陳忠菊
摘 要:數(shù)據(jù)庫安全是指保護(hù)數(shù)據(jù)庫以防止非法用戶的越權(quán)使用、竊取、更改或破壞數(shù)據(jù)。數(shù)據(jù)庫的完整性主要包括物理完整性和邏輯完整性。在數(shù)據(jù)庫中對所有的數(shù)據(jù)庫對象進(jìn)行操作的并不是合法的數(shù)據(jù)庫訪問用戶都可以,設(shè)定不同的權(quán)限限制,以保證各級用戶不能隨意刪減、添加和修改。該文從數(shù)據(jù)庫安全的內(nèi)涵講述,分析了對數(shù)據(jù)庫的安全造成威脅的主要因素,并提出了建立SQL SERVER 數(shù)據(jù)庫的安全機制和SQL數(shù)據(jù)庫的網(wǎng)絡(luò)安全保障機制。
關(guān)鍵詞:數(shù)據(jù)庫 系統(tǒng) 安全 機制
中圖分類號:TP311 文獻(xiàn)標(biāo)識碼:A 文章編號:1674-098X(2015)05(c)-0045-01
1 數(shù)據(jù)庫安全的內(nèi)涵
數(shù)據(jù)庫安全是指保護(hù)數(shù)據(jù)庫以防止非法用戶的越權(quán)使用、竊取、更改或破壞數(shù)據(jù)。
1.1 完整性方面
數(shù)據(jù)庫的完整性主要包括物理完整性和邏輯完整性。物理完整性是指保證數(shù)據(jù)庫的數(shù)據(jù)不受物理故障的影響,并有可能在災(zāi)難性破壞時恢復(fù)數(shù)據(jù)庫,邏輯完整性是指對數(shù)據(jù)庫邏輯結(jié)構(gòu)的保護(hù),包括數(shù)據(jù)的語義完整性和操作完整性。
1.2 保密性方面
保密性指保護(hù)數(shù)據(jù)庫中的數(shù)據(jù)不被泄露和未授權(quán)的獲取。一般要求對用戶進(jìn)行訪問授權(quán),同一組數(shù)據(jù)的不同用戶可以被授予不同的存取權(quán)限,同時還要求能夠?qū)τ脩舻脑L問操作行為進(jìn)行跟蹤和審計。
1.3 可用性方面
數(shù)據(jù)庫的可用性是指數(shù)據(jù)庫不應(yīng)拒絕授權(quán)用戶對數(shù)據(jù)的正常操作,同時保證系統(tǒng)的運行效率并提供用戶良好的人機交互。
2 數(shù)據(jù)庫安全的威脅因素
數(shù)據(jù)庫的安全性能,能夠?qū)τ嬎銠C的數(shù)據(jù)和信息起到很好的保護(hù)作用,通過安全的保護(hù),可以有效的防止用戶的信息和數(shù)據(jù)被泄露和盜竊?,F(xiàn)階段,對數(shù)據(jù)庫的安全的主要威脅有以下幾個方面。
2.1 內(nèi)部的人員失誤
對于數(shù)據(jù)庫的管理人員,他們對數(shù)據(jù)庫的正確操作與否,是直接關(guān)系到數(shù)據(jù)庫安全的非常重要的方面,通常造成數(shù)據(jù)的泄露,很大程度上都是數(shù)據(jù)庫的內(nèi)部人員對數(shù)據(jù)庫的操作失誤,從而造成了數(shù)據(jù)庫的信息泄露。雖然這種行為,在很多情況下是由于內(nèi)部人員的無意的失誤所造成的,但是人員的這種錯誤行為,確實給數(shù)據(jù)庫的安全帶來了極大的威脅和損壞。
2.2 釣魚網(wǎng)站
釣魚網(wǎng)站往往是將自己偽裝成比較正規(guī)的網(wǎng)站的模樣,通過比較高級的設(shè)置和模仿,從而起到對數(shù)據(jù)庫的用戶很大的迷惑性,從而在用戶輸入個人信息的時候,這這種情況下,用戶的數(shù)據(jù)和信息就會被無形中竊取了,而這往往造成損害的時候,用戶還不知道是什么方面出的問題,從而造成了自己的數(shù)據(jù)泄露和丟失。
2.3 內(nèi)部人員的攻擊
企業(yè)的員工之間,往往由于利益的沖突和矛盾的增加,從而會對數(shù)據(jù)庫進(jìn)行侵害,由于是公司的內(nèi)部人員,甚至是數(shù)據(jù)庫管理方面的人員,所以這種侵害,往往對數(shù)據(jù)庫的安全和數(shù)據(jù)的完整是很大的損害。而且通過對數(shù)據(jù)庫的安全的威脅方面,內(nèi)部人員的攻擊也是占了很大一方面的。
2.4 錯誤的配置
數(shù)據(jù)庫的錯誤配置,往往會造成操作的錯誤。很多的黑客往往會使用這樣的方式,通過對數(shù)據(jù)庫的錯誤的配置,從而讓被控制的電腦在做出正常的操作的情況下,出現(xiàn)的卻是措施的方式和行為。這種錯誤的配置方式是很多的攻擊者選用的攻擊內(nèi)容。通過對數(shù)據(jù)庫的錯誤的配置,還可以很好的起到對數(shù)據(jù)庫的加密文件的查看,而不會受到任何的阻擋。
2.5 漏洞的補丁未及時修補
數(shù)據(jù)庫在使用的過程中,會因為軟件等方面的更新,從而造成數(shù)據(jù)庫會有一些漏洞的存在,而這寫漏洞也往往會是攻擊人員選擇的方面。如果在數(shù)據(jù)庫已經(jīng)存在漏洞的情況下,沒有及時的得到修補,從而會在一定程度上造成數(shù)據(jù)庫處于一種比較不安全的情況。利用數(shù)據(jù)庫的漏洞對數(shù)據(jù)庫進(jìn)行共計,是一種非??焖俸秃啽愕墓舴绞健?/p>
3 SQL SERVER數(shù)據(jù)庫的安全機制
