企業(yè)應用數(shù)據(jù)庫服務器安全防范技術探討

◆李瑋榮

企業(yè)應用數(shù)據(jù)庫服務器安全防范技術探討

◆李瑋榮

（中國聯(lián)合網(wǎng)絡通信有限公司隴南市分公司 甘肅 742500）

在當前全球網(wǎng)絡環(huán)境都較為開放的情況下，企業(yè)當中的應用數(shù)據(jù)庫服務器的安全直接關系到企業(yè)的生存和發(fā)展。本文針對當前時期出現(xiàn)得越來越多，以及越來越復雜的網(wǎng)絡安全攻擊，設計出了一種以蜜罐為技術基礎的企業(yè)應用數(shù)據(jù)庫服務器安全防范措施。這類技術作為一種被動的網(wǎng)絡攻擊防御模式，可以置放于網(wǎng)絡當中的各個部位。當進入企業(yè)應用數(shù)據(jù)庫服務器當中的數(shù)據(jù)被認定為惡意攻擊數(shù)據(jù)時，蜜罐會提取出攻擊數(shù)據(jù)的主要特征并且將主要特征傳遞給服務器當中存在著的其他蜜罐以及服務器防火墻等，再對于惡意數(shù)據(jù)進行主動清除處理。企業(yè)通過該技術使企業(yè)應用數(shù)據(jù)庫服務器當中的各個模塊進行協(xié)同工作，共同對惡意信息進行捕獲以及清除，以確保服務器使用安全。

數(shù)據(jù)庫；服務器；安全防范技術

隨著信息技術的高速發(fā)展，在各個企業(yè)當中，數(shù)據(jù)信息安全已經(jīng)成為企業(yè)非常重視的一個部分。數(shù)據(jù)不僅對于企業(yè)的日常經(jīng)營有著非常重要的影響，還對于企業(yè)日后的戰(zhàn)略規(guī)劃以及發(fā)展起到非常重要的作用。在當前，由于社會發(fā)展的實際需求，許多企業(yè)都有著屬于自己的應用數(shù)據(jù)庫服務器系統(tǒng)。我國的企業(yè)數(shù)據(jù)庫服務器系統(tǒng)大多數(shù)都是基于B/S的基礎結(jié)構(gòu)模式進行設計的，并且在服務器系統(tǒng)當中設置了許多個與服務器相兼容的Web應用程序，從而實現(xiàn)對企業(yè)數(shù)據(jù)庫內(nèi)的相關數(shù)據(jù)進行分析以及管理。在當前十分開放的網(wǎng)絡環(huán)境下，企業(yè)的應用數(shù)據(jù)庫服務器很容易受到他人的惡意攻擊，從而導致企業(yè)相關信息受到泄露。所以針對企業(yè)的應用數(shù)據(jù)庫服務器的安全進行相關的技術優(yōu)化是非常有必要的。

1 蜜罐在企業(yè)數(shù)據(jù)庫服務器當中的地位以及核心技術

在企業(yè)數(shù)據(jù)庫服務器當中，服務器系統(tǒng)與服務器內(nèi)置Web應用程序進行實時的數(shù)據(jù)交互。并且根據(jù)所接受到的指令信息，對于數(shù)據(jù)庫內(nèi)部的數(shù)據(jù)進行相應的處理。而企業(yè)的數(shù)據(jù)進行儲存，以及使用等操作都是基于B/S結(jié)構(gòu)以及內(nèi)部設置的Web應用程序?qū)崿F(xiàn)的?；诋斍盎ヂ?lián)網(wǎng)當中攻擊的普遍性以及隨機性和當前的網(wǎng)絡大環(huán)境下網(wǎng)絡攻擊方式的多樣化和病毒的變異，傳統(tǒng)的防火墻技術對于惡意數(shù)據(jù)入侵的檢測方法已經(jīng)不適用于當前的需要了。而蜜罐防御措施是一種逆向的措施。也就是說在這樣的思維影響下，服務器的管理人員在系統(tǒng)當中故意設置下陷阱來吸引惡意攻擊從而實現(xiàn)對于惡意攻擊的捕獲。在某些情況下，還可以通過對于當前網(wǎng)絡攻擊的相關數(shù)據(jù)進行分析，從而在服務器當中進行模擬攻擊。通過這樣的方式不斷提高企業(yè)當中應用數(shù)據(jù)庫服務器的安全級別。蜜罐具有非常強的惡意數(shù)據(jù)分析能力，可以做到在最短的時間內(nèi)對于惡意數(shù)據(jù)進行分析甄別并且采取清除的措施。所以蜜罐在減少網(wǎng)絡威脅以及提高服務器安全措施方面起到了非常大的作用。

