郭春如

摘要：在當(dāng)今信息時(shí)代，信息已經(jīng)成為人們工作生活中不可缺少的一部分。因此，用來存儲(chǔ)數(shù)據(jù)信息的數(shù)據(jù)庫安全逐步引起人們的重視。在日益開放的網(wǎng)絡(luò)社會(huì)，數(shù)據(jù)庫所面臨的問題也越來愈多，為了保護(hù)數(shù)據(jù)庫的安全，該文分析了數(shù)據(jù)庫面臨的在主要安全威脅，并探討了維護(hù)數(shù)據(jù)庫安全的策略和技術(shù)。

關(guān)鍵詞：數(shù)據(jù)庫；數(shù)據(jù)加密；網(wǎng)絡(luò)安全；數(shù)據(jù)備份

中圖分類號(hào)：TP311文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2012)23-5525-02

隨著信息價(jià)值在人們生活和企業(yè)中重要性的提升，以及互聯(lián)網(wǎng)的高速發(fā)展，因此，數(shù)據(jù)庫的安全問題變得日益突出，人們對(duì)數(shù)據(jù)庫的安全要求也越來越高。為了保護(hù)數(shù)據(jù)不受外界侵害，個(gè)人隱私的暴露，因此，將數(shù)據(jù)庫的安全與操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)結(jié)合起來考慮問題變得十分重要。

1數(shù)據(jù)庫安全的重要性

當(dāng)前計(jì)算機(jī)及網(wǎng)絡(luò)上各種信息的存儲(chǔ)和管理基本上都是由數(shù)據(jù)庫實(shí)現(xiàn)的。因此，數(shù)據(jù)庫的安全是網(wǎng)絡(luò)信息安全的基礎(chǔ)。由于數(shù)據(jù)庫安全與數(shù)據(jù)庫的使用幾乎是個(gè)矛盾體，若想為廣大合法用戶提供各種便捷的網(wǎng)絡(luò)應(yīng)用，就必須降低數(shù)據(jù)庫的復(fù)雜程度以及保密性和完整性。而要想提高數(shù)據(jù)庫的安全性，防止非法用戶入侵，竊取用戶信息，破壞用戶信息的完整性和私密性，卻要提高整個(gè)數(shù)據(jù)庫的復(fù)雜度。在當(dāng)今普遍強(qiáng)調(diào)易用性的情況下，數(shù)據(jù)庫管理人員很多時(shí)候在易用性和安全性方面，選擇了易用性。作為存儲(chǔ)企業(yè)和用戶大量具有重要信息的數(shù)據(jù)庫，一旦遭到破壞，內(nèi)部信息必然遭到損壞，各種商業(yè)機(jī)密和企業(yè)日常運(yùn)作信息可能會(huì)流入市場(chǎng)，或者遭到損害，這都將給企業(yè)帶來不可估量的損失。數(shù)據(jù)庫所承載信息的價(jià)值一般要遠(yuǎn)高于數(shù)據(jù)庫系統(tǒng)本身。也正由于這個(gè)原因，一般的企業(yè)會(huì)在數(shù)據(jù)庫建立時(shí)，選擇專業(yè)的公司進(jìn)行架設(shè)，從整體上把握信息系統(tǒng)和數(shù)據(jù)庫的安全工作，但是后期的運(yùn)作維護(hù)階段這些專業(yè)的公司的工作基本上僅限于數(shù)庫的故障維護(hù)上，然而企業(yè)的工作基本上都僅限于數(shù)據(jù)安全和系統(tǒng)維護(hù)方面。在這種情況下，一旦企業(yè)的數(shù)據(jù)庫被外界入侵，數(shù)據(jù)庫內(nèi)部的信息就會(huì)面臨著被竊取、篡改和刪除的威脅。其中如果數(shù)據(jù)庫中存儲(chǔ)的商業(yè)機(jī)密信息，若被篡改或者刪除，恢復(fù)起來也會(huì)十分困難，并會(huì)給企業(yè)帶來嚴(yán)重的損失。即使是存儲(chǔ)的是一般信息，也面臨著數(shù)據(jù)恢復(fù)的問題。

