網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全機(jī)制研究

甘 露 邵 罕

（1．信陽(yáng)職業(yè)技術(shù)學(xué)院，河南 信陽(yáng) 464000；2．信陽(yáng)師范學(xué)院，河南 信陽(yáng) 464000）

網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全機(jī)制研究

甘 露1邵 罕2

（1．信陽(yáng)職業(yè)技術(shù)學(xué)院，河南 信陽(yáng) 464000；2．信陽(yáng)師范學(xué)院，河南 信陽(yáng) 464000）

隨著計(jì)算機(jī)技術(shù)及互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，人們逐漸進(jìn)入現(xiàn)代化信息時(shí)代。利用各種現(xiàn)代化信息手段，人們的工作及生活都變得更加便利。但同時(shí)，也有不法分子利用網(wǎng)絡(luò)的便利性不斷進(jìn)行網(wǎng)絡(luò)安全攻擊，使網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全受到威脅，信息的傳輸及處理受到影響，為此就需制定一套完善的網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全機(jī)制以保證網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全性。文章簡(jiǎn)單概述了網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全機(jī)制的基本概念、網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的模式及其安全機(jī)制模型，分析了網(wǎng)絡(luò)數(shù)據(jù)庫(kù)各層的安全機(jī)制，并討論了利用DBMS安全機(jī)制來(lái)防范網(wǎng)絡(luò)攻擊問(wèn)題，旨在為提高網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全性提供若干建議。

網(wǎng)絡(luò)數(shù)據(jù)庫(kù)存；安全機(jī)制；操作系統(tǒng)

1 引言

網(wǎng)絡(luò)數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)是結(jié)合網(wǎng)絡(luò)技術(shù)及數(shù)據(jù)庫(kù)技術(shù)而開(kāi)發(fā)的一種新型的用于處理各類信息的系統(tǒng)。網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全性直接影響了數(shù)據(jù)傳輸及處理的結(jié)果和效果。網(wǎng)絡(luò)數(shù)據(jù)庫(kù)是一個(gè)開(kāi)放式的信息存儲(chǔ)和處理平臺(tái)，不管是局域網(wǎng)或是廣域網(wǎng)，其都會(huì)因來(lái)自自然或人為等方面的威脅而產(chǎn)生安全問(wèn)題。針對(duì)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全問(wèn)題，相關(guān)業(yè)內(nèi)人士不斷深入研究，制定了一整套的網(wǎng)絡(luò)數(shù)據(jù)庫(kù)存安全機(jī)制，以期提高網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全性，保證信息傳輸?shù)慕y(tǒng)一性和完整性，充分發(fā)揮網(wǎng)絡(luò)數(shù)據(jù)庫(kù)應(yīng)有的作用。

2 網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全機(jī)制概述

2.1 網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全機(jī)制的概念

2.2 網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的模式

網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的模式主要有兩種：B/S模式和C/S模式。C/S模式主要包括客戶端應(yīng)用程序(Client)、服務(wù)器管理程序(Server)及網(wǎng)絡(luò)(Network)三層結(jié)構(gòu)。客戶端應(yīng)用程序主要用于實(shí)現(xiàn)數(shù)據(jù)在系統(tǒng)與用戶間的交互，其主要負(fù)責(zé)事務(wù)的處理及顯示邏輯；服務(wù)器管理程序主要用于管理資源，當(dāng)多個(gè)用戶同時(shí)請(qǐng)求使用同一資源時(shí)，對(duì)資源實(shí)現(xiàn)最優(yōu)化管理。網(wǎng)絡(luò)是用于連接客戶端應(yīng)用程序與服務(wù)器管理程序的，起中間橋梁作用，協(xié)同完成數(shù)據(jù)查詢、數(shù)據(jù)處理、數(shù)據(jù)管理等任務(wù)，以滿足用戶需求。結(jié)合WWW技術(shù)，將客戶/服務(wù)器模式進(jìn)一步演化后便得到B/S模式。B/S模式主要包括Web服務(wù)器、瀏覽器及數(shù)據(jù)庫(kù)服務(wù)器三層結(jié)構(gòu)。通過(guò)瀏覽器的交互功能連接系統(tǒng)與用戶，用戶輸入信息之后交由Web服務(wù)器進(jìn)行處理并將處理結(jié)果返回給瀏覽器，供用戶使用。若用戶有數(shù)據(jù)存儲(chǔ)需求，則Web服務(wù)器還需結(jié)合數(shù)據(jù)庫(kù)服務(wù)實(shí)施數(shù)據(jù)存儲(chǔ)操作。數(shù)據(jù)庫(kù)服務(wù)器通過(guò)對(duì)不同Web服務(wù)器發(fā)出各種數(shù)據(jù)處理請(qǐng)求進(jìn)行協(xié)調(diào)以實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的管理。

