數(shù)據(jù)庫系統(tǒng)安全保護機制探討

初宗榮

摘 要 伴隨網(wǎng)絡(luò)信息化水平的逐步提升，很多國家的政府都著手構(gòu)建其國家信息安全體系，而目前信息安全管理機制為其中不可缺少的核心構(gòu)成部分。文章研究國際與國內(nèi)安全管理的研發(fā)情況，且有指向性的給出了信息安全保障策略，望對國內(nèi)此領(lǐng)域有一定促進作用。

關(guān)鍵詞 數(shù)據(jù)庫；系統(tǒng)安全；保護機制

中圖分類號：TP3 文獻標識碼：A 文章編號：1671-7597（2014）06-0133-01

目前伴隨計算機與網(wǎng)絡(luò)技術(shù)的飛速進程，很多主要的業(yè)務(wù)運行都要依附于數(shù)據(jù)庫。數(shù)據(jù)庫系統(tǒng)是存儲在一起的相關(guān)數(shù)據(jù)的集合，這些數(shù)據(jù)可以為多種應(yīng)用服務(wù)。使用數(shù)據(jù)庫可以帶來許多好處：可以降低數(shù)據(jù)的冗余度，節(jié)省數(shù)據(jù)的存儲空間；實現(xiàn)數(shù)據(jù)資源的充分共享。由于數(shù)據(jù)庫的重要地位，其安全性也備受關(guān)注。目前對數(shù)據(jù)的定義也上升至組織中的數(shù)字財產(chǎn)，若數(shù)據(jù)泄露或者是丟失那么組織就會受到相應(yīng)的影響。文章將以數(shù)據(jù)庫系統(tǒng)安全保護機制作為切入點，進行深入的分析，相關(guān)內(nèi)容如下所述。

1 數(shù)據(jù)庫系統(tǒng)安全保護機制的意義

經(jīng)過相關(guān)資料及實踐證實，數(shù)據(jù)庫的安全保護概念就是確保數(shù)據(jù)庫信息的密閉、完整以及統(tǒng)一。數(shù)據(jù)庫系統(tǒng)的安全控制指的是為數(shù)據(jù)庫系統(tǒng)構(gòu)建的安全保護機制，以確保數(shù)據(jù)庫系統(tǒng)軟件與相關(guān)的數(shù)據(jù)不會由于惡意或者是特殊原因而遭到損壞、泄露以及丟失。要確保數(shù)據(jù)庫的可靠性一般都要依附于下述一些技術(shù)手段，其中包括身份識別、訪問權(quán)限、標記、數(shù)據(jù)庫審計、可信備份、隱蔽信道解析、可信途徑與推理權(quán)限等。

一般來說，數(shù)據(jù)庫系統(tǒng)里的數(shù)據(jù)都是十分重要的信息內(nèi)容，其中包括政府系統(tǒng)、軍事系統(tǒng)以及相關(guān)企業(yè)等用來存儲國家作出相應(yīng)決策以及確保企業(yè)良好運轉(zhuǎn)的內(nèi)容。相關(guān)重要數(shù)據(jù)的泄露及丟失會為很多工作造成巨大的影響，更有甚者會導致企業(yè)全面癱瘓、還可能造成國家安全危機。而如今互聯(lián)網(wǎng)已經(jīng)融入到人們?nèi)粘Ｉ钪械暮芏囝I(lǐng)域，那么相關(guān)數(shù)據(jù)系統(tǒng)資源的共享率也就隨之提升，通過互聯(lián)網(wǎng)非法搜集客戶信息、竊取銀行存款、更改一些數(shù)據(jù)文件、更有甚者刪除一些高級別保密數(shù)據(jù)已變成十分顯著的社會問題。所以，對數(shù)據(jù)庫系統(tǒng)的保護是非常重要且必要的工作，而相關(guān)數(shù)據(jù)的安全保密性，也要隨之提高。數(shù)據(jù)庫系統(tǒng)為管理數(shù)據(jù)的核心內(nèi)容，其自身一定要給出一個全面且有效的數(shù)據(jù)安全保護機制，只有這樣才能夠確保數(shù)據(jù)的安全性以及可靠性。而對數(shù)據(jù)庫系統(tǒng)的保護要有下述幾方面來構(gòu)成，其中包括數(shù)據(jù)完整性控制、數(shù)據(jù)的安全性控制、數(shù)據(jù)庫的恢復以及數(shù)據(jù)庫的并發(fā)控制。

2 確保相關(guān)用戶認證的有效性

一般來說認證方式是區(qū)分數(shù)據(jù)庫用戶的一種非常有效的手段。所以，對賬號與密碼予以嚴密的管理是數(shù)據(jù)庫系統(tǒng)安全的核心要素。我們可以通過下述方式確保數(shù)據(jù)庫系統(tǒng)用戶的安全性。數(shù)據(jù)庫系統(tǒng)安裝中有很多的重要環(huán)節(jié)需要工作人員去梳理，這些梳理的內(nèi)容大部分都是加載一些賬號，而且這些賬號都是默認的，所有的賬號和密碼都可以在網(wǎng)上查到，這在一定程度上為攻擊者提供了便利的條件。所以，為保障賬號的隱秘性，我們要防止安裝過程中默認賬號所帶來的安全問題；之前未進行選擇且從沒有被改過的密碼就好比一個定時炸彈。按照密碼繁雜性規(guī)則，驗證碼是不是與賬號相互統(tǒng)一、密碼有沒有超過一定長度、密碼是不是很容易被破解等。所以，在設(shè)置數(shù)據(jù)庫系統(tǒng)密碼時，要顧及到密碼的生存周期、重復使用周期以及登錄失效功能等。在數(shù)據(jù)庫系統(tǒng)安全階段，要養(yǎng)成良好的習慣，就是刪除已經(jīng)不予使用的賬號，過期的賬號要予以徹底的刪除。

