诌议Web数据库系统安全

1 数据库的安全问题

1.1 数据库系统的安全性

信息管理员 (DBA) 的一个重要责任是保证数据库的可靠性, 程序和过程在遇到机器故障、程序错误和人为错误是能够提供数据的可靠性。对于单用户和个人数据库来说, 没有这个要求。过程应能定期对数据库进行备份从而保证丢失的工作得以保存。

对多用户环境来说, 情况有些复杂。首先, 用户并发地处理数据库, 相互之间可能会有影响。此外, 故障发生的恢复也较复杂。简单的重新执行事务是不可取的, 这不仅是因为需要涉及手工工作的复制问题, 而且也因为再处理的结构可能与原来结构有所不同。如果这样, 在第一次处理时创建的结果与第二次处理的就不相同。

DBA为保证数据的安全可靠性所做的主要工作大致如下: (1) 创建用户和用户组并进行权限管理; (2) 制定备份或转储数据库; (3) 定期备份或转储数据库; (4) 发生故障时恢复数据库。

对数据库的攻击, 主要有直接攻击和间接攻击, 直接攻击比较好防备, 而间接攻击相对来说就困难多了, 一个数据库安全性的好坏主要体现早对间接攻击的防范策略上。可以采用有限制的响应封锁, 以及响应追踪等多种方法防范间接攻击, 有时为了某些数据的安全不得不拒绝服务或提供一些不准确的信息。

数据库安全问题主要集中在数据共享问题上。除了一般意义上的对数据资源的存取控制问题外, 数据库管理系统本身的可信度更是重要的问题, 同时数据库本身的可信度也直接关系到数据库的安全可靠。

1.1.1 数据库的完整性

一方面数据库管理系统要提供完整的约束条件来保证数据库中数据的正确性。另一方面, 由于数据库是资源共享, 必然存在并发操作, 而且可能会并发存取相同的数据。因此, 数据库管理系统应该能对并发事务加以控制, 保证数据的一致性, 相容性和数据库的完整性。

1.1.2 数据库的存取控制

保证数据库中数据的安全性, 主要依靠存取控制机制, 限制一些用户, 使其只能对数据库某些授权的子集进行存取或修改, 同时也限制非法用户对数据库的任何访问行动, 以免数据丢失或泄露。

1.1.3 备份服务器

在一些大型数据库 (VLDB) 中, 对数据及日志的有效存储和装载可以确保用户管理和操纵VLDB。备份服务器一般完成对数据的连接备份:联机备份、转储备份、异地转储。

1.1.4 安全服务器

对于安全性要求较多的行业, 安全服务器可以实现更强功能的安全管理: (1) 符合标准符合NCSC B1级和ITSEC/E3 (B1) 级安全标准。 (2) 强化服务器安全性安全性在服务器被加强, 从而消除在客户端加强的需要。 (3) 受损存取支持在同一数据库 (甚至在同一表) 内存储在许多不同安全级别上的数据的受控存取, 取消昂贵的数据冗余。 (4) 访问控制支持自主访问控制 (D A C) 和强制访问控制 (Mandatory Access Control:MAC) 的强制安全性。 (5) 审计和检测提供用户对综合审计进行追踪的管理能力。 (6) 多级授权描述支持多级和单级用户。 (7) 数据监听服务器。

数据库监听服务器补充RDBMS已有的安全功能, 使企业可控制不同层次的审计和注册安全性, 实现登录安全和多种层次的审计控制, 并支持用户有效性验证和与场地有关的加密计算法。

2 网络安全问题

要保证网络的安全, 必须要妥善解决两方面的问题:一是保护自己内部的网络免受外部的入侵;二是防止内部信息的泄密。防火墙是对付内、外部攻击主要屏障。最新的代理服务器或防火墙允许从机构内部向外部访问Internet上的资源, 而对于从Internet上对机构内部专用网络上的机构访问加以有效的控制。

2.1 防火墙技术

实现防火墙的技术有:数据包过滤、应用网关、代理服务: (1) 包过滤技术。在网络适当位置对数据包实施有选择的通过, 只有满足过滤逻辑的数据包才被转发, 否则被禁止。利用包过滤技术可以防止黑客利用不安全的服务对内部网络进行攻击。 (2) 应用网关技术。应用网关是建立在网络应用层上的协议过滤和转发技术, 针对特别的网络应用协议指定数据过滤逻辑, 并将数据分析结果采取措施, 进行登记和统计, 形成审计报告。应用网关不允许不同类型的通信流通, 而且对每个应用采取专用的限制。该方法对每种应用都提供了专门的用户程序和用户接口, 因此工作量大, 不灵活而且效率低, 但比较安全, 通常由一台专用计算机来实现, 是内外网络连接的桥梁。 (3) 代理服务技术。代理服务是设置在Internet防火墙网关的专用应用级编码。包过滤和应用网关技术仅仅依据特定的逻辑检查来决定是否允许特定的数据包通过, 一旦特定的网络数据流满足这一逻辑, 则防火墙内外的计算机网络建立直接联系, 因而保留了防火墙外部网络系统直接了解防火墙内部网络结构和运行状态的可能。

2.2 数据加密技术

加密技术用于网络安全通常有两种形式:一种是面向网络, 另一种是面向服务。

2.3 网络安全一体化安全解决方案

防火墙型系统比较适合相对独立、与外部网络互联途径有限并且网络服务种类相对集中单一的网络系统。常见的I nter net与Intranet的连接属于此类。但防火墙技术原理上对来自网络内部的安全威胁不具备防范作用, 并且常常需要有特殊的、相对较为复杂的网络拓扑结构来支持, 因而对网络安全功能的加强往往是以网络服务的灵活性、多样性和开发性为代价, 并且需要较大的网络管理开销。由于防火墙技术的实施相对简单, 因此是目前应用较广的网络安全技术。

以数据加密和用户确认为基础的开放型安全保障技术的特征是, 利用现代的数据加密技术来保护网络系统中包括用户数据在内的所有数据库, 只有指定的用户和网络设备才能对经过加密的数据进行解密。它不需要特殊的网络拓扑结构的支持, 实施代价主要体现在软件的开发和系统运行维护等方面, 在数据传输过程中不对所经过的网络路径的安全程度有所要求, 能真正实现网络通信过程中的端对端的安全保障。因而, 可以认为是一种比较好的网络安全问题一体化解决方案。

3 结语

安全系统总是在最薄弱环节遭到攻击, 所以一定要设计坚实的体系结构, 所有用户要坚持系统安全制度, 安全制度与系统体制结构相辅相成。用户是否具有安全意识是关系到系统安全性的一个很重要的因素。

摘要：随着计算机在各个领域的广泛应用, 数据库管理系统担负着集中处理大量信息的使命。数据在计算机系统中的集中存放和管理的主要问题, 除了功能和性能方面的技术问题, 最重要的问题就是数据库中数据的安全问题。如何提供充分的服务, 同时又保证关键的信息不会被泄露出去, 这是信息安全系统的任务, 也是数据库系统的主要任务之一。本文笔者对Web数据库系统安全作出了相关的探讨。

关键词：Web数据库,安全问题,网络安全,措置