2.3 網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全機(jī)制模型

B/S與C/S存在很多共同點(diǎn)，如都為網(wǎng)絡(luò)模式，都涉及到系統(tǒng)軟件及應(yīng)用軟件等。為使整個(gè)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全機(jī)制更加清晰，通過(guò)分析B/S及C/S模式的共同點(diǎn)及特點(diǎn)之后，可得到一個(gè)完整的網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全機(jī)制模型，如圖1所示。從圖中可以看出，每一層結(jié)構(gòu)都對(duì)應(yīng)著一套獨(dú)立的安全機(jī)制，且每一層結(jié)構(gòu)都有對(duì)別層結(jié)構(gòu)產(chǎn)生制約的機(jī)制，這使得每一層結(jié)構(gòu)在完成自身任務(wù)的同時(shí)又可對(duì)別層的機(jī)制產(chǎn)生制約作用，層與層之間存在著密切的聯(lián)系，從而構(gòu)成一套完整的網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全機(jī)制。此外，分層式的安全機(jī)制模式使得系統(tǒng)的安全結(jié)構(gòu)非常清晰，在實(shí)際應(yīng)用當(dāng)中可根據(jù)不同的需求來(lái)選擇不同的工程，以提高系統(tǒng)任務(wù)處理的針對(duì)性和目的性。

圖1 網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全機(jī)制模型

3 網(wǎng)絡(luò)數(shù)據(jù)庫(kù)各層的安全機(jī)制

3.1 網(wǎng)絡(luò)系統(tǒng)的安全機(jī)制

網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全機(jī)制的最主要機(jī)制是網(wǎng)絡(luò)系統(tǒng)安全機(jī)制。網(wǎng)絡(luò)系統(tǒng)安全是網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全的第一道屏障，外部入侵的首要攻擊對(duì)象就是網(wǎng)絡(luò)系統(tǒng)。網(wǎng)絡(luò)入侵的主要目的是破壞網(wǎng)絡(luò)數(shù)據(jù)庫(kù)信息系統(tǒng)的完整性、機(jī)密性及任何可信任的網(wǎng)絡(luò)活動(dòng)，現(xiàn)網(wǎng)絡(luò)安全存在的主要威脅有身份竊取、數(shù)據(jù)竊取、錯(cuò)誤路由、數(shù)據(jù)流分析等[2]。防止網(wǎng)絡(luò)系統(tǒng)被侵入的安全技術(shù)有很多，其主要包括防火墻技術(shù)、入侵檢測(cè)技術(shù)及協(xié)作式入侵監(jiān)測(cè)技術(shù)等。

防火墻技術(shù)是為保護(hù)網(wǎng)絡(luò)安全而使用的一種最為廣泛的防范技術(shù)。防火墻是網(wǎng)絡(luò)系統(tǒng)的第一道防線，其主要用于對(duì)可信任網(wǎng)絡(luò)及不可信任網(wǎng)絡(luò)之間的訪問(wèn)通道進(jìn)行監(jiān)督和控制，在內(nèi)部網(wǎng)和外部網(wǎng)之間構(gòu)建一道保護(hù)屏障，以攔截外部網(wǎng)的非法訪問(wèn)，同時(shí)防止內(nèi)部信息泄露，但是其無(wú)法攔截自內(nèi)部網(wǎng)產(chǎn)生的非法操作。

入侵檢測(cè)是近些年來(lái)迅速發(fā)展的一種新型安全技術(shù)，入侵檢測(cè)綜合使用了各類先進(jìn)的技術(shù)和方法，包括統(tǒng)計(jì)技術(shù)、網(wǎng)絡(luò)通信技術(shù)、人工智能、推理、規(guī)則方法、密碼學(xué)等，其主要用于對(duì)網(wǎng)絡(luò)系統(tǒng)是否存在被濫用或被入侵的征兆進(jìn)行監(jiān)督和控制。檢測(cè)入侵思想于1987年由Derothy Denning提出，在多年的發(fā)展過(guò)程當(dāng)中，入侵檢測(cè)技術(shù)不斷完善，并被列為對(duì)攻擊進(jìn)行監(jiān)督和識(shí)別的標(biāo)準(zhǔn)解決方案，現(xiàn)入侵檢測(cè)已成為網(wǎng)絡(luò)安全防御的重要組成部分。

