數據庫的安全及防范措施的研究

張 躍

遼寧裝備制造職業技術學院（沈陽 110161）

1 網絡數據庫安全機制

B/S模式和C/S模式是兩種典型的網絡數據庫模式。C/S模式采用“客戶機-應用服務器-數據庫服務器”三層結構，B/S模式采用“瀏覽器-Web 服務器-數據庫服務器”三層結構。兩種模式在結構上存在很多共同點：均涉及到網絡、系統軟件和應用軟件。為了使整個安全機制概念清晰，針對兩種模式的特點和共性，得到網絡數據庫系統安全機制分層結構模型。

2 威脅數據安全的主要因素

威脅數據安全的因素有很多，主要有以下幾個比較常見，如硬盤驅動器損壞、人為錯誤、黑客、病毒和竊取等。

3 數據庫安全常用技術

數據庫安全就是保證數據庫中數據的保密性、正確性。保密性指保護數據庫中的數據不被非法用戶獲取；正確性是指數據不因為故意的破壞、操作員失誤或者軟硬件故障導致數據錯誤。當前常常使用以下典型技術保證數據安全。

3.1 用戶身份驗證

由系統提供一定的方式讓用戶標識自己的名字或身份，當用戶要求進入系統時，由系統進行核對。這種技術不僅僅用于數據庫安全維護，也常見于一般的軟件安全維護和系統維護中。在數據庫系統中，系統內部記錄所有合法用戶的用戶標識和口令。系統要求用戶在進入系統之前輸入自己的用戶標識和口令，系統核對用戶信息輸入正確方可進入。這種方法簡單易行，但是用戶信息容易被人竊取。因此還可以用更復雜的辦法：隨機數認證。隨機數認證實際上是非固定口令的認證，即用戶的口令每次都是不同的。鑒別時系統提供一個隨機數，用戶根據預先約定的計算過程或計算函數進行計算，并將計算結果輸送到計算機，系統根據用戶計算結果判定用戶是否合法。

3.2 授權機制

也稱存取控制。大部分的DBMS中都提供了數據庫訪問權限控制。在DBMS中可以定義用戶權限，并且將用戶權限登記到數據字典中。用戶的權限包括：數據對象權限、數據操作權限。DBMS提供語句來定義用戶的這兩種權限，這樣，不同的用戶對于不同的數據對象享有不同的操作權限。當用戶發出存取數據庫的操作請求后，DBMS查找數據字典，根據記載的權限規則進行合法權限檢查，若用戶的操作請求超出了定義的權限，系統拒絕執行此操作。存取控制的模型有自主存取控制 DAC 和強制存取控制MAC。目前，大部分的DBMS都支持自主存取控制，目前的 SQL標準是通過 GRANT和REVOKE語句授予和收回權限。強制存取控制方法可以給系統提供更高的安全性。在MAC中，DBMS將實體分為主體和客體兩大類。對于不同的實體，DBMS指派一個敏感度標記，例如：絕密、機密、可信、公開等。一般用于政府或軍事部門。

3.3 數據加密

數據加密是防止數據泄漏的有效手段。 數據加密是就是將明文數據經過一定的交換變成密文數據。與傳統的數據加密技術相比較，數據庫有其自身的要求和特點傳統的加密以報文為單位，加、脫密都是從頭至尾順序進行。大型數據庫管理系統的運行平臺一般是 Windows NT和Unix，這些操作系統的安全級別通常為 C1、C2級。它們具有用戶注冊、識別用戶、任意存取控制（DAC）、審計等安全功能。雖然DBMS在OS的基礎上增加了不少安全措施，例如基于權限的訪問控制等，但OS和DBMS對數據庫文件本身仍然缺乏有效的保護措施，有經驗的網上黑客會“繞道而行”，直接利用 OS工具竊取或篡改數據庫文件內容。這種隱患被稱為通向DBMS的“隱秘通道”它所帶來的危害一般數據庫用戶難以覺察。分析和堵塞 “隱秘通道”被認為是B2級的安全技術措施。對數據庫中的敏感數據進行加密處理，是堵塞這一“隱秘通道”的有效手段。

3.4 操作審計

對數據庫系統的操作審計就是記錄、檢查和回顧對系統進行所有相關操作的行為。審計的主要任務是對用戶及應用程序使用系統資源包括軟硬件或數據的情況進行記錄和審查，一時出現問題，審計人員可以通過審計跟蹤，找出問題原因，追查相關責任人，防止問題再度發生審計過程不可繞過，審計記錄也應該得到保護且不能輕易更改。審計記錄要想有效地起作用，就保證審計記錄的粒度和數。審計作為保證數據庫安全的補救措施，可以提高系統的抗否認能力。

3.5 視圖機制

進行存取權限的控制，不僅可以通過授權來實現，而且還可以通過定義用戶的外模式來提供一定的安全保護功能。在關系數據庫中，可以為不同的用戶定義不同的視圖，通過視圖機制把要保密的數據對無權操作的用戶隱藏起來，從而自動地對數據提供一定程度的安全保護。對視圖也可以進行授權。視圖機制使系統具有數據安全性、數據邏輯獨立性和操作簡便等優點。

4 結語

網絡數據庫的安全是一個系統性、綜合性的問題。綜上所述，網絡數據庫的安全防范是多層次、大范圍的，隨著計算機技術的發展和數據庫技術應用范圍的擴大，數據庫安全必須走立體式發展道路。因此，在進行系統設計時不能將它孤立考慮，只有結合實際層層防設，這個問題才能得到有效解決。安全防范是一個永久性的問題，只有通過不斷地改進和完善安全手段，才能提高系統的可靠性。

[1]張曉偉,金濤.信息安全策略與機制.北京:機械工業出版社,2004.

[2]張建軍.淺析數據庫管理系統加密技術及其應用.甘肅高師學報,2008.