數(shù)據(jù)庫系統(tǒng)安全性測試技術(shù)的應用

摘 要

研究數(shù)據(jù)庫系統(tǒng)安全性測試技術(shù)的目的在于了解不同技術(shù)的特點和應用對象。本文通過分析引發(fā)安全性問題的原因及測試技術(shù)適用范圍，闡釋了數(shù)據(jù)庫系統(tǒng)安全性測試中幾個核心技術(shù)的應用情況。

【關(guān)鍵詞】數(shù)據(jù)庫 系統(tǒng) 安全性測試 技術(shù)

信息時代的到來讓網(wǎng)絡與信息技術(shù)成為當下服務于各行業(yè)最為普遍、前沿的現(xiàn)代技術(shù)之一，在不斷提高勞動生產(chǎn)率、減輕大量人工勞動強度的同時，讓經(jīng)濟效益和社會效益出現(xiàn)了前所未有、幾何級增長的態(tài)勢。然而，當人類享受著計算機、信息技術(shù)等高科技帶來的各種便捷與利益的同時，也面臨著日漸增加的網(wǎng)絡與電腦遭受惡意攻擊、出現(xiàn)難以預料的安全性問題的煩擾。網(wǎng)絡與計算機技術(shù)便利和問題的并存充分證明了“科技是一柄‘雙刃劍”的說法，也讓越來越多業(yè)內(nèi)外人士認識到了加強數(shù)據(jù)庫系統(tǒng)安全性測試的重要性。

1 引發(fā)數(shù)據(jù)庫系統(tǒng)安全性問題的原因

當前引發(fā)數(shù)據(jù)庫系統(tǒng)安全性問題的主要原因概括起來主要有權(quán)限與帳戶管理不當?shù)膯栴}，身份認證管理不當?shù)膯栴}，數(shù)據(jù)庫日志審計方面的問題。

權(quán)限與帳戶管理不當產(chǎn)生的安全性問題主要是對高級權(quán)限或帳戶管理上的不當。尤其是對系統(tǒng)管理員的監(jiān)督管理缺乏應有的強度與頻率。由于系統(tǒng)管理員掌握著所有權(quán)限與帳戶的特殊性，其不僅有通過后門進入數(shù)據(jù)庫開展日常管理工作的現(xiàn)實性，也同時具有利用職務之便監(jiān)守自盜的風險性。

當前眾多數(shù)據(jù)庫都具有用戶身份認證的管理機制，只有用戶提供正確的帳號與密碼才能進入目標數(shù)據(jù)庫系統(tǒng)進行相應的操作。但這一機制卻對通過不法渠道獲取的帳號與密碼缺乏防范手段。

許多數(shù)據(jù)庫系統(tǒng)內(nèi)置了日志審計功能，也就是每出現(xiàn)一次系統(tǒng)數(shù)據(jù)變更（修改）或權(quán)限應用時，就會自動生成一條日志內(nèi)容被系統(tǒng)捕捉并記錄下來。然而當前這樣的日志記錄卻沒有對出現(xiàn)安全性問題進行實時監(jiān)控與即時報警的功能。也就是說，雖然數(shù)據(jù)庫系統(tǒng)能夠自行記錄下任何一條安全性問題，但若管理員沒有及時查閱，則同樣不能針對安全性問題采取措施進行處理或規(guī)避。

2 數(shù)據(jù)庫系統(tǒng)安全性測試范疇

數(shù)據(jù)庫系統(tǒng)安全性測試一般涉及到測試對象、潛在風險、方案設置等。所謂測試對象就是數(shù)據(jù)與系統(tǒng)功能。即那些需要得到安全保護的數(shù)據(jù)與系統(tǒng)功能都需要被陳列出來并衡量其對于合法用戶與非法用戶都有怎樣不同的價值，此外還應尋找非法利用測試對象的各類手段。

潛在風險是指潛藏的可能造成數(shù)據(jù)損毀、丟失或損害系統(tǒng)功能的事件，需要找到這些潛在風險并且將其分為自然風險、意外風險、人為風險三類。同時，需要對這些潛在風險的出現(xiàn)進行概率預計，并就這些風險一旦轉(zhuǎn)化為事實會造成的后果進行評估，再對其中程度最為嚴重的一部分進行重點關(guān)注。

方案設置是指對上面提到的潛在性風險進行的安全性方案的預設。特別是對其中人為風險進行重點安全性方案預設。與此同時，方案設置還包括對數(shù)據(jù)庫系統(tǒng)安全性進行策略性測試。此環(huán)節(jié)包括正向與反向兩大類。正向策略性測試是指從需要出發(fā)，將系統(tǒng)中設計、編碼過程中可能存在的安全隱患一一找尋出來并進行針對性測試；而反向策略測試則是從當前系統(tǒng)中已經(jīng)存在的漏洞與缺陷等出發(fā)，繼續(xù)找尋其他潛在的漏洞與缺陷。在根據(jù)既有和后續(xù)發(fā)展的漏洞與缺陷建立相應的問題模型并由模型推演找尋發(fā)現(xiàn)可能遭受惡意攻擊的端口或節(jié)點，繼而對這些端口或節(jié)點進行安全性掃描。

