大型數(shù)據(jù)庫(kù)安全防范措施

鐘晨昊 長(zhǎng)安大學(xué)

?

大型數(shù)據(jù)庫(kù)安全防范措施

鐘晨昊 長(zhǎng)安大學(xué)

【文章摘要】

【關(guān)鍵詞】

大型數(shù)據(jù)庫(kù)；數(shù)據(jù)庫(kù)安全；數(shù)據(jù)庫(kù)管理系統(tǒng)；安全措施

引言

如今，隨著科學(xué)技術(shù)和人們生活發(fā)展需要的提高，對(duì)信息的掌握和整合越來越多，為了存貯和使用這些信息，人們使用了大型數(shù)據(jù)庫(kù)技術(shù)，但是伴隨而來的是出現(xiàn)了一系列急需解決的問題，比如數(shù)據(jù)庫(kù)被入侵，數(shù)據(jù)內(nèi)容被非法使用或者刪改。特別是那些依賴大型數(shù)據(jù)庫(kù)的機(jī)構(gòu)和企業(yè)，因此必須有一個(gè)很好的數(shù)據(jù)安全防范措施。

1.大型數(shù)據(jù)庫(kù)安全性研究的現(xiàn)狀

在國(guó)外，數(shù)據(jù)庫(kù)安全越來越引起人們的重視和關(guān)注，針對(duì)大型數(shù)據(jù)庫(kù)系統(tǒng)安全研究已經(jīng)經(jīng)歷很長(zhǎng)一個(gè)歷程，各國(guó)政府機(jī)關(guān)和跨國(guó)企業(yè)紛紛注入了巨額資金，大型數(shù)據(jù)庫(kù)安全防護(hù)技術(shù)也越來越高深。雖然這樣，但其大型數(shù)據(jù)庫(kù)安全也并非鐵板一塊，美國(guó)很多政府、機(jī)構(gòu)的數(shù)據(jù)庫(kù)被入侵的報(bào)道屢見不鮮，大型數(shù)據(jù)庫(kù)出現(xiàn)的安全警報(bào)一直在人們耳邊回蕩。

在我國(guó)，政府、學(xué)界，企業(yè)，甚至是個(gè)人，都已經(jīng)充分認(rèn)識(shí)到大型數(shù)據(jù)庫(kù)安全方面面臨的威脅。從政府層面，已經(jīng)作出了規(guī)劃和部署加強(qiáng)的決議，包括制定相關(guān)的法律法規(guī)，引導(dǎo)和支持企業(yè)，學(xué)界對(duì)大型數(shù)據(jù)庫(kù)安全的研究和投入。但我國(guó)大型數(shù)據(jù)庫(kù)安全防范也絲毫不能松懈。

總的來說，當(dāng)前我國(guó)的大型數(shù)據(jù)庫(kù)普遍存在的安全性級(jí)別較低，被入侵、竊取和破壞的幾率太大，因此我們?cè)谘芯看笮蛿?shù)據(jù)庫(kù)安全防范方面要迎難而上，我們?nèi)沃氐肋h(yuǎn)。

2.數(shù)據(jù)庫(kù)管理系統(tǒng)

數(shù)據(jù)庫(kù)管理系統(tǒng)（Database Managem--ent System）是一種操作和管理數(shù)據(jù)庫(kù)的大型軟件，用來建立、使用和維護(hù)數(shù)據(jù)庫(kù)，簡(jiǎn)稱DBMS。它可以實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)進(jìn)行統(tǒng)一的管理和控制，以保證數(shù)據(jù)庫(kù)的安全性和完整性。

用戶通過DBMS訪問數(shù)據(jù)庫(kù)中的數(shù)據(jù)，數(shù)據(jù)庫(kù)管理員也通過DBMS進(jìn)行數(shù)據(jù)庫(kù)的維護(hù)工作。所以說數(shù)據(jù)庫(kù)管理系統(tǒng)是數(shù)據(jù)庫(kù)系統(tǒng)的核心，是管理數(shù)據(jù)庫(kù)的軟件。

2.2大型數(shù)據(jù)庫(kù)的工作流程

DBMS首先進(jìn)行語法檢查識(shí)別，而后找到對(duì)應(yīng)的對(duì)外模式，再時(shí)進(jìn)行用戶權(quán)限檢查。DBMS語法根據(jù)找到的模式，利用概念模式和外模式相互映射，從而確定概念模式應(yīng)該讀入哪些數(shù)據(jù)，然后把需要讀取的數(shù)據(jù)進(jìn)行調(diào)用，緩沖到用戶閱讀區(qū)。因此要充分了解大型數(shù)據(jù)庫(kù)的工作機(jī)制，才能更好地作好安全防范措施。

