自主安全防護(hù)技術(shù)在數(shù)據(jù)庫中的應(yīng)用

王航偉

摘要：這些年對于數(shù)據(jù)庫的安全防護(hù)，在防護(hù)技術(shù)方面存在功能配置方式死板、不能滿足需求等問題。為解決這些問題設(shè)計(jì)了一種能夠用于各種數(shù)據(jù)庫的自主安全防護(hù)系統(tǒng)（DSS）。利用此技術(shù)，能夠完成特定數(shù)據(jù)庫的自主安全防護(hù)，使數(shù)據(jù)庫的安全防護(hù)技術(shù)有了很大的提高。該文將針對自主安全防護(hù)技術(shù)展開系列論述，第一部分為安全防護(hù)技術(shù)的基本概述， 其次針對安全防護(hù)技術(shù)的應(yīng)用與設(shè)計(jì)進(jìn)行深度剖析，最后，通過實(shí)驗(yàn)對安全防護(hù)技術(shù)在數(shù)據(jù)庫系統(tǒng)中的具體應(yīng)用進(jìn)行探究與分析。

關(guān)鍵詞：數(shù)據(jù)庫安全；自主安全防護(hù)；訪問控制

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）05-0021-02

現(xiàn)階段，計(jì)算機(jī)技術(shù)越發(fā)成熟，人們開始廣泛使用數(shù)據(jù)庫相關(guān)的應(yīng)用系統(tǒng)。但是不斷升級(jí)的計(jì)算機(jī)病毒，甚至是黑客的攻擊 ，已經(jīng)嚴(yán)重威脅到了數(shù)據(jù)庫系統(tǒng)自身的安全。因?yàn)閿?shù)據(jù)庫的安全性得不到保證，造成客戶信息被泄露并隨之帶來相應(yīng)的財(cái)產(chǎn)和資金損失。為了全面提升數(shù)據(jù)庫的安全系數(shù)，盡可能降低其風(fēng)險(xiǎn)。國內(nèi)外各大公司陸續(xù)研發(fā)了對應(yīng)的安全防護(hù)技術(shù)。與此同時(shí) ，開發(fā)商更注重自身利益，基本不不會(huì)公開數(shù)據(jù)庫安全防護(hù)技術(shù)的核心。與此同時(shí)，這類防護(hù)技術(shù)現(xiàn)階段使用范圍局限于特定數(shù)據(jù)庫系統(tǒng)中，嚴(yán)重束縛了整個(gè)防護(hù)技術(shù)的防護(hù)范圍，也大大降低整個(gè)技術(shù)的施用過程中的靈活度，導(dǎo)致用戶無法靈活自如地選用防護(hù)系統(tǒng)。目前數(shù)據(jù)庫應(yīng)用系統(tǒng)越來越復(fù)雜 ，對相應(yīng)數(shù)據(jù)庫安全防護(hù)的功能也要求得越來越高 ，所以開發(fā)一種新的自主防護(hù)的數(shù)據(jù)庫安全防護(hù)技術(shù)也是相當(dāng)重要的。這種技術(shù)極大地提升客戶自主選擇范圍，并推動(dòng)整個(gè)數(shù)據(jù)庫系統(tǒng)形成類型豐富的安全防護(hù)。

1 自主安全防護(hù)技術(shù)概述

對數(shù)據(jù)庫的安全防護(hù)技術(shù)是相當(dāng)多的 ，它們主要用于消除數(shù)據(jù)庫系統(tǒng)使用過程中所面臨的巨大威脅?，F(xiàn)階段，我國數(shù)據(jù)庫系統(tǒng)的威脅主要表現(xiàn)為以下幾點(diǎn)：第一、訪問方式出錯(cuò)導(dǎo)致整個(gè)數(shù)據(jù)庫系統(tǒng)無法輸送正確數(shù)據(jù)；第二，數(shù)據(jù)庫遭受惡意攻擊，導(dǎo)致數(shù)據(jù)被破壞；第三，部分有訪問權(quán)限的數(shù)據(jù)庫系統(tǒng)被病毒或黑客非法入侵，導(dǎo)致數(shù)據(jù)庫中的信息被惡意修改或竊??；第四，不同的攻擊方式對數(shù)據(jù)庫系統(tǒng)的破壞等。為了盡量消除這些潛在威脅，人們不斷研發(fā)和開發(fā)數(shù)據(jù)庫防護(hù)技術(shù)，現(xiàn)階段我國開發(fā)出多種保證數(shù)據(jù)庫系統(tǒng)安全性的防護(hù)技術(shù)，主要有存取管理、安全管理和數(shù)據(jù)庫加密技術(shù)。防護(hù)技術(shù)以安全管理技術(shù)為核心，全面實(shí)現(xiàn)安全防護(hù)技術(shù)的有效聯(lián)合。安全防護(hù)技術(shù)的主要功能表現(xiàn)為方位權(quán)限設(shè)置和安全審計(jì)兩方面。訪問權(quán)限的設(shè)置主要針對數(shù)據(jù)庫外部人員獲取數(shù)據(jù)的訪問權(quán)限制。將非法訪問與非法入侵等進(jìn)行屏蔽?；趯@一安全管理技術(shù)的探究，研究者創(chuàng)立了信任管理模型、數(shù)字版權(quán)管理方式以及相關(guān)的使用控制管理模型。安全審計(jì)技術(shù)則是對數(shù)據(jù)庫傳輸數(shù)據(jù)過程中的異常現(xiàn)象進(jìn)行記錄與分析，并將接收到的異常信息進(jìn)行及時(shí)的反饋。無論從其獨(dú)立性、信息防護(hù)能力、數(shù)據(jù)全面性以及搜索查閱能力等多方面都將數(shù)據(jù)庫系統(tǒng)的審計(jì)功能做了不同程度的提高。但數(shù)據(jù)庫安全防護(hù)技術(shù)存在的使用范圍受到局限，無法滿足用戶靈活豐富的需求等缺陷。針對現(xiàn)階段數(shù)據(jù)庫系統(tǒng)的發(fā)展缺陷，推出全面通用的、能有效進(jìn)行數(shù)據(jù)庫模塊重組的靈活性安全防護(hù)模型，能規(guī)避數(shù)據(jù)庫系統(tǒng)現(xiàn)階段安全防護(hù)技術(shù)的缺陷，全面提升數(shù)據(jù)庫系統(tǒng)的安全防護(hù)系數(shù)，大大增強(qiáng)靈活性。

