數(shù)據(jù)庫安全深度防護模型的設(shè)計和實現(xiàn)

摘 要 隨著數(shù)據(jù)安全功能開放程度與數(shù)據(jù)庫應(yīng)用復(fù)雜度的提升，不但數(shù)據(jù)庫自身會產(chǎn)生很多的數(shù)據(jù)庫系統(tǒng)安全問題。所以，應(yīng)該通過多樣化維度監(jiān)控、檢測分析數(shù)據(jù)庫和應(yīng)用安全特性等方式進行系統(tǒng)的維護，這樣，將一個數(shù)據(jù)庫安全保護的深度防護模型提了出來。在此模型設(shè)計基礎(chǔ)上，將框架和工作原理制定了出來。

【關(guān)鍵詞】數(shù)據(jù)庫 安全深度 防護模型 設(shè)計與實現(xiàn)

1 安全檢測數(shù)據(jù)庫運行環(huán)境

1.1 內(nèi)容分析

對于這樣幾方面，數(shù)據(jù)庫運行環(huán)境安全防護工作都需要進行著重的分析：服務(wù)器安全、物理環(huán)境安全、網(wǎng)路環(huán)境安全和數(shù)據(jù)庫本身安全。

一些重要的DBMS所給出的安全防護措施能夠通過數(shù)據(jù)庫本身來防護，所以，將數(shù)據(jù)庫本身的安全拋出以外，剩余的部分被稱為安全運行環(huán)境。

日常安全管理、硬件環(huán)境和軟件環(huán)境等方面的內(nèi)容是數(shù)據(jù)庫周邊安全問題所包含的主要內(nèi)容，利用自動化測試工具無法或者難以發(fā)現(xiàn)這些問題。但是，實際運行中，泄漏和破壞數(shù)據(jù)庫問題都是由于周圍問題沒有被有效處理所導致的。

1.2 檢測對策

因為數(shù)據(jù)庫會在多樣性、復(fù)雜性的環(huán)境中運行，所以，在檢查的時候很難通過自動手段來完成。因此，在研究數(shù)據(jù)庫運行環(huán)境時不妨通過問卷調(diào)查的手段。有效的評估出其中可能存在的風險，在對各個問題進行打分時，可以應(yīng)用缺陷評估模型CVSS。進而將被測數(shù)據(jù)庫環(huán)境的安全狀態(tài)可以定量的進行分析。利用此種方法，可以量化處理數(shù)據(jù)庫運行環(huán)境中潛在的風險。對各個問題的風險等級進行打分，從而能夠綜合的評價分析運行環(huán)境的安全系數(shù)。

2 檢測數(shù)據(jù)安全特性

2.1 內(nèi)容分析

在事前檢測數(shù)據(jù)庫安全特性時，主要是檢測數(shù)據(jù)庫自身，在加固數(shù)據(jù)庫本身時，首先應(yīng)該準確的劃分數(shù)據(jù)庫的安全缺陷，在劃分數(shù)據(jù)庫自身的缺陷時，我們可以從橫向和縱向兩個方面入手。

2.2 方法分析

在進行安全特性自動化檢測時，應(yīng)該堅持從外到內(nèi)的次序，此順序是與數(shù)據(jù)庫以外的邏輯層次相對的，因此，我們需要將一個自動化檢測的分層模型構(gòu)造出來：首先，掃描端口。主要是將相同網(wǎng)段里面的數(shù)據(jù)庫服務(wù)找出來，數(shù)據(jù)庫的不同，都會將一個服務(wù)監(jiān)聽特定端口開通出來。其次，滲透檢測。在不明確數(shù)據(jù)庫賬號信息的基礎(chǔ)上應(yīng)用這種方法，通過猜測數(shù)據(jù)庫的版本信息，將其中隱藏的漏洞找出來，之后利用先前弄好的腳本，攻擊其中可能存在的數(shù)據(jù)，然互將數(shù)據(jù)內(nèi)部潛在的安全隱患找出來。但是，必需要確保沒有損壞存在于這種攻擊中，防止將不必要的損害帶給數(shù)據(jù)庫。所有可能傷害到數(shù)據(jù)庫的測試腳本，在數(shù)據(jù)庫的副本上都應(yīng)該進行相應(yīng)的測試，對所有的數(shù)據(jù)在測試前都要進行合理的備份。再次，內(nèi)部審計。當管理員權(quán)限被獲取出來后，在數(shù)據(jù)庫中進行登錄，然后對數(shù)據(jù)庫的配置參數(shù)在數(shù)據(jù)的內(nèi)部完成相應(yīng)的安全檢測，此部分檢測很少會傷害到數(shù)據(jù)庫，主要是看是否有安全隱患存在于配置項中但是應(yīng)該注意。在檢測此部分時，將DBA權(quán)限必須要獲取出來，在將該權(quán)限拿到手之后，就可以進行相應(yīng)的操作，這樣測試自身就會將一些安全隱患帶給數(shù)據(jù)庫。

