數據庫安全深度防護模型的設計和實現

摘 要 隨著數據安全功能開放程度與數據庫應用復雜度的提升，不但數據庫自身會產生很多的數據庫系統安全問題。所以，應該通過多樣化維度監控、檢測分析數據庫和應用安全特性等方式進行系統的維護，這樣，將一個數據庫安全保護的深度防護模型提了出來。在此模型設計基礎上，將框架和工作原理制定了出來。

【關鍵詞】數據庫 安全深度 防護模型 設計與實現

1 安全檢測數據庫運行環境

1.1 內容分析

對于這樣幾方面，數據庫運行環境安全防護工作都需要進行著重的分析：服務器安全、物理環境安全、網路環境安全和數據庫本身安全。

一些重要的DBMS所給出的安全防護措施能夠通過數據庫本身來防護，所以，將數據庫本身的安全拋出以外，剩余的部分被稱為安全運行環境。

日常安全管理、硬件環境和軟件環境等方面的內容是數據庫周邊安全問題所包含的主要內容，利用自動化測試工具無法或者難以發現這些問題。但是，實際運行中，泄漏和破壞數據庫問題都是由于周圍問題沒有被有效處理所導致的。

1.2 檢測對策

因為數據庫會在多樣性、復雜性的環境中運行，所以，在檢查的時候很難通過自動手段來完成。因此，在研究數據庫運行環境時不妨通過問卷調查的手段。有效的評估出其中可能存在的風險，在對各個問題進行打分時，可以應用缺陷評估模型CVSS。進而將被測數據庫環境的安全狀態可以定量的進行分析。利用此種方法，可以量化處理數據庫運行環境中潛在的風險。對各個問題的風險等級進行打分，從而能夠綜合的評價分析運行環境的安全系數。

2 檢測數據安全特性

2.1 內容分析

在事前檢測數據庫安全特性時，主要是檢測數據庫自身，在加固數據庫本身時，首先應該準確的劃分數據庫的安全缺陷，在劃分數據庫自身的缺陷時，我們可以從橫向和縱向兩個方面入手。

2.2 方法分析

在進行安全特性自動化檢測時，應該堅持從外到內的次序，此順序是與數據庫以外的邏輯層次相對的，因此，我們需要將一個自動化檢測的分層模型構造出來：首先，掃描端口。主要是將相同網段里面的數據庫服務找出來，數據庫的不同，都會將一個服務監聽特定端口開通出來。其次，滲透檢測。在不明確數據庫賬號信息的基礎上應用這種方法，通過猜測數據庫的版本信息，將其中隱藏的漏洞找出來，之后利用先前弄好的腳本，攻擊其中可能存在的數據，然互將數據內部潛在的安全隱患找出來。但是，必需要確保沒有損壞存在于這種攻擊中，防止將不必要的損害帶給數據庫。所有可能傷害到數據庫的測試腳本，在數據庫的副本上都應該進行相應的測試，對所有的數據在測試前都要進行合理的備份。再次，內部審計。當管理員權限被獲取出來后，在數據庫中進行登錄，然后對數據庫的配置參數在數據的內部完成相應的安全檢測，此部分檢測很少會傷害到數據庫，主要是看是否有安全隱患存在于配置項中但是應該注意。在檢測此部分時，將DBA權限必須要獲取出來，在將該權限拿到手之后，就可以進行相應的操作，這樣測試自身就會將一些安全隱患帶給數據庫。

3 審計數據安全日志

3.1 內容分析

我們可以將圖1給出的日志信息作為研究的對象，通過分析這三種類型的日志，對于數據本身的安全性，用戶們能夠輕松的進行了解，掌握數據庫的訪問狀態。

3.2 方法分析

解析效率問題是審計日志時所需要解決的一個重要問題。非結構化、海量的信息是現存日志信息的主要特點，所以，出于考慮其中的檢查效率，首先應該進行結構化處理。通常利用這些方法對非結構化數據進行處理；其一，逐行的解析數據文件，然后向著數據庫中加載這些被解析完的數據，這樣就能夠通過SQL將數據庫中的內容快速的分析和查詢出來，此種方法的優點是：通過SQL乬能夠非常輕松的分析和查詢數據，同時，還將索引等方式在數據表上構建起來，然后將查詢效率提升，但是，也有一個嚴重的缺陷存在于這種方法中：在向數據庫中加載解析完的日志文件時，IO讀寫操作需要被大量的應用，因為一般由上百萬行的數量級存在于日志文件中，所以，需要通過花費大量的時間才能夠將數據加載完畢。

4 結語

本文通過探究，在DBMS的基礎上，使有關的支持工具成為了現實，將一個系統完善的數據庫安全檢測系統構建了起來，在自動化方法的基礎上，將測試成本減少了，更重要是的將測試的效率有效的提升了上來。

參考文獻

[1]劉欣，沈昌祥.多級數據庫安全模型研究[A].第十九次全國計算機安全學術交流會論文集[C].2004.

[2]羅華鈞，孫長軍.現代數據庫安全概述[A].2007通信理論與技術新發展——第十二屆全國青年通信學術會議論文集（上冊）[C].2007.

[3]李麗萍，楊寅春，何守才，蔣川群.數據庫安全中審計的設計與實現[A].第二十二屆中國數據庫學術會議論文集（技術報告篇）[C].2005.

[4]張剡，夏輝，柏文陽.數據庫安全模型的研究[A].第二十一屆中國數據庫學術會議論文集（技術報告篇）[C].2011.

作者簡介

李曉田（1972-），男，福建省南平市建陽區人。大學本科學歷。現為92403部隊51分隊高級工程師。研究方向為信息工程。

作者單位

92403部隊51分隊 福建省福州市 350007