網(wǎng)絡數(shù)據(jù)庫安全機制研究

甘 露 邵 罕

（1．信陽職業(yè)技術學院，河南 信陽 464000；2．信陽師范學院，河南 信陽 464000）

網(wǎng)絡數(shù)據(jù)庫安全機制研究

甘 露1邵 罕2

（1．信陽職業(yè)技術學院，河南 信陽 464000；2．信陽師范學院，河南 信陽 464000）

隨著計算機技術及互聯(lián)網(wǎng)技術的快速發(fā)展，人們逐漸進入現(xiàn)代化信息時代。利用各種現(xiàn)代化信息手段，人們的工作及生活都變得更加便利。但同時，也有不法分子利用網(wǎng)絡的便利性不斷進行網(wǎng)絡安全攻擊，使網(wǎng)絡數(shù)據(jù)庫安全受到威脅，信息的傳輸及處理受到影響，為此就需制定一套完善的網(wǎng)絡數(shù)據(jù)庫安全機制以保證網(wǎng)絡數(shù)據(jù)庫的安全性。文章簡單概述了網(wǎng)絡數(shù)據(jù)庫安全機制的基本概念、網(wǎng)絡數(shù)據(jù)庫的模式及其安全機制模型，分析了網(wǎng)絡數(shù)據(jù)庫各層的安全機制，并討論了利用DBMS安全機制來防范網(wǎng)絡攻擊問題，旨在為提高網(wǎng)絡數(shù)據(jù)庫的安全性提供若干建議。

網(wǎng)絡數(shù)據(jù)庫存；安全機制；操作系統(tǒng)

1 引言

網(wǎng)絡數(shù)據(jù)庫應用系統(tǒng)是結合網(wǎng)絡技術及數(shù)據(jù)庫技術而開發(fā)的一種新型的用于處理各類信息的系統(tǒng)。網(wǎng)絡數(shù)據(jù)庫的安全性直接影響了數(shù)據(jù)傳輸及處理的結果和效果。網(wǎng)絡數(shù)據(jù)庫是一個開放式的信息存儲和處理平臺，不管是局域網(wǎng)或是廣域網(wǎng)，其都會因來自自然或人為等方面的威脅而產(chǎn)生安全問題。針對網(wǎng)絡數(shù)據(jù)庫的安全問題，相關業(yè)內人士不斷深入研究，制定了一整套的網(wǎng)絡數(shù)據(jù)庫存安全機制，以期提高網(wǎng)絡數(shù)據(jù)庫的安全性，保證信息傳輸?shù)慕y(tǒng)一性和完整性，充分發(fā)揮網(wǎng)絡數(shù)據(jù)庫應有的作用。

2 網(wǎng)絡數(shù)據(jù)庫安全機制概述

2.1 網(wǎng)絡數(shù)據(jù)庫安全機制的概念

2.2 網(wǎng)絡數(shù)據(jù)庫的模式

網(wǎng)絡數(shù)據(jù)庫的模式主要有兩種：B/S模式和C/S模式。C/S模式主要包括客戶端應用程序(Client)、服務器管理程序(Server)及網(wǎng)絡(Network)三層結構。客戶端應用程序主要用于實現(xiàn)數(shù)據(jù)在系統(tǒng)與用戶間的交互，其主要負責事務的處理及顯示邏輯；服務器管理程序主要用于管理資源，當多個用戶同時請求使用同一資源時，對資源實現(xiàn)最優(yōu)化管理。網(wǎng)絡是用于連接客戶端應用程序與服務器管理程序的，起中間橋梁作用，協(xié)同完成數(shù)據(jù)查詢、數(shù)據(jù)處理、數(shù)據(jù)管理等任務，以滿足用戶需求。結合WWW技術，將客戶/服務器模式進一步演化后便得到B/S模式。B/S模式主要包括Web服務器、瀏覽器及數(shù)據(jù)庫服務器三層結構。通過瀏覽器的交互功能連接系統(tǒng)與用戶，用戶輸入信息之后交由Web服務器進行處理并將處理結果返回給瀏覽器，供用戶使用。若用戶有數(shù)據(jù)存儲需求，則Web服務器還需結合數(shù)據(jù)庫服務實施數(shù)據(jù)存儲操作。數(shù)據(jù)庫服務器通過對不同Web服務器發(fā)出各種數(shù)據(jù)處理請求進行協(xié)調以實現(xiàn)對數(shù)據(jù)庫的管理。

