張 馳 李 策 王 華

（國(guó)網(wǎng)甘肅省電力公司信息通信公司，甘肅 蘭州 730050）

計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)中存在龐大的數(shù)據(jù)資源，在網(wǎng)絡(luò)信息時(shí)代，各個(gè)行業(yè)都需要注重維護(hù)數(shù)據(jù)安全隱私。如果數(shù)據(jù)資源被破壞，將會(huì)泄漏秘密數(shù)據(jù)。為了保證計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全管理效果，我國(guó)需要優(yōu)化安全管理技術(shù)，發(fā)展和升級(jí)數(shù)據(jù)庫(kù)，使計(jì)算機(jī)用戶安全地使用網(wǎng)絡(luò)，提升計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全性。

1 計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全管理特征

1.1 安全性

在使用計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的過(guò)程中，在數(shù)據(jù)交流階段，需要采取針對(duì)性的保密措施和管理措施，預(yù)防處理可能會(huì)出現(xiàn)的問(wèn)題。數(shù)據(jù)庫(kù)中存儲(chǔ)了各種數(shù)據(jù)，為了維護(hù)用戶權(quán)益，需要完善數(shù)據(jù)庫(kù)保密方案，落實(shí)保護(hù)工作，針對(duì)重要的數(shù)據(jù)，需要加強(qiáng)落實(shí)安全維護(hù)措施。不僅要做好保密工作，更要有效開展管理工作，有效地保護(hù)用戶的數(shù)據(jù)，保障用戶的權(quán)益[1]。

1.2 完整性

將互聯(lián)網(wǎng)技術(shù)應(yīng)用到各行各業(yè)中，計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)發(fā)揮了重要的作用。在日常工作中，如果無(wú)法保證數(shù)據(jù)完整，用戶在使用數(shù)據(jù)的過(guò)程中可能會(huì)出現(xiàn)各種問(wèn)題，同時(shí)也會(huì)影響到實(shí)際應(yīng)用領(lǐng)域。在傳輸和存儲(chǔ)新數(shù)據(jù)的過(guò)程中，需要采用一致的數(shù)據(jù)管理格式。

1.3 故障處理

計(jì)算機(jī)應(yīng)用范圍的增加為人們的生活和工作提供了較大的便利，但是也隨之出現(xiàn)了各種問(wèn)題，例如病毒和黑客的出現(xiàn)，會(huì)影響到用戶計(jì)算機(jī)網(wǎng)絡(luò)的使用效果。隨著計(jì)算機(jī)網(wǎng)絡(luò)不斷發(fā)展，但是也會(huì)增加各種故障[2]。

2 計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全管理存在的問(wèn)題

2.1 外界干擾

黑客非法攻擊直接影響了計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全性，不法分子利用計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)系統(tǒng)的漏洞實(shí)施攻擊，篡改和破壞用戶重要的信息。我國(guó)網(wǎng)絡(luò)發(fā)展速度不斷提高，但是卻沒(méi)有及時(shí)更新計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)，此外一些防護(hù)人員專業(yè)水平有待提升，如果無(wú)法有效抵御計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的各種風(fēng)險(xiǎn)，將會(huì)導(dǎo)致企業(yè)承受巨大的經(jīng)濟(jì)損失[3]。

2.2 缺乏安全管理技術(shù)

利用針對(duì)性的計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全管理技術(shù)可以保障網(wǎng)絡(luò)安全性，網(wǎng)絡(luò)數(shù)據(jù)庫(kù)主要是負(fù)責(zé)存儲(chǔ)用戶信息，因此網(wǎng)絡(luò)非法攻擊的主要目標(biāo)為數(shù)據(jù)庫(kù)中的信息。網(wǎng)絡(luò)具有開放性特征，數(shù)據(jù)庫(kù)中的信息很容易被讀取，如果泄露了用戶的信息，將會(huì)影響到整個(gè)數(shù)據(jù)庫(kù)的安全性，這主要是因?yàn)槿狈ν晟频陌踩芾砑夹g(shù)。

3 計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全管理優(yōu)化策略與案例

3.1 社會(huì)工程學(xué)與物理隔離綜合防御體系構(gòu)建

為了提升計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全管理水平，需要兼顧社會(huì)工程學(xué)防御、物理防御和信息系統(tǒng)防御3 個(gè)領(lǐng)域，不能因?yàn)閭€(gè)人喜好而有所偏廢。計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)運(yùn)維管理人員需要適度抑制“重軟件研發(fā)技術(shù)、輕社會(huì)工程學(xué)”的思想，由外至內(nèi)構(gòu)建“社會(huì)工程學(xué)、物理隔離、信息技術(shù)”3層防御體系，逐層過(guò)濾潛在風(fēng)險(xiǎn)，從而提升數(shù)據(jù)庫(kù)安全管理效能。

