魯翠柳
(鹽城機電高等職業(yè)技術學校,江蘇 鹽城 224005)
隨著現(xiàn)代信息技術的高度發(fā)展,整個社會數(shù)據(jù)呈幾何級數(shù)增長。伴隨著大數(shù)據(jù)時代的到來,大數(shù)據(jù)時代龐大的數(shù)據(jù)資源導致了各個領域的定量化進程,決策將越來越多地基于數(shù)據(jù)和分析,那么數(shù)據(jù)的安全性也越發(fā)重要。存有海量信息的數(shù)據(jù)庫安全機制主要側重預防和控制,從應用外部環(huán)境到數(shù)據(jù)庫文件本身,形成多角度、多方位、多層次的數(shù)據(jù)庫安全保障體系。
網(wǎng)絡中計算機和互聯(lián)網(wǎng)設備基于防火墻技術與網(wǎng)絡數(shù)據(jù)庫服務器相連,因為關閉了特定端口,無法實現(xiàn)非法訪問。但這個端口就成了黑客們?nèi)肭值闹饕繕耍畛S玫哪J骄褪墙Y構化查詢語言的輸入。在程序編寫和運行過程中,程序編譯階段、對用戶輸入?yún)?shù)的驗證過程及程序自身的漏洞等,都對計算機系統(tǒng)安全運行有潛在威脅。
計算機系統(tǒng)之間的數(shù)據(jù)交換將隨著大數(shù)據(jù)技術和產(chǎn)業(yè)的發(fā)展愈加頻繁,這給我們的生活帶來便利,同時也增加了計算機病毒相互感染的可能性。根據(jù)網(wǎng)絡數(shù)據(jù)庫數(shù)據(jù)的使用情況來看,病毒嚴重影響數(shù)據(jù)庫的安全性,已感染病毒的信息來源交叉?zhèn)鞑ズ透腥?,錯誤的操作程序,編譯人員人工植入,這些都增加了病毒的傳播和感染。已感染病毒一旦大量爆發(fā)會影響計算機系統(tǒng)的使用,并具有很強的破壞力。
計算機網(wǎng)絡數(shù)據(jù)庫使用者安全意識薄弱,忽略了計算機安全性,設置簡單的計算機用戶賬號和密碼,未對賬號和密碼等信息做好保密工作,監(jiān)控密碼不符合特定需求的數(shù)據(jù)字典。此外,在計算機網(wǎng)絡數(shù)據(jù)庫的管理中缺乏專業(yè)的安全管理人員,致使計算機安全管理系統(tǒng)得不到全面的維護和調(diào)試,這些方面對網(wǎng)絡數(shù)據(jù)庫的安全造成了威脅。
網(wǎng)絡數(shù)據(jù)庫應用的外部環(huán)境與基礎是網(wǎng)絡,安全的網(wǎng)絡環(huán)境是網(wǎng)絡數(shù)據(jù)庫安全的基石。
2.1.1 合理分配網(wǎng)絡資源
保障網(wǎng)絡數(shù)據(jù)庫服務器安全、高效運行的前提是合理分配網(wǎng)絡資源。網(wǎng)絡資源在網(wǎng)絡管理程序的統(tǒng)一管理、集中調(diào)度和合理分配下,以保證網(wǎng)絡和設備在一定范圍內(nèi)能夠可靠、高效地運行,網(wǎng)絡資源處于良好的運行狀態(tài),從而保障數(shù)據(jù)庫服務器安全、高效地運行。
2.1.2 構筑防火墻
構筑防火墻是數(shù)據(jù)庫安全的第一道防線。防火墻位于內(nèi)網(wǎng)與外網(wǎng)之間,內(nèi)網(wǎng)流入流出的所有信息均要經(jīng)過防火墻。防火墻對流經(jīng)它的IP數(shù)據(jù)報進行掃描,檢查其IP地址和端口號,確保進入內(nèi)網(wǎng)和流出內(nèi)網(wǎng)的信息的合法性。防火墻還能阻擋來自外部的非法訪問,防止內(nèi)部信息的外泄,濾掉黑客的攻擊,關閉不使用的端口,形成內(nèi)部和外部網(wǎng)絡之間的屏障,達到保護網(wǎng)絡數(shù)據(jù)庫信息安全的目的。但防火墻是被動的,不能防范從網(wǎng)絡內(nèi)部發(fā)起的攻擊,黑客利用系統(tǒng)缺陷和漏洞,竊取賬號、密碼,非法訪問,傳播病毒等形式危害網(wǎng)絡數(shù)據(jù)庫安全[1]。
2.1.3 使用入侵檢測技術
入侵檢測技術(Intrusion Detection System,IDS)是一種主動保護系統(tǒng)免受攻擊的網(wǎng)絡安全防范技術。入侵檢測技術是綜合運用網(wǎng)絡通信、統(tǒng)計、規(guī)則方法等技術,通過在網(wǎng)絡若干關鍵點上監(jiān)聽和收集信息并對其進行分析,從中發(fā)現(xiàn)網(wǎng)絡系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象,及時進行報警、阻斷和審計跟蹤。IDS基于統(tǒng)一的規(guī)范,在入侵監(jiān)控組件之間自動交換信息,通過信息交換有效地監(jiān)控入侵,可以應用于不同的網(wǎng)絡環(huán)境[2]。
