陳忠菊
摘 要:數(shù)據(jù)庫(kù)安全是指保護(hù)數(shù)據(jù)庫(kù)以防止非法用戶的越權(quán)使用、竊取、更改或破壞數(shù)據(jù)。數(shù)據(jù)庫(kù)的完整性主要包括物理完整性和邏輯完整性。在數(shù)據(jù)庫(kù)中對(duì)所有的數(shù)據(jù)庫(kù)對(duì)象進(jìn)行操作的并不是合法的數(shù)據(jù)庫(kù)訪問用戶都可以,設(shè)定不同的權(quán)限限制,以保證各級(jí)用戶不能隨意刪減、添加和修改。該文從數(shù)據(jù)庫(kù)安全的內(nèi)涵講述,分析了對(duì)數(shù)據(jù)庫(kù)的安全造成威脅的主要因素,并提出了建立SQL SERVER 數(shù)據(jù)庫(kù)的安全機(jī)制和SQL數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)安全保障機(jī)制。
關(guān)鍵詞:數(shù)據(jù)庫(kù) 系統(tǒng) 安全 機(jī)制
中圖分類號(hào):TP311 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1674-098X(2015)05(c)-0045-01
1 數(shù)據(jù)庫(kù)安全的內(nèi)涵
數(shù)據(jù)庫(kù)安全是指保護(hù)數(shù)據(jù)庫(kù)以防止非法用戶的越權(quán)使用、竊取、更改或破壞數(shù)據(jù)。
1.1 完整性方面
數(shù)據(jù)庫(kù)的完整性主要包括物理完整性和邏輯完整性。物理完整性是指保證數(shù)據(jù)庫(kù)的數(shù)據(jù)不受物理故障的影響,并有可能在災(zāi)難性破壞時(shí)恢復(fù)數(shù)據(jù)庫(kù),邏輯完整性是指對(duì)數(shù)據(jù)庫(kù)邏輯結(jié)構(gòu)的保護(hù),包括數(shù)據(jù)的語(yǔ)義完整性和操作完整性。
1.2 保密性方面
保密性指保護(hù)數(shù)據(jù)庫(kù)中的數(shù)據(jù)不被泄露和未授權(quán)的獲取。一般要求對(duì)用戶進(jìn)行訪問授權(quán),同一組數(shù)據(jù)的不同用戶可以被授予不同的存取權(quán)限,同時(shí)還要求能夠?qū)τ脩舻脑L問操作行為進(jìn)行跟蹤和審計(jì)。
1.3 可用性方面
數(shù)據(jù)庫(kù)的可用性是指數(shù)據(jù)庫(kù)不應(yīng)拒絕授權(quán)用戶對(duì)數(shù)據(jù)的正常操作,同時(shí)保證系統(tǒng)的運(yùn)行效率并提供用戶良好的人機(jī)交互。
2 數(shù)據(jù)庫(kù)安全的威脅因素
數(shù)據(jù)庫(kù)的安全性能,能夠?qū)τ?jì)算機(jī)的數(shù)據(jù)和信息起到很好的保護(hù)作用,通過(guò)安全的保護(hù),可以有效的防止用戶的信息和數(shù)據(jù)被泄露和盜竊?,F(xiàn)階段,對(duì)數(shù)據(jù)庫(kù)的安全的主要威脅有以下幾個(gè)方面。
2.1 內(nèi)部的人員失誤
對(duì)于數(shù)據(jù)庫(kù)的管理人員,他們對(duì)數(shù)據(jù)庫(kù)的正確操作與否,是直接關(guān)系到數(shù)據(jù)庫(kù)安全的非常重要的方面,通常造成數(shù)據(jù)的泄露,很大程度上都是數(shù)據(jù)庫(kù)的內(nèi)部人員對(duì)數(shù)據(jù)庫(kù)的操作失誤,從而造成了數(shù)據(jù)庫(kù)的信息泄露。雖然這種行為,在很多情況下是由于內(nèi)部人員的無(wú)意的失誤所造成的,但是人員的這種錯(cuò)誤行為,確實(shí)給數(shù)據(jù)庫(kù)的安全帶來(lái)了極大的威脅和損壞。
2.2 釣魚網(wǎng)站
釣魚網(wǎng)站往往是將自己偽裝成比較正規(guī)的網(wǎng)站的模樣,通過(guò)比較高級(jí)的設(shè)置和模仿,從而起到對(duì)數(shù)據(jù)庫(kù)的用戶很大的迷惑性,從而在用戶輸入個(gè)人信息的時(shí)候,這這種情況下,用戶的數(shù)據(jù)和信息就會(huì)被無(wú)形中竊取了,而這往往造成損害的時(shí)候,用戶還不知道是什么方面出的問題,從而造成了自己的數(shù)據(jù)泄露和丟失。
