基于數(shù)據(jù)庫(kù)屬性基礎(chǔ)上的自主安全防護(hù)分析

趙勇軍

摘 要：近年來(lái)，隨著科技水平的迅猛提升，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)獲得廣泛發(fā)展應(yīng)用，數(shù)據(jù)庫(kù)安全性面臨著愈發(fā)嚴(yán)峻的挑戰(zhàn)與考驗(yàn)。本文在數(shù)據(jù)庫(kù)屬性基礎(chǔ)上針對(duì)運(yùn)用數(shù)據(jù)庫(kù)技術(shù)的自主安全防護(hù)展開(kāi)簡(jiǎn)要探討。

關(guān)鍵詞：數(shù)據(jù)庫(kù)屬性；自主安全；防護(hù)

1 前言

就目前的情況來(lái)看，數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)用正面臨著較大威脅，主要包括有幾個(gè)方面的內(nèi)容，第一，錯(cuò)誤訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)所造成的的數(shù)據(jù)錯(cuò)誤問(wèn)題；第二，為實(shí)現(xiàn)某種目的而使數(shù)據(jù)庫(kù)遭遇破壞；第三，針對(duì)不可以進(jìn)行訪(fǎng)問(wèn)的信息展開(kāi)非法訪(fǎng)問(wèn)，同時(shí)未留下任何痕跡，在未授權(quán)的情況下進(jìn)行數(shù)據(jù)的非法修改；第四，運(yùn)用各類(lèi)型技術(shù)針對(duì)數(shù)據(jù)庫(kù)實(shí)施攻擊行為等等。為此，本文將在數(shù)據(jù)庫(kù)屬性基礎(chǔ)上提出一種能夠?qū)崿F(xiàn)良好組態(tài)且獨(dú)立于具體數(shù)據(jù)庫(kù)的自主安全防護(hù)模型，同時(shí)給予相應(yīng)的實(shí)現(xiàn)方法。

2 基于數(shù)據(jù)庫(kù)屬性基礎(chǔ)上的自主安全防護(hù)系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)

⑴功能。自主安全防護(hù)系統(tǒng)簡(jiǎn)稱(chēng)為DDS，前期功能主要是針對(duì)用戶(hù)所實(shí)施的非法訪(fǎng)問(wèn)行為起到有效大的阻止作用，當(dāng)存在有一定的可疑行為情況時(shí)，系統(tǒng)能夠?qū)崿F(xiàn)預(yù)設(shè)告警流程的自動(dòng)起到，就數(shù)據(jù)庫(kù)可能產(chǎn)生的風(fēng)險(xiǎn)盡可能進(jìn)行合理防范，一旦形成非法操作行為，則事先設(shè)置好的防御策略將被觸發(fā)，執(zhí)行阻斷措施，開(kāi)啟主動(dòng)防御，同時(shí)根據(jù)具體設(shè)置詳細(xì)記錄實(shí)時(shí)發(fā)生的操作情況，旨在事后進(jìn)行有效的追查分析。

⑵結(jié)構(gòu)。在自主安全防護(hù)系統(tǒng)中，用戶(hù)權(quán)限通常是采用安全管理員使用角色機(jī)制實(shí)施管理的，并在進(jìn)行安全策略制定的基礎(chǔ)上針對(duì)核心部件Sensor與訪(fǎng)問(wèn)控制部件展開(kāi)合理設(shè)置。具體來(lái)說(shuō)，核心部件Sensor可實(shí)現(xiàn)對(duì)用戶(hù)數(shù)據(jù)庫(kù)操作請(qǐng)求大的有效偵聽(tīng)，通過(guò)對(duì)命令映射表的運(yùn)用把各類(lèi)型命令映射成為系統(tǒng)識(shí)別命令，將安全檢查所需的相關(guān)信息及時(shí)提起出來(lái)，向訪(fǎng)問(wèn)模塊進(jìn)行發(fā)送后實(shí)施安檢，通過(guò)安全檢查之后方可允許用戶(hù)執(zhí)行數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)行為，反之則不能夠進(jìn)行訪(fǎng)問(wèn)，基于此，需結(jié)合相應(yīng)的審計(jì)規(guī)則實(shí)現(xiàn)記錄生成，同時(shí)將其記錄在相應(yīng)的審計(jì)日志中；該系統(tǒng)擁有默認(rèn)的訪(fǎng)問(wèn)控制流程，可實(shí)現(xiàn)用戶(hù)安全策略的自行設(shè)定，同時(shí)系統(tǒng)能夠自動(dòng)生成對(duì)應(yīng)的訪(fǎng)問(wèn)控制流程。

⑶實(shí)現(xiàn)。自主安全防護(hù)系統(tǒng)實(shí)現(xiàn)通常能夠劃分成為數(shù)據(jù)字典設(shè)計(jì)、用戶(hù)登錄和管理、制定系統(tǒng)策略、實(shí)現(xiàn)偵聽(tīng)器即Sensor、訪(fǎng)問(wèn)控制、日志審計(jì)這六個(gè)主要方面內(nèi)容。原有數(shù)據(jù)庫(kù)API信息即dll以及用戶(hù)的自主防護(hù)策略作為輸入，系統(tǒng)核心部件Sensor 能夠在原有數(shù)據(jù)庫(kù)API接口中融入用戶(hù)防護(hù)策略的同時(shí)將用戶(hù)數(shù)據(jù)庫(kù)操作行為記錄下來(lái)并形成日志，旨在為用戶(hù)提供設(shè)計(jì)，便于用戶(hù)在實(shí)際的運(yùn)用過(guò)程中不需進(jìn)行原有系統(tǒng)更改則能夠有效實(shí)現(xiàn)自主防護(hù)。