2數(shù)據(jù)庫使用安全所面臨的問題

數(shù)據(jù)庫在使用中面臨著數(shù)據(jù)庫硬件、操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)以及數(shù)據(jù)庫的加密等眾多方面的問題。

1）硬件對(duì)數(shù)據(jù)庫安全的威脅

硬件對(duì)于數(shù)據(jù)庫安全的主要影響因素包括UPS供電設(shè)備和磁盤系統(tǒng)兩個(gè)方面，其中，供電系統(tǒng)若出現(xiàn)瞬間的功率過載，則可能影響系統(tǒng)的正常運(yùn)行。若長(zhǎng)時(shí)間出現(xiàn)這種情況會(huì)對(duì)系統(tǒng)的安全造成威脅。比如長(zhǎng)時(shí)間的電壓不穩(wěn)會(huì)造成機(jī)器的頻繁重啟。數(shù)據(jù)庫存儲(chǔ)磁盤，包括兩個(gè)方面，一方面是設(shè)備的運(yùn)行損耗、存儲(chǔ)介質(zhì)失效、運(yùn)行環(huán)境以及人為的破壞等，另外一方面是一個(gè)硬盤驅(qū)動(dòng)器的物理損壞意味著數(shù)據(jù)丟失。同時(shí)安全措施還包括對(duì)數(shù)據(jù)庫系統(tǒng)硬件運(yùn)行環(huán)境的安全，只有數(shù)據(jù)庫系統(tǒng)的硬盤始終運(yùn)作在安全的環(huán)境之中，其中安全環(huán)境包括，合理的干濕度、溫度等，這些外在因素影響磁盤系統(tǒng)的讀寫能力。另外，要確保數(shù)據(jù)庫系統(tǒng)硬件不安裝運(yùn)行在地震、洪水、泥石流等地方，防止給數(shù)據(jù)庫造成物理損害。對(duì)于重要數(shù)據(jù)要做好異地備份工作。

2）計(jì)算機(jī)網(wǎng)絡(luò)方面存在的安全威脅

當(dāng)今的數(shù)據(jù)庫幾乎都接入到了互聯(lián)網(wǎng)中，然而當(dāng)今的互聯(lián)網(wǎng)危機(jī)四伏，各種各樣的病毒和木馬橫行網(wǎng)絡(luò)，病毒要想侵入到數(shù)據(jù)庫服務(wù)器必然要接入計(jì)算機(jī)網(wǎng)絡(luò)，在不同的網(wǎng)絡(luò)環(huán)境中，計(jì)算機(jī)網(wǎng)絡(luò)病毒都或多或少地存在著，感染計(jì)算機(jī)病毒而破壞計(jì)算機(jī)系統(tǒng)，會(huì)給企業(yè)造成重大經(jīng)濟(jì)損失，計(jì)算機(jī)病毒的具有強(qiáng)大的復(fù)制能力和感染性。特別是在當(dāng)今信息社會(huì)下，計(jì)算機(jī)網(wǎng)絡(luò)病毒具有更強(qiáng)的傳播性。與病毒相比，木馬具有更大的威脅，它常常隱藏在用戶的計(jì)算機(jī)系統(tǒng)中，對(duì)用戶信息進(jìn)行盜竊，餓用戶卻很難發(fā)現(xiàn)。從而嚴(yán)重影響用戶的利益。像現(xiàn)在普遍存在的一些注入性病毒，給數(shù)據(jù)庫的使用安全帶來了嚴(yán)重的威脅。