2.3 網(wǎng)絡數(shù)據(jù)庫的安全機制模型

B/S與C/S存在很多共同點，如都為網(wǎng)絡模式，都涉及到系統(tǒng)軟件及應用軟件等。為使整個網(wǎng)絡數(shù)據(jù)庫安全機制更加清晰，通過分析B/S及C/S模式的共同點及特點之后，可得到一個完整的網(wǎng)絡數(shù)據(jù)庫安全機制模型，如圖1所示。從圖中可以看出，每一層結構都對應著一套獨立的安全機制，且每一層結構都有對別層結構產(chǎn)生制約的機制，這使得每一層結構在完成自身任務的同時又可對別層的機制產(chǎn)生制約作用，層與層之間存在著密切的聯(lián)系，從而構成一套完整的網(wǎng)絡數(shù)據(jù)庫安全機制。此外，分層式的安全機制模式使得系統(tǒng)的安全結構非常清晰，在實際應用當中可根據(jù)不同的需求來選擇不同的工程，以提高系統(tǒng)任務處理的針對性和目的性。

圖1 網(wǎng)絡數(shù)據(jù)庫的安全機制模型

3 網(wǎng)絡數(shù)據(jù)庫各層的安全機制

3.1 網(wǎng)絡系統(tǒng)的安全機制

網(wǎng)絡數(shù)據(jù)庫安全機制的最主要機制是網(wǎng)絡系統(tǒng)安全機制。網(wǎng)絡系統(tǒng)安全是網(wǎng)絡數(shù)據(jù)庫安全的第一道屏障，外部入侵的首要攻擊對象就是網(wǎng)絡系統(tǒng)。網(wǎng)絡入侵的主要目的是破壞網(wǎng)絡數(shù)據(jù)庫信息系統(tǒng)的完整性、機密性及任何可信任的網(wǎng)絡活動，現(xiàn)網(wǎng)絡安全存在的主要威脅有身份竊取、數(shù)據(jù)竊取、錯誤路由、數(shù)據(jù)流分析等[2]。防止網(wǎng)絡系統(tǒng)被侵入的安全技術有很多，其主要包括防火墻技術、入侵檢測技術及協(xié)作式入侵監(jiān)測技術等。

防火墻技術是為保護網(wǎng)絡安全而使用的一種最為廣泛的防范技術。防火墻是網(wǎng)絡系統(tǒng)的第一道防線，其主要用于對可信任網(wǎng)絡及不可信任網(wǎng)絡之間的訪問通道進行監(jiān)督和控制，在內部網(wǎng)和外部網(wǎng)之間構建一道保護屏障，以攔截外部網(wǎng)的非法訪問，同時防止內部信息泄露，但是其無法攔截自內部網(wǎng)產(chǎn)生的非法操作。

入侵檢測是近些年來迅速發(fā)展的一種新型安全技術，入侵檢測綜合使用了各類先進的技術和方法，包括統(tǒng)計技術、網(wǎng)絡通信技術、人工智能、推理、規(guī)則方法、密碼學等，其主要用于對網(wǎng)絡系統(tǒng)是否存在被濫用或被入侵的征兆進行監(jiān)督和控制。檢測入侵思想于1987年由Derothy Denning提出，在多年的發(fā)展過程當中，入侵檢測技術不斷完善，并被列為對攻擊進行監(jiān)督和識別的標準解決方案，現(xiàn)入侵檢測已成為網(wǎng)絡安全防御的重要組成部分。

在親子繪樂課堂實施后，我園針對2017年參加該公益活動的家長采取問卷調查的方式，隨機發(fā)放了136張問卷，每份問卷10項評估指標。在家長的配合下，共收到有效反饋問卷85份，匯總反饋結果如下。

協(xié)作式入侵監(jiān)測技術有效彌補了單獨使用入侵監(jiān)測系統(tǒng)的不足，協(xié)作式入侵監(jiān)測技術是一個具完整性和統(tǒng)一性的入侵監(jiān)測體系，參與協(xié)作的各入侵監(jiān)測組件之間有著很好的互動性，其會自動交換入侵信息，通過信息的交換可有效監(jiān)測網(wǎng)絡入侵行為，且這種技術可廣泛應用于各網(wǎng)絡安全環(huán)境當中。

3.2 服務器操作系統(tǒng)的安全機制

服務器操作系統(tǒng)為網(wǎng)絡數(shù)據(jù)庫系統(tǒng)的運行提供了平臺，也為網(wǎng)絡數(shù)據(jù)庫提供了一定的安全保障?，F(xiàn)使用較多的服務器操作系統(tǒng)主要有Windows NT、Unix，其安全級別通常為C1、C2。服務器操作系統(tǒng)的安全技術主要包括安全策略、安全管理策略及數(shù)據(jù)安全等。安全策略主要用于對本地計算機的安全設置進行配置，包括賬戶安全、密碼安全、IP地址安全、審核安全、加密數(shù)據(jù)安全及用戶權限安全等方面，具體來說就是用戶的賬戶、口令、訪問權限、審計等。

