對(duì)數(shù)據(jù)庫(kù)安全性的研究分析

江蘇省鹽城市響水縣行政中心 顧海浪

對(duì)數(shù)據(jù)庫(kù)安全性的研究分析

江蘇省鹽城市響水縣行政中心 顧海浪

在當(dāng)前，數(shù)據(jù)庫(kù)安全性成為了計(jì)算機(jī)系統(tǒng)的一個(gè)重要方面，提高數(shù)據(jù)庫(kù)的安全性是計(jì)算機(jī)網(wǎng)絡(luò)工作不可忽視的內(nèi)容，本文主要針對(duì)數(shù)據(jù)庫(kù)安全性目標(biāo)要求、安全構(gòu)架及其實(shí)現(xiàn)方法開(kāi)展分析。

數(shù)據(jù)庫(kù)；安全性；研究

目前，信息化速度的加快讓計(jì)算機(jī)的運(yùn)用越來(lái)越廣泛，整個(gè)計(jì)算機(jī)系統(tǒng)的安全性問(wèn)題應(yīng)當(dāng)引起高度重視。計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)一般會(huì)以文件或者數(shù)據(jù)庫(kù)的形式予以存儲(chǔ)，相對(duì)而言，數(shù)據(jù)庫(kù)具有更為明顯的優(yōu)勢(shì)，尤其是在數(shù)據(jù)完整性、管理便捷程度等方面，在管理中應(yīng)當(dāng)提高其安全性。

1.數(shù)據(jù)庫(kù)安全性目標(biāo)與構(gòu)架

1.1 安全性目標(biāo)

計(jì)算機(jī)數(shù)據(jù)庫(kù)安全性指的是對(duì)數(shù)據(jù)庫(kù)實(shí)行安全保護(hù)效果，有效杜絕因非法操作行為引發(fā)數(shù)據(jù)庫(kù)中的數(shù)據(jù)被泄密或者損壞。提高數(shù)據(jù)庫(kù)安全性的主要標(biāo)志就是保持?jǐn)?shù)據(jù)庫(kù)的絕對(duì)完整性、高度的保密性以及可用效果，都隸屬于計(jì)算機(jī)數(shù)據(jù)庫(kù)管理系統(tǒng)。

1.2 數(shù)據(jù)庫(kù)安全性基本構(gòu)架

目前，在計(jì)算機(jī)數(shù)據(jù)庫(kù)系統(tǒng)管理工作中，提高數(shù)據(jù)庫(kù)安全性的途徑共有2條，首先是依靠數(shù)據(jù)庫(kù)自身管理系統(tǒng)中能夠設(shè)置的用戶名與口令識(shí)別、操作權(quán)限設(shè)置以及審計(jì)等，一般的數(shù)據(jù)庫(kù)管理系統(tǒng)都設(shè)置了這一類功能，如Informix系統(tǒng)就具有這樣的設(shè)置功能。其次，是通過(guò)對(duì)應(yīng)用程序設(shè)置進(jìn)行控制的途徑提高數(shù)據(jù)庫(kù)安全性，如Foxbase系統(tǒng)就是典型的代表。廣大數(shù)據(jù)庫(kù)使用者最為關(guān)注的就是數(shù)據(jù)庫(kù)中相關(guān)數(shù)據(jù)資料的安全性方面，尤其是對(duì)查詢控制方面，當(dāng)前，數(shù)據(jù)庫(kù)系統(tǒng)中常用的方式方法主要有以下幾個(gè)方面。

1.2.1 對(duì)用戶實(shí)施分類管理

較為通用的操作是將使用與管理權(quán)限設(shè)置為三個(gè)不同的層次，分別對(duì)用戶予以授權(quán)，開(kāi)展相應(yīng)的操作與管理，具體為數(shù)據(jù)庫(kù)系統(tǒng)的登錄、資源管理以及數(shù)據(jù)庫(kù)管理員等三個(gè)不同層次的權(quán)限。

對(duì)于獲得數(shù)據(jù)庫(kù)登錄權(quán)限的基本用戶，能夠按照程序進(jìn)入到數(shù)據(jù)庫(kù)系統(tǒng)之中，依靠數(shù)據(jù)庫(kù)系統(tǒng)允許的操作工具以及程序，查詢各種信息，根據(jù)數(shù)據(jù)庫(kù)客體主人授權(quán)，能夠進(jìn)行數(shù)據(jù)查詢以及建立視圖等操作，這一類用戶的權(quán)限只能夠查閱數(shù)據(jù)庫(kù)中的信息，但是無(wú)法對(duì)庫(kù)中信息進(jìn)行修改與變動(dòng)。

