论文部分内容阅读
摘要:网络数据库在电子商务、电子政务等领域的应用日新月异。然而,如何保证开放网络环境中网络信息系统的安全一直是一个严重而又关键的问题,作为其核心的网络数据库的安全性涉及网络信息管理系统各个方面的全局性问题,是保证整个信息管理系统安全的关键。网络数据库的安全性问题已成为大型网络信息系统建设的一个十分重要的问题。本文论述了网络环境下数据库所面临的安全威胁,分析了提高网络数据库安全性的解决办法。
关键词:网络数据库;数据库安全;安全机制
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2010) 13-0000-01
The Security and Preventive Measures of Database under Network Environment
Cui Zhuoxiong
(Qianjiang College,Hangzhou Normal University,Hangzhou310012,China)
Abstract:The network database in electronic commerce,electronic government,and other fields with each passing day.However,how to ensure an open network environment,network information system security has been a serious and critical issue,as the core of the network security of the database related to all aspects of network information management system,global issues,to ensure that the information management system security.Web database security has become a large network information system,a very important issue.This article discusses the network environment security threats faced by the database,analyzes the database to improve network security solutions.
Keywords:Network database;Database security;Security
隨着网络化开放环境的发展,B/S模式的网络应用越来越多,数据库安全问题也日渐突出。根据我国GB17859—1999《计算机信息系统安全保护等级划分准则》中的描述:数据库安全就是保证数据库信息的保密性、完整性、一致性和可用性。本文介绍网络数据库所面临的典型威胁,然后从网络和操作系统防护、数据库注入防范等方面进行了分析。
一、网络数据库安全机制
B/S模式和C/S模式是两种典型的网络数据库模式。C/S模式采用“客户机-应用服务器-数据库服务器”三层结构,B/S模式采用“浏览器-Web服务器-数据库服务器”三层结构。两种模式在结构上存在很多共同点:均涉及到网络、系统软件和应用软件。为了使整个安全机制概念清晰,针对两种模式的特点和共性,得到网络数据库系统安全机制分层结构模型。
二、数据库安全技术
(一)数据加密
数据加密是防止数据泄漏的有效手段。数据加密是就是将明文数据经过一定的交换变成密文数据。与传统的数据加密技术相比较,数据库有其自身的要求和特点传统的加密以报文为单位,加、脱密都是从头至尾顺序进行。大型数据库管理系统的运行平台一般是Windows NT和Unix,这些操作系统的安全级别通常为C1、C2级。它们具有用户注册、识别用户、任意存取控制(DAC)、审计等安全功能。虽然DBMS在OS的基础上增加了不少安全措施,例如基于权限的访问控制等,但OS和DBMS对数据库文件本身仍然缺乏有效的保护措施,有经验的网上黑客会“绕道而行”,直接利用OS工具窃取或篡改数据库文件内容。这种隐患被称为通向DBMS的“隐秘通道”它所带来的危害一般数据库用户难以觉察。分析和堵塞“隐秘通道”被认为是B2级的安全技术措施。对数据库中的敏感数据进行加密处理,是堵塞这一“隐秘通道”的有效手段。
(二)访问控制技术