安全管理策略主要是指網(wǎng)絡管理員為維護網(wǎng)絡系統(tǒng)安全而采取的一系列安全管理方法和策略。網(wǎng)絡環(huán)境和操作系統(tǒng)的不同，網(wǎng)絡管理員會采取不同的安全管理方法和策略。但總體而言，安全管理策略的目的主要還是保護服務器的安全并做好各類用戶權限的分配工作。服務器操作系統(tǒng)的數(shù)據(jù)安全具體體現(xiàn)在數(shù)據(jù)備份、數(shù)據(jù)加密、數(shù)據(jù)傳輸安全及數(shù)據(jù)存儲安全等方面。用于保護服務器操作系統(tǒng)數(shù)據(jù)安全的技術有很多，如Kerberos認證、TLS、VPN(PPTP、L2TP)、SSL、IPSec等。

3.3 數(shù)據(jù)庫管理系統(tǒng)的安全機制

基于網(wǎng)絡操作系統(tǒng)，網(wǎng)絡數(shù)據(jù)庫系統(tǒng)通常是以文件形式來管理網(wǎng)絡的，因此，網(wǎng)絡操作系統(tǒng)的安全直接影響了網(wǎng)絡數(shù)據(jù)庫的管理，入侵者可從網(wǎng)絡操作系統(tǒng)著手，利用網(wǎng)絡操作系統(tǒng)的漏洞來竊取網(wǎng)絡數(shù)據(jù)庫文件，或是對數(shù)據(jù)庫文件內容進行篡改或偽造[3]。一般網(wǎng)絡數(shù)據(jù)庫用戶很難發(fā)現(xiàn)這類網(wǎng)絡安全隱患，因為此類安全隱患的分析和解決通常會被歸為B2級數(shù)據(jù)安全技術措施。數(shù)據(jù)庫管理系統(tǒng)的安全機制則主要是為了解決這類安全隱患而設立的。在解決這類安全隱患的過程當中，系統(tǒng)會先尋找安全隱患的入侵途徑，若前兩個層次的安全機制已被突破，數(shù)據(jù)庫管理系統(tǒng)的安全機制則會發(fā)揮其作用保護數(shù)據(jù)庫的數(shù)據(jù)安全。這就要求數(shù)據(jù)庫管理系統(tǒng)必須擁有一套完整而強有力的安全管理機制。數(shù)據(jù)庫管理系統(tǒng)的安全技術主要包括視圖、審計跟蹤、存儲權限、觸發(fā)器、數(shù)據(jù)加密、數(shù)據(jù)備份和恢復等。

視圖機制主要用于隱藏用戶的私密數(shù)據(jù)，防止數(shù)據(jù)外泄，這在一定程度上為數(shù)據(jù)庫的數(shù)據(jù)安全提供了保障；存儲權限是指不同的用戶針對其隱私數(shù)據(jù)擁有一定的公開及隱藏權限，此外還有操作權限；數(shù)據(jù)加密主要是用于保護數(shù)據(jù)在被使用或是進行傳遞的過程當中不被修改或竊取，從而達到保護數(shù)據(jù)完整性和統(tǒng)一性的目的；數(shù)據(jù)備份和恢復是指在數(shù)據(jù)庫系統(tǒng)出現(xiàn)故障時，其能將數(shù)據(jù)庫系統(tǒng)還原至故障前狀態(tài)；審計跟蹤簡單來說就是給數(shù)據(jù)庫做一本日志，數(shù)據(jù)的修改、刪除、更新等都可通過審計跟蹤進行查詢，使數(shù)據(jù)的各種活動狀態(tài)都有證可循。

3.4 客戶端應用程序的安全機制

客戶端應用程序的安全機制是整個網(wǎng)絡數(shù)據(jù)庫安全機制當中最簡單也最實用的安全機制。相比于其他層次的數(shù)據(jù)庫，客戶端數(shù)據(jù)庫具很強的獨立性，其可在不受外界干擾與支配的前提下發(fā)揮數(shù)據(jù)庫安全機制的作用，并且其還可隨時進行更改?？蛻舳藨贸绦蚩煽刂朴脩舻卿浀暮戏ㄐ?、身份驗證等，其還可直接設置和管理自身數(shù)據(jù)庫的數(shù)據(jù)。加強控制和管理客戶端應用程序可有效保障客戶端應用程序的安全。此外，客戶端應用程序具很強的靈活性，其可自行更改數(shù)據(jù)庫數(shù)據(jù)，同時可使用多種技術對客戶端安全進行靈活管理，同時結合在COM+組件基礎上開發(fā)的用戶身份鑒定技術可使客戶端安全得到有效的控制和管理[4]。

