計算機數據庫安全管理研究

李瑞林LI Rui-lin

（廣西水利電力職業技術學院，南寧 530023）

1 計算機數據庫及其安全

目前，計算機存儲和操作數據的通用形式被稱為數據庫，數據庫系統三個發展階段分別為網狀數據模型、層次數據模型以及關系模型。其中計算機數據庫系統發展的重要標志是關系模型數據庫。自從八十年代以來，數據庫系統的查詢語言應用越來越廣泛，大規模的信息系統不斷的建立，計算機數據庫技術的發展從而使得數據庫的應用更加的普遍。

當代的企業基本上都建立用來存儲和管理各種業務數據的核心數據庫。對于大多合法用戶來說，這個核心數據庫是存儲關鍵信息的一種非常便捷的方式，而從攻擊者的角度來看，直接破壞數據庫所帶來的利益要比在網絡中探索數據帶來的利益大得多。數據庫的安全性包括操作系統和網絡系統的安全性，它是和計算機系統的安全性是一樣的。

2 數據庫安全管理的目標

數據的安全就是數據庫安全管理的目標，具體包括以下五個方面的內容：1）提供對數據共享，集中統一管理數據；2）應用程序對數據的訪問進行簡化，使得在更為邏輯的層次上實現應用程序對數據進行訪問；3）把數據有效性問題進行解決，從而使得數據的邏輯一致性得到保證；4）使得數據的獨立性得到保證，以及程序對數據及數據結構的依賴得以減少；5）數據的安全性得到保證，數據所有者的利益在共享環境下得到保證。數據的集中存放和管理能夠保證數據庫安全性。數據庫安全的具體目標就是提供充分的服務，并且保證關鍵信息不被泄露。

3 數據庫安全的特征

1）數據安全性

保證數據安全性通常采用的措施有：（1）隔開數據庫中需要保護的部分和其他部分；（2）用戶采用的訪問控制方法應該按照授權規則進行，例如標識與鑒別、強制存取、自主存取以及視圖機制等等；（3）存儲在數據庫的數據都必須經過審計和加密。

2）數據完整性

數據的正確性、相容性以及有效性都屬于數據完整性。數據的輸入值與數據表對應域的類型是一致的就稱為正確性；不同用戶使用的同一數據是一樣的就稱為相容性；而對于現實應用中對該數值段的約束，數據庫中的理論數值能夠滿足就是所謂的有效性。要想保證數據的完整性，就必須對合法用戶使用不符合語義的數據輸入和輸出進行防止。

3）并發控制

數據庫中的信息資源是可以供多用戶共享的，并且還能夠允許多個用戶能夠同時對數據庫的系統進行使用，這也就是所謂的多用戶數據庫系統。在這種數據庫系統中，同一時刻運行的用戶事務可達數百個。當數據庫被多個用戶同一時刻進行并發操作時，那么多個事務同時存取同一數據的情況就會發生，導致不正確的數據存取的發生，使得數據的一致性也受到的破壞，因此就必須進行并發控制。

4）故障恢復

目前，保護數據庫系統免受破壞的措施有很多，它能夠保證數據庫的安全性和完整性不被破壞以及并發事務能夠正確執行，但是計算機的硬件故障、操作人員的事務這些是不能夠進行避免的。而數據庫中數據的正確性都會受到它的影響，甚至有時會使得數據庫受到破壞，導致數據庫中的部分或者全部數據的丟失。故障恢復的功能就是能夠實現數據庫從錯誤狀態向某一已知的正確狀態方向進行恢復。

