趙 亮 宋海軍 楊大鵬 賀麗莎 閆宏玉 張 勇 高 紅

新疆維吾爾自治區(qū)科技人才開發(fā)中心 新疆 烏魯木齊 830011

隨著Inter net的發(fā)展普及，數(shù)據(jù)庫管理系統(tǒng)的運(yùn)行環(huán)境也從單機(jī)擴(kuò)展到網(wǎng)絡(luò)，對數(shù)據(jù)的收集、存儲、處理和傳播從由集中式走向分布式，從封閉式走向開放式。對于任何使用數(shù)據(jù)庫管理系統(tǒng)的企業(yè)來說，安全性尤為重要。本文介紹科技人才數(shù)據(jù)庫所面臨的典型威脅，然后從網(wǎng)絡(luò)和操作系統(tǒng)防護(hù)、數(shù)據(jù)庫注入防范等方面進(jìn)行了分析。

一、數(shù)據(jù)庫安全包含兩層含義

第一層是指系統(tǒng)運(yùn)行安全，系統(tǒng)運(yùn)行安全通常受到的威脅如下，一些網(wǎng)絡(luò)不法分子通過網(wǎng)絡(luò)，局域網(wǎng)等途徑通過入侵電腦使系統(tǒng)無法正常啟動，或超負(fù)荷讓機(jī)子運(yùn)行大量算法，并關(guān)閉cpu風(fēng)扇，使cpu過熱燒壞等破壞性活動；

第二層是指系統(tǒng)信息安全，系統(tǒng)安全通常受到的威脅如下，黑客對數(shù)據(jù)庫入侵，并盜取想要的資料。數(shù)據(jù)庫系統(tǒng)的安全特性主要是針對數(shù)據(jù)而言的，包括數(shù)據(jù)獨(dú)立性、數(shù)據(jù)安全性、數(shù)據(jù)完整性、并發(fā)控制、故障恢復(fù)等幾個(gè)方面。

二、各層安全機(jī)制

1、網(wǎng)絡(luò)系統(tǒng)安全機(jī)制。網(wǎng)絡(luò)系統(tǒng)的安全是數(shù)據(jù)庫安全的第一道屏障，外部入侵首先就是從入侵網(wǎng)絡(luò)系統(tǒng)開始的。網(wǎng)絡(luò)入侵試圖破壞信息系統(tǒng)的完整性、機(jī)密性或可信任的任何網(wǎng)絡(luò)活動的集合。從技術(shù)角度講，網(wǎng)絡(luò)系統(tǒng)層次的安全防范技術(shù)有很多種，大致可以分為防火墻、入侵檢測、協(xié)作式入侵檢測技術(shù)等。

(1)防火墻是應(yīng)用最廣的一種防范技術(shù)。作為系統(tǒng)的第一道防線，其主要作用是監(jiān)控可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間的訪問通道，可在內(nèi)部與外部網(wǎng)絡(luò)之間形成一道防護(hù)屏障，攔截來自外部的非法訪問并阻止內(nèi)部信息的外泄，但它無法阻攔來自網(wǎng)絡(luò)內(nèi)部的非法操作。

(2)入侵檢測是近年來發(fā)展起來的一種防范技術(shù)，綜合采用了統(tǒng)計(jì)技術(shù)、規(guī)則方法、網(wǎng)絡(luò)通信技術(shù)、人工智能、密碼學(xué)、推理等技術(shù)和方法，其作用是監(jiān)控網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)是否出現(xiàn)被入侵或?yàn)E用的征兆。作為監(jiān)控和識別攻擊的標(biāo)準(zhǔn)解決方案，已經(jīng)成為安全防御系統(tǒng)的重要組成部分。

2、服務(wù)器操作系統(tǒng)安全機(jī)制操作系統(tǒng)是大型數(shù)據(jù)庫系統(tǒng)的運(yùn)行平臺，為數(shù)據(jù)庫系統(tǒng)提供一定程度的安全保護(hù)。目前操作系統(tǒng)平臺大多數(shù)集中在Windows和Unix，安全級別通常為C1、C2級。主要安全技術(shù)有操作系統(tǒng)安全策略、安全管理策略、數(shù)據(jù)安全等方面。

(1)操作系統(tǒng)安全策略用于配置本地計(jì)算機(jī)的安全設(shè)置，包括密碼策略、賬戶鎖定策略、審核策略、IP安全策略、用戶權(quán)利指派、加密數(shù)據(jù)的恢復(fù)代理以及其它安全選項(xiàng)。具體可以體現(xiàn)在用戶賬戶、口令、訪問權(quán)限、審計(jì)等方面。

(2)安全管理策略是指網(wǎng)絡(luò)管理員對系統(tǒng)實(shí)施安全管理所采取的方法及策略。針對不同的操作系統(tǒng)、網(wǎng)絡(luò)環(huán)境需要采取的安全管理策略一般也不盡相同，其核心是保證服務(wù)器的安全和分配好各類用戶的權(quán)限。

