網絡環境下數據庫安全機制問題探討

秦劍峰　別致　陳持學

【摘要】現代信息系統的飛速發展是以計算機以及計算機網絡系統的飛速發展為標志的。信息化的社會在盡力追逐信息系統的失控功能。計算機、高速網絡逐步民用化、商用化、家用化，正因為信息在人類社會活動、經濟活動中起著越來越重要的作用，信息的安全就日益成為關系成敗的關鍵要點，日益引發人們越來越深刻的重視。本文從數據庫安全性的基本概念入手，在其安全體系的基礎上，針對目前可能存在的威脅，展開對于數據庫安全的討論。

【關鍵字】數據庫 安全 威脅 防范技術

【中圖分類號】tp393 【文獻標識碼】A 【文章編號】1672-5158（2013）04-0130-01

隨著Intemet的發展普及，越來越多的企業參與電子空間，將其核心業務向互聯網轉移，地理上分散的部門、公司、廠商對于數據庫的應用需求過旺，數據庫管理系統的運行環境也從單機擴展到網絡，對數據的收集、存儲、處理和傳播從由集中式走向分布式，從封閉式走向開放式。正如去年大肆宣傳的從一些電子商務企業中盜竊信用卡號碼的事件所表明的，安全性缺口的確引人矚目。因此，本文介紹網絡數據庫所面臨的典型威脅，然后從網絡和操作系統防護、數據庫注入防范等方面進行了分析。

一、數據庫安全及威脅

一般意義上，數據庫的安全定義就是保證數據庫信息的保密性、完整性、一致性和可用性。數據庫安全控制是指為數據庫系統建立的安全保護措施，以保護數據庫系統軟件和其中的數據不因偶然或惡意的原因而遭到破壞、更改和泄露。要保證數據庫的安全通常依靠以下幾種技術：即身份鑒別、標記與訪問控制、數據完整性、數據庫安全審計、客體重用、可信恢復、隱蔽信道分析、可信路徑和推理控制等。

數據庫作為信息的重要集中地，一般說來，面臨的安全威脅主要有：

1.軟件和硬件環境出現意外，如磁盤損壞，系統崩潰等

2.計算機病毒可能造成系統崩潰，進而破壞數據

3.對數據庫的不正確訪問，引起數據庫中數據的錯誤

4.未經授權非法訪問數據庫信息，竊取其中的數據

5.未經授權非法修改數據庫中的數據，使其數據失去真實性

6.通過網絡訪問對數據庫的攻擊等

二、網絡數據庫的安全隱患

IIS+ASP+Access解決方案的主要安全隱患來自Access數據庫的安全性，其次在于ASP網頁設計過程中的安全意識和措施。

1）數據庫可能被下載

在IIS+ASP+Access網站中，如果有人通過各種方法獲得或者猜到數據庫的存儲路徑和文件名，則該數據庫就可以被下載到本地。

2）數據庫可能被解密

由于Access數據庫的加密機制比較簡單，即使設置了密碼，解密.也很容易。該數據庫系統通過將用戶輸入的密碼與某一固定密鑰進行異或來形成一個加密串，并將其存儲在mob文件中。從地址“&H42;”開始的區域內，我們可以輕松地編制解密程序，一個幾十行的小程序就可以輕松地獲得任何Access數據庫的密碼。因此，只要數據庫被下載，其信息就沒有任何安全性可言了。

3）ASP源代碼存在安全隱患

由于ASP程序采用非編譯性語言，大大降低了程序源代碼的安全性。如果黑客侵入站點，就可以獲得ASP源代碼；同時對于租用服務器的用戶，因個別服務器出租商的職業道德問題，也會造成ASP應用程序源代碼泄露。

4）程序設計中的安全隱患

眾所周知，HTTP是一個無狀態的協議，它不追蹤用戶的鏈接，這使得Web頁面無記憶性且相互獨立。ASP代碼使用表單實現交互，而相應的內容會反映在瀏覽器的地址欄中，如果不采用適當的安全措施，只要記下這些內容，就可以繞過驗證直接進入某一頁面。實際上，頁面的訪問是通過URL實現的，如果程序不對每個頁面進行合法性檢驗，那么非法用戶即使不知道口令，只要知道某些頁面的URL，就可跳過身份驗證頁面去直接訪問后面數據處理的相關頁面，從而侵人到系統的核心數據庫中。

三、數據庫安全技術的發展趨勢

數據庫安全技術隨著計算機技術的發展，特別是計算機網絡安全技術的發展，而呈現出以下發展趨勢：

1.口令認證系統逐漸向動態口令認證過渡。

動態口令認證是非固定口令的認證，用戶口令呈現動態變化；此外，作為數字證書載體的智能密碼鑰匙（USB KEY）也被用于現在數據庫安全技術上。

2.加密算法越來越復雜化

非對稱密碼技術就是針對對稱密碼體制的缺陷被提出來的。在公鑰加密系統中，加密和解密是相對獨立的，加密和解密會使用兩“把”不同的密鑰，加密密鑰（公開密鑰）向公眾公開，解密密鑰（秘密密鑰）只有解密人自己知道，非法使用者根據公開的加密密鑰無法推算出解密密鑰，故也稱為公鑰密碼體制。現在密碼研究的重點是對已有的各種密碼算法從設計和分析兩個角度上進一步深入發展，完善和改進算法的安全性、易用性。傳統密碼將會在安全性、使用代價、算法實現上有進一步發展。

3.防火墻技術

應用專用集成電路（ASIC）、FPGA特別是網絡處理器（NP）將成為高速防火墻設計的主要方法，除了提高速度外，功能多樣化和安全也是防火墻發展的一個趨勢。防火墻將與入侵檢測技術、攻擊防御技術以及VPN技術融合；防火墻的另一個發展趨勢是與多個安全產品實現集成化管理和聯動，達到立體防御的效果。

4.物理隔離技術的使用

安全專家認為，聯網的計算機是有安全隱患的，物理隔離的思想就是在保證安全的前提下，才互聯互通。物理隔離就技術而言，大致可以分為簡單隔離技術和網閘技術。

四、結束語

安全性問題不是數據庫系統所獨有的，所有的計算機系統都存在數據安全問題。只是作為數據的倉庫——數據庫，既要保證其共享性，又要保證其安全性，這個問題顯得就尤為突出。數據庫的安全性，離不開系統安全、網絡安全。許多的系統安全和網絡安全技術也常常被用于數據庫安全中。在安全技術越來越被人們重視的今天，數據庫安全技術逐步發展成了數據庫技術一個重要的方面。對數據庫系統安全性的研究和探討，也具有很現實的意義。