摘 要：數(shù)據(jù)庫(kù)技術(shù)得到了廣泛應(yīng)用因互聯(lián)網(wǎng)技術(shù)的發(fā)展，黑客攻擊電腦的重要途徑是數(shù)據(jù)庫(kù)技術(shù)的漏洞，帶給計(jì)算機(jī)系統(tǒng)非常大的安全威脅。本文主要針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)中存在的各種安全威脅進(jìn)行分析，提出相應(yīng)的應(yīng)對(duì)措施，從而對(duì)計(jì)算及網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全管理提出借鑒意義。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò) 數(shù)據(jù)庫(kù) 安全威脅 對(duì)策

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2013）02（c）-0025-01

1 計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全概述

對(duì)數(shù)據(jù)庫(kù)進(jìn)行安全保護(hù)，可以有效的避免非法用戶通過(guò)竊取、使用、毀壞或更改數(shù)據(jù)。針對(duì)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全問(wèn)題，主要涵蓋以下幾個(gè)方面：第一，完整的邏輯性。對(duì)數(shù)據(jù)庫(kù)的整體結(jié)構(gòu)進(jìn)行保護(hù)，只針對(duì)部分字段進(jìn)行修改，其余字段不受影響；第二，完整的物理性。物理及自然問(wèn)題對(duì)數(shù)據(jù)庫(kù)不會(huì)產(chǎn)生破壞，例如設(shè)備故障或電力故障等；第三，安全的元素性。所有正確的元素均存儲(chǔ)于數(shù)據(jù)庫(kù)中；第四，訪問(wèn)權(quán)的控制。對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)時(shí)，用戶只有通過(guò)授權(quán)才能進(jìn)行訪問(wèn)，并且不同的用戶授權(quán)的方法是不同的；第五，可審計(jì)性?？梢詫?duì)數(shù)據(jù)庫(kù)的元素進(jìn)行修改；第六，可用性。對(duì)于授權(quán)的用戶而言，能夠?qū)?shù)據(jù)庫(kù)自由的進(jìn)行訪問(wèn)。第七，身份驗(yàn)證。對(duì)數(shù)據(jù)訪問(wèn)時(shí)，需要嚴(yán)格的身份驗(yàn)證。

2 計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)存在的安全威脅

2.1 數(shù)據(jù)庫(kù)的下載

很多用戶在連接文件的編寫時(shí)都采用ASP，多數(shù)都用語(yǔ)句“（conn.asp）：<% ......db=“/admin/database/bxzcvmqhjwkry21ahfqweir.mdb””數(shù)據(jù)庫(kù)文件具體的位置......%>”對(duì)數(shù)據(jù)庫(kù)進(jìn)行保護(hù)，正確的單從語(yǔ)句連接以及名稱的長(zhǎng)度都很保險(xiǎn)，而下載的用戶也很難對(duì)數(shù)據(jù)庫(kù)進(jìn)行破壞。如果采取相關(guān)技術(shù)或者是暴庫(kù)技術(shù)，能夠快速對(duì)數(shù)據(jù)庫(kù)的情況進(jìn)行定位，通常用 “% 5c”命令，盡管不能百分之百進(jìn)行暴庫(kù)，但成功率也非常高。一旦得到地址，在IE中輸入本地下載，即可獲取用戶名與密碼。

2.2 注入SQL

在互聯(lián)網(wǎng)中，多數(shù)WEB服務(wù)器都在防火墻之后設(shè)置，只對(duì)80端口開放，非法侵入者很難進(jìn)入端口，因此，80端口也成為他們的目標(biāo)，通常解決的方法是注入SQL。一部分程序編寫人員在編寫代碼的時(shí)候，通常都對(duì)用戶輸入數(shù)據(jù)的正確性的辨別會(huì)疏忽掉，從而帶給應(yīng)用程序較多威脅。將代碼輸入客戶端后，收集處理信息及處理程序，從而獲取想要得到的資料，這種方法就稱之為注入SQL。對(duì)于80端口，注入SQL能夠常規(guī)進(jìn)行訪問(wèn)，和訪問(wèn)一般的Web頁(yè)面類似，防火墻在注入SQL面前也失去作用，因此如果管理員不能及時(shí)發(fā)現(xiàn)該安全隱患，就會(huì)導(dǎo)致嚴(yán)重的后果。

3 維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全的應(yīng)對(duì)措施

3.1 封堵漏洞

（1）查堵URL端的漏洞。審核用戶的使用情況，檢查用戶端經(jīng)過(guò)URL提交的參數(shù)中是否有“and、or、'、”、：、；、exec、insert、select、delete、from、update、count、user、xp_cmdshell、add、net、asc（、char（、chr（、drop、table、truncate、%、mid\"等用于SQL注入的常用字符或者字符串，如存在這些字符就停止運(yùn)行ASP，且提示相應(yīng)的報(bào)警信號(hào)錯(cuò)誤，含有接收用戶URL提交的參數(shù)程序中用<！--#includefile=\"../*****.asp\"-->引入就行。此類措施制止大多數(shù)入侵者襲擊，對(duì)整個(gè)程序的執(zhí)行速度沒有造成影響；且還在if語(yǔ)句中設(shè)置之前提到使用在SQL注入的常用字符或字符串，拒絕IP在特定時(shí)間段的訪問(wèn)權(quán)限，增強(qiáng)數(shù)據(jù)庫(kù)的安全性能，減少黑客襲擊。

（2）查堵form或cookies的漏洞。大部分襲擊者使用的是form或者cookies提交了包含“or”和“=”等字符進(jìn)入，制止此類入侵要在程序編寫時(shí)增加一些特殊的字符，保證程序執(zhí)行的安全。

