徐天琪

（沈陽(yáng)市二中，遼寧 沈陽(yáng) 110000）

數(shù)據(jù)庫(kù)安全技術(shù)研究與應(yīng)用

徐天琪

（沈陽(yáng)市二中，遼寧 沈陽(yáng) 110000）

數(shù)據(jù)庫(kù)技術(shù)是信息系統(tǒng)的核心技術(shù)之一，它的主要作用是幫助計(jì)算機(jī)管理數(shù)據(jù)，因此，數(shù)據(jù)是數(shù)據(jù)庫(kù)技術(shù)的主要研究對(duì)象。由于數(shù)據(jù)庫(kù)存放了大量數(shù)據(jù)，因此，數(shù)據(jù)庫(kù)的安全性能顯得尤為重要。如何提高數(shù)據(jù)庫(kù)的安全性，保證數(shù)據(jù)不被盜取，是數(shù)據(jù)庫(kù)技術(shù)的重點(diǎn)研究方向，也是一個(gè)成功的數(shù)據(jù)庫(kù)系統(tǒng)的基本要求。重點(diǎn)探討了數(shù)據(jù)庫(kù)的安全技術(shù)與應(yīng)用。

數(shù)據(jù)庫(kù)；信息系統(tǒng)；數(shù)據(jù)管理；網(wǎng)絡(luò)系統(tǒng)

1 數(shù)據(jù)庫(kù)安全定義

C·P·Pfleeger對(duì)數(shù)據(jù)庫(kù)的安全定義受到了廣泛的認(rèn)可，他沒(méi)有從設(shè)計(jì)者的角度，而是從使用者的角度定義數(shù)據(jù)庫(kù)的安全性能，因此，他的敘述客觀而又便于理解。我國(guó)認(rèn)為數(shù)據(jù)庫(kù)的安全就是數(shù)據(jù)庫(kù)內(nèi)的數(shù)據(jù)需完整、保密、可用，數(shù)據(jù)庫(kù)安全技術(shù)就是保護(hù)數(shù)據(jù)庫(kù)，以防不合法的使用入侵，導(dǎo)致信息泄露、更改或破壞。

實(shí)現(xiàn)數(shù)據(jù)庫(kù)安全性控制的常用方法和技術(shù)有用戶(hù)標(biāo)識(shí)和鑒別、存取控制、視圖機(jī)制、審計(jì)等。系統(tǒng)安全保護(hù)措施是否有效是數(shù)據(jù)庫(kù)系統(tǒng)的主要指標(biāo)之一。數(shù)據(jù)庫(kù)的安全性和計(jì)算機(jī)系統(tǒng)的安全性，包括操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)的安全性是緊密聯(lián)系、相互支持的。

2 數(shù)據(jù)庫(kù)面臨的安全威脅

控制訪(fǎng)問(wèn)量是有意義的，如果訪(fǎng)問(wèn)數(shù)據(jù)有差錯(cuò)，就會(huì)導(dǎo)致數(shù)據(jù)庫(kù)中的信息數(shù)據(jù)錯(cuò)亂，外來(lái)入侵人員就是利用這一點(diǎn)使數(shù)據(jù)庫(kù)中的信息錯(cuò)亂，而技術(shù)人員無(wú)法修復(fù)受損的信息，信息庫(kù)的數(shù)據(jù)大量丟失造成無(wú)法彌補(bǔ)的損失。當(dāng)數(shù)據(jù)庫(kù)被非法訪(fǎng)問(wèn)時(shí)，是很難捕捉到訪(fǎng)問(wèn)者的信息，這無(wú)疑增加了非法入侵的概率?？偠灾?，數(shù)據(jù)庫(kù)中的信息丟失、篡改都會(huì)造成巨大的損失，而目前的技術(shù)又難以追究入侵者的責(zé)任，因此，提高數(shù)據(jù)庫(kù)的安全性能迫在眉睫。

3 數(shù)據(jù)庫(kù)安全技術(shù)的研究現(xiàn)狀

3.1 常用的安全技術(shù)