3 審計數(shù)據(jù)安全日志

3.1 內(nèi)容分析

我們可以將圖1給出的日志信息作為研究的對象，通過分析這三種類型的日志，對于數(shù)據(jù)本身的安全性，用戶們能夠輕松的進行了解，掌握數(shù)據(jù)庫的訪問狀態(tài)。

3.2 方法分析

解析效率問題是審計日志時所需要解決的一個重要問題。非結(jié)構(gòu)化、海量的信息是現(xiàn)存日志信息的主要特點，所以，出于考慮其中的檢查效率，首先應(yīng)該進行結(jié)構(gòu)化處理。通常利用這些方法對非結(jié)構(gòu)化數(shù)據(jù)進行處理；其一，逐行的解析數(shù)據(jù)文件，然后向著數(shù)據(jù)庫中加載這些被解析完的數(shù)據(jù)，這樣就能夠通過SQL將數(shù)據(jù)庫中的內(nèi)容快速的分析和查詢出來，此種方法的優(yōu)點是：通過SQL乬能夠非常輕松的分析和查詢數(shù)據(jù)，同時，還將索引等方式在數(shù)據(jù)表上構(gòu)建起來，然后將查詢效率提升，但是，也有一個嚴重的缺陷存在于這種方法中：在向數(shù)據(jù)庫中加載解析完的日志文件時，IO讀寫操作需要被大量的應(yīng)用，因為一般由上百萬行的數(shù)量級存在于日志文件中，所以，需要通過花費大量的時間才能夠?qū)?shù)據(jù)加載完畢。

4 結(jié)語

本文通過探究，在DBMS的基礎(chǔ)上，使有關(guān)的支持工具成為了現(xiàn)實，將一個系統(tǒng)完善的數(shù)據(jù)庫安全檢測系統(tǒng)構(gòu)建了起來，在自動化方法的基礎(chǔ)上，將測試成本減少了，更重要是的將測試的效率有效的提升了上來。

參考文獻

[1]劉欣，沈昌祥.多級數(shù)據(jù)庫安全模型研究[A].第十九次全國計算機安全學術(shù)交流會論文集[C].2004.

[2]羅華鈞，孫長軍.現(xiàn)代數(shù)據(jù)庫安全概述[A].2007通信理論與技術(shù)新發(fā)展——第十二屆全國青年通信學術(shù)會議論文集（上冊）[C].2007.

[3]李麗萍，楊寅春，何守才，蔣川群.數(shù)據(jù)庫安全中審計的設(shè)計與實現(xiàn)[A].第二十二屆中國數(shù)據(jù)庫學術(shù)會議論文集（技術(shù)報告篇）[C].2005.

[4]張剡，夏輝，柏文陽.數(shù)據(jù)庫安全模型的研究[A].第二十一屆中國數(shù)據(jù)庫學術(shù)會議論文集（技術(shù)報告篇）[C].2011.

作者簡介

李曉田（1972-），男，福建省南平市建陽區(qū)人。大學本科學歷。現(xiàn)為92403部隊51分隊高級工程師。研究方向為信息工程。

作者單位

92403部隊51分隊 福建省福州市 350007