數據庫系統安全性測試技術的應用

摘 要

研究數據庫系統安全性測試技術的目的在于了解不同技術的特點和應用對象。本文通過分析引發安全性問題的原因及測試技術適用范圍，闡釋了數據庫系統安全性測試中幾個核心技術的應用情況。

【關鍵詞】數據庫 系統 安全性測試 技術

信息時代的到來讓網絡與信息技術成為當下服務于各行業最為普遍、前沿的現代技術之一，在不斷提高勞動生產率、減輕大量人工勞動強度的同時，讓經濟效益和社會效益出現了前所未有、幾何級增長的態勢。然而，當人類享受著計算機、信息技術等高科技帶來的各種便捷與利益的同時，也面臨著日漸增加的網絡與電腦遭受惡意攻擊、出現難以預料的安全性問題的煩擾。網絡與計算機技術便利和問題的并存充分證明了“科技是一柄‘雙刃劍”的說法，也讓越來越多業內外人士認識到了加強數據庫系統安全性測試的重要性。

1 引發數據庫系統安全性問題的原因

當前引發數據庫系統安全性問題的主要原因概括起來主要有權限與帳戶管理不當的問題，身份認證管理不當的問題，數據庫日志審計方面的問題。

權限與帳戶管理不當產生的安全性問題主要是對高級權限或帳戶管理上的不當。尤其是對系統管理員的監督管理缺乏應有的強度與頻率。由于系統管理員掌握著所有權限與帳戶的特殊性，其不僅有通過后門進入數據庫開展日常管理工作的現實性，也同時具有利用職務之便監守自盜的風險性。

當前眾多數據庫都具有用戶身份認證的管理機制，只有用戶提供正確的帳號與密碼才能進入目標數據庫系統進行相應的操作。但這一機制卻對通過不法渠道獲取的帳號與密碼缺乏防范手段。

許多數據庫系統內置了日志審計功能，也就是每出現一次系統數據變更（修改）或權限應用時，就會自動生成一條日志內容被系統捕捉并記錄下來。然而當前這樣的日志記錄卻沒有對出現安全性問題進行實時監控與即時報警的功能。也就是說，雖然數據庫系統能夠自行記錄下任何一條安全性問題，但若管理員沒有及時查閱，則同樣不能針對安全性問題采取措施進行處理或規避。

2 數據庫系統安全性測試范疇

數據庫系統安全性測試一般涉及到測試對象、潛在風險、方案設置等。所謂測試對象就是數據與系統功能。即那些需要得到安全保護的數據與系統功能都需要被陳列出來并衡量其對于合法用戶與非法用戶都有怎樣不同的價值，此外還應尋找非法利用測試對象的各類手段。

潛在風險是指潛藏的可能造成數據損毀、丟失或損害系統功能的事件，需要找到這些潛在風險并且將其分為自然風險、意外風險、人為風險三類。同時，需要對這些潛在風險的出現進行概率預計，并就這些風險一旦轉化為事實會造成的后果進行評估，再對其中程度最為嚴重的一部分進行重點關注。

方案設置是指對上面提到的潛在性風險進行的安全性方案的預設。特別是對其中人為風險進行重點安全性方案預設。與此同時，方案設置還包括對數據庫系統安全性進行策略性測試。此環節包括正向與反向兩大類。正向策略性測試是指從需要出發，將系統中設計、編碼過程中可能存在的安全隱患一一找尋出來并進行針對性測試；而反向策略測試則是從當前系統中已經存在的漏洞與缺陷等出發，繼續找尋其他潛在的漏洞與缺陷。在根據既有和后續發展的漏洞與缺陷建立相應的問題模型并由模型推演找尋發現可能遭受惡意攻擊的端口或節點，繼而對這些端口或節點進行安全性掃描。

3 數據庫系統安全性測試中幾個核心技術的應用

3.1 掃描

數據庫系統安全性測試掃描技術主要針對的是數據庫系統安全性強度問題的核心技術。特點是便捷、迅速、較容易操作，對數據庫系統安全性測試具有一定的目標性，尤其是在認證用戶身份、系統權限設置、安全缺陷與系統完整性等方面進行掃描測試。其過程是事先設置一定的安全性測試方案，再根據既定方案對預期中的潛在系統缺陷進行逐一測試，根據測試結果描述漏洞或缺陷的詳情，再據此制定相應的解決措施。由此形成數據庫系統安全性測試報告，實現對數據庫安全的持續完善。這一核心技術具體內容包括對數據的安全性掃描、對用戶權限設置的安全強度的掃描及對用戶身份認證安全強度的掃描等。

3.2 滲透

這一技術簡而言之類似于模擬外部入侵的試錯技術。也就是最大限度模仿“黑客”等非法入侵數據庫的對手的系統缺陷找尋手段與策略，通過主動對已方系統進行安全性測試發現其中潛藏的漏洞與問題所在。在信息與網絡的實踐應用中，數據庫具有多層使用的特性。因此在同一個網絡系統中，出于不同測試目的比如對象或階段的差異等，使用滲透進行安全性測試的具體內容也不盡相同。比如既有對網絡或端口進行掃描的滲透測試技術；也有通過對密碼進行解密的破解滲透測試技術；還有“SQL”技術，也就是入侵者用自己設計的腳本滲透入目標數據庫系統所在服務器的CGI腳本中，由此實現對入侵指令的實施或者是取得目標數據的目的。此外緩沖溢出也是滲透技術中較常見的一種。是指利用遠程控制技術，在目標系統的緩沖區填充超過其預設容量的內容引發數據溢出，導致系統放棄該指令而執行入侵者的指令。

3.3 Fuzzing

此技術又稱為模糊處理技術，也叫“黑箱”測試技術。該技術主要特點是測試者對目標數據庫系統沒有任何事先了解，僅通過對目標系統注入錯誤數據的手法開展測試，通過系統對此注入行為的反應發現其中潛藏的缺陷或漏洞。該技術主要針對的是互聯網上最常用的協議如HTTP、FTP、SMTP、POP3等。而利用此技術能夠發現的缺陷漏洞可以涵蓋SQL、緩沖溢出、腳本攻擊、字符串格式化漏洞與泄露在內的各類安全性缺陷問題。

4 結束語

數據庫系統安全性測試技術是隨著互聯網與計算機應用的普及和深入而伴隨出現并不斷提升的前沿技術。這一技術不僅在于維護數據與信息安全及使用人的切身利益，更有助于促進整個網絡與信息技術的不斷完善與進步。數據庫系統安全性測試技術的應用需要區分目標與對象的性質差異，選擇最具針對性的內容與形式開展測試，并在不斷提高技術適應性的基礎上實現系統安全性的進一步完善。

參考文獻

[1]白雪.試論Web應用系統的安全性測試技術[J].網絡安全技術與應用，2013（04）.

[2]張勇.基于規格說明的組件安全性測試技術研究和實現（碩士學位論文）[D].解放軍信息工程大學，2012（07）.

作者簡介

龐麗英（1986-），女，山西省朔州市人。碩士學歷。現為中北大學朔州校區助教。研究方向為數據庫。

作者單位

中北大學朔州校區 山西省朔州市 036000