計(jì)算機(jī)數(shù)據(jù)庫安全管理及實(shí)現(xiàn)方式

□谷奐玉 賈艷芳 董 晨 任利峰

一、數(shù)據(jù)庫的安全管理方向

數(shù)據(jù)庫是一個(gè)應(yīng)用領(lǐng)域通用的數(shù)據(jù)處理系統(tǒng)，它的數(shù)據(jù)是按照一定的數(shù)據(jù)模型，存儲著屬于企業(yè)和企業(yè)部門等的相關(guān)數(shù)據(jù)集。數(shù)據(jù)庫中的數(shù)據(jù)是從全局的角度建立的，按照一定的數(shù)據(jù)模型組織、描述和存儲。該結(jié)構(gòu)基于數(shù)據(jù)之間的自然連接，從而提供所有必要的訪問路徑，并且該數(shù)據(jù)不再用于應(yīng)用程序，而是用于具有整體結(jié)構(gòu)特征的整個(gè)組織。

(一)數(shù)據(jù)庫的重要性。數(shù)據(jù)庫在計(jì)算機(jī)中重要是因?yàn)樗莾Υ鏀?shù)據(jù)和管理計(jì)算機(jī)中信息的重要方式。數(shù)據(jù)庫可以實(shí)現(xiàn)數(shù)據(jù)共享，減少數(shù)據(jù)冗余度，使數(shù)據(jù)集中并更容易控制等，它是計(jì)算機(jī)應(yīng)用系統(tǒng)中負(fù)責(zé)管理數(shù)據(jù)資源的系統(tǒng)。數(shù)據(jù)庫也分為很多種，其中關(guān)系型數(shù)據(jù)庫在目前辦公中的應(yīng)用比較廣泛，它把原始數(shù)據(jù)轉(zhuǎn)換為二維行列的形式，并通過數(shù)據(jù)和數(shù)據(jù)之間的關(guān)系來存儲和管理信息。目前，很大一部分的互聯(lián)網(wǎng)和企業(yè)都已經(jīng)擁有自己的數(shù)據(jù)庫存儲系統(tǒng)用來存儲企業(yè)各部門的業(yè)務(wù)管理信息。雖然受益于自己的管理，但它也為數(shù)據(jù)攻擊者獲取信息提供了有利的方式。數(shù)據(jù)攻擊者將攻擊用戶的核心數(shù)據(jù)庫以獲取其所需的數(shù)據(jù)信息。綜上，如何安全地管理數(shù)據(jù)庫中的信息不僅是計(jì)算機(jī)行業(yè)也是各個(gè)企業(yè)首要解決的問題。

(二)數(shù)據(jù)庫的主要安全管理方法。很多因素夾雜在一起可以導(dǎo)致計(jì)算機(jī)數(shù)據(jù)庫有風(fēng)險(xiǎn)，但主要的風(fēng)險(xiǎn)是存儲用戶個(gè)人配置的風(fēng)險(xiǎn)，也是首要解決的風(fēng)險(xiǎn)。對于計(jì)算機(jī)數(shù)據(jù)庫中隱藏的用戶風(fēng)險(xiǎn)也有可行的解決方法，可以通過增強(qiáng)系統(tǒng)安全管理的辦法來降低風(fēng)險(xiǎn)。為了防止惡意攻擊者更改或竊取數(shù)據(jù)庫中的相關(guān)信息，可以在用戶設(shè)置個(gè)人基本信息時(shí)，設(shè)置安全系數(shù)更高的帳戶的密碼權(quán)限。因此解決數(shù)據(jù)庫安全的問題，要注重解決用戶密碼權(quán)限的問題。

二、數(shù)據(jù)庫安全管理的風(fēng)險(xiǎn)