3.大型數(shù)據(jù)庫(kù)系統(tǒng)安全防范要求

大型數(shù)據(jù)庫(kù)從來就沒有一個(gè)統(tǒng)一的安全標(biāo)準(zhǔn)，因?yàn)槌霈F(xiàn)安全漏洞問題往往出乎人們意料之外。但一個(gè)安全可靠的大型數(shù)據(jù)庫(kù)，需要做到以下的安全措施。

（1）數(shù)據(jù)庫(kù)安全性要求。要求數(shù)據(jù)庫(kù)要具備可以阻擋惡意窺探、入侵、非法查詢或者刪改大型數(shù)據(jù)庫(kù)，以及大型數(shù)據(jù)庫(kù)中的數(shù)據(jù)發(fā)生意外時(shí)可以及時(shí)備份或者恢復(fù)，減少損失的手段。

（2）數(shù)據(jù)庫(kù)完整、一致性要求。保證大型數(shù)據(jù)庫(kù)中所有的數(shù)據(jù)都必須是正確的，一致的。即使是進(jìn)行數(shù)據(jù)的操作后，也應(yīng)當(dāng)如此。

（3）數(shù)據(jù)庫(kù)的可用性要求，能夠?qū)σ呀?jīng)損壞的大型數(shù)據(jù)庫(kù)進(jìn)行及時(shí)的修復(fù)或者備份，使得大型數(shù)據(jù)庫(kù)中的數(shù)據(jù)始終處于一個(gè)可用能用的狀況。

（4）數(shù)據(jù)庫(kù)的可追索性要求，可以滿足大型數(shù)據(jù)庫(kù)管理，記錄每一個(gè)登陸和訪問者的每一個(gè)操作過程，方便后臺(tái)管理者對(duì)一些操作動(dòng)作的分析匯總，以便優(yōu)化系統(tǒng)。

4.大型數(shù)據(jù)庫(kù)安全預(yù)防措施

4.1登陸或訪問用戶身份認(rèn)證機(jī)制

用戶身份認(rèn)證也叫身份識(shí)別，設(shè)置身份認(rèn)證的用意是建立一個(gè)門禁系統(tǒng)，用來識(shí)別登陸或訪問用戶的身份信息是否是欺詐或者惡意登陸。身份認(rèn)證辦法一般有如下幾種：

（1）設(shè)置登陸密碼，登陸口令認(rèn)證。

（2）用戶實(shí)名登記認(rèn)證，如身份號(hào)碼登陸，或者指定專用ΙC讀取登陸。

（3）預(yù)留指紋或者筆跡識(shí)別認(rèn)證

4.2登陸或訪問用戶使用權(quán)限控制機(jī)制

設(shè)置用戶操作權(quán)限級(jí)別，每個(gè)級(jí)別用戶操作權(quán)限做好設(shè)定，如非會(huì)員用戶，會(huì)員用戶、超級(jí)會(huì)員用戶、管理員用戶，最高管理員用戶等級(jí)別，每個(gè)級(jí)別用戶的操作權(quán)限都限定好，一般采取的措施有自主訪問控制（DAC）、強(qiáng)制訪問控制（MAC）和用戶身份訪問控制（RBAC）三種。三種方法各有優(yōu)點(diǎn)，必須靈活分配使用，不能有所偏向。

4.3審計(jì)功能、攻擊檢測(cè)機(jī)制

所有的大型數(shù)據(jù)庫(kù)都提供一個(gè)審計(jì)功能，用來記錄所有的數(shù)據(jù)庫(kù)操作過程。比較常見的是使用數(shù)據(jù)庫(kù)設(shè)置日志文件系統(tǒng)，日志文件可以讀取或者閱讀大型數(shù)據(jù)庫(kù)的用戶每一個(gè)過程，同時(shí)也記錄大型數(shù)據(jù)庫(kù)客戶端連接情況，自動(dòng)查詢客戶端連接服務(wù)器是否錯(cuò)誤。系統(tǒng)管理員可以利用日志文件對(duì)大型數(shù)據(jù)庫(kù)進(jìn)行巡查，隨時(shí)調(diào)取登陸和訪問者在數(shù)據(jù)庫(kù)操作整個(gè)過程，并且日志文件系統(tǒng)提供自動(dòng)識(shí)別預(yù)警功能。

攻擊檢測(cè)功能是大型數(shù)據(jù)庫(kù)系統(tǒng)可以通過對(duì)日志文件來分析，確認(rèn)和識(shí)別所有對(duì)系統(tǒng)的內(nèi)部和外部所有的攻擊企圖，并作出預(yù)防對(duì)策如報(bào)警或者自動(dòng)關(guān)閉等。而且自動(dòng)備份操作者的操作動(dòng)作，達(dá)到證據(jù)保全目的。