3）操作系統(tǒng)給數(shù)據(jù)庫帶來的安全威脅

當(dāng)前比較常用的數(shù)據(jù)庫系統(tǒng)有ORACLE、SyBase、MS SQL Server、MySQL、DB2等，這些數(shù)據(jù)庫系統(tǒng)有的只能運(yùn)行于Windows平臺(tái)，有的只能運(yùn)行于UNIX類平臺(tái)，有的兩者都可。不管數(shù)據(jù)庫是運(yùn)行于一種或者多種操作系統(tǒng)之上，總之它必須運(yùn)行于操作系統(tǒng)之上，然而，這也讓數(shù)據(jù)庫對(duì)計(jì)算機(jī)操作系統(tǒng)形成了一定的安全依賴性，也就是說，數(shù)據(jù)庫要保持安全的前提是計(jì)算機(jī)操作系統(tǒng)必須是安全的，操作系統(tǒng)的安全是數(shù)據(jù)庫安全的必要條件?？捎?jì)算機(jī)操作系統(tǒng)安全性讓人擔(dān)憂，不僅windows操作系統(tǒng)漏洞百出，本身結(jié)構(gòu)上存在問題，就連linux和unix也有越來越多的漏洞被發(fā)現(xiàn)。因此當(dāng)前計(jì)算機(jī)操作系統(tǒng)的安全難以讓人放心。

4）數(shù)據(jù)庫系統(tǒng)自身的配置和應(yīng)用系統(tǒng)的設(shè)計(jì)缺陷

很多用戶在默認(rèn)安裝好系統(tǒng)的數(shù)據(jù)庫之后，就立即開始使用數(shù)據(jù)庫，對(duì)數(shù)據(jù)庫系統(tǒng)所處外界環(huán)境不夠重視，對(duì)數(shù)據(jù)庫是面向內(nèi)網(wǎng)用戶還是全網(wǎng)用戶考慮的不夠充分，數(shù)據(jù)庫放在內(nèi)網(wǎng)還是以面向全網(wǎng)都沒有給予充分的考慮，對(duì)于計(jì)算機(jī)數(shù)據(jù)庫中的對(duì)外開放端口是否需要更改端口，訪問端口的密碼設(shè)置等方面等都存在著嚴(yán)重的問題。數(shù)據(jù)庫管理系統(tǒng)可以采用不同的安全設(shè)置方法,對(duì)不同的用戶設(shè)置為不同的訪問權(quán)限,同時(shí)可以定期進(jìn)行數(shù)據(jù)庫備份操作,防止由于系統(tǒng)問題導(dǎo)致的數(shù)據(jù)丟失。另外一定要做好系統(tǒng)的備份工作，否則，一旦系統(tǒng)受到攻擊或損壞，則系統(tǒng)數(shù)據(jù)很難得到快速恢復(fù)。盡管這以問題非常明顯，但是在現(xiàn)實(shí)的實(shí)踐當(dāng)中時(shí)常被人忽略。在數(shù)據(jù)庫的應(yīng)用系統(tǒng)中，尤其是一些腳本語言，基于數(shù)據(jù)庫的Web應(yīng)用給數(shù)據(jù)庫的安全帶來了嚴(yán)重的威脅。要對(duì)腳本中的一些特殊字符進(jìn)行過濾，防止惡意構(gòu)造SQL語句。

5）數(shù)據(jù)庫的加密

盡管數(shù)據(jù)庫系統(tǒng)加強(qiáng)了計(jì)算力操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等方面的工作，但是仍然不能有效的保證計(jì)算機(jī)的網(wǎng)絡(luò)安全，在2011年的中國互聯(lián)網(wǎng)用戶大規(guī)模被盜號(hào)，最后得出的最重要原因是沒有做好數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)加密工作。省去加密流程這一方面節(jié)約了成本，提高了用戶體驗(yàn)，另一方面降低了數(shù)據(jù)庫內(nèi)數(shù)據(jù)的安全性。當(dāng)前數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)是以明文的形式存儲(chǔ)的，然而如果入侵者繞過了系統(tǒng)的認(rèn)證系統(tǒng)，那么數(shù)據(jù)庫的安全將難以保證，它就可以對(duì)數(shù)據(jù)庫中的信息進(jìn)行破壞和修改。由于這種威脅更多的是來自于系統(tǒng)的內(nèi)部，因此，此時(shí)的防火墻、防入侵檢測(cè)等措施對(duì)內(nèi)部人員應(yīng)經(jīng)不起作用，因此他們可以很容易的對(duì)數(shù)據(jù)進(jìn)行破壞。

