摘 要：對(duì)于數(shù)控機(jī)床信息管理系統(tǒng)來(lái)說(shuō)，數(shù)據(jù)庫(kù)安全的重要性顯而易見(jiàn)。文章從平臺(tái)選擇、數(shù)據(jù)庫(kù)安全措施、應(yīng)用程序安全、權(quán)限控制、差異備份控制等方面，闡述數(shù)控機(jī)床數(shù)據(jù)庫(kù)安全與自動(dòng)備份系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)，具有一定的現(xiàn)實(shí)意義。

關(guān)鍵詞：數(shù)據(jù)庫(kù)安全；差異備份；設(shè)計(jì)；實(shí)現(xiàn)

中圖分類號(hào)：TG659 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1006-8937（2012）29-0015-02

當(dāng)前，數(shù)據(jù)庫(kù)技術(shù)在數(shù)控機(jī)床行業(yè)的信息管理系統(tǒng)中的使用尤為普遍。在互聯(lián)網(wǎng)管理措施與法制條例還不完善的現(xiàn)實(shí)下，后臺(tái)數(shù)據(jù)庫(kù)往往是不安全的，容易受到病毒、惡意軟件等手段的復(fù)合攻擊，攻擊的后果是數(shù)據(jù)被篡改、刪除，一些不安全的站點(diǎn)數(shù)據(jù)庫(kù)文件甚至被整體下載，給企業(yè)或個(gè)人帶來(lái)的損失不可估量。

對(duì)于數(shù)控機(jī)床信息管理系統(tǒng)來(lái)說(shuō)，數(shù)據(jù)庫(kù)安全的重要性顯而易見(jiàn)。除了加強(qiáng)網(wǎng)絡(luò)信息系統(tǒng)程序編寫(xiě)控制，對(duì)可能的網(wǎng)絡(luò)攻擊比如SQL注入攻擊等手段做好條件判斷與實(shí)驗(yàn)測(cè)試、服務(wù)器安全設(shè)置、加強(qiáng)網(wǎng)絡(luò)日志監(jiān)管與監(jiān)控等手段以外，另一個(gè)重要的方法對(duì)于數(shù)據(jù)庫(kù)災(zāi)難性的后果要有清醒認(rèn)識(shí)，要做好備份，做到有備無(wú)患，考慮到信息不斷錄入到系統(tǒng)中，數(shù)據(jù)庫(kù)的體積會(huì)越來(lái)越龐大，為了提高整個(gè)系統(tǒng)的數(shù)據(jù)庫(kù)的備份效率，引入差異備份技術(shù)以實(shí)現(xiàn)更好的控制。

1 開(kāi)發(fā)平臺(tái)選擇與設(shè)計(jì)

Server服務(wù)器：Apache HTTP Server（簡(jiǎn)稱Apache）是Apache軟件基金會(huì)的一個(gè)開(kāi)放源碼的網(wǎng)頁(yè)服務(wù)器，可以在大多數(shù)計(jì)算機(jī)操作系統(tǒng)中運(yùn)行，由于其多平臺(tái)和安全性被廣泛使用，是最流行的Web服務(wù)器端軟件之一，Apache服務(wù)器與Linux操作系統(tǒng)結(jié)合，比IIS安全性更高。它快速、可靠并且可通過(guò)簡(jiǎn)單的API擴(kuò)展，將Perl/Python等解釋器編譯到服務(wù)器中。

2 數(shù)據(jù)庫(kù)安全

數(shù)據(jù)庫(kù)的安全性是為了保護(hù)數(shù)據(jù)庫(kù)免受用戶的非法使用數(shù)據(jù)庫(kù)造成數(shù)據(jù)的泄露、更改與保護(hù)。數(shù)據(jù)庫(kù)帶來(lái)分享的同時(shí)，也帶來(lái)了數(shù)據(jù)庫(kù)安全問(wèn)題。在機(jī)械制造自動(dòng)化信息系統(tǒng)中，一些信息往往涉及到企業(yè)的核心機(jī)密。一定要保證這種共享是在DBMS控制下的共享，即允許合法用戶訪問(wèn)特定數(shù)據(jù)庫(kù)。

管理安全是由于軟硬件故障、管理不善等原因?qū)е碌挠?jì)算機(jī)設(shè)備與數(shù)據(jù)介質(zhì)的物理破壞、丟失等問(wèn)題。為了防范可能出現(xiàn)的問(wèn)題，需對(duì)服務(wù)器定期備份，建立“鏡像”，當(dāng)一臺(tái)服務(wù)器出現(xiàn)硬件問(wèn)題，第二臺(tái)服務(wù)器可以以相同的數(shù)據(jù)環(huán)境代替。對(duì)于不安全的服務(wù)器組件，比如FileSystemObject（文件系統(tǒng)組件）實(shí)現(xiàn)有權(quán)限控制。該組件在很多的ASP網(wǎng)站中大量使用，可以隨意對(duì)服務(wù)器上的文件夾進(jìn)行創(chuàng)建、修改、刪除、改名等操作。文件上傳模塊，木馬加以偽裝并躲避程序檢測(cè)上傳，嚴(yán)重的情況下，整站的文件都可以下載。網(wǎng)絡(luò)安全形同虛設(shè)。

經(jīng)驗(yàn)告訴我們，人們對(duì)組件認(rèn)識(shí)越透徹，這個(gè)組件就越不安全。如何做到既允許使用服務(wù)器組件比如FileSystemObject，又不影響服務(wù)器的安全性。很好的方法是采用目錄權(quán)限控制，去掉路徑的Everyone權(quán)限。必要時(shí)候，可以采用regsvr32.exe /u scrrun.DLL直接禁用該組件。采用其他代碼替換FileSystemObject的功能。