对于数据库来说,访问用户按权限大致可分为:最终用户、数据库系统管理员、数据库管理员、超级用户。一般的数据库操作人员为最终用户,最终用户只拥有最少的访问权限,只能进行读取或部分写,没有完全写库信息的权限。至于超级用户,可以进入内核层修改库内容、建立或删除数据库以及维护数据库运行等。对于大型网络数据库,可以增设访问数据对象不同权限,以“组”或“角色”形式赋予更多的访问权限。明确不同用户的访问要求,按访问需求合理分配权限,限制访问级别,是确保访问数据安全的基本途径。
(三)操作审计
对数据库系统的操作审计就是记录、检查和回顾对系统进行所有相关操作的行为。审计的主要任务是对用户及应用程序使用系统资源包括软硬件或数据的情况进行记录和审查,一时出现问题,审计人员可以通过审计跟踪,找出问题原因,追查相关责任人,防止问题再度发生审计过程不可绕过,审计记录也应该得到保护且不能轻易更改。审计记录要想有效地起作用,就保证审计记录的粒度和数。审计作为保证数据库安全的补救措施,可以提高系统的抗否认能力。
三、数据库安全技术的发展趋势
(一)加密算法越来越复杂化
非对称密码技术就是针对对称密码体制的缺陷被提出来的。在公钥加密系统中,加密和解密是相对独立的,加密和解密会使用两“把”不同的密钥,加密密钥(公开密钥)向公众公开,解密密钥(秘密密钥)只有解密人自己知道,非法使用者根据公开的加密密钥无法推算出解密密钥,故也称为公钥密码体制。现在密码研究的重点是对已有的各种密码算法从设计和分析两个角度上进一步深入发展,完善和改进算法的安全性、易用性。传统密码将会在安全性、使用代价、算法实现上有进一步发展。
(二)防火墙技术
应用专用集成电路(ASIC)、FPGA特别是网络处理器(NP)将成为高速防火墙设计的主要方法,除了提高速度外,功能多样化和安全也是防火墙发展的一个趋势。防火墙将与入侵检测技术、攻击防御技术以及VPN技术融合;防火墙的另一个发展趋势是与多个安全产品实现集成化管理和联动,达到立体防御的效果。
四、结语
网络数据库的安全是一个系统性、综合性的问题。综上所述,网络数据库的安全防范是多层次、大范围的,随着计算机技术的发展和数据库技术应用范围的扩大,数据库安全必须走立体式发展道路。因此,在进行系统设计时不能将它孤立考虑,只有结合实际层层防设,这个问题才能得到有效解决。安全防范是一个永久性的问题,只有通过不断地改进和完善安全手段,才能提高系统的可靠性。
参考文献:
[1]宋志敏,南相浩.数据库安全的研究与进展.计算机工程与应用,2009
[2]张元全.数据文件的加密技术.现代计算机.期现代计算机,2007,8
[3]张建军.浅析数据库管理系统加密技术及其应用[J].甘肃高师学报,2008
关键词:网络数据库;数据库安全;安全机制
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2010) 13-0000-01
The Security and Preventive Measures of Database under Network Environment
Cui Zhuoxiong
(Qianjiang College,Hangzhou Normal University,Hangzhou310012,China)
Abstract:The network database in electronic commerce,electronic government,and other fields with each passing day.However,how to ensure an open network environment,network information system security has been a serious and critical issue,as the core of the network security of the database related to all aspects of network information management system,global issues,to ensure that the information management system security.Web database security has become a large network information system,a very important issue.This article discusses the network environment security threats faced by the database,analyzes the database to improve network security solutions.