授予資源管理權(quán)限的用戶權(quán)限則相對(duì)有了進(jìn)一步提高，不僅能夠?qū)嵤┑卿洐?quán)限用戶的各項(xiàng)操作，還能夠擁有創(chuàng)建數(shù)據(jù)庫(kù)客體的權(quán)限，如建立數(shù)據(jù)庫(kù)表和索引等，在規(guī)定的權(quán)限之內(nèi)對(duì)數(shù)據(jù)庫(kù)實(shí)施修改與查詢，并能夠?qū)⑵涫褂脵?quán)限授予他人，也能夠進(jìn)行審計(jì)申請(qǐng)。

數(shù)據(jù)庫(kù)管理員權(quán)限則為較為高級(jí)的管理權(quán)限，擁有此項(xiàng)權(quán)限的用戶數(shù)量極少，其擁有整個(gè)數(shù)據(jù)庫(kù)管理的全部權(quán)限，能夠?qū)?kù)中所有用戶的全部數(shù)據(jù)進(jìn)行訪問(wèn)，也能夠授予或者取消庫(kù)中用戶的各項(xiàng)權(quán)限，能夠依據(jù)需要?jiǎng)?chuàng)建數(shù)據(jù)庫(kù)客體，以及實(shí)施數(shù)據(jù)庫(kù)備份、重組以及審計(jì)等操作。

1.2.2 對(duì)數(shù)據(jù)實(shí)施分類管理

對(duì)于相同使用權(quán)限的數(shù)據(jù)庫(kù)用戶，其在數(shù)據(jù)庫(kù)管理使用中范圍會(huì)有所區(qū)別，針對(duì)這樣的狀況，DBMS通過(guò)建立視圖的方式對(duì)數(shù)據(jù)實(shí)施分類管理。數(shù)據(jù)庫(kù)管理員將用戶能夠查詢的數(shù)據(jù)在邏輯方面予以歸并，建立數(shù)量不等的視圖，將其使用查詢操作權(quán)限分別授予相應(yīng)的用戶。管理員對(duì)數(shù)據(jù)管理的分類能夠?qū)嵤┓浅＜?xì)微，甚至能夠達(dá)到二維表中交叉元素。

1.2.3 對(duì)用戶實(shí)施審計(jì)功能

在數(shù)據(jù)庫(kù)管理系統(tǒng)中，審計(jì)功能是較為有效的安全保障性措施，主要功能是對(duì)全部用戶對(duì)數(shù)據(jù)庫(kù)的操作進(jìn)行全面監(jiān)控，審計(jì)的方式主要有用戶審計(jì)以及系統(tǒng)審計(jì)。在用戶審計(jì)過(guò)程中，審計(jì)系統(tǒng)能夠?qū)θ康钠髨D訪問(wèn)自己數(shù)據(jù)庫(kù)的操作予以記錄，包括用戶名以及時(shí)間和代碼等，記錄信息存儲(chǔ)于數(shù)據(jù)字典里面，用戶能夠運(yùn)用記錄信息實(shí)施審計(jì)分析研究。系統(tǒng)審計(jì)行為是系統(tǒng)管理員操作范疇，主要對(duì)系統(tǒng)一級(jí)命令、數(shù)據(jù)庫(kù)客體使用等進(jìn)行審計(jì)。

2.數(shù)據(jù)庫(kù)安全性實(shí)現(xiàn)途徑

在數(shù)據(jù)庫(kù)安全性工作中，要關(guān)注保密問(wèn)題，兩者密不可分，其安全保密一般通過(guò)系統(tǒng)處理以及物理兩個(gè)途徑實(shí)施，當(dāng)前常見(jiàn)的計(jì)算機(jī)系統(tǒng)安全措施為逐級(jí)設(shè)置，如下所示：