Sensor遠(yuǎn)程注射功能則主要是由Inject/Eject為其提供的。Core在運(yùn)用攔截的基礎(chǔ)上能夠通過(guò)調(diào)用API來(lái)實(shí)現(xiàn)自身所具備的定制功能，為充分實(shí)現(xiàn)攔截，則可運(yùn)用HOOK API技術(shù)，其能夠執(zhí)行攔截的操作涵蓋有indows中的API調(diào)用、中斷服務(wù)、IFS 與NDIS過(guò)濾以及DOS下的中斷等等內(nèi)容，該技術(shù)的實(shí)質(zhì)內(nèi)容為針對(duì)具體的系統(tǒng)程序流程實(shí)施合理更改。

⑷結(jié)果分析。自主安全防護(hù)系統(tǒng)的開(kāi)發(fā)過(guò)程一般是運(yùn)用VS2005進(jìn)行實(shí)現(xiàn)的，當(dāng)完成開(kāi)發(fā)之后能夠在一臺(tái)2GB（內(nèi)存）、2.8GHz（主頻）、配置有Windows操作系統(tǒng)的普通PC機(jī)上測(cè)試系統(tǒng)功能與性能。在此所采用的數(shù)據(jù)庫(kù)為開(kāi)源嵌入式數(shù)據(jù)庫(kù)SQLITE3.6。具體來(lái)說(shuō)，主要的測(cè)試內(nèi)容涵蓋有登錄以及用戶(hù)管理、核心部件Sensor以及訪(fǎng)問(wèn)控制、設(shè)計(jì)日志、增加DSS以后數(shù)據(jù)庫(kù)功能變化與性能影響。

通過(guò)兩表中的測(cè)試結(jié)果能夠知道，從功能測(cè)試的角度來(lái)看，DSS可實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的自主防護(hù)；從性能測(cè)試的角度來(lái)看，查詢(xún)與插入這兩種操作之間存在有較大的耗時(shí)差異，該種情況通常是由SQLITE工作形式所導(dǎo)致的，當(dāng)用戶(hù)實(shí)施插入操作的時(shí)候，數(shù)據(jù)為將內(nèi)存數(shù)據(jù)在磁盤(pán)數(shù)據(jù)庫(kù)文件中進(jìn)行寫(xiě)入，則需占用一定時(shí)間，然而用戶(hù)執(zhí)行查詢(xún)操作的時(shí)候，SQLITE則能夠把數(shù)據(jù)庫(kù)文件部分內(nèi)容緩存起來(lái)，使得查詢(xún)速度得以加快。除此之外，因?yàn)镈SS的增加會(huì)對(duì)系統(tǒng)性能造成微小影響，但其仍然可實(shí)現(xiàn)數(shù)據(jù)庫(kù)系統(tǒng)自主保護(hù)。

3 結(jié)語(yǔ)

相較于傳統(tǒng)意義上的數(shù)據(jù)庫(kù)安全防護(hù)而言，基于數(shù)據(jù)庫(kù)屬性的DSS系統(tǒng)具備有相關(guān)優(yōu)勢(shì)特征，第一，獨(dú)立于具體的數(shù)據(jù)庫(kù)，其獨(dú)立性表現(xiàn)在只需具備接口信息則能展開(kāi)數(shù)據(jù)庫(kù)工作，能夠支持不同標(biāo)準(zhǔn)的SQL語(yǔ)句，系統(tǒng)數(shù)據(jù)物理存儲(chǔ)是跟數(shù)據(jù)庫(kù)相互獨(dú)立的；第二，針對(duì)性與靈活性可實(shí)現(xiàn)有效統(tǒng)一，使得用戶(hù)能夠按照所需進(jìn)行特定應(yīng)用規(guī)則的靈活配置；第三，其自我安全保護(hù)措施相對(duì)較為完善；第四，報(bào)警功能與信息查閱功能比較完備。由此可見(jiàn)，所構(gòu)建出的系統(tǒng)模型能夠從數(shù)據(jù)庫(kù)中獨(dú)立出來(lái)，實(shí)現(xiàn)對(duì)多個(gè)數(shù)據(jù)庫(kù)安全防護(hù)的集中配置，充分滿(mǎn)足用戶(hù)的自主防護(hù)要求。

[參考文獻(xiàn)]

[1]龔媛媛.數(shù)據(jù)庫(kù)安全威脅及數(shù)據(jù)備份恢復(fù)技術(shù)研究[J].硅谷，2011（06）.

[2]張敏.數(shù)據(jù)庫(kù)安全研究現(xiàn)狀與展望[J].中國(guó)科學(xué)院院刊，2011（03）.

[3]王安娜.網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全模型的設(shè)計(jì)與實(shí)現(xiàn)[J].硅谷，2011（13）.

[4]王靜.網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)庫(kù)安全綜述[J].合作經(jīng)濟(jì)與科技，2009（05）.