淺析網絡環境下數據庫安全體系問題

陳居權

摘 要：如今，計算機及其網絡系統的發展已經成為現代信息系統的發展標志?，F代計算機和高速網絡正在向著商用化、民用化以及家用化的方向發展，而且在人類社會及經濟活動中發揮著至關重要的作用。因此，信息的安全已經成為人們研究與關注的重點。文章對當前網絡環境下數據庫所面臨的威脅作了分析，包括完整性、保密性、可用性以及一致性這四個方面，對加強網絡環境下數據庫安全體系的構建提出了相應的建議。

關鍵詞：網絡環境；數據庫安全體系；威脅；建議

1 概述

眾所周知，開放性是網絡環境最顯著的特點，人們對于網絡的利用率正在日益提升。如果我們把網絡環境比作市場，那么該市場中具備豐富的信息與資源，人們可以在這個開放的市場中自由進行數據的交換與傳輸。在網絡環境中，這些信息與資源需要數據庫的承載，網絡數據庫與其他數據庫最顯著的特點在于其能夠實現資源共享[1]。我們平時所接觸到的網站、社交軟件等，都是在網絡數據庫的支持下發展起來的。人類生產生活離不開網絡，甚至社會對網絡系統的依賴性也越來越強。因此，我們必須對網絡環境下數據庫安全體系問題進行研究。

2 網絡環境下數據庫所面臨的威脅

2.1 完整性

所謂數據庫的完整性主要是指確保其內部數據不被破壞與刪除。在操作系統中，網絡數據庫系統通過文件的形式進行管理，對入侵者而言，他們可以在網絡下研究操作系統漏洞來竊取或者修改數據庫文件，這些操作在網絡數據庫用戶毫無察覺的情況下進行。通過數據庫系統可以看出，很多數據庫管理員經常對安全隱患及不正當配置進行忽略，數據庫廠商也沒有提供專業審計接口，或者提供了設計接口，其功能也不健全。此外，我國現階段網絡環境中的數據庫系統中，面臨著來自多方面的攻擊印花UN。例如，SQL Server便有多方面的攻擊隱患存在，包含通過網絡嗅探方式獲取密碼、通過SQL Agent繞過訪問控制機制、存在于UDP監控器端口上的緩沖區溢出等等。

2.2 保密性

數據庫保密性指的是確保數據庫數據不被泄露以及未經授權的獲取等。SQL Server在進行網絡數據交換時，采用了Tabular Data Stream協議，這一過程中如果不進行加密操作，被其他無關人員截取和篡改的可能性非常大。所以，在用戶或者應用程序有必要進行數據庫訪問時，需要有相互交換憑證的過程。為了避免窺探網絡通信做出違法行為，要對這些信息進行加密處理。

2.3 可用性

數據庫可用性指的是保證授權用戶能夠隨時獲得對數據庫中數據的使用權，而不受其他因素的影響[2]。一般而言，在對數據庫進行訪問時，僅僅可以通過用戶控制這種方式來進行。前文已經提及，網絡環境具有開放性，數據庫不僅要保證為用戶提供足夠方面的服務，而且還面臨著來自網絡中的其他惡意攻擊，使得密碼保護的難度大大提升，網絡用戶的可用性威脅增加。

2.4 一致性

數據庫的一致性在于保證數據庫中的數據能夠確保實體的完整性、參照完整性以及用戶定義的完整性。如今，大部分站點在對網絡數據庫形式進行配合時利用了ASP、PHP、JSP等腳本語言。倘若不對網頁中用戶提交的數據做出有效分析與判斷，那么，一些不法分子在瀏覽信息時便能夠使用提交自行構造的數據庫進行代碼查詢，做出“SQL注入”攻擊。因此，我們必須通過應用程序代碼安全性這一角度來確保數據庫系統的安全。