Keywords:Network database;Database security;Security
隨着网络化开放环境的发展,B/S模式的网络应用越来越多,数据库安全问题也日渐突出。根据我国GB17859—1999《计算机信息系统安全保护等级划分准则》中的描述:数据库安全就是保证数据库信息的保密性、完整性、一致性和可用性。本文介绍网络数据库所面临的典型威胁,然后从网络和操作系统防护、数据库注入防范等方面进行了分析。
一、网络数据库安全机制
B/S模式和C/S模式是两种典型的网络数据库模式。C/S模式采用“客户机-应用服务器-数据库服务器”三层结构,B/S模式采用“浏览器-Web服务器-数据库服务器”三层结构。两种模式在结构上存在很多共同点:均涉及到网络、系统软件和应用软件。为了使整个安全机制概念清晰,针对两种模式的特点和共性,得到网络数据库系统安全机制分层结构模型。
二、数据库安全技术
(一)数据加密
数据加密是防止数据泄漏的有效手段。数据加密是就是将明文数据经过一定的交换变成密文数据。与传统的数据加密技术相比较,数据库有其自身的要求和特点传统的加密以报文为单位,加、脱密都是从头至尾顺序进行。大型数据库管理系统的运行平台一般是Windows NT和Unix,这些操作系统的安全级别通常为C1、C2级。它们具有用户注册、识别用户、任意存取控制(DAC)、审计等安全功能。虽然DBMS在OS的基础上增加了不少安全措施,例如基于权限的访问控制等,但OS和DBMS对数据库文件本身仍然缺乏有效的保护措施,有经验的网上黑客会“绕道而行”,直接利用OS工具窃取或篡改数据库文件内容。这种隐患被称为通向DBMS的“隐秘通道”它所带来的危害一般数据库用户难以觉察。分析和堵塞“隐秘通道”被认为是B2级的安全技术措施。对数据库中的敏感数据进行加密处理,是堵塞这一“隐秘通道”的有效手段。
(二)访问控制技术
对于数据库来说,访问用户按权限大致可分为:最终用户、数据库系统管理员、数据库管理员、超级用户。一般的数据库操作人员为最终用户,最终用户只拥有最少的访问权限,只能进行读取或部分写,没有完全写库信息的权限。至于超级用户,可以进入内核层修改库内容、建立或删除数据库以及维护数据库运行等。对于大型网络数据库,可以增设访问数据对象不同权限,以“组”或“角色”形式赋予更多的访问权限。明确不同用户的访问要求,按访问需求合理分配权限,限制访问级别,是确保访问数据安全的基本途径。
(三)操作审计
对数据库系统的操作审计就是记录、检查和回顾对系统进行所有相关操作的行为。审计的主要任务是对用户及应用程序使用系统资源包括软硬件或数据的情况进行记录和审查,一时出现问题,审计人员可以通过审计跟踪,找出问题原因,追查相关责任人,防止问题再度发生审计过程不可绕过,审计记录也应该得到保护且不能轻易更改。审计记录要想有效地起作用,就保证审计记录的粒度和数。审计作为保证数据库安全的补救措施,可以提高系统的抗否认能力。
三、数据库安全技术的发展趋势
(一)加密算法越来越复杂化
非对称密码技术就是针对对称密码体制的缺陷被提出来的。在公钥加密系统中,加密和解密是相对独立的,加密和解密会使用两“把”不同的密钥,加密密钥(公开密钥)向公众公开,解密密钥(秘密密钥)只有解密人自己知道,非法使用者根据公开的加密密钥无法推算出解密密钥,故也称为公钥密码体制。现在密码研究的重点是对已有的各种密码算法从设计和分析两个角度上进一步深入发展,完善和改进算法的安全性、易用性。传统密码将会在安全性、使用代价、算法实现上有进一步发展。
(二)防火墙技术
应用专用集成电路(ASIC)、FPGA特别是网络处理器(NP)将成为高速防火墙设计的主要方法,除了提高速度外,功能多样化和安全也是防火墙发展的一个趋势。防火墙将与入侵检测技术、攻击防御技术以及VPN技术融合;防火墙的另一个发展趋势是与多个安全产品实现集成化管理和联动,达到立体防御的效果。
四、结语
网络数据库的安全是一个系统性、综合性的问题。综上所述,网络数据库的安全防范是多层次、大范围的,随着计算机技术的发展和数据库技术应用范围的扩大,数据库安全必须走立体式发展道路。因此,在进行系统设计时不能将它孤立考虑,只有结合实际层层防设,这个问题才能得到有效解决。安全防范是一个永久性的问题,只有通过不断地改进和完善安全手段,才能提高系统的可靠性。
参考文献:
[1]宋志敏,南相浩.数据库安全的研究与进展.计算机工程与应用,2009
[2]张元全.数据文件的加密技术.现代计算机.期现代计算机,2007,8
[3]张建军.浅析数据库管理系统加密技术及其应用[J].甘肃高师学报,2008