服務器操作系統(tǒng)的安全是網(wǎng)絡數(shù)據(jù)庫安全的重要保障。高性能、高可靠性和高安全性是服務器上的操作系統(tǒng)必備要素。服務器操作系統(tǒng)中可能存在的不安全因素:(1)操作系統(tǒng)本身存在不穩(wěn)定或不安全的因素。(2)操作系統(tǒng)本身的安全配置。(3)對操作系統(tǒng)本身的病毒或木馬威脅。為了更加安全地進行系統(tǒng)操作,需要按照以下機制進行改進。
2.2.1 在使用安全性的操作系統(tǒng)的基礎上,對安全策略進行全面安全配置
例如,密碼策略、賬戶鎖定策略、系統(tǒng)監(jiān)控、審核策略、IP安全策略、用戶權限分配等安全選項,用戶信息或重要文檔的訪問限制。安全策略的配置可以防止信息安全事故的影響降為最小,保證業(yè)務的持續(xù)性,保護組織的資源。
2.2.2 選擇安全文件系統(tǒng)
例如,新技術文件系統(tǒng)(New Technology File System,NTFS)是最合適的SQL Server數(shù)據(jù)庫文件系統(tǒng)。NFTS比文件配置表(File Allocation Table,F(xiàn)AT)的系統(tǒng)更加穩(wěn)定,更安全的文件保障,提供文件加密,可以設置單個文件和文件夾權限,能夠大大提高數(shù)據(jù)的安全性。
2.2.3 及時更新補丁和防病毒軟件
軟件漏洞已經(jīng)成為信息安全事件主要原因之一。針對軟件漏洞帶來的危害,及時安裝補丁程序,是最有效、最經(jīng)濟的防范措施,也是改善安全環(huán)境的有效途徑。及時更新防病毒軟件,使病毒庫處于最新狀態(tài),可以協(xié)助保護計算機系統(tǒng)免受病毒的攻擊,降低計算機系統(tǒng)遭受的安全威脅。
當前兩個層次防衛(wèi)被破壞時,仍然可以保證數(shù)據(jù)庫數(shù)據(jù)的安全性,這就要求數(shù)據(jù)庫管理系統(tǒng)本身必須具有強大的安全機制。針對以文件形式存儲的數(shù)據(jù)庫系統(tǒng),入侵者一般采用竊取和篡改兩種方式,竊取數(shù)據(jù)庫文件是利用操作系統(tǒng)漏洞,非法偽造,篡改數(shù)據(jù)庫文件內(nèi)容是使用操作系統(tǒng)工具。用戶難以察覺這些針對數(shù)據(jù)庫非法操作,分析和攔截這種漏洞被認為是B2級安全技術措施。數(shù)據(jù)庫管理系統(tǒng)采取分級安全策略來解決這個問題[3]。
很多數(shù)據(jù)庫管理系統(tǒng)為提高數(shù)據(jù)庫系統(tǒng)的安全性,綜合利用完備的數(shù)據(jù)庫安全技術,成交顯著。
2.3.1 利用身份認證和訪問控制技術
身份認證是安全系統(tǒng)的第一級。訪問控制和審計系統(tǒng)依賴于身份驗證系統(tǒng)提供的信息和用戶的身份。身份驗證是在系統(tǒng)中驗證請求服務的人或應用程序標識的過程,目的是為了防止假冒和欺詐?;镜恼J證技術包括數(shù)字簽名、消息認證和簡單身份認證。
訪問控制是保證網(wǎng)絡數(shù)據(jù)庫安全的主要途徑。訪問控制是控制用戶訪問數(shù)據(jù)庫中各種資源的權限的過程。訪問控制是對未授權使用資源的防御措施。訪問控制機制決定并實現(xiàn)實體的訪問權限,拒絕使用未經(jīng)授權的資源或以非法方式使用未經(jīng)授權的資源。例如根據(jù)應用系統(tǒng)的特點,可以在實際應用中建立幾個核心用戶。在相應的核心用戶中建立數(shù)據(jù)庫對象,如表、視圖、存儲過程、觸發(fā)器等。根據(jù)使用數(shù)據(jù)庫系統(tǒng)的用戶特點,建立多種層次的角色。創(chuàng)建擁有數(shù)據(jù)庫對象權限及系統(tǒng)權限的核心用戶角色,創(chuàng)建僅具有連接權限的通用用戶默認角色[4]。在用戶與數(shù)據(jù)庫連接時段,將其他角色屏蔽,只有該角色有效;其后根據(jù)用戶的需要,在應用程序中設置其他角色有效。
