文｜孫飛

淺談數(shù)據(jù)庫安全技術(shù)研究及改進(jìn)策略

文｜孫飛

計(jì)算機(jī)技術(shù)尤其是數(shù)據(jù)庫技術(shù)的不斷發(fā)展，不僅影響了人們的正常生活，也為社會的進(jìn)步帶來了便利。與計(jì)算機(jī)技術(shù)發(fā)展同步的就是日益凸顯的數(shù)據(jù)庫安全問題，數(shù)據(jù)庫安全問題的正確防范是促進(jìn)計(jì)算機(jī)順利應(yīng)用的重要基礎(chǔ)。各種應(yīng)用系統(tǒng)中都包含了大量的數(shù)據(jù)庫信息，如果數(shù)據(jù)庫信息被盜或者發(fā)生錯誤都將直接影響到用戶的體驗(yàn)并帶來各方面的損失。因此要重視數(shù)據(jù)庫安全問題，并加強(qiáng)數(shù)據(jù)庫安全技術(shù)的研究。

一、數(shù)據(jù)庫安全技術(shù)問題分析

數(shù)據(jù)庫安全一直都是我時(shí)刻關(guān)注的問題，很多方面不注意都會使得數(shù)據(jù)庫陷入危險(xiǎn)的境地，目前數(shù)據(jù)庫安全防范技術(shù)也有很多，比如流量監(jiān)控技術(shù)、加密技術(shù)、審計(jì)技術(shù)等，基于計(jì)算機(jī)技術(shù)的數(shù)據(jù)庫安全技術(shù)問題主要包括以下三個方面，這些問題也是我們加強(qiáng)數(shù)據(jù)庫安全研究的重要基礎(chǔ)。

（一）不安全的Web應(yīng)用程序

近年來很多的安全編程方法得到了應(yīng)用和傳播，并在數(shù)據(jù)庫安全方面發(fā)揮了重要的作用，盡管如此，目前互聯(lián)網(wǎng)中的Web應(yīng)用程序還存在很多的漏洞，這些不安全的Web應(yīng)用程序漏洞的存在給數(shù)據(jù)庫安全帶來了巨大的風(fēng)險(xiǎn)。就目前國內(nèi)以及國外的整體Web應(yīng)用程序現(xiàn)狀來看，在漏洞的修復(fù)方面仍然還有很長很長的路要走。

Litchfield作為著名的數(shù)據(jù)庫安全研究人員，他認(rèn)為當(dāng)前的漏洞修復(fù)進(jìn)展還是比較緩慢的，而且隨著計(jì)算機(jī)技術(shù)和程序的發(fā)展，很多以前的漏洞修復(fù)工具已經(jīng)失去了原有的價(jià)值，而很多時(shí)候都以“無法驗(yàn)證輸入”而告終，因此要求安全技術(shù)研究人員要能夠不斷更新漏洞修復(fù)系統(tǒng)。再加上當(dāng)前很多程序開發(fā)人才的培養(yǎng)還存在一定的限制，很多剛畢業(yè)的大學(xué)生進(jìn)入企業(yè)或政府部門就開始計(jì)算機(jī)編程工作，但在安全編程方面還存在欠缺。

（二）泛濫的數(shù)據(jù)庫系統(tǒng)特權(quán)賬戶

由于互聯(lián)網(wǎng)自身的特性，使得很多的企業(yè)以及政府部門（以下簡稱單位）的身份認(rèn)證和管理都處于一個自動化的過程，并不能夠要求每時(shí)每刻都有專門人員進(jìn)行看管，當(dāng)然這也是互聯(lián)網(wǎng)技術(shù)的一方面優(yōu)勢。每一個單位都擁有自己的數(shù)據(jù)庫系統(tǒng)，各單位會根據(jù)自身的需要設(shè)定身份認(rèn)證要求并進(jìn)行周期管理，一般情況下這些都是通過共享賬戶或者服務(wù)賬戶來完成，賬戶認(rèn)證和賬戶管理配合來實(shí)現(xiàn)對數(shù)據(jù)庫的管理。

在各單位的數(shù)據(jù)庫管理過程中，由于管理模式的限制，很多時(shí)候除了IT管理員以外，單位內(nèi)的很多其他員工也具有系統(tǒng)賬戶的權(quán)限，這樣在訪問控制以及監(jiān)控過程中就容易出現(xiàn)漏洞，內(nèi)部其他人員權(quán)限的濫用以及安全管理方面的缺失都會給外部攻擊創(chuàng)造可能，影響了數(shù)據(jù)庫安全。

