數據庫系統安全性分析與實現

劉中勝

摘要：隨著信息技術的不斷發展，數據庫技術的應用非常普及。但是，數據庫系統在運行過程中，會受到軟件、硬件、人為和自然災害等各種因素的影響，這些因素不但會破壞數據的機密性、完整性、可用性，造成數據損壞或丟失，而且會影響數據庫系統的正常運行，甚至導致數據庫系統的崩潰，因此，數據庫系統的安全性問題變得尤為突出。本文將從數據庫系統的安全屬性及安全技術進行分析，探討實現數據庫系統的高安全性策略。

關鍵詞：數據庫系統 數據庫技術 安全性 安全策略

中圖分類號：TP311.138 文獻標識碼：A 文章編號：1007-9416（2014）12-0191-01

隨著信息技術的不斷發展，數據庫技術的應用非常普及。但是，數據庫系統在運行過程中，會受到軟件、硬件、人為和自然災害等各種因素的影響，這些因素不但影響數據的安全，而且會影響數據庫系統的正常運行，甚至導致數據庫系統的崩潰。因此，如何保證數據的安全，如何保證數據庫系統正常安全地運行，是我們在企業信息化建設過程中必須認真考慮的問題。下面將從數據庫系統的安全屬性出發，分析數據庫系統的安全技術，并闡述構建數據庫系統高安全性策略的解決方案。

1 數據庫系統的安全屬性分析

對數據庫系統安全屬性的分析，是實現數據庫安全策略的一個重要環節，是一個數據庫系統采用恰當安全策略的前提。數據庫系統的安全屬性涉及多個方面，從總體上來講，包括機密性、完整性、可用性、可控性和可審查性等屬性。

（1）機密性：防止數據被非法竊取、調用或存取而泄密。數據只能被其相應的合法用戶訪問或調用。（2）完整性：防止非法用戶對數據進行添加、修改和刪除，同時也防止合法用戶越權訪問對未被授權的數據進行添加、修改和刪除，并且能夠判斷數據是否被修改。（3）可用性：確保合法用戶在需要的時候可以訪問數據，并按需使用。防止數據被破壞，或被非法搶占。（4）可控性：對數據的訪問進行權限控制，確保具有不同權限的合法用戶訪問該訪問的數據，做該做的操作，同時對非法訪問進行檢測并干預其非法行為。（5）可審查性：對違反安全策略的事件提供審計審核手段，能記錄和追蹤這些非法活動。

2 數據庫系統的安全技術分析

基于數據庫系統的各種安全屬性要求，各種數據庫系統充分提供了多種多樣的安全性技術以提高數據庫系統的安全性。經典的數據庫系統的安全技術或機制包括加密技術、身份驗證機制、訪問控制、審核與跟蹤、備份與還原、容錯技術等。

加密技術是指通過對明文數據進行模糊處理，形成密文，非法者獲取了這樣密文的數據是沒有任何作用的，除非使用對應的解密密鑰，把密文解密成明文。在數據庫系統中可以采用加密函數、對稱密鑰、非對稱密鑰、透明數據加密和證書等加密機制來實現數據的加密。

身份驗證機制，當實體（如用戶）連接到數據庫時，必須提供其憑據（如登錄賬號和密碼），數據庫系統對實體提供的憑據進行驗證，如果驗證通過則可以連接到數據庫，否則，不能連接到數據庫。對需連接到數據庫的實體進行身份驗證可以由數據庫管理系統本身來完成（如MS SQL Server服務器），也可以通過操作系統來完成。

訪問控制與身份驗證機制密切相關。當實體（如用戶）成功通過了身份驗證，然后訪問控制機制對實體的訪問請求進行處理，檢查該實體對被訪問數據的操作權限，并做出相應的處理，使實體在權限范圍內執行相應的操作。

數據庫審核與跟蹤技術，對數據庫的訪問與操作等事件進行記錄，經過審核的事件寫入事件日志或審核文件中，審核內容包括登錄審核、安全審核、SQL審核等，不但可以在服務器級別創建審核，而且可以在數據庫級別創建審核。

數據庫的備份和還原技術，是保證數據安全性的重要措施，防止數據丟失或破壞帶來的嚴重后果和損失。備份就是對數據進行復制形成副本，當數據被破壞或丟失時，可以通過副本還原到備份時的狀態。備份和還原是保證數據可用性的重要安全措施，也是數據庫系統重要的日常維護工作。

數據庫的容錯技術，不僅有部件級的容錯技術，也有系統級別的容災技術。經典部件級的容錯技術就是RAID技術（如RAID1、RAID5等），以確保當磁盤上某部分數據被破壞時，數據庫系統仍然正常運行，同時在線自動恢復被破壞的數據。數據庫系統的異地容災，是系統級別的容錯技術，就是在不同的地方，構建一套或多套具有相同數據和應用的系統，當某一系統崩潰或發生災害破壞時，其他地方的數據庫系統能接管，保證整個系統正常運行。對企業級的應用和數據庫系統起到了安全性和業務連續性的作用，但系統建設成本昂貴。

3 數據庫系統的安全策略實現

根據數據庫安全技術的分析，結合數據庫系統的架構，可以在數據庫系統的系統級別、服務器級別、數據庫級別和數據庫對象級別實現不同的安全技術。系統級別采用異地容災技術，服務器級別可以采用身份驗證、訪問控制、角色管理和審核等，數據庫級別可以采用訪問控制、角色管理和審核等，數據庫對象級別可以采用權限管理，再結合RAID容錯技術、加密技術、備份與還原技術，這樣，就構建成一個數據庫系統的整體安全策略解決方案，如圖1所示。

4 結語

數據庫系統是信息系統的重要組成部分，其安全性也是信息系統安全性的核心。當數據庫系統的安全受到影響，將會給企業帶來巨大的人力、物力和經濟上的損失，甚至造成企業倒閉，所以數據庫系統的安全性，不僅是企業信息系統建設的重要內容，也是系統運行過程中重要的日常維護及管理工作。不僅要從技術層面確保數據庫系統的安全性，更需要從管理層面上確保數據庫系統的安全性。endprint