計算機數(shù)據(jù)庫的安全防范措施核心探究

(江西科技學(xué)院 江西 南昌 330029)

近年來，網(wǎng)絡(luò)信息技術(shù)迅猛發(fā)展，計算機網(wǎng)絡(luò)在各行業(yè)、各領(lǐng)域中不斷普及，計算機數(shù)據(jù)庫在社會經(jīng)濟發(fā)展中也起到越來越重要的作用。由于當(dāng)前對計算機數(shù)據(jù)庫的安全性和穩(wěn)定性需求不斷增加。在計算機數(shù)據(jù)庫的運行使用中，開始越來越多地引入安全防范措施，以保護數(shù)據(jù)庫中存儲的信息，避免可能出現(xiàn)的各類破壞或攻擊干擾數(shù)據(jù)庫的正常運行。本文首先概述計算機數(shù)據(jù)庫面臨的各類風(fēng)險問題，以及計算機數(shù)據(jù)庫安全防范機制的主要內(nèi)容，再分析各類安全防范措施的核心技術(shù)。

一、計算機數(shù)據(jù)庫面臨的主要風(fēng)險問題

計算機數(shù)據(jù)庫主要面臨內(nèi)部破壞和外部攻擊兩方面的風(fēng)險隱患。內(nèi)部破壞是指計算機系統(tǒng)自身運行不當(dāng)產(chǎn)生的破壞，例如系統(tǒng)性能問題導(dǎo)致的系統(tǒng)癱瘓，操作方法不當(dāng)導(dǎo)致的安全漏洞或數(shù)據(jù)丟失，以及機械破壞導(dǎo)致的物理損壞等。內(nèi)部破壞會直接導(dǎo)致計算機數(shù)據(jù)庫出現(xiàn)數(shù)據(jù)損壞，無法正常訪問。

外部攻擊造成的風(fēng)險更大，會通過木馬、病毒全面攻擊計算機數(shù)據(jù)庫，竊取或篡改數(shù)據(jù)庫中的信息，引發(fā)數(shù)據(jù)庫癱瘓，向計算機發(fā)送大量的有害信息文件，引發(fā)嚴(yán)重的安全問題和經(jīng)濟損失。不法分子通常利用郵件或網(wǎng)頁鏈接的形式植入木馬和病毒，一旦數(shù)據(jù)庫用戶打開鏈接，就會將木馬和病毒激活，從而引發(fā)攻擊。

二、計算機數(shù)據(jù)庫安全防范機制的主要內(nèi)容

為了加強計算機數(shù)據(jù)庫安全性，需要針對網(wǎng)絡(luò)系統(tǒng)、服務(wù)器系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)三個部分分別采取安全防范措施。在網(wǎng)絡(luò)系統(tǒng)中，主要采用防火墻和網(wǎng)絡(luò)入侵檢測等方法建立安全機制，阻止網(wǎng)絡(luò)中的黑客、木馬、病毒等對計算機數(shù)據(jù)庫發(fā)起的攻擊，提高數(shù)據(jù)庫在網(wǎng)絡(luò)環(huán)境下的安全性能。在服務(wù)器系統(tǒng)中，主要采取身份驗證、權(quán)限等級控制等方法建立安全機制，以提升服務(wù)器系統(tǒng)的保障強度，保護數(shù)據(jù)庫的正常運行。在數(shù)據(jù)庫管理系統(tǒng)中，主要使用數(shù)據(jù)備份技術(shù)和存取控制技術(shù)等，避免數(shù)據(jù)庫由于操作失誤遭受不可挽回的損失，并提高數(shù)據(jù)庫的抗風(fēng)險能力。

三、計算機數(shù)據(jù)庫安全防范措施的核心技術(shù)

(一)防火墻技術(shù)。在計算機數(shù)據(jù)庫的安全防范工作當(dāng)中，最重要的就是防火墻技術(shù)。使用防火墻，可以首先擊退數(shù)據(jù)庫面臨的大多數(shù)外部攻擊，在絕大多數(shù)情況下可以有效保障數(shù)據(jù)庫的穩(wěn)定性與安全性。對數(shù)據(jù)庫進行安全防范時，既可以使用軟件防火墻，也可使用硬件防火墻。軟件防火墻指的是擁護在計算機系統(tǒng)中安裝的防火墻程序，由于占用系統(tǒng)資源，因此性能較差，一般只能夠起到信息包過濾的作用，因此較少使用于大型的數(shù)據(jù)庫當(dāng)中。硬件防火墻則直接嵌入單獨的硬件當(dāng)中，不占用系統(tǒng)資源，具有更多種功能。在網(wǎng)絡(luò)中傳輸?shù)男畔⑦M入計算機數(shù)據(jù)庫時，可以通過硬件防火墻對通信連接點發(fā)起狀態(tài)檢測，不但能夠?qū)π畔⑽募M行嚴(yán)格的審核過濾，檢查是否含有木馬、病毒等，還能夠有效檢查通信連接規(guī)則，為計算機數(shù)據(jù)庫構(gòu)造對外隔離控制功能，將危險信息與數(shù)據(jù)庫隔離開來，避免不法分子侵入數(shù)據(jù)庫，同時阻止數(shù)據(jù)庫中的信息對外非法流出。在計算機數(shù)據(jù)庫中，還可以配備不同級別的硬件防火墻，分別保護不同安全等級的數(shù)據(jù)信息。