2 自主安全防護(hù)系統(tǒng)的設(shè)計(jì)與應(yīng)用

數(shù)據(jù)庫安全防護(hù)技術(shù)現(xiàn)主要使用安全防護(hù)系統(tǒng) DDS，它可以主動(dòng)攔截?cái)?shù)據(jù)庫的非法訪問，并自動(dòng)報(bào)警 ，將威脅的相關(guān)記錄信息反饋至數(shù)據(jù)庫系統(tǒng)中。

2.1 系統(tǒng)結(jié)構(gòu)

DDS保護(hù)數(shù)據(jù)庫時(shí)，重點(diǎn)是在訪問方式上進(jìn)行自動(dòng)分析，并且攔截非法請求。防護(hù)的核心有Sensor及其控制訪問的部件。我們想要進(jìn)入數(shù)據(jù)庫得先讓Sensor進(jìn)行檢驗(yàn)，這是檢驗(yàn)其合法性和權(quán)限問題。檢驗(yàn)完成后，自主安全防護(hù)系統(tǒng)將會(huì)形成日志記錄，方便時(shí)候進(jìn)行分析以及查詢時(shí)間等備用。單獨(dú)的功能模塊，自主安全防護(hù)系統(tǒng)還能在轉(zhuǎn)變接口是兼容不一樣的數(shù)據(jù)庫，最后可以給予對多個(gè)數(shù)據(jù)庫系統(tǒng)安全防護(hù)。然而，自主安全防護(hù)系統(tǒng)還適合可調(diào)性的訪問控制機(jī)制，客戶就能夠按照自己的要求和數(shù)據(jù)庫面臨的威脅進(jìn)行自主安全防護(hù)的選擇。這樣也能夠大大提高安全防護(hù)的效率。

2.2 系統(tǒng)實(shí)現(xiàn)

為了推動(dòng)DDS系統(tǒng)功能的最大化，必須要將系統(tǒng)中的六大核心技術(shù)和設(shè)備（系統(tǒng)數(shù)據(jù)字典設(shè)計(jì)、數(shù)據(jù)庫登錄與管理系統(tǒng)、策略制定、Sensor 監(jiān)聽器、訪問控制及日志審計(jì)。）進(jìn)行緊密的聯(lián)結(jié)與配合。Sensor 監(jiān)聽器作為數(shù)據(jù)庫系統(tǒng)的重要環(huán)節(jié)，承擔(dān)對數(shù)據(jù)庫訪問操作功能的相關(guān)控制工作與過濾。對訪問權(quán)限進(jìn)行相關(guān)控制，保證了DDS系統(tǒng)對數(shù)據(jù)庫系統(tǒng)中的相關(guān)操作進(jìn)行監(jiān)視與控制。由于非法訪問操作有時(shí)無法被察覺，DDS日記審計(jì)能有針對性地記錄相關(guān)操作并生成日志。推動(dòng)對數(shù)據(jù)庫系統(tǒng)安全的有效管理。Sensor 監(jiān)聽器根據(jù)用戶對個(gè)人信息的安全設(shè)置進(jìn)行自動(dòng)組合，生成自主靈活的安全防護(hù)模塊。

