龐偉偉

（河南牧業(yè)經(jīng)濟學(xué)院,河南,450044）

1 影響網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)安全的因素

1.1 數(shù)據(jù)庫系統(tǒng)自身的脆弱性。計算機網(wǎng)絡(luò)由于系統(tǒng)本身可能存在的不同程度上的脆弱性，為各種動機的攻擊提供了入侵或破壞系統(tǒng)的可利用途徑和方法

1.1.1 硬件系統(tǒng)網(wǎng)絡(luò)硬件系統(tǒng)的安全隱患主要來源硬件，如難以抗拒的自然災(zāi)害外，溫度、濕度、靜電、電磁場等也可能造成電腦崩潰，造成信息丟失。

1.1.2 病毒的侵襲

計算機病毒伴隨著計算機而產(chǎn)生。計算機病毒通常隱藏在文件或程序代碼內(nèi)，伺機進行自我復(fù)制，并能夠通過網(wǎng)絡(luò)、磁盤、光盤等諸多手段進行傳播。計算機病毒傳播速度快、影響面大，所以它的危害最能引起人們的關(guān)注。比如4月30日震蕩波（Sasser）病毒被首次發(fā)現(xiàn)，短短一個星期時間之內(nèi)就感染了全球1800萬臺電腦。它利用微軟公布的Lsass漏洞進行傳播，可感染W(wǎng)indowsNT/XP/2003等操作系統(tǒng)，根據(jù)分析，“震蕩波”病毒會在網(wǎng)絡(luò)上自動搜索系統(tǒng)有漏洞的電腦，并直接引導(dǎo)這些電腦下載病毒文件并執(zhí)行，因此整個傳播和發(fā)作過程不需要人為干預(yù)。。

1.2 操作系統(tǒng)存在的不安全因素。電腦使用不同的操作系統(tǒng)，數(shù)據(jù)庫的網(wǎng)絡(luò)環(huán)境需要采取的安全管理策略也不相同，最重要的是電腦的操作權(quán)限。

比如：操作系統(tǒng)中可能存在的特洛伊木馬程序，一旦特洛伊木馬程序修改了入駐程序的密碼，當(dāng)數(shù)據(jù)庫管理員更新密碼時，特洛伊木馬就能得到新的密碼，來竊取用戶隱私，對數(shù)據(jù)庫安全造成極大的威脅。

1.3對網(wǎng)絡(luò)安全的威脅和攻擊可能來自以下兩個方面。1.電腦使用者的疏忽，特別是系統(tǒng)管理員和安全管理員出現(xiàn)管理的疏忽，可能造成重大安全事故。因為大多數(shù)的電腦使用者并非專業(yè)人員，他們只是將計算機作為一個工具，平時不注意安全防范，加上缺乏必要的安全意識，有可能出現(xiàn)一些錯誤的操作，比如將用戶口令張貼在計算機周圍，使用簡易密碼或者是統(tǒng)一的密碼，這些都有可能為計算機安全埋下隱患。2.內(nèi)部管理系統(tǒng)內(nèi)部缺乏健全的計算機監(jiān)管制度力度，給內(nèi)部工作人員非法操作提供機會，其中以系統(tǒng)管理員和安全管理員的惡意違規(guī)和犯罪造成的危害最大。利用隧道技術(shù)與外部人員內(nèi)外勾結(jié)犯罪，給公司帶來巨大的損失，也是防火墻和監(jiān)控系統(tǒng)難以防范的。和來自外部的威脅相比較，畢竟家賊難防，來自內(nèi)部的威脅是網(wǎng)絡(luò)安全威脅的主要來源，這個更難防范。

2 網(wǎng)絡(luò)數(shù)據(jù)庫的安全措施

2.1網(wǎng)絡(luò)數(shù)據(jù)庫病毒的防范：網(wǎng)絡(luò)的開放性也就意味著網(wǎng)絡(luò)安全急需重視，使用安全防護軟件很有必要，如：瑞星，瑞星是專門為企業(yè)用戶量身定做的，是一款應(yīng)用于復(fù)雜網(wǎng)絡(luò)結(jié)構(gòu)的企業(yè)級殺毒軟件，為使企業(yè)的安全構(gòu)建一個完整的防毒體系。該產(chǎn)品主要適用于企業(yè)服務(wù)器與客戶端，支持目前大多數(shù)主流的計算機操作平臺，全面滿足企業(yè)安全的需要。

2.2網(wǎng)絡(luò)數(shù)據(jù)庫安全隔離：內(nèi)外網(wǎng)采用防火墻，我公司外網(wǎng)主要采用CISCO PIX 525、535硬件防火墻。

