數(shù)據(jù)庫(kù)安全技術(shù)措施淺析

徐愛(ài)蕓

摘 要：隨著科技的不斷進(jìn)步，計(jì)算機(jī)應(yīng)用的深入和普及，數(shù)據(jù)庫(kù)系統(tǒng)的應(yīng)用為人們的生活提供了極大的便利，隨之也伴隨著很大的信息安全隱患，尤其是數(shù)據(jù)庫(kù)的安全性問(wèn)題顯得異常突出：數(shù)據(jù)泄密、數(shù)據(jù)被更改、數(shù)據(jù)庫(kù)遭到嚴(yán)重破壞。數(shù)據(jù)庫(kù)的安全管理和日常維護(hù)，是數(shù)據(jù)庫(kù)管理員需要重點(diǎn)關(guān)注的問(wèn)題。該文闡述了數(shù)據(jù)庫(kù)當(dāng)前面臨的主要安全問(wèn)題，管理的現(xiàn)狀，如何加強(qiáng)數(shù)據(jù)庫(kù)安全管理的措施。

關(guān)鍵詞：數(shù)據(jù)庫(kù);安全隱患;技術(shù);安全措施

1 前言

數(shù)據(jù)庫(kù)系統(tǒng)因具有數(shù)據(jù)的共享性高、冗余度低、較高的數(shù)據(jù)獨(dú)立性、整體結(jié)構(gòu)化等特點(diǎn)而得到廣泛的應(yīng)用，傳統(tǒng)數(shù)據(jù)庫(kù)應(yīng)用中的很大一部分用于商務(wù)領(lǐng)域，如銀行、證券、醫(yī)院、公司等，重要的領(lǐng)域如政府部門(mén)、國(guó)防軍工領(lǐng)域、高科技研究領(lǐng)域等，都需要使用數(shù)據(jù)庫(kù)來(lái)存儲(chǔ)數(shù)據(jù)信息。現(xiàn)代數(shù)據(jù)庫(kù)系統(tǒng)如多媒體數(shù)據(jù)庫(kù)、移動(dòng)數(shù)據(jù)庫(kù)、聯(lián)機(jī)事務(wù)處理系統(tǒng)、空間數(shù)據(jù)庫(kù)系統(tǒng)等，這些系統(tǒng)都要用DB作為信息的存儲(chǔ)體，承擔(dān)存儲(chǔ)信息和管理信息的重任。數(shù)據(jù)庫(kù)的存儲(chǔ)量大，點(diǎn)擊率高，極易遭到不良黑客的攻擊和破壞，使國(guó)家和人民的財(cái)產(chǎn)遭受損失。為了減少或避免因數(shù)據(jù)庫(kù)安全性差從而造成國(guó)家、企業(yè)和個(gè)人遭受損失，就要確保數(shù)據(jù)庫(kù)安全。所謂數(shù)據(jù)庫(kù)的安全性是指保護(hù)數(shù)據(jù)庫(kù)以防止非法用戶(hù)的越權(quán)使用、竊取、更改或破壞數(shù)據(jù)庫(kù)。數(shù)據(jù)庫(kù)安全涉及到很多層面，為確保整個(gè)應(yīng)用系統(tǒng)穩(wěn)定可靠運(yùn)行，需要進(jìn)一步加強(qiáng)對(duì)數(shù)據(jù)庫(kù)安全的保護(hù)，增強(qiáng)我們自身的防護(hù)意識(shí)，做好相應(yīng)的技術(shù)應(yīng)對(duì)。

