楊微微

摘 要：數(shù)據(jù)庫(kù)作為當(dāng)下主流的通用數(shù)據(jù)處理系統(tǒng)在各行各業(yè)得到了廣泛的運(yùn)用，與此同時(shí)，數(shù)據(jù)庫(kù)的安全問(wèn)題也愈發(fā)引起人們的關(guān)注。本文首先分析了威脅數(shù)據(jù)庫(kù)安全的隱患所在，重點(diǎn)論述了數(shù)據(jù)庫(kù)網(wǎng)絡(luò)安全的防范技術(shù)。

關(guān)鍵詞：數(shù)據(jù)庫(kù)；安全防范技術(shù)；安全隱患

數(shù)據(jù)庫(kù)記錄和存放著大量的使用者的個(gè)人信息，文件和信息的泄露，客戶身份信息被盜用，勢(shì)必會(huì)損害使用者的利益，因此加強(qiáng)計(jì)算機(jī)數(shù)據(jù)庫(kù)安全防范至關(guān)重要。近期全球爆發(fā)名為“WannaCry”的 “蠕蟲(chóng)式”勒索病毒軟件，襲擊了全球多數(shù)計(jì)算機(jī)，無(wú)數(shù)資料被病毒加密鎖定，這也給數(shù)據(jù)庫(kù)安全敲響了警鐘。

時(shí)至今日，數(shù)據(jù)庫(kù)的作用已不再局限于當(dāng)初設(shè)想的存儲(chǔ)和數(shù)據(jù)管理的作用，逐漸演變?yōu)橐环N商業(yè)化的服務(wù)領(lǐng)域，使用者或企業(yè)依托數(shù)據(jù)庫(kù)服務(wù)管理企業(yè)進(jìn)行數(shù)據(jù)管理和維護(hù)，不再需要專業(yè)管理人才，減少企業(yè)資金投入的同時(shí)，數(shù)據(jù)庫(kù)的管理質(zhì)量也有了明顯的提高。而這種形式的運(yùn)營(yíng)模式離不開(kāi)網(wǎng)絡(luò)的支持，數(shù)據(jù)庫(kù)系統(tǒng)的用戶要通過(guò)網(wǎng)絡(luò)才能訪問(wèn)數(shù)據(jù)庫(kù)的數(shù)據(jù)。

縱觀當(dāng)下的網(wǎng)絡(luò)數(shù)據(jù)庫(kù)攻擊行為不難發(fā)現(xiàn)，呈現(xiàn)出如下特點(diǎn)：①攻擊行為不受地域和時(shí)間的限制；②攻擊行為富有隱蔽性，不易察覺(jué)；③攻擊的方法隱蔽且形式多樣。近12年來(lái)，發(fā)生的知名連鎖酒店房客開(kāi)房信息泄露、匯豐銀行秘密銀行賬戶文件泄漏、多省社保信息泄露等針對(duì)數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)攻擊事件暴露出威脅網(wǎng)絡(luò)數(shù)據(jù)安全的主要問(wèn)題來(lái)自于內(nèi)外兩個(gè)環(huán)節(jié)，外部手段主要是黑客攻擊、木馬病毒、釣魚(yú)網(wǎng)站、攻擊服務(wù)器等，內(nèi)部因素則是數(shù)據(jù)庫(kù)安全管理松懈、內(nèi)部員工泄密等。

1 數(shù)據(jù)安全防范的技術(shù)手段

1.1 重新架構(gòu)應(yīng)用系統(tǒng)框架

傳統(tǒng)計(jì)算機(jī)應(yīng)用系統(tǒng)兩層構(gòu)架，客戶端和服務(wù)器直接連接的模式缺乏對(duì)前端命令過(guò)濾和分析機(jī)制，因而特別容易遭受攻擊，重新架構(gòu)后的應(yīng)用系統(tǒng)由兩層架構(gòu)演變?yōu)榭蛻舳?、業(yè)務(wù)層和服務(wù)器三層架構(gòu)。重新架構(gòu)的系統(tǒng)框架，在接收命令后必須有業(yè)務(wù)層進(jìn)行分析后方才可以傳送至服務(wù)器設(shè)置在服務(wù)器前的第一道屏障。

1.2 使用JAVA語(yǔ)言編程

相較于在普通的門戶網(wǎng)站中構(gòu)架時(shí)選用的PHP或者NET語(yǔ)言，無(wú)疑JAVA在編寫時(shí)安全性更為出眾，便捷程度也更高。因?yàn)镴AVA語(yǔ)言在自身良好的多線程、跨平臺(tái)、安全性等優(yōu)點(diǎn)是其他語(yǔ)言所無(wú)法比擬的，但因?yàn)槠湫枰\(yùn)行環(huán)境支持，桌面應(yīng)用程序困難，產(chǎn)品復(fù)雜性程度高加之JAVA的向下兼容性不高，因此目前JAVA語(yǔ)言大都被用在門戶網(wǎng)站、購(gòu)物平臺(tái)、ERP系統(tǒng)尤其是金融系統(tǒng)中，未能實(shí)現(xiàn)大面積覆蓋。

1.3 構(gòu)筑安全防火墻

設(shè)置防火墻是目前最為常用數(shù)據(jù)庫(kù)安全防護(hù)技術(shù)，主要分為硬件防火墻和軟件防火墻兩種，通過(guò)防火墻的過(guò)濾，在內(nèi)外網(wǎng)間形成保護(hù)屏障，有效地限制外部用戶內(nèi)部訪問(wèn)的作用，同時(shí)還能夠很好地管理內(nèi)部用戶訪問(wèn)外部網(wǎng)絡(luò)的權(quán)限，管理信息輸入和輸出的安全性，過(guò)濾不安全信息和安全級(jí)別較低的網(wǎng)站。