6）數(shù)據(jù)庫使用安全中的人的因素

數(shù)據(jù)庫在使用中存在著各種各樣的網(wǎng)絡(luò)安全問題，歸根結(jié)底應(yīng)該是人的原因，一方面是有關(guān)組織和企業(yè)缺乏相關(guān)的數(shù)據(jù)庫系統(tǒng)的安全實(shí)用知識(shí)，不能夠?qū)?shù)據(jù)庫系統(tǒng)進(jìn)行良好的配置，從而導(dǎo)致外來病毒和木馬的入侵，或者其它形式的入侵。另一方面表現(xiàn)在數(shù)據(jù)庫管理人員對(duì)管理的缺乏，對(duì)數(shù)據(jù)庫的安全不夠重視，往往在購買軟件時(shí)，過多的去強(qiáng)調(diào)軟件功能的強(qiáng)大，而忽略數(shù)據(jù)庫的安全性。另外，數(shù)據(jù)庫使用者也可能會(huì)修改影響系統(tǒng)運(yùn)行的參數(shù)或者誤刪除系統(tǒng)的重要文件以及沒有按照規(guī)定要求或操作不當(dāng)導(dǎo)致系統(tǒng)宕機(jī)。

3數(shù)據(jù)庫使用安全策略和技術(shù)

1）數(shù)據(jù)庫的硬件安全

由于影響數(shù)據(jù)庫的外部硬件安全包括，數(shù)據(jù)庫系統(tǒng)硬件所處地理位置、電力供應(yīng)保障、磁盤運(yùn)行環(huán)境等。對(duì)于電力供應(yīng)問題由于是小概率事件，相對(duì)來講，對(duì)數(shù)據(jù)庫服務(wù)器產(chǎn)生不利影響也較小，因此容易被人忽視，但它還是可能發(fā)生的，所以有必要防患于未然。方法也簡(jiǎn)單，為一組服務(wù)器、交換機(jī)共用一套UPS UPS即可。第二，上文提到，由于各種各樣的原因，數(shù)據(jù)庫中的磁盤的信息有可能受到損害，若采用磁盤陣列技術(shù)，則可能使服務(wù)器磁盤數(shù)據(jù)避免受損，當(dāng)前比較常用的磁盤陣列技術(shù)有RAID1和RAID5兩種規(guī)范，其中RAID1的成本較高，但它的數(shù)據(jù)安全性和可用性也是最高的，RAID5則價(jià)格更低，通過奇偶校驗(yàn)來完成數(shù)據(jù)的恢復(fù)工作。它更適用于小數(shù)據(jù)模塊和隨機(jī)讀寫的數(shù)據(jù)。對(duì)于數(shù)據(jù)庫中的重要信息要使用異地備份，雙擊容錯(cuò)的系統(tǒng)，以保證在各種天災(zāi)人禍徹底癱瘓系統(tǒng)之后，數(shù)據(jù)能夠快速的到恢復(fù)，以及災(zāi)時(shí)的數(shù)據(jù)訪問。

2）網(wǎng)絡(luò)和操作系統(tǒng)方面的安全

網(wǎng)絡(luò)安全是數(shù)據(jù)庫安全的第一屏障，為了防止外部入侵?jǐn)?shù)據(jù)庫，必須從以下三個(gè)方面保證數(shù)據(jù)庫系統(tǒng)的安全，分別是入侵檢測(cè)、防火墻、和殺毒系統(tǒng)。入侵檢測(cè)系統(tǒng)主要用于及時(shí)發(fā)現(xiàn)計(jì)算機(jī)系統(tǒng)中各種安全威脅，檢測(cè)不可信的網(wǎng)絡(luò)訪問通道，通過信息交換對(duì)入侵進(jìn)行有效監(jiān)測(cè)。防火墻是指對(duì)網(wǎng)絡(luò)之間的流動(dòng)的信息進(jìn)行檢測(cè)，防止有害信息流入，不得流出的信息流出網(wǎng)絡(luò)等。殺毒系統(tǒng)主要是為了應(yīng)對(duì)當(dāng)前橫行網(wǎng)絡(luò)的各種病毒和木馬，防止因?yàn)閿?shù)據(jù)庫系統(tǒng)中毒，而遭到不法分子的破壞。

