數據庫安全技術措施淺析

徐愛蕓

摘 要：隨著科技的不斷進步，計算機應用的深入和普及，數據庫系統的應用為人們的生活提供了極大的便利，隨之也伴隨著很大的信息安全隱患，尤其是數據庫的安全性問題顯得異常突出：數據泄密、數據被更改、數據庫遭到嚴重破壞。數據庫的安全管理和日常維護，是數據庫管理員需要重點關注的問題。該文闡述了數據庫當前面臨的主要安全問題，管理的現狀，如何加強數據庫安全管理的措施。

關鍵詞：數據庫;安全隱患;技術;安全措施

1 前言

數據庫系統因具有數據的共享性高、冗余度低、較高的數據獨立性、整體結構化等特點而得到廣泛的應用，傳統數據庫應用中的很大一部分用于商務領域，如銀行、證券、醫院、公司等，重要的領域如政府部門、國防軍工領域、高科技研究領域等，都需要使用數據庫來存儲數據信息。現代數據庫系統如多媒體數據庫、移動數據庫、聯機事務處理系統、空間數據庫系統等，這些系統都要用DB作為信息的存儲體，承擔存儲信息和管理信息的重任。數據庫的存儲量大，點擊率高，極易遭到不良黑客的攻擊和破壞，使國家和人民的財產遭受損失。為了減少或避免因數據庫安全性差從而造成國家、企業和個人遭受損失，就要確保數據庫安全。所謂數據庫的安全性是指保護數據庫以防止非法用戶的越權使用、竊取、更改或破壞數據庫。數據庫安全涉及到很多層面，為確保整個應用系統穩定可靠運行，需要進一步加強對數據庫安全的保護，增強我們自身的防護意識，做好相應的技術應對。

2 數據庫存在的安全隱患

人們對數據庫安全的重視不夠，沒有對數據庫系統采取有效的安全防范措施，制定的安全策略不全面，使數據庫的安全性能沒有得到體現，使數據庫長期處于不穩定、不安全的狀態;計算機電腦病毒種類繁多，對數據庫中的數據假冒攻擊、迂回攻擊、重發攻擊、越權攻擊等非法入侵數據庫，惡意篡改數據庫中的數據;用戶對特定數據庫目標操作的許可和訪問對象沒有明確步驟規定，用戶被賦予過多的超出其所需的權限，用戶非法訪問數據庫，出現了數據泄密和數據丟失的現象;軟件的漏洞，讓黑客有機可乘篡改數據庫中的數據，通過竊取、刪除數據來獲得利益，造成企業利益重大損失，嚴重的導致企業破產。

3 安全技術措施

首先數據庫系統要建立安全模型，實行多級安全機制;其次制定安全控制策略，實施最小權限原則;合理選擇審計機制，實行事后追蹤;對高度機密的數據進行加密存儲;建立常規的數據庫的備份和恢復機制，定期備份重要的數據，以防不測。

3.1 用戶認證進行身份鑒別

這是系統提供的最外層安全保護措施，用戶在進入數據庫系統之前，系統根據用戶提供的用戶標識和密碼進行鑒定，驗證用戶身份，只允許合法用戶進入系統，防止未經授權的人訪問數據庫。這種安全特性有安全驗證和密碼加密、審計、密碼過期、最短密碼長度，以及在多次登錄請求無效后鎖定賬號。隨著科技的發展，近年一些更加有效的身份驗證技術迅速發展起來，如智能卡技術、物理特征（指紋、虹膜等）認證技術，這些高強度的身份驗證技術日益成熟，為更高的安全強度要求打下了堅實的理論基礎。

