文｜孫飛

淺談數據庫安全技術研究及改進策略

文｜孫飛

計算機技術尤其是數據庫技術的不斷發(fā)展，不僅影響了人們的正常生活，也為社會的進步帶來了便利。與計算機技術發(fā)展同步的就是日益凸顯的數據庫安全問題，數據庫安全問題的正確防范是促進計算機順利應用的重要基礎。各種應用系統中都包含了大量的數據庫信息，如果數據庫信息被盜或者發(fā)生錯誤都將直接影響到用戶的體驗并帶來各方面的損失。因此要重視數據庫安全問題，并加強數據庫安全技術的研究。

一、數據庫安全技術問題分析

數據庫安全一直都是我時刻關注的問題，很多方面不注意都會使得數據庫陷入危險的境地，目前數據庫安全防范技術也有很多，比如流量監(jiān)控技術、加密技術、審計技術等，基于計算機技術的數據庫安全技術問題主要包括以下三個方面，這些問題也是我們加強數據庫安全研究的重要基礎。

（一）不安全的Web應用程序

近年來很多的安全編程方法得到了應用和傳播，并在數據庫安全方面發(fā)揮了重要的作用，盡管如此，目前互聯網中的Web應用程序還存在很多的漏洞，這些不安全的Web應用程序漏洞的存在給數據庫安全帶來了巨大的風險。就目前國內以及國外的整體Web應用程序現狀來看，在漏洞的修復方面仍然還有很長很長的路要走。

Litchfield作為著名的數據庫安全研究人員，他認為當前的漏洞修復進展還是比較緩慢的，而且隨著計算機技術和程序的發(fā)展，很多以前的漏洞修復工具已經失去了原有的價值，而很多時候都以“無法驗證輸入”而告終，因此要求安全技術研究人員要能夠不斷更新漏洞修復系統。再加上當前很多程序開發(fā)人才的培養(yǎng)還存在一定的限制，很多剛畢業(yè)的大學生進入企業(yè)或政府部門就開始計算機編程工作，但在安全編程方面還存在欠缺。

（二）泛濫的數據庫系統特權賬戶

由于互聯網自身的特性，使得很多的企業(yè)以及政府部門（以下簡稱單位）的身份認證和管理都處于一個自動化的過程，并不能夠要求每時每刻都有專門人員進行看管，當然這也是互聯網技術的一方面優(yōu)勢。每一個單位都擁有自己的數據庫系統，各單位會根據自身的需要設定身份認證要求并進行周期管理，一般情況下這些都是通過共享賬戶或者服務賬戶來完成，賬戶認證和賬戶管理配合來實現對數據庫的管理。

在各單位的數據庫管理過程中，由于管理模式的限制，很多時候除了IT管理員以外，單位內的很多其他員工也具有系統賬戶的權限，這樣在訪問控制以及監(jiān)控過程中就容易出現漏洞，內部其他人員權限的濫用以及安全管理方面的缺失都會給外部攻擊創(chuàng)造可能，影響了數據庫安全。

（三）錯誤配置的網絡分段

目前很多方面認為網絡分段之后再進行風險控制可以收到良好的效果，并能夠將風險控制在一定的范圍之內，這種網絡分段式的數據庫安全防范也被應用到了很多高價值數據庫的管理中，但是這種方式也存在一定的弊端和問題，比如分段控制之后配置不當的話，會對防火墻的安全性能帶來隱患，并給攻擊方面帶來可能性，很容易導致數據庫受侵。Kevin Beaver是Principle Logic公司的創(chuàng)始人，該公司主要研究安全網絡和數據庫安全評估。從該公司的評估結果可以看出，很多單位由于錯誤配置網絡分段導致的錯誤信息非常多，這使得整個數據庫系統的安全也會受到影響。

