網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)庫安全機制問題探討

秦劍峰　別致　陳持學(xué)

【摘要】現(xiàn)代信息系統(tǒng)的飛速發(fā)展是以計算機以及計算機網(wǎng)絡(luò)系統(tǒng)的飛速發(fā)展為標(biāo)志的。信息化的社會在盡力追逐信息系統(tǒng)的失控功能。計算機、高速網(wǎng)絡(luò)逐步民用化、商用化、家用化，正因為信息在人類社會活動、經(jīng)濟活動中起著越來越重要的作用，信息的安全就日益成為關(guān)系成敗的關(guān)鍵要點，日益引發(fā)人們越來越深刻的重視。本文從數(shù)據(jù)庫安全性的基本概念入手，在其安全體系的基礎(chǔ)上，針對目前可能存在的威脅，展開對于數(shù)據(jù)庫安全的討論。

【關(guān)鍵字】數(shù)據(jù)庫 安全 威脅 防范技術(shù)

【中圖分類號】tp393 【文獻標(biāo)識碼】A 【文章編號】1672-5158（2013）04-0130-01

隨著Intemet的發(fā)展普及，越來越多的企業(yè)參與電子空間，將其核心業(yè)務(wù)向互聯(lián)網(wǎng)轉(zhuǎn)移，地理上分散的部門、公司、廠商對于數(shù)據(jù)庫的應(yīng)用需求過旺，數(shù)據(jù)庫管理系統(tǒng)的運行環(huán)境也從單機擴展到網(wǎng)絡(luò)，對數(shù)據(jù)的收集、存儲、處理和傳播從由集中式走向分布式，從封閉式走向開放式。正如去年大肆宣傳的從一些電子商務(wù)企業(yè)中盜竊信用卡號碼的事件所表明的，安全性缺口的確引人矚目。因此，本文介紹網(wǎng)絡(luò)數(shù)據(jù)庫所面臨的典型威脅，然后從網(wǎng)絡(luò)和操作系統(tǒng)防護、數(shù)據(jù)庫注入防范等方面進行了分析。

一、數(shù)據(jù)庫安全及威脅

一般意義上，數(shù)據(jù)庫的安全定義就是保證數(shù)據(jù)庫信息的保密性、完整性、一致性和可用性。數(shù)據(jù)庫安全控制是指為數(shù)據(jù)庫系統(tǒng)建立的安全保護措施，以保護數(shù)據(jù)庫系統(tǒng)軟件和其中的數(shù)據(jù)不因偶然或惡意的原因而遭到破壞、更改和泄露。要保證數(shù)據(jù)庫的安全通常依靠以下幾種技術(shù)：即身份鑒別、標(biāo)記與訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)庫安全審計、客體重用、可信恢復(fù)、隱蔽信道分析、可信路徑和推理控制等。

數(shù)據(jù)庫作為信息的重要集中地，一般說來，面臨的安全威脅主要有：

1.軟件和硬件環(huán)境出現(xiàn)意外，如磁盤損壞，系統(tǒng)崩潰等

2.計算機病毒可能造成系統(tǒng)崩潰，進而破壞數(shù)據(jù)

3.對數(shù)據(jù)庫的不正確訪問，引起數(shù)據(jù)庫中數(shù)據(jù)的錯誤

4.未經(jīng)授權(quán)非法訪問數(shù)據(jù)庫信息，竊取其中的數(shù)據(jù)

5.未經(jīng)授權(quán)非法修改數(shù)據(jù)庫中的數(shù)據(jù)，使其數(shù)據(jù)失去真實性

6.通過網(wǎng)絡(luò)訪問對數(shù)據(jù)庫的攻擊等

二、網(wǎng)絡(luò)數(shù)據(jù)庫的安全隱患

IIS+ASP+Access解決方案的主要安全隱患來自Access數(shù)據(jù)庫的安全性，其次在于ASP網(wǎng)頁設(shè)計過程中的安全意識和措施。

1）數(shù)據(jù)庫可能被下載

在IIS+ASP+Access網(wǎng)站中，如果有人通過各種方法獲得或者猜到數(shù)據(jù)庫的存儲路徑和文件名，則該數(shù)據(jù)庫就可以被下載到本地。

2）數(shù)據(jù)庫可能被解密

由于Access數(shù)據(jù)庫的加密機制比較簡單，即使設(shè)置了密碼，解密.也很容易。該數(shù)據(jù)庫系統(tǒng)通過將用戶輸入的密碼與某一固定密鑰進行異或來形成一個加密串，并將其存儲在mob文件中。從地址“&H42;”開始的區(qū)域內(nèi)，我們可以輕松地編制解密程序，一個幾十行的小程序就可以輕松地獲得任何Access數(shù)據(jù)庫的密碼。因此，只要數(shù)據(jù)庫被下載，其信息就沒有任何安全性可言了。

