網絡數據庫安全防衛體系探析

魯翠柳

（鹽城機電高等職業技術學校，江蘇 鹽城 224005）

隨著現代信息技術的高度發展，整個社會數據呈幾何級數增長。伴隨著大數據時代的到來，大數據時代龐大的數據資源導致了各個領域的定量化進程，決策將越來越多地基于數據和分析，那么數據的安全性也越發重要。存有海量信息的數據庫安全機制主要側重預防和控制，從應用外部環境到數據庫文件本身，形成多角度、多方位、多層次的數據庫安全保障體系。

1 計算機網絡數據庫的安全威脅形式

1.1 結構化查詢語言的輸入

網絡中計算機和互聯網設備基于防火墻技術與網絡數據庫服務器相連，因為關閉了特定端口，無法實現非法訪問。但這個端口就成了黑客們入侵的主要目標，而最常用的模式就是結構化查詢語言的輸入。在程序編寫和運行過程中，程序編譯階段、對用戶輸入參數的驗證過程及程序自身的漏洞等，都對計算機系統安全運行有潛在威脅。

1.2 病毒感染

計算機系統之間的數據交換將隨著大數據技術和產業的發展愈加頻繁，這給我們的生活帶來便利，同時也增加了計算機病毒相互感染的可能性。根據網絡數據庫數據的使用情況來看，病毒嚴重影響數據庫的安全性，已感染病毒的信息來源交叉傳播和感染，錯誤的操作程序，編譯人員人工植入，這些都增加了病毒的傳播和感染。已感染病毒一旦大量爆發會影響計算機系統的使用，并具有很強的破壞力。

1.3 賬戶權限的脆弱性

計算機網絡數據庫使用者安全意識薄弱，忽略了計算機安全性，設置簡單的計算機用戶賬號和密碼，未對賬號和密碼等信息做好保密工作，監控密碼不符合特定需求的數據字典。此外，在計算機網絡數據庫的管理中缺乏專業的安全管理人員，致使計算機安全管理系統得不到全面的維護和調試，這些方面對網絡數據庫的安全造成了威脅。

2 網絡數據庫3層安全防衛體系

2.1 網絡系統安全防衛

網絡數據庫應用的外部環境與基礎是網絡，安全的網絡環境是網絡數據庫安全的基石。

2.1.1 合理分配網絡資源

保障網絡數據庫服務器安全、高效運行的前提是合理分配網絡資源。網絡資源在網絡管理程序的統一管理、集中調度和合理分配下，以保證網絡和設備在一定范圍內能夠可靠、高效地運行，網絡資源處于良好的運行狀態，從而保障數據庫服務器安全、高效地運行。

2.1.2 構筑防火墻

構筑防火墻是數據庫安全的第一道防線。防火墻位于內網與外網之間，內網流入流出的所有信息均要經過防火墻。防火墻對流經它的IP數據報進行掃描，檢查其IP地址和端口號，確保進入內網和流出內網的信息的合法性。防火墻還能阻擋來自外部的非法訪問，防止內部信息的外泄，濾掉黑客的攻擊，關閉不使用的端口，形成內部和外部網絡之間的屏障，達到保護網絡數據庫信息安全的目的。但防火墻是被動的，不能防范從網絡內部發起的攻擊，黑客利用系統缺陷和漏洞，竊取賬號、密碼，非法訪問，傳播病毒等形式危害網絡數據庫安全[1]。

2.1.3 使用入侵檢測技術

入侵檢測技術（Intrusion Detection System，IDS）是一種主動保護系統免受攻擊的網絡安全防范技術。入侵檢測技術是綜合運用網絡通信、統計、規則方法等技術，通過在網絡若干關鍵點上監聽和收集信息并對其進行分析，從中發現網絡系統中是否有違反安全策略的行為和被攻擊的跡象，及時進行報警、阻斷和審計跟蹤。IDS基于統一的規范，在入侵監控組件之間自動交換信息，通過信息交換有效地監控入侵，可以應用于不同的網絡環境[2]。

2.2 服務器操作系統的安全防衛

服務器操作系統的安全是網絡數據庫安全的重要保障。高性能、高可靠性和高安全性是服務器上的操作系統必備要素。服務器操作系統中可能存在的不安全因素：（1）操作系統本身存在不穩定或不安全的因素。（2）操作系統本身的安全配置。（3）對操作系統本身的病毒或木馬威脅。為了更加安全地進行系統操作，需要按照以下機制進行改進。

2.2.1 在使用安全性的操作系統的基礎上，對安全策略進行全面安全配置

例如，密碼策略、賬戶鎖定策略、系統監控、審核策略、IP安全策略、用戶權限分配等安全選項，用戶信息或重要文檔的訪問限制。安全策略的配置可以防止信息安全事故的影響降為最小，保證業務的持續性，保護組織的資源。

2.2.2 選擇安全文件系統

例如，新技術文件系統（New Technology File System，NTFS）是最合適的SQL Server數據庫文件系統。NFTS比文件配置表（File Allocation Table，FAT）的系統更加穩定，更安全的文件保障，提供文件加密，可以設置單個文件和文件夾權限，能夠大大提高數據的安全性。

2.2.3 及時更新補丁和防病毒軟件

軟件漏洞已經成為信息安全事件主要原因之一。針對軟件漏洞帶來的危害，及時安裝補丁程序，是最有效、最經濟的防范措施，也是改善安全環境的有效途徑。及時更新防病毒軟件，使病毒庫處于最新狀態，可以協助保護計算機系統免受病毒的攻擊，降低計算機系統遭受的安全威脅。

