數據庫安全技術及趨勢研究

摘要：本文在闡述數據庫安全概念的基礎上，介紹了數據庫安全的相關標準、系統面臨的安全威脅、數據庫安全技術研究現狀，對數據庫安全技術的發展趨勢做了展望。

關鍵詞：數據庫；安全；趨勢

隨著計算機網絡技術的發展和廣泛應用，數據庫系統愈來愈多地成為了國家機關、企事業單位等組織關鍵業務的運行平臺。數據庫系統中的數據一旦丟失或者泄露，很有可能讓組織在經濟效益上受到損失，在社會效益上喪失公眾的信任，這樣的事例在我們生活中時有發生。在此意義上看，數據庫中的數據就是數字財產，保證其安全格外重要。

一、數據庫安全技術

1.數據庫安全的概念

在國外，以C.P.Pfleeger的定義最具有代表性并得到了廣泛的應用。它從物理數據庫的完整性及邏輯數據庫的完整性、數據元素的安全性、可用性、可審計性、身份驗證、訪問控制等方面對數據庫安全進行了描述。而國內對數據庫安全的定義主要是保證數據庫信息的完整性、保密性、一致性和可用性。

2.數據庫安全的標準

二十世紀七十年代以來，歐美等國家就開始重視包括數據庫安全在內的計算機系統的安全問題，很多重要的國際標準化組織都在此方面展開了工作并取得了豐碩成果。在眾多的安全標準中，最重要的兩個是由美國國防部制定的《可信計算機系統的評估標準》（簡稱TCSEC）和《可信計算機系統的評估標準關于數據庫的解釋》（簡稱TDI）。

3.數據庫安全的威脅

數據庫安全報告顯示，主要存在以下威脅數據庫安全的因素，從而可能導致數據庫系統風險：忽視密碼管理或不得當的密碼管理；共享賬戶引起的數據泄露風險；數據庫權限的濫用、權限提升；因操作系統平臺漏洞或通信協議漏洞，數據庫很可能遭受到各種技術攻擊；拒絕服務；無限制的數據訪問、不正確的或非法的數據訪問、非授權的數據修改；惡意破壞數據并使其不能恢復；數據庫備份數據的管理問題；其他威脅如電磁干擾、自然災害、工作環境等原因致使硬件毀壞或數據出錯等。

4.數據庫安全常用技術

存取管理，包括用戶認證術和存取控制。通過對用戶的認證，控制合法用戶對數據庫系統訪問的機制和過程，同時防止非法用戶訪問數據庫。驗證是數據庫安全性中最基本的概念之一，通過該過程來證實用戶身份，進而可以防止非法用戶的訪問。用戶身份驗證方式有：操作系統驗證、DBMS提供驗證和網絡安全系統驗證。用戶身份識別以數據庫授權為基礎，只有經過數據庫授權和驗證的用戶才是合法的用戶。通過存取控制可以防止安全漏洞產生的隱患。存取控制的模型有自主存取控制（DAC）、強制存取控制（MAC）和基于角色存取控制（RBAC）。

安全管理是實現數據庫管理權限分配的定理機制，分為分散控制方式和集中控制方式。分散控制是采用管理程序控制數據庫不同部分，從而實現系統的安全維護。而集中控制則由單個授權者統一控制系統的安全維護，相對分散控制更有效、更方便。

推理控制，其目的是為了防止用戶通過間接的方式獲取到本不應該獲取的數據。

信息流控制。通過對系統所有的元素劃分類別和級別，檢查信息的流向，使高保護級別對象所含信息不會被傳送到低保護級別的對象中去，從而避免某些惡意用戶從較低保護級別的后一個對象中獲取較為秘密的數據。

數據庫加密，分為庫外加密、庫內加密等方式，是防止數據庫數據泄露的重要而有效的手段，減少數據失竊而造成的損失，從而保證用戶信息的安全。要求加密系統應該不可破譯，加密后存儲空間不應有明顯增加，加密與解密速度應足夠快，加密系統要有靈活的授權機制，應有一套安全的、使用靈活的密鑰管理機構。加密后對數據庫的查詢、檢索、修改、更新要靈活、簡便，加密后的數據庫應允許數據能夠充分且靈活共享等。

審計追蹤與攻擊檢測。在系統運行時，首先通過審計功能自動將對數據庫的所有操作記錄在日志中，攻擊檢測系統根據審計數據分析，檢測攻擊者的企圖，從而再現導致系統現狀的入侵事件，分析追查相關的責任者。

數據備份與恢復。數據備份，就是把數據復制保留，以便在系統特定情況下重新利用的過程。其根本目的是以備重新利用，即能夠實現數據恢復。一個無法恢復的備份，是沒有任何意義的。

數據傳輸常用協議，包括被廣泛地用于Web瀏覽器與服務器之間的身份認證和加密數據傳輸SSL協議；用以提供公用和專用網絡的端對端加密和驗證服務的IPSec協議；由Netscape開發并內置于其瀏覽器中，用于對數據進行壓縮和解壓操作的安全超文本傳輸協議HTTPS協議；為解決用戶、商家和銀行之間通過信用卡支付的交易而設計的，以保證支付信息的機密、支付過程的完整、商戶及持卡人的合法身份以及可操作性的SET協議。

二、數據庫安全技術發展趨勢

隨著計算機技術及網絡技術的發展，在確保數據庫可用性的前提下，數據庫安全技術將呈現以下發展趨勢：用戶認證技術將從靜態口令向動態口令、用戶身份證書方向發展，如目前銀行系統使用的移動數字證書等；數據庫加密技術的非對稱密碼機制的采用及加密算法的日趨復雜化；舊安全模型在實際中具體應用和新安全模型的研究；隱蔽信道的研究及應用；數據庫的審計追蹤；數據庫技術與其他技術結合研究；多級安全數據庫語義的研究和DBMS的多級安全保護體制的進一步完善；數據庫安全和入侵檢測系統、防火墻等其他安全產品應配套研究使用；對應用系統和數據庫連接部分的程序本身的安全研究。

三、結束語

在信息技術日新月異的今天，作為信息技術重要支撐的數據庫技術也正隨著計算機、網絡、通信等技術的發展得到更大的發展，而其安全問題也將面臨更大的考驗。只有保證數據庫的安全，才能發揮其信息載體的作用，從而促進經濟社會的發展。

參考文獻：

1.凌捷、謝贊福，《信息安全概論》[M]，廣州：華南理工大學出版社，2005

2.高延玲，《網絡數據庫安全研究與應用》[D]，西安：西安電子科技大學，2004

3.GA/T389-2002，《計算機信息系統安全等級保護數據庫管理系統技術要求》[S]

【責編 馮立偉】