數(shù)據(jù)庫(kù)系統(tǒng)安全淺析

摘要：近幾年來(lái)，隨著信息技術(shù)的發(fā)展，數(shù)據(jù)庫(kù)系統(tǒng)得到了廣泛的應(yīng)用，成為了人們?nèi)粘Ｉ睢⒐ぷ髦械闹匾d體，但各種數(shù)據(jù)庫(kù)安全隱患也隨之而來(lái)。本文以數(shù)據(jù)庫(kù)所受到的安全威脅作為切入點(diǎn)，簡(jiǎn)單的探討數(shù)據(jù)庫(kù)系統(tǒng)安全技術(shù)、措施。

關(guān)鍵詞：數(shù)據(jù)庫(kù) 安全

隨著信息技術(shù)的不斷發(fā)展，數(shù)據(jù)庫(kù)系統(tǒng)的應(yīng)用越來(lái)越廣泛，它的一大特點(diǎn)就是數(shù)據(jù)共享，但數(shù)據(jù)共享給人們的工作和生活帶來(lái)方便的同時(shí)，各種安全隱患也隨之產(chǎn)生了。數(shù)據(jù)庫(kù)系統(tǒng)作為信息系統(tǒng)的核心部件，數(shù)據(jù)庫(kù)文件作為信息的聚集體，顯然其安全性將是信息系統(tǒng)安全性的重要指標(biāo)。所以，如何有效地保證數(shù)據(jù)庫(kù)系統(tǒng)的安全，實(shí)現(xiàn)數(shù)據(jù)的保密性、完整性和有效性，已經(jīng)成為信息技術(shù)領(lǐng)域的重要課題之一。為了提高數(shù)據(jù)庫(kù)的安全性能，數(shù)據(jù)庫(kù)廠(chǎng)商也提供了許多安全措施，目前大型數(shù)據(jù)庫(kù)ORACLE、SYBASE都提供了有關(guān)的用戶(hù)標(biāo)識(shí)和鑒定、存取控制、視圖、審計(jì)功能、數(shù)據(jù)庫(kù)備份與恢復(fù)等基本安全技術(shù)。然而這些功能顯然是不夠的，這些安全技術(shù)只能滿(mǎn)足一般的數(shù)據(jù)庫(kù)安全應(yīng)用，而對(duì)于高度敏感性數(shù)據(jù)，數(shù)據(jù)庫(kù)系統(tǒng)所提供的安全措施難以保證數(shù)據(jù)的安全性，數(shù)據(jù)庫(kù)中數(shù)據(jù)是以明碼文方式存放的，只要黑客避開(kāi)了系統(tǒng)認(rèn)證，進(jìn)入到數(shù)據(jù)庫(kù)系統(tǒng)中，他就可以盜取或修改數(shù)據(jù)庫(kù)中的數(shù)據(jù)。此外，威脅數(shù)據(jù)庫(kù)安全的并不完全是外部人員，數(shù)據(jù)庫(kù)系統(tǒng)的管理人員或企業(yè)內(nèi)部有權(quán)限修改數(shù)據(jù)庫(kù)數(shù)據(jù)的職員對(duì)數(shù)據(jù)庫(kù)安全的威脅更大，此時(shí)防火墻、入侵檢測(cè)等防護(hù)措施對(duì)這些人員沒(méi)有任何作用，他們很容易實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的拷貝、修改等操作，從而給企業(yè)造成重大損失。

1 數(shù)據(jù)庫(kù)所受到的安全威脅

1.1 數(shù)據(jù)被竊取

數(shù)據(jù)被竊取涉及到數(shù)據(jù)的保密性，數(shù)據(jù)一旦被竊取，將會(huì)給用戶(hù)造成嚴(yán)重的后果和不可估量的損失，尤其一些機(jī)密數(shù)據(jù)被盜取、泄露。造成數(shù)據(jù)被盜取的原因可能是網(wǎng)絡(luò)黑客入侵、商業(yè)間諜盜取以及管理人員泄密等等。

1.2 數(shù)據(jù)被損壞

數(shù)據(jù)被損壞會(huì)直接造成數(shù)據(jù)不完整，由此導(dǎo)致用戶(hù)在使用數(shù)據(jù)庫(kù)系統(tǒng)時(shí)獲取不到有效的數(shù)據(jù)，更甚者會(huì)引起整個(gè)系統(tǒng)的崩潰。數(shù)據(jù)在移動(dòng)、使用的過(guò)程中，都可能會(huì)因?yàn)榫W(wǎng)絡(luò)這個(gè)載體而遭到病毒的攻擊導(dǎo)致數(shù)據(jù)的損壞或破壞。