2.3 內(nèi)部人員的攻擊
企業(yè)的員工之間,往往由于利益的沖突和矛盾的增加,從而會(huì)對(duì)數(shù)據(jù)庫(kù)進(jìn)行侵害,由于是公司的內(nèi)部人員,甚至是數(shù)據(jù)庫(kù)管理方面的人員,所以這種侵害,往往對(duì)數(shù)據(jù)庫(kù)的安全和數(shù)據(jù)的完整是很大的損害。而且通過(guò)對(duì)數(shù)據(jù)庫(kù)的安全的威脅方面,內(nèi)部人員的攻擊也是占了很大一方面的。
2.4 錯(cuò)誤的配置
數(shù)據(jù)庫(kù)的錯(cuò)誤配置,往往會(huì)造成操作的錯(cuò)誤。很多的黑客往往會(huì)使用這樣的方式,通過(guò)對(duì)數(shù)據(jù)庫(kù)的錯(cuò)誤的配置,從而讓被控制的電腦在做出正常的操作的情況下,出現(xiàn)的卻是措施的方式和行為。這種錯(cuò)誤的配置方式是很多的攻擊者選用的攻擊內(nèi)容。通過(guò)對(duì)數(shù)據(jù)庫(kù)的錯(cuò)誤的配置,還可以很好的起到對(duì)數(shù)據(jù)庫(kù)的加密文件的查看,而不會(huì)受到任何的阻擋。
2.5 漏洞的補(bǔ)丁未及時(shí)修補(bǔ)
數(shù)據(jù)庫(kù)在使用的過(guò)程中,會(huì)因?yàn)檐浖确矫娴母?,從而造成?shù)據(jù)庫(kù)會(huì)有一些漏洞的存在,而這寫漏洞也往往會(huì)是攻擊人員選擇的方面。如果在數(shù)據(jù)庫(kù)已經(jīng)存在漏洞的情況下,沒有及時(shí)的得到修補(bǔ),從而會(huì)在一定程度上造成數(shù)據(jù)庫(kù)處于一種比較不安全的情況。利用數(shù)據(jù)庫(kù)的漏洞對(duì)數(shù)據(jù)庫(kù)進(jìn)行共計(jì),是一種非??焖俸秃?jiǎn)便的攻擊方式。
3 SQL SERVER數(shù)據(jù)庫(kù)的安全機(jī)制
數(shù)據(jù)庫(kù)為了自身的安全性能,會(huì)在設(shè)計(jì)的時(shí)候會(huì)有一些處理威脅的安全機(jī)制的設(shè)置,這些安全機(jī)制的設(shè)計(jì),會(huì)在一定程度上增加數(shù)據(jù)庫(kù)的安全性能,從而起到很好的對(duì)數(shù)據(jù)庫(kù)的數(shù)據(jù)的保護(hù),防止一些非法的用戶的入侵和對(duì)數(shù)據(jù)、信息的竊取。數(shù)據(jù)庫(kù)的安全機(jī)制,主要有以下幾個(gè)方面的內(nèi)容。
3.1 數(shù)據(jù)庫(kù)的訪問安全機(jī)制
數(shù)據(jù)庫(kù)的安全機(jī)制,從對(duì)數(shù)據(jù)庫(kù)的訪問的時(shí)候就已經(jīng)設(shè)置,通過(guò)對(duì)數(shù)據(jù)庫(kù)訪問的安全設(shè)置,可以在很大程度上起到對(duì)數(shù)據(jù)庫(kù)保護(hù)的作用,從而確保數(shù)據(jù)庫(kù)的安全。數(shù)據(jù)庫(kù)的安全訪問機(jī)制,主要有兩種模式,一種是通過(guò)對(duì)計(jì)算機(jī)身份的驗(yàn)證,另外一種是數(shù)據(jù)庫(kù)的混合的驗(yàn)證模式。
3.1.1 INDOWS身份驗(yàn)證模式
SQL SERVER將通過(guò)WINDOWS操作系統(tǒng)來(lái)獲取用戶信息,并對(duì)登錄名和密碼進(jìn)行重新驗(yàn)證。
3.1.2 混合驗(yàn)證模式
在混合驗(yàn)證模式中,登錄到SQL SERVER數(shù)據(jù)服務(wù)器允許WINDOWS授權(quán)
用戶和SQL SERVER授權(quán)用戶兩種方式。
3.2 數(shù)據(jù)庫(kù)的安全操作機(jī)制
