周紅志,馮瑩瑩 (阜陽師范學(xué)院信息工程學(xué)院,安徽阜陽236041)

隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展,數(shù)據(jù)庫已廣泛地深入到了各個(gè)領(lǐng)域,但隨之而來的數(shù)據(jù)安全問題也越來越凸顯出來。數(shù)據(jù)庫中大量數(shù)據(jù)的集中存放和管理,日漸成為非法入侵者攻擊的焦點(diǎn),數(shù)據(jù)庫的安全越來越引起人們的高度重視。數(shù)據(jù)庫安全是指保護(hù)數(shù)據(jù)中的數(shù)據(jù)不被非法訪問和非法更新,并防止數(shù)據(jù)的泄露和丟失,其主要包括以下幾方面:①數(shù)據(jù)的完整性,即存儲(chǔ)在數(shù)據(jù)庫的數(shù)據(jù)應(yīng)該保持正確性、一致性和相容性;②數(shù)據(jù)的可用性,即當(dāng)系統(tǒng)授權(quán)的合法用戶申請(qǐng)存取有權(quán)存取的數(shù)據(jù)時(shí),安全系統(tǒng)應(yīng)該盡量減小對(duì)合法操作的影響;③數(shù)據(jù)的保密性,即安全系統(tǒng)應(yīng)該提供一個(gè)高強(qiáng)度的加密方案,對(duì)數(shù)據(jù)庫中的機(jī)密數(shù)據(jù)進(jìn)行加密處理[1]。對(duì)此,筆者針對(duì)供水行業(yè)營業(yè)管理系統(tǒng)的安全性進(jìn)行了研究。

1 數(shù)據(jù)庫安全策略

1.1 使用安全的賬號(hào)、密碼策略

對(duì)于SQL Server的 “sa”賬號(hào)應(yīng)該設(shè)置一個(gè)復(fù)雜的密碼,并且盡可能不在數(shù)據(jù)庫應(yīng)用中使用 “sa”賬號(hào)。安裝SQLServer2000的時(shí)候,如果是使用混合認(rèn)證模式,那么就需要輸入 “sa”的密碼,除非確認(rèn)必須使用空密碼。

由于SQL Server不能更改 “sa”用戶名稱,也不能刪除這個(gè)超級(jí)用戶,所以應(yīng)該新建立一個(gè)擁有與 “sa”一樣權(quán)限的超級(jí)用戶來管理數(shù)據(jù)庫。SQL Server的認(rèn)證模式有W indow s身份認(rèn)證和混合身份認(rèn)證2種。如果不需要以操作系統(tǒng)管理員通過操作系統(tǒng)登錄來操作數(shù)據(jù)庫,應(yīng)該在賬號(hào)管理中把系統(tǒng)賬號(hào) “Adm inistrators”刪除,然后根據(jù)實(shí)際需要分配賬號(hào),并賦予能夠滿足應(yīng)用要求所需要的權(quán)限。

1.2 存儲(chǔ)過程的應(yīng)用

存儲(chǔ)過程是由SQL語句和一些控制流語句組成并封裝起來的。經(jīng)過編譯和優(yōu)化后存儲(chǔ)在SQLServer數(shù)據(jù)庫中,客戶端應(yīng)用程序通過引用其名稱進(jìn)行調(diào)用。使用存儲(chǔ)過程可以優(yōu)化系統(tǒng)設(shè)計(jì),其優(yōu)點(diǎn)主要表現(xiàn)在:①功能全面、接口靈活。存儲(chǔ)過程可以接受多個(gè)參數(shù),也可以返回多個(gè)值,增加了SQL語句的功能和靈活性。②提高程序的執(zhí)行效率。由于存儲(chǔ)過程預(yù)先進(jìn)行了優(yōu)化、編譯,并且在第一次執(zhí)行后,由于SQLServer保存在高速緩存中,在接下來的調(diào)用中就可以直接從高速緩存中執(zhí)行,從而節(jié)省了執(zhí)行所需要的時(shí)間。③減少網(wǎng)絡(luò)數(shù)據(jù)傳輸量。由于存儲(chǔ)過程的處理是在數(shù)據(jù)庫服務(wù)器上,客戶端只需將參數(shù)傳送到數(shù)據(jù)庫服務(wù)器上對(duì)存儲(chǔ)過程進(jìn)行調(diào)用,服務(wù)器處理后,也只需將結(jié)果傳送回客戶端,使客戶端和數(shù)據(jù)庫服務(wù)器之間的通信量減少到最小,大大降低了網(wǎng)絡(luò)的負(fù)荷。④方便維護(hù)和功能擴(kuò)展。存儲(chǔ)過程只需編寫一次就可從系統(tǒng)的不同部分調(diào)用,即使出現(xiàn)邏輯錯(cuò)誤或要進(jìn)行業(yè)務(wù)邏輯修改時(shí),也只需要更改一次,而不需更改調(diào)用該存儲(chǔ)過程的各個(gè)部分,可保證數(shù)據(jù)的安全性和完整性,同時(shí),便于維護(hù)和功能的擴(kuò)展。

