數據庫的安全與管理策略

一、主要特征

本文所討論的數據庫安全特征主要針對數據而言，具體包括以下四個方面：第一，數據的安全性，通常保證數據安全性的措施有多種，例如隔開數據庫中需要被保護的部分數據，或者根據相關的授權規則，采用適當的訪問方法，比如以用戶鑒別或者標識、強制存取、自主存取以及相關的視圖機制；也可以在存儲數據前對其做審計或加密處理。第二，數據的完整性，只有數據具備正確性、有效性以及相容性的特點，數據才能稱得上完整。其中數據輸入值和數據表對應域的類型相同，表示數據正確；對于數據庫系統中的相關理論值而言，其對現實中應用的數值段具有非常重要的作用，它表示該數據已經有所修改；而同一數據針對不同權限的用戶所呈現出的內容是相同的，即表示數據具備相容性。由此可見，要實現數據的完整性，就要避免合法用戶在輸入或輸出時采用不符合語義的數據。第三，并發控制，數據庫系統可以實現多個用戶的信息資源共享，在某些大型的數據庫系統中，可能同一時刻會有多個用戶事務同時運行，數據庫處于這種多用戶并發操作的狀態下，容易出現多個事務同時存取同一數據的現象，此時需要控制并發操作，以防止出現數據存取有誤的現象，進而保證數據相同，因此，數據庫系統的安全性一定要有所保障。第四，故障恢復功能，雖然數據庫系統中保證數據安全、完整的措施有很多，但是也無法絕對保證一些不可避免的因素對數據造成破壞，例如硬件的故障、軟件錯誤以及人為失誤與惡意攻擊等，所以一個安全的數據庫要具備故障恢復功能，即修正數據庫的錯誤狀態，使其恢復到某個已知的、正確狀態的功能。

二、實際管理過程中存在的主要問題

具體而言，數據庫的安全管理問題體現在以下幾個方面：

(一)操作系統的問題

一般而言，操作系統中主要存在的問題有病毒、數據庫和操作系統。其中病毒方面，操作系統可能存在木馬程序，從而影響到數據庫系統的安全性。木馬程序很可能會對入駐的相關程序密碼進行修改，并對密碼進行更新的同時也獲得了所需的信息密碼。對于操作系統的后臺來說，盡管數據庫管理員可以方便的獲取數據庫系統特征參數，但是由于數據庫服務器主機操作系統中出現了后門，為非法入侵者攻擊數據庫提供了途徑。此外，由于數據庫系統與操作系統之間存在較強的關聯性，操作系統具備文件管理的功能，執行文件管理的過程即為利用存取控制讀寫、執行文件的過程，在這些文件中同時也存在著數據庫信息數據；一般而言，操作系統中的相關監控可控制用戶的口令和登陸，因此數據庫的安全性以及操作系統和相關硬件設備的所處環境密切相關。

(二)系統管理的問題

有些系統用戶缺乏信息網絡安全意識，對數據庫安全的重要性缺乏深入的了解，在系統操作過程中未按規定落實安全管理措施，導致頻發安全事故。在實際運行過程中，對數據庫服務器的訪問權限做出合理限制，可以有效的減少數據庫受攻擊的機率，但是并不代表可以修復補丁。通過大量調查可知，數據庫系統管理員很少有對數據庫系統的補丁進行定期修復的習慣，這對數據庫系統的安全性也會產生直接的影響。實際上在數據庫的安全維護過程中，對其補丁的定期修復非常必要，這樣可以有效避免由于漏洞未修復而致使系統受到攻擊。導致數據庫系統出現安全問題的主要原因主要包括系統安全漏洞未及時修補、登錄密碼過于簡單等，所以要加強安全問題的防范，了解基本的安全防范常識。