4.4邏輯推理控制機(jī)制

推理機(jī)制也叫邏輯算法，根據(jù)一些特定的邏輯內(nèi)容來推理數(shù)據(jù)庫(kù)相關(guān)數(shù)據(jù)的關(guān)聯(lián)性。根據(jù)推理機(jī)制，一般采取的安全防范內(nèi)容主要有。

（1）禁止對(duì)大型數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)信息進(jìn)行查詢，對(duì)關(guān)鍵敏感的數(shù)據(jù)內(nèi)容采取屏蔽，覆蓋或者隱藏。

（2）對(duì)需要進(jìn)行保密的數(shù)據(jù)進(jìn)行特別的加工處理。在大型數(shù)據(jù)庫(kù)端服務(wù)器系統(tǒng)中，必須對(duì)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)進(jìn)行安全防范措施，以保證數(shù)據(jù)的安全，不被非法竊取。

目前最為穩(wěn)妥的辦法是對(duì)傳輸?shù)臄?shù)據(jù)文件進(jìn)行打包，然后進(jìn)行加密，讓黑客無法確認(rèn)數(shù)據(jù)內(nèi)容是否敏感，簡(jiǎn)單地說，就是給數(shù)據(jù)包披上偽裝，讓黑客無從下手，或者提升下手的難度。

（3）提升大型數(shù)據(jù)庫(kù)中數(shù)據(jù)的計(jì)算精度，當(dāng)某個(gè)非法通過，或者無意中通過獲得一些保密的數(shù)據(jù)，但由于提高數(shù)據(jù)的邏輯算法，導(dǎo)致出現(xiàn)誤差，那么系統(tǒng)就可以自動(dòng)識(shí)別和警示。

4.5數(shù)據(jù)加密機(jī)制

數(shù)據(jù)加密的基本思路就是變換字符的排列次序或按照某種規(guī)律進(jìn)行替換，使得只有合法的用戶才能理解得到的數(shù)據(jù)，其他非法的用戶即使獲取數(shù)據(jù)也無法讀取數(shù)據(jù)真實(shí)的內(nèi)容。通常使用的加密方法是采取增加加密的粒度（層級(jí)）如：大型數(shù)據(jù)庫(kù)級(jí)、表級(jí)、記錄級(jí)和字段級(jí)。要選擇合適的加密算法，來保證對(duì)大型數(shù)據(jù)庫(kù)加密的安全性和執(zhí)行效率。通常使用的加密辦法有對(duì)稱密匙加密、公共密匙加密以及對(duì)稱和公共密匙交替使用等辦法。

5.結(jié)語

大型數(shù)據(jù)庫(kù)安全是一個(gè)系統(tǒng)工程，需要各個(gè)方面展開全方位的安全預(yù)防，從來就沒有一個(gè)絕對(duì)安全的大型數(shù)據(jù)庫(kù)。攻擊和防守一直是一個(gè)永恒的命題。因此，大型數(shù)據(jù)庫(kù)的安全防范措施，需要與時(shí)繼進(jìn)，或者可以這么說，我們唯一能做的是減少其發(fā)生的機(jī)率。因此必須要打造一套有序的事故警示機(jī)制，才可以盡可能減少因數(shù)據(jù)庫(kù)漏洞安全問題所帶來的影響及損失。

【參考文獻(xiàn)】

［1］ 淺析數(shù)據(jù)庫(kù)安全及其防范措施劉虎撲，李東海，唐建國(guó) - 《數(shù)字技術(shù)與應(yīng)用》 -2011 （12）122-123

［2］ 淺談標(biāo)準(zhǔn)數(shù)據(jù)庫(kù)的安全問題及防范措施張嫵雅，吳亞廈 - 《航天標(biāo)準(zhǔn)化》 - 2005

［3］基于B/S模式的Access數(shù)據(jù)庫(kù)安全問題及防范措施王廷永，侯衛(wèi)娜 - 《網(wǎng)絡(luò)安全技術(shù)與應(yīng)用》 - 2006 -

大型數(shù)據(jù)庫(kù)在新時(shí)期下，應(yīng)用越來越廣泛，對(duì)人們的生活影響越來越密切，因此關(guān)于大型數(shù)據(jù)庫(kù)的安全防范措施就顯得舉足輕重，尤為重要。本文針對(duì)性地研究大型數(shù)據(jù)庫(kù)的特點(diǎn)，提出相應(yīng)的數(shù)據(jù)庫(kù)安全防范措施。