存取管理技術(shù)是數(shù)據(jù)庫(kù)安全保護(hù)的主要技術(shù)，包括存取控制和用戶(hù)認(rèn)證。數(shù)據(jù)存取控制是控制數(shù)據(jù)的存取途徑和權(quán)限管理。為了防止不法分子以不正當(dāng)?shù)姆绞酱嫒⌒畔?，還應(yīng)對(duì)想要進(jìn)入系統(tǒng)的用戶(hù)進(jìn)行資格和權(quán)限的核對(duì)、檢查。符合條件的用戶(hù)獲得權(quán)限可以訪(fǎng)問(wèn)，而未通過(guò)的就是非法用戶(hù)不能進(jìn)入系統(tǒng)讀取信息。用戶(hù)認(rèn)證就是核對(duì)用戶(hù)的賬戶(hù)與密碼，識(shí)別、驗(yàn)證用戶(hù)。安全管理技術(shù)是數(shù)據(jù)庫(kù)安全管理的一種機(jī)制，它有兩個(gè)分支：①集中控制。控制者為整個(gè)安全系統(tǒng)的最高領(lǐng)導(dǎo)，由他集中管理整個(gè)安全系統(tǒng)。②分散控制。分散控制就是把控制權(quán)利分割給各個(gè)管理程序，各個(gè)管理程序控制自己管轄的范圍。統(tǒng)籌兼顧提高了數(shù)據(jù)庫(kù)系統(tǒng)的安全性。

審計(jì)系統(tǒng)包含兩項(xiàng)技術(shù)操作，即審計(jì)追蹤和攻擊檢測(cè)。相關(guān)用戶(hù)在數(shù)據(jù)庫(kù)進(jìn)行的操作都會(huì)留下歷史記錄在審計(jì)日志中，可以通過(guò)審計(jì)追蹤技術(shù)查找。一旦發(fā)現(xiàn)有外來(lái)者非法訪(fǎng)問(wèn)和內(nèi)部者非法泄露信息的苗頭，攻擊檢測(cè)系統(tǒng)會(huì)分析歷史記錄，找到嫌疑人。數(shù)據(jù)庫(kù)一般會(huì)設(shè)有安全訪(fǎng)問(wèn)系統(tǒng)來(lái)保證數(shù)據(jù)的儲(chǔ)存安全，但是針對(duì)更加特殊的信息，比如國(guó)家的軍事信息、財(cái)務(wù)信息等，為了提高信息保護(hù)的安全性，除了一般防護(hù)設(shè)施外，還會(huì)采取數(shù)據(jù)加密。數(shù)據(jù)庫(kù)加密技術(shù)是避免數(shù)據(jù)丟失、篡改、泄露的主要手段。信息流控制技術(shù)簡(jiǎn)單而言就是將信息時(shí)代的用戶(hù)串聯(lián)起來(lái)，它會(huì)把組成數(shù)據(jù)庫(kù)的元素分門(mén)別類(lèi)、劃分等級(jí)，它可以控制數(shù)據(jù)庫(kù)中信息的流向，低級(jí)用戶(hù)只能查閱屬于自己權(quán)限的信息，不能查閱高級(jí)用戶(hù)的信息，避免機(jī)密信息的泄露。當(dāng)數(shù)據(jù)庫(kù)中的信息由于各種原因缺損、丟失后，如果有數(shù)據(jù)備份，數(shù)據(jù)恢復(fù)的難度會(huì)大大降低，沒(méi)有備份也可以通過(guò)信息恢復(fù)技術(shù)修復(fù)，以保證數(shù)據(jù)庫(kù)中信息的完整。

3.2 數(shù)據(jù)信息安全傳輸協(xié)議

SSL安全協(xié)議又稱(chēng)為“安全套接層協(xié)議”，它可以提高應(yīng)用程序之間的數(shù)據(jù)安全系數(shù)，SSL技術(shù)的應(yīng)用相當(dāng)廣泛，幾乎所有的網(wǎng)絡(luò)系統(tǒng)都采用了這種技術(shù)。通信的雙方在通信前達(dá)成協(xié)議即SSL安全協(xié)議，就可以建立一條秘密的通信渠道，傳達(dá)隱秘性較高的信息。由于SSL協(xié)議早已嵌入Web瀏覽器和服務(wù)器，因此使用非常方便。但SSL安全協(xié)議只能保證端與端的安全連接，不能保證傳輸途徑的安全。IPSec協(xié)議是一種開(kāi)放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，它通過(guò)提高端對(duì)端的安全性來(lái)提供主動(dòng)保護(hù)以防止專(zhuān)用網(wǎng)絡(luò)與Internet的攻擊，可以保證局域網(wǎng)、專(zhuān)用或公用的廣域網(wǎng)及Internet上信息傳輸?shù)陌踩?/p>