模型[1]計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全攻擊通用策略。

以下為計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全攻擊通用策略模型[1]的3 個(gè)步驟。1）攻擊陣地構(gòu)建。攻擊者通過(guò)社會(huì)工程學(xué)手段或者純技術(shù)手段穿透外圍防御系統(tǒng)，進(jìn)而可以攻擊網(wǎng)絡(luò)系統(tǒng)并搭建攻擊陣地。2）潛入目標(biāo)數(shù)據(jù)庫(kù)。攻擊者以攻擊陣地為支點(diǎn)，對(duì)目標(biāo)數(shù)據(jù)庫(kù)關(guān)鍵信息及系統(tǒng)配置（賬號(hào)、密碼、管理權(quán)限、配置文件）進(jìn)行竊取，為發(fā)動(dòng)總攻擊準(zhǔn)備充足彈藥。3）信息竊取與破壞。攻擊者按照既定方案對(duì)目標(biāo)數(shù)據(jù)庫(kù)的信息進(jìn)行竊取與破壞，通過(guò)勒索、專賣和非法轉(zhuǎn)賬等方式攫取不正當(dāng)利益。

“模型[1]”給出了攻擊者發(fā)動(dòng)安全攻擊的通用策略，可以概括為“進(jìn)院子、搭陣地、搞破壞”3 個(gè)步驟。其中“進(jìn)院子”是非常關(guān)鍵的步驟，只有進(jìn)入可以跟目標(biāo)數(shù)據(jù)庫(kù)建立信息通道的“內(nèi)部網(wǎng)絡(luò)”當(dāng)中，才有可能發(fā)動(dòng)數(shù)據(jù)庫(kù)安全攻擊。即使是最頂級(jí)的攻擊者也無(wú)法在如下3 種情況下發(fā)起攻擊：1）目標(biāo)數(shù)據(jù)庫(kù)和攻擊者存在物理隔離。2）目標(biāo)數(shù)據(jù)庫(kù)宕機(jī)、物理鏈路斷開、斷電。3）攻擊者因?yàn)樾雄櫛┞侗黄髽I(yè)安保人員或者公安干警實(shí)施人身控制。

包括入場(chǎng)身份認(rèn)證、網(wǎng)絡(luò)規(guī)劃和實(shí)戰(zhàn)迭代3 個(gè)方面：1）入場(chǎng)身份認(rèn)證。加強(qiáng)對(duì)于進(jìn)出企業(yè)的各類人員的入場(chǎng)身份認(rèn)證管理，確保入場(chǎng)人員身份真實(shí)、信息詳細(xì)、來(lái)意明確、痕跡入庫(kù)。要求進(jìn)入企業(yè)辦公的人員出示個(gè)人身份證、工作證并拍照登記，必要時(shí)提供被訪人詳細(xì)信息并由企業(yè)內(nèi)部被訪人進(jìn)行2 次確認(rèn)。入場(chǎng)人員參與數(shù)據(jù)庫(kù)維護(hù)或者使用信息設(shè)備時(shí)，要進(jìn)行權(quán)限申請(qǐng)、身份認(rèn)證和痕跡記錄，確保所有操作可監(jiān)控、可查詢、可回退。2）網(wǎng)絡(luò)規(guī)劃。依據(jù)安全級(jí)別提前規(guī)劃多張信息網(wǎng)絡(luò)，不同級(jí)別的信息網(wǎng)絡(luò)配置不同等級(jí)的安全隔離設(shè)備。最高等級(jí)的信息內(nèi)網(wǎng)與外部網(wǎng)絡(luò)完全隔絕并切斷一切可能的信息通道，確保運(yùn)行在網(wǎng)絡(luò)上的所有資源安全可控。不同安全等級(jí)的數(shù)據(jù)庫(kù)系統(tǒng)部署在對(duì)應(yīng)的信息網(wǎng)絡(luò)上，實(shí)施分級(jí)分類管理。3）實(shí)戰(zhàn)迭代。公司內(nèi)部成立信息安全“紅藍(lán)隊(duì)”，紅隊(duì)負(fù)責(zé)對(duì)各應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和存儲(chǔ)系統(tǒng)發(fā)動(dòng)攻擊，藍(lán)隊(duì)負(fù)責(zé)進(jìn)行對(duì)應(yīng)的實(shí)時(shí)防御。紅隊(duì)和藍(lán)隊(duì)定期交流攻擊與防御的經(jīng)驗(yàn)并給出安全建議。

3.2 信息混淆與信息加密策略與應(yīng)用案例

任何文檔和數(shù)據(jù)庫(kù)如果沒(méi)有相應(yīng)的“解碼系統(tǒng)”進(jìn)行內(nèi)容解析，其使用價(jià)值就會(huì)退化為一串無(wú)意義代碼，這一基本事實(shí)也是信息混淆與信息加密技術(shù)發(fā)揮作用的現(xiàn)實(shí)支點(diǎn)。信息混淆與信息加密流程可以概括為“規(guī)則構(gòu)建、密文生成、密文解碼”3 步：1）規(guī)則構(gòu)建。加密者依據(jù)業(yè)務(wù)需求構(gòu)建一套混淆/加密規(guī)則。一般常用的混淆/加密方法有冗余碼插入、對(duì)陣加密、非對(duì)稱加密、消息摘要等。2）密文生成。使用加密規(guī)則將原始數(shù)據(jù)轉(zhuǎn)化為密文存儲(chǔ)在數(shù)據(jù)庫(kù)和文檔中。3）密文解碼。使用加密規(guī)則將密文還原為原始數(shù)據(jù)并進(jìn)行操作。