(三)數據庫系統自身存在問題

盡管數據庫系統的相關產品經過較長時間的應用已經越來越成熟，性能也越來越強大，但是實際中在操作系統與普遍應用的數據庫系統中體現出上述其應具備的特征，特別是一些非常用重要的安全特性。這說一個問題，即大多數數據庫系統盡管已經很成熟，但其成熟度還有欠缺。

三、安全管理策略研究

(一)用戶身份認證

可以進行用戶的身份認證是數據庫系統所設置的第一道安全屏障，經過身份認證，保證每個用戶身份標識的唯一性，一旦用戶向數據庫發出連接請求，服務器端會對其身份進行驗證，對其身份合法性進行判斷，系統只向經過身份驗證的用戶開放。這種方法的實現相對簡單，但是其安全級別也比較低，僅靠口令的保密性實現安全保護，往往會受到口令猜測攻擊。所以口令傳輸過程中要加密處理，系統也只保存口令密文，可以有效防范竊聽者。

(二)訪問控制

所謂訪問控制是指對授權的用戶進行權限劃分，使其只能操作自己所對應的數據。一般其訪問控制模型主要表現為以下三種：

1.自主存取控制

系統會定義不同用戶對不同數據的存取權限，一旦用戶訪問數據庫時，系統對其存取權限進行檢查，如果用戶不合法則會限制其在數據庫的操作行為。用戶可以在數據庫中對自己控制對象的權限進行修改，或者將自己的權限授權給其它用戶。

2.強制存取控制

這種模型是指系統把全部的數據對象均設置對應的密級，不同的用戶所擁有的權限與密級相對應，即具有某一許可級別的用戶只能操作其所對應密級的數據對象，并且用戶在操作數據過程中要遵循以下原則，即只有用戶許可級別大于或等于數據對象密級時，才可以對數據對象執行讀取的操作；而用戶許可證級別等于數據對象密級時，則可以進行寫操作。

3.基于角色的存取控制

該模型是指針對不同的角色賦予不同的存取權限，而用戶必須為對應的角色成員才能獲取對應的權限?？梢园凑战M織中的職責來創建不同的角色，用戶根據職責內容被指定對應的角色。這種模型使得權限的管理得到進一步的簡化。

(三)數據庫加密技術

采用數據庫加密技術可以進一步保證數據庫中機密的數據不受攻擊，重要的數據經過加密后即使被竊取，也可以保證其安全性。因為數據加密技術是根據特定的加密算法，將明文數據轉換為不可讀的密文，竊取者如果無法獲取密鑰則無法恢復原數據。通常加密算法分為兩種，即對稱式與非對稱式，其中對稱式加密是指加密與解密所采用的是同一個密鑰，反之，加密與解密采用不同密鑰則為非對稱式加密，在非對稱式加密中，要求兩個密鑰配對使用才能將數據打開。這種加密方法的安全性相對較高，但是加密、解密的速度非常慢，所以一般在用戶認證、數字簽名以及密鑰傳輸時會用到該方法。通常數據庫加密會采用對稱式加密，其不僅速度比較快，而用對系統性能的影響也不大。

(四)安全審計

所謂安全審計是對用戶對于數據庫的操作行為進行監視與記錄，一旦數據庫出現安全問題，可以采用該方法進行查詢與分析。安全審計模型包括審計數據采集器以及審計數據分析器兩個部分，顧名思義，審計數據采集器的主要作用就是采集審計數據，并將其通過日志的形式儲存于數據庫中；而審計數據分析器的主要作用就是對所采集的審計數據進行分析，最后提供審計分析報告。從某種程度上講，安全審計模型已成為數據庫安全管理中不可或缺的重要組成內容。

[1]謝萌.淺談網絡數據庫的安全管理與維護[J].河南科技,2010(8).

[2]孔令美.淺談數據庫安全管理[J].電腦知識與技術,2012(2).

[3]李愛軍.淺析SQL Server數據庫的安全管理[J].計算機安全技術,2012(4).

[4]劉放.數據庫安全維護管理問題研究[J].電子商務,2011(3).