數(shù)據(jù)庫(kù)的安全機(jī)制,除了對(duì)數(shù)據(jù)庫(kù)的安全登錄的安全設(shè)置,其次就是對(duì)數(shù)據(jù)庫(kù)的安全操作機(jī)制的設(shè)置。數(shù)據(jù)庫(kù)中針對(duì)不同的用戶設(shè)置,通過(guò)對(duì)不同的用戶的權(quán)限設(shè)置,從而設(shè)定他們各自對(duì)數(shù)據(jù)庫(kù)的操作的權(quán)限不同。為了達(dá)到這一目標(biāo),必須將數(shù)據(jù)庫(kù)中的權(quán)限進(jìn)行明確的分級(jí),主要包括對(duì)象權(quán)限、語(yǔ)句權(quán)限和隱含權(quán)限三種。
3.2.1 對(duì)象權(quán)限
數(shù)據(jù)庫(kù)的對(duì)象權(quán)限,主要有以下幾個(gè)方面,查詢、更新、刪除和插入等。這些權(quán)限都是在設(shè)置數(shù)據(jù)庫(kù)的時(shí)候已經(jīng)設(shè)置好的,這些權(quán)限被賦予了對(duì)數(shù)據(jù)庫(kù)進(jìn)行相應(yīng)措施的權(quán)限。
3.2.2 語(yǔ)句權(quán)限
對(duì)數(shù)據(jù)庫(kù)的操作,主要是通過(guò)數(shù)據(jù)庫(kù)的語(yǔ)句來(lái)進(jìn)行的,這些語(yǔ)句的優(yōu)化處理,可以很好的起到對(duì)數(shù)據(jù)庫(kù)安全的保護(hù)。每一個(gè)被授予權(quán)限的語(yǔ)句都有相應(yīng)的對(duì)數(shù)據(jù)庫(kù)操作的影響權(quán)限和內(nèi)容。
3.2.3 隱含權(quán)限
數(shù)據(jù)庫(kù)在設(shè)計(jì)的時(shí)候,就設(shè)置了一些只針對(duì)數(shù)據(jù)庫(kù)的擁有者和對(duì)數(shù)據(jù)庫(kù)對(duì)象的擁有者的權(quán)限設(shè)置,這些所謂的隱含權(quán)限,可以對(duì)數(shù)據(jù)庫(kù)內(nèi)容和信息起到很好的保護(hù)作用??梢苑乐乖綑?quán)對(duì)數(shù)據(jù)庫(kù)的操作,從而對(duì)數(shù)據(jù)庫(kù)的安全性、穩(wěn)定性和隱蔽性起到良好的保護(hù),從而防止對(duì)數(shù)據(jù)庫(kù)的攻擊。
4 SQL數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)安全保障機(jī)制
4.1 加密措施:使用SSL協(xié)議
SQL數(shù)據(jù)庫(kù)進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)交換主要使用TDS傳輸協(xié)議,很大的安全威脅是帳號(hào)、密碼、數(shù)據(jù)庫(kù)內(nèi)容是明文傳輸。
4.2 IP限制網(wǎng)絡(luò)連接
由于SQL SERVER系統(tǒng)沒有提供理想的網(wǎng)絡(luò)安全連接解決方案,因此windows系統(tǒng)提供了補(bǔ)充的安全機(jī)制,IP數(shù)據(jù)包的安全性是通過(guò)使用ipsec實(shí)現(xiàn)的。
4.3 禁止探測(cè)TCP/IP修改的端口
SQL SERVER通過(guò)1434端口的UDP探測(cè)到改變后的TCP/IP端口,專門轉(zhuǎn)對(duì)修改的默認(rèn)端口,這個(gè)過(guò)程使用默認(rèn)1433端口進(jìn)行監(jiān)聽即可完成。
參考文獻(xiàn)
[1] 葛耀武,張明玉,方芳.基于數(shù)據(jù)庫(kù)安全的研究與應(yīng)用[J].價(jià)值工程,2014(21):246-247.
[2] 謝欣妍.淺談SQL Server數(shù)據(jù)庫(kù)的數(shù)據(jù)安全問題[J].時(shí)代經(jīng)貿(mào),2011(10):57.
[3] 丁鈺.計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全技術(shù)方案淺談[J].無(wú)線互聯(lián)科技,2014(2):36.
[4] 武海濤.數(shù)據(jù)庫(kù)安全及其防范措施探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014(7):128,131.
[5] 張井明.基于SQL Server的數(shù)據(jù)庫(kù)安全實(shí)用研究[J].消費(fèi)電子,2013(14):92.