摘 要：網(wǎng)絡(luò)和數(shù)據(jù)的時(shí)代中，WEB數(shù)據(jù)庫(kù)信息的存儲(chǔ)量將越來(lái)越大，但是網(wǎng)絡(luò)數(shù)據(jù)庫(kù)信息安全也越來(lái)越重要。本文主要介紹了網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全的基本技術(shù)、預(yù)防措施和安全實(shí)現(xiàn)。

關(guān)鍵詞：網(wǎng)絡(luò)數(shù)據(jù)庫(kù)；數(shù)據(jù)庫(kù)安全；WEB

中圖分類號(hào)：TP393.08

互聯(lián)網(wǎng)的發(fā)展給我們帶來(lái)的極大的便利，但是開放的環(huán)境同時(shí)也帶來(lái)了信息的安全問(wèn)題。特別是電子商務(wù)為主的網(wǎng)絡(luò)公司在網(wǎng)絡(luò)數(shù)據(jù)庫(kù)中存儲(chǔ)了大量的銷售、鏈接和個(gè)人信息。如何保證數(shù)據(jù)庫(kù)數(shù)據(jù)安全也是電子商務(wù)中的重中之重。

1 WEB數(shù)據(jù)庫(kù)訪問(wèn)技術(shù)

1.1 CGI技術(shù)。CGI即通用網(wǎng)關(guān)接口（Common Gate Interface）。CGI技術(shù)是使用最早的WEB數(shù)據(jù)庫(kù)訪問(wèn)技術(shù)，是數(shù)據(jù)庫(kù)服務(wù)器和WEB服務(wù)器之間的橋梁，為兩者提供應(yīng)用程序服務(wù)和解決兩者的通信問(wèn)題。用戶通過(guò)超文本標(biāo)記語(yǔ)言（HTML）通過(guò)WEB瀏覽器向?yàn)g覽器服務(wù)器提出訪問(wèn)數(shù)據(jù)庫(kù)的請(qǐng)求。服務(wù)器接收到請(qǐng)求后，通過(guò)通用網(wǎng)關(guān)接口將HTML轉(zhuǎn)化為標(biāo)準(zhǔn)查詢語(yǔ)言（SQL）來(lái)訪問(wèn)WEB數(shù)據(jù)庫(kù)，查詢結(jié)果再通過(guò)CGI轉(zhuǎn)化為HTML在瀏覽器中顯示，從而完成了WEB瀏覽器與數(shù)據(jù)庫(kù)數(shù)據(jù)的交流通信。

1.2 WEB API技術(shù)。API即應(yīng)用程序編程接口（Application Programming Interface）。是操作系統(tǒng)留給應(yīng)用程序的一個(gè)調(diào)用接口，應(yīng)用程序通過(guò)調(diào)用操作系統(tǒng)的API而使操作系統(tǒng)去執(zhí)行應(yīng)用程序的命令（動(dòng)作）。API通常通過(guò)DLL（動(dòng)態(tài)連接庫(kù)）的方式提供，作用于CGI類似，但是解決了CGI效率底的問(wèn)題。API函數(shù)包含在系統(tǒng)目錄的動(dòng)態(tài)連接庫(kù)之中，其連接模型與CGI一樣。WEB API比CGI的優(yōu)勢(shì)在于其與WEB服務(wù)器在同一地址空間，所以執(zhí)行效率高[1]。