2.3網(wǎng)絡(luò)數(shù)據(jù)庫內(nèi)容過濾：隨著互聯(lián)網(wǎng)的迅速普及，網(wǎng)絡(luò)垃圾已經(jīng)開始侵入人們的生活，像現(xiàn)在互聯(lián)網(wǎng)上大量的不良信息，以及垃圾郵件等問題，是計算機網(wǎng)絡(luò)安全的一大隱患。垃圾郵件是當(dāng)今困擾網(wǎng)絡(luò)界的一大難題。垃圾郵件不僅給個人和企業(yè)帶來了巨大的損失，而且嚴(yán)重影響了郵件系統(tǒng)的工作效率從而也就降低了用戶的整體工作效率，更為嚴(yán)重的是危害到計算機的正常使用，給生活和工作都帶來了極大的危害。面對此狀，現(xiàn)代教育技術(shù)中心經(jīng)過長期的考察和調(diào)研，給出一定的方法來解決，如個人電腦內(nèi)容過濾，通過“工具Internet選項內(nèi)容分級審查允許”開啟這項功能，并 為電子郵件服務(wù)器配置了一整套安全系統(tǒng)，即“安全郵件網(wǎng)關(guān)系統(tǒng)”。"安全郵件網(wǎng)關(guān)"有效地從網(wǎng)絡(luò)層到應(yīng)用層保護郵件服務(wù)器不受各種形式的網(wǎng)絡(luò)攻擊，同時為郵件用戶提供屏蔽垃圾郵件功能。

2.4網(wǎng)絡(luò)安全漏洞：如今,越來越多的安全漏洞被發(fā)現(xiàn),使得利用這些的安全事件數(shù)量日益上升，電腦安全軟件及時提醒用戶安裝并修復(fù)補丁，并及時下載整理提供給用戶，提供網(wǎng)絡(luò)的安全性。

3 網(wǎng)絡(luò)數(shù)據(jù)庫的安全技術(shù)

3.1 網(wǎng)絡(luò)系統(tǒng)層的安全策略

3.1.1 防火墻技術(shù)

防火墻是傳統(tǒng)計算機網(wǎng)絡(luò)防護的主要措施，防火墻采用的主要技術(shù)包括以下幾種。

（1）數(shù)據(jù)包過濾技術(shù)

其原理在于監(jiān)視并過濾網(wǎng)絡(luò)上流入流出的數(shù)據(jù)包，拒絕發(fā)送那些可疑的包。由于數(shù)據(jù)包過濾技術(shù)是基于IP地址進行過濾，弊端為無法有效地區(qū)分相同IP地址的不同用戶，安全性相對較差。

（2）代理服務(wù)技術(shù)

其原理是在網(wǎng)關(guān)計算機上運行應(yīng)用代理程序，內(nèi)部網(wǎng)用戶可以通過應(yīng)用網(wǎng)關(guān)安全地使用Internet服務(wù)，而對于非法用戶的請求將予拒絕。代理服務(wù)技術(shù)與數(shù)據(jù)包過濾技術(shù)不同之處，在于內(nèi)部網(wǎng)和外部網(wǎng)之間不存在直接連接，同時提供審計和日志服務(wù)，安全性較好。

（3）信息加密技術(shù)

加密路由器對路由的信息進行加密處理，然后通過Internet傳輸?shù)侥康亩诉M行解密。。

3.1.2 入侵檢測系統(tǒng)

異常檢測：異常檢測的假設(shè)是入侵者活動與正常主體的活動不同，首先建立正?；顒拥摹盎顒雍啓n”，當(dāng)前主體的活動違反其統(tǒng)計規(guī)律時，認(rèn)為可能是“入侵”行為，對此進行處理防范，一旦發(fā)現(xiàn)入侵跡象立即斷開入侵者與主機的連接，并收集證據(jù)和實施數(shù)據(jù)恢復(fù)。

3.2 安全漏洞檢測技術(shù)

在操作系統(tǒng)下，數(shù)據(jù)庫系統(tǒng)都是以文件形式進行管理的，因此，入侵者直接利用操作系統(tǒng)的漏洞來竊取數(shù)據(jù)庫文件的信息就可以達(dá)到目的。所以修復(fù)漏洞是重中之重，利用專業(yè)的安全漏洞檢測軟件，及時有效的檢測和修復(fù)系統(tǒng)安全的隱患，同時生成詳細(xì)的安全檢測報告，供使用者進行參考，這種技術(shù)可以避免本地計算機被入侵者破壞。

3.3 數(shù)據(jù)庫管理系統(tǒng)層安全策略

數(shù)據(jù)加密、解密在安全領(lǐng)域非常重要。對程序員而言，在數(shù)據(jù)庫中以密文方式存儲用戶密碼對入侵者剽竊用戶隱私意義重大。數(shù)據(jù)庫加密可以防止非授權(quán)用戶操作或者用戶越權(quán)操作。對數(shù)據(jù)進行加密，主要有三種方式：

（1）系統(tǒng)中加密。系統(tǒng)中加密即給電腦客戶端進行加密，最簡單的方式就是對電腦開機操作設(shè)置管理員密碼?？蛻舳思用艿暮锰幨遣粫又財?shù)據(jù)庫服務(wù)器的負(fù)載

（2）客戶端加密。需要對數(shù)據(jù)庫管理系統(tǒng)本身進行操作，借助數(shù)據(jù)庫開發(fā)商的配合，實現(xiàn)加密，數(shù)據(jù)安全性高，

