趙勇軍

摘 要：近年來，隨著科技水平的迅猛提升，計算機網(wǎng)絡(luò)技術(shù)獲得廣泛發(fā)展應(yīng)用，數(shù)據(jù)庫安全性面臨著愈發(fā)嚴峻的挑戰(zhàn)與考驗。本文在數(shù)據(jù)庫屬性基礎(chǔ)上針對運用數(shù)據(jù)庫技術(shù)的自主安全防護展開簡要探討。

關(guān)鍵詞：數(shù)據(jù)庫屬性；自主安全；防護

1 前言

就目前的情況來看，數(shù)據(jù)庫系統(tǒng)應(yīng)用正面臨著較大威脅，主要包括有幾個方面的內(nèi)容，第一，錯誤訪問數(shù)據(jù)庫所造成的的數(shù)據(jù)錯誤問題；第二，為實現(xiàn)某種目的而使數(shù)據(jù)庫遭遇破壞；第三，針對不可以進行訪問的信息展開非法訪問，同時未留下任何痕跡，在未授權(quán)的情況下進行數(shù)據(jù)的非法修改；第四，運用各類型技術(shù)針對數(shù)據(jù)庫實施攻擊行為等等。為此，本文將在數(shù)據(jù)庫屬性基礎(chǔ)上提出一種能夠?qū)崿F(xiàn)良好組態(tài)且獨立于具體數(shù)據(jù)庫的自主安全防護模型，同時給予相應(yīng)的實現(xiàn)方法。

2 基于數(shù)據(jù)庫屬性基礎(chǔ)上的自主安全防護系統(tǒng)設(shè)計和實現(xiàn)

⑴功能。自主安全防護系統(tǒng)簡稱為DDS，前期功能主要是針對用戶所實施的非法訪問行為起到有效大的阻止作用，當存在有一定的可疑行為情況時，系統(tǒng)能夠?qū)崿F(xiàn)預(yù)設(shè)告警流程的自動起到，就數(shù)據(jù)庫可能產(chǎn)生的風險盡可能進行合理防范，一旦形成非法操作行為，則事先設(shè)置好的防御策略將被觸發(fā)，執(zhí)行阻斷措施，開啟主動防御，同時根據(jù)具體設(shè)置詳細記錄實時發(fā)生的操作情況，旨在事后進行有效的追查分析。

⑵結(jié)構(gòu)。在自主安全防護系統(tǒng)中，用戶權(quán)限通常是采用安全管理員使用角色機制實施管理的，并在進行安全策略制定的基礎(chǔ)上針對核心部件Sensor與訪問控制部件展開合理設(shè)置。具體來說，核心部件Sensor可實現(xiàn)對用戶數(shù)據(jù)庫操作請求大的有效偵聽，通過對命令映射表的運用把各類型命令映射成為系統(tǒng)識別命令，將安全檢查所需的相關(guān)信息及時提起出來，向訪問模塊進行發(fā)送后實施安檢，通過安全檢查之后方可允許用戶執(zhí)行數(shù)據(jù)庫訪問行為，反之則不能夠進行訪問，基于此，需結(jié)合相應(yīng)的審計規(guī)則實現(xiàn)記錄生成，同時將其記錄在相應(yīng)的審計日志中；該系統(tǒng)擁有默認的訪問控制流程，可實現(xiàn)用戶安全策略的自行設(shè)定，同時系統(tǒng)能夠自動生成對應(yīng)的訪問控制流程。

⑶實現(xiàn)。自主安全防護系統(tǒng)實現(xiàn)通常能夠劃分成為數(shù)據(jù)字典設(shè)計、用戶登錄和管理、制定系統(tǒng)策略、實現(xiàn)偵聽器即Sensor、訪問控制、日志審計這六個主要方面內(nèi)容。原有數(shù)據(jù)庫API信息即dll以及用戶的自主防護策略作為輸入，系統(tǒng)核心部件Sensor 能夠在原有數(shù)據(jù)庫API接口中融入用戶防護策略的同時將用戶數(shù)據(jù)庫操作行為記錄下來并形成日志，旨在為用戶提供設(shè)計，便于用戶在實際的運用過程中不需進行原有系統(tǒng)更改則能夠有效實現(xiàn)自主防護。

