摘 要 隨著信息化、網(wǎng)絡(luò)化水平的不斷提升，數(shù)據(jù)信息越來越受到安全威脅，信息泄露、信息篡改等信息安全問題屢見不鮮，從個人隱私到企業(yè)的商業(yè)秘密，甚至到政府國家的核心機密，都出現(xiàn)了不同程度的信息安全問題。由于目前大部分重要數(shù)據(jù)都是通過數(shù)據(jù)庫系統(tǒng)來存儲的，因此，數(shù)據(jù)庫安全保護尤其重要，如何保護數(shù)據(jù)庫體統(tǒng)的安全，有效防范信息泄漏和篡改，成為一個重要的安全保障目標(biāo)。本文研究了數(shù)據(jù)庫系統(tǒng)具體的安全保護措施。

關(guān)鍵詞 計算機；數(shù)據(jù)庫系統(tǒng)；數(shù)據(jù)安全；保護措施

中圖分類號 TP311 文獻標(biāo)識碼 A 文章編號 1673-9671-(2012)071-0125-01

近年來，隨著信息化、網(wǎng)絡(luò)化水平的不斷提升，數(shù)據(jù)信息越來越受到安全威脅，信息泄露、信息篡改等信息安全問題屢見不鮮，所有存在數(shù)據(jù)的地方，只要數(shù)據(jù)是有價值的，就存在風(fēng)險，就有人會去想法子竊取、篡改、販賣，從中牟利。從個人隱私到企業(yè)的商業(yè)秘密，甚至到政府國家的核心機密，都出現(xiàn)了不同程度的信息安全問題。由于目前大部分重要數(shù)據(jù)都是通過數(shù)據(jù)庫系統(tǒng)來存儲的，因此，數(shù)據(jù)庫安全保護尤其重要，如何保護數(shù)據(jù)庫，有效防范信息泄漏和篡改成為一個重要的安全保障目標(biāo)。那么，如何才能更加有效地保護數(shù)據(jù)庫安全，防范信息泄漏和篡改呢？

1 加強對數(shù)據(jù)庫的訪問控制

訪問控制是允許或禁止訪問資源的過程?；诮巧脑L問控制是一種數(shù)據(jù)庫權(quán)限管理機制，它根據(jù)不同的職能崗位劃分角色，資源訪問權(quán)限被封裝在角色中，而用戶被賦予角色，通過角色來間接地訪問資源。在給角色或用戶授權(quán)時，必須遵循最小權(quán)限和特權(quán)分離的基本安全原則。明確數(shù)據(jù)庫管理和使用職責(zé)分工，最小化數(shù)據(jù)庫帳號使用權(quán)限，防止權(quán)利濫用。同時，要加強口令管理，使用高強度口令，刪除系統(tǒng)默認帳號口令等。

2 建立嚴格的用戶認證機制

數(shù)據(jù)庫安全機制是用于實現(xiàn)數(shù)據(jù)庫的各種安全策略的功能集合，正是由這些安全機制來實現(xiàn)安全模型，進而實現(xiàn)保護數(shù)據(jù)庫系統(tǒng)安全的目標(biāo)?？诹钫J證方式是鑒別數(shù)據(jù)庫系統(tǒng)用戶身份最基本的方式。實施嚴格的賬號和密碼管理機制，是實現(xiàn)數(shù)據(jù)庫系統(tǒng)安全的重點。

用戶標(biāo)識是指用戶向系統(tǒng)出示自己的身份證明，最簡單的方法是輸入用戶ID和密碼。標(biāo)識機制用于惟一標(biāo)志進入系統(tǒng)的每個用戶的身份，因此必須保證標(biāo)識的惟一性。鑒別是指系統(tǒng)檢查驗證用戶的身份證明，用于檢驗用戶身份的合法性。標(biāo)識和鑒別功能保證了只有合法的用戶才能存取系統(tǒng)中的資源。由于數(shù)據(jù)庫用戶的安全等級是不同的，因此分配給他們的權(quán)限也是不一樣的，數(shù)據(jù)庫系統(tǒng)必須建立嚴格的用戶認證機制。身份的標(biāo)識和鑒別是DBMS對訪問者授權(quán)的前提，并且通過審計機制使DBMS保留追究用戶行為責(zé)任的能力。功能完善的標(biāo)識與鑒別機制也是訪問控制機制有效實施的基礎(chǔ)，特別是在一個開放的多用戶系統(tǒng)的網(wǎng)絡(luò)環(huán)境中，識別與鑒別用戶是構(gòu)筑DBMS安全防線的第一個重要環(huán)節(jié)。