數(shù)據(jù)庫為了自身的安全性能,會在設(shè)計的時候會有一些處理威脅的安全機制的設(shè)置,這些安全機制的設(shè)計,會在一定程度上增加數(shù)據(jù)庫的安全性能,從而起到很好的對數(shù)據(jù)庫的數(shù)據(jù)的保護(hù),防止一些非法的用戶的入侵和對數(shù)據(jù)、信息的竊取。數(shù)據(jù)庫的安全機制,主要有以下幾個方面的內(nèi)容。
3.1 數(shù)據(jù)庫的訪問安全機制
數(shù)據(jù)庫的安全機制,從對數(shù)據(jù)庫的訪問的時候就已經(jīng)設(shè)置,通過對數(shù)據(jù)庫訪問的安全設(shè)置,可以在很大程度上起到對數(shù)據(jù)庫保護(hù)的作用,從而確保數(shù)據(jù)庫的安全。數(shù)據(jù)庫的安全訪問機制,主要有兩種模式,一種是通過對計算機身份的驗證,另外一種是數(shù)據(jù)庫的混合的驗證模式。
3.1.1 INDOWS身份驗證模式
SQL SERVER將通過WINDOWS操作系統(tǒng)來獲取用戶信息,并對登錄名和密碼進(jìn)行重新驗證。
3.1.2 混合驗證模式
在混合驗證模式中,登錄到SQL SERVER數(shù)據(jù)服務(wù)器允許WINDOWS授權(quán)
用戶和SQL SERVER授權(quán)用戶兩種方式。
3.2 數(shù)據(jù)庫的安全操作機制
數(shù)據(jù)庫的安全機制,除了對數(shù)據(jù)庫的安全登錄的安全設(shè)置,其次就是對數(shù)據(jù)庫的安全操作機制的設(shè)置。數(shù)據(jù)庫中針對不同的用戶設(shè)置,通過對不同的用戶的權(quán)限設(shè)置,從而設(shè)定他們各自對數(shù)據(jù)庫的操作的權(quán)限不同。為了達(dá)到這一目標(biāo),必須將數(shù)據(jù)庫中的權(quán)限進(jìn)行明確的分級,主要包括對象權(quán)限、語句權(quán)限和隱含權(quán)限三種。
3.2.1 對象權(quán)限
數(shù)據(jù)庫的對象權(quán)限,主要有以下幾個方面,查詢、更新、刪除和插入等。這些權(quán)限都是在設(shè)置數(shù)據(jù)庫的時候已經(jīng)設(shè)置好的,這些權(quán)限被賦予了對數(shù)據(jù)庫進(jìn)行相應(yīng)措施的權(quán)限。
3.2.2 語句權(quán)限
對數(shù)據(jù)庫的操作,主要是通過數(shù)據(jù)庫的語句來進(jìn)行的,這些語句的優(yōu)化處理,可以很好的起到對數(shù)據(jù)庫安全的保護(hù)。每一個被授予權(quán)限的語句都有相應(yīng)的對數(shù)據(jù)庫操作的影響權(quán)限和內(nèi)容。
3.2.3 隱含權(quán)限
數(shù)據(jù)庫在設(shè)計的時候,就設(shè)置了一些只針對數(shù)據(jù)庫的擁有者和對數(shù)據(jù)庫對象的擁有者的權(quán)限設(shè)置,這些所謂的隱含權(quán)限,可以對數(shù)據(jù)庫內(nèi)容和信息起到很好的保護(hù)作用??梢苑乐乖綑?quán)對數(shù)據(jù)庫的操作,從而對數(shù)據(jù)庫的安全性、穩(wěn)定性和隱蔽性起到良好的保護(hù),從而防止對數(shù)據(jù)庫的攻擊。
4 SQL數(shù)據(jù)庫的網(wǎng)絡(luò)安全保障機制
4.1 加密措施:使用SSL協(xié)議
SQL數(shù)據(jù)庫進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)交換主要使用TDS傳輸協(xié)議,很大的安全威脅是帳號、密碼、數(shù)據(jù)庫內(nèi)容是明文傳輸。
4.2 IP限制網(wǎng)絡(luò)連接
由于SQL SERVER系統(tǒng)沒有提供理想的網(wǎng)絡(luò)安全連接解決方案,因此windows系統(tǒng)提供了補充的安全機制,IP數(shù)據(jù)包的安全性是通過使用ipsec實現(xiàn)的。
4.3 禁止探測TCP/IP修改的端口
SQL SERVER通過1434端口的UDP探測到改變后的TCP/IP端口,專門轉(zhuǎn)對修改的默認(rèn)端口,這個過程使用默認(rèn)1433端口進(jìn)行監(jiān)聽即可完成。
參考文獻(xiàn)
[1] 葛耀武,張明玉,方芳.基于數(shù)據(jù)庫安全的研究與應(yīng)用[J].價值工程,2014(21):246-247.
[2] 謝欣妍.淺談SQL Server數(shù)據(jù)庫的數(shù)據(jù)安全問題[J].時代經(jīng)貿(mào),2011(10):57.
[3] 丁鈺.計算機網(wǎng)絡(luò)數(shù)據(jù)庫安全技術(shù)方案淺談[J].無線互聯(lián)科技,2014(2):36.
[4] 武海濤.數(shù)據(jù)庫安全及其防范措施探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014(7):128,131.
[5] 張井明.基于SQL Server的數(shù)據(jù)庫安全實用研究[J].消費電子,2013(14):92.