姚浩立 李從初 許皓皓 寧波市氣象網(wǎng)絡(luò)與裝備保障中心

引言

21世紀(jì)是網(wǎng)絡(luò)時(shí)代，人們的日常生活離不開互聯(lián)網(wǎng)，企業(yè)的各項(xiàng)業(yè)務(wù)也逐漸向互聯(lián)網(wǎng)轉(zhuǎn)移，網(wǎng)絡(luò)數(shù)據(jù)庫(kù)對(duì)于企業(yè)發(fā)展的重要性日益增加，對(duì)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)進(jìn)行管理、監(jiān)控的系統(tǒng)也逐漸網(wǎng)絡(luò)化，數(shù)據(jù)信息處理的開放性在不斷提高。在這種情況下，網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全性對(duì)于企業(yè)的發(fā)展至關(guān)重要。

1 網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全機(jī)制

網(wǎng)絡(luò)數(shù)據(jù)庫(kù)是依托網(wǎng)絡(luò)平臺(tái)的數(shù)據(jù)信息整體，它的基礎(chǔ)是大量的數(shù)據(jù)和信息，前臺(tái)是對(duì)這些數(shù)據(jù)和信息進(jìn)行訪問的程序等，數(shù)據(jù)和信息的查詢以及儲(chǔ)存可以通過瀏覽器來完成。網(wǎng)絡(luò)數(shù)據(jù)庫(kù)所包含的數(shù)據(jù)和信息比較完整，使得大量信息和數(shù)據(jù)的共享成為現(xiàn)實(shí)，并且訪問以及使用數(shù)據(jù)和信息的成本大大降低。

網(wǎng)絡(luò)數(shù)據(jù)庫(kù)有兩種模式：一種是B/S模式，另外一種則是C/S模式。它們結(jié)構(gòu)比較相似，都是三層結(jié)構(gòu)，并且第三層都是數(shù)據(jù)庫(kù)服務(wù)器，不同的是，B/S模式的前兩層分別為瀏覽器、Web服務(wù)器，而C/S模式的前兩層分別為客戶機(jī)和應(yīng)用服務(wù)器。結(jié)合這兩種模式的應(yīng)用結(jié)構(gòu)可以分層構(gòu)建網(wǎng)絡(luò)數(shù)據(jù)庫(kù)系統(tǒng)安全機(jī)制的模型，從而有效理解網(wǎng)絡(luò)系統(tǒng)安全機(jī)制的各個(gè)原理等。

2 各層安全機(jī)制詳述

2.1 網(wǎng)絡(luò)系統(tǒng)安全機(jī)制

非法分子入侵網(wǎng)絡(luò)數(shù)據(jù)庫(kù)系統(tǒng)首先要突破企業(yè)外部的網(wǎng)絡(luò)系統(tǒng)，對(duì)數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行安全防護(hù)的第一道保障就是網(wǎng)絡(luò)系統(tǒng)。制造網(wǎng)絡(luò)系統(tǒng)漏洞、破壞網(wǎng)絡(luò)系統(tǒng)的信任性等都屬于對(duì)網(wǎng)絡(luò)系統(tǒng)的入侵。對(duì)于網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全防護(hù)的網(wǎng)絡(luò)技術(shù)各種各樣，其中最主要、最常用的是以下三種：

2.1.1 應(yīng)用范圍最廣泛、最為人熟知的應(yīng)當(dāng)是防火墻技術(shù)，它也是防護(hù)網(wǎng)絡(luò)系統(tǒng)的第一道墻。它是根據(jù)網(wǎng)絡(luò)系統(tǒng)的信任性進(jìn)行操作，對(duì)外部網(wǎng)絡(luò)進(jìn)行監(jiān)控，若有不信任網(wǎng)絡(luò)想要訪問內(nèi)部網(wǎng)絡(luò)系統(tǒng)，防火墻可以在訪問通道處對(duì)不信任網(wǎng)絡(luò)進(jìn)行攔截，有效的保護(hù)和內(nèi)部系統(tǒng)信息。它的缺點(diǎn)就是防火墻的操作對(duì)象是外部網(wǎng)絡(luò)，若是在內(nèi)部網(wǎng)絡(luò)進(jìn)行非法操作，則防火墻無法發(fā)揮保護(hù)網(wǎng)絡(luò)系統(tǒng)安全的作用。