2.3.2 利用視圖對數(shù)據(jù)庫系統(tǒng)的安全性進行維護
視圖是通過對表的某一行或者某一列進行訪問,保障數(shù)據(jù)的安全性。視圖是一個或者多個表中的行和列組成一個子集。在保護視圖信息的前提下,要給用戶授予操作視圖權限,以保護基礎表不被操作和修改。由于不同的操作用戶被授予不同的數(shù)據(jù)庫使用權限,當用戶在訪問數(shù)據(jù)庫時,應用程序?qū)σ晥D的角色進行檢查,由此來決定用戶的訪問權限。某個用戶在執(zhí)行任務時,只能看到自身權限下的數(shù)據(jù)庫內(nèi)容,其他的數(shù)據(jù)庫信息是隱藏的。用戶也可以將自己的權限授予其他用戶,同時也可以回收。根據(jù)視圖角色關系的變化實現(xiàn)授權或恢復用戶,與系統(tǒng)的應用程序無關。因此,用戶密碼不需要修改。
2.3.3 利用數(shù)據(jù)庫備份與恢復技術
同步時實的數(shù)據(jù)庫備份是數(shù)據(jù)庫防范災難的一種強力手段。當數(shù)據(jù)庫系統(tǒng)發(fā)生故障時,管理員可以通過數(shù)據(jù)庫備份快速、低價地恢復到原始狀態(tài)數(shù)據(jù)庫,以保持數(shù)據(jù)的完整性和一致性,提高系統(tǒng)的可用性和災難可恢復性。
數(shù)據(jù)庫恢復可以通過磁盤鏡像、數(shù)據(jù)庫備份文件和數(shù)據(jù)庫聯(lián)機日志完成。
2.3.4 利用數(shù)據(jù)庫安全審計技術
審計是指監(jiān)視和記錄用戶在數(shù)據(jù)庫上執(zhí)行的各種操作的機制。數(shù)據(jù)庫系統(tǒng)利用審計技術,可將數(shù)據(jù)庫的所有行為自動記錄在審計日志中,使數(shù)據(jù)庫系統(tǒng)根據(jù)信息的審計線索,再現(xiàn)、查找、分析導致當前數(shù)據(jù)庫狀況的事件,快速查明數(shù)據(jù)的非法訪問、時間和內(nèi)容,進而追查相關責任。同時審計也有助于發(fā)現(xiàn)系統(tǒng)的安全弱點和漏洞,提高系統(tǒng)的安全性[5]。例如SQL Server數(shù)據(jù)庫,監(jiān)控SQL Server連接是非常有效的,可以分析出其使用的企圖。
2.3.5 利用數(shù)據(jù)加密技術
數(shù)據(jù)加密是其他諸多安全措施的基礎。在網(wǎng)絡通信被竊聽的情況下,仍然能保證網(wǎng)絡數(shù)據(jù)庫數(shù)據(jù)的安全,必須對數(shù)據(jù)加密。除了依靠外部環(huán)境和數(shù)據(jù)庫系統(tǒng)提供的安全技術外,需要對數(shù)據(jù)庫中存儲的重要信息或數(shù)據(jù)進行加密,從而實現(xiàn)數(shù)據(jù)的安全存儲。
網(wǎng)絡數(shù)據(jù)庫具有擴大數(shù)據(jù)資源共享范圍、易于分布式處理、便于傳輸交流、降低了系統(tǒng)的使用費用等優(yōu)點,越來越受到人們的重視。網(wǎng)絡數(shù)據(jù)庫用戶只有重視數(shù)據(jù)庫安全,才能夠給整個數(shù)據(jù)庫系統(tǒng)提供全方位的安全保障。數(shù)據(jù)庫中的數(shù)據(jù)只有得到安全防護,才能更好更穩(wěn)定地為廣大用戶而服務。本文結合分析了網(wǎng)絡數(shù)據(jù)庫面臨的安全威脅,給出三層安全防衛(wèi)體系的解決方案,有助于提高網(wǎng)絡數(shù)據(jù)庫系統(tǒng)的安全性和安全管理水平。
[參考文獻]
[1]朱天元.淺談計算機網(wǎng)絡數(shù)據(jù)庫的安全機制問題[J].數(shù)字技術與應用,2016(5):48.
[2]孔小燕.基于計算機數(shù)據(jù)庫安全管理的分析與探討[J].電子世界,2014(4):15.
[3]劉傳先,陳國棟.高校應用系統(tǒng)網(wǎng)絡安全策略與典型技術[J].電腦知識與技術,2012(7):4592-4597.
[4]鄒呂新.計算機網(wǎng)絡安全及防范[J].電腦知識與技術,2011(25):6129-6130.
[5]張廣才.試論構建計算機信息安全技術體系[J].計算機光盤軟件與應用,2012(18):51.