數(shù)據(jù)庫系統(tǒng)的保護(hù)措施研究

摘 要 隨著信息化、網(wǎng)絡(luò)化水平的不斷提升，數(shù)據(jù)信息越來越受到安全威脅，信息泄露、信息篡改等信息安全問題屢見不鮮，從個(gè)人隱私到企業(yè)的商業(yè)秘密，甚至到政府國家的核心機(jī)密，都出現(xiàn)了不同程度的信息安全問題。由于目前大部分重要數(shù)據(jù)都是通過數(shù)據(jù)庫系統(tǒng)來存儲的，因此，數(shù)據(jù)庫安全保護(hù)尤其重要，如何保護(hù)數(shù)據(jù)庫體統(tǒng)的安全，有效防范信息泄漏和篡改，成為一個(gè)重要的安全保障目標(biāo)。本文研究了數(shù)據(jù)庫系統(tǒng)具體的安全保護(hù)措施。

關(guān)鍵詞 計(jì)算機(jī)；數(shù)據(jù)庫系統(tǒng)；數(shù)據(jù)安全；保護(hù)措施

中圖分類號 TP311 文獻(xiàn)標(biāo)識碼 A 文章編號 1673-9671-(2012)071-0125-01

近年來，隨著信息化、網(wǎng)絡(luò)化水平的不斷提升，數(shù)據(jù)信息越來越受到安全威脅，信息泄露、信息篡改等信息安全問題屢見不鮮，所有存在數(shù)據(jù)的地方，只要數(shù)據(jù)是有價(jià)值的，就存在風(fēng)險(xiǎn)，就有人會去想法子竊取、篡改、販賣，從中牟利。從個(gè)人隱私到企業(yè)的商業(yè)秘密，甚至到政府國家的核心機(jī)密，都出現(xiàn)了不同程度的信息安全問題。由于目前大部分重要數(shù)據(jù)都是通過數(shù)據(jù)庫系統(tǒng)來存儲的，因此，數(shù)據(jù)庫安全保護(hù)尤其重要，如何保護(hù)數(shù)據(jù)庫，有效防范信息泄漏和篡改成為一個(gè)重要的安全保障目標(biāo)。那么，如何才能更加有效地保護(hù)數(shù)據(jù)庫安全，防范信息泄漏和篡改呢？

1 加強(qiáng)對數(shù)據(jù)庫的訪問控制

訪問控制是允許或禁止訪問資源的過程?；诮巧脑L問控制是一種數(shù)據(jù)庫權(quán)限管理機(jī)制，它根據(jù)不同的職能崗位劃分角色，資源訪問權(quán)限被封裝在角色中，而用戶被賦予角色，通過角色來間接地訪問資源。在給角色或用戶授權(quán)時(shí)，必須遵循最小權(quán)限和特權(quán)分離的基本安全原則。明確數(shù)據(jù)庫管理和使用職責(zé)分工，最小化數(shù)據(jù)庫帳號使用權(quán)限，防止權(quán)利濫用。同時(shí)，要加強(qiáng)口令管理，使用高強(qiáng)度口令，刪除系統(tǒng)默認(rèn)帳號口令等。

2 建立嚴(yán)格的用戶認(rèn)證機(jī)制

數(shù)據(jù)庫安全機(jī)制是用于實(shí)現(xiàn)數(shù)據(jù)庫的各種安全策略的功能集合，正是由這些安全機(jī)制來實(shí)現(xiàn)安全模型，進(jìn)而實(shí)現(xiàn)保護(hù)數(shù)據(jù)庫系統(tǒng)安全的目標(biāo)?？诹钫J(rèn)證方式是鑒別數(shù)據(jù)庫系統(tǒng)用戶身份最基本的方式。實(shí)施嚴(yán)格的賬號和密碼管理機(jī)制，是實(shí)現(xiàn)數(shù)據(jù)庫系統(tǒng)安全的重點(diǎn)。

用戶標(biāo)識是指用戶向系統(tǒng)出示自己的身份證明，最簡單的方法是輸入用戶ID和密碼。標(biāo)識機(jī)制用于惟一標(biāo)志進(jìn)入系統(tǒng)的每個(gè)用戶的身份，因此必須保證標(biāo)識的惟一性。鑒別是指系統(tǒng)檢查驗(yàn)證用戶的身份證明，用于檢驗(yàn)用戶身份的合法性。標(biāo)識和鑒別功能保證了只有合法的用戶才能存取系統(tǒng)中的資源。由于數(shù)據(jù)庫用戶的安全等級是不同的，因此分配給他們的權(quán)限也是不一樣的，數(shù)據(jù)庫系統(tǒng)必須建立嚴(yán)格的用戶認(rèn)證機(jī)制。身份的標(biāo)識和鑒別是DBMS對訪問者授權(quán)的前提，并且通過審計(jì)機(jī)制使DBMS保留追究用戶行為責(zé)任的能力。功能完善的標(biāo)識與鑒別機(jī)制也是訪問控制機(jī)制有效實(shí)施的基礎(chǔ)，特別是在一個(gè)開放的多用戶系統(tǒng)的網(wǎng)絡(luò)環(huán)境中，識別與鑒別用戶是構(gòu)筑DBMS安全防線的第一個(gè)重要環(huán)節(jié)。