2.3 DDS 系統(tǒng)的優(yōu)點(diǎn)

單獨(dú)系統(tǒng)。DDS操作系統(tǒng)自帶數(shù)據(jù)和信息物理儲(chǔ)存是孤立在數(shù)據(jù)庫中。然而就能提高系統(tǒng)安全性，DDS系統(tǒng)程序編寫控制語句和數(shù)據(jù)庫系統(tǒng)存在差異。運(yùn)行時(shí)，只要將數(shù)據(jù)庫中編寫的語句進(jìn)行轉(zhuǎn)換就行；擁有較高的靈活性及其針對性。DDS編寫的程序具有較強(qiáng)的靈活性，在運(yùn)行的時(shí)能夠防護(hù)多個(gè)數(shù)據(jù)庫，只用更換相應(yīng)的接口就能保證成功運(yùn)行。而且，還能夠與別的數(shù)據(jù)庫、不同的防護(hù)因素和等級(jí)模塊重新組合，以便擁有更好的防護(hù)功能；自保能力優(yōu)秀。只允許安全審計(jì)員和安全管理員使用DDS控制系統(tǒng)，他們還能夠進(jìn)行DDS的防護(hù)戰(zhàn)略以及防護(hù)等別修改。不過允許使用數(shù)據(jù)庫的安全操作，并不能訪問數(shù)據(jù)。

3 實(shí)驗(yàn)及結(jié)果分析

通過DSS的開發(fā)主要是以VS 2005來實(shí)現(xiàn)，最后在完成研發(fā)后以一臺(tái)主頻為2.8 GHz和內(nèi)存2GB并且安裝Windows 2000操作系統(tǒng)的普通PC機(jī)上進(jìn)行了DSS的功能以及性能進(jìn)行了檢測，并且使用的數(shù)據(jù)庫將開源的嵌入式數(shù)據(jù)庫SQ Lite 3.6。為使檢測條件準(zhǔn)確，只要SQ Lite能夠在初始化系統(tǒng)自身中增加數(shù)據(jù)字典，并且研發(fā)相應(yīng)的應(yīng)用程序。檢測包含：登錄、用戶管理、Sensor、訪問控制、日志審計(jì)和添加DSS前后數(shù)據(jù)庫系統(tǒng)安全性變化等功能性測試以及添加DSS系統(tǒng)后對數(shù)據(jù)庫性能的影響兩個(gè)方面。檢測性能時(shí)候?qū)臅r(shí)間和資源的增多情況來檢驗(yàn)。同時(shí)，在不一樣的數(shù)據(jù)庫對象可分為五個(gè)不同的級(jí)別（20 000 ， 40 000 ， 60 000 ， 80 000 ， 100 000）的數(shù)據(jù)過程中插入以及查詢操作檢驗(yàn)。能夠完成性能對比，則SQ Lite中也增多相同的訪問以及控制功能，并且記為Inline Processing。下圖為三種方式下執(zhí)行插入操作執(zhí)行時(shí)間對比圖，結(jié)果如下：

下圖為三種方式下執(zhí)行查間操作執(zhí)行時(shí)間對比圖，測試結(jié)果如圖所示：

功能檢測結(jié)果能夠得出，DSS能夠?yàn)閿?shù)據(jù)庫系統(tǒng)給予自主防護(hù)。然而性能檢測的結(jié)果中得出，查詢操作以及插入操作消耗時(shí)間相差比較高，重點(diǎn)是SQ Lite工作形式引起的，在運(yùn)用用戶的插入操作時(shí)，數(shù)據(jù)庫會(huì)識(shí)別內(nèi)存中的數(shù)據(jù)記錄到磁盤數(shù)據(jù)庫相應(yīng)文件中，并占用一段時(shí)間。而查詢時(shí)，SQ lite給予數(shù)據(jù)庫文件中一些內(nèi)容緩存起來，從而加速查詢的時(shí)間，最后，增多DSS將對性能造成略微的影響，不過他還是能夠?qū)?shù)據(jù)庫系統(tǒng)給予自主保護(hù)。

4 結(jié)束語

DDS系統(tǒng)相比傳統(tǒng)意義上的數(shù)據(jù)庫屬性擁有更多特點(diǎn)。首先，是擁有單獨(dú)的數(shù)據(jù)庫。其次，獲得接口的信息就可以進(jìn)行數(shù)據(jù)庫的運(yùn)行，系統(tǒng)數(shù)據(jù)的物理存儲(chǔ)與數(shù)據(jù)庫沒有關(guān)聯(lián)；再次，就是具有很強(qiáng)的靈活性以及針對性，使得客戶可以按照自己的要求進(jìn)行靈活的自主選擇；最后報(bào)警功能與信息查閱功能非常完善。由上述可知，構(gòu)建的系統(tǒng)模型相對獨(dú)立，多個(gè)數(shù)據(jù)庫的安全防護(hù)集中配置，能夠滿足用戶自主選擇的要求。

參考文獻(xiàn)：

[1] 吳溥峰， 張玉清. 數(shù)據(jù)庫安全綜述[J]. 計(jì)算機(jī)工程， 2006（12）： 85-88.

[2] 臧勁松. 數(shù)據(jù)庫系統(tǒng)安全的研究與分析[J]. 計(jì)算機(jī)安全，2008（07）： 26-30.

[3] 龔媛媛. 數(shù)據(jù)庫安全威脅及數(shù)據(jù)備份回復(fù)技術(shù)研究[J]. 硅谷， 2011（6）： 118.

[4] 張敏. 數(shù)據(jù)庫安全研究現(xiàn)狀與展望[J]. 中國科學(xué)院院刊， 2011（03）： 303-309.