3.2 存取管理控制

數據庫的重要特點是共享，可以供多個用戶和各種應用程序所共享，但是各類用戶的訪問權限是不一樣的。存取控制是對合法用戶進入系統后對數據的訪問權限的控制，有兩種方法進行訪問控制，一是按功能模塊對用戶授權，每個功能模塊對不同用戶設置不同權限，有無權進入本模塊、僅可查詢、可更新可查詢、全部功能可使用四種權限;二是自主訪問控制DAC，針對不同的用戶進行不同的權限分配，確保各類用戶按擁有的權限對數據進行操作。數據庫的用戶分為超級用戶、數據庫管理員、最終用戶，超級用戶權限最高，可以進入數據核心區域，進行刪除、改寫、管理和維護數據庫;管理員按照最小權限原則對訪問數據的用戶分發權限，僅賦予用戶完成工作所需的最小權限，并進行鑒別;最終用戶一般只能讀取數據，不能對數據進行更新操作。它是數據庫安全系統中的核心技術，也是最有效的安全手段，DBMS主要是基于角色的訪問控制RBAC。

3.3 推理控制

對于合法用戶可能會通過一些數學和編寫程序的方法得到他無權訪問的數據，如用戶可以通過合法的查詢得到的數據，經過計算進行推理分析得出其它要保密的數據;通過編程繞過DBMS及其授權機制修改數據庫中敏感保密的數據，這是DBMS的一個缺陷。這種情況可以對數據進行擾動處理，對特別要保護的數據先進行數學運算，再存儲;還可以限制數據的計算精度，這樣即使有人對數據進行了計算分析，由于精度不夠，計算出的數據就有誤差，也難于判斷出原始數據。

3.4 建立審計機制

審計機制是把用戶對數據庫的所有操作進行監控和記錄，DBA可以根據審計日志還原導致數據庫出現狀況的一系列操作，并找出非法存取數據的用戶、時間、操作內容，這就是審計機制。為保證數據庫系統的安全審計功能，還可以布置系統自動報警功能，當系統檢測到有危害到系統安全的事件發生并達到預定的閾值時，對安全侵害事件做出自動響應，同時自動斷開用戶的連接，終止服務，并阻止該用戶再次登錄系統。

3.5 數據加密

如果數據庫中存儲的是非常重要、不允許泄露的機密數據，如財務數據、國防軍事數據、國家統計數據等，則最后的防范就是采用數據加密技術，將絕密數據（稱為明文）通過算法和密鑰，轉換為一種難于直接辨認的密文，數據庫存儲密文。在需要數據時將密文取出，通過逆運算將密文轉換成可識別的明文。數據庫加密系統能夠有效地保證數據的安全，即使黑客竊取了關鍵數據，他仍然難以得到所需的信息。另外，數據庫加密以后，不需要了解數據內容的系統管理員不能見到明文，大大提高了關鍵數據的安全性。另外還應該對數據進行加密存檔，對存檔數據的訪問和使用情況進行嚴格監視，以減少內部人威脅。

3.6 數據備份與恢復

盡管在數據庫系統中采取了各種措施保證數據庫中數據的安全性和完整性，但數據庫系統在運行時仍可能遇到故障，如各類硬故障和軟故障，造成系統出現錯誤，終止系統的運行，使數據庫中的數據部分或全部丟失。因此數據庫的備份與恢復為防止重要數據的丟失或損壞提供了最直接簡單的措施。單位必須建立一套完整的數據庫備份制度，定期進行數據庫的完整備份和差異備份，日志文件的備份，異地備份。當系統發生故障時，DBA就能利用已有的數據備份，把數據庫恢復到某個一致性狀態，從而保障系統能很快恢復運行。

3.7 提升信息安全等級

我國為推動國產數據庫安全產品產業化，已建立信息安全等級保護制度，出臺了配套的標準和措施，以提升自主研發和生產的數據庫安全產品和服務的水平。具有自主知識產權的云數據安全管理技術快速成長，為我國戰略安全保駕護航。

4 結束語

數據庫安全是一個永恒的問題，涉及的數據和程序繁瑣而又復雜，不斷有新的挑戰，如何系統性、綜合性的解決數據庫的安全問題任重而道遠。只有不斷探索，研發新的數據庫保護技術，給系統的數據庫安全提供堅強的保障。

參考文獻

[1]李翼，孟莉.Oracle數據庫安全管理淺析[J].網絡安全技術與應用，2017（09）.

[2]薛玉芳，李潔瓊，李亞軍.數據庫安全與防護性的技術研究[J].中國新技術新產品，2011（03）.

[3]劉啟原，劉怡.數據庫與信息系統的安全[M].科學出版社，2000.