3 網絡環境下數據庫安全體系的構建的策略

在網絡環境下，因為網絡的開放性特點決定了數據庫安全所面臨的威脅，我們必須通過加強管理構建科學的數據庫安全體系，提升數據庫的安全性，減少不必要的損失。

3.1 數據庫的物理安全

這一方面是確保數據庫安全的最根本環節。通過這一環節，數據庫服務器、存放環境以及網絡等物理安全都能夠得到有效保障。通常情況下，數據庫的物理安全指的是與服務器相連的網絡電線和交換機的安置環境是否合理，要確保這些設備免受來自自然災害或者人為災害的侵襲，例如電壓不穩定、雷電、火災等自然災害或者人為破壞物理設備等等。

3.2 用戶身份確認

該環節是系統提供的第一道安全保護閘門。要保障用戶每次在進行數據庫訪問時，都要經過身份驗證，如果用戶不能提供正確的登錄口令，那么就說明其身份信息有誤，那么用戶便無法進入數據庫。通過這種方式，避免非授權用戶對數據庫的惡意訪問，防止其對數據庫內部信息的破壞與篡改。當前形勢下，最為常見的身份驗證手段為用戶名/密碼形式。但是也有技術含量更高的驗證方式，并且正在普及開來：例如智能IC卡、人臉檢測、指紋識別等技術。只有經過數據庫的授權和驗證過程，才能夠判斷其是否為合法用戶，從而完成對用戶的身份識別過程。

3.3 訪問控制技術的使用

訪問控制技術指的是對已經進入系統的用戶進行訪問權限的控制，能夠有效防范系統的安全漏洞，也可以說是數據安全體系構建的核心技術。訪問控制指的是對訪問數據庫的用戶進行分類，防止沒有授權的用戶惡意訪問。要想實現對數據庫中信息的讀、寫、刪除以及查詢等操作，必須要通過數據庫的授權才能夠進行。通常情況下，對用戶的授權方式主要包含以下兩種：即按功能模塊進行授權和賦予用戶數據庫系統權限。該技術可以說是數據庫安全技術中最為常見，而且最為有效的方法，可以說是一種核心技術。

3.4 數據加密技術

通常情況下，數據庫系統提供的安全防范措施能夠滿足數據庫日常安全需求。然而，當數據較為重要時，如果僅僅采用前文所述的幾種安全防范措施遠不能達到安全要求，例如軍事數據、國家機密以及企業財務數據等等。為了提升對重要數據的保護程度，往往需要引入數據加密技術，對數據存儲的安全性進行提升。我們知道，網絡環境中的數據具有共享性，我們要充分針對這一點，利用公開密鑰的加密方式[3]。公開密鑰加密方式能夠有效防范來自操作系統以及DBMS的攻擊，然而，這種方式只是對數據庫中部分機密數據進行加密，無法對全部數據進行保護。

3.5 數據備份與恢復

在網絡環境下，數據庫系統運行時，我們不能對系統的軟硬件問題作出絕對性的保障。倘若數據庫被入侵或者被攻擊、被來自自然方面或者人為方面的物理損壞等，導致數據被修改或者丟失，有了備份數據而且在短時間內恢復被損數據，那么這些問題所造成的影響非常小[4]。因此，要想切實保護好數據庫，提升其安全性，我們有必要定期對數據進行備份。通常情況下，數據庫的備份方式主要包含：動態、靜態以及邏輯備份。在數據庫的恢復中，采用磁盤鏡像、在線日志的形式較為普遍。

網絡環境下要想真正構建數據庫安全體系，必須從防范開始，不斷提升防御能力，抵御來自外界和內部的各種攻擊。

參考文獻

[1]邵佩英.數據庫安全應用服務器的研究與實現[J].軟件學報，2001，12（1）：154-158.

[2]王靜.網絡環境下的數據庫安全綜述[J].合作經濟與科技，2009（5）：38-39.

[3]熊忠良.關于網絡環境下數據庫安全機制問題的若干思考[J].計算機光盤軟件與應用，2012（11）：34-35.

[4]付金榮，王淑萍.淺談網絡環境下數據庫的安全及防范措施[J].計算機光盤軟件與應用，2011（14）：99.