（三）錯誤配置的網(wǎng)絡(luò)分段

目前很多方面認(rèn)為網(wǎng)絡(luò)分段之后再進(jìn)行風(fēng)險(xiǎn)控制可以收到良好的效果，并能夠?qū)L(fēng)險(xiǎn)控制在一定的范圍之內(nèi)，這種網(wǎng)絡(luò)分段式的數(shù)據(jù)庫安全防范也被應(yīng)用到了很多高價(jià)值數(shù)據(jù)庫的管理中，但是這種方式也存在一定的弊端和問題，比如分段控制之后配置不當(dāng)?shù)脑挘瑫Ψ阑饓Φ陌踩阅軒黼[患，并給攻擊方面帶來可能性，很容易導(dǎo)致數(shù)據(jù)庫受侵。Kevin Beaver是Principle Logic公司的創(chuàng)始人，該公司主要研究安全網(wǎng)絡(luò)和數(shù)據(jù)庫安全評估。從該公司的評估結(jié)果可以看出，很多單位由于錯誤配置網(wǎng)絡(luò)分段導(dǎo)致的錯誤信息非常多，這使得整個數(shù)據(jù)庫系統(tǒng)的安全也會受到影響。

二、數(shù)據(jù)庫安全系統(tǒng)的構(gòu)建和優(yōu)化

從數(shù)據(jù)庫安全角度來看，數(shù)據(jù)庫系統(tǒng)的安全不僅和自身的系統(tǒng)安全系數(shù)有著很大關(guān)系，同時(shí)也和網(wǎng)絡(luò)運(yùn)行環(huán)境、管理人員以及運(yùn)行模式等存在著緊密的聯(lián)系，因此我們可以簡單的將數(shù)據(jù)庫系統(tǒng)的安全防范分為以下三個層次：網(wǎng)絡(luò)系統(tǒng)層次；宿主操作系統(tǒng)層次；數(shù)據(jù)庫管理系統(tǒng)層次。這三個層次是數(shù)據(jù)庫廣義方面的系統(tǒng)安全防范角度，同時(shí)也是和數(shù)據(jù)庫安全聯(lián)系最為密切的三個方面，從內(nèi)部到外部的共同安全管理來保證系統(tǒng)的安全性能。

（一）網(wǎng)絡(luò)系統(tǒng)層次安全技術(shù)

數(shù)據(jù)庫系統(tǒng)是網(wǎng)絡(luò)運(yùn)行的重要基礎(chǔ)，而網(wǎng)絡(luò)又是數(shù)據(jù)庫受到威脅的重要途徑，因此保證數(shù)據(jù)庫系統(tǒng)的安全也應(yīng)從網(wǎng)絡(luò)系統(tǒng)的安全入手，進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全保護(hù)?；ヂ?lián)網(wǎng)不僅給社會的發(fā)展和人們的生活創(chuàng)造了更便利的條件，同時(shí)也一度成為很多企業(yè)業(yè)務(wù)拓展的方向，成為很多政府部門對外宣傳及提高辦事效率的工具，很多單位在網(wǎng)絡(luò)數(shù)據(jù)庫和自身產(chǎn)品的基礎(chǔ)上，為用戶提供了更多網(wǎng)絡(luò)產(chǎn)品，不僅滿足了用戶的更多需要，同時(shí)也是實(shí)現(xiàn)自身創(chuàng)新發(fā)展的重要途徑。而這一切都是建立在網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)之上的，網(wǎng)絡(luò)系統(tǒng)是數(shù)據(jù)庫的外部基礎(chǔ)，也是數(shù)據(jù)庫安全的重要保障。正常情況下，用戶通過網(wǎng)絡(luò)系統(tǒng)才可以實(shí)現(xiàn)對數(shù)據(jù)庫的訪問，并應(yīng)用數(shù)據(jù)庫。因此，保障數(shù)據(jù)庫安全的第一步就是要拓展和應(yīng)用網(wǎng)絡(luò)系統(tǒng)層次的安全技術(shù)。

網(wǎng)絡(luò)系統(tǒng)是數(shù)據(jù)庫的外部屏障，當(dāng)外界攻擊數(shù)據(jù)庫的時(shí)候，第一要攻擊的就是網(wǎng)絡(luò)系統(tǒng)，目前通過網(wǎng)絡(luò)入侵實(shí)現(xiàn)對整個數(shù)據(jù)庫系統(tǒng)的破壞已經(jīng)非常常見，這種網(wǎng)絡(luò)攻擊具有以下幾個方面的特點(diǎn)：一是不受時(shí)間或者空間的限制，很多的跨國或者跨界攻擊也都不受限制；二是一些網(wǎng)絡(luò)攻擊會隱蔽在一些正常網(wǎng)絡(luò)活動中，因此不容易被發(fā)現(xiàn)，進(jìn)而對主體進(jìn)行攻擊。三是在隱蔽性的基礎(chǔ)上更具復(fù)雜性和多樣性。當(dāng)然，網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)威脅的種類有很多，比如一些木馬病毒、數(shù)據(jù)盜取、惡意攻擊等，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，安全問題也呈現(xiàn)出更加多樣性的發(fā)展趨勢，這些威脅一旦產(chǎn)生影響，其后果都是非常嚴(yán)重的，因此必須對這些威脅進(jìn)行控制和防范，以下將從三個方面對于數(shù)據(jù)庫安全技術(shù)進(jìn)行分析。