1.3 數(shù)據(jù)被篡改

數(shù)據(jù)被篡改，指的是非法訪(fǎng)問(wèn)對(duì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行修改、增加或刪除，從而直接導(dǎo)致數(shù)據(jù)的失真。數(shù)據(jù)一旦被篡改，用戶(hù)在不知情的情況下獲得并使用了被修改過(guò)或增加的數(shù)據(jù)，將會(huì)做出錯(cuò)誤的決策，如果重要數(shù)據(jù)被刪除，造成的后果更不堪設(shè)想。

2 數(shù)據(jù)庫(kù)系統(tǒng)安全技術(shù)、措施

2.1 防火墻和入侵檢測(cè)

數(shù)據(jù)庫(kù)的安全首先要依賴(lài)于網(wǎng)絡(luò)系統(tǒng)，而防火墻是網(wǎng)絡(luò)系統(tǒng)中應(yīng)用最廣泛的一種安全技術(shù)，它是數(shù)據(jù)庫(kù)系統(tǒng)最為外層的安全保護(hù)措施，是系統(tǒng)的第一道防線(xiàn)，主要作用是監(jiān)控可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)的訪(fǎng)問(wèn)通道，在內(nèi)部與外部網(wǎng)絡(luò)之間形成一道防護(hù)屏障，攔截來(lái)自外部的非法訪(fǎng)問(wèn)并阻止內(nèi)部信息的外泄，從而達(dá)到從外部去保護(hù)數(shù)據(jù)庫(kù)的目的。而入侵檢測(cè)則是監(jiān)控網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)是否出現(xiàn)被入侵或?yàn)E用的一種技術(shù)，它采用的分析技術(shù)有簽名、統(tǒng)計(jì)和數(shù)據(jù)完整性分析法等。這種技術(shù)是近幾年才開(kāi)始發(fā)展起來(lái)的新技術(shù)，使用比較方便。總的來(lái)說(shuō)，通過(guò)防火墻以及入侵檢測(cè)，能夠良好地從外部保護(hù)數(shù)據(jù)庫(kù)的安全，防止非法訪(fǎng)問(wèn)入侵到數(shù)據(jù)庫(kù)系統(tǒng)內(nèi)部。

2.2 標(biāo)識(shí)和鑒別

標(biāo)識(shí)與鑒別，是基于操作系統(tǒng)的安全防護(hù)措施，操作系統(tǒng)是數(shù)據(jù)庫(kù)的運(yùn)行平臺(tái)，它可以通過(guò)配置本地計(jì)算機(jī)的安全設(shè)置來(lái)給予數(shù)據(jù)庫(kù)系統(tǒng)一定的保護(hù)。具體可以體現(xiàn)在用戶(hù)賬戶(hù)、口令、訪(fǎng)問(wèn)權(quán)限、審計(jì)等方面。數(shù)據(jù)庫(kù)操作系統(tǒng)可以對(duì)合法的用戶(hù)進(jìn)行設(shè)置，這些合法用戶(hù)都擁有著相應(yīng)的用戶(hù)賬戶(hù)以及訪(fǎng)問(wèn)口令，并且有各自的訪(fǎng)問(wèn)權(quán)限，用戶(hù)賬戶(hù)和口令為用戶(hù)訪(fǎng)問(wèn)系統(tǒng)提供第一道驗(yàn)證，用戶(hù)在完成用戶(hù)名及口令的輸入操作后，由數(shù)據(jù)庫(kù)識(shí)別該用戶(hù)是不是合法用戶(hù)，是不是可以被允許訪(fǎng)問(wèn)，以及能訪(fǎng)問(wèn)操作的范圍。因此，數(shù)據(jù)庫(kù)系統(tǒng)的管理人員必須及時(shí)、積極地去健全、完善標(biāo)識(shí)與鑒別機(jī)制，才能夠有效地實(shí)施訪(fǎng)問(wèn)權(quán)限控制機(jī)制，尤其是在一個(gè)開(kāi)放的、多用戶(hù)的系統(tǒng)網(wǎng)絡(luò)環(huán)境當(dāng)中，識(shí)別授權(quán)用戶(hù)才是構(gòu)筑DBMS安全防線(xiàn)的第一個(gè)重要環(huán)節(jié)。身份鑒別能有效地防止非法用戶(hù)侵入數(shù)據(jù)庫(kù)系統(tǒng)，可以采用賬號(hào)和密碼的驗(yàn)證或者是指紋識(shí)別加上隨機(jī)數(shù)據(jù)校驗(yàn)等等多種形式來(lái)實(shí)現(xiàn)身份鑒別。一般來(lái)說(shuō)，它可以具有兩種級(jí)別：一種就是登錄系統(tǒng)的時(shí)候，由操作系統(tǒng)來(lái)實(shí)現(xiàn)的驗(yàn)證；還有一種就是在連接數(shù)據(jù)庫(kù)的時(shí)候，由數(shù)據(jù)庫(kù)系統(tǒng)管理員實(shí)現(xiàn)，在用戶(hù)啟動(dòng)運(yùn)用程序或是其他工具對(duì)數(shù)據(jù)庫(kù)進(jìn)行訪(fǎng)問(wèn)的時(shí)侯展開(kāi)驗(yàn)證工作。除此之外還可以根據(jù)具體的需要在重要的數(shù)據(jù)庫(kù)系統(tǒng)上加長(zhǎng)口令要求以及增加密碼的復(fù)雜性，或者增加驗(yàn)證碼校驗(yàn)等等，這樣，一般的解密工具就不太容易盜取密碼，也能夠從邏輯上降低數(shù)據(jù)庫(kù)系統(tǒng)的風(fēng)險(xiǎn)，從而增強(qiáng)數(shù)據(jù)庫(kù)的安全性。目前，已較為普遍使用的指紋鑒別、口令驗(yàn)證、聲音標(biāo)識(shí)驗(yàn)證和紅膜驗(yàn)證技術(shù)等身份標(biāo)識(shí)和鑒別技術(shù)，能在很大的程度上降低對(duì)數(shù)據(jù)庫(kù)系統(tǒng)安全的威脅。