（3）服務(wù)器端加密。核心是數(shù)據(jù)庫的安全，將數(shù)據(jù)庫的數(shù)據(jù)加密就抓住了信息安全的核心問題，數(shù)據(jù)庫以密文方式存儲并在密態(tài)方式下工作，確保了數(shù)據(jù)安全。

4 計算機數(shù)據(jù)庫安全技術(shù)方案的優(yōu)化

4.1 用戶身份認(rèn)證

訪問控制大致分為自主訪問控制和強制訪問控制兩類：在自主訪問控制下，用戶可以對其創(chuàng)建的文件、數(shù)據(jù)表等進行訪問，并可自主的將訪問權(quán)授予其他用戶；在強制訪問控制下，系統(tǒng)對需要保護的信息資源進行統(tǒng)一的強制性控制，按照預(yù)先設(shè)定的規(guī)則控制用戶、進程等主體對信息資源的訪問行為。通過自主訪問控制與強制控制訪問的協(xié)同協(xié)作，安全操作系統(tǒng)的訪問控制機制可以同時保障系統(tǒng)及系統(tǒng)上應(yīng)用的安全性與易用性

4.2 數(shù)據(jù)庫加密

數(shù)據(jù)庫加密是很重要的。我們不僅僅應(yīng)該保護自己的信息安全，應(yīng)該在一定程度上阻擋其他的信息監(jiān)控。通過應(yīng)用數(shù)據(jù)庫加密程序，切實增強數(shù)據(jù)庫內(nèi)部數(shù)據(jù)的安全性、實效性。將特殊的算法應(yīng)用于模塊的加密過程中，進行有效改變數(shù)據(jù)信息，為用戶提供可加密的應(yīng)用信息。在數(shù)據(jù)庫加密模塊中，使用者應(yīng)該掌握正確的解密方法，從而獲取全面的信息數(shù)據(jù)原始內(nèi)容。為了確保此模塊的順利開展，關(guān)鍵在于優(yōu)化處理數(shù)據(jù)庫加密系統(tǒng)內(nèi)部模塊，采取高效的措施進行優(yōu)化加密環(huán)節(jié)及其解密環(huán)節(jié)，增強可辨數(shù)據(jù)信息以及非可變信息的轉(zhuǎn)換的規(guī)范性，高效解密讀取所獲取的數(shù)據(jù)信息。網(wǎng)絡(luò)安全認(rèn)證管理如下圖。

4.3 數(shù)據(jù)備份與恢復(fù)

為了獲取完整統(tǒng)一的網(wǎng)絡(luò)數(shù)據(jù)庫信息，必須加強數(shù)量備份技術(shù)和恢復(fù)技術(shù)的應(yīng)用，及時發(fā)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)出現(xiàn)的各種障礙問題，從而采取可行性的改進、優(yōu)化方案。數(shù)據(jù)信息管理人員可充分應(yīng)用數(shù)據(jù)恢復(fù)技術(shù)，進行處理相關(guān)的備份文件，在最短的時間內(nèi)，進行恢復(fù)網(wǎng)絡(luò)數(shù)據(jù)庫的相關(guān)數(shù)據(jù)資料，避免出現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)故障，以降低社會經(jīng)濟損失。建立協(xié)調(diào)有效的數(shù)據(jù)備份與恢復(fù)是網(wǎng)絡(luò)數(shù)據(jù)庫保障數(shù)據(jù)機制，也可作為一種常用的技術(shù)方案。在此機制的運用過程中，在網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)出現(xiàn)故障的情況下，管理人員可結(jié)合之前的數(shù)據(jù)備份文件，及時恢復(fù)初始數(shù)據(jù)狀態(tài)。在數(shù)據(jù)備份信息進行處理中大多采取靜態(tài)備份、動態(tài)備份以及邏輯備份等不同的形式。磁盤鏡像、備份文件、在線日志作為常用的數(shù)據(jù)恢復(fù)技術(shù)，在使用過程中可根據(jù)實際的網(wǎng)絡(luò)數(shù)據(jù)庫運行方式，進行選擇可行性的備份恢復(fù)技術(shù)。

5 結(jié)束語

現(xiàn)在的國際形勢之下，計算機網(wǎng)絡(luò)數(shù)據(jù)庫的安全顯得越來越重要。各個國家之間的競爭也在朝著這一方向發(fā)展，尤其是信息技術(shù)方面的競爭更是如此，網(wǎng)絡(luò)數(shù)據(jù)庫是一個很開放的信息平臺，這就使得我們所存儲的信息很不安全。一旦破壞，或者被盜取，就會造成嚴(yán)重的經(jīng)濟損失。這些損失是不可估量的。因此如何實現(xiàn)對計算機網(wǎng)絡(luò)數(shù)據(jù)庫安全技術(shù)方案的優(yōu)化，對計算機網(wǎng)絡(luò)數(shù)據(jù)庫安全技術(shù)進行不斷的改進與更新，以應(yīng)對網(wǎng)絡(luò)數(shù)據(jù)庫中安全問題已成為目前我國計算機領(lǐng)域中的重點研究問題。