蜜罐防御系統(tǒng)，其本身并沒有主動的對于惡意數(shù)據(jù)以及病毒進行清除的能力。所以在傳統(tǒng)的網(wǎng)絡安全防御技術當中的防火墻檢測機制并不能被蜜罐直接取代。蜜罐的真正價值在于對于網(wǎng)絡攻擊的基本屬性和攻擊手段進行收集和分析，從而實現(xiàn)對于網(wǎng)絡安全攻擊的有效被動防御。蜜罐防御系統(tǒng)的主要價值表現(xiàn)在以下幾個方面。第一，蜜罐防御系統(tǒng)的出現(xiàn)增加了一種應對網(wǎng)絡安全攻擊的模式。通過蜜罐系統(tǒng)，這樣的被動防御模式可以進一步對病毒的特征以及攻擊手段進行掌握，從而實現(xiàn)對防火墻安全性能的提升。第二，蜜罐防御系統(tǒng)對于惡意數(shù)據(jù)和病毒的檢測能力以及特征識別能力是非常強的，該系統(tǒng)的應用可以進一步降低計算機在進行數(shù)據(jù)庫完全檢測的過程當中檢測遺漏以及檢測錯誤的概率。第三，蜜罐防御系統(tǒng)對于惡意數(shù)據(jù)和病毒的響應速度十分快，通常閉關防御系統(tǒng)就是作為防火墻防御系統(tǒng)的第一道關卡。而蜜罐在服務器當中的位置并不是固定的，可以根據(jù)實際的需求將蜜罐設置到任意位置去，也可在服務器當中設置多個蜜罐以實現(xiàn)對于服務器安全防護級別的提升。

蜜罐防御系統(tǒng)最大的價值就是可以對惡意攻擊者的特征進行記錄，因此蜜罐防御系統(tǒng)的核心技術就是信息捕獲記錄技術。信息捕獲記錄技術要求蜜罐防御系統(tǒng)要有著強大的數(shù)據(jù)捕獲能力以及較強的隱匿能力。也就是說，通過蜜罐防御系統(tǒng)可以實現(xiàn)在不被惡意攻擊者發(fā)現(xiàn)的前提下，盡可能多地將惡意攻擊者的相關信息進行捕獲收集。并且如果在企業(yè)數(shù)據(jù)庫服務器當中設置了兩個以上的蜜罐防御系統(tǒng)的話，那么就可以構(gòu)成一個防護等級更高更安全的密網(wǎng)。密網(wǎng)就是一種基于蜜罐防系統(tǒng)的具有更強交互性以及更高安全性的防御系統(tǒng)。通過密網(wǎng)可以收集到更多的攻擊者的信息以及特征，使得服務器的防御性能進一步升級。并且參與了蜜罐防御系統(tǒng)的服務器本身就是一類防御性能較為強大的服務器，而將密網(wǎng)技術進一步進行運用，則可以使服務器的安全性能更高，讓企業(yè)的數(shù)據(jù)更加的安全。

