網絡數據庫安全研究與應用

石家莊科技信息職業學院信息科學系 張健

網絡數據庫安全研究與應用

石家莊科技信息職業學院信息科學系 張健

隨著因特網的擴大、數據庫技術的成熟,網絡數據庫的安全性問題顯得日益重要。從外圍層的安全和核心層的安全兩個方面闡述網絡數據庫安全性策略和應用。

計算機網絡數據庫軟件管理

在計算機和網絡基礎設施不斷完善的同時,計算機黑客及病毒也在不斷的自我壯大,并且以計算機網絡數據庫為攻擊對象。由此可見,計算機網絡數據庫安全存在的主要問題也就是易受計算機黑客及病毒的攻擊。因此,對計算機網絡數據庫安全的管理就顯得尤為重要。而對計算機網絡數據庫受攻擊的防護措施主要由第一道防護線——防火墻,和第二道防護線——入侵監測系統兩部分組成。

一、防火墻

防火墻是傳統的計算機網絡防護措施,目前的防火墻產品主要有堡壘主機、包過濾路由器、應用層網關(代理服務器)以及電路層網關、屏蔽主機防火墻、雙宿主機等類型。防火墻處于5層網絡安全體系中的最底層,屬于網絡數據庫軟件層安全技術范疇。作為內部網絡與外部公共網絡之間的第一道屏障,防火墻是最先受到人們重視的網絡安全產品之一。雖然從理論上看,防火墻處于網絡安全的最底層,負責網絡間的安全認證與傳輸,但隨著網絡安全技術的整體發展和網絡應用的不斷變化,現代防火墻技術已經逐步走向網絡層之外的其他安全層次,不僅要完成傳統防火墻的過濾任務,同時還能為各種網絡應用提供相應的安全服務。根據防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型、網絡地址轉化2NAT、代理型。

二、入侵檢測系統

由于防火墻只防外不防內,并且很容易被繞過,所以僅僅依賴防火墻的計算機系統已經不能對付日益猖獗的入侵行為,對付入侵行為的第二道防線——入侵檢測系統就被啟用了。入侵檢測系統(IDS)即檢測企圖破壞計算機資源的完整性,真實性和可用性的行為的軟件。(Anderson)入侵檢測系統執行的主要任務包括:監視、分析用戶及系統活動;審計系統構造和弱點;識別、反映已知進攻的活動模式,向相關人士報警;統計分析異常行為模式;評估重要系統和數據文件的完整性;審計、跟蹤管理操作系統,識別用戶違反安全策略的行為。入侵檢測一般分為三個步驟:信息收集、數據分析、響應。入侵檢測的目的:(1)識別入侵者;(2)識別入侵行為;(3)檢測和監視以實施的入侵行為;(4)為對抗入侵提供信息,阻止入侵的發生和事態的擴大。

現有的入侵檢測系統(IDS)的分類,大都基于信息源和分析方法。為了體現對IDS從布局、采集、分析、響應等各個層次及系統性研究方面的問題,在這里采用五類標準:控制策略、同步技術、信息源、分析方法、響應方式。(1)按照控制策略分類?？刂撇呗悦枋隽薎DS的各元素是如何控制的,以及IDS的輸入和輸出是如何管理的。按照控制策略IDS可以劃分為,集中式IDS、部分分布式IDS和全部分布式IDS。(2)按照同步技術分類。按照同步技術劃分,IDS劃分為間隔批任務處理型IDS和實時連續性IDS。在間隔批任務處理型IDS中,信息源是以文件的形式傳給分析器,一次只處理特定時間段內產生的信息,并在入侵發生時將結果反饋給用戶。在實時連續型IDS中,事件一發生,信息源就傳給分析引擎,并且立刻得到處理和反映。按照信息源分類(3)按照信息源分類。按照信息源分類是目前最通用的劃分方法,它分為基于主機的IDS、基于網絡的IDS和分布式IDS。基于主機的IDS通過分析來自單個的計算機系統的系統審計蹤跡和系統日志來檢測攻擊?；谥鳈C的IDS是在關鍵的網段或交換部位通過捕獲并分析網絡數據包來檢測攻擊。(4)按照分析方法分類。按照分析方法IDS劃分為濫用檢測型IDS和異常檢測型IDS。濫用檢測型的IDS中,首先建立一個對過去各種入侵方法和系統缺陷知識的數據庫,當收集到的信息與庫中的原型相符合時則報警。任何不符合特定條件的活動將會被認為合法,因此這樣的系統虛警率很低。(5)按照響應方式分類。按照響應方式IDS劃分為主動響應IDS和被動響應IDS。當特定的入侵被檢測到時,主動IDS會采用以下三種響應:收集輔助信息;改變環境以堵住導致入侵發生的漏洞;對攻擊者采取行動。被動響應IDS則是將信息提供給系統用戶,依靠管理員在這一信息的基礎上采取進一步的行動。

三、創建穩定、可靠的服務

網絡化勢在必行,但不是簡單地為要有網絡而建網絡。建立了網絡就要發揮出網絡及網絡數據庫的效率與效益,要能提高管理水平。要開發必要的網絡數據應用軟件系統,勢必帶來更深層次的工作模式和管理模式的變革。要發揮網絡和網絡數據庫的效益,必須對全體人員進行必要而且充分的培訓,這也應是網絡安全計劃的重要組成部分。建網工作,不光是計算中心或電算室的工作,而是全體勘測設計人員乃至管理人員的工作,需全體人員共同努力,才能真正發揮網絡的作用,才能真正達到建網的根本目的。創建一個穩定、可靠的服務是一個網絡數據系統管理員的重要工作。在進行這項工作時網絡數據系統管理員必須考慮許多基本要素,其中最重要的就是在設計和開發的各個階段都要考慮到用戶的需求。要和用戶進行交流,去發現用戶對服務的要求和預期,然后把其它的要求如管理要求等列一個清單,這樣的清單只能讓系統管理員團隊的人看到。在這樣一個過程中“是什么”比“怎么樣”更重要,否則在具體執行時很容易就會陷入泥潭而失去目標。為了可靠性和安全性,對服務器的訪問權限應當進行限制,只有系統管理員才能具有訪問權限。總之,對于網絡數據庫安全的管理主要就是防止黑客及病毒的入侵,而防止黑客機病毒的最好解決辦法就是要使用防火墻和入侵檢測系統(IDS)相結合,達到內外防治的效果,從而維護計算機網絡數據庫軟件的安全。

[1]王鋒波.基于數據開采技術的入侵檢測系統.自動化博覽2001年8月

[2]張杰.入侵檢測系統技術現狀及其發展趨勢.計算機與通信2002年6月

book=0,ebook=117