Sensor遠程注射功能則主要是由Inject/Eject為其提供的。Core在運用攔截的基礎(chǔ)上能夠通過調(diào)用API來實現(xiàn)自身所具備的定制功能，為充分實現(xiàn)攔截，則可運用HOOK API技術(shù)，其能夠執(zhí)行攔截的操作涵蓋有indows中的API調(diào)用、中斷服務(wù)、IFS 與NDIS過濾以及DOS下的中斷等等內(nèi)容，該技術(shù)的實質(zhì)內(nèi)容為針對具體的系統(tǒng)程序流程實施合理更改。

⑷結(jié)果分析。自主安全防護系統(tǒng)的開發(fā)過程一般是運用VS2005進行實現(xiàn)的，當完成開發(fā)之后能夠在一臺2GB（內(nèi)存）、2.8GHz（主頻）、配置有Windows操作系統(tǒng)的普通PC機上測試系統(tǒng)功能與性能。在此所采用的數(shù)據(jù)庫為開源嵌入式數(shù)據(jù)庫SQLITE3.6。具體來說，主要的測試內(nèi)容涵蓋有登錄以及用戶管理、核心部件Sensor以及訪問控制、設(shè)計日志、增加DSS以后數(shù)據(jù)庫功能變化與性能影響。

通過兩表中的測試結(jié)果能夠知道，從功能測試的角度來看，DSS可實現(xiàn)對數(shù)據(jù)庫系統(tǒng)的自主防護；從性能測試的角度來看，查詢與插入這兩種操作之間存在有較大的耗時差異，該種情況通常是由SQLITE工作形式所導(dǎo)致的，當用戶實施插入操作的時候，數(shù)據(jù)為將內(nèi)存數(shù)據(jù)在磁盤數(shù)據(jù)庫文件中進行寫入，則需占用一定時間，然而用戶執(zhí)行查詢操作的時候，SQLITE則能夠把數(shù)據(jù)庫文件部分內(nèi)容緩存起來，使得查詢速度得以加快。除此之外，因為DSS的增加會對系統(tǒng)性能造成微小影響，但其仍然可實現(xiàn)數(shù)據(jù)庫系統(tǒng)自主保護。

3 結(jié)語

相較于傳統(tǒng)意義上的數(shù)據(jù)庫安全防護而言，基于數(shù)據(jù)庫屬性的DSS系統(tǒng)具備有相關(guān)優(yōu)勢特征，第一，獨立于具體的數(shù)據(jù)庫，其獨立性表現(xiàn)在只需具備接口信息則能展開數(shù)據(jù)庫工作，能夠支持不同標準的SQL語句，系統(tǒng)數(shù)據(jù)物理存儲是跟數(shù)據(jù)庫相互獨立的；第二，針對性與靈活性可實現(xiàn)有效統(tǒng)一，使得用戶能夠按照所需進行特定應(yīng)用規(guī)則的靈活配置；第三，其自我安全保護措施相對較為完善；第四，報警功能與信息查閱功能比較完備。由此可見，所構(gòu)建出的系統(tǒng)模型能夠從數(shù)據(jù)庫中獨立出來，實現(xiàn)對多個數(shù)據(jù)庫安全防護的集中配置，充分滿足用戶的自主防護要求。

[參考文獻]

[1]龔媛媛.數(shù)據(jù)庫安全威脅及數(shù)據(jù)備份恢復(fù)技術(shù)研究[J].硅谷，2011（06）.

[2]張敏.數(shù)據(jù)庫安全研究現(xiàn)狀與展望[J].中國科學(xué)院院刊，2011（03）.

[3]王安娜.網(wǎng)絡(luò)數(shù)據(jù)庫安全模型的設(shè)計與實現(xiàn)[J].硅谷，2011（13）.

[4]王靜.網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)庫安全綜述[J].合作經(jīng)濟與科技，2009（05）.