正式基于存儲(chǔ)過程的上述優(yōu)點(diǎn),在設(shè)計(jì)供水行業(yè)營業(yè)管理系統(tǒng)過程中,將一些公用、可變的業(yè)務(wù)邏輯采用存儲(chǔ)過程進(jìn)行編寫,放在服務(wù)器端提供各個(gè)模塊遠(yuǎn)程調(diào)用,充分利用存儲(chǔ)過程的優(yōu)點(diǎn),有效地提高了系統(tǒng)的整體性能和安全性能。

1.3 用戶登錄認(rèn)證

對(duì)于供水行業(yè)營業(yè)管理系統(tǒng)來說,數(shù)據(jù)的安全與保密是使系統(tǒng)正常運(yùn)行的基本保證。必須采取切實(shí)有效的措施來保證系統(tǒng)數(shù)據(jù)的安全與保密,對(duì)系統(tǒng)為數(shù)眾多的操作人員進(jìn)行有效的管理就是其中重要措施之一。登錄模塊的目的是防止非法用戶進(jìn)入系統(tǒng)引起數(shù)據(jù)的泄密、破壞,另外,可根據(jù)工作人員的職責(zé)范圍,控制其在系統(tǒng)中的操作范圍。

2 數(shù)據(jù)庫安全設(shè)計(jì)

2.1 用戶管理工作流程

用戶管理主要是系統(tǒng)管理者的任務(wù),管理者要為每個(gè)系統(tǒng)操作者建立記錄、設(shè)置密碼,以防止非法用戶進(jìn)入系統(tǒng),并對(duì)每種工作授權(quán),確定某種工作可以進(jìn)入哪些工作模塊。在系統(tǒng)中建立了記錄的操作人員,可憑正確的口令進(jìn)入系統(tǒng),并進(jìn)行工作權(quán)限內(nèi)的工作。

從以上可以看出,對(duì)用戶登錄模塊的實(shí)現(xiàn)包括對(duì)2個(gè)數(shù)據(jù)庫 (工作人員數(shù)據(jù)庫和工作權(quán)限數(shù)據(jù)庫)的訪問。在系統(tǒng)實(shí)際開發(fā)中,筆者利用3張數(shù)據(jù)表來管理,即PipeU serRole表存放著用戶編號(hào)和其對(duì)應(yīng)的角色;emp loyeeinfo表存放著每個(gè)操作人員對(duì)應(yīng)的基本信息 (其中密碼用加密后字符串保存);而PipeM enuRole表存放著對(duì)應(yīng)角色所具有的訪問各項(xiàng)菜單功能的權(quán)限。當(dāng)用戶登錄時(shí),首先通過訪問PipeUserRole表和emp loyeeinfo表判斷該用戶名是否存在,并驗(yàn)證密碼的正確性,然后再通過訪問PipeM enuRole表以確定該用戶所能看到的具體的工作菜單范圍。

2.2 用戶權(quán)限管理模塊實(shí)現(xiàn)

該模塊為系統(tǒng)管理者提供了對(duì)每個(gè)系統(tǒng)操作者建立記錄、設(shè)置密碼、分配角色和分配工作權(quán)限等操作的方便。該模塊主要用到VB類庫C lassUserApi,該類是基于用VC實(shí)現(xiàn)的USERAPI動(dòng)態(tài)庫,USERAPI動(dòng)態(tài)庫實(shí)現(xiàn)了系統(tǒng)管理者所用到的所有操作。

系統(tǒng)管理者登陸界面填入正確的服務(wù)器名、數(shù)據(jù)庫名和密碼后進(jìn)入用戶權(quán)限管理模塊,在用戶權(quán)限管理模塊可以看到對(duì)應(yīng)的列出了所有該系統(tǒng)的使用者、角色和部門,系統(tǒng)管理者可以再相應(yīng)地添加新的用戶、角色和部門,為新添加的用戶設(shè)置密碼并分配相應(yīng)的角色。當(dāng)工作人員登陸系統(tǒng)后就會(huì)根據(jù)所分配的權(quán)限擁有相應(yīng)的模塊,并進(jìn)行各自職責(zé)之內(nèi)的工作。

2.3 用戶登陸模塊實(shí)現(xiàn)

在登陸頁面用戶輸入賬號(hào)和口令登錄系統(tǒng),系統(tǒng)會(huì)在數(shù)據(jù)庫中匹配該用戶的賬號(hào)和口令,如果賬號(hào)和口令正確,將繼續(xù)檢索該用戶所擁有的權(quán)限,并將最終結(jié)果反饋在子系統(tǒng)模塊欄目。登錄成功后,在登錄后的界面中將出現(xiàn)其權(quán)限范圍所能見的子系統(tǒng)模塊,并且可以通過點(diǎn)擊在該界面中列出的子系統(tǒng)模塊,繼續(xù)進(jìn)入相應(yīng)的子系統(tǒng)模塊。

3 結(jié) 語

筆者針對(duì)數(shù)據(jù)庫的安全性設(shè)計(jì)已在某自來水公司的營業(yè)管理系統(tǒng)中得到應(yīng)用。通過使用數(shù)據(jù)庫的安全性技術(shù),系統(tǒng)的管理決策功能得到進(jìn)一步增強(qiáng),安全性能得到進(jìn)一步的提高。

[1]楊泉.數(shù)據(jù)庫安全問題的探討 [J].科技信息,2008,(21):18～20.

[2]丁寶康,董健全.數(shù)據(jù)庫實(shí)用教程 [M].北京:清華大學(xué)出版社,2003.