基于SSL加密的微博數(shù)據(jù)庫(kù)安全的研究

周冰　劉芳

摘要：隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，微博給網(wǎng)民帶來(lái)了信息傳播與交往關(guān)系的新模式，而隨之而來(lái)的我們?nèi)绾伪ＷC這些數(shù)據(jù)和信息的安全顯得尤為重要。SSL協(xié)議能加密數(shù)據(jù)以防止數(shù)據(jù)被竊取，維護(hù)數(shù)據(jù)庫(kù)的完整性，并確保數(shù)據(jù)在傳輸過(guò)程中不被改變。

關(guān)鍵詞：微博；數(shù)據(jù)庫(kù)；SSL

中圖分類(lèi)號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2013）08-1743-02

1 概述

隨著信息化的深入及手機(jī)互聯(lián)網(wǎng)的飛速發(fā)展，社會(huì)各項(xiàng)工作已越來(lái)越離不開(kāi)計(jì)算機(jī)網(wǎng)絡(luò)與數(shù)據(jù)庫(kù)系統(tǒng)。層出不窮的網(wǎng)絡(luò)產(chǎn)品形態(tài)一步步改變?nèi)藗兊纳罘绞胶退季S方式。從BBS、電子郵件、即時(shí)通訊、博客到當(dāng)前炙手可熱的微博，這種新型社會(huì)化媒體給網(wǎng)民帶來(lái)了信息交流與交往關(guān)系的新奇體驗(yàn)。

微博是一個(gè)基于用戶關(guān)系的信息分享、傳播以及獲取平臺(tái)，用戶可以通過(guò)WEB、WAP 和手機(jī)客戶端登錄個(gè)人主頁(yè)，Twitter限定每次發(fā)布140 字以內(nèi)的文字信息到網(wǎng)頁(yè)和手機(jī)等客戶端。微博整合了圖片、音樂(lè)、視頻、游戲、投票等功能，目前更是嵌套即時(shí)通訊、參與話題、群組討論等，可以更隨時(shí)隨地與網(wǎng)友分享信息，所有的信息都以在一個(gè)平臺(tái)上瀑布式地呈現(xiàn)。微博通過(guò)關(guān)注評(píng)論、轉(zhuǎn)發(fā)、訪問(wèn)、加入微群來(lái)拓展新關(guān)系和維系已有的舊關(guān)系。它的存在使得大家越來(lái)越主動(dòng)、交流越來(lái)越頻繁、方式也多樣化，這些都使用戶感受了全新的信息獲取、休閑娛樂(lè)與交友溝通方式。對(duì)促進(jìn)現(xiàn)有社會(huì)資源充分發(fā)揮更大的效能、推動(dòng)社會(huì)進(jìn)度都有著積極的意義。社會(huì)的信息數(shù)據(jù)量急劇增長(zhǎng)。而隨之而來(lái)的我們?nèi)绾伪ＷC這些數(shù)據(jù)和信息的安全，已經(jīng)構(gòu)成了信息社會(huì)運(yùn)作的大動(dòng)脈。

2 微博數(shù)據(jù)庫(kù)安全的重要性

曾經(jīng)一度駭人聽(tīng)聞的泄密事件層出不窮，數(shù)據(jù)顯示，網(wǎng)站數(shù)據(jù)外泄事件中種種情況表明，高速發(fā)展中的網(wǎng)站都在拼價(jià)格、拼服務(wù)、等以期獲得更大的市場(chǎng)占有率，巨大的數(shù)據(jù)流量足以讓他們的忙得焦頭爛額了，并沒(méi)有多少閑暇時(shí)間和精力放在注冊(cè)用戶和信息的安全上。網(wǎng)站自身對(duì)用戶賬戶信息保密程度不夠重視，再配以內(nèi)部機(jī)制不健全而產(chǎn)生的內(nèi)部人員監(jiān)守自盜現(xiàn)象，由此，我們不難想像我們這些信息的安全狀況了。

微博憑借著及時(shí)性、開(kāi)放性、交互性、獨(dú)立性等特點(diǎn)得到用戶越來(lái)越多的喜愛(ài)，隨著微博影響力逐步增加，黑客針對(duì)微博用戶的攻擊也會(huì)日趨活躍，尤其是專(zhuān)業(yè)機(jī)構(gòu)、網(wǎng)絡(luò)名人、意見(jiàn)領(lǐng)袖等粉絲數(shù)量眾多的微博帳號(hào)，稍有不慎就可能在短時(shí)間內(nèi)造成嚴(yán)重影響。微博每時(shí)每刻都有大量的實(shí)時(shí)消息產(chǎn)生，然而面對(duì)成千上萬(wàn)的用戶，每天數(shù)百萬(wàn)條、千萬(wàn)條的記錄，如此海量數(shù)據(jù)，如何保證你的微博不被黑客盜用、不背著你亂發(fā)假消息、發(fā)廣告、甚至發(fā)病毒鏈接，數(shù)據(jù)信息安全顯得尤為重要。