4 數(shù)據(jù)庫(kù)安全技術(shù)的應(yīng)用

4.1 用戶(hù)鑒別和標(biāo)識(shí)

數(shù)據(jù)庫(kù)安全系統(tǒng)第一層防護(hù)設(shè)置就是用戶(hù)賬號(hào)和密碼的識(shí)別。安全系統(tǒng)會(huì)核對(duì)用戶(hù)輸入的用戶(hù)名和密碼，如果兩者不符合，用戶(hù)就不能進(jìn)入安全系統(tǒng)。此外，安全系統(tǒng)還會(huì)設(shè)置特殊的密碼、口令約束不同來(lái)訪(fǎng)者的操作權(quán)限。

4.2 存取控制

用戶(hù)通過(guò)賬戶(hù)密碼的核對(duì)或指令才能進(jìn)入系統(tǒng)，獲得相應(yīng)的權(quán)限，這是數(shù)據(jù)庫(kù)安全系統(tǒng)主要的防護(hù)措施。這些防護(hù)措施的核心就是數(shù)據(jù)庫(kù)的存取控制。數(shù)據(jù)存取控制是控制數(shù)據(jù)的存取途徑和權(quán)限管理。符合條件的用戶(hù)獲得權(quán)限可以訪(fǎng)問(wèn)，而未通過(guò)的就是非法用戶(hù)，不能進(jìn)入系統(tǒng)讀取信息。數(shù)據(jù)存取控制機(jī)制是一種重要的數(shù)據(jù)安全保護(hù)機(jī)制，它就像一部詞典，記錄了所有相關(guān)用戶(hù)的信息和權(quán)限，當(dāng)用戶(hù)申請(qǐng)數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)時(shí)，系統(tǒng)就會(huì)搜索詞典中該用戶(hù)的信息，授予他訪(fǎng)問(wèn)的權(quán)限。如果一個(gè)用戶(hù)他是文獻(xiàn)數(shù)據(jù)庫(kù)用戶(hù)，則其不能訪(fǎng)問(wèn)其他的數(shù)據(jù)庫(kù)。

4.3 數(shù)據(jù)加密

數(shù)據(jù)庫(kù)一般會(huì)設(shè)有安全訪(fǎng)問(wèn)系統(tǒng)來(lái)保證數(shù)據(jù)的儲(chǔ)存安全，針對(duì)更加特殊的信息，比如國(guó)家的軍事信息、財(cái)務(wù)信息等，為了提高信息保護(hù)的安全性，除了采取一般的防護(hù)設(shè)施外，還會(huì)采取數(shù)據(jù)加密措施。

5 結(jié)束語(yǔ)

要想確保數(shù)據(jù)庫(kù)的安全，徹底解決數(shù)據(jù)庫(kù)的安全問(wèn)題并不容易，也不是一朝一夕就可以完成的。數(shù)據(jù)庫(kù)安全不僅要確保系統(tǒng)信息的安全，還要確保系統(tǒng)運(yùn)行的安全。信息時(shí)代計(jì)算機(jī)技術(shù)的發(fā)展是十分迅速的，保障數(shù)據(jù)庫(kù)安全的技術(shù)在不斷更進(jìn)發(fā)展，但是隨著計(jì)算機(jī)發(fā)展產(chǎn)生的新問(wèn)題也會(huì)逐漸增加，因此，對(duì)安全技術(shù)的研發(fā)不能松懈。

［1］馬燕曹，周湛.信息安全法規(guī)與標(biāo)準(zhǔn)［M］.北京：機(jī)械工業(yè)出版社，2004.

［2］鐘誠(chéng)，趙躍華.信息安全概論［M］.武漢：武漢理工大學(xué)出版社，2003.

［3］康春榮，蘇武榮.數(shù)據(jù)安全項(xiàng)目案例［M］.北京：科學(xué)出版社，2004.

［4］吳溥峰，張玉清.數(shù)據(jù)庫(kù)安全綜述［J］.計(jì)算機(jī)工程，2006（32）.

〔編輯：張思楠〕

TP393.03

A

10.15913/j.cnki.kjycx.2017.24.157

2095-6835（2017）24-0157-02