在親子繪樂(lè)課堂實(shí)施后，我園針對(duì)2017年參加該公益活動(dòng)的家長(zhǎng)采取問(wèn)卷調(diào)查的方式，隨機(jī)發(fā)放了136張問(wèn)卷，每份問(wèn)卷10項(xiàng)評(píng)估指標(biāo)。在家長(zhǎng)的配合下，共收到有效反饋問(wèn)卷85份，匯總反饋結(jié)果如下。

協(xié)作式入侵監(jiān)測(cè)技術(shù)有效彌補(bǔ)了單獨(dú)使用入侵監(jiān)測(cè)系統(tǒng)的不足，協(xié)作式入侵監(jiān)測(cè)技術(shù)是一個(gè)具完整性和統(tǒng)一性的入侵監(jiān)測(cè)體系，參與協(xié)作的各入侵監(jiān)測(cè)組件之間有著很好的互動(dòng)性，其會(huì)自動(dòng)交換入侵信息，通過(guò)信息的交換可有效監(jiān)測(cè)網(wǎng)絡(luò)入侵行為，且這種技術(shù)可廣泛應(yīng)用于各網(wǎng)絡(luò)安全環(huán)境當(dāng)中。

3.2 服務(wù)器操作系統(tǒng)的安全機(jī)制

服務(wù)器操作系統(tǒng)為網(wǎng)絡(luò)數(shù)據(jù)庫(kù)系統(tǒng)的運(yùn)行提供了平臺(tái)，也為網(wǎng)絡(luò)數(shù)據(jù)庫(kù)提供了一定的安全保障。現(xiàn)使用較多的服務(wù)器操作系統(tǒng)主要有Windows NT、Unix，其安全級(jí)別通常為C1、C2。服務(wù)器操作系統(tǒng)的安全技術(shù)主要包括安全策略、安全管理策略及數(shù)據(jù)安全等。安全策略主要用于對(duì)本地計(jì)算機(jī)的安全設(shè)置進(jìn)行配置，包括賬戶安全、密碼安全、IP地址安全、審核安全、加密數(shù)據(jù)安全及用戶權(quán)限安全等方面，具體來(lái)說(shuō)就是用戶的賬戶、口令、訪問(wèn)權(quán)限、審計(jì)等。

安全管理策略主要是指網(wǎng)絡(luò)管理員為維護(hù)網(wǎng)絡(luò)系統(tǒng)安全而采取的一系列安全管理方法和策略。網(wǎng)絡(luò)環(huán)境和操作系統(tǒng)的不同，網(wǎng)絡(luò)管理員會(huì)采取不同的安全管理方法和策略。但總體而言，安全管理策略的目的主要還是保護(hù)服務(wù)器的安全并做好各類用戶權(quán)限的分配工作。服務(wù)器操作系統(tǒng)的數(shù)據(jù)安全具體體現(xiàn)在數(shù)據(jù)備份、數(shù)據(jù)加密、數(shù)據(jù)傳輸安全及數(shù)據(jù)存儲(chǔ)安全等方面。用于保護(hù)服務(wù)器操作系統(tǒng)數(shù)據(jù)安全的技術(shù)有很多，如Kerberos認(rèn)證、TLS、VPN(PPTP、L2TP)、SSL、IPSec等。

