(1)環(huán)境級:對計算機系統的機房和設備加以保護,防止物理破壞。 (2)職員級:對數據庫系統工作人員,加強勞動(dòng)紀律和職業(yè)道德教育,并正確的授予其訪(fǎng)問(wèn)數據庫的權限。
(3)操作系統級:防止未經(jīng)授權的用戶(hù)從操作系統層著(zhù)手訪(fǎng)問(wèn)數據庫。 (4)網(wǎng)絡(luò )級:由于數據庫系統允許用戶(hù)通過(guò)網(wǎng)絡(luò )訪(fǎng)問(wèn),因此,網(wǎng)絡(luò )軟件內部的安全性對數據庫的安全是很重要的。
(5)數據庫系統級:檢驗用戶(hù)的身份是否合法,檢驗用戶(hù)數據庫操作權限是否正確。
本節主要討論數據庫系統級的安全性問(wèn)題。
數據庫系統中一般采用用戶(hù)標識和鑒別、存取控制、視圖以及密碼存儲等技術(shù)進(jìn)行安全控制。
安全性控制是指要盡可能地杜絕所有可能的數據庫非法訪(fǎng)問(wèn)。每種數據庫管理系統都會(huì )提供一些安全性控制方法供數據庫管理員選用,以下是常用的幾種方法。 用戶(hù)標識與鑒別 授權 視圖定義與查詢(xún)修改 數據加密 安全審計
1、網(wǎng)站服務(wù)器安全 防止服務(wù)器被黑客入侵。
首先,要選擇比較好的托管商,托管的機房很重要。現在很多服務(wù)商都在說(shuō)硬件防火墻防CC攻擊,其實(shí)一般小托管商很少具備這些配置。
機房里其他電腦的安全也是很重要的,例如現在很多攻擊方法是通過(guò)嗅探的方法得到管理密碼的,或者ARP欺騙,其最大的危害就是根本找不到服務(wù)器漏洞,卻莫名其妙地被黑了。其次,對于服務(wù)器本身,各種安全補丁一定要及時(shí)更新,把那些用不到的端口全部關(guān)閉掉,越少的服務(wù)等于越大的安全系數。
2、網(wǎng)站程序安全 程序漏洞是造成安全隱患的一大途徑。網(wǎng)站開(kāi)發(fā)人員應該在開(kāi)發(fā)網(wǎng)站的過(guò)程中注意網(wǎng)站程序各方面的安全性測試,包括在防止SQL注入、密碼加密、數據備份、使用驗證碼等方面加強安全保護措施。
3、網(wǎng)站信息安全 信息安全有多層含義。首先,最基本的是網(wǎng)站內容的合法性,網(wǎng)絡(luò )的普及也使得犯罪分子利用網(wǎng)絡(luò )傳播快捷的特性而常常發(fā)布違法、違規的信息。
要避免網(wǎng)站上出現各種違法內容、走私販毒、種族歧視及政治性錯誤傾向的言論。其次,防止網(wǎng)站信息被篡改,對于大型網(wǎng)站來(lái)說(shuō),所發(fā)布的信息影響面大,如果被不法分子篡改,,引起的負面效應會(huì )很惡劣。
輕者收到網(wǎng)監的警告,重者服務(wù)器被帶走。 4、網(wǎng)站數據安全 說(shuō)到一個(gè)網(wǎng)站的命脈,非數據庫莫屬,網(wǎng)站數據庫里面通常包含了政府網(wǎng)站的新聞、文章、注冊用戶(hù)、密碼等信息,對于一些商業(yè)、政府類(lèi)型的網(wǎng)站,里面甚至包含了重要的商業(yè)資料。
網(wǎng)站之間的競爭越來(lái)越激烈,就出現了優(yōu)部分經(jīng)營(yíng)者不正當競爭,通過(guò)黑客手段竊取數據,進(jìn)行推廣,更有黑客直接把“拿站”當做一項牟利的業(yè)務(wù)。所以,加強一個(gè)網(wǎng)站的安全性,最根本的就是保護數據庫不要被攻擊剽竊掉。
1.數據庫用戶(hù)的管理,按照數據庫系統的大小和數據庫用戶(hù)所需的工作量,具體分配數據庫用戶(hù)的數據操作權限,控制系統管理員用戶(hù)賬號的使用。
2.建立行之有效的數據庫用戶(hù)身份確認策略,數據庫用戶(hù)可以通過(guò)操作系統、網(wǎng)絡(luò )服務(wù)以及數據庫系統進(jìn)行身份確認,通過(guò)主機操作系統進(jìn)行用戶(hù)身份認證。
3.加強操作系統安全性管理,數據服務(wù)器操作系統必須使用正版軟件,同時(shí)要有防火墻的保護。