2.1.2 近幾年來針對(duì)越來越猖狂的非法入侵，科學(xué)家研發(fā)出了監(jiān)控入侵的入侵檢測(cè)技術(shù)。對(duì)入侵進(jìn)行檢測(cè)的想法是在1987年被提出的，入侵檢測(cè)有機(jī)結(jié)合了各種技術(shù)方法的技術(shù)，比如，密碼學(xué)、統(tǒng)計(jì)技術(shù)、人工智能等。它的作用是能夠有效的對(duì)系統(tǒng)進(jìn)行監(jiān)控，一旦發(fā)現(xiàn)有被入侵現(xiàn)象則會(huì)示警，采取相關(guān)措施。它的另一個(gè)作用就是可以監(jiān)控網(wǎng)絡(luò)系統(tǒng)的使用情況，若發(fā)現(xiàn)被濫用也會(huì)觸發(fā)警報(bào)。入侵檢測(cè)現(xiàn)已成為針對(duì)入侵行為的標(biāo)準(zhǔn)方案，是現(xiàn)在網(wǎng)絡(luò)系統(tǒng)安全防護(hù)中不可或缺的一個(gè)重要部分。

2.1.3 網(wǎng)絡(luò)環(huán)境瞬息多變、十分復(fù)雜，獨(dú)立的入侵檢測(cè)系統(tǒng)在網(wǎng)絡(luò)環(huán)境不斷變化的情況下不能及時(shí)察覺入侵行為，并且對(duì)外部網(wǎng)絡(luò)入侵的反應(yīng)需要時(shí)間，這都使得對(duì)網(wǎng)絡(luò)系統(tǒng)安全性的防護(hù)受到限制。因此，基于統(tǒng)一的標(biāo)準(zhǔn)之上，以入侵檢測(cè)為核心建立了協(xié)作式入侵檢測(cè)系統(tǒng)，協(xié)作式入侵檢測(cè)系統(tǒng)各部分之間相互聯(lián)系更加密切，信息傳遞更加快速和便捷，對(duì)于網(wǎng)絡(luò)系統(tǒng)的全方位、多角度的動(dòng)態(tài)把控更加準(zhǔn)確，能更好地對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行防護(hù)。

2.2 服務(wù)器操作系統(tǒng)安全機(jī)制

網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的運(yùn)行借助于操作系統(tǒng)平臺(tái)，因此，操作系統(tǒng)對(duì)于網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全防護(hù)也起到一定的作用。Windows NT以及Unix對(duì)于網(wǎng)絡(luò)系統(tǒng)所提供的安全性防護(hù)級(jí)別大多位于C1、C2級(jí)，兩者是常用的操作系統(tǒng)平臺(tái)。所采取的安全技術(shù)主要有以下幾個(gè)方面：

2.2.1 在配置本地計(jì)算機(jī)時(shí)，也應(yīng)該考慮到其安全性能。操作系統(tǒng)安全策略可以在這里發(fā)揮作用。操作系統(tǒng)安全策略包括：密碼策略、IP安全策略、加密數(shù)據(jù)的恢復(fù)處理等各種安全選項(xiàng)。能夠從用戶網(wǎng)絡(luò)系統(tǒng)的各個(gè)方面來保障安全性。

2.2.2 操作系統(tǒng)需要相應(yīng)的管理員來進(jìn)行管理、監(jiān)測(cè)。一般來說，管理員在管理系統(tǒng)、提升系統(tǒng)安全性時(shí)所采取的的策略是安全管理策略。管理員實(shí)施安全管理策略主要是把控服務(wù)器的安全，監(jiān)測(cè)破壞性因素，同時(shí)合理分配客戶的權(quán)限問題，有效防止數(shù)據(jù)信息的泄露。安全管理策略實(shí)施細(xì)節(jié)各不相同，與操作系統(tǒng)平臺(tái)以及周圍的網(wǎng)絡(luò)環(huán)境密切相關(guān)，在管理時(shí)應(yīng)該選擇科學(xué)高效的安全管理策略。

2.2.3 最后便是網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的數(shù)據(jù)與信息的安全。它包括很多個(gè)方面：數(shù)據(jù)加密、數(shù)據(jù)恢復(fù)與備份、數(shù)據(jù)使用的安全性、數(shù)據(jù)獲取時(shí)的安全性等。與之相應(yīng)的，可以應(yīng)用的技術(shù)措施也有很多，比如VPN、SSL、Kerberos認(rèn)證等。