3.3 數(shù)據(jù)庫(kù)管理系統(tǒng)的安全機(jī)制

基于網(wǎng)絡(luò)操作系統(tǒng)，網(wǎng)絡(luò)數(shù)據(jù)庫(kù)系統(tǒng)通常是以文件形式來(lái)管理網(wǎng)絡(luò)的，因此，網(wǎng)絡(luò)操作系統(tǒng)的安全直接影響了網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的管理，入侵者可從網(wǎng)絡(luò)操作系統(tǒng)著手，利用網(wǎng)絡(luò)操作系統(tǒng)的漏洞來(lái)竊取網(wǎng)絡(luò)數(shù)據(jù)庫(kù)文件，或是對(duì)數(shù)據(jù)庫(kù)文件內(nèi)容進(jìn)行篡改或偽造[3]。一般網(wǎng)絡(luò)數(shù)據(jù)庫(kù)用戶很難發(fā)現(xiàn)這類網(wǎng)絡(luò)安全隱患，因?yàn)榇祟惏踩[患的分析和解決通常會(huì)被歸為B2級(jí)數(shù)據(jù)安全技術(shù)措施。數(shù)據(jù)庫(kù)管理系統(tǒng)的安全機(jī)制則主要是為了解決這類安全隱患而設(shè)立的。在解決這類安全隱患的過(guò)程當(dāng)中，系統(tǒng)會(huì)先尋找安全隱患的入侵途徑，若前兩個(gè)層次的安全機(jī)制已被突破，數(shù)據(jù)庫(kù)管理系統(tǒng)的安全機(jī)制則會(huì)發(fā)揮其作用保護(hù)數(shù)據(jù)庫(kù)的數(shù)據(jù)安全。這就要求數(shù)據(jù)庫(kù)管理系統(tǒng)必須擁有一套完整而強(qiáng)有力的安全管理機(jī)制。數(shù)據(jù)庫(kù)管理系統(tǒng)的安全技術(shù)主要包括視圖、審計(jì)跟蹤、存儲(chǔ)權(quán)限、觸發(fā)器、數(shù)據(jù)加密、數(shù)據(jù)備份和恢復(fù)等。

視圖機(jī)制主要用于隱藏用戶的私密數(shù)據(jù)，防止數(shù)據(jù)外泄，這在一定程度上為數(shù)據(jù)庫(kù)的數(shù)據(jù)安全提供了保障；存儲(chǔ)權(quán)限是指不同的用戶針對(duì)其隱私數(shù)據(jù)擁有一定的公開(kāi)及隱藏權(quán)限，此外還有操作權(quán)限；數(shù)據(jù)加密主要是用于保護(hù)數(shù)據(jù)在被使用或是進(jìn)行傳遞的過(guò)程當(dāng)中不被修改或竊取，從而達(dá)到保護(hù)數(shù)據(jù)完整性和統(tǒng)一性的目的；數(shù)據(jù)備份和恢復(fù)是指在數(shù)據(jù)庫(kù)系統(tǒng)出現(xiàn)故障時(shí)，其能將數(shù)據(jù)庫(kù)系統(tǒng)還原至故障前狀態(tài)；審計(jì)跟蹤簡(jiǎn)單來(lái)說(shuō)就是給數(shù)據(jù)庫(kù)做一本日志，數(shù)據(jù)的修改、刪除、更新等都可通過(guò)審計(jì)跟蹤進(jìn)行查詢，使數(shù)據(jù)的各種活動(dòng)狀態(tài)都有證可循。

3.4 客戶端應(yīng)用程序的安全機(jī)制

客戶端應(yīng)用程序的安全機(jī)制是整個(gè)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全機(jī)制當(dāng)中最簡(jiǎn)單也最實(shí)用的安全機(jī)制。相比于其他層次的數(shù)據(jù)庫(kù)，客戶端數(shù)據(jù)庫(kù)具很強(qiáng)的獨(dú)立性，其可在不受外界干擾與支配的前提下發(fā)揮數(shù)據(jù)庫(kù)安全機(jī)制的作用，并且其還可隨時(shí)進(jìn)行更改。客戶端應(yīng)用程序可控制用戶登錄的合法性、身份驗(yàn)證等，其還可直接設(shè)置和管理自身數(shù)據(jù)庫(kù)的數(shù)據(jù)。加強(qiáng)控制和管理客戶端應(yīng)用程序可有效保障客戶端應(yīng)用程序的安全。此外，客戶端應(yīng)用程序具很強(qiáng)的靈活性，其可自行更改數(shù)據(jù)庫(kù)數(shù)據(jù)，同時(shí)可使用多種技術(shù)對(duì)客戶端安全進(jìn)行靈活管理，同時(shí)結(jié)合在COM+組件基礎(chǔ)上開(kāi)發(fā)的用戶身份鑒定技術(shù)可使客戶端安全得到有效的控制和管理[4]。

4 利用DBMS安全機(jī)制防范網(wǎng)絡(luò)攻擊

4.1 認(rèn)證與授權(quán)

認(rèn)證是對(duì)請(qǐng)求服務(wù)的人或應(yīng)用程序進(jìn)行驗(yàn)證的過(guò)程；授權(quán)是指將已通過(guò)身份認(rèn)證的人或應(yīng)用程序映射至已授予許可的數(shù)據(jù)庫(kù)用戶的過(guò)程，此過(guò)程限制了用戶行為需在數(shù)據(jù)庫(kù)允許內(nèi)發(fā)生。認(rèn)證主要是解決身份問(wèn)題；而授權(quán)主要是解決行為問(wèn)題。認(rèn)證和授權(quán)技術(shù)主要有用戶標(biāo)志與鑒別、存儲(chǔ)控制等。