技術(shù)安全是數(shù)據(jù)庫(kù)安全性很重要的環(huán)節(jié)，強(qiáng)調(diào)在計(jì)算機(jī)系統(tǒng)中采取一定安全性硬件、軟件來(lái)實(shí)現(xiàn)對(duì)計(jì)算機(jī)系統(tǒng)及所存的數(shù)據(jù)進(jìn)行保護(hù)。當(dāng)數(shù)據(jù)受到惡意攻擊后，這些硬件與軟件仍然能正常運(yùn)行，保證系統(tǒng)的數(shù)據(jù)不增加、不丟失、不泄露。

數(shù)據(jù)庫(kù)安全編程是指在程序開(kāi)發(fā)中，對(duì)用戶可能采取的各種手段導(dǎo)出超出用戶權(quán)限所能導(dǎo)出的數(shù)據(jù)的行為，在代碼中進(jìn)行條件判斷控制，并做好多次試驗(yàn)測(cè)試，以盡可能杜絕這些行為的發(fā)生。一旦出現(xiàn)問(wèn)題，我們就認(rèn)定這些代碼是不安全的代碼，這種編程是不安全的編程行為。優(yōu)秀的程序設(shè)計(jì)人員，必須全面考慮代碼安全。

3 應(yīng)用程序的安全

如果要提高一個(gè)已有的應(yīng)用程序的安全性，應(yīng)該包含一下四個(gè)步驟：

①檢查服務(wù)器的安全性。

②找到代碼的漏洞。

③修復(fù)最明顯的問(wèn)題。

④同事間的代碼評(píng)審。

4 權(quán)限控制

在代碼中借助Ralasafe組件實(shí)現(xiàn)權(quán)限控制。Ralasafe訪問(wèn)控制中間件（數(shù)據(jù)級(jí)權(quán)限管理）是MIT協(xié)議開(kāi)源免費(fèi)軟件產(chǎn)品。它使用圖形化方式處理各種數(shù)據(jù)級(jí)權(quán)限管理問(wèn)題，包括數(shù)據(jù)庫(kù)行列級(jí)、字段內(nèi)容級(jí)權(quán)限問(wèn)題；它還能處理登錄控制、 功能級(jí)權(quán)限控制和URL權(quán)限認(rèn)證。使用Ralasafe，可以做到：權(quán)限與業(yè)務(wù)解耦合——實(shí)踐更清晰的系統(tǒng)架構(gòu)；.權(quán)限管理完全圖形化管理，不需要寫(xiě)一行代碼或XML文件（基本配置信息除外，如數(shù)據(jù)源和用戶元數(shù)據(jù)）——實(shí)踐高效開(kāi)發(fā)所有訪問(wèn)控制被集中、規(guī)范化管理——實(shí)踐訪問(wèn)模式的統(tǒng)一，減少安全漏洞Ralasafe完全遵循JAVA EE規(guī)范，跨平臺(tái)、web服務(wù)器和主流數(shù)據(jù)庫(kù)。

5 差異備份控制

首先，差異備份有別與完全備份、增量備份。完全備份是指對(duì)某一個(gè)時(shí)間點(diǎn)上的所有數(shù)據(jù)或應(yīng)用進(jìn)行的一個(gè)完全拷貝，這種備份的缺點(diǎn)顯而易見(jiàn)，隨著數(shù)據(jù)庫(kù)體積的增大，備份的時(shí)間較長(zhǎng)。增量備份的概念是指?jìng)浞葑陨弦淮蝹浞荩ò耆珎浞?、差異備份、增量備份）之后有變化的?shù)據(jù)。但是這種備份還原起來(lái)比較麻煩，必須具有上一次全備份和所有增量備份“鏡像”，一旦丟失，立刻造成還原失敗。差異備份綜合了完全備份與增量備份各自的優(yōu)勢(shì)，較增量備份需要時(shí)間短、節(jié)省磁盤(pán)空間的優(yōu)勢(shì)。其次，它又具有了全備份恢復(fù)所需“鏡像”少、恢復(fù)時(shí)間短的特點(diǎn)。系統(tǒng)管理員只需要兩個(gè)“鏡像”，即全備份“鏡像”與災(zāi)難發(fā)生前一天的差異備份“鏡像”，就可以將系統(tǒng)恢復(fù)。

差異備份工作原理圖如圖1所示。

6 結(jié) 語(yǔ)

以上安全措施與差異備份機(jī)制不能完全確保數(shù)據(jù)庫(kù)的絕對(duì)安全。為了進(jìn)一步防范數(shù)據(jù)傳輸過(guò)程數(shù)據(jù)丟失和被竊取的問(wèn)題，下一步需要對(duì)數(shù)據(jù)進(jìn)行加密、用戶權(quán)限引入MAC地址認(rèn)證與密碼管理引入防猜解機(jī)制，并加強(qiáng)對(duì)用戶與訪問(wèn)日志的監(jiān)控，必要時(shí)，報(bào)以網(wǎng)監(jiān)、司法接入等強(qiáng)制手段，從而較大程度捍衛(wèi)數(shù)據(jù)庫(kù)擁有人的權(quán)益不受“黑客”非法侵犯。

參考文獻(xiàn)：

[1] Tricia Ballad.PHP應(yīng)用程序安全編程[M].北京：機(jī)械工業(yè)出版社，2010.