數據庫系統安全淺析

摘要：近幾年來，隨著信息技術的發展，數據庫系統得到了廣泛的應用，成為了人們日常生活、工作中的重要載體，但各種數據庫安全隱患也隨之而來。本文以數據庫所受到的安全威脅作為切入點，簡單的探討數據庫系統安全技術、措施。

關鍵詞：數據庫 安全

隨著信息技術的不斷發展，數據庫系統的應用越來越廣泛，它的一大特點就是數據共享，但數據共享給人們的工作和生活帶來方便的同時，各種安全隱患也隨之產生了。數據庫系統作為信息系統的核心部件，數據庫文件作為信息的聚集體，顯然其安全性將是信息系統安全性的重要指標。所以，如何有效地保證數據庫系統的安全，實現數據的保密性、完整性和有效性，已經成為信息技術領域的重要課題之一。為了提高數據庫的安全性能，數據庫廠商也提供了許多安全措施，目前大型數據庫ORACLE、SYBASE都提供了有關的用戶標識和鑒定、存取控制、視圖、審計功能、數據庫備份與恢復等基本安全技術。然而這些功能顯然是不夠的，這些安全技術只能滿足一般的數據庫安全應用，而對于高度敏感性數據，數據庫系統所提供的安全措施難以保證數據的安全性，數據庫中數據是以明碼文方式存放的，只要黑客避開了系統認證，進入到數據庫系統中，他就可以盜取或修改數據庫中的數據。此外，威脅數據庫安全的并不完全是外部人員，數據庫系統的管理人員或企業內部有權限修改數據庫數據的職員對數據庫安全的威脅更大，此時防火墻、入侵檢測等防護措施對這些人員沒有任何作用，他們很容易實現對數據庫的拷貝、修改等操作，從而給企業造成重大損失。

1 數據庫所受到的安全威脅

1.1 數據被竊取

數據被竊取涉及到數據的保密性，數據一旦被竊取，將會給用戶造成嚴重的后果和不可估量的損失，尤其一些機密數據被盜取、泄露。造成數據被盜取的原因可能是網絡黑客入侵、商業間諜盜取以及管理人員泄密等等。

1.2 數據被損壞

數據被損壞會直接造成數據不完整，由此導致用戶在使用數據庫系統時獲取不到有效的數據，更甚者會引起整個系統的崩潰。數據在移動、使用的過程中，都可能會因為網絡這個載體而遭到病毒的攻擊導致數據的損壞或破壞。

1.3 數據被篡改

數據被篡改，指的是非法訪問對數據庫中的數據進行修改、增加或刪除，從而直接導致數據的失真。數據一旦被篡改，用戶在不知情的情況下獲得并使用了被修改過或增加的數據，將會做出錯誤的決策，如果重要數據被刪除，造成的后果更不堪設想。

2 數據庫系統安全技術、措施

2.1 防火墻和入侵檢測

數據庫的安全首先要依賴于網絡系統，而防火墻是網絡系統中應用最廣泛的一種安全技術，它是數據庫系統最為外層的安全保護措施，是系統的第一道防線，主要作用是監控可信任網絡和不可信任網絡的訪問通道，在內部與外部網絡之間形成一道防護屏障，攔截來自外部的非法訪問并阻止內部信息的外泄，從而達到從外部去保護數據庫的目的。而入侵檢測則是監控網絡和計算機系統是否出現被入侵或濫用的一種技術，它采用的分析技術有簽名、統計和數據完整性分析法等。這種技術是近幾年才開始發展起來的新技術，使用比較方便。總的來說，通過防火墻以及入侵檢測，能夠良好地從外部保護數據庫的安全，防止非法訪問入侵到數據庫系統內部。

2.2 標識和鑒別

標識與鑒別，是基于操作系統的安全防護措施，操作系統是數據庫的運行平臺，它可以通過配置本地計算機的安全設置來給予數據庫系統一定的保護。具體可以體現在用戶賬戶、口令、訪問權限、審計等方面。數據庫操作系統可以對合法的用戶進行設置，這些合法用戶都擁有著相應的用戶賬戶以及訪問口令，并且有各自的訪問權限，用戶賬戶和口令為用戶訪問系統提供第一道驗證，用戶在完成用戶名及口令的輸入操作后，由數據庫識別該用戶是不是合法用戶，是不是可以被允許訪問，以及能訪問操作的范圍。因此，數據庫系統的管理人員必須及時、積極地去健全、完善標識與鑒別機制，才能夠有效地實施訪問權限控制機制，尤其是在一個開放的、多用戶的系統網絡環境當中，識別授權用戶才是構筑DBMS安全防線的第一個重要環節。身份鑒別能有效地防止非法用戶侵入數據庫系統，可以采用賬號和密碼的驗證或者是指紋識別加上隨機數據校驗等等多種形式來實現身份鑒別。一般來說，它可以具有兩種級別：一種就是登錄系統的時候，由操作系統來實現的驗證；還有一種就是在連接數據庫的時候，由數據庫系統管理員實現，在用戶啟動運用程序或是其他工具對數據庫進行訪問的時侯展開驗證工作。除此之外還可以根據具體的需要在重要的數據庫系統上加長口令要求以及增加密碼的復雜性，或者增加驗證碼校驗等等，這樣，一般的解密工具就不太容易盜取密碼，也能夠從邏輯上降低數據庫系統的風險，從而增強數據庫的安全性。目前，已較為普遍使用的指紋鑒別、口令驗證、聲音標識驗證和紅膜驗證技術等身份標識和鑒別技術，能在很大的程度上降低對數據庫系統安全的威脅。

2.3 數據加密

對數據、信息的加密，是一種從根本上防范的保護措施，在數據庫管理系統內部對數據庫文件進行加密處理，使得即使數據庫系統被非法訪問，數據不幸泄露或者丟失，也難以被人破譯和閱讀。比如說軍事機密、商業數據等，一旦被篡改、盜取，將會引發嚴重的后果，如果對這些數據通過加密鑰匙及加密函數轉換，變成無意義的密文，接收方只有通過解密函數及解密鑰匙才能破譯閱讀，這樣就能夠有效提高數據的安全性。對系統數據的加密可以在DBMS的內核層和外層實現，在內核層的加密功能強，能更有效地保護數據安全，但這種方式的加密運算都在服務器端進行，加重了服務器的負載，因此我們通常采用的是在DBMS外層加密的方式，這種方式不僅減輕了服務器的負載，也能實現網絡傳輸的加密。數據加密技術的使用，既防范了外部的非法入侵，也能防止內部人員對數據的竊取，即使竊取了，沒有有效地解密手段，竊取到的數據也只是無意義的密文。

3 總結

總而言之，在信息化高度發展的今天，數據庫已然成為了人們日常生活、工作中必不可少的重要載體，它的出現方便了人們的工作、學習和生活，但數據庫系統的安全性，則必須引起我們的高度重視。相關工作人員必須能夠清楚、及時地認識到數據庫系統所受到的安全威脅，并且綜合考慮和運用各種安全技術，以保證數據的安全。

參考文獻：

[1]張呈宇.淺談數據庫信息安全問題[J].硅谷，2010，(03).

[2]樸海明.數據庫安全威脅與安全防范措施[J].科技資訊，2010，(03).

[3]焦巖.關于數據庫系統安全現狀的研究[J].計算機安全，2010，(05).