網絡會計信息系統數據庫的控制方法

網絡信息時代雖然為社會諸多領域的工作帶來了巨大的改變，但同時也引發了各種信息數據庫中安全風險的不斷增加。尤其是會計信息的存儲和讀取使用，在面臨網絡安全問題的情況更加風險重重。本文針對問題提出了相應的解決方法。

【關鍵詞】網絡會計 網絡會計信息系統 數據庫控制

1 網絡會計信息系統數據庫的安全隱患

1.1 明確數據庫的連接字符串安全存儲

應用程序需要聯接到SQL Server需要拿SQL的身份來驗證，而需要連接到指定提供登錄憑據的非Microsoft數據庫也需要拿SQL的身份來驗證。這時，連接字符串應該還含有用戶名和密碼的明文形態。

1.2 數據庫的訪問通過對應的標識就可以進行

如可以利用一些進程標識或者多個不一致的服務標識、甚至原調用者的標識都能夠直接訪問數據了。一般我們講，保護網絡上的數據傳輸，也就涵蓋了需要保護存在于SQL Server中進行傳輸的登錄憑據信息。有些應用程序的編程方案中，首要考慮的保護部分是應用程序和數據庫之間的鏈接路徑。那么前提就是消息的完整性和機密性是完好的，能夠對有效數據進行加密和簽名驗證。

1.3 數據庫受到來自調用者的訪問時

調用者的身份必然提前獲得合法性的數據庫驗證驗證方法上，SQL Server支持來自Windows和SQL的雙重身份驗證。數據庫的身份驗證也需要合法才行。在驗證安全性方面，Windows功能顯然要強于SQL的，但是Windows的身份認證也帶有明顯的局限性：例如：

（1）有些數據庫的建立，客戶端和服務器一早就被同一個防火墻格擋開來，Windows身份驗證就變得無法使用可有可無；

（2）有些應用程序的編訂是需要通過多個標識直接連接到某個體或單體數據庫；

（3）被連到后的數據庫不是SQL Server等。上述這些情況下，如果使用SQL身份驗證，就能夠保護應用程序服務器上的用戶憑據、服務器和數據庫之間的用戶憑據及SQL連接字符串。

1.4 當調用者接受到來自數據庫的授權后，彼此獨立的數據庫對象和權限就變得關聯統一

而其中的數據庫權限可以關聯到用戶、組群或角色。SQL Server的問世和引用，將幾種以角色建立為基礎的授權方式予以表現。SQL Server對于由使用者所提供的數據庫和應用程序角色是支持相容的，同時也支持用戶固定的數據庫角色。具體的授權方式視情況而定，如圖1所示。

1.5 巧妙利用可編輯的窗體身份，對網絡應用程序的漏洞進行驗證

當前，出現在互聯網上的對WEB數據庫最為直接常見的攻擊方式，就是巧妙利用可編輯的窗體身份，對網絡應用程序的漏洞進行驗證，并順利得到存儲在數據庫中的用戶憑據。通常情況下，最有效的解決辦法就是注意針對用戶憑據進行驗證時，躲避來自SQL的注入式攻擊，當然，也可以考慮使用單向密碼哈希值，這個值具有隨機的SALT值。后一種做法的主要目的是避免用戶憑據密碼在數據庫中以明文形式或以加密的形式存儲的辦法，有效起到降低字典攻擊所形成的風險隱患的

SQL注入式的攻擊，所采用的原理是首先確保已從客戶端提交過特殊的代碼，然后收集程序及服務器的信息，達到對數據信息違法獲利的目的。這樣的情況可以通過SQL字符篩選用戶輸入的方法來解決。

