計(jì)算機(jī)數(shù)據(jù)庫(kù)安全管理研究

趙宏福

[摘要]在信息網(wǎng)絡(luò)中的數(shù)據(jù)庫(kù)，通常是對(duì)計(jì)算機(jī)的存儲(chǔ)和操作數(shù)據(jù)通用形式的總稱，關(guān)系模型數(shù)據(jù)庫(kù)的出現(xiàn)，對(duì)于整個(gè)計(jì)算機(jī)數(shù)據(jù)庫(kù)系統(tǒng)發(fā)展來(lái)說(shuō)，是非常重要環(huán)節(jié)。而且在企業(yè)的發(fā)展中，計(jì)算機(jī)數(shù)據(jù)庫(kù)也占據(jù)著越來(lái)越重要的地位，對(duì)企業(yè)各種業(yè)務(wù)數(shù)據(jù)進(jìn)行存儲(chǔ)以及管理，都需要通過(guò)建立高效安全的數(shù)據(jù)庫(kù)來(lái)實(shí)現(xiàn)，這樣，既可以極大地提高企業(yè)管理的科學(xué)性，及企業(yè)管理的規(guī)范性，同時(shí)又可以提高企業(yè)管理效率，有利于企業(yè)的不斷地發(fā)展壯大。然而，企業(yè)在享受計(jì)算機(jī)數(shù)據(jù)庫(kù)帶來(lái)各種方便的同時(shí)，企業(yè)也要面一臨著各種風(fēng)險(xiǎn)的威脅。筆者通過(guò)對(duì)計(jì)算機(jī)數(shù)據(jù)庫(kù)安全特征，進(jìn)行必要的簡(jiǎn)述，以及對(duì)數(shù)據(jù)庫(kù)安全管理中存在的問(wèn)題，進(jìn)行深入的分析，并在此基礎(chǔ)上，提出對(duì)計(jì)算機(jī)數(shù)據(jù)庫(kù)進(jìn)行安全管理的方法及措施。

[關(guān)鍵詞]計(jì)算機(jī)；數(shù)據(jù)庫(kù)；安全管理；研究；

[中圖分類(lèi)號(hào)]F224-39 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1672-5158（2013）06-0084-01

一、前言：

在整個(gè)計(jì)算機(jī)系統(tǒng)安全管理中，其中數(shù)據(jù)庫(kù)的安全管理是其重要組成部分，做好減少各種風(fēng)險(xiǎn)，避免各種來(lái)自外部風(fēng)險(xiǎn)的威脅工作，在數(shù)據(jù)安全管理的每個(gè)環(huán)節(jié)中，都是至關(guān)重要的，也是最關(guān)鍵的，很多類(lèi)型的數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)，雖然是無(wú)法徹底消除的，但可以采取有效的措施，，強(qiáng)有力地對(duì)可能發(fā)生風(fēng)險(xiǎn)各個(gè)環(huán)節(jié)進(jìn)行控制，以達(dá)到減少其對(duì)企業(yè)核心數(shù)據(jù)庫(kù)產(chǎn)生的威脅和破壞。