3）ASP源代碼存在安全隱患

由于ASP程序采用非編譯性語言，大大降低了程序源代碼的安全性。如果黑客侵入站點，就可以獲得ASP源代碼；同時對于租用服務(wù)器的用戶，因個別服務(wù)器出租商的職業(yè)道德問題，也會造成ASP應(yīng)用程序源代碼泄露。

4）程序設(shè)計中的安全隱患

眾所周知，HTTP是一個無狀態(tài)的協(xié)議，它不追蹤用戶的鏈接，這使得Web頁面無記憶性且相互獨立。ASP代碼使用表單實現(xiàn)交互，而相應(yīng)的內(nèi)容會反映在瀏覽器的地址欄中，如果不采用適當(dāng)?shù)陌踩胧灰浵逻@些內(nèi)容，就可以繞過驗證直接進入某一頁面。實際上，頁面的訪問是通過URL實現(xiàn)的，如果程序不對每個頁面進行合法性檢驗，那么非法用戶即使不知道口令，只要知道某些頁面的URL，就可跳過身份驗證頁面去直接訪問后面數(shù)據(jù)處理的相關(guān)頁面，從而侵人到系統(tǒng)的核心數(shù)據(jù)庫中。

三、數(shù)據(jù)庫安全技術(shù)的發(fā)展趨勢

數(shù)據(jù)庫安全技術(shù)隨著計算機技術(shù)的發(fā)展，特別是計算機網(wǎng)絡(luò)安全技術(shù)的發(fā)展，而呈現(xiàn)出以下發(fā)展趨勢：

1.口令認(rèn)證系統(tǒng)逐漸向動態(tài)口令認(rèn)證過渡。

動態(tài)口令認(rèn)證是非固定口令的認(rèn)證，用戶口令呈現(xiàn)動態(tài)變化；此外，作為數(shù)字證書載體的智能密碼鑰匙（USB KEY）也被用于現(xiàn)在數(shù)據(jù)庫安全技術(shù)上。

2.加密算法越來越復(fù)雜化

非對稱密碼技術(shù)就是針對對稱密碼體制的缺陷被提出來的。在公鑰加密系統(tǒng)中，加密和解密是相對獨立的，加密和解密會使用兩“把”不同的密鑰，加密密鑰（公開密鑰）向公眾公開，解密密鑰（秘密密鑰）只有解密人自己知道，非法使用者根據(jù)公開的加密密鑰無法推算出解密密鑰，故也稱為公鑰密碼體制。現(xiàn)在密碼研究的重點是對已有的各種密碼算法從設(shè)計和分析兩個角度上進一步深入發(fā)展，完善和改進算法的安全性、易用性。傳統(tǒng)密碼將會在安全性、使用代價、算法實現(xiàn)上有進一步發(fā)展。

3.防火墻技術(shù)

應(yīng)用專用集成電路（ASIC）、FPGA特別是網(wǎng)絡(luò)處理器（NP）將成為高速防火墻設(shè)計的主要方法，除了提高速度外，功能多樣化和安全也是防火墻發(fā)展的一個趨勢。防火墻將與入侵檢測技術(shù)、攻擊防御技術(shù)以及VPN技術(shù)融合；防火墻的另一個發(fā)展趨勢是與多個安全產(chǎn)品實現(xiàn)集成化管理和聯(lián)動，達到立體防御的效果。

4.物理隔離技術(shù)的使用

安全專家認(rèn)為，聯(lián)網(wǎng)的計算機是有安全隱患的，物理隔離的思想就是在保證安全的前提下，才互聯(lián)互通。物理隔離就技術(shù)而言，大致可以分為簡單隔離技術(shù)和網(wǎng)閘技術(shù)。

四、結(jié)束語

安全性問題不是數(shù)據(jù)庫系統(tǒng)所獨有的，所有的計算機系統(tǒng)都存在數(shù)據(jù)安全問題。只是作為數(shù)據(jù)的倉庫——數(shù)據(jù)庫，既要保證其共享性，又要保證其安全性，這個問題顯得就尤為突出。數(shù)據(jù)庫的安全性，離不開系統(tǒng)安全、網(wǎng)絡(luò)安全。許多的系統(tǒng)安全和網(wǎng)絡(luò)安全技術(shù)也常常被用于數(shù)據(jù)庫安全中。在安全技術(shù)越來越被人們重視的今天，數(shù)據(jù)庫安全技術(shù)逐步發(fā)展成了數(shù)據(jù)庫技術(shù)一個重要的方面。對數(shù)據(jù)庫系統(tǒng)安全性的研究和探討，也具有很現(xiàn)實的意義。