計算機網絡數據庫安全策略探討

龐偉偉

（河南牧業經濟學院,河南,450044）

1 影響網絡數據庫系統安全的因素

1.1 數據庫系統自身的脆弱性。計算機網絡由于系統本身可能存在的不同程度上的脆弱性，為各種動機的攻擊提供了入侵或破壞系統的可利用途徑和方法

1.1.1 硬件系統網絡硬件系統的安全隱患主要來源硬件，如難以抗拒的自然災害外，溫度、濕度、靜電、電磁場等也可能造成電腦崩潰，造成信息丟失。

1.1.2 病毒的侵襲

計算機病毒伴隨著計算機而產生。計算機病毒通常隱藏在文件或程序代碼內，伺機進行自我復制，并能夠通過網絡、磁盤、光盤等諸多手段進行傳播。計算機病毒傳播速度快、影響面大，所以它的危害最能引起人們的關注。比如4月30日震蕩波（Sasser）病毒被首次發現，短短一個星期時間之內就感染了全球1800萬臺電腦。它利用微軟公布的Lsass漏洞進行傳播，可感染WindowsNT/XP/2003等操作系統，根據分析，“震蕩波”病毒會在網絡上自動搜索系統有漏洞的電腦，并直接引導這些電腦下載病毒文件并執行，因此整個傳播和發作過程不需要人為干預。。

1.2 操作系統存在的不安全因素。電腦使用不同的操作系統，數據庫的網絡環境需要采取的安全管理策略也不相同，最重要的是電腦的操作權限。

比如：操作系統中可能存在的特洛伊木馬程序，一旦特洛伊木馬程序修改了入駐程序的密碼，當數據庫管理員更新密碼時，特洛伊木馬就能得到新的密碼，來竊取用戶隱私，對數據庫安全造成極大的威脅。

1.3對網絡安全的威脅和攻擊可能來自以下兩個方面。1.電腦使用者的疏忽，特別是系統管理員和安全管理員出現管理的疏忽，可能造成重大安全事故。因為大多數的電腦使用者并非專業人員，他們只是將計算機作為一個工具，平時不注意安全防范，加上缺乏必要的安全意識，有可能出現一些錯誤的操作，比如將用戶口令張貼在計算機周圍，使用簡易密碼或者是統一的密碼，這些都有可能為計算機安全埋下隱患。2.內部管理系統內部缺乏健全的計算機監管制度力度，給內部工作人員非法操作提供機會，其中以系統管理員和安全管理員的惡意違規和犯罪造成的危害最大。利用隧道技術與外部人員內外勾結犯罪，給公司帶來巨大的損失，也是防火墻和監控系統難以防范的。和來自外部的威脅相比較，畢竟家賊難防，來自內部的威脅是網絡安全威脅的主要來源，這個更難防范。

2 網絡數據庫的安全措施

2.1網絡數據庫病毒的防范：網絡的開放性也就意味著網絡安全急需重視，使用安全防護軟件很有必要，如：瑞星，瑞星是專門為企業用戶量身定做的，是一款應用于復雜網絡結構的企業級殺毒軟件，為使企業的安全構建一個完整的防毒體系。該產品主要適用于企業服務器與客戶端，支持目前大多數主流的計算機操作平臺，全面滿足企業安全的需要。

2.2網絡數據庫安全隔離：內外網采用防火墻，我公司外網主要采用CISCO PIX 525、535硬件防火墻。

2.3網絡數據庫內容過濾：隨著互聯網的迅速普及，網絡垃圾已經開始侵入人們的生活，像現在互聯網上大量的不良信息，以及垃圾郵件等問題，是計算機網絡安全的一大隱患。垃圾郵件是當今困擾網絡界的一大難題。垃圾郵件不僅給個人和企業帶來了巨大的損失，而且嚴重影響了郵件系統的工作效率從而也就降低了用戶的整體工作效率，更為嚴重的是危害到計算機的正常使用，給生活和工作都帶來了極大的危害。面對此狀，現代教育技術中心經過長期的考察和調研，給出一定的方法來解決，如個人電腦內容過濾，通過“工具Internet選項內容分級審查允許”開啟這項功能，并 為電子郵件服務器配置了一整套安全系統，即“安全郵件網關系統”。"安全郵件網關"有效地從網絡層到應用層保護郵件服務器不受各種形式的網絡攻擊，同時為郵件用戶提供屏蔽垃圾郵件功能。

2.4網絡安全漏洞：如今,越來越多的安全漏洞被發現,使得利用這些的安全事件數量日益上升，電腦安全軟件及時提醒用戶安裝并修復補丁，并及時下載整理提供給用戶，提供網絡的安全性。

3 網絡數據庫的安全技術

3.1 網絡系統層的安全策略

3.1.1 防火墻技術

防火墻是傳統計算機網絡防護的主要措施，防火墻采用的主要技術包括以下幾種。

（1）數據包過濾技術

其原理在于監視并過濾網絡上流入流出的數據包，拒絕發送那些可疑的包。由于數據包過濾技術是基于IP地址進行過濾，弊端為無法有效地區分相同IP地址的不同用戶，安全性相對較差。