1.3 ASP技術(shù)。ASP即動(dòng)態(tài)服務(wù)器頁(yè)面（Active Server Page）。ASP是微軟公司開發(fā)的代替CGI腳本程序的一種應(yīng)用，運(yùn)行于IIS（Internet Information Services）之中，它可以與數(shù)據(jù)庫(kù)和其它程序進(jìn)行交互，是一種簡(jiǎn)單、方便的編程工具。ASP的網(wǎng)頁(yè)文件的格式是.asp?，F(xiàn)在常用于各種動(dòng)態(tài)網(wǎng)站中。ASP對(duì)由用戶從HTML表單提交的查詢或者數(shù)據(jù)作出響應(yīng)，訪問(wèn)數(shù)據(jù)或者數(shù)據(jù)庫(kù)，并向WEB瀏覽器返回結(jié)果，為不同的用戶定制網(wǎng)頁(yè)，提高這些頁(yè)面的可用性。ASP比結(jié)合了CGI和API的優(yōu)勢(shì)，并且把HTML、SCRIPT、ActiveX組件有機(jī)的結(jié)合在一起，生成高效性WEB服務(wù)器應(yīng)用程序，體現(xiàn)了它的簡(jiǎn)易性和速度。ASP可以通過(guò)多種方式訪問(wèn)WEB數(shù)據(jù)庫(kù)，通常是通過(guò)ADO（ActiveX數(shù)據(jù)對(duì)象）方式。ADO允許網(wǎng)絡(luò)開發(fā)者將一個(gè)DB與一個(gè)網(wǎng)頁(yè)相連接，以便存取操作數(shù)據(jù)。而且由于ASP代碼不能從瀏覽器查看，而且ASP應(yīng)用程序在服務(wù)器端運(yùn)行，所以提供安全性保障更優(yōu)秀。

1.4 Java/JDBC技術(shù)。JDBC即java數(shù)據(jù)庫(kù)連接（Java Data Base Connectivity），是一種用于執(zhí)行SQL語(yǔ)句的標(biāo)準(zhǔn)數(shù)據(jù)庫(kù)API，可以為多種關(guān)系數(shù)據(jù)庫(kù)提供統(tǒng)一訪問(wèn)，它由一組用Java語(yǔ)言編寫的類和接口組成。目前的絕大多數(shù)瀏覽器都支持JAVA開放接口程序，只需要安裝JDBC驅(qū)動(dòng)就能實(shí)現(xiàn)。有了JDBC，各種關(guān)系數(shù)據(jù)發(fā)送SQL語(yǔ)句就變得容易，不必為訪問(wèn)Oracle數(shù)據(jù)庫(kù)等數(shù)據(jù)庫(kù)專門寫一個(gè)程序，程序員只需用JDBC API寫一個(gè)程序就夠了，它可向相應(yīng)數(shù)據(jù)庫(kù)發(fā)送SQL調(diào)用。所以Java/JDBC在編寫數(shù)據(jù)庫(kù)接口程序當(dāng)中在通用性、擴(kuò)展性等方面做具有的優(yōu)勢(shì)[2]。

2 數(shù)據(jù)庫(kù)安全問(wèn)題概述

數(shù)據(jù)庫(kù)安全的定義主要有兩方面：系統(tǒng)運(yùn)行的安全和系統(tǒng)信息的安全。網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全問(wèn)題包括自然因素和人為因素兩個(gè)方面。自然因數(shù)所導(dǎo)致網(wǎng)絡(luò)數(shù)據(jù)庫(kù)出現(xiàn)抗擊單站點(diǎn)故障和網(wǎng)絡(luò)故障的可能性比較低。網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全問(wèn)題不要還是人為因素。人為因素包括以下幾方面：（1）人為制造計(jì)算機(jī)病毒對(duì)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)進(jìn)行竊聽、假冒攻擊、數(shù)據(jù)竊取等。（2）一些黑客處于非法目的對(duì)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)進(jìn)行干擾、竊取數(shù)據(jù)。利用數(shù)據(jù)庫(kù)的漏洞或網(wǎng)絡(luò)協(xié)議訪問(wèn)數(shù)據(jù)庫(kù)文件，借助破譯工具篡改數(shù)據(jù)、獲取密文已達(dá)到非法獲利的目的。（3）非法用戶在未得到授權(quán)的情況下對(duì)數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)中存取數(shù)據(jù)；合法用戶在數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)中的越權(quán)操作等。

3 數(shù)據(jù)庫(kù)安全技術(shù)的實(shí)現(xiàn)