企業(yè)應用數(shù)據(jù)庫服務器當中的密網(wǎng)主要有三大基礎功能。包括：第一，數(shù)據(jù)控制功能。第二，數(shù)據(jù)信息特征捕獲功能。第三，數(shù)據(jù)信息采集功能。進入到擁有蜜罐防御系統(tǒng)服務器當中的惡意數(shù)據(jù)，是無法首先察覺到蜜罐防御系統(tǒng)的存在的。因為蜜罐防御系統(tǒng)是屬于完全開放的，這就使得蜜罐防御系統(tǒng)與其他網(wǎng)絡節(jié)點之間是沒有任何區(qū)別的。正是由于惡意數(shù)據(jù)無法率先發(fā)現(xiàn)蜜罐防御系統(tǒng)的存在，所以惡意數(shù)據(jù)也就不能提前做出相應的應對措施。蜜罐防御系統(tǒng)在初步識別的惡意數(shù)據(jù)或者病毒后，并不會直接發(fā)起攻擊，而是將惡意數(shù)據(jù)或者病毒的相關信息特征收集捕獲下來，傳達給防火墻以及其他蜜罐防御系統(tǒng)。將具有相同、特征的惡意信息積累到一定數(shù)量后，對惡意數(shù)據(jù)或者病毒進行清除，最后實現(xiàn)一網(wǎng)打盡。由于蜜罐防御系統(tǒng)在初期，并不會主動對惡意數(shù)據(jù)或者病毒進行任何措施，所以惡意數(shù)據(jù)或者病毒，會認為自身并未被防火墻安全系統(tǒng)識別到，這也就會使得惡意攻擊的發(fā)起者放松警惕最后被一網(wǎng)打盡。由此可見，蜜罐防御系統(tǒng)以及密網(wǎng)在數(shù)據(jù)安全防護方面具有強大的控制能力。蜜罐防御系統(tǒng)以及密網(wǎng)更適合于對于藏匿較深病毒進行搜集清除。

2 應用蜜罐防御系統(tǒng)的企業(yè)應用數(shù)據(jù)庫服務器安全防范技術設計

一個完整的蜜罐防御系統(tǒng)主要由：數(shù)據(jù)控制模塊、數(shù)據(jù)捕獲搜集模塊、系統(tǒng)運行日志模塊、數(shù)據(jù)特征搜集模塊以及報警模塊構(gòu)成。這些模塊之間通過服務器內(nèi)部的局域網(wǎng)互相連接，并且與企業(yè)數(shù)據(jù)庫的服務器是相通的，以保障企業(yè)數(shù)據(jù)服務器的安全。

數(shù)據(jù)控制模塊就是蜜罐防御系統(tǒng)的核心部位之一，該模塊的功能主要就是控制進入到服務器當中的數(shù)據(jù)流。由于惡意信息以及病毒往往是選擇藏匿于數(shù)據(jù)流之中，如何控制好數(shù)據(jù)流直接關系到服務器的安全性，所以該模塊實際上有著非常重要的地位。

并且蜜罐防御系統(tǒng)在進行布置時完全是隨機進行的，從表面上看，蜜罐防御系統(tǒng)與普通的網(wǎng)絡數(shù)據(jù)庫節(jié)點沒有什么區(qū)別。并且為了完整地對于惡意數(shù)據(jù)以及病毒進行特征的收集和捕獲，蜜罐防御系統(tǒng)還具有開放性的訪問特點。數(shù)據(jù)控制模塊，則是根據(jù)服務器實際的承受能力來對數(shù)據(jù)流的大小進行限制。

數(shù)據(jù)控制模塊，主要設計成三個層次組成。第一層次主要是由蜜罐防御系統(tǒng)以及密網(wǎng)對于惡意數(shù)據(jù)的特征進行分類標記出來。第二層次則是由服務器當中的防火墻系統(tǒng)對于惡意數(shù)據(jù)進行捕獲，根據(jù)蜜罐防御系統(tǒng)所提供的惡意數(shù)據(jù)特征對于惡意數(shù)據(jù)進行攔截清除處理。第三層次則是系統(tǒng)主動對內(nèi)部數(shù)據(jù)進行檢測或者通過主動清除的方式對進入到服務器當中的惡意數(shù)據(jù)以及病毒進行清除處理。