3.2 增強(qiáng)數(shù)據(jù)庫(kù)自身安全

（1）數(shù)據(jù)庫(kù)文件后綴名改為ASA、ASP的后綴。傳統(tǒng)防范措施，部分用戶習(xí)慣在數(shù)據(jù)庫(kù)的后綴由以前的MDB變成ASP或ASA。即使能防止暴庫(kù)，隨著計(jì)算機(jī)技術(shù)的高速發(fā)展，傳統(tǒng)方式不能滿足新的防范要求。對(duì)ASP或ASA后綴修改后的文件，黑客通過(guò)查找確定存儲(chǔ)地方，能與迅雷等下載工具相結(jié)合下載后得到。

（2）數(shù)據(jù)庫(kù)名前加“#”。目前，多數(shù)管理員通過(guò)對(duì)數(shù)據(jù)庫(kù)前面添加#號(hào)防止數(shù)據(jù)庫(kù)被下載，這因?yàn)镮E沒法下載帶有#號(hào)的文件。除網(wǎng)頁(yè)可用常規(guī)的方式訪問(wèn)外，通過(guò)IE的編碼技術(shù)訪問(wèn)。各個(gè)不同的字符在IE里有對(duì)應(yīng)的編碼，編碼符%23則可取代#號(hào)，通過(guò)這種方式的處理后，后綴加上#號(hào)的數(shù)據(jù)庫(kù)文件仍能下載使用。如：下載#data.mdb文件的，只要在瀏覽器中輸入%23data.mdb則數(shù)據(jù)庫(kù)文件能通過(guò)IE下載，這對(duì)于#號(hào)防御措施不能發(fā)揮作用。

（3）對(duì)數(shù)據(jù)庫(kù)用戶密碼加密。用戶密碼加密是另外一項(xiàng)重要的防范措施，一般用MD5加密，該加密方式?jīng)]有反向算法，破解相對(duì)比較困難，即便是非法入侵者得到了加密情況，也很難找到原始密碼。除非采用UPDATE方式對(duì)用戶密碼進(jìn)行替換，但這種操作是難以實(shí)現(xiàn)的。需要強(qiáng)調(diào)的是，通過(guò)MD5加密的信息數(shù)據(jù)非常難破解，用戶如果忘記或丟失密碼也是很難找回的。而這種加密方式，也需要對(duì)用戶的資料完全及逆行那個(gè)修改，需要用戶重新設(shè)置資料，對(duì)數(shù)據(jù)庫(kù)中的相關(guān)字段通過(guò)MD5加密計(jì)算后重新存儲(chǔ)。對(duì)虛擬主機(jī)很難調(diào)整，需要結(jié)合網(wǎng)頁(yè)規(guī)范進(jìn)行操作，對(duì)出錯(cuò)的頁(yè)面設(shè)置“On Resume Next”，特別要加在conn.asp文件。如果此類操作由錯(cuò)誤問(wèn)題存在，就自動(dòng)恢復(fù)到后續(xù)程序，能夠有效的避免錯(cuò)誤信息。

3.3 隱藏后臺(tái)入口

對(duì)數(shù)據(jù)庫(kù)采取各種操作和維護(hù)方式進(jìn)行后臺(tái)管理，防止注入SQL代碼，相應(yīng)的后臺(tái)管理不會(huì)對(duì)頁(yè)面設(shè)置鏈接點(diǎn)，防止在后臺(tái)登陸的頁(yè)面被掃描，后臺(tái)管理的目錄通過(guò)程序員進(jìn)行調(diào)整，不能設(shè)置成admin、manage等簡(jiǎn)單的、能夠很容易被破解的單詞，一般設(shè)置為數(shù)字、字母等組合的復(fù)雜形式。而且登陸頁(yè)面的名稱也不要設(shè)置成admin_login、login.asp、asp等，防止被非法入侵者破解。

3.4 服務(wù)器管理員需要注意的問(wèn)題

服務(wù)器管理員在工作中主要是為用戶創(chuàng)造Web服務(wù)器，對(duì)用戶的信息安全有直接的影響作用，因此也是工作的重點(diǎn)，要催操作系統(tǒng)的補(bǔ)丁正確的進(jìn)行處理。為了防止注入SQL，要設(shè)置IIS提示各種ASP錯(cuò)誤，主要包含http500錯(cuò)誤，制止黑客入侵、調(diào)整用戶權(quán)限，將500：100默認(rèn)提示頁(yè)面改成C：＼WINDOWSHelp＼iisHelp＼Com-mon＼500.htm。在IIS每個(gè)網(wǎng)站都設(shè)置對(duì)應(yīng)的權(quán)限，把放在網(wǎng)站后臺(tái)管理中心上傳文件的目錄執(zhí)行權(quán)限改為“無(wú)”效果更好，避免ASP木馬，服務(wù)器管理員重視工作。

4 結(jié)論

在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全管理中，數(shù)據(jù)庫(kù)的安全是重要的一部分，應(yīng)該采取多種保護(hù)措施，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全進(jìn)行保護(hù)，有效的防止非法入侵與襲擊，為網(wǎng)路用戶提供一個(gè)安全、穩(wěn)定的網(wǎng)絡(luò)環(huán)境。

參考文獻(xiàn)

[1]李林艷.網(wǎng)絡(luò)環(huán)境下的計(jì)算機(jī)數(shù)據(jù)庫(kù)安全[J].電子世界，2012（14）.

[2]方鵬.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全機(jī)制問(wèn)題[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2011（22）.

[3]韓競(jìng)鋒.計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全策略探討[J].信息安全與技術(shù)，2011（8）.

[4]于翔，閻宏印.網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)庫(kù)安全及防范[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2007（7）.