1.4 入侵檢測(cè)技術(shù)

針對(duì)病毒形式的攻擊，當(dāng)防火墻無(wú)法檢測(cè)時(shí)，作為防火墻的合理補(bǔ)充的入侵檢測(cè)（IDS）便成為了最好的防御方法，其功能包括特征檢測(cè)、異常檢測(cè)，入侵行為分析和病毒記憶匯總等，作為一種主動(dòng)安全防護(hù)技術(shù)，入侵檢測(cè)對(duì)網(wǎng)內(nèi)攻擊、網(wǎng)外攻擊和誤操作等行為入侵檢測(cè)有著顯著的防御作用。當(dāng)下較為常見(jiàn)入侵檢測(cè)策略分為特征檢測(cè)（主要針對(duì)已有的入侵方法）、異常檢測(cè)和完整性分析三類。目前，對(duì)Apriori 算法進(jìn)行更新和構(gòu)建計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵行為的檢測(cè)模型是提升計(jì)算機(jī)數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)水平的主要措施。

1.5 數(shù)據(jù)庫(kù)加密

數(shù)據(jù)庫(kù)加密技術(shù)，就是采用不同手段對(duì)數(shù)據(jù)庫(kù)中儲(chǔ)存的信息及數(shù)據(jù)加密之后重新組合存儲(chǔ)，使加密后文件的形式發(fā)生轉(zhuǎn)變不易被找到。數(shù)據(jù)庫(kù)加密技術(shù)在數(shù)據(jù)庫(kù)安全技術(shù)中行之有效的方法之一。其中，設(shè)置數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限是最常用的加密方法，具有訪問(wèn)權(quán)限的用戶才能從數(shù)據(jù)庫(kù)讀取數(shù)據(jù)讀取，而只有管理員才能進(jìn)行訪問(wèn)者訪問(wèn)權(quán)限的設(shè)置。此外數(shù)據(jù)庫(kù)還設(shè)置了多種措施保護(hù)計(jì)算機(jī)的數(shù)據(jù)庫(kù)信息，包括數(shù)據(jù)庫(kù)管理系統(tǒng)在操作系統(tǒng)下的加密技術(shù)、內(nèi)核的加密技術(shù)、外層的加密技術(shù)、網(wǎng)絡(luò)數(shù)據(jù)加密（鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密）等。

2 漏洞掃描和修復(fù)技術(shù)

黑客和病毒對(duì)計(jì)算機(jī)的攻擊是無(wú)孔不入的，系統(tǒng)漏洞的存在對(duì)于網(wǎng)絡(luò)攻擊而言等于是開(kāi)了方便之門。比如此次爆發(fā)的勒索病毒就是利用的NSA發(fā)現(xiàn)的系統(tǒng)漏洞，即微軟漏洞MS17010進(jìn)行的自動(dòng)傳播，形成的蠕蟲(chóng)爆發(fā)。由于網(wǎng)絡(luò)環(huán)境的復(fù)雜多變，單純依賴網(wǎng)管的技術(shù)水平和工作經(jīng)驗(yàn)已無(wú)法應(yīng)對(duì)網(wǎng)絡(luò)安全隱患，因此需要對(duì)計(jì)算機(jī)安裝具有自動(dòng)查找安全漏洞、分析網(wǎng)絡(luò)安全掃描軟件，如360安全衛(wèi)士、瑞星、金山毒霸等。比如，針對(duì)此次的勒索病毒，360安全衛(wèi)士采取了免疫對(duì)病毒入侵點(diǎn)進(jìn)行保護(hù)，利用軟件的自動(dòng)修復(fù)功能掃描漏洞，更新安全補(bǔ)丁，關(guān)閉高危端口，降低被攻擊的可能性；采取病毒誘捕，利用陷阱文件，發(fā)現(xiàn)試圖加密或破壞文件的惡意軟件，識(shí)別出病毒行為，最后采用主動(dòng)防御手段，對(duì)可疑文件操作進(jìn)行備份、檢測(cè)和攔截，防止對(duì)文件的破壞。實(shí)現(xiàn)從預(yù)警到病毒免疫、防御、查殺和文件恢復(fù)解密等功能。

3 系統(tǒng)備份和還原技術(shù)

因?yàn)榫W(wǎng)絡(luò)攻擊和防御總是，攻擊總是先于防御。因此要保證數(shù)據(jù)庫(kù)安全，不僅要有防范技術(shù)，還要做好應(yīng)對(duì)的萬(wàn)全之策，定期做好數(shù)據(jù)庫(kù)數(shù)據(jù)的備份工作，對(duì)重要數(shù)據(jù)進(jìn)行臨時(shí)備份。數(shù)據(jù)的備份工作便于系統(tǒng)發(fā)生故障或遭受攻擊時(shí)，利用備份數(shù)據(jù)進(jìn)行還原，避免存儲(chǔ)信息的丟失或遺漏。例如，windows自帶的系統(tǒng)備份功能，Ghost工具的備份和還原功能都能在系統(tǒng)備份和還原時(shí)發(fā)揮作用。

參考文獻(xiàn)：

[1]王石光.關(guān)于計(jì)算機(jī)數(shù)據(jù)庫(kù)的安全防范技術(shù)探析[J].通訊世界，2015，8.