4.2 備份與恢復(fù)

當(dāng)系統(tǒng)出現(xiàn)故障時(shí)，通過(guò)數(shù)據(jù)備份及恢復(fù)，網(wǎng)絡(luò)管理員可迅速恢復(fù)數(shù)據(jù)庫(kù)的原有狀態(tài)，保證數(shù)據(jù)的完整和統(tǒng)一。數(shù)據(jù)庫(kù)備份方法主要有靜態(tài)備份、動(dòng)態(tài)備份及邏輯備份等；數(shù)據(jù)庫(kù)恢復(fù)方法主要有磁盤(pán)鏡像、數(shù)據(jù)庫(kù)備份文件、數(shù)據(jù)庫(kù)在線日志等。

4.3 審計(jì)

利用審計(jì)可將用戶數(shù)據(jù)庫(kù)的所有活動(dòng)記錄下來(lái)并存放至審計(jì)日志當(dāng)中，如此一來(lái)，數(shù)據(jù)庫(kù)系統(tǒng)就可根據(jù)審計(jì)跟蹤來(lái)查詢數(shù)據(jù)庫(kù)的現(xiàn)有狀況及各數(shù)據(jù)的活動(dòng)狀況等，從而將從事非法存取數(shù)據(jù)的人、時(shí)間及內(nèi)容等找出來(lái)，這樣一方面方便網(wǎng)絡(luò)管理員追查非法存取數(shù)據(jù)的相關(guān)責(zé)任，另一方面也有助于網(wǎng)絡(luò)管理員及時(shí)發(fā)現(xiàn)系統(tǒng)安全漏洞及弱點(diǎn)，并及時(shí)修正，以進(jìn)一步提高網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全性，保證數(shù)據(jù)的統(tǒng)一性和完整性。

5 結(jié)語(yǔ)

網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全問(wèn)題是一個(gè)具強(qiáng)綜合性和系統(tǒng)性的問(wèn)題，在設(shè)計(jì)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全機(jī)制的過(guò)程中，不僅要考慮每一個(gè)結(jié)構(gòu)層的安全機(jī)制，而且還要注意層與層之間的緊密聯(lián)系，做到層層設(shè)防且保證設(shè)防不矛盾。隨著計(jì)算機(jī)技術(shù)及網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全問(wèn)題也會(huì)成為一個(gè)不斷發(fā)展的問(wèn)題，而且伴隨入侵者入侵手段及技術(shù)的不斷提高，相關(guān)的安全技術(shù)也應(yīng)不斷提高。只有不斷對(duì)新問(wèn)題、新情況進(jìn)行研究和處理，網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全性才能得到不斷提高。

[1]孫宏志，任麗妍．網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全機(jī)制研究[J]．信息系統(tǒng)工程，2015(06)：58．

[2]嵇可可．認(rèn)證技術(shù)下網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全機(jī)制研究應(yīng)用分析[J]．硅谷，2012(16)：106-107．

[3]張萍．計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全機(jī)制問(wèn)題初探[J]．信息與電腦(理論版)，2014(06)：99-100．

[4]陳聞凱．淺談網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全機(jī)制策略[J]．科技致富向?qū)В?013(08)：42．

Research on Security Mechanism of Network Database

Gan Lu1Shao Han2
(1.Xinyang Vocational and Technical College,Xinyang 464000,Henan; 2.Xinyang Normal University,Xinyang 464000,Henan)

With the rapid development of computer technology and Internet technology,people gradually enter the modern era of information.Using a variety of modern means of information,people's work and life become more convenient.But at the same time,there are criminals making the network security attacks.The security of network database is threatened,and the transmission and processing of information are affected,therefore a set of perfect security mechanism of network database needs to be developed to ensure the network database security.This article briefly introduces the basic concepts of network database security mechanism, network database model and its security mechanism model,analyzes the network database security mechanisms in each layer,and discusses on the use of DBMS security mechanism to prevent network attacks,so as to improve the network database safety and provide some suggestions.

network data storage;security mechanism;operating system

TP311.13

A

1008-6609(2016)05-0040-03

甘露，女，河南信陽(yáng)人，碩士，講師，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)與多媒體技術(shù)，計(jì)算機(jī)應(yīng)用技術(shù)。