計(jì)算機(jī)數(shù)據(jù)庫在整個(gè)因特網(wǎng)信息系統(tǒng)中是十分重要的，它不僅能存儲還可以管理數(shù)據(jù)信息，數(shù)據(jù)庫維護(hù)著各行業(yè)的個(gè)人信息和業(yè)務(wù)交易數(shù)據(jù)等重要信息，但計(jì)算機(jī)數(shù)據(jù)庫中潛在的安全管理風(fēng)險(xiǎn)一直是企業(yè)和機(jī)構(gòu)的首要關(guān)注點(diǎn)，也是程序員們一直想改進(jìn)的地方。同時(shí)計(jì)算機(jī)數(shù)據(jù)庫還存在著操作系統(tǒng)方面的安全問題以及用戶安全意識薄弱等方面的威脅，為了保護(hù)用戶以及企業(yè)的信息安全，不僅要提高用戶的安全意識，本文也提出了一些相關(guān)的數(shù)據(jù)庫安全管理的解決方案，主要從系統(tǒng)本身和安全監(jiān)督的角度來分析這些問題。

計(jì)算機(jī)數(shù)據(jù)庫安全管理存在很多操作問題，主要分為三點(diǎn)：一是病毒入侵，病毒入侵是由各種因素引起的，例如計(jì)算機(jī)某些性能的下降或計(jì)算機(jī)實(shí)際使用中的操作障礙，入侵者使用這些病毒來修改用戶密碼，嚴(yán)重威脅數(shù)據(jù)庫系統(tǒng)的安全性并使用戶暴露在隱私之下；二是數(shù)據(jù)庫管理系統(tǒng)與操作系統(tǒng)之間的關(guān)系，操作系統(tǒng)使用戶更加方便對界面的操作，而數(shù)據(jù)庫管理系統(tǒng)需要依賴于操作系統(tǒng)程序，也是數(shù)據(jù)庫系統(tǒng)的關(guān)鍵部分；三是操作系統(tǒng)的后門，它是程序員在開發(fā)操作系統(tǒng)時(shí)特意寫的代碼，給管理員提供了許多便利，同時(shí)也給黑客提供了乘虛而入的機(jī)會(huì)。要提高數(shù)據(jù)庫的安全性能，就要從這三個(gè)方面入手，提高對這三個(gè)方面的性能要求。

三、數(shù)據(jù)庫安全管理的相應(yīng)技術(shù)

根據(jù)數(shù)據(jù)庫系統(tǒng)的特點(diǎn)，不同的數(shù)據(jù)庫系統(tǒng)應(yīng)提供相應(yīng)的安全技術(shù)，以達(dá)到更有效地提高數(shù)據(jù)庫系統(tǒng)安全性的目的。同時(shí)計(jì)算機(jī)數(shù)據(jù)庫的更新與日常維護(hù)也十分重要，一個(gè)優(yōu)秀的數(shù)據(jù)庫安全管理系統(tǒng)需要保護(hù)其中信息不被泄露、不被外界隨意改動(dòng)。

(一)加密技術(shù)。加密技術(shù)是日常辦公以及電子商務(wù)平臺中最為常用的隱私保護(hù)措施。對于非法人員來說，獲取這種密文的數(shù)據(jù)，然后在達(dá)到目的之后通過相同或不同的方式恢復(fù)它是沒有用的。在數(shù)據(jù)庫系統(tǒng)中可用于加密數(shù)據(jù)的操作有對稱加密、非對稱加密、對稱密鑰、非對稱密鑰以及透明數(shù)據(jù)加密等技術(shù)。

(二)訪問控制技術(shù)。訪問控制是一種識別系統(tǒng)中所有功能，組織它們，托管它們，組織所有數(shù)據(jù)并管理它們的方法。然后提供一個(gè)簡單而獨(dú)特的界面，界面的一端是應(yīng)用程序系統(tǒng)和權(quán)限引擎。訪問控制技術(shù)通常用于控制用戶對服務(wù)器、文件等資源的訪問，保障資源更好地利用以及管理。

(三)備份與還原。當(dāng)有不法分子惡意攻擊數(shù)據(jù)庫系統(tǒng)或其他外界因素使系統(tǒng)出現(xiàn)故障時(shí)，備份工具可產(chǎn)生作用，它復(fù)制數(shù)據(jù)從而形成原來數(shù)據(jù)的副本，可以通過還原原來的數(shù)據(jù)來幫助保護(hù)用戶的數(shù)據(jù)。當(dāng)原數(shù)據(jù)出現(xiàn)問題時(shí)，備份和還原起到替補(bǔ)的作用，避免數(shù)據(jù)永久丟失，這也是數(shù)據(jù)庫系統(tǒng)非常重要的維護(hù)任務(wù)，確保數(shù)據(jù)可用性的重要安全措施。