1. 防火墻技術(shù)

防火墻技術(shù)是目前數(shù)據(jù)庫安全防范的基本技術(shù)之一，也是重要的技術(shù)之一。防火墻是保護(hù)網(wǎng)絡(luò)系統(tǒng)的最外層保護(hù)網(wǎng)，是審核網(wǎng)絡(luò)信任的必要通道，防火墻可以將一些不可信的網(wǎng)絡(luò)屏蔽在外，對于非法訪問或者不能通過驗(yàn)證的訪問會進(jìn)行屏蔽和攔截，進(jìn)而保證信息流的安全性。但是防火墻技術(shù)對于內(nèi)部的非法操作是無法進(jìn)行控制的，對于內(nèi)部信息的外泄也是無法攔截的，因此這種數(shù)據(jù)庫安全技術(shù)具有一定的局限性，還不能根據(jù)信息流的源頭和流向進(jìn)行適時(shí)調(diào)整，在智能化控制方面還需要進(jìn)行有效的加強(qiáng)。目前防火墻技術(shù)主要包括數(shù)據(jù)包過濾器、代理和狀態(tài)分析三種，目前在具體的實(shí)踐中，為了提高防火墻技術(shù)的效果，會根據(jù)實(shí)際需求將這三種防火墻技術(shù)進(jìn)行混用。

2. 入侵檢測技術(shù)

入侵檢測是近些年發(fā)展而來的一種新的數(shù)據(jù)庫安全技術(shù)，是在統(tǒng)計(jì)分析、網(wǎng)絡(luò)通信以及密碼安全等技術(shù)基礎(chǔ)上發(fā)展而來的新技術(shù)，該技術(shù)主要注重事后的檢測和控制，最大的作用就是對于計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)庫系統(tǒng)進(jìn)行全面的入侵檢測，一旦發(fā)現(xiàn)一場就會進(jìn)行分析和監(jiān)控，為應(yīng)對和防范惡性攻擊提供理論基礎(chǔ)。隨著數(shù)據(jù)庫安全技術(shù)的發(fā)展，IDS系統(tǒng)已經(jīng)成為了數(shù)據(jù)庫安全系統(tǒng)的重要方面。入侵檢測技術(shù)主要分為簽名分析、統(tǒng)計(jì)分析和數(shù)據(jù)完整性分析三個方面，通過幾方面的協(xié)同作用，對整個數(shù)據(jù)庫系統(tǒng)進(jìn)行實(shí)時(shí)的監(jiān)測，一旦遭受到攻擊和入侵都會進(jìn)行提示 ，以此來提高系統(tǒng)整體的安全性。

3. 協(xié)作式入侵監(jiān)測技術(shù)

入侵監(jiān)測技術(shù)可以對于整個數(shù)據(jù)庫系統(tǒng)的入侵行為進(jìn)行監(jiān)測和處理，但是由于單獨(dú)系統(tǒng)的單一性，還需要加強(qiáng)協(xié)同作用，建立專門的協(xié)作式入侵監(jiān)測系統(tǒng)進(jìn)行完善和支持，這不僅可以進(jìn)一步完善入侵監(jiān)測系統(tǒng)，同時(shí)也可以提高監(jiān)測范圍，對于一切的入侵行為進(jìn)行更快和高有效的打擊。協(xié)作式入侵監(jiān)測技術(shù)應(yīng)用范圍進(jìn)一步擴(kuò)大，它適應(yīng)于多種網(wǎng)絡(luò)環(huán)境。

（二）宿主操作系統(tǒng)層次安全技術(shù)

為了有效的加強(qiáng)數(shù)據(jù)庫系統(tǒng)的安全，網(wǎng)絡(luò)管理員還需要根據(jù)系統(tǒng)的具體需求和常見的數(shù)據(jù)庫安全問題制定相應(yīng)的安全管理策略。由于每個數(shù)據(jù)庫系統(tǒng)運(yùn)行的網(wǎng)絡(luò)環(huán)境存在一定的差異性，因此所采取的安全管理方法也要具有一定的針對性，最終目的都是為了提高系統(tǒng)的安全性，并能夠保證權(quán)限分配的合理性。