4 利用DBMS安全機制防范網(wǎng)絡攻擊

4.1 認證與授權

認證是對請求服務的人或應用程序進行驗證的過程；授權是指將已通過身份認證的人或應用程序映射至已授予許可的數(shù)據(jù)庫用戶的過程，此過程限制了用戶行為需在數(shù)據(jù)庫允許內發(fā)生。認證主要是解決身份問題；而授權主要是解決行為問題。認證和授權技術主要有用戶標志與鑒別、存儲控制等。

4.2 備份與恢復

當系統(tǒng)出現(xiàn)故障時，通過數(shù)據(jù)備份及恢復，網(wǎng)絡管理員可迅速恢復數(shù)據(jù)庫的原有狀態(tài)，保證數(shù)據(jù)的完整和統(tǒng)一。數(shù)據(jù)庫備份方法主要有靜態(tài)備份、動態(tài)備份及邏輯備份等；數(shù)據(jù)庫恢復方法主要有磁盤鏡像、數(shù)據(jù)庫備份文件、數(shù)據(jù)庫在線日志等。

4.3 審計

利用審計可將用戶數(shù)據(jù)庫的所有活動記錄下來并存放至審計日志當中，如此一來，數(shù)據(jù)庫系統(tǒng)就可根據(jù)審計跟蹤來查詢數(shù)據(jù)庫的現(xiàn)有狀況及各數(shù)據(jù)的活動狀況等，從而將從事非法存取數(shù)據(jù)的人、時間及內容等找出來，這樣一方面方便網(wǎng)絡管理員追查非法存取數(shù)據(jù)的相關責任，另一方面也有助于網(wǎng)絡管理員及時發(fā)現(xiàn)系統(tǒng)安全漏洞及弱點，并及時修正，以進一步提高網(wǎng)絡數(shù)據(jù)庫的安全性，保證數(shù)據(jù)的統(tǒng)一性和完整性。

5 結語

網(wǎng)絡數(shù)據(jù)庫安全問題是一個具強綜合性和系統(tǒng)性的問題，在設計網(wǎng)絡數(shù)據(jù)庫安全機制的過程中，不僅要考慮每一個結構層的安全機制，而且還要注意層與層之間的緊密聯(lián)系，做到層層設防且保證設防不矛盾。隨著計算機技術及網(wǎng)絡技術的不斷發(fā)展，網(wǎng)絡數(shù)據(jù)庫的安全問題也會成為一個不斷發(fā)展的問題，而且伴隨入侵者入侵手段及技術的不斷提高，相關的安全技術也應不斷提高。只有不斷對新問題、新情況進行研究和處理，網(wǎng)絡數(shù)據(jù)庫的安全性才能得到不斷提高。

[1]孫宏志，任麗妍．網(wǎng)絡數(shù)據(jù)庫安全機制研究[J]．信息系統(tǒng)工程，2015(06)：58．

[2]嵇可可．認證技術下網(wǎng)絡數(shù)據(jù)庫安全機制研究應用分析[J]．硅谷，2012(16)：106-107．

[3]張萍．計算機網(wǎng)絡數(shù)據(jù)庫的安全機制問題初探[J]．信息與電腦(理論版)，2014(06)：99-100．

[4]陳聞凱．淺談網(wǎng)絡數(shù)據(jù)庫的安全機制策略[J]．科技致富向導，2013(08)：42．

Research on Security Mechanism of Network Database

Gan Lu1Shao Han2
(1.Xinyang Vocational and Technical College,Xinyang 464000,Henan; 2.Xinyang Normal University,Xinyang 464000,Henan)

With the rapid development of computer technology and Internet technology,people gradually enter the modern era of information.Using a variety of modern means of information,people's work and life become more convenient.But at the same time,there are criminals making the network security attacks.The security of network database is threatened,and the transmission and processing of information are affected,therefore a set of perfect security mechanism of network database needs to be developed to ensure the network database security.This article briefly introduces the basic concepts of network database security mechanism, network database model and its security mechanism model,analyzes the network database security mechanisms in each layer,and discusses on the use of DBMS security mechanism to prevent network attacks,so as to improve the network database safety and provide some suggestions.

network data storage;security mechanism;operating system

TP311.13

A

1008-6609(2016)05-0040-03

甘露，女，河南信陽人，碩士，講師，研究方向：計算機網(wǎng)絡與多媒體技術，計算機應用技術。