2.3 數(shù)據(jù)庫(kù)管理系統(tǒng)安全集資

在對(duì)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行操作時(shí)，數(shù)據(jù)與信息都是以文件的形式存在。這種方式的弊端就是非法入侵者可以破壞防護(hù)系統(tǒng)，或者找出系統(tǒng)的缺口，將儲(chǔ)存有信息的文件盜取[3]；也可以借助網(wǎng)絡(luò)工具對(duì)內(nèi)部系統(tǒng)的數(shù)據(jù)庫(kù)里面的數(shù)據(jù)和信息進(jìn)行篡改和以及偽造，最終都會(huì)造成網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全指數(shù)降低。這種入侵行為較為隱蔽，只能通過數(shù)據(jù)庫(kù)管理系統(tǒng)對(duì)這種缺口進(jìn)行正確的分析并解決，因此，具備高效、有力的安全機(jī)制的數(shù)據(jù)庫(kù)管理系統(tǒng)對(duì)于數(shù)據(jù)的防護(hù)更加嚴(yán)密、監(jiān)控更加嚴(yán)格、安全指數(shù)更高。

3 使用DBMS安全機(jī)制防范網(wǎng)絡(luò)攻擊

對(duì)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)進(jìn)行防護(hù)時(shí)需要結(jié)合多種不同的防范技術(shù)，根據(jù)它們各自的特點(diǎn)綜合使用，有效的提高網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全性。

3.1 認(rèn)證和授權(quán)

首先，認(rèn)證這一步驟必不可少。當(dāng)系統(tǒng)中有人或者應(yīng)用程序?qū)υ摲?wù)進(jìn)行請(qǐng)求時(shí)，認(rèn)證程序可以驗(yàn)證對(duì)方的身份，簡(jiǎn)單的來說，這一步驟解決的問題是：“我是誰”；授權(quán)是第二步驟，在身份認(rèn)證通過以后，內(nèi)部系統(tǒng)允許用戶在系統(tǒng)內(nèi)部進(jìn)行訪問的行為。相應(yīng)的，這一過程解決的問題是：“我可以干什么”。在這兩個(gè)環(huán)節(jié)中，用戶鑒別、數(shù)據(jù)庫(kù)的存取等技術(shù)會(huì)得到應(yīng)用。

3.2 備份與恢復(fù)

當(dāng)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)系統(tǒng)突然發(fā)生故障時(shí)，根據(jù)之前對(duì)數(shù)據(jù)庫(kù)進(jìn)行的備份，管理員能夠很容易地將系統(tǒng)數(shù)據(jù)還原，備份可以避免數(shù)據(jù)和信息的丟失，對(duì)于數(shù)據(jù)庫(kù)系統(tǒng)的完整性、準(zhǔn)確性有著重要的作用[4]。備份數(shù)據(jù)庫(kù)的方法有很多，最常用的是以下幾種：邏輯備份、動(dòng)態(tài)備份以及靜態(tài)備份等。之后可以通過數(shù)據(jù)庫(kù)在線日志以及數(shù)據(jù)庫(kù)備份文件等來進(jìn)行數(shù)據(jù)庫(kù)的數(shù)據(jù)與信息的恢復(fù)。

3.3 審計(jì)

審計(jì)是對(duì)客戶行為進(jìn)行監(jiān)控的過程，通過審計(jì)日志記錄客戶在數(shù)據(jù)庫(kù)系統(tǒng)內(nèi)部的所有操作。如此一來，若是數(shù)據(jù)庫(kù)系統(tǒng)出現(xiàn)問題，數(shù)據(jù)庫(kù)管理系統(tǒng)可以根據(jù)審計(jì)日志，查出導(dǎo)致故障的違規(guī)操作，并找出對(duì)數(shù)據(jù)庫(kù)進(jìn)行非法操作的客戶、相對(duì)應(yīng)的時(shí)間、地點(diǎn)等信息。審計(jì)的另外一個(gè)重要功能就是有利于數(shù)據(jù)庫(kù)管理系統(tǒng)對(duì)數(shù)據(jù)庫(kù)的防護(hù)系統(tǒng)進(jìn)行排查，有助于缺口等問題的發(fā)現(xiàn)，提高了網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全性。

4 結(jié)束語

互聯(lián)網(wǎng)的不斷進(jìn)步，標(biāo)志著信息交互越來越頻繁，而網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全與否也直接關(guān)系到個(gè)人、企業(yè)、社會(huì)等的安全和發(fā)展。入侵技術(shù)也在不斷的發(fā)展，網(wǎng)絡(luò)數(shù)據(jù)庫(kù)時(shí)刻面臨著被破壞的情況，只有不斷的改進(jìn)安全防護(hù)技術(shù)，不斷進(jìn)行創(chuàng)新，才能時(shí)刻有效的對(duì)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)進(jìn)行安全防護(hù)。