二、計(jì)算機(jī)數(shù)據(jù)庫(kù)及其安全

計(jì)算機(jī)數(shù)據(jù)庫(kù)，可以更直觀的理解為，是計(jì)算機(jī)對(duì)數(shù)據(jù)存儲(chǔ)，以及進(jìn)行操作的一種形式，現(xiàn)階段計(jì)算機(jī)數(shù)據(jù)庫(kù)的發(fā)展階段主要分為下面三步：網(wǎng)狀數(shù)據(jù)庫(kù)模型、層次模型，還有關(guān)系模型，其中關(guān)系模型在計(jì)算機(jī)數(shù)據(jù)庫(kù)發(fā)展中，占有極其重要的地位而備受關(guān)注。自從80年代以來(lái)，數(shù)據(jù)庫(kù)的應(yīng)用得到了更加廣泛的普及，這主要由于在數(shù)據(jù)庫(kù)系統(tǒng)的應(yīng)用中，查詢語(yǔ)言被越來(lái)越廣泛應(yīng)用，信息系統(tǒng)得到了廣泛的建立。主體對(duì)客體的訪問(wèn)，其合法性主要是通過(guò)計(jì)算機(jī)的安全核心問(wèn)題來(lái)保證的，在系統(tǒng)使用過(guò)程中，通過(guò)數(shù)據(jù)的輸入、修改以及刪除等信息的管理，并使得主體對(duì)客體的訪問(wèn)是通過(guò)授權(quán)的，可是相對(duì)于部分非授權(quán)的訪問(wèn)，系統(tǒng)自動(dòng)采取拒絕操作，從而使系統(tǒng)中儲(chǔ)存的信息所具有的機(jī)密性和可用性以及其完整性得到有效的保證。其中，作為資源訪問(wèn)處理的這一部分，即訪問(wèn)控制，這部分主要是自主訪問(wèn)控制以及強(qiáng)制訪問(wèn)控制。其中的自主訪問(wèn)控制，指的是由用戶有訪問(wèn)權(quán)，對(duì)于自身所創(chuàng)建的訪問(wèn)對(duì)象如文件、數(shù)據(jù)表等信息，進(jìn)行自由的訪問(wèn)，強(qiáng)制訪問(wèn)控制，指的是由系統(tǒng)，即通過(guò)專門(mén)的設(shè)置系統(tǒng)安全員，在設(shè)置的權(quán)限上，對(duì)用戶所創(chuàng)建的對(duì)象進(jìn)行統(tǒng)一的強(qiáng)制性控制，按照規(guī)定的規(guī)則決定哪些用戶可以對(duì)哪些對(duì)象進(jìn)行什么樣操作系統(tǒng)類(lèi)型的訪問(wèn)。在現(xiàn)在的大多數(shù)企業(yè)當(dāng)中，在對(duì)數(shù)據(jù)庫(kù)建立過(guò)程中，對(duì)其工作流程進(jìn)行了很多的簡(jiǎn)化，因而減少了很多工作量，極大地提高了工作效率，所以說(shuō)對(duì)于這些企業(yè)來(lái)說(shuō)，建立數(shù)據(jù)庫(kù)在信息資源管理中處于核心地位。但是對(duì)于不法攻擊者來(lái)說(shuō)，這也是他們極力尋找，很看重的攻擊目標(biāo)位置，對(duì)數(shù)據(jù)庫(kù)實(shí)施直接攻擊，比在網(wǎng)絡(luò)中對(duì)信息進(jìn)行獲取要方便的多，因此相對(duì)企業(yè)來(lái)說(shuō)，會(huì)帶來(lái)了更大的損失。所以說(shuō)在數(shù)據(jù)庫(kù)的安全性方面，主要是在操作和網(wǎng)絡(luò)兩個(gè)方面，它跟計(jì)算機(jī)系統(tǒng)的在安全性方面的要求幾乎是一樣的。

三、計(jì)算機(jī)數(shù)據(jù)庫(kù)安全技術(shù)

1 用戶標(biāo)識(shí)與鑒別

在計(jì)算機(jī)數(shù)據(jù)庫(kù)安全管理中，用戶標(biāo)識(shí)和鑒別是系統(tǒng)提供的最外層安全保護(hù)措施。在眾多的用戶標(biāo)識(shí)與鑒別的方法中，通常采用在一個(gè)系統(tǒng)中是多種方法同時(shí)并用，可以使系統(tǒng)的安全性更強(qiáng)。比較常用的方法有：對(duì)用戶身份的表明，通過(guò)輸入用戶名來(lái)進(jìn)行標(biāo)識(shí)；對(duì)用戶身份通過(guò)回答口令來(lái)進(jìn)行標(biāo)識(shí)；對(duì)用戶身份通過(guò)回答對(duì)隨機(jī)數(shù)的運(yùn)算結(jié)構(gòu)來(lái)進(jìn)行表明等等。然而，這些方式在加強(qiáng)安全性能的同時(shí)，也相應(yīng)的增加了成本，因此，一般在大型企業(yè)用戶進(jìn)行使用。