二、數據庫安全系統的構建和優(yōu)化

從數據庫安全角度來看，數據庫系統的安全不僅和自身的系統安全系數有著很大關系，同時也和網絡運行環(huán)境、管理人員以及運行模式等存在著緊密的聯系，因此我們可以簡單的將數據庫系統的安全防范分為以下三個層次：網絡系統層次；宿主操作系統層次；數據庫管理系統層次。這三個層次是數據庫廣義方面的系統安全防范角度，同時也是和數據庫安全聯系最為密切的三個方面，從內部到外部的共同安全管理來保證系統的安全性能。

（一）網絡系統層次安全技術

數據庫系統是網絡運行的重要基礎，而網絡又是數據庫受到威脅的重要途徑，因此保證數據庫系統的安全也應從網絡系統的安全入手，進一步加強網絡安全保護?；ヂ摼W不僅給社會的發(fā)展和人們的生活創(chuàng)造了更便利的條件，同時也一度成為很多企業(yè)業(yè)務拓展的方向，成為很多政府部門對外宣傳及提高辦事效率的工具，很多單位在網絡數據庫和自身產品的基礎上，為用戶提供了更多網絡產品，不僅滿足了用戶的更多需要，同時也是實現自身創(chuàng)新發(fā)展的重要途徑。而這一切都是建立在網絡系統的基礎之上的，網絡系統是數據庫的外部基礎，也是數據庫安全的重要保障。正常情況下，用戶通過網絡系統才可以實現對數據庫的訪問，并應用數據庫。因此，保障數據庫安全的第一步就是要拓展和應用網絡系統層次的安全技術。

網絡系統是數據庫的外部屏障，當外界攻擊數據庫的時候，第一要攻擊的就是網絡系統，目前通過網絡入侵實現對整個數據庫系統的破壞已經非常常見，這種網絡攻擊具有以下幾個方面的特點：一是不受時間或者空間的限制，很多的跨國或者跨界攻擊也都不受限制；二是一些網絡攻擊會隱蔽在一些正常網絡活動中，因此不容易被發(fā)現，進而對主體進行攻擊。三是在隱蔽性的基礎上更具復雜性和多樣性。當然，網絡攻擊和網絡威脅的種類有很多，比如一些木馬病毒、數據盜取、惡意攻擊等，隨著網絡技術的發(fā)展，安全問題也呈現出更加多樣性的發(fā)展趨勢，這些威脅一旦產生影響，其后果都是非常嚴重的，因此必須對這些威脅進行控制和防范，以下將從三個方面對于數據庫安全技術進行分析。

1. 防火墻技術

防火墻技術是目前數據庫安全防范的基本技術之一，也是重要的技術之一。防火墻是保護網絡系統的最外層保護網，是審核網絡信任的必要通道，防火墻可以將一些不可信的網絡屏蔽在外，對于非法訪問或者不能通過驗證的訪問會進行屏蔽和攔截，進而保證信息流的安全性。但是防火墻技術對于內部的非法操作是無法進行控制的，對于內部信息的外泄也是無法攔截的，因此這種數據庫安全技術具有一定的局限性，還不能根據信息流的源頭和流向進行適時調整，在智能化控制方面還需要進行有效的加強。目前防火墻技術主要包括數據包過濾器、代理和狀態(tài)分析三種，目前在具體的實踐中，為了提高防火墻技術的效果，會根據實際需求將這三種防火墻技術進行混用。

2. 入侵檢測技術

入侵檢測是近些年發(fā)展而來的一種新的數據庫安全技術，是在統計分析、網絡通信以及密碼安全等技術基礎上發(fā)展而來的新技術，該技術主要注重事后的檢測和控制，最大的作用就是對于計算機系統和數據庫系統進行全面的入侵檢測，一旦發(fā)現一場就會進行分析和監(jiān)控，為應對和防范惡性攻擊提供理論基礎。隨著數據庫安全技術的發(fā)展，IDS系統已經成為了數據庫安全系統的重要方面。入侵檢測技術主要分為簽名分析、統計分析和數據完整性分析三個方面，通過幾方面的協同作用，對整個數據庫系統進行實時的監(jiān)測，一旦遭受到攻擊和入侵都會進行提示 ，以此來提高系統整體的安全性。