3 對重要數(shù)據(jù)信息進行加密

數(shù)據(jù)加密是保證數(shù)據(jù)庫系統(tǒng)中數(shù)據(jù)保密性和完整性的有效手段。數(shù)據(jù)庫系統(tǒng)的加密措施是指對數(shù)據(jù)庫系統(tǒng)中的重要數(shù)據(jù)進行加密處理，確保只有當(dāng)系統(tǒng)的合法用戶訪問有權(quán)限的數(shù)據(jù)時，系統(tǒng)才把相應(yīng)的數(shù)據(jù)進行解密操作，否則，數(shù)據(jù)庫系統(tǒng)應(yīng)當(dāng)保持重要數(shù)據(jù)的加密狀態(tài)，以防止非法用戶利用竊取到的明文信息對系統(tǒng)進行攻擊。要對數(shù)據(jù)庫及其核心業(yè)務(wù)系統(tǒng)進行安全加固，保護在系統(tǒng)邊界部署防火墻、IDS/IPS、防病毒系統(tǒng)等，并及時地進行系統(tǒng)補丁檢測，安全加固。

4 部署一套數(shù)據(jù)庫審計系統(tǒng)

對數(shù)據(jù)庫系統(tǒng)及其所在主機進行實時安全監(jiān)控、事后操作審計，部署一套數(shù)據(jù)庫審計系統(tǒng)，這一點尤為重要，相當(dāng)于數(shù)據(jù)庫安全的最后一道防線。事實表明，現(xiàn)在的數(shù)據(jù)泄漏和篡改事件都是“內(nèi)部人員”作案為主，他們有合法的帳號口令，他們完全可以把自己偽裝成一個“合法”的內(nèi)部人員，堂而皇之的竊取數(shù)據(jù)庫信息，根本不用任何攻擊手段，防火墻、IDS/IPS之類的傳統(tǒng)安全系統(tǒng)根本發(fā)現(xiàn)不了。因此，對數(shù)據(jù)庫系統(tǒng)的使用進行監(jiān)控和審計，最關(guān)鍵的就在于對內(nèi)部人員的違規(guī)和誤操作進行監(jiān)控和審計。而這，正是數(shù)據(jù)庫審計系統(tǒng)的特長。

針對重要的數(shù)據(jù)庫及其業(yè)務(wù)系統(tǒng)，部署一套數(shù)據(jù)庫審計系統(tǒng)，可以達到以下目標(biāo)：1）數(shù)據(jù)操作實時監(jiān)控：對所有外部或者內(nèi)部用戶對數(shù)據(jù)庫和主機的各種操作行為、內(nèi)容，進行實時監(jiān)控。2）高危操作即時阻斷：對于高危操作能夠?qū)崟r阻斷，干擾攻擊或者違規(guī)行為的執(zhí)行。3）安全預(yù)警：對于入侵和違規(guī)行為進行及時預(yù)警和告警，并指導(dǎo)管理員進行應(yīng)急響應(yīng)處理。4）事后調(diào)查取證：對于所有行為能夠進行事后查詢、取證、調(diào)查分析，出具各種審計報表報告。5）責(zé)任認定、事態(tài)評估：系統(tǒng)能夠記錄和定位誰、在什么時候、通過什么方式對數(shù)據(jù)庫進行了什么操作，以及操作的結(jié)果和可能的危害程度。

5 保護訪問數(shù)據(jù)庫的進出網(wǎng)絡(luò)通道

雖然防病毒軟件和防火墻提供了一定級別的安全防護，但并不能因此認為網(wǎng)絡(luò)通信就是安全的。數(shù)據(jù)庫監(jiān)聽器作為連接數(shù)據(jù)庫服務(wù)端得網(wǎng)絡(luò)進程，正經(jīng)受著巨大的攻擊風(fēng)險。首要的任務(wù)，是對監(jiān)聽過程進行密碼保護，而改變默認端口也是確保數(shù)據(jù)庫監(jiān)聽器安全的一種好辦法。通過配置數(shù)據(jù)庫監(jiān)聽器，可以使其允許或不允許客戶IP地址的訪問。這也是保護數(shù)據(jù)庫不受非預(yù)期用戶訪問的簡單而有效的方法。

總之，數(shù)據(jù)庫系統(tǒng)安全防范是一個永久性的問題，只有通過不斷的改進和完善安全手段，才能提高數(shù)據(jù)庫系統(tǒng)的可靠性，保證數(shù)據(jù)庫系統(tǒng)的正常運行。

參考文獻

[1]顧樹華.搭建高可用Oracle數(shù)據(jù)庫系統(tǒng)[J].華南金融電腦，2005，11.

[2]譚國律.微機系統(tǒng)下應(yīng)用軟件中的數(shù)據(jù)安全[J].計算機應(yīng)用，2001，11.

[3]田麗麗.\"979\"對國內(nèi)數(shù)據(jù)庫系統(tǒng)提出新要求[N].中國圖書商報，2007.

[4]單德華，楊紅艷，孫鴻雁.大型數(shù)據(jù)存儲與管理系統(tǒng)設(shè)計與實現(xiàn)[J].制造業(yè)自動化，2010，02.

[5]趙莉莉，王引斌.淺談數(shù)據(jù)庫系統(tǒng)的發(fā)展[A].山西省科技情報學(xué)會2004年學(xué)術(shù)年會論文集[C].2005.