計算機數據庫安全管理研究

姚浩立 李從初 許皓皓 寧波市氣象網絡與裝備保障中心

引言

21世紀是網絡時代，人們的日常生活離不開互聯網，企業的各項業務也逐漸向互聯網轉移，網絡數據庫對于企業發展的重要性日益增加，對網絡數據庫進行管理、監控的系統也逐漸網絡化，數據信息處理的開放性在不斷提高。在這種情況下，網絡數據庫的安全性對于企業的發展至關重要。

1 網絡數據庫安全機制

網絡數據庫是依托網絡平臺的數據信息整體，它的基礎是大量的數據和信息，前臺是對這些數據和信息進行訪問的程序等，數據和信息的查詢以及儲存可以通過瀏覽器來完成。網絡數據庫所包含的數據和信息比較完整，使得大量信息和數據的共享成為現實，并且訪問以及使用數據和信息的成本大大降低。

網絡數據庫有兩種模式：一種是B/S模式，另外一種則是C/S模式。它們結構比較相似，都是三層結構，并且第三層都是數據庫服務器，不同的是，B/S模式的前兩層分別為瀏覽器、Web服務器，而C/S模式的前兩層分別為客戶機和應用服務器。結合這兩種模式的應用結構可以分層構建網絡數據庫系統安全機制的模型，從而有效理解網絡系統安全機制的各個原理等。

2 各層安全機制詳述

2.1 網絡系統安全機制

非法分子入侵網絡數據庫系統首先要突破企業外部的網絡系統，對數據庫系統進行安全防護的第一道保障就是網絡系統。制造網絡系統漏洞、破壞網絡系統的信任性等都屬于對網絡系統的入侵。對于網絡系統進行安全防護的網絡技術各種各樣，其中最主要、最常用的是以下三種：

2.1.1 應用范圍最廣泛、最為人熟知的應當是防火墻技術，它也是防護網絡系統的第一道墻。它是根據網絡系統的信任性進行操作，對外部網絡進行監控，若有不信任網絡想要訪問內部網絡系統，防火墻可以在訪問通道處對不信任網絡進行攔截，有效的保護和內部系統信息。它的缺點就是防火墻的操作對象是外部網絡，若是在內部網絡進行非法操作，則防火墻無法發揮保護網絡系統安全的作用。

2.1.2 近幾年來針對越來越猖狂的非法入侵，科學家研發出了監控入侵的入侵檢測技術。對入侵進行檢測的想法是在1987年被提出的，入侵檢測有機結合了各種技術方法的技術，比如，密碼學、統計技術、人工智能等。它的作用是能夠有效的對系統進行監控，一旦發現有被入侵現象則會示警，采取相關措施。它的另一個作用就是可以監控網絡系統的使用情況，若發現被濫用也會觸發警報。入侵檢測現已成為針對入侵行為的標準方案，是現在網絡系統安全防護中不可或缺的一個重要部分。

2.1.3 網絡環境瞬息多變、十分復雜，獨立的入侵檢測系統在網絡環境不斷變化的情況下不能及時察覺入侵行為，并且對外部網絡入侵的反應需要時間，這都使得對網絡系統安全性的防護受到限制。因此，基于統一的標準之上，以入侵檢測為核心建立了協作式入侵檢測系統，協作式入侵檢測系統各部分之間相互聯系更加密切，信息傳遞更加快速和便捷，對于網絡系統的全方位、多角度的動態把控更加準確，能更好地對網絡系統進行防護。

2.2 服務器操作系統安全機制

網絡數據庫的運行借助于操作系統平臺，因此，操作系統對于網絡數據庫的安全防護也起到一定的作用。Windows NT以及Unix對于網絡系統所提供的安全性防護級別大多位于C1、C2級，兩者是常用的操作系統平臺。所采取的安全技術主要有以下幾個方面：

2.2.1 在配置本地計算機時，也應該考慮到其安全性能。操作系統安全策略可以在這里發揮作用。操作系統安全策略包括：密碼策略、IP安全策略、加密數據的恢復處理等各種安全選項。能夠從用戶網絡系統的各個方面來保障安全性。

2.2.2 操作系統需要相應的管理員來進行管理、監測。一般來說，管理員在管理系統、提升系統安全性時所采取的的策略是安全管理策略。管理員實施安全管理策略主要是把控服務器的安全，監測破壞性因素，同時合理分配客戶的權限問題，有效防止數據信息的泄露。安全管理策略實施細節各不相同，與操作系統平臺以及周圍的網絡環境密切相關，在管理時應該選擇科學高效的安全管理策略。

2.2.3 最后便是網絡數據庫的數據與信息的安全。它包括很多個方面：數據加密、數據恢復與備份、數據使用的安全性、數據獲取時的安全性等。與之相應的，可以應用的技術措施也有很多，比如VPN、SSL、Kerberos認證等。

2.3 數據庫管理系統安全集資

在對網絡數據庫系統進行操作時，數據與信息都是以文件的形式存在。這種方式的弊端就是非法入侵者可以破壞防護系統，或者找出系統的缺口，將儲存有信息的文件盜取[3]；也可以借助網絡工具對內部系統的數據庫里面的數據和信息進行篡改和以及偽造，最終都會造成網絡數據庫安全指數降低。這種入侵行為較為隱蔽，只能通過數據庫管理系統對這種缺口進行正確的分析并解決，因此，具備高效、有力的安全機制的數據庫管理系統對于數據的防護更加嚴密、監控更加嚴格、安全指數更高。

3 使用DBMS安全機制防范網絡攻擊

對網絡數據庫進行防護時需要結合多種不同的防范技術，根據它們各自的特點綜合使用，有效的提高網絡數據庫的安全性。

3.1 認證和授權

首先，認證這一步驟必不可少。當系統中有人或者應用程序對該服務進行請求時，認證程序可以驗證對方的身份，簡單的來說，這一步驟解決的問題是：“我是誰”；授權是第二步驟，在身份認證通過以后，內部系統允許用戶在系統內部進行訪問的行為。相應的，這一過程解決的問題是：“我可以干什么”。在這兩個環節中，用戶鑒別、數據庫的存取等技術會得到應用。

3.2 備份與恢復

當網絡數據庫系統突然發生故障時，根據之前對數據庫進行的備份，管理員能夠很容易地將系統數據還原，備份可以避免數據和信息的丟失，對于數據庫系統的完整性、準確性有著重要的作用[4]。備份數據庫的方法有很多，最常用的是以下幾種：邏輯備份、動態備份以及靜態備份等。之后可以通過數據庫在線日志以及數據庫備份文件等來進行數據庫的數據與信息的恢復。

3.3 審計

審計是對客戶行為進行監控的過程，通過審計日志記錄客戶在數據庫系統內部的所有操作。如此一來，若是數據庫系統出現問題，數據庫管理系統可以根據審計日志，查出導致故障的違規操作，并找出對數據庫進行非法操作的客戶、相對應的時間、地點等信息。審計的另外一個重要功能就是有利于數據庫管理系統對數據庫的防護系統進行排查，有助于缺口等問題的發現，提高了網絡數據庫的安全性。

4 結束語

互聯網的不斷進步，標志著信息交互越來越頻繁，而網絡數據庫安全與否也直接關系到個人、企業、社會等的安全和發展。入侵技術也在不斷的發展，網絡數據庫時刻面臨著被破壞的情況，只有不斷的改進安全防護技術，不斷進行創新，才能時刻有效的對網絡數據庫進行安全防護。