操作系統(tǒng)安全策略用于配置本地計(jì)算機(jī)的安全設(shè)置，包括密碼策略、賬戶鎖定策略、審核策略、IP安全策略、用戶權(quán)利指派、加密數(shù)據(jù)的恢復(fù)代理以及其它安全選項(xiàng)。具體可以體現(xiàn)在用戶賬戶、口令、訪問權(quán)限、審計(jì)等方面。

◆用戶賬戶：用戶訪問系統(tǒng)的“身份證”，只有合法用戶才有賬戶。

◆口令：用戶的口令為用戶訪問系統(tǒng)提供一道驗(yàn)證。

◆訪問權(quán)限：規(guī)定用戶的權(quán)限。

◆審計(jì)：對用戶的行為進(jìn)行跟蹤和記錄，便于系統(tǒng)管理員分析系統(tǒng)的訪問情況以及事后的追查使用。

（三）數(shù)據(jù)庫管理系統(tǒng)層次安全技術(shù)

當(dāng)前很多的數(shù)據(jù)庫管理都是采用關(guān)系式數(shù)據(jù)庫管理，這種數(shù)據(jù)庫管理方式具有一定的漏洞和風(fēng)險(xiǎn)，在關(guān)系處理之間容易給外部的攻擊行為創(chuàng)造條件。如果數(shù)據(jù)庫受到攻擊，入侵者會借助OS工具對于數(shù)據(jù)庫內(nèi)容進(jìn)行偽造和盜取，這種篡改是不容易發(fā)現(xiàn)的，而這種攻擊性行為對于安全技術(shù)的要求也更高。根據(jù)數(shù)據(jù)庫系統(tǒng)的層次性再進(jìn)行逐個層次的加密管理，這可以提高系統(tǒng)保護(hù)的全面性。對于數(shù)據(jù)庫系統(tǒng)進(jìn)行分層次的安全保護(hù)，以下從三個方面進(jìn)行相應(yīng)的介紹和分析。

1.在OS層加密

由于在數(shù)據(jù)庫的OS層不能夠?qū)τ跀?shù)據(jù)關(guān)系進(jìn)行分析和辨別，因此并不能根據(jù)數(shù)據(jù)信息產(chǎn)生相應(yīng)的秘鑰，所以數(shù)據(jù)的管理和秘鑰的產(chǎn)生都比較困難，因此目前的OS層加密還停留在小型數(shù)據(jù)庫方面，對于大型數(shù)據(jù)庫的OS層加密技術(shù)還具有一定的難度。

2.在DBMS內(nèi)核層實(shí)現(xiàn)加密

物理存儲是數(shù)據(jù)庫存儲的重要方面，在數(shù)據(jù)庫進(jìn)行物理存儲之前會對數(shù)據(jù)進(jìn)行DBMS內(nèi)核層加密。這種加密形式一般具有很強(qiáng)的功能性，而且整個加密過程也不對DBMS的功能產(chǎn)生影響，同時(shí)這種加密也可以實(shí)現(xiàn)和整體數(shù)據(jù)庫系統(tǒng)的完美耦合，提高系統(tǒng)安全性。但是這種加密大大增加了系統(tǒng)的運(yùn)載負(fù)荷，同時(shí)這種加密也需要開發(fā)特定的端口和服務(wù)器，需要資本的投入和開發(fā)商的支持。

◆定義加密要求工具；

◆DBMS；

◆數(shù)據(jù)庫應(yīng)用系統(tǒng)；

◆加密器（軟件或硬件）。

3.在DBMS外層實(shí)現(xiàn)加密

DBMS外層加密相比內(nèi)核加密更簡單，只需要根據(jù)數(shù)據(jù)庫系統(tǒng)制作相應(yīng)的外層加密工具就可以完成。

◆定義加密要求工具加密器；

◆軟件或硬件；

◆DBMS；

◆數(shù)據(jù)庫應(yīng)用系統(tǒng)。

三、結(jié)束語

數(shù)據(jù)庫是一個龐大的信息系統(tǒng)，其中包含著大量的數(shù)據(jù)信息，也正是由于這個原因使得數(shù)據(jù)庫系統(tǒng)安全問題備受關(guān)注。當(dāng)數(shù)據(jù)庫受到外來安全攻擊的時(shí)候，如果不能夠及時(shí)有效的對攻擊進(jìn)行預(yù)防和防范，就會造成數(shù)據(jù)的丟失、損壞以及被非法修改等，這些都是當(dāng)前的數(shù)據(jù)庫安全技術(shù)需要進(jìn)行完善的方面。如今網(wǎng)絡(luò)技術(shù)已經(jīng)融入到人們生活的方方面面，各方面也應(yīng)該加強(qiáng)研究和投入，持續(xù)保證數(shù)據(jù)庫的安全。

作者單位：國家海洋局秦皇島海洋環(huán)境監(jiān)測中心站