2 數(shù)據(jù)庫(kù)存在的安全隱患

人們對(duì)數(shù)據(jù)庫(kù)安全的重視不夠，沒(méi)有對(duì)數(shù)據(jù)庫(kù)系統(tǒng)采取有效的安全防范措施，制定的安全策略不全面，使數(shù)據(jù)庫(kù)的安全性能沒(méi)有得到體現(xiàn)，使數(shù)據(jù)庫(kù)長(zhǎng)期處于不穩(wěn)定、不安全的狀態(tài);計(jì)算機(jī)電腦病毒種類(lèi)繁多，對(duì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)假冒攻擊、迂回攻擊、重發(fā)攻擊、越權(quán)攻擊等非法入侵?jǐn)?shù)據(jù)庫(kù)，惡意篡改數(shù)據(jù)庫(kù)中的數(shù)據(jù);用戶(hù)對(duì)特定數(shù)據(jù)庫(kù)目標(biāo)操作的許可和訪(fǎng)問(wèn)對(duì)象沒(méi)有明確步驟規(guī)定，用戶(hù)被賦予過(guò)多的超出其所需的權(quán)限，用戶(hù)非法訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)，出現(xiàn)了數(shù)據(jù)泄密和數(shù)據(jù)丟失的現(xiàn)象;軟件的漏洞，讓黑客有機(jī)可乘篡改數(shù)據(jù)庫(kù)中的數(shù)據(jù)，通過(guò)竊取、刪除數(shù)據(jù)來(lái)獲得利益，造成企業(yè)利益重大損失，嚴(yán)重的導(dǎo)致企業(yè)破產(chǎn)。

3 安全技術(shù)措施

首先數(shù)據(jù)庫(kù)系統(tǒng)要建立安全模型，實(shí)行多級(jí)安全機(jī)制;其次制定安全控制策略，實(shí)施最小權(quán)限原則;合理選擇審計(jì)機(jī)制，實(shí)行事后追蹤;對(duì)高度機(jī)密的數(shù)據(jù)進(jìn)行加密存儲(chǔ);建立常規(guī)的數(shù)據(jù)庫(kù)的備份和恢復(fù)機(jī)制，定期備份重要的數(shù)據(jù)，以防不測(cè)。

3.1 用戶(hù)認(rèn)證進(jìn)行身份鑒別

這是系統(tǒng)提供的最外層安全保護(hù)措施，用戶(hù)在進(jìn)入數(shù)據(jù)庫(kù)系統(tǒng)之前，系統(tǒng)根據(jù)用戶(hù)提供的用戶(hù)標(biāo)識(shí)和密碼進(jìn)行鑒定，驗(yàn)證用戶(hù)身份，只允許合法用戶(hù)進(jìn)入系統(tǒng)，防止未經(jīng)授權(quán)的人訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)。這種安全特性有安全驗(yàn)證和密碼加密、審計(jì)、密碼過(guò)期、最短密碼長(zhǎng)度，以及在多次登錄請(qǐng)求無(wú)效后鎖定賬號(hào)。隨著科技的發(fā)展，近年一些更加有效的身份驗(yàn)證技術(shù)迅速發(fā)展起來(lái)，如智能卡技術(shù)、物理特征（指紋、虹膜等）認(rèn)證技術(shù)，這些高強(qiáng)度的身份驗(yàn)證技術(shù)日益成熟，為更高的安全強(qiáng)度要求打下了堅(jiān)實(shí)的理論基礎(chǔ)。

3.2 存取管理控制

數(shù)據(jù)庫(kù)的重要特點(diǎn)是共享，可以供多個(gè)用戶(hù)和各種應(yīng)用程序所共享，但是各類(lèi)用戶(hù)的訪(fǎng)問(wèn)權(quán)限是不一樣的。存取控制是對(duì)合法用戶(hù)進(jìn)入系統(tǒng)后對(duì)數(shù)據(jù)的訪(fǎng)問(wèn)權(quán)限的控制，有兩種方法進(jìn)行訪(fǎng)問(wèn)控制，一是按功能模塊對(duì)用戶(hù)授權(quán)，每個(gè)功能模塊對(duì)不同用戶(hù)設(shè)置不同權(quán)限，有無(wú)權(quán)進(jìn)入本模塊、僅可查詢(xún)、可更新可查詢(xún)、全部功能可使用四種權(quán)限;二是自主訪(fǎng)問(wèn)控制DAC，針對(duì)不同的用戶(hù)進(jìn)行不同的權(quán)限分配，確保各類(lèi)用戶(hù)按擁有的權(quán)限對(duì)數(shù)據(jù)進(jìn)行操作。數(shù)據(jù)庫(kù)的用戶(hù)分為超級(jí)用戶(hù)、數(shù)據(jù)庫(kù)管理員、最終用戶(hù)，超級(jí)用戶(hù)權(quán)限最高，可以進(jìn)入數(shù)據(jù)核心區(qū)域，進(jìn)行刪除、改寫(xiě)、管理和維護(hù)數(shù)據(jù)庫(kù);管理員按照最小權(quán)限原則對(duì)訪(fǎng)問(wèn)數(shù)據(jù)的用戶(hù)分發(fā)權(quán)限，僅賦予用戶(hù)完成工作所需的最小權(quán)限，并進(jìn)行鑒別;最終用戶(hù)一般只能讀取數(shù)據(jù)，不能對(duì)數(shù)據(jù)進(jìn)行更新操作。它是數(shù)據(jù)庫(kù)安全系統(tǒng)中的核心技術(shù)，也是最有效的安全手段，DBMS主要是基于角色的訪(fǎng)問(wèn)控制RBAC。