(四)容錯(cuò)技術(shù)。容錯(cuò)技術(shù)是一種容忍和防范本地錯(cuò)誤的決策方法，是一個(gè)可以提高決策可靠性的重要方法。其主要內(nèi)容有：一是診斷技術(shù)，在最初的時(shí)間內(nèi)發(fā)現(xiàn)危險(xiǎn)，也就是在錯(cuò)誤還很小不致于造成威脅之前，就發(fā)現(xiàn)并且清除錯(cuò)誤。二是防錯(cuò)技術(shù)和影響弱化技術(shù)的錯(cuò)誤。三是儲備技術(shù)，也稱為冗余技術(shù)，它是利用系統(tǒng)的并聯(lián)模型提高系統(tǒng)可靠性的一種手段，它用功能相似的多個(gè)方案代替一個(gè)方案，當(dāng)原計(jì)劃有效時(shí)，其余的計(jì)劃表面上是膚淺的，但一旦原計(jì)劃失敗，這些“過度”的解決方案可以自動(dòng)接管原始計(jì)劃并維持決策的正常實(shí)施。

(五)身份驗(yàn)證機(jī)制。身份認(rèn)證是一種通過確認(rèn)操作者在計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的身份是否合法來確定用戶是否可以訪問和使用某些數(shù)據(jù)的過程。反過來，可以可靠且有效地執(zhí)行計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的訪問策略，防止攻擊者假冒合法用戶獲得資源的訪問權(quán)限，這樣可以更好地保證授權(quán)訪問者的權(quán)益以及系統(tǒng)的安全性。

(六)安全審計(jì)技術(shù)。安全審計(jì)技術(shù)，可以用來修改和刪除存儲過程、同義詞、快照、觸發(fā)器等。分析的內(nèi)容可以精確到SQL操作語句一級。它還可以監(jiān)視和審計(jì)用戶數(shù)據(jù)庫表、序列、包、視圖、創(chuàng)建以及根據(jù)設(shè)定的規(guī)則并且判斷數(shù)據(jù)庫中是否有違反規(guī)則的行為，如果有還可以記錄或者報(bào)警違規(guī)行為。

(七)防火墻與入侵檢測。防火墻是一項(xiàng)重要的信息安全保護(hù)系統(tǒng)，它按照指定的規(guī)則只允許需要的數(shù)據(jù)通過傳輸，不需要的數(shù)據(jù)被擋在外面。防火墻位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間，是一種十分常見的安全管理技術(shù)。入侵檢測是通過對計(jì)算機(jī)安全管理系統(tǒng)中收集信息，包括網(wǎng)絡(luò)行為、安全日志等，并對這些信息加以分析，檢測是否有被攻擊的跡象。入侵檢測是防火墻的有效補(bǔ)充，它可以有效地對付網(wǎng)絡(luò)攻擊，提高計(jì)算機(jī)數(shù)據(jù)庫信息安全結(jié)構(gòu)的完整性。

四、結(jié)語

信息系統(tǒng)安全主要在于數(shù)據(jù)庫系統(tǒng)的安全。如果數(shù)據(jù)庫系統(tǒng)出現(xiàn)問題可能會(huì)使企業(yè)失去巨大的人力物力以及財(cái)力，甚至導(dǎo)致企業(yè)倒閉。對于個(gè)人而言，個(gè)人信息可能外泄，被不法分子所利用，會(huì)對生活帶來諸多不便。此外,在系統(tǒng)工作中數(shù)據(jù)庫系統(tǒng)進(jìn)行管理數(shù)據(jù)和重要的日常維護(hù),因此,必須不斷提高數(shù)據(jù)庫系統(tǒng)的安全管理水平,并且從技術(shù)層面來保證數(shù)據(jù)庫系統(tǒng)的安全,確保信息與隱私的安全。