石家莊科技信息職業(yè)學(xué)院信息科學(xué)系 張健

網(wǎng)絡(luò)數(shù)據(jù)庫安全研究與應(yīng)用

石家莊科技信息職業(yè)學(xué)院信息科學(xué)系 張健

隨著因特網(wǎng)的擴大、數(shù)據(jù)庫技術(shù)的成熟,網(wǎng)絡(luò)數(shù)據(jù)庫的安全性問題顯得日益重要。從外圍層的安全和核心層的安全兩個方面闡述網(wǎng)絡(luò)數(shù)據(jù)庫安全性策略和應(yīng)用。

計算機網(wǎng)絡(luò)數(shù)據(jù)庫軟件管理

在計算機和網(wǎng)絡(luò)基礎(chǔ)設(shè)施不斷完善的同時,計算機黑客及病毒也在不斷的自我壯大,并且以計算機網(wǎng)絡(luò)數(shù)據(jù)庫為攻擊對象。由此可見,計算機網(wǎng)絡(luò)數(shù)據(jù)庫安全存在的主要問題也就是易受計算機黑客及病毒的攻擊。因此,對計算機網(wǎng)絡(luò)數(shù)據(jù)庫安全的管理就顯得尤為重要。而對計算機網(wǎng)絡(luò)數(shù)據(jù)庫受攻擊的防護措施主要由第一道防護線——防火墻,和第二道防護線——入侵監(jiān)測系統(tǒng)兩部分組成。

一、防火墻

防火墻是傳統(tǒng)的計算機網(wǎng)絡(luò)防護措施,目前的防火墻產(chǎn)品主要有堡壘主機、包過濾路由器、應(yīng)用層網(wǎng)關(guān)(代理服務(wù)器)以及電路層網(wǎng)關(guān)、屏蔽主機防火墻、雙宿主機等類型。防火墻處于5層網(wǎng)絡(luò)安全體系中的最底層,屬于網(wǎng)絡(luò)數(shù)據(jù)庫軟件層安全技術(shù)范疇。作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障,防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。雖然從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務(wù),同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)化2NAT、代理型。

二、入侵檢測系統(tǒng)

由于防火墻只防外不防內(nèi),并且很容易被繞過,所以僅僅依賴防火墻的計算機系統(tǒng)已經(jīng)不能對付日益猖獗的入侵行為,對付入侵行為的第二道防線——入侵檢測系統(tǒng)就被啟用了。入侵檢測系統(tǒng)(IDS)即檢測企圖破壞計算機資源的完整性,真實性和可用性的行為的軟件。(Anderson)入侵檢測系統(tǒng)執(zhí)行的主要任務(wù)包括:監(jiān)視、分析用戶及系統(tǒng)活動;審計系統(tǒng)構(gòu)造和弱點;識別、反映已知進攻的活動模式,向相關(guān)人士報警;統(tǒng)計分析異常行為模式;評估重要系統(tǒng)和數(shù)據(jù)文件的完整性;審計、跟蹤管理操作系統(tǒng),識別用戶違反安全策略的行為。入侵檢測一般分為三個步驟:信息收集、數(shù)據(jù)分析、響應(yīng)。入侵檢測的目的:(1)識別入侵者;(2)識別入侵行為;(3)檢測和監(jiān)視以實施的入侵行為;(4)為對抗入侵提供信息,阻止入侵的發(fā)生和事態(tài)的擴大。