4 計算機數據庫安全管理存在的問題

4.1 操作方面

操作系統存在的問題主要在于病毒、后門、數據庫系統和操作系統的關聯性方面。首先，在病毒方面，特洛伊木馬程序有可能存在于操作系統中從而也極大的威脅了數據庫系統。一個特洛伊木馬程序對入駐程序的密碼進行修改，當密碼更新之后，信息的密碼也會被入侵者獲得；其次，在操作系統的后面方面，雖然數據庫管理員由于數據庫系統的特征參數方便了，但是同時后門在在數據庫服務器主機操作系統中出現了，因此，通過后門黑客就會對訪問數據庫；再次，較強的關聯性存在于數據庫系統和操作系統之間。操作系統所具有的其中一個功能就是文件管理。文件管理可以對各類文件包括數據庫文件的授權通過利用存取控制進行讀寫和執行等，而且對于用戶登錄和口令鑒別的控制，操作系統的監控程序也能進行，因此，操作系統和硬件設備所提供的環境就能夠保證數據庫系統的安全性。

4.2 管理方面

用戶對信息網絡安全重視程度不夠，沒有真正意識到數據庫安全的重要性，沒有落實安全管理措施，從而使得安全按事件頻頻發生，這些都是由于管理的忽視導致的安全問題。適當限制對數據庫服務器的訪問權限肯定能夠減少攻擊面，但這并不意味著可以不用修復補丁。很多調查都發現，數據庫管理員沒有定期修復數據庫系統的補丁。對于安全來說，定期修復補丁絕對是有必要的，這樣不至于因為幾個月前未修復的漏洞而受到攻擊。建立一個測試環境，然后修復補丁，確認補丁修復，然后修復生產環境的補丁。從實際中可以看出，引起安全的問題的原因主要有未修補系統安全漏洞以及登錄密碼過于簡單或未進行修改，由此可以看出，用戶對相關的安全防范意識和基本安全防范常識的缺乏。

4.3 數據庫系統自身問題

雖然關系數據庫系統應用時間較長，特性較強大，產品也較成熟，但是實際中并沒有在操作系統和現在普遍使用的數據庫系統體現出其應該具有的某些特征，尤其是那些較為重要的安全特性，由此可見，大多數的關系數據庫系統的成熟度還是不夠。

5 計算機數據庫安全技術

5.1 用戶標識與鑒別

系統提供的最外層安全保護措施就是用戶標識與鑒別。用戶標識與鑒別的方法是非常多的，往往在一個系統中是多種方法同時使用的，從而使得系統的安全性更強。比較常用的方法有：用戶身份的表明用輸入用戶名來進行；用戶身份通過回答口令進行標識；用戶身份通過回答對隨機數的運算結構進行表明等等。總之，此類方式在加強安全的同時，也增加了成本，因此，一般都是大型企業用戶使用。

5.2 安全模型

對于安全的重要方面及其與系統行為的關系都可以通過安全模型來進行準確的描述，安全模型建立的主要目的就是對成功實現關鍵安全需求的理解層次的提高。安全模型可以分為以下兩個方面：1）多級安全模型。多級安全模型最先是在軍用系統和數據庫的安全保密中被應用的，它能夠使不同密級包含不同的信息。通常情況下，密級由低到高可分為：秘密級、機密級和絕密級。需要注意的是：每一密級的信息能夠被使用的人是：該密級或者高于該密級權限的人員。2）多邊安全模型。在數據庫安全措施中它又是一項較重要的，對于信息的橫向泄露，多邊安全模型就能夠對其進行阻止，從而使得數據庫信息安全在最大程度上受到保護。