3 深化對數(shù)據(jù)庫系統(tǒng)的訪問權(quán)限

依附于用戶的訪問限制為數(shù)據(jù)庫權(quán)限管理的一種有效方式，角色則按照差異化的職能崗位區(qū)分，有很多的資源，都已經(jīng)被記載到了相應(yīng)的角色中，注冊賬戶的用戶會根據(jù)情況扮演不一樣的角色，就這樣，很多的資源都被一些用戶來訪問。面對著角色的授權(quán)，我們經(jīng)常會遇到一些問題，這些問題可以說會影響到數(shù)據(jù)庫的系統(tǒng)進程，一般小權(quán)限需授予列級權(quán)限的就無需授其表級權(quán)限，若授予表級權(quán)限的那么無需再授予庫級權(quán)限，如果授予對象權(quán)限的那么就無需予以系統(tǒng)權(quán)限，這樣就提升了數(shù)據(jù)庫系統(tǒng)的安全性。而特權(quán)分離可以利用角色間相互的制約而達到權(quán)限的有序循環(huán)，相關(guān)的安全管理者、數(shù)據(jù)庫管理人員以及系統(tǒng)審計員之間的互斥，一個用戶只能擁有上述的一個角色。特權(quán)分離原則可以確保權(quán)力間的制約與相互監(jiān)督，可以降低沒有通過授權(quán)訪問與欺詐的發(fā)生率。

4 要對重要數(shù)據(jù)進行加密設(shè)置

一般來說數(shù)據(jù)加密為確保數(shù)據(jù)庫系統(tǒng)內(nèi)數(shù)據(jù)完整性與封閉性的主要措施。而數(shù)據(jù)庫系統(tǒng)的加密設(shè)置指的是對數(shù)據(jù)庫系統(tǒng)內(nèi)的主要數(shù)據(jù)予以密碼加設(shè)，能夠保障系統(tǒng)的合法用戶有權(quán)限訪問，而系統(tǒng)可以將相應(yīng)的數(shù)據(jù)予以解密，不然，數(shù)據(jù)庫系統(tǒng)要時刻遵循數(shù)據(jù)的加密原則，這樣就能夠防止非法用戶竊取到相關(guān)信息而侵占系統(tǒng)。

5 對安全審核機制進行整理

審計機制就是相關(guān)特定用戶在數(shù)據(jù)庫系統(tǒng)下進行使用，同時實施監(jiān)控與錄入的一個功能。一般來說此功能在數(shù)據(jù)庫系統(tǒng)操作環(huán)節(jié)，自行把數(shù)據(jù)庫的相應(yīng)操作錄入到審計薄中，其中有用戶登錄信息、對數(shù)據(jù)庫的操作與系統(tǒng)功能的操作信息。審計日志錄入便于事后監(jiān)督，而且在一定程度上還能夠避免入侵，所以可以從根本增加數(shù)據(jù)庫系統(tǒng)的安全性。

6 故障、備份的恢復機制

一般的恢復和備份是增加數(shù)據(jù)庫系統(tǒng)安全系數(shù)的一項核心要素，在處理數(shù)據(jù)庫系統(tǒng)的時候，我們經(jīng)常會遇到一些系統(tǒng)問題，這些問題給用戶造成了使用的障礙，這種情況已經(jīng)造成了數(shù)據(jù)庫內(nèi)部系統(tǒng)的破壞，我們只能自行恢復備份，而將其細化又可以分成非災(zāi)難性與災(zāi)難性備份。常規(guī)意義上，我們可以利用數(shù)據(jù)庫專用備份以及標準備份設(shè)備等手段予以差異備份以及增量備份等，這樣可以利用已有的數(shù)據(jù)備份，在一定時間有效的把數(shù)據(jù)庫整合到出現(xiàn)異常的前一秒鐘，而且還可以確保數(shù)據(jù)的統(tǒng)一性及完整性。

參考文獻

[1]魯俐，王宇.檔案信息系統(tǒng)安全保密工程研究[A].2008通信理論與技術(shù)新進展——第十三屆全國青年通信學術(shù)會議論文集（上）[C].2011：321-324.

[2]寇瑋華，徐揚.基于消息機制的分布式數(shù)據(jù)庫數(shù)據(jù)請求模式研究[A].第二十一屆中國數(shù)據(jù)庫學術(shù)會議論文集（技術(shù)報告篇）[C].2011：597-599.

[3]陳波.制定有效信息系統(tǒng)安全管理策略[A].第二十二屆中國（天津）'2012IT、網(wǎng)絡(luò)、信息技術(shù)、電子、儀器儀表創(chuàng)新學術(shù)會議論文集[C].2012：314-328.

[4]陳四清，張衛(wèi)強，司順奇.一種地理信息管理服務(wù)系統(tǒng)安全體系結(jié)構(gòu)[A].2010全國測繪科技信息交流會暨首屆測繪博客征文頒獎?wù)撐募痆C].2010：816-819.

[5]劉奇志，錢一宏，張剡，等.基于網(wǎng)絡(luò)平臺的Oracle數(shù)據(jù)庫安全加固技術(shù)研究[A].第二十屆全國數(shù)據(jù)庫學術(shù)會議論文集（研究報告篇）[C].2013：764-765.

[6]尹文浩，郁濱.USB安全移動存儲系統(tǒng)設(shè)計與實現(xiàn)[A].全國第21屆計算機技術(shù)與應(yīng)用學術(shù)會議（CACIS·2010）暨全國第2屆安全關(guān)鍵技術(shù)與應(yīng)用學術(shù)會議論文集[C].2010：517-520.endprint