現(xiàn)實(shí)世界的多數(shù)敏感數(shù)據(jù)都存儲(chǔ)在商業(yè)性數(shù)據(jù)庫(kù)系統(tǒng)中，數(shù)據(jù)庫(kù)是一個(gè)網(wǎng)站的核心，如果數(shù)據(jù)庫(kù)出現(xiàn)安全問(wèn)題，輕則數(shù)據(jù)泄密，重則數(shù)據(jù)全毀，很可能會(huì)造成無(wú)法挽回的損失。這使得數(shù)據(jù)庫(kù)越來(lái)越成為犯罪分子喜愛(ài)的目標(biāo)，直接導(dǎo)致SQL 注入攻擊事件在近年來(lái)急劇增長(zhǎng)，許多網(wǎng)站無(wú)法及時(shí)打上應(yīng)用程序補(bǔ)丁，致使大量的Web 應(yīng)用程序漏洞暴露在攻擊者面前。以前，很多組織機(jī)構(gòu)的安全防護(hù)重點(diǎn)集中在保障網(wǎng)絡(luò)外圍和客戶端系統(tǒng)的安全上，因此紛紛部署了防火墻、IDS/IPS、反病毒軟件等安全設(shè)備。但現(xiàn)在，保障自己的數(shù)據(jù)庫(kù)免受損害和阻止未授權(quán)的變更顯然更為重要。

3 解決微博數(shù)據(jù)庫(kù)安全問(wèn)題的方法

下面是能夠提供數(shù)據(jù)整體安全性幾種方法，既可以捍衛(wèi)數(shù)據(jù)庫(kù)的安全，又可以用一些關(guān)鍵規(guī)范實(shí)現(xiàn)合規(guī)要求。

3.1 及時(shí)發(fā)現(xiàn)

我們無(wú)法保障將要發(fā)生事物的安全性，因此應(yīng)該對(duì)敏感數(shù)據(jù)有很好的洞察力，包括數(shù)據(jù)庫(kù)實(shí)例、位于數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)等，還應(yīng)該自動(dòng)化“發(fā)現(xiàn)”的惡意程序。一旦存在新的或被修改的應(yīng)用程序、數(shù)據(jù)合并及數(shù)據(jù)獲得，敏感數(shù)據(jù)的位置就會(huì)不斷地發(fā)生變化。SQL 注入攻擊除了暴露機(jī)密信息以外，還準(zhǔn)許攻擊者在數(shù)據(jù)庫(kù)中嵌入其他的攻擊，以便于對(duì)付該網(wǎng)站的訪問(wèn)者，所以應(yīng)及時(shí)利用有效的工具及時(shí)發(fā)現(xiàn)SQL 注入攻擊存放到數(shù)據(jù)庫(kù)中的惡意行為。

3.2 漏洞評(píng)估、實(shí)時(shí)監(jiān)視及追蹤記錄

強(qiáng)化和加固數(shù)據(jù)庫(kù)是的首要步驟，一次漏洞評(píng)估的結(jié)果通常包括一整套特別的建議。加固數(shù)據(jù)庫(kù)的其他要素還涉及清除并不使用的所有功能和選項(xiàng)。

要想快速檢測(cè)入侵和數(shù)據(jù)濫用，實(shí)時(shí)的數(shù)據(jù)庫(kù)活動(dòng)監(jiān)視是限制數(shù)據(jù)暴露的關(guān)鍵。例如，數(shù)據(jù)庫(kù)活動(dòng)監(jiān)視能夠?qū)~戶的特權(quán)提升、非授權(quán)的數(shù)據(jù)變更、非正常的訪問(wèn)模式、經(jīng)由SQL 命令而執(zhí)行的配置變更等發(fā)出警告。

數(shù)據(jù)庫(kù)活動(dòng)監(jiān)視還是漏洞評(píng)估的一個(gè)關(guān)鍵組件，因?yàn)樗鼫?zhǔn)許您超越傳統(tǒng)的靜態(tài)評(píng)估，可以包括“行為漏洞”的動(dòng)態(tài)評(píng)估。例如，多個(gè)共享特權(quán)用戶的登錄憑證或者失敗的數(shù)據(jù)庫(kù)登錄的過(guò)多數(shù)量等。有些數(shù)據(jù)庫(kù)監(jiān)視技術(shù)還提供應(yīng)用層的監(jiān)視，準(zhǔn)許您檢測(cè)由多重應(yīng)用程序所執(zhí)行而不是直接連接到數(shù)據(jù)庫(kù)的欺詐行為。

3.3 變更審核及警告

對(duì)于可能影響到安全態(tài)勢(shì)、數(shù)據(jù)完整性或查看敏感數(shù)據(jù)的任何數(shù)據(jù)庫(kù)活動(dòng)，都要生成安全的、無(wú)爭(zhēng)議的審核記錄。除了作為合規(guī)性要求的關(guān)鍵要素外，擁有精細(xì)的審核記錄對(duì)于取證調(diào)查也是極為重要的。