5.3 訪問控制

確保具有數據庫使用權的用戶正常訪問數據庫這就是訪問控制的目的，訪問控制是最重要的數據庫安全策略之一。訪問控制的功能就是為了防止非法的主體進入受保護的網絡資源、允許合法用戶訪問受保護的網絡資源、防止合法的用戶對受保護的網絡資源進行非授權的訪問。計算機系統活動主要是在主體與客體之間進行的。主體對客體訪問的合法性是通過計算機安全的核心問題得到保證的，也就是說，通過對數據的輸入、修改、刪除等管理，來使得主體對客體的訪問確保是授權的，對于非授權的訪問進行拒絕，從而使得信息的機密性、可用性和完整性得到保證。作為資源訪問處理的一部分——訪問控制，它主要非為自主訪問控制和強制訪問控制。自主訪問控制，是指由用戶有權對自身所創建的訪問對象(文件、數據表等)進行訪問，并可將對這些對象的訪問權授予其他用戶和從授予權限的用戶收回其訪問權限。這種資源訪問可以實現創建者可以隨意指定可以進行訪問的人，那么用戶就可以選擇和其他用戶共享資源。強制訪問控制，是指由系統(通過專門設置的系統安全員)對用戶所創建的對象進行統一的強制性控制，按照規定的規則決定哪些用戶可以對哪些對象進行什么樣操作系統類型的訪問，即使是創建者用戶，在創建一個對象后，也可能無權訪問該對象。在這種訪問控制中，不同的安全屬性被分配到了主客體上，對于客體的安全屬性用戶是不能改變的，訪問權限只能由系統管理員進行確定，主體是否能夠訪問客體是系統通過比較客體和主體的安全屬性來決定的。

5.4 安全審計

在數據庫安全管理系統中審計是一項較為重要的功能。安全審計應為審計管理員提供一組可進行分析的管理數據，從而能夠使違反安全方案的事件的發生地被發現。很多企業僅用審計功能以努力提高數據庫服務器的性能，如果性能是企業關注的主要問題的話，那么可以考慮使用數據庫活動監控解決方案來為企業提供審計和其他功能。關閉審計功能會加大調查數據泄漏原因的難度，并且會影響企業的合規。對于安全出現的漏洞可以通過安全審計進行添堵。系統在運行時將數據庫的所有操作記錄在審計日志中，這樣數據庫管理員就可以利用審計跟蹤非法存取數據信息，能夠找出非法存取數據的人、時間和內容等。審計安全使得數據的物理完整性得到了保證。

5.5 粒度細化

一般情況下，訪問控制的粒度級別決定了安全敏感標記的級別，可見二者關系非常密切。計算機中強制訪問控制的依據就是敏感標識。訪問控制可以達到的最小單位就是訪問控制的粒度。一般情況下，強制訪問控制下安全級別都被標記在那個單位上。對于主體而言，數據庫的訪問控制中，粒度一般位于用戶一級。對于客體而言，表一級一般為自主訪控制的粒度，此時的客體包括表、視圖、存儲過程等等。

6 結束語

數據安全問題存在于所有的計算機系統中，它并非只是數據庫系統獨有的特性。數據庫安全，和其他所有安全問題一樣，都是圍繞減輕風險的，而不是消除風險，你不可能消除所有的風險，但是你能夠控制這些風險，以確保這些安全風險不會給企業帶來麻煩。數據庫作為數據的倉庫，它除了要使數據共享得到保證以外，還要使數據安全性也要得到保證。數據庫的安全與系統安全以及網絡安全是密不可分的，在很多情況下，數據庫安全中都會用到系統安全和網絡安全技術。數據庫安全技術在很大程度上對數據庫安全管理具有很大的現實意義。

[1] 徐婷, 楊欣榮. 數據庫安全技術的理論研究[J]. 科技情報開發與經濟, 2007, (04).

[2] 朱良根, 雷振甲, 張玉清. 數據庫安全技術研究[J]. 計算機應用研究, 2004, (09).

[3] 李社宗, 趙海青, 馬青榮, 張志紅. 數據庫安全技術及其應用[M]. 2003, (01).

[4] 劉啟原, 劉怡. 數據庫與信息系統的安全[M]. 北京: 科學出版社, 2000.

[5] 王能斌.數據庫系統教程[M].北京:電子工業出版社,2002.

[6] 許婷, 楊新榮. 數據庫安全技術理論研究[J]. 科技情報開發與經濟, 2007, (04).

[7] 李海泉, 李健. 計算機網絡安全與加密技術[M]. 北京:科學出版社, 2001.