2.3 數(shù)據(jù)加密

對(duì)數(shù)據(jù)、信息的加密，是一種從根本上防范的保護(hù)措施，在數(shù)據(jù)庫(kù)管理系統(tǒng)內(nèi)部對(duì)數(shù)據(jù)庫(kù)文件進(jìn)行加密處理，使得即使數(shù)據(jù)庫(kù)系統(tǒng)被非法訪(fǎng)問(wèn)，數(shù)據(jù)不幸泄露或者丟失，也難以被人破譯和閱讀。比如說(shuō)軍事機(jī)密、商業(yè)數(shù)據(jù)等，一旦被篡改、盜取，將會(huì)引發(fā)嚴(yán)重的后果，如果對(duì)這些數(shù)據(jù)通過(guò)加密鑰匙及加密函數(shù)轉(zhuǎn)換，變成無(wú)意義的密文，接收方只有通過(guò)解密函數(shù)及解密鑰匙才能破譯閱讀，這樣就能夠有效提高數(shù)據(jù)的安全性。對(duì)系統(tǒng)數(shù)據(jù)的加密可以在DBMS的內(nèi)核層和外層實(shí)現(xiàn)，在內(nèi)核層的加密功能強(qiáng)，能更有效地保護(hù)數(shù)據(jù)安全，但這種方式的加密運(yùn)算都在服務(wù)器端進(jìn)行，加重了服務(wù)器的負(fù)載，因此我們通常采用的是在DBMS外層加密的方式，這種方式不僅減輕了服務(wù)器的負(fù)載，也能實(shí)現(xiàn)網(wǎng)絡(luò)傳輸?shù)募用?。?shù)據(jù)加密技術(shù)的使用，既防范了外部的非法入侵，也能防止內(nèi)部人員對(duì)數(shù)據(jù)的竊取，即使竊取了，沒(méi)有有效地解密手段，竊取到的數(shù)據(jù)也只是無(wú)意義的密文。

3 總結(jié)

總而言之，在信息化高度發(fā)展的今天，數(shù)據(jù)庫(kù)已然成為了人們?nèi)粘Ｉ?、工作中必不可少的重要載體，它的出現(xiàn)方便了人們的工作、學(xué)習(xí)和生活，但數(shù)據(jù)庫(kù)系統(tǒng)的安全性，則必須引起我們的高度重視。相關(guān)工作人員必須能夠清楚、及時(shí)地認(rèn)識(shí)到數(shù)據(jù)庫(kù)系統(tǒng)所受到的安全威脅，并且綜合考慮和運(yùn)用各種安全技術(shù)，以保證數(shù)據(jù)的安全。

參考文獻(xiàn)：

[1]張呈宇.淺談數(shù)據(jù)庫(kù)信息安全問(wèn)題[J].硅谷，2010，(03).

[2]樸海明.數(shù)據(jù)庫(kù)安全威脅與安全防范措施[J].科技資訊，2010，(03).

[3]焦巖.關(guān)于數(shù)據(jù)庫(kù)系統(tǒng)安全現(xiàn)狀的研究[J].計(jì)算機(jī)安全，2010，(05).