3、數(shù)據(jù)庫管理系統(tǒng)安全機(jī)制由于數(shù)據(jù)庫系統(tǒng)在操作系統(tǒng)下都是以文件形式進(jìn)行管理的，因此入侵者可以直接利用操作系統(tǒng)的漏洞竊取數(shù)據(jù)庫文件，或者直接利用0S工具來非法偽造、篡改數(shù)據(jù)庫文件內(nèi)容。這種隱患一般數(shù)據(jù)庫用戶難以察覺，分析和堵塞這種漏洞被認(rèn)為是B2級的安全技術(shù)措施。數(shù)據(jù)庫管理系統(tǒng)層次安全技術(shù)主要是用來解決這一問題，即當(dāng)前面兩個(gè)層次已經(jīng)被突破的情況下仍能保障數(shù)據(jù)庫數(shù)據(jù)的安全，這就要求數(shù)據(jù)庫管理系統(tǒng)必須有一套強(qiáng)有力的安全機(jī)制。主要安全技術(shù)有觸發(fā)器、視圖、存取權(quán)限、數(shù)據(jù)加密、審計(jì)跟蹤、數(shù)據(jù)的備份和恢復(fù)等方面。

三、使用DBMS安全機(jī)制防范

網(wǎng)絡(luò)攻擊許多大型的DBMS(數(shù)據(jù)庫管理系統(tǒng))都提供了完善的數(shù)據(jù)庫安全防范技術(shù)，綜合利用這些技術(shù)，可以明顯提高數(shù)據(jù)庫系統(tǒng)的安全性。

1、認(rèn)證和授權(quán)。認(rèn)證是驗(yàn)證系統(tǒng)中請求服務(wù)的人或應(yīng)用程序身份的過程；授權(quán)是將一個(gè)通過身份認(rèn)證的身份映射已經(jīng)授予數(shù)據(jù)庫用戶的許可的過程，該過程限制用戶在數(shù)據(jù)庫內(nèi)部允許發(fā)生的行為。通過數(shù)據(jù)庫的認(rèn)證機(jī)制，解決用戶角色和權(quán)限問題。這方面的技術(shù)主要包括用戶標(biāo)志和鑒別、存取控制等。對數(shù)據(jù)庫服務(wù)器進(jìn)行權(quán)限設(shè)置時(shí)，應(yīng)該為Web程序單獨(dú)設(shè)立一個(gè)受限的登錄，指定其只能訪問特定的數(shù)據(jù)庫，并為該特定數(shù)據(jù)庫添加一個(gè)用戶，使之與該受限的登錄相連，并嚴(yán)格設(shè)定該用戶的數(shù)據(jù)庫權(quán)限。

2、備份與恢復(fù)。通過數(shù)據(jù)庫備份，當(dāng)系統(tǒng)發(fā)生故障時(shí)，管理員就能迅速把數(shù)據(jù)庫恢復(fù)到原來的狀態(tài)，以保持?jǐn)?shù)據(jù)的完整性和一致性。

3、審計(jì)是指監(jiān)視和記錄用戶對數(shù)據(jù)庫所施加的各種操作的機(jī)制。通過審計(jì)，可以把用戶對數(shù)據(jù)庫的所有操作自動記錄下來放入審計(jì)日志中，這樣數(shù)據(jù)庫系統(tǒng)可以利用審計(jì)跟蹤的信息，重現(xiàn)導(dǎo)致數(shù)據(jù)庫現(xiàn)有狀況的一系列事件，找出非法存取數(shù)據(jù)的人、時(shí)間和內(nèi)容等，以便于追查有關(guān)責(zé)任同時(shí)審計(jì)也有助于發(fā)現(xiàn)系統(tǒng)安全方面的弱點(diǎn)和漏洞。

四、結(jié)論

互聯(lián)網(wǎng)是一個(gè)交互的平臺，而數(shù)據(jù)庫的安全性問題也是一個(gè)永遠(yuǎn)發(fā)展的問題，隨著入侵者的手段的不斷提高，采用的安全技術(shù)也在不斷地提高。只有不斷地研究處理新情況、新問題，才能繼續(xù)加強(qiáng)數(shù)據(jù)庫的安全性。

1、要使硬件設(shè)備跟上互聯(lián)網(wǎng)的步伐。對硬件設(shè)備要及時(shí)的進(jìn)行更新和維修，建立一套完整設(shè)備維修管理制度，并配備足夠的專業(yè)人士經(jīng)常進(jìn)行維修和更新。

2、要提高防火墻的防御能力指數(shù)。建立一套適用于科技人才數(shù)據(jù)庫系統(tǒng)的網(wǎng)絡(luò)防御系統(tǒng)，這樣不僅可以是有效的防御黑客和病毒的入侵，也可以提高整個(gè)科技人才數(shù)據(jù)庫系統(tǒng)的優(yōu)化程度。

3、在管理方面要建立明確的等級權(quán)限管理制度。對需要查閱信息的需求者設(shè)定不同的等級權(quán)限，以保護(hù)絕密的信息不被隨意泄露。