3.1 用戶識(shí)別。用戶識(shí)別是數(shù)據(jù)庫(kù)安全外圍保護(hù)措施，方法就是客戶應(yīng)用程序?？蛻魬?yīng)用程序首先可對(duì)用戶登陸的合法性、用戶的身份進(jìn)行驗(yàn)證。用戶識(shí)別現(xiàn)今有三種主要的方式。（1）用戶密碼。用戶名和用戶密碼登陸是如今應(yīng)用最廣泛的識(shí)別方式，但是存在的風(fēng)險(xiǎn)也最高，非法者可以通過(guò)重復(fù)攻擊等手段獲取用戶和密碼?，F(xiàn)如今可通過(guò)密碼加驗(yàn)證碼的方法和密碼輸入次數(shù)的限制來(lái)控制風(fēng)險(xiǎn)。（2）生物特征識(shí)別。利用生物特征的唯一性（例如指紋、瞳孔等）作為用戶識(shí)別的標(biāo)識(shí)。但是其成本過(guò)高、不易推廣、技術(shù)相對(duì)復(fù)雜的缺點(diǎn)使其受到了很大的限制。（3）硬件加軟件識(shí)別。如今應(yīng)用最廣的當(dāng)屬USB Key。無(wú)論是沖擊/相應(yīng)認(rèn)證模式還是PKI，其秘鑰的運(yùn)算由USB Key完成，數(shù)據(jù)證書也無(wú)法復(fù)制，保證了用戶識(shí)別的安全。

3.2 訪問(wèn)限制和監(jiān)視追蹤。對(duì)通過(guò)客戶應(yīng)用程序的合法登陸用戶由系統(tǒng)訪問(wèn)權(quán)限表對(duì)其權(quán)限加以控制，用戶只能在自己的權(quán)限范圍內(nèi)訪問(wèn)特定的內(nèi)容，不得越權(quán)訪問(wèn)。這就需要把成員關(guān)系、主體、權(quán)限三者結(jié)合起來(lái)，對(duì)每個(gè)訪問(wèn)的合法用戶的角色的權(quán)限、職責(zé)等都做詳細(xì)的定義。對(duì)用戶的監(jiān)視追蹤可利用日志系統(tǒng)來(lái)實(shí)現(xiàn)。日志系統(tǒng)對(duì)每一名用戶的每一次登陸操作的全過(guò)程都做了詳細(xì)的記錄，對(duì)于后來(lái)網(wǎng)絡(luò)安全的分析和審計(jì)提供了數(shù)據(jù)支持。

3.3 數(shù)據(jù)庫(kù)審計(jì)。數(shù)據(jù)庫(kù)審計(jì)是把所有用戶的訪問(wèn)時(shí)間內(nèi)容等操作都記錄在審計(jì)日志中。在確?？刹樾缘那疤嵯?，通過(guò)審計(jì)機(jī)制，在數(shù)據(jù)庫(kù)出現(xiàn)異常操作、惡意篡改等非法操作下進(jìn)行及時(shí)的追查跟蹤。為了提高數(shù)據(jù)庫(kù)的安全性，可以通過(guò)審計(jì)安全事件發(fā)生積累機(jī)制，當(dāng)閡值超過(guò)一定數(shù)值，就發(fā)出警報(bào)。

3.4 數(shù)據(jù)庫(kù)加密。數(shù)據(jù)庫(kù)的數(shù)據(jù)特點(diǎn)之一就是內(nèi)容多、保存時(shí)間長(zhǎng)，為提高數(shù)據(jù)的安全性，目前最好的辦法就是對(duì)其進(jìn)行數(shù)據(jù)加密。但是數(shù)據(jù)反復(fù)使用的加密和解密之下最好又要保證數(shù)據(jù)庫(kù)系統(tǒng)的性能，這又對(duì)數(shù)據(jù)庫(kù)加密方法提出了更高的要求。數(shù)據(jù)庫(kù)中加密的主要單位包括：表、屬性、數(shù)據(jù)和記錄日志。目前數(shù)據(jù)庫(kù)都采用三層結(jié)構(gòu)，分別是：外層、數(shù)據(jù)內(nèi)核層和操作系統(tǒng)層（對(duì)于大型的數(shù)據(jù)庫(kù)，還沒有找到合適的應(yīng)用廣的方法對(duì)其加密）[3]。

