計算機網絡數據庫存在的安全威脅與措施

摘 要：數據庫技術得到了廣泛應用因互聯網技術的發展，黑客攻擊電腦的重要途徑是數據庫技術的漏洞，帶給計算機系統非常大的安全威脅。本文主要針對計算機網絡數據庫中存在的各種安全威脅進行分析，提出相應的應對措施，從而對計算及網絡數據庫的安全管理提出借鑒意義。

關鍵詞：計算機網絡 數據庫 安全威脅 對策

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1672-3791（2013）02（c）-0025-01

1 計算機網絡數據庫安全概述

對數據庫進行安全保護，可以有效的避免非法用戶通過竊取、使用、毀壞或更改數據。針對網絡數據庫的安全問題，主要涵蓋以下幾個方面：第一，完整的邏輯性。對數據庫的整體結構進行保護，只針對部分字段進行修改，其余字段不受影響；第二，完整的物理性。物理及自然問題對數據庫不會產生破壞，例如設備故障或電力故障等；第三，安全的元素性。所有正確的元素均存儲于數據庫中；第四，訪問權的控制。對數據庫的訪問時，用戶只有通過授權才能進行訪問，并且不同的用戶授權的方法是不同的；第五，可審計性。可以對數據庫的元素進行修改；第六，可用性。對于授權的用戶而言，能夠對數據庫自由的進行訪問。第七，身份驗證。對數據訪問時，需要嚴格的身份驗證。

2 計算機網絡數據庫存在的安全威脅

2.1 數據庫的下載

很多用戶在連接文件的編寫時都采用ASP，多數都用語句“（conn.asp）：<% ......db=“/admin/database/bxzcvmqhjwkry21ahfqweir.mdb””數據庫文件具體的位置......%>”對數據庫進行保護，正確的單從語句連接以及名稱的長度都很保險，而下載的用戶也很難對數據庫進行破壞。如果采取相關技術或者是暴庫技術，能夠快速對數據庫的情況進行定位，通常用 “% 5c”命令，盡管不能百分之百進行暴庫，但成功率也非常高。一旦得到地址，在IE中輸入本地下載，即可獲取用戶名與密碼。

2.2 注入SQL

在互聯網中，多數WEB服務器都在防火墻之后設置，只對80端口開放，非法侵入者很難進入端口，因此，80端口也成為他們的目標，通常解決的方法是注入SQL。一部分程序編寫人員在編寫代碼的時候，通常都對用戶輸入數據的正確性的辨別會疏忽掉，從而帶給應用程序較多威脅。將代碼輸入客戶端后，收集處理信息及處理程序，從而獲取想要得到的資料，這種方法就稱之為注入SQL。對于80端口，注入SQL能夠常規進行訪問，和訪問一般的Web頁面類似，防火墻在注入SQL面前也失去作用，因此如果管理員不能及時發現該安全隱患，就會導致嚴重的后果。

3 維護計算機網絡數據庫安全的應對措施

3.1 封堵漏洞

（1）查堵URL端的漏洞。審核用戶的使用情況，檢查用戶端經過URL提交的參數中是否有“and、or、'、”、：、；、exec、insert、select、delete、from、update、count、user、xp_cmdshell、add、net、asc（、char（、chr（、drop、table、truncate、%、mid\"等用于SQL注入的常用字符或者字符串，如存在這些字符就停止運行ASP，且提示相應的報警信號錯誤，含有接收用戶URL提交的參數程序中用<！--#includefile=\"../*****.asp\"-->引入就行。此類措施制止大多數入侵者襲擊，對整個程序的執行速度沒有造成影響；且還在if語句中設置之前提到使用在SQL注入的常用字符或字符串，拒絕IP在特定時間段的訪問權限，增強數據庫的安全性能，減少黑客襲擊。

（2）查堵form或cookies的漏洞。大部分襲擊者使用的是form或者cookies提交了包含“or”和“=”等字符進入，制止此類入侵要在程序編寫時增加一些特殊的字符，保證程序執行的安全。