2 安全模型

在數(shù)據(jù)庫(kù)安全管理中，建立安全模型是十分必要的，所謂安全模型，就是對(duì)于安全的重要方面及其與系統(tǒng)行為的關(guān)系都可通過(guò)它來(lái)進(jìn)行準(zhǔn)確的描述，建立安全模型，就是以成功實(shí)現(xiàn)關(guān)鍵安全需求的理解層次的提高為主要目的的。安全模型通常可以分為以下兩個(gè)方面：第一、多級(jí)安全模型。多級(jí)安全模型最先是被應(yīng)用于軍用系統(tǒng)和數(shù)據(jù)庫(kù)的安全保密中的，它能做到不同密級(jí)可以包含不同的信息。在通常情況下，其密級(jí)由低到高可具體分為：秘密級(jí)、機(jī)密級(jí)以及絕密級(jí)。尤其需要注意的是：能使用每一密級(jí)的信息的人必須是：具有該密級(jí)或高于該密級(jí)權(quán)限的人員使用。2）多邊安全模型。在數(shù)據(jù)庫(kù)安全措施中，多邊安全模型可以有效地阻止信息的橫向泄露，因而使數(shù)據(jù)庫(kù)信息安全得到最大程度的保護(hù)。因此它又是一項(xiàng)比較重要數(shù)據(jù)庫(kù)數(shù)據(jù)安全保護(hù)措施。

3 訪問(wèn)控制

確保具有數(shù)據(jù)庫(kù)使用權(quán)的用戶可以正常來(lái)訪問(wèn)數(shù)據(jù)庫(kù)，這就是訪問(wèn)控制應(yīng)該達(dá)到的目的，訪問(wèn)控制是最重要數(shù)據(jù)庫(kù)安全防范策略之一。訪問(wèn)控制的功能實(shí)質(zhì)就是為了對(duì)非法的主體進(jìn)入受保護(hù)的網(wǎng)絡(luò)資源進(jìn)行阻止、并且可以允許合法用戶訪問(wèn)受保護(hù)的網(wǎng)絡(luò)資源、又可以有效阻止合法的用戶對(duì)受保護(hù)的網(wǎng)絡(luò)資源，進(jìn)行非授權(quán)的訪問(wèn)。計(jì)算機(jī)系統(tǒng)活動(dòng)主要是應(yīng)用在主體和客體之間的。即使對(duì)于創(chuàng)建者用戶，在對(duì)一個(gè)對(duì)象進(jìn)行創(chuàng)建后，也可能存在無(wú)權(quán)訪問(wèn)該對(duì)象的現(xiàn)象。在對(duì)這種訪問(wèn)控制中，不同的安全屬性同時(shí)被分配到了主體和客體上，對(duì)于客體的安全屬性，用戶是無(wú)法改變的，只能由系統(tǒng)管理員對(duì)訪問(wèn)權(quán)限進(jìn)行確定，主體是否可以進(jìn)行訪問(wèn)客體，是系統(tǒng)通過(guò)對(duì)客體以及主體的安全屬性進(jìn)行比較來(lái)決定的。

4 安全審計(jì)