3.3 推理控制

對(duì)于合法用戶(hù)可能會(huì)通過(guò)一些數(shù)學(xué)和編寫(xiě)程序的方法得到他無(wú)權(quán)訪(fǎng)問(wèn)的數(shù)據(jù)，如用戶(hù)可以通過(guò)合法的查詢(xún)得到的數(shù)據(jù)，經(jīng)過(guò)計(jì)算進(jìn)行推理分析得出其它要保密的數(shù)據(jù);通過(guò)編程繞過(guò)DBMS及其授權(quán)機(jī)制修改數(shù)據(jù)庫(kù)中敏感保密的數(shù)據(jù)，這是DBMS的一個(gè)缺陷。這種情況可以對(duì)數(shù)據(jù)進(jìn)行擾動(dòng)處理，對(duì)特別要保護(hù)的數(shù)據(jù)先進(jìn)行數(shù)學(xué)運(yùn)算，再存儲(chǔ);還可以限制數(shù)據(jù)的計(jì)算精度，這樣即使有人對(duì)數(shù)據(jù)進(jìn)行了計(jì)算分析，由于精度不夠，計(jì)算出的數(shù)據(jù)就有誤差，也難于判斷出原始數(shù)據(jù)。

3.4 建立審計(jì)機(jī)制

審計(jì)機(jī)制是把用戶(hù)對(duì)數(shù)據(jù)庫(kù)的所有操作進(jìn)行監(jiān)控和記錄，DBA可以根據(jù)審計(jì)日志還原導(dǎo)致數(shù)據(jù)庫(kù)出現(xiàn)狀況的一系列操作，并找出非法存取數(shù)據(jù)的用戶(hù)、時(shí)間、操作內(nèi)容，這就是審計(jì)機(jī)制。為保證數(shù)據(jù)庫(kù)系統(tǒng)的安全審計(jì)功能，還可以布置系統(tǒng)自動(dòng)報(bào)警功能，當(dāng)系統(tǒng)檢測(cè)到有危害到系統(tǒng)安全的事件發(fā)生并達(dá)到預(yù)定的閾值時(shí)，對(duì)安全侵害事件做出自動(dòng)響應(yīng)，同時(shí)自動(dòng)斷開(kāi)用戶(hù)的連接，終止服務(wù)，并阻止該用戶(hù)再次登錄系統(tǒng)。