在蜜罐防御系統(tǒng)當中的系統(tǒng)運行日志模塊，主要是負責基本信息的記錄。首先就是對數(shù)據(jù)庫服務器在進行網(wǎng)絡連接時，所產(chǎn)生的類似于IP地址、時間等關鍵數(shù)據(jù)進行記錄。其次就是對于惡意入侵數(shù)據(jù)本身進行記錄。如果可以通過日志模塊記錄的方式，完整提取到惡意數(shù)據(jù)或者病毒的特征以及相關參數(shù)。那么就可以提高服務器的防御成功概率，保障服務器的安全。某些惡意數(shù)據(jù)或者病毒具有對系統(tǒng)數(shù)據(jù)進行更改的功能，而系統(tǒng)運行日志模塊就會將攻擊過程當中所產(chǎn)生的數(shù)據(jù)變化以及相關設置變化記錄下來，并將其直接傳達給服務器的防火墻。

基于蜜罐防御系統(tǒng)構(gòu)建的企業(yè)數(shù)據(jù)庫服務器安全防御體系，其自身通過蜜罐防御系統(tǒng)當中的報警模塊，可以實現(xiàn)主動報警功能。一旦出現(xiàn)數(shù)據(jù)入侵的情況時，蜜罐防御系統(tǒng)會主動地將相關數(shù)據(jù)特征信息與記錄的惡意數(shù)據(jù)信息進行檢測和比對。如果檢測發(fā)現(xiàn)入侵的信息存在著異常的話，那么將會直接向系統(tǒng)進行報警，并且通過局域網(wǎng)的方式將惡意數(shù)據(jù)的特征以及相關代碼直接傳遞給其他蜜罐和防火墻，從而實現(xiàn)維護網(wǎng)絡安全的目標。而預警模塊的監(jiān)控分為兩種類型。一種類型是依靠人力進行手動監(jiān)控，另外一種類型則是設置好之后通過系統(tǒng)進行自動監(jiān)控。但是在某些特殊情況下，還是需要人工手動監(jiān)控來確保數(shù)據(jù)的安全。

在當前互聯(lián)網(wǎng)信息技術高速發(fā)展的推動下，數(shù)據(jù)資源已經(jīng)成為各個企業(yè)當中最為重要的戰(zhàn)略資源。甚至在某些情況下對于企業(yè)的數(shù)據(jù)資源進行合理的分析和利用，可以為企業(yè)的發(fā)展提供極大的幫助。當前市場上注重數(shù)據(jù)利用的企業(yè)一般都有著一套屬于其企業(yè)本身的應用數(shù)據(jù)庫服務器安全系統(tǒng)。但是在當前較為開放的網(wǎng)絡環(huán)境下，企業(yè)應用數(shù)據(jù)庫服務器是直接與外部網(wǎng)絡互相關聯(lián)的，所以存在著較大的被攻擊的可能性。為了進一步提高企業(yè)服務器的安全性能，可以通過布置蜜罐防御系統(tǒng)的方式，對于進入服務器當中的相關數(shù)據(jù)進行檢測和分析，最大程度地降低惡意數(shù)據(jù)和病毒進入服務器的可能性。并且蜜罐防御系統(tǒng)還具有很好的隱蔽性，在企業(yè)的數(shù)據(jù)庫服務器當中的各個部位，進行蜜罐防御系統(tǒng)的設置，可以實現(xiàn)在服務器當中構(gòu)建起密網(wǎng)，從而提高企業(yè)數(shù)據(jù)庫服務器的安全性能，保護企業(yè)的數(shù)據(jù)不會受到不法分子的竊取。

[1]張士剛.計算機軟件開發(fā)中數(shù)據(jù)庫安全設計的應用實踐分析[J].發(fā)明與創(chuàng)新（職業(yè)教育），2021（07）：238-239.

[2]馬穎.基于大數(shù)據(jù)的計算機網(wǎng)絡數(shù)據(jù)庫安全技術[J].計算機與網(wǎng)絡，2021，47（09）：51.

[3]施瑤.互聯(lián)網(wǎng)+背景下數(shù)據(jù)庫安全保障對策研究[J].數(shù)字通信世界，2021（04）：241-242.

[4]劉學章，黃慶佳，謝靜，等.面向Web安全防護的蜜罐技術研究[J].保密科學技術，2021（02）：28-33.

[5]銀偉，雷琪，韓笑，等.蜜罐技術研究進展[J].網(wǎng)絡安全技術與應用，2018（01）：20-26.