4.網(wǎng)絡(luò )端口按需開(kāi)放,根據實(shí)際需要只開(kāi)放涉及業(yè)務(wù)工作的具體網(wǎng)絡(luò )端口,屏蔽其它端口,這樣可以在較大程度上防止操作系統受入侵。
①、用戶(hù)標識和鑒別:數據庫會(huì )對用戶(hù)進(jìn)行標識,系統內部記錄所有合法用戶(hù)的標識,每次用戶(hù)要求進(jìn)入系統時(shí),由系統進(jìn)行核對通過(guò)鑒定以確定用戶(hù)的合法性。
②、存取控制:通過(guò)用戶(hù)權限定義和合法檢查確保只有合法權限的用戶(hù)訪(fǎng)問(wèn)數據庫,所有未被授權的人員無(wú)法存取數據。③、視圖機制:為不同的用戶(hù)定義視圖,通過(guò)視圖機制把要保密的數據對無(wú)權存取的用戶(hù)隱藏起來(lái),從而自動(dòng)地對數據提供一定程度的安全保護。
④、審計:建立審計日志,把用戶(hù)對數據庫的所有操作自動(dòng)記錄下來(lái)放入審計日志中,DBA可以利用審計跟蹤的信息,重現導致數據庫現有狀況的一系列事件,找出非法存取數據的人、時(shí)間和內容等。⑤、數據加密:對存儲和傳輸的數據進(jìn)行加密處理,從而使得不知道解密算法的人無(wú)法獲知數據的內容。
方法一、數據庫數據加密
數據加密可以有效防止數據庫信息失密性的有效手段。通常加密的方法有替換、置換、混合加密等。雖然通過(guò)密鑰的保護是數據庫加密技術(shù)的重要手段,但如果采用同種的密鑰來(lái)管理所有數據的話(huà),對于一些不法用戶(hù)可以采用暴力破解的方法進(jìn)行攻擊。
但通過(guò)不同版本的密鑰對不同的數據信息進(jìn)行加密處理的話(huà),可以大大提高數據庫數據的安全強度。這種方式主要的表現形式是在解密時(shí)必須對應匹配的密鑰版本,加密時(shí)就盡量的挑選最新技術(shù)的版本。
方法二、強制存取控制
為了保證數據庫系統的安全性,通常采取的是強制存取檢測方式,它是保證數據庫系統安全的重要的一環(huán)。強制存取控制是通過(guò)對每一個(gè)數據進(jìn)行嚴格的分配不同的密級,例如政府,信息部門(mén)。在強制存取控制中,DBMS所管理的全部實(shí)體被分為主體和客體兩大類(lèi)。主體是系統中的活動(dòng)實(shí)體,它不僅包括DBMS 被管理的實(shí)際用戶(hù),也包括代表用戶(hù)的各進(jìn)程。
客體是系統中的被動(dòng)實(shí)體,是受主體操縱的,包括文件、基表、索引、視圖等等。對于主體和客體,DBMS 為它們每個(gè)實(shí)例(值)指派一個(gè)敏感度標記。主客體各自被賦予相應的安全級,主體的安全級反映主體的可信度,而客體的安全級反映客體所含信息的敏感程度。對于病毒和惡意軟件的攻擊可以通過(guò)強制存取控制策略進(jìn)行防范。但強制存取控制并不能從根本上避免攻擊的問(wèn)題,但可以有從較高安全性級別程序向較低安全性級別程序進(jìn)行信息傳遞。
方法三、審計日志
審計是將用戶(hù)操作數據庫的所有記錄存儲在審計日志(Audit Log)中,它對將來(lái)出現問(wèn)題時(shí)可以方便調查和分析有重要的作用。對于系統出現問(wèn)題,可以很快得找出非法存取數據的時(shí)間、內容以及相關(guān)的人。從軟件工程的角度上看,目前通過(guò)存取控制、數據加密的方式對數據進(jìn)行保護是不夠的。因此,作為重要的補充手段,審計方式是安全的數據庫系統不可缺少的一部分,也是數據庫系統的最后一道重要的安全防線(xiàn)。
聲明:本網(wǎng)站尊重并保護知識產(chǎn)權,根據《信息網(wǎng)絡(luò )傳播權保護條例》,如果我們轉載的作品侵犯了您的權利,請在一個(gè)月內通知我們,我們會(huì )及時(shí)刪除。
蜀ICP備2020033479號-4 Copyright ? 2016 學(xué)習?shū)B(niǎo). 頁(yè)面生成時(shí)間:2.588秒