對(duì)于數(shù)據(jù)庫(kù)內(nèi)核層的加密，必須獲得數(shù)據(jù)庫(kù)開發(fā)商的支持。內(nèi)核層加密和解密的措施放在數(shù)據(jù)存儲(chǔ)之前進(jìn)行。如前所說(shuō)，內(nèi)核層的加密解密過(guò)程要保證數(shù)據(jù)庫(kù)系統(tǒng)的正常運(yùn)行，但是這還是會(huì)加重WEB服務(wù)器的運(yùn)行負(fù)擔(dān)。

對(duì)于數(shù)據(jù)庫(kù)外層的加密和解密過(guò)程可放在用戶個(gè)人的客戶端進(jìn)行。利用個(gè)人用戶的計(jì)算機(jī)已減少數(shù)據(jù)庫(kù)服務(wù)器的負(fù)擔(dān)，并且可以實(shí)現(xiàn)數(shù)據(jù)傳輸過(guò)程的加密工作，保證在網(wǎng)絡(luò)中的安全性。

3.5 數(shù)據(jù)庫(kù)備份和故障恢復(fù)。當(dāng)然，為了以防萬(wàn)一，最后一張底牌就是數(shù)據(jù)庫(kù)數(shù)據(jù)備份。當(dāng)然應(yīng)針對(duì)于系統(tǒng)遭受破壞的大小，應(yīng)該采取不同的措施，對(duì)備份要求也不同。通過(guò)專用的備份設(shè)備可進(jìn)行全系統(tǒng)備份、局部系統(tǒng)備份和增量信息備份。以此把損失降到最低，在系統(tǒng)重新啟動(dòng)之后，即可正常運(yùn)行。但是數(shù)據(jù)備份困難之處就是保證數(shù)據(jù)的完整性、純潔性和及時(shí)性。

4 結(jié)束語(yǔ)

WEB數(shù)據(jù)庫(kù)安全威脅是全方位的。完全安全的數(shù)據(jù)庫(kù)安全體系也不存在。在上述方法之下還可以增強(qiáng)防火墻技術(shù)等方法，在這里不一一概述。在實(shí)際的應(yīng)用之中，多種數(shù)據(jù)庫(kù)安全技術(shù)應(yīng)該有機(jī)的結(jié)合在一起。例如可以構(gòu)建公共數(shù)據(jù)安全體系結(jié)構(gòu)（CDSA）。當(dāng)然，安全問(wèn)題還是以預(yù)防為主，對(duì)數(shù)據(jù)庫(kù)應(yīng)該及時(shí)做出安全評(píng)估、提高防范措施，有資金還可以安裝入侵檢測(cè)系統(tǒng)等。

參考文獻(xiàn)：

[1]羅昌隆，李玲娟.基于WEB的數(shù)據(jù)庫(kù)訪問(wèn)技術(shù)[J].南京郵電學(xué)院學(xué)報(bào)，2001（07）.

[2]曾愛林.基于WEB的網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全體系的建立和完善[J].湘潭師范學(xué)院學(xué)報(bào)，2004（06）.

[3]吳慧麗，方佳娟.基于WEB的數(shù)據(jù)庫(kù)安全技術(shù)研究[J].鄭州直接技術(shù)學(xué)院，2011（08）.

作者簡(jiǎn)介：肖勁科（1981-），男，湖南人，工程碩士，科員，研究方向：網(wǎng)絡(luò)安全、密碼學(xué)。

作者單位：珠海市公安局十四處，廣東珠海 519000