操作系統(tǒng)方面的安全策略則主要是對(duì)自身的各種配置。主要是用來數(shù)據(jù)庫的安全和合理分配用戶的權(quán)限。為了達(dá)到以上兩個(gè)目的，計(jì)算機(jī)操作系統(tǒng)必須采用合理的安全策略和安全配置，對(duì)數(shù)據(jù)進(jìn)行加密、備份，保證數(shù)據(jù)存儲(chǔ)的安全性和傳輸?shù)陌踩浴１M管監(jiān)控程序可以對(duì)用戶登陸和密碼進(jìn)行監(jiān)控，但是如果不能對(duì)操作系統(tǒng)進(jìn)行合理的配置，很可能造成系統(tǒng)缺陷的紊亂。

3）做好管理工作，杜絕人為因素的影響

為了降低錯(cuò)誤操作給數(shù)據(jù)庫帶來的安全威脅，就必須控制數(shù)據(jù)庫管理員的數(shù)量，數(shù)據(jù)庫管理員對(duì)數(shù)據(jù)庫具有最高的權(quán)限，可以對(duì)數(shù)據(jù)庫中的信息進(jìn)行任意的更、刪、改，因此必須降低數(shù)據(jù)庫管理員用戶的數(shù)量，另外，對(duì)數(shù)據(jù)庫管理員最好有兩個(gè)人知道密碼，防止對(duì)一個(gè)管理員的依賴，防止因?yàn)閿?shù)據(jù)庫管理員的意外，導(dǎo)致整個(gè)系統(tǒng)無法使用。而對(duì)于普通用戶，只需給與其需要的最小權(quán)限即可，以保證數(shù)據(jù)庫的安全。另外，要加大數(shù)據(jù)庫管理員的素質(zhì)，防止因?yàn)榉羌夹g(shù)渠道數(shù)據(jù)庫信息的丟失。

4結(jié)束語

數(shù)據(jù)庫的使用安全工作是一個(gè)復(fù)雜的工作不僅涉及到計(jì)算機(jī)網(wǎng)絡(luò)、操作系統(tǒng)、機(jī)密系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、機(jī)密等眾多因素，還包括管理以及人員的素質(zhì)等眾多方面的因素，因此，只有管理和技術(shù)兩手抓，兩手都要硬才能實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)的使用安全。

參考文獻(xiàn)：

[1]宋志敏,南相浩.數(shù)據(jù)庫安全的研憲與進(jìn)展[J].計(jì)算機(jī)工程與應(yīng)用,2009.

[2]張卓萌.淺談?dòng)?jì)算機(jī)病毒與防治策略[J].科技促進(jìn)發(fā)展,2009(10):117.

[3]孔冬艷.基于對(duì)象關(guān)系型空間數(shù)據(jù)庫理論的GIS實(shí)現(xiàn)[D].北京:中國地質(zhì)大學(xué),2010.

[4]陳從錦,楊昱.Oracle數(shù)據(jù)庫的安全防護(hù)概述[J].中山大學(xué)學(xué)報(bào)論叢,2010(3).

[5]張華.企業(yè)數(shù)據(jù)庫安全的模糊綜合評(píng)估[J].西安文理學(xué)院學(xué)報(bào):自然科學(xué)版,2010(2).

[6]陳效軍,楊章瓊.數(shù)據(jù)庫安全概述[J].科技創(chuàng)新導(dǎo)報(bào),2008(9).