2.3 數據庫管理系統安全防衛

當前兩個層次防衛被破壞時，仍然可以保證數據庫數據的安全性，這就要求數據庫管理系統本身必須具有強大的安全機制。針對以文件形式存儲的數據庫系統，入侵者一般采用竊取和篡改兩種方式，竊取數據庫文件是利用操作系統漏洞，非法偽造，篡改數據庫文件內容是使用操作系統工具。用戶難以察覺這些針對數據庫非法操作，分析和攔截這種漏洞被認為是B2級安全技術措施。數據庫管理系統采取分級安全策略來解決這個問題[3]。

很多數據庫管理系統為提高數據庫系統的安全性，綜合利用完備的數據庫安全技術，成交顯著。

2.3.1 利用身份認證和訪問控制技術

身份認證是安全系統的第一級。訪問控制和審計系統依賴于身份驗證系統提供的信息和用戶的身份。身份驗證是在系統中驗證請求服務的人或應用程序標識的過程，目的是為了防止假冒和欺詐?；镜恼J證技術包括數字簽名、消息認證和簡單身份認證。

訪問控制是保證網絡數據庫安全的主要途徑。訪問控制是控制用戶訪問數據庫中各種資源的權限的過程。訪問控制是對未授權使用資源的防御措施。訪問控制機制決定并實現實體的訪問權限，拒絕使用未經授權的資源或以非法方式使用未經授權的資源。例如根據應用系統的特點，可以在實際應用中建立幾個核心用戶。在相應的核心用戶中建立數據庫對象，如表、視圖、存儲過程、觸發器等。根據使用數據庫系統的用戶特點，建立多種層次的角色。創建擁有數據庫對象權限及系統權限的核心用戶角色，創建僅具有連接權限的通用用戶默認角色[4]。在用戶與數據庫連接時段，將其他角色屏蔽，只有該角色有效；其后根據用戶的需要，在應用程序中設置其他角色有效。

2.3.2 利用視圖對數據庫系統的安全性進行維護

視圖是通過對表的某一行或者某一列進行訪問，保障數據的安全性。視圖是一個或者多個表中的行和列組成一個子集。在保護視圖信息的前提下，要給用戶授予操作視圖權限，以保護基礎表不被操作和修改。由于不同的操作用戶被授予不同的數據庫使用權限，當用戶在訪問數據庫時，應用程序對視圖的角色進行檢查，由此來決定用戶的訪問權限。某個用戶在執行任務時，只能看到自身權限下的數據庫內容，其他的數據庫信息是隱藏的。用戶也可以將自己的權限授予其他用戶，同時也可以回收。根據視圖角色關系的變化實現授權或恢復用戶，與系統的應用程序無關。因此，用戶密碼不需要修改。

2.3.3 利用數據庫備份與恢復技術

同步時實的數據庫備份是數據庫防范災難的一種強力手段。當數據庫系統發生故障時，管理員可以通過數據庫備份快速、低價地恢復到原始狀態數據庫，以保持數據的完整性和一致性，提高系統的可用性和災難可恢復性。

數據庫恢復可以通過磁盤鏡像、數據庫備份文件和數據庫聯機日志完成。

2.3.4 利用數據庫安全審計技術

審計是指監視和記錄用戶在數據庫上執行的各種操作的機制。數據庫系統利用審計技術，可將數據庫的所有行為自動記錄在審計日志中，使數據庫系統根據信息的審計線索，再現、查找、分析導致當前數據庫狀況的事件，快速查明數據的非法訪問、時間和內容，進而追查相關責任。同時審計也有助于發現系統的安全弱點和漏洞，提高系統的安全性[5]。例如SQL Server數據庫，監控SQL Server連接是非常有效的，可以分析出其使用的企圖。

2.3.5 利用數據加密技術

數據加密是其他諸多安全措施的基礎。在網絡通信被竊聽的情況下，仍然能保證網絡數據庫數據的安全，必須對數據加密。除了依靠外部環境和數據庫系統提供的安全技術外，需要對數據庫中存儲的重要信息或數據進行加密，從而實現數據的安全存儲。

3 結語

網絡數據庫具有擴大數據資源共享范圍、易于分布式處理、便于傳輸交流、降低了系統的使用費用等優點，越來越受到人們的重視。網絡數據庫用戶只有重視數據庫安全，才能夠給整個數據庫系統提供全方位的安全保障。數據庫中的數據只有得到安全防護，才能更好更穩定地為廣大用戶而服務。本文結合分析了網絡數據庫面臨的安全威脅，給出三層安全防衛體系的解決方案，有助于提高網絡數據庫系統的安全性和安全管理水平。

[參考文獻]

[1]朱天元.淺談計算機網絡數據庫的安全機制問題[J].數字技術與應用，2016（5）：48.

[2]孔小燕.基于計算機數據庫安全管理的分析與探討[J].電子世界，2014（4）：15.

[3]劉傳先，陳國棟.高校應用系統網絡安全策略與典型技術[J].電腦知識與技術，2012（7）：4592-4597.

[4]鄒呂新.計算機網絡安全及防范[J].電腦知識與技術，2011（25）：6129-6130.

[5]張廣才.試論構建計算機信息安全技術體系[J].計算機光盤軟件與應用，2012（18）：51.