鏡像、數(shù)據(jù)庫備份文件和數(shù)據(jù)庫聯(lián)機(jī)日志完成。

2.3.4 利用數(shù)據(jù)庫安全審計技術(shù)

審計是指監(jiān)視和記錄用戶在數(shù)據(jù)庫上執(zhí)行的各種操作的機(jī)制。數(shù)據(jù)庫系統(tǒng)利用審計技術(shù)，可將數(shù)據(jù)庫的所有行為自動記錄在審計日志中，使數(shù)據(jù)庫系統(tǒng)根據(jù)信息的審計線索，再現(xiàn)、查找、分析導(dǎo)致當(dāng)前數(shù)據(jù)庫狀況的事件，快速查明數(shù)據(jù)的非法訪問、時間和內(nèi)容，進(jìn)而追查相關(guān)責(zé)任。同時審計也有助于發(fā)現(xiàn)系統(tǒng)的安全弱點(diǎn)和漏洞，提高系統(tǒng)的安全性[5]。例如SQL Server數(shù)據(jù)庫，監(jiān)控SQL Server連接是非常有效的，可以分析出其使用的企圖。

2.3.5 利用數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密是其他諸多安全措施的基礎(chǔ)。在網(wǎng)絡(luò)通信被竊聽的情況下，仍然能保證網(wǎng)絡(luò)數(shù)據(jù)庫數(shù)據(jù)的安全，必須對數(shù)據(jù)加密。除了依靠外部環(huán)境和數(shù)據(jù)庫系統(tǒng)提供的安全技術(shù)外，需要對數(shù)據(jù)庫中存儲的重要信息或數(shù)據(jù)進(jìn)行加密，從而實(shí)現(xiàn)數(shù)據(jù)的安全存儲。

3 結(jié)語

網(wǎng)絡(luò)數(shù)據(jù)庫具有擴(kuò)大數(shù)據(jù)資源共享范圍、易于分布式處理、便于傳輸交流、降低了系統(tǒng)的使用費(fèi)用等優(yōu)點(diǎn)，越來越受到人們的重視。網(wǎng)絡(luò)數(shù)據(jù)庫用戶只有重視數(shù)據(jù)庫安全，才能夠給整個數(shù)據(jù)庫系統(tǒng)提供全方位的安全保障。數(shù)據(jù)庫中的數(shù)據(jù)只有得到安全防護(hù)，才能更好更穩(wěn)定地為廣大用戶而服務(wù)。本文結(jié)合分析了網(wǎng)絡(luò)數(shù)據(jù)庫面臨的安全威脅，給出三層安全防衛(wèi)體系的解決方案，有助于提高網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)的安全性和安全管理水平。

[參考文獻(xiàn)]

[1]朱天元.淺談計算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫的安全機(jī)制問題[J].數(shù)字技術(shù)與應(yīng)用，2016（5）：48.

[2]孔小燕.基于計算機(jī)數(shù)據(jù)庫安全管理的分析與探討[J].電子世界，2014（4）：15.

[3]劉傳先，陳國棟.高校應(yīng)用系統(tǒng)網(wǎng)絡(luò)安全策略與典型技術(shù)[J].電腦知識與技術(shù)，2012（7）：4592-4597.

[4]鄒呂新.計算機(jī)網(wǎng)絡(luò)安全及防范[J].電腦知識與技術(shù)，2011（25）：6129-6130.

[5]張廣才.試論構(gòu)建計算機(jī)信息安全技術(shù)體系[J].計算機(jī)光盤軟件與應(yīng)用，2012（18）：51.