3. 協作式入侵監(jiān)測技術

入侵監(jiān)測技術可以對于整個數據庫系統的入侵行為進行監(jiān)測和處理，但是由于單獨系統的單一性，還需要加強協同作用，建立專門的協作式入侵監(jiān)測系統進行完善和支持，這不僅可以進一步完善入侵監(jiān)測系統，同時也可以提高監(jiān)測范圍，對于一切的入侵行為進行更快和高有效的打擊。協作式入侵監(jiān)測技術應用范圍進一步擴大，它適應于多種網絡環(huán)境。

（二）宿主操作系統層次安全技術

為了有效的加強數據庫系統的安全，網絡管理員還需要根據系統的具體需求和常見的數據庫安全問題制定相應的安全管理策略。由于每個數據庫系統運行的網絡環(huán)境存在一定的差異性，因此所采取的安全管理方法也要具有一定的針對性，最終目的都是為了提高系統的安全性，并能夠保證權限分配的合理性。

操作系統安全策略用于配置本地計算機的安全設置，包括密碼策略、賬戶鎖定策略、審核策略、IP安全策略、用戶權利指派、加密數據的恢復代理以及其它安全選項。具體可以體現在用戶賬戶、口令、訪問權限、審計等方面。

◆用戶賬戶：用戶訪問系統的“身份證”，只有合法用戶才有賬戶。

◆口令：用戶的口令為用戶訪問系統提供一道驗證。

◆訪問權限：規(guī)定用戶的權限。

◆審計：對用戶的行為進行跟蹤和記錄，便于系統管理員分析系統的訪問情況以及事后的追查使用。

（三）數據庫管理系統層次安全技術

當前很多的數據庫管理都是采用關系式數據庫管理，這種數據庫管理方式具有一定的漏洞和風險，在關系處理之間容易給外部的攻擊行為創(chuàng)造條件。如果數據庫受到攻擊，入侵者會借助OS工具對于數據庫內容進行偽造和盜取，這種篡改是不容易發(fā)現的，而這種攻擊性行為對于安全技術的要求也更高。根據數據庫系統的層次性再進行逐個層次的加密管理，這可以提高系統保護的全面性。對于數據庫系統進行分層次的安全保護，以下從三個方面進行相應的介紹和分析。

1.在OS層加密

由于在數據庫的OS層不能夠對于數據關系進行分析和辨別，因此并不能根據數據信息產生相應的秘鑰，所以數據的管理和秘鑰的產生都比較困難，因此目前的OS層加密還停留在小型數據庫方面，對于大型數據庫的OS層加密技術還具有一定的難度。

2.在DBMS內核層實現加密

物理存儲是數據庫存儲的重要方面，在數據庫進行物理存儲之前會對數據進行DBMS內核層加密。這種加密形式一般具有很強的功能性，而且整個加密過程也不對DBMS的功能產生影響，同時這種加密也可以實現和整體數據庫系統的完美耦合，提高系統安全性。但是這種加密大大增加了系統的運載負荷，同時這種加密也需要開發(fā)特定的端口和服務器，需要資本的投入和開發(fā)商的支持。

◆定義加密要求工具；

◆DBMS；

◆數據庫應用系統；

◆加密器（軟件或硬件）。

3.在DBMS外層實現加密

DBMS外層加密相比內核加密更簡單，只需要根據數據庫系統制作相應的外層加密工具就可以完成。

◆定義加密要求工具加密器；

◆軟件或硬件；

◆DBMS；

◆數據庫應用系統。

三、結束語

數據庫是一個龐大的信息系統，其中包含著大量的數據信息，也正是由于這個原因使得數據庫系統安全問題備受關注。當數據庫受到外來安全攻擊的時候，如果不能夠及時有效的對攻擊進行預防和防范，就會造成數據的丟失、損壞以及被非法修改等，這些都是當前的數據庫安全技術需要進行完善的方面。如今網絡技術已經融入到人們生活的方方面面，各方面也應該加強研究和投入，持續(xù)保證數據庫的安全。

作者單位：國家海洋局秦皇島海洋環(huán)境監(jiān)測中心站