2.1 用戶標(biāo)識(shí)與鑒定

系統(tǒng)在操作中要求用戶標(biāo)識(shí)名稱以及身份，進(jìn)行使用用戶的身份識(shí)別與審核，通過(guò)審核之后才授予使用權(quán)限。通常使用用戶名以及用戶標(biāo)識(shí)號(hào)標(biāo)注用戶身份，系統(tǒng)一旦審核其為合法用戶，會(huì)實(shí)施下步核實(shí)，通不過(guò)則無(wú)法使用機(jī)器，在用戶核實(shí)過(guò)程中，一般會(huì)要求輸入口令。數(shù)據(jù)庫(kù)系統(tǒng)在用戶入庫(kù)環(huán)節(jié)應(yīng)當(dāng)提供隨機(jī)數(shù)，其依據(jù)特定過(guò)程或者函數(shù)計(jì)算出結(jié)果值，系統(tǒng)予以同過(guò)程計(jì)算分析，兩者相同則為合法用戶，能夠授予使用權(quán)限，如果不一致，則為非法用戶，數(shù)據(jù)庫(kù)管理系統(tǒng)則會(huì)拒絕授權(quán)其對(duì)數(shù)據(jù)庫(kù)進(jìn)行訪問(wèn)。

2.2 存取控制

對(duì)于數(shù)據(jù)庫(kù)已經(jīng)授權(quán)訪問(wèn)的用戶，應(yīng)當(dāng)結(jié)合規(guī)定的用戶權(quán)限實(shí)施存取控制，確保其存取數(shù)據(jù)為其有權(quán)存取的范疇。

2.3 數(shù)據(jù)庫(kù)加密

當(dāng)前，數(shù)據(jù)庫(kù)系統(tǒng)自身的技術(shù)性安全系數(shù)已經(jīng)能夠滿足使用需求，但是對(duì)于重要部門以及核心部門的數(shù)據(jù)庫(kù)管理，在此基礎(chǔ)上還應(yīng)當(dāng)予以加密，進(jìn)一步提高數(shù)據(jù)存儲(chǔ)的安全性。對(duì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行加密處理，是按照數(shù)據(jù)加密技術(shù)，將明文數(shù)據(jù)轉(zhuǎn)換成為密文數(shù)據(jù)進(jìn)行存儲(chǔ)，解密過(guò)程與加密過(guò)程相反。數(shù)據(jù)庫(kù)因?yàn)槠渥陨砉蚕硇燥@著特點(diǎn)，使用用戶中擁有相應(yīng)權(quán)限的用戶應(yīng)當(dāng)了解密鑰方便查詢?cè)L問(wèn)，多級(jí)密鑰結(jié)構(gòu)數(shù)據(jù)庫(kù)關(guān)系運(yùn)算中運(yùn)算最基礎(chǔ)單位是字段，查詢路徑應(yīng)當(dāng)遵循庫(kù)名、表名、記錄名、字段名順序。在加密機(jī)制方面，對(duì)于公開(kāi)密鑰體制的密碼，對(duì)數(shù)據(jù)庫(kù)進(jìn)行加密與解密的密鑰相同和公開(kāi)，需要絕對(duì)保密的是加密算法，加密機(jī)制一般為二元函數(shù)：密文等于F（密鑰，銘文），制定了加密算法之后，擁有密鑰以及明文之后就能夠?qū)⑵滢D(zhuǎn)換為密文，對(duì)其進(jìn)行解密的過(guò)程是加密的逆過(guò)程，數(shù)據(jù)庫(kù)密碼加密機(jī)制屬于加密與解密均可實(shí)施的可逆過(guò)程。當(dāng)前數(shù)據(jù)庫(kù)管理中常用的加密算法一般有系列密碼體制、分組密碼體制以及公開(kāi)密鑰體制，前兩者屬于對(duì)成型密碼，后者屬于非對(duì)稱性密碼，非對(duì)稱性密碼的顯著特征為加密使用的是公鑰加密，解密時(shí)運(yùn)用私鑰。

綜上所述，在數(shù)據(jù)庫(kù)使用中一定要規(guī)范操作，注重研究分析，切實(shí)提高安全性。

[1]許磊.淺談數(shù)據(jù)庫(kù)加密的實(shí)現(xiàn)及目標(biāo)[J].安徽廣播電視大學(xué)學(xué)報(bào),2010(1).

[2]董尚燕.安全數(shù)據(jù)庫(kù)中的推理控制初探[J].電腦知識(shí)與技術(shù),2008(7).

[3]孔令美.淺談數(shù)據(jù)庫(kù)安全管理[J].電腦知識(shí)與技術(shù),2009(11).