現(xiàn)有的入侵檢測系統(tǒng)(IDS)的分類,大都基于信息源和分析方法。為了體現(xiàn)對IDS從布局、采集、分析、響應(yīng)等各個層次及系統(tǒng)性研究方面的問題,在這里采用五類標(biāo)準(zhǔn):控制策略、同步技術(shù)、信息源、分析方法、響應(yīng)方式。(1)按照控制策略分類。控制策略描述了IDS的各元素是如何控制的,以及IDS的輸入和輸出是如何管理的。按照控制策略IDS可以劃分為,集中式IDS、部分分布式IDS和全部分布式IDS。(2)按照同步技術(shù)分類。按照同步技術(shù)劃分,IDS劃分為間隔批任務(wù)處理型IDS和實時連續(xù)性IDS。在間隔批任務(wù)處理型IDS中,信息源是以文件的形式傳給分析器,一次只處理特定時間段內(nèi)產(chǎn)生的信息,并在入侵發(fā)生時將結(jié)果反饋給用戶。在實時連續(xù)型IDS中,事件一發(fā)生,信息源就傳給分析引擎,并且立刻得到處理和反映。按照信息源分類(3)按照信息源分類。按照信息源分類是目前最通用的劃分方法,它分為基于主機的IDS、基于網(wǎng)絡(luò)的IDS和分布式IDS?；谥鳈C的IDS通過分析來自單個的計算機系統(tǒng)的系統(tǒng)審計蹤跡和系統(tǒng)日志來檢測攻擊?；谥鳈C的IDS是在關(guān)鍵的網(wǎng)段或交換部位通過捕獲并分析網(wǎng)絡(luò)數(shù)據(jù)包來檢測攻擊。(4)按照分析方法分類。按照分析方法IDS劃分為濫用檢測型IDS和異常檢測型IDS。濫用檢測型的IDS中,首先建立一個對過去各種入侵方法和系統(tǒng)缺陷知識的數(shù)據(jù)庫,當(dāng)收集到的信息與庫中的原型相符合時則報警。任何不符合特定條件的活動將會被認(rèn)為合法,因此這樣的系統(tǒng)虛警率很低。(5)按照響應(yīng)方式分類。按照響應(yīng)方式IDS劃分為主動響應(yīng)IDS和被動響應(yīng)IDS。當(dāng)特定的入侵被檢測到時,主動IDS會采用以下三種響應(yīng):收集輔助信息;改變環(huán)境以堵住導(dǎo)致入侵發(fā)生的漏洞;對攻擊者采取行動。被動響應(yīng)IDS則是將信息提供給系統(tǒng)用戶,依靠管理員在這一信息的基礎(chǔ)上采取進一步的行動。

三、創(chuàng)建穩(wěn)定、可靠的服務(wù)

網(wǎng)絡(luò)化勢在必行,但不是簡單地為要有網(wǎng)絡(luò)而建網(wǎng)絡(luò)。建立了網(wǎng)絡(luò)就要發(fā)揮出網(wǎng)絡(luò)及網(wǎng)絡(luò)數(shù)據(jù)庫的效率與效益,要能提高管理水平。要開發(fā)必要的網(wǎng)絡(luò)數(shù)據(jù)應(yīng)用軟件系統(tǒng),勢必帶來更深層次的工作模式和管理模式的變革。要發(fā)揮網(wǎng)絡(luò)和網(wǎng)絡(luò)數(shù)據(jù)庫的效益,必須對全體人員進行必要而且充分的培訓(xùn),這也應(yīng)是網(wǎng)絡(luò)安全計劃的重要組成部分。建網(wǎng)工作,不光是計算中心或電算室的工作,而是全體勘測設(shè)計人員乃至管理人員的工作,需全體人員共同努力,才能真正發(fā)揮網(wǎng)絡(luò)的作用,才能真正達到建網(wǎng)的根本目的。創(chuàng)建一個穩(wěn)定、可靠的服務(wù)是一個網(wǎng)絡(luò)數(shù)據(jù)系統(tǒng)管理員的重要工作。在進行這項工作時網(wǎng)絡(luò)數(shù)據(jù)系統(tǒng)管理員必須考慮許多基本要素,其中最重要的就是在設(shè)計和開發(fā)的各個階段都要考慮到用戶的需求。要和用戶進行交流,去發(fā)現(xiàn)用戶對服務(wù)的要求和預(yù)期,然后把其它的要求如管理要求等列一個清單,這樣的清單只能讓系統(tǒng)管理員團隊的人看到。在這樣一個過程中“是什么”比“怎么樣”更重要,否則在具體執(zhí)行時很容易就會陷入泥潭而失去目標(biāo)。為了可靠性和安全性,對服務(wù)器的訪問權(quán)限應(yīng)當(dāng)進行限制,只有系統(tǒng)管理員才能具有訪問權(quán)限?？傊?對于網(wǎng)絡(luò)數(shù)據(jù)庫安全的管理主要就是防止黑客及病毒的入侵,而防止黑客機病毒的最好解決辦法就是要使用防火墻和入侵檢測系統(tǒng)(IDS)相結(jié)合,達到內(nèi)外防治的效果,從而維護計算機網(wǎng)絡(luò)數(shù)據(jù)庫軟件的安全。

[1]王鋒波.基于數(shù)據(jù)開采技術(shù)的入侵檢測系統(tǒng).自動化博覽2001年8月

[2]張杰.入侵檢測系統(tǒng)技術(shù)現(xiàn)狀及其發(fā)展趨勢.計算機與通信2002年6月

book=0,ebook=117