（2）代理服務技術

其原理是在網關計算機上運行應用代理程序，內部網用戶可以通過應用網關安全地使用Internet服務，而對于非法用戶的請求將予拒絕。代理服務技術與數據包過濾技術不同之處，在于內部網和外部網之間不存在直接連接，同時提供審計和日志服務，安全性較好。

（3）信息加密技術

加密路由器對路由的信息進行加密處理，然后通過Internet傳輸到目的端進行解密。。

3.1.2 入侵檢測系統

異常檢測：異常檢測的假設是入侵者活動與正常主體的活動不同，首先建立正?；顒拥摹盎顒雍啓n”，當前主體的活動違反其統計規律時，認為可能是“入侵”行為，對此進行處理防范，一旦發現入侵跡象立即斷開入侵者與主機的連接，并收集證據和實施數據恢復。

3.2 安全漏洞檢測技術

在操作系統下，數據庫系統都是以文件形式進行管理的，因此，入侵者直接利用操作系統的漏洞來竊取數據庫文件的信息就可以達到目的。所以修復漏洞是重中之重，利用專業的安全漏洞檢測軟件，及時有效的檢測和修復系統安全的隱患，同時生成詳細的安全檢測報告，供使用者進行參考，這種技術可以避免本地計算機被入侵者破壞。

3.3 數據庫管理系統層安全策略

數據加密、解密在安全領域非常重要。對程序員而言，在數據庫中以密文方式存儲用戶密碼對入侵者剽竊用戶隱私意義重大。數據庫加密可以防止非授權用戶操作或者用戶越權操作。對數據進行加密，主要有三種方式：

（1）系統中加密。系統中加密即給電腦客戶端進行加密，最簡單的方式就是對電腦開機操作設置管理員密碼?？蛻舳思用艿暮锰幨遣粫又財祿旆掌鞯呢撦d

（2）客戶端加密。需要對數據庫管理系統本身進行操作，借助數據庫開發商的配合，實現加密，數據安全性高，

（3）服務器端加密。核心是數據庫的安全，將數據庫的數據加密就抓住了信息安全的核心問題，數據庫以密文方式存儲并在密態方式下工作，確保了數據安全。

4 計算機數據庫安全技術方案的優化

4.1 用戶身份認證

訪問控制大致分為自主訪問控制和強制訪問控制兩類：在自主訪問控制下，用戶可以對其創建的文件、數據表等進行訪問，并可自主的將訪問權授予其他用戶；在強制訪問控制下，系統對需要保護的信息資源進行統一的強制性控制，按照預先設定的規則控制用戶、進程等主體對信息資源的訪問行為。通過自主訪問控制與強制控制訪問的協同協作，安全操作系統的訪問控制機制可以同時保障系統及系統上應用的安全性與易用性

4.2 數據庫加密

數據庫加密是很重要的。我們不僅僅應該保護自己的信息安全，應該在一定程度上阻擋其他的信息監控。通過應用數據庫加密程序，切實增強數據庫內部數據的安全性、實效性。將特殊的算法應用于模塊的加密過程中，進行有效改變數據信息，為用戶提供可加密的應用信息。在數據庫加密模塊中，使用者應該掌握正確的解密方法，從而獲取全面的信息數據原始內容。為了確保此模塊的順利開展，關鍵在于優化處理數據庫加密系統內部模塊，采取高效的措施進行優化加密環節及其解密環節，增強可辨數據信息以及非可變信息的轉換的規范性，高效解密讀取所獲取的數據信息。網絡安全認證管理如下圖。

4.3 數據備份與恢復

為了獲取完整統一的網絡數據庫信息，必須加強數量備份技術和恢復技術的應用，及時發現網絡數據庫系統出現的各種障礙問題，從而采取可行性的改進、優化方案。數據信息管理人員可充分應用數據恢復技術，進行處理相關的備份文件，在最短的時間內，進行恢復網絡數據庫的相關數據資料，避免出現網絡數據庫系統故障，以降低社會經濟損失。建立協調有效的數據備份與恢復是網絡數據庫保障數據機制，也可作為一種常用的技術方案。在此機制的運用過程中，在網絡數據庫系統出現故障的情況下，管理人員可結合之前的數據備份文件，及時恢復初始數據狀態。在數據備份信息進行處理中大多采取靜態備份、動態備份以及邏輯備份等不同的形式。磁盤鏡像、備份文件、在線日志作為常用的數據恢復技術，在使用過程中可根據實際的網絡數據庫運行方式，進行選擇可行性的備份恢復技術。

5 結束語

現在的國際形勢之下，計算機網絡數據庫的安全顯得越來越重要。各個國家之間的競爭也在朝著這一方向發展，尤其是信息技術方面的競爭更是如此，網絡數據庫是一個很開放的信息平臺，這就使得我們所存儲的信息很不安全。一旦破壞，或者被盜取，就會造成嚴重的經濟損失。這些損失是不可估量的。因此如何實現對計算機網絡數據庫安全技術方案的優化，對計算機網絡數據庫安全技術進行不斷的改進與更新，以應對網絡數據庫中安全問題已成為目前我國計算機領域中的重點研究問題。