圖1 加密算法通用流程

發(fā)揮數(shù)據(jù)加密技術(shù)的作用，可以提升數(shù)據(jù)庫(kù)的防御能力，維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全性。利用數(shù)據(jù)庫(kù)加密技術(shù)，用戶需要正確利用數(shù)據(jù)庫(kù)管理模塊的特殊算法，這樣才可以查詢數(shù)據(jù)庫(kù)中的信息。在數(shù)據(jù)庫(kù)設(shè)立加密程序，可以增加入侵難度，有效優(yōu)化計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全管理技術(shù)。利用加密技術(shù)可以轉(zhuǎn)化有規(guī)則可辨和非可辨的信息，明確密保內(nèi)容的解讀。數(shù)據(jù)庫(kù)使用加密技術(shù)之后，用戶如果沒(méi)有被授權(quán)，則無(wú)法獲取加密信息，原因是由于用戶不了解解密數(shù)據(jù)信息，因此無(wú)法獲取需要的原始數(shù)據(jù)信息。如圖1 所示，需要利用加密和解密2 種方式，才可以實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)加密技術(shù)，這種技術(shù)更加先進(jìn)，主要內(nèi)容包括3個(gè)方面：轉(zhuǎn)化為可變的數(shù)據(jù)信息技術(shù)、利用密鑰解密技術(shù)、算法轉(zhuǎn)換技術(shù)等[7]。

提升計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全性不能過(guò)度依賴信息混淆與信息加密技術(shù)，過(guò)度加密會(huì)降低數(shù)據(jù)庫(kù)整體性能并造成更大的潛在風(fēng)險(xiǎn)：當(dāng)數(shù)據(jù)庫(kù)中的大部分?jǐn)?shù)據(jù)都以“密文”形式存儲(chǔ)時(shí)，一旦解密系統(tǒng)受到破壞，整個(gè)數(shù)據(jù)庫(kù)的數(shù)據(jù)將無(wú)法還原為“明文”從而造成重大的經(jīng)濟(jì)損失和工作事故。甘肅信通公司在運(yùn)維通信資源管理系統(tǒng)數(shù)據(jù)庫(kù)實(shí)踐中，逐步摸索出一整套“通信路由信息混淆與加密”方案，部分算法關(guān)鍵代碼如下[1]：

代碼[1]通信路由信息混淆與加密算法

public class Encrypt_element //加密元素形式化定義

{

String id=”元素id”；

char source=”原始字符”；

char focus=”加密后字符”；

char encrypt=”#”；

}

public static string Encrypt（string source_info）{

StringBuilder result_builder=new StringBuilder（）；

//加密字典采用“單字符映射”，以XML 形式存儲(chǔ)

//樣例格式：

List encrypt_list=

Read_encrypt_dictionary（file_path）；//讀取“加密字典”

//第一步：在source_info 中尋找“加密后字符”并處理

foreach（char source_char in source_info）{

char encrypt_char=encrypt_list[count].

source；

char focus_char= encrypt_list[count].focus；

for（int count=0；count

count++）{

if（source_char.Equals（encrypt_

char）{

//找到“待加密字符”，轉(zhuǎn)化為”#加密后字符”格式

result_builder.Append（“#”）.Append（focus_char）；

}//end if

else if（source_char.Equals（“#”）

{

//找到“通配符”，做

“重復(fù)化”處理

result_builder.Append

（“#”）.Append（“#”）；

}//end if

else{

result_builder.Append

（source_char）；//不需要加密

}

}//end foreach

}//end for

}//end Method

3.3 審計(jì)追蹤和攻擊檢測(cè)

用戶在操作計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的過(guò)程中，可以記載記錄網(wǎng)絡(luò)管理員和被操作的計(jì)算機(jī)，在相應(yīng)的文件日志中存儲(chǔ)這些記錄，幫助管理員追蹤和查閱文章內(nèi)容，全面掌握計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)工作情況，并且在設(shè)計(jì)工作中落實(shí)安全預(yù)防工作。此外在查閱其余信息的過(guò)程中也可以參考上述信息，發(fā)揮審計(jì)追蹤和攻擊檢測(cè)的作用。如果數(shù)據(jù)庫(kù)出現(xiàn)故障問(wèn)題，管理員也可以及時(shí)確定問(wèn)題，并且提出解決措施，追查出相關(guān)責(zé)任人。

4 結(jié)語(yǔ)

當(dāng)前各行各業(yè)廣泛使用計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)，突出了數(shù)據(jù)庫(kù)安全管理工作的重要性，我國(guó)需要進(jìn)一步優(yōu)化計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全管理技術(shù)，保護(hù)數(shù)據(jù)的安全性，促使網(wǎng)絡(luò)用戶安全使用計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)，避免產(chǎn)生不必要的損失。