通過上述各理論分析，針對基于ASP+ SQL Server的網絡會計信息系統數據庫系統提出了如下建議：

（1）確保用戶安全。當然有最簡單的方法，就是只允許SQL的訪問者本身就是SQL的用戶，采取措施阻止administrator組的用戶產生訪問。

采用雙身份驗證時，先選擇“SQL Server”和“Windows”，設置sa密碼，對于其他用戶也設置密碼并保留。

刪除用戶：<機器名> Administrator，此做法意欲防止SQL被用Windows身份登錄。

企業管理器的進入設置需要輸入密碼。在企業管理器中編輯SQL Server，注冊屬性選擇“使用SQL Server身份驗證”并勾選“總是提示輸入登錄名和密碼”。經過以上的設置，SQ Server基本上算是安全了。

（2）選擇將默認端口進行更改，規隱服務器，如此可減少被攻擊的可能性。要控制SQL用戶不去訪問自身受訪問限制的數據庫。例如：創建企業管理器時，“服務器角色”項不應點任何東西，需訪問的數據庫名指定創建的用戶去完成，數據庫角色均中允許，勾選“public”，“db_ownew”。

（3）打補丁要及時，確保Windows和SQL Server的補丁是最新版本。同時，數據庫的安全還可以依賴于使用合理的存儲過程。直接訪問的情況還包括無需提供基本表單和基本繪畫，直接在存儲過程上授予用戶和應用程序執行權限。經過這樣處理后，除應用程序的前段可以訪問數據庫外，另外的任何查詢工具將在訪問數據方面失去效果。

2 網絡會計信息系統數據庫的風險控制措施

2.1 子模式定義

數據庫原理告訴我們，模式是用來描述一項數據資源的全部信息存儲在計算機中的物理性質數據庫。而子模式則表示從物理數據庫中抽取出來的含有部分數據集合的邏輯化數據庫。在網絡環境下，面向用戶操作的數據界面可以被分布定義，能夠起到限制用戶越權訪問數據資源的作用。數據界面的定義是根據不同應用功能來按需取數據。

2.2 訪問數據資源授權

根據上述提到的子模式概念，用戶對于數據資源的訪問，具有一定的范圍和內容限制，而且在有關操作方面也存在一定的限制，例如查詢數據庫、編輯修改、移位刪除、插入等操作。訪問數據資源可通過授權表具體的形式來實現。由數據庫管理員按照不同業務需要和操作具體權限對數據資源的訪問權界定。

2.3 數據備份和恢復

網絡環境與成批集中式的處理環境相比，前者的數據備份和恢復的復雜程度也愈加的嚴重。這歸結于網絡環境下實時數據的動態處理，因此想要保證有一個靜態數據點出現是很難得，自然就做不到無任何用戶訪問的數據庫的靜態數據備份。所以網絡會計信息系統獨具匠心使用動態備份。動態數據要求建立數據庫的日志文件，用來記錄數據庫歷次更新所反應的具體步驟。數據庫日志文件可以在數據庫被毀損后，通過必要的手段重新加載處理，以便讓用戶已完成的作業重新運行，對故障作業直接刪除。

2.4 數據庫鏡像

當前技術發展下，光驅和硬盤容量不斷增大，超低的價格讓存儲元件的使用增加，更好的避免介質故障，可建立數據庫管理系統（DBMS），積極開發并享受數據庫鏡像服務。即管理員可以自動搬運整個數據庫或其中的關鍵數據到另一個存儲元件上。當大數據庫一旦更新開始， DBMS自動把更新后的數據復制上傳過去，自動保證鏡像數據與主數據的一致性，如圖2中所示。這樣，介質故障如果出現后，鏡像磁盤的功能就顯現出來，可繼續使用。

參考文獻

[1]鄧景毅，劉藝，張建華，基于業務流程的網絡會計信息系統權限控制方法[J].中國管理信息化，2010（2）：3-6.

[2]張濤.網絡會計信息系統數據庫的控制方法[J].中國管理信息化，2006，（1）：60- 61.

作者簡介

薛杰遠（1969-），女，河南省南陽市人。曾獲得鄭州大學大學本科畢業證書?，F為南陽醫學高等?？茖W校會計師。主要研究方向為財務會計。

作者單位

南陽醫學高等?？茖W校 河南省南陽市 473000