3 數(shù)據(jù)庫系統(tǒng)安全性測試中幾個核心技術(shù)的應用

3.1 掃描

數(shù)據(jù)庫系統(tǒng)安全性測試掃描技術(shù)主要針對的是數(shù)據(jù)庫系統(tǒng)安全性強度問題的核心技術(shù)。特點是便捷、迅速、較容易操作，對數(shù)據(jù)庫系統(tǒng)安全性測試具有一定的目標性，尤其是在認證用戶身份、系統(tǒng)權(quán)限設置、安全缺陷與系統(tǒng)完整性等方面進行掃描測試。其過程是事先設置一定的安全性測試方案，再根據(jù)既定方案對預期中的潛在系統(tǒng)缺陷進行逐一測試，根據(jù)測試結(jié)果描述漏洞或缺陷的詳情，再據(jù)此制定相應的解決措施。由此形成數(shù)據(jù)庫系統(tǒng)安全性測試報告，實現(xiàn)對數(shù)據(jù)庫安全的持續(xù)完善。這一核心技術(shù)具體內(nèi)容包括對數(shù)據(jù)的安全性掃描、對用戶權(quán)限設置的安全強度的掃描及對用戶身份認證安全強度的掃描等。

3.2 滲透

這一技術(shù)簡而言之類似于模擬外部入侵的試錯技術(shù)。也就是最大限度模仿“黑客”等非法入侵數(shù)據(jù)庫的對手的系統(tǒng)缺陷找尋手段與策略，通過主動對已方系統(tǒng)進行安全性測試發(fā)現(xiàn)其中潛藏的漏洞與問題所在。在信息與網(wǎng)絡的實踐應用中，數(shù)據(jù)庫具有多層使用的特性。因此在同一個網(wǎng)絡系統(tǒng)中，出于不同測試目的比如對象或階段的差異等，使用滲透進行安全性測試的具體內(nèi)容也不盡相同。比如既有對網(wǎng)絡或端口進行掃描的滲透測試技術(shù)；也有通過對密碼進行解密的破解滲透測試技術(shù)；還有“SQL”技術(shù)，也就是入侵者用自己設計的腳本滲透入目標數(shù)據(jù)庫系統(tǒng)所在服務器的CGI腳本中，由此實現(xiàn)對入侵指令的實施或者是取得目標數(shù)據(jù)的目的。此外緩沖溢出也是滲透技術(shù)中較常見的一種。是指利用遠程控制技術(shù)，在目標系統(tǒng)的緩沖區(qū)填充超過其預設容量的內(nèi)容引發(fā)數(shù)據(jù)溢出，導致系統(tǒng)放棄該指令而執(zhí)行入侵者的指令。

3.3 Fuzzing

此技術(shù)又稱為模糊處理技術(shù)，也叫“黑箱”測試技術(shù)。該技術(shù)主要特點是測試者對目標數(shù)據(jù)庫系統(tǒng)沒有任何事先了解，僅通過對目標系統(tǒng)注入錯誤數(shù)據(jù)的手法開展測試，通過系統(tǒng)對此注入行為的反應發(fā)現(xiàn)其中潛藏的缺陷或漏洞。該技術(shù)主要針對的是互聯(lián)網(wǎng)上最常用的協(xié)議如HTTP、FTP、SMTP、POP3等。而利用此技術(shù)能夠發(fā)現(xiàn)的缺陷漏洞可以涵蓋SQL、緩沖溢出、腳本攻擊、字符串格式化漏洞與泄露在內(nèi)的各類安全性缺陷問題。

4 結(jié)束語

數(shù)據(jù)庫系統(tǒng)安全性測試技術(shù)是隨著互聯(lián)網(wǎng)與計算機應用的普及和深入而伴隨出現(xiàn)并不斷提升的前沿技術(shù)。這一技術(shù)不僅在于維護數(shù)據(jù)與信息安全及使用人的切身利益，更有助于促進整個網(wǎng)絡與信息技術(shù)的不斷完善與進步。數(shù)據(jù)庫系統(tǒng)安全性測試技術(shù)的應用需要區(qū)分目標與對象的性質(zhì)差異，選擇最具針對性的內(nèi)容與形式開展測試，并在不斷提高技術(shù)適應性的基礎上實現(xiàn)系統(tǒng)安全性的進一步完善。

參考文獻

[1]白雪.試論Web應用系統(tǒng)的安全性測試技術(shù)[J].網(wǎng)絡安全技術(shù)與應用，2013（04）.

[2]張勇.基于規(guī)格說明的組件安全性測試技術(shù)研究和實現(xiàn)（碩士學位論文）[D].解放軍信息工程大學，2012（07）.

作者簡介

龐麗英（1986-），女，山西省朔州市人。碩士學歷?，F(xiàn)為中北大學朔州校區(qū)助教。研究方向為數(shù)據(jù)庫。

作者單位

中北大學朔州校區(qū) 山西省朔州市 036000