3.5 數(shù)據(jù)加密

如果數(shù)據(jù)庫(kù)中存儲(chǔ)的是非常重要、不允許泄露的機(jī)密數(shù)據(jù)，如財(cái)務(wù)數(shù)據(jù)、國(guó)防軍事數(shù)據(jù)、國(guó)家統(tǒng)計(jì)數(shù)據(jù)等，則最后的防范就是采用數(shù)據(jù)加密技術(shù)，將絕密數(shù)據(jù)（稱(chēng)為明文）通過(guò)算法和密鑰，轉(zhuǎn)換為一種難于直接辨認(rèn)的密文，數(shù)據(jù)庫(kù)存儲(chǔ)密文。在需要數(shù)據(jù)時(shí)將密文取出，通過(guò)逆運(yùn)算將密文轉(zhuǎn)換成可識(shí)別的明文。數(shù)據(jù)庫(kù)加密系統(tǒng)能夠有效地保證數(shù)據(jù)的安全，即使黑客竊取了關(guān)鍵數(shù)據(jù)，他仍然難以得到所需的信息。另外，數(shù)據(jù)庫(kù)加密以后，不需要了解數(shù)據(jù)內(nèi)容的系統(tǒng)管理員不能見(jiàn)到明文，大大提高了關(guān)鍵數(shù)據(jù)的安全性。另外還應(yīng)該對(duì)數(shù)據(jù)進(jìn)行加密存檔，對(duì)存檔數(shù)據(jù)的訪(fǎng)問(wèn)和使用情況進(jìn)行嚴(yán)格監(jiān)視，以減少內(nèi)部人威脅。

3.6 數(shù)據(jù)備份與恢復(fù)

盡管在數(shù)據(jù)庫(kù)系統(tǒng)中采取了各種措施保證數(shù)據(jù)庫(kù)中數(shù)據(jù)的安全性和完整性，但數(shù)據(jù)庫(kù)系統(tǒng)在運(yùn)行時(shí)仍可能遇到故障，如各類(lèi)硬故障和軟故障，造成系統(tǒng)出現(xiàn)錯(cuò)誤，終止系統(tǒng)的運(yùn)行，使數(shù)據(jù)庫(kù)中的數(shù)據(jù)部分或全部丟失。因此數(shù)據(jù)庫(kù)的備份與恢復(fù)為防止重要數(shù)據(jù)的丟失或損壞提供了最直接簡(jiǎn)單的措施。單位必須建立一套完整的數(shù)據(jù)庫(kù)備份制度，定期進(jìn)行數(shù)據(jù)庫(kù)的完整備份和差異備份，日志文件的備份，異地備份。當(dāng)系統(tǒng)發(fā)生故障時(shí)，DBA就能利用已有的數(shù)據(jù)備份，把數(shù)據(jù)庫(kù)恢復(fù)到某個(gè)一致性狀態(tài)，從而保障系統(tǒng)能很快恢復(fù)運(yùn)行。

3.7 提升信息安全等級(jí)

我國(guó)為推動(dòng)國(guó)產(chǎn)數(shù)據(jù)庫(kù)安全產(chǎn)品產(chǎn)業(yè)化，已建立信息安全等級(jí)保護(hù)制度，出臺(tái)了配套的標(biāo)準(zhǔn)和措施，以提升自主研發(fā)和生產(chǎn)的數(shù)據(jù)庫(kù)安全產(chǎn)品和服務(wù)的水平。具有自主知識(shí)產(chǎn)權(quán)的云數(shù)據(jù)安全管理技術(shù)快速成長(zhǎng)，為我國(guó)戰(zhàn)略安全保駕護(hù)航。

4 結(jié)束語(yǔ)

數(shù)據(jù)庫(kù)安全是一個(gè)永恒的問(wèn)題，涉及的數(shù)據(jù)和程序繁瑣而又復(fù)雜，不斷有新的挑戰(zhàn)，如何系統(tǒng)性、綜合性的解決數(shù)據(jù)庫(kù)的安全問(wèn)題任重而道遠(yuǎn)。只有不斷探索，研發(fā)新的數(shù)據(jù)庫(kù)保護(hù)技術(shù)，給系統(tǒng)的數(shù)據(jù)庫(kù)安全提供堅(jiān)強(qiáng)的保障。

參考文獻(xiàn)

[1]李翼，孟莉.Oracle數(shù)據(jù)庫(kù)安全管理淺析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（09）.

[2]薛玉芳，李潔瓊，李亞軍.數(shù)據(jù)庫(kù)安全與防護(hù)性的技術(shù)研究[J].中國(guó)新技術(shù)新產(chǎn)品，2011（03）.

[3]劉啟原，劉怡.數(shù)據(jù)庫(kù)與信息系統(tǒng)的安全[M].科學(xué)出版社，2000.