新一代的數(shù)據(jù)活動(dòng)監(jiān)視方案可以提供精細(xì)的、獨(dú)立于數(shù)據(jù)庫(kù)管理系統(tǒng)的審核，而且它對(duì)數(shù)據(jù)庫(kù)系統(tǒng)性能的影響極小，同時(shí)又有自動(dòng)化、集中化的跨數(shù)據(jù)庫(kù)策略和審核規(guī)則庫(kù)、過(guò)濾和壓縮等特性，因而可以減少操作成本。并在發(fā)生影響到數(shù)據(jù)庫(kù)安全的數(shù)據(jù)變更時(shí)，及時(shí)向數(shù)據(jù)庫(kù)管理員發(fā)出警告。

3.4數(shù)字認(rèn)證、訪問(wèn)控制、權(quán)利管理

應(yīng)圍繞數(shù)字證書(shū)應(yīng)用，為微博信息中各種業(yè)務(wù)應(yīng)用提供信息的真實(shí)性、完整性、機(jī)密性和不可否認(rèn)性保證。并非所有的用戶和數(shù)據(jù)都平等，必須驗(yàn)證所有的用戶，保障每個(gè)用戶都有完整的義務(wù)，并管理其特權(quán)，以限制對(duì)數(shù)據(jù)的訪問(wèn)，還必須強(qiáng)化這些特權(quán)，即使對(duì)于最有特權(quán)的數(shù)據(jù)庫(kù)用戶也是如此，并需要定期檢查權(quán)利報(bào)告，將其用于正式的審核過(guò)程的一部分。

3.5 SSL加密技術(shù)

使用加密技術(shù)可以讓不法之徒無(wú)法閱讀敏感數(shù)據(jù)，并且在數(shù)據(jù)傳輸中采用加密傳輸，這樣攻擊者就無(wú)法從數(shù)據(jù)庫(kù)的外部獲得對(duì)數(shù)據(jù)的未經(jīng)授權(quán)的訪問(wèn)。這包括對(duì)傳輸中的數(shù)據(jù)進(jìn)行加密，因而在數(shù)據(jù)被發(fā)送給數(shù)據(jù)庫(kù)客戶端時(shí)，攻擊者就無(wú)法在網(wǎng)絡(luò)層實(shí)施竊聽(tīng)及獲得對(duì)數(shù)據(jù)的訪問(wèn)。這種加密還包括對(duì)靜態(tài)的數(shù)據(jù)進(jìn)行加密，即使攻擊者能夠訪問(wèn)媒體文件也無(wú)法獲取數(shù)據(jù)。

為了保護(hù)敏感數(shù)據(jù)在傳送過(guò)程中的安全，采用SSL安全保密協(xié)議，在Web瀏覽器和Web服務(wù)器之間構(gòu)造安全交換來(lái)進(jìn)行數(shù)據(jù)傳輸，SSL提供兩個(gè)基本的安全服務(wù)：鑒別與保密。SSL運(yùn)行在TCP/IP層之上、應(yīng)用層之下，為應(yīng)用程序提供加密數(shù)據(jù)通道，它采用了RC4、MD5以及RSA等加密算法，使用40 位的密鑰，適用于商業(yè)信息的加密。HTTPS協(xié)議使用SSL在發(fā)送方把原始數(shù)據(jù)進(jìn)行加密，然后在接受方進(jìn)行解密，加密和解密需要發(fā)送方和接受方通過(guò)交換共知的密鑰來(lái)實(shí)現(xiàn)，因此，所傳送的數(shù)據(jù)不容易被網(wǎng)絡(luò)黑客截獲和解密。

網(wǎng)站使用數(shù)字簽名之后，即可實(shí)現(xiàn) SSL安全登錄。當(dāng)選擇“SSL安全登錄”后登錄微博，用戶名和密碼會(huì)首先加密，然后通過(guò)SSL連接在 Internet 上傳送，沒(méi)有人能夠讀取或訪問(wèn)到利用該連接傳送的數(shù)據(jù)。使用SSL可以對(duì)通訊內(nèi)容進(jìn)行高強(qiáng)度的加密，從而可以有效防止黑客盜取用戶名、密碼和通訊內(nèi)容，保證了微博信息的安全性。

SSL介于應(yīng)用層和TCP層之間。應(yīng)用層數(shù)據(jù)不再直接傳遞給傳輸層，而是傳遞給SSL層，SSL層對(duì)從應(yīng)用層收到的數(shù)據(jù)進(jìn)行加密，并增加自己的SSL頭。

4 結(jié)束語(yǔ)

本文介紹了SSL在數(shù)據(jù)庫(kù)及數(shù)據(jù)傳輸中的研究，實(shí)際表明，在SSL加密環(huán)境中，對(duì)數(shù)據(jù)庫(kù)及數(shù)據(jù)傳輸?shù)陌踩云鸬搅吮容^好的效果，具有一定的實(shí)際應(yīng)用價(jià)值。

參考文獻(xiàn)：

[1] 北京市微博安全管理規(guī)定.[2011-12-16].

[2] 李錦星.完全用nosql輕松打造千萬(wàn)級(jí)數(shù)據(jù)量的微博系統(tǒng)[EB/OL].[2012-07-12].http：//wenku.baidu.com/view/a770f6878762 caaedd33d4ft/html.