3.2 增強數據庫自身安全

（1）數據庫文件后綴名改為ASA、ASP的后綴。傳統防范措施，部分用戶習慣在數據庫的后綴由以前的MDB變成ASP或ASA。即使能防止暴庫，隨著計算機技術的高速發展，傳統方式不能滿足新的防范要求。對ASP或ASA后綴修改后的文件，黑客通過查找確定存儲地方，能與迅雷等下載工具相結合下載后得到。

（2）數據庫名前加“#”。目前，多數管理員通過對數據庫前面添加#號防止數據庫被下載，這因為IE沒法下載帶有#號的文件。除網頁可用常規的方式訪問外，通過IE的編碼技術訪問。各個不同的字符在IE里有對應的編碼，編碼符%23則可取代#號，通過這種方式的處理后，后綴加上#號的數據庫文件仍能下載使用。如：下載#data.mdb文件的，只要在瀏覽器中輸入%23data.mdb則數據庫文件能通過IE下載，這對于#號防御措施不能發揮作用。

（3）對數據庫用戶密碼加密。用戶密碼加密是另外一項重要的防范措施，一般用MD5加密，該加密方式沒有反向算法，破解相對比較困難，即便是非法入侵者得到了加密情況，也很難找到原始密碼。除非采用UPDATE方式對用戶密碼進行替換，但這種操作是難以實現的。需要強調的是，通過MD5加密的信息數據非常難破解，用戶如果忘記或丟失密碼也是很難找回的。而這種加密方式，也需要對用戶的資料完全及逆行那個修改，需要用戶重新設置資料，對數據庫中的相關字段通過MD5加密計算后重新存儲。對虛擬主機很難調整，需要結合網頁規范進行操作，對出錯的頁面設置“On Resume Next”，特別要加在conn.asp文件。如果此類操作由錯誤問題存在，就自動恢復到后續程序，能夠有效的避免錯誤信息。

3.3 隱藏后臺入口

對數據庫采取各種操作和維護方式進行后臺管理，防止注入SQL代碼，相應的后臺管理不會對頁面設置鏈接點，防止在后臺登陸的頁面被掃描，后臺管理的目錄通過程序員進行調整，不能設置成admin、manage等簡單的、能夠很容易被破解的單詞，一般設置為數字、字母等組合的復雜形式。而且登陸頁面的名稱也不要設置成admin_login、login.asp、asp等，防止被非法入侵者破解。

3.4 服務器管理員需要注意的問題

服務器管理員在工作中主要是為用戶創造Web服務器，對用戶的信息安全有直接的影響作用，因此也是工作的重點，要催操作系統的補丁正確的進行處理。為了防止注入SQL，要設置IIS提示各種ASP錯誤，主要包含http500錯誤，制止黑客入侵、調整用戶權限，將500：100默認提示頁面改成C：＼WINDOWSHelp＼iisHelp＼Com-mon＼500.htm。在IIS每個網站都設置對應的權限，把放在網站后臺管理中心上傳文件的目錄執行權限改為“無”效果更好，避免ASP木馬，服務器管理員重視工作。

4 結論

在計算機網絡系統的安全管理中，數據庫的安全是重要的一部分，應該采取多種保護措施，對計算機網絡數據庫的安全進行保護，有效的防止非法入侵與襲擊，為網路用戶提供一個安全、穩定的網絡環境。

參考文獻

[1]李林艷.網絡環境下的計算機數據庫安全[J].電子世界，2012（14）.

[2]方鵬.淺談計算機網絡數據庫的安全機制問題[J].計算機光盤軟件與應用，2011（22）.

[3]韓競鋒.計算機網絡數據庫安全策略探討[J].信息安全與技術，2011（8）.

[4]于翔，閻宏印.網絡環境下的數據庫安全及防范[J].網絡安全技術與應用，2007（7）.