審計(jì)在數(shù)據(jù)庫(kù)安全管理系統(tǒng)中，審計(jì)是一項(xiàng)比較重要的功能。通過(guò)安全審計(jì)，可以為審計(jì)管理員提供一組可以用來(lái)進(jìn)行分析的管理數(shù)據(jù)，從而能夠有效發(fā)現(xiàn)違反安全方案的事件的發(fā)生地。很多企業(yè)使用審計(jì)功能僅限于極大地提高數(shù)據(jù)庫(kù)服務(wù)器的性能，如果企業(yè)特別需要關(guān)注服務(wù)器性能的話，那么企業(yè)可以考慮采用數(shù)據(jù)庫(kù)活動(dòng)監(jiān)控作為解決方案，來(lái)為企業(yè)提供審計(jì)以及提供其他相關(guān)功能。對(duì)審計(jì)功能進(jìn)行關(guān)閉，會(huì)給調(diào)查數(shù)據(jù)泄漏原因帶來(lái)很大的難度，并且還會(huì)影響到企業(yè)的合規(guī)。通過(guò)安全審計(jì)可以對(duì)安全出現(xiàn)的漏洞進(jìn)行必要的添堵。系統(tǒng)在運(yùn)行時(shí)可以把數(shù)據(jù)庫(kù)的所有操作進(jìn)行記錄，并記錄在在審計(jì)日志中，這樣數(shù)據(jù)庫(kù)管理員就可以利用審計(jì)對(duì)非法存取數(shù)據(jù)信息進(jìn)行跟蹤，很容易地找到非法存取數(shù)據(jù)的人、時(shí)間，還有內(nèi)容等。審計(jì)安全可以保證數(shù)據(jù)的物理完整性。

5 粒度細(xì)化

計(jì)算機(jī)中敏感標(biāo)識(shí)是強(qiáng)制訪問(wèn)控制的依據(jù)。在強(qiáng)制訪問(wèn)控制下，在那個(gè)單位上通常都標(biāo)記著安全級(jí)別。相對(duì)于主體而言，在數(shù)據(jù)庫(kù)的訪問(wèn)控制中，粒度一般存在于用戶一級(jí)。而對(duì)于客體而言，自主訪控制的粒度一般位于表一級(jí)，此時(shí)的客體包括表、視圖、還有存儲(chǔ)過(guò)程等等。

四、結(jié)束語(yǔ)：

在整個(gè)數(shù)據(jù)庫(kù)安全管理過(guò)程中，要從多方面采取安全策略來(lái)進(jìn)行安全阻止，不僅僅要對(duì)數(shù)據(jù)庫(kù)安全技術(shù)進(jìn)行不斷地研究和開(kāi)發(fā)，同時(shí)也要采用先進(jìn)合理的系統(tǒng)設(shè)備，并且要不斷地加強(qiáng)數(shù)據(jù)庫(kù)操作人員的專業(yè)技術(shù)培訓(xùn)工作，不斷地提高其專業(yè)技術(shù)水平，還要對(duì)數(shù)據(jù)庫(kù)的操作進(jìn)行不斷地規(guī)范，從而通過(guò)采用網(wǎng)絡(luò)安全技術(shù)，將整個(gè)數(shù)據(jù)庫(kù)的安全管理納入規(guī)范化和標(biāo)準(zhǔn)化的管理范圍之中，因而有利地提高了整個(gè)數(shù)據(jù)庫(kù)安全n生能，大大的保證了數(shù)據(jù)庫(kù)的安全，為社會(huì)提供了良好的社會(huì)經(jīng)濟(jì)效益。

參考文獻(xiàn)

[1]羅可，卜勝賢，吳一帆《數(shù)據(jù)庫(kù)安全問(wèn)題》長(zhǎng)沙電力學(xué)院學(xué)報(bào)（自然科學(xué)版），1999（02）

[2]陳翔《數(shù)據(jù)庫(kù)管理系統(tǒng)的層次安全與管理防范》硅谷，2009（02）

[3]斐維玲《安全管理不能只靠軟件解決》機(jī)械工業(yè)信息與網(wǎng)絡(luò)，2005f05）

[4]岳五九，徐正玉《數(shù)據(jù)庫(kù)系統(tǒng)安全探析》安徽水利水電職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2006（04）

[5]徐東平《多用戶應(yīng)用軟件并發(fā)探討》武漢理工大學(xué)學(xué)報(bào)（交通科學(xué)與工程版），1992（04）

[8]鐘聲偉《關(guān)于UX-BASIC源程序及結(jié)果的打印方法》交通與計(jì)算機(jī)，1993（06）