(二)訪問權(quán)限控制技術(shù)。在計算機數(shù)據(jù)庫中，經(jīng)常對不同的用戶設(shè)置不同的訪問權(quán)限等級，以控制用戶的訪問行為，避免關(guān)鍵信息發(fā)生泄漏。用戶必須在計算機數(shù)據(jù)庫中取得相應(yīng)的訪問權(quán)限，才可以獲取該權(quán)限下所能傳輸?shù)男畔⒎N類。訪問控制是最基本的安全防范技術(shù)之一，可以有效預(yù)防大范圍的黑客攻擊。有時在大型的計算機數(shù)據(jù)庫運行過程中，還可以設(shè)置專門的系統(tǒng)管理員，對用戶的訪問權(quán)限進行人工審核，以避免不法分子惡意攻擊數(shù)據(jù)庫。

訪問權(quán)限控制技術(shù)還可以與數(shù)據(jù)加密技術(shù)結(jié)合使用，以便更好地管控數(shù)據(jù)庫的信息訪問。通過使用數(shù)據(jù)加密技術(shù)，可以將數(shù)據(jù)庫中儲存的所有信息進行單獨加密，讓不法分子入侵?jǐn)?shù)據(jù)庫后，仍然無法行直接獲取數(shù)據(jù)庫中儲存的信息。此外，還可以對數(shù)據(jù)庫采用多重訪問加密，對于某些關(guān)鍵的數(shù)據(jù)模塊，要求用戶設(shè)置單獨的密碼，進一步增加黑客入侵的難度。

(三)入侵檢測技術(shù)。入侵檢測技術(shù)是對防火墻技術(shù)的一個補充，對于某些防火墻未能檢測到的病毒，可以通過入侵檢測技術(shù)加以處理。入侵檢測技術(shù)通過詳細的病毒信息匯總記錄，將各類病毒的信息體現(xiàn)為數(shù)據(jù)庫表，猶如生物的免疫系統(tǒng)，一旦計算機數(shù)據(jù)庫再次受到同類的病毒攻擊，入侵檢測技術(shù)就能夠立刻發(fā)揮作用，將病毒直接攔截下來。使用入侵檢測技術(shù)，能夠顯著提高計算機數(shù)據(jù)庫的安全性。

入侵檢測技術(shù)又可以分為異常檢測和誤用檢測兩種模式。異常檢測是通過數(shù)據(jù)庫表，對系統(tǒng)正常運行狀態(tài)進行匯總分析，從而發(fā)現(xiàn)病毒入侵行為與正常訪問行為的差異，最終有效檢測到病毒的入侵行為。誤用檢測則是對病毒入侵的行為進行匯總分析，從而在同類病毒再次入侵時立刻發(fā)現(xiàn)該入侵行為，及時阻斷入侵。誤用檢測對病毒庫水平的要求較高，因此較少得到使用。

(四)數(shù)據(jù)備份技術(shù)。對計算機數(shù)據(jù)庫中的信息數(shù)據(jù)進行備份，可以在系統(tǒng)損壞、數(shù)據(jù)丟失時進行補救。有時數(shù)據(jù)庫受到木馬、病毒的入侵，會發(fā)生癱瘓或遭到篡改，此時可以將備份的數(shù)據(jù)信息恢復(fù)到數(shù)據(jù)庫當(dāng)中，使數(shù)據(jù)庫重新開始正常運行，有時工作人員出現(xiàn)操作失誤，導(dǎo)致數(shù)據(jù)庫的信息損壞，或者由于自然災(zāi)害等，導(dǎo)致計算機發(fā)生硬件損壞丟失信息，這時都可以使用備份數(shù)據(jù)以挽回?fù)p失。隨著當(dāng)今計算機與網(wǎng)絡(luò)規(guī)模的快速擴張，數(shù)據(jù)庫一旦發(fā)生信息丟失，所產(chǎn)生的損失也越來越大，因此工作人員必須定期做好數(shù)據(jù)備份工作，以便數(shù)據(jù)丟失之后能夠進行充分恢復(fù)。

(五)身份驗證技術(shù)。絕大多數(shù)計算機數(shù)據(jù)庫中都使用了身份驗證技術(shù)對用戶訪問進行控制，較小的數(shù)據(jù)庫采用用戶名、密碼的方式為用戶提供登錄驗證。較大規(guī)模的數(shù)據(jù)庫在密碼驗證的基礎(chǔ)上，還會增加身份證識別、手機驗證、人臉識別等多種驗證方法，保證用戶的訪問行為足夠安全可靠。不過，數(shù)據(jù)庫中的身份驗證信息一旦被不法分子竊取，反而有可能造成更大的損失，用戶如果丟失了登錄設(shè)備，也有可能為不法分子提供入侵?jǐn)?shù)據(jù)庫的渠道，因此無論是管理人員還是用戶，都要注意加強防范，避免安全措施為不法分子所用。

(六)存取控制技術(shù)。存取控制技術(shù)是對身份驗證技術(shù)和訪問權(quán)限控制技術(shù)的補充，以進一步提高數(shù)據(jù)庫的安全防范水平。存取控制技術(shù)包括自主型、強制型兩種模式。在自主型模式中，用戶獲取數(shù)據(jù)后即可得到數(shù)據(jù)的所有存取權(quán)限，并可以靈活使用該權(quán)限，這一模式容易被不法分子利用，造成數(shù)據(jù)庫中的信息泄漏，目前已經(jīng)較少采用。強制型存取控制則將用戶和數(shù)據(jù)信息分為不同的安全級別，強制型存取控制中，計算機用戶可以根據(jù)數(shù)據(jù)庫中文件的安全要求設(shè)計不同的安全級別，對于不同級別的用戶，分別取得相應(yīng)的存取權(quán)限范圍，從而縮小黑客對數(shù)據(jù)庫的攻擊范圍。