3 對重要數(shù)據(jù)信息進(jìn)行加密

數(shù)據(jù)加密是保證數(shù)據(jù)庫系統(tǒng)中數(shù)據(jù)保密性和完整性的有效手段。數(shù)據(jù)庫系統(tǒng)的加密措施是指對數(shù)據(jù)庫系統(tǒng)中的重要數(shù)據(jù)進(jìn)行加密處理，確保只有當(dāng)系統(tǒng)的合法用戶訪問有權(quán)限的數(shù)據(jù)時(shí)，系統(tǒng)才把相應(yīng)的數(shù)據(jù)進(jìn)行解密操作，否則，數(shù)據(jù)庫系統(tǒng)應(yīng)當(dāng)保持重要數(shù)據(jù)的加密狀態(tài)，以防止非法用戶利用竊取到的明文信息對系統(tǒng)進(jìn)行攻擊。要對數(shù)據(jù)庫及其核心業(yè)務(wù)系統(tǒng)進(jìn)行安全加固，保護(hù)在系統(tǒng)邊界部署防火墻、IDS/IPS、防病毒系統(tǒng)等，并及時(shí)地進(jìn)行系統(tǒng)補(bǔ)丁檢測，安全加固。

4 部署一套數(shù)據(jù)庫審計(jì)系統(tǒng)

對數(shù)據(jù)庫系統(tǒng)及其所在主機(jī)進(jìn)行實(shí)時(shí)安全監(jiān)控、事后操作審計(jì)，部署一套數(shù)據(jù)庫審計(jì)系統(tǒng)，這一點(diǎn)尤為重要，相當(dāng)于數(shù)據(jù)庫安全的最后一道防線。事實(shí)表明，現(xiàn)在的數(shù)據(jù)泄漏和篡改事件都是“內(nèi)部人員”作案為主，他們有合法的帳號口令，他們完全可以把自己偽裝成一個(gè)“合法”的內(nèi)部人員，堂而皇之的竊取數(shù)據(jù)庫信息，根本不用任何攻擊手段，防火墻、IDS/IPS之類的傳統(tǒng)安全系統(tǒng)根本發(fā)現(xiàn)不了。因此，對數(shù)據(jù)庫系統(tǒng)的使用進(jìn)行監(jiān)控和審計(jì)，最關(guān)鍵的就在于對內(nèi)部人員的違規(guī)和誤操作進(jìn)行監(jiān)控和審計(jì)。而這，正是數(shù)據(jù)庫審計(jì)系統(tǒng)的特長。

針對重要的數(shù)據(jù)庫及其業(yè)務(wù)系統(tǒng)，部署一套數(shù)據(jù)庫審計(jì)系統(tǒng)，可以達(dá)到以下目標(biāo)：1）數(shù)據(jù)操作實(shí)時(shí)監(jiān)控：對所有外部或者內(nèi)部用戶對數(shù)據(jù)庫和主機(jī)的各種操作行為、內(nèi)容，進(jìn)行實(shí)時(shí)監(jiān)控。2）高危操作即時(shí)阻斷：對于高危操作能夠?qū)崟r(shí)阻斷，干擾攻擊或者違規(guī)行為的執(zhí)行。3）安全預(yù)警：對于入侵和違規(guī)行為進(jìn)行及時(shí)預(yù)警和告警，并指導(dǎo)管理員進(jìn)行應(yīng)急響應(yīng)處理。4）事后調(diào)查取證：對于所有行為能夠進(jìn)行事后查詢、取證、調(diào)查分析，出具各種審計(jì)報(bào)表報(bào)告。5）責(zé)任認(rèn)定、事態(tài)評估：系統(tǒng)能夠記錄和定位誰、在什么時(shí)候、通過什么方式對數(shù)據(jù)庫進(jìn)行了什么操作，以及操作的結(jié)果和可能的危害程度。

5 保護(hù)訪問數(shù)據(jù)庫的進(jìn)出網(wǎng)絡(luò)通道

雖然防病毒軟件和防火墻提供了一定級別的安全防護(hù)，但并不能因此認(rèn)為網(wǎng)絡(luò)通信就是安全的。數(shù)據(jù)庫監(jiān)聽器作為連接數(shù)據(jù)庫服務(wù)端得網(wǎng)絡(luò)進(jìn)程，正經(jīng)受著巨大的攻擊風(fēng)險(xiǎn)。首要的任務(wù)，是對監(jiān)聽過程進(jìn)行密碼保護(hù)，而改變默認(rèn)端口也是確保數(shù)據(jù)庫監(jiān)聽器安全的一種好辦法。通過配置數(shù)據(jù)庫監(jiān)聽器，可以使其允許或不允許客戶IP地址的訪問。這也是保護(hù)數(shù)據(jù)庫不受非預(yù)期用戶訪問的簡單而有效的方法。

總之，數(shù)據(jù)庫系統(tǒng)安全防范是一個(gè)永久性的問題，只有通過不斷的改進(jìn)和完善安全手段，才能提高數(shù)據(jù)庫系統(tǒng)的可靠性，保證數(shù)據(jù)庫系統(tǒng)的正常運(yùn)行。

參考文獻(xiàn)

[1]顧樹華.搭建高可用Oracle數(shù)據(jù)庫系統(tǒng)[J].華南金融電腦，2005，11.

[2]譚國律.微機(jī)系統(tǒng)下應(yīng)用軟件中的數(shù)據(jù)安全[J].計(jì)算機(jī)應(yīng)用，2001，11.

[3]田麗麗.\"979\"對國內(nèi)數(shù)據(jù)庫系統(tǒng)提出新要求[N].中國圖書商報(bào)，2007.

[4]單德華，楊紅艷，孫鴻雁.大型數(shù)據(jù)存儲與管理系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].制造業(yè)自動化，2010，02.

[5]趙莉莉，王引斌.淺談數(shù)據(jù)庫系統(tǒng)的發(fā)展[A].山西省科技情報(bào)學(xué)會2004年學(xué)術(shù)年會論文集[C].2005.