• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      微服務(wù)場景下數(shù)據(jù)庫安全研究

      2023-12-08 11:03:22碩,車堃,張濤,葉
      科技創(chuàng)新與應(yīng)用 2023年35期
      關(guān)鍵詞:數(shù)據(jù)庫安全數(shù)據(jù)庫系統(tǒng)可用性

      盛 碩,車 堃,張 濤,葉 瑩

      (1.證通股份有限公司,上海 201206;2.證券期貨行業(yè)網(wǎng)絡(luò)安全創(chuàng)新實驗室,上海 200120)

      數(shù)據(jù)庫安全是一種數(shù)據(jù)平臺共享關(guān)注點,可以防護(hù)業(yè)界惡意威脅和攻擊,應(yīng)用方向比較廣泛,主要涉及數(shù)據(jù)庫安全以及相對應(yīng)的底層環(huán)境[1-2]。所以應(yīng)該要有恰當(dāng)?shù)南到y(tǒng)理論化方法來加固數(shù)據(jù)庫軟硬件安全?;谀壳艾F(xiàn)狀,幾乎涉及全行業(yè)領(lǐng)域的組織和機構(gòu)都在使用IT,并且全部日期都被保存到了數(shù)據(jù)庫。因此,進(jìn)一步設(shè)計安全加固策略優(yōu)化數(shù)據(jù)庫安全是非常必要的。

      本文是一篇關(guān)于數(shù)據(jù)庫安全的理論性和必要的評價論文,目的是要認(rèn)識到數(shù)據(jù)庫安全本質(zhì)意義、性質(zhì)和趨勢,進(jìn)一步滿足不同類型數(shù)據(jù)庫的基本儲存機制和性能需求,同時在數(shù)據(jù)庫安全領(lǐng)域校驗不同場景下數(shù)據(jù)庫存儲形態(tài)、攻擊安全風(fēng)險等。

      1 數(shù)據(jù)庫安全

      數(shù)據(jù)庫安全是IT 安全的一個重要組成部分,其負(fù)責(zé)保護(hù)數(shù)據(jù)庫免于網(wǎng)絡(luò)等意外威脅。數(shù)據(jù)庫安全威脅破壞了對數(shù)據(jù)庫各個組件或相關(guān)分庫分表安全機制策略,最終可能對整個數(shù)據(jù)庫結(jié)構(gòu)產(chǎn)生嚴(yán)重影響。此外,數(shù)據(jù)庫安全涉及硬件、軟件程序應(yīng)用細(xì)節(jié)、人力資源和間接記錄的安全。針對不同數(shù)據(jù)格式,數(shù)據(jù)庫需要進(jìn)一步提供適當(dāng)?shù)脑L問控制機制,同時需要進(jìn)一步應(yīng)對數(shù)據(jù)庫可能遇到的盜竊和欺詐等惡意攻擊,避免失去保密性、數(shù)據(jù)隱私安全、記錄和內(nèi)容材料的可用性丟失等特性。同時應(yīng)該注意減少威脅損失,類似于破壞數(shù)據(jù)庫內(nèi)部的記錄[3-4]。圖1 簡要描述了數(shù)據(jù)庫安全領(lǐng)域涉及的安全風(fēng)險。然而,除技術(shù)細(xì)節(jié)對于數(shù)據(jù)庫加固之外,物理機房、機架、可用資源和故障工具等都會影響數(shù)據(jù)庫的安全、穩(wěn)定、吞吐率等。

      數(shù)據(jù)庫安全是信息技術(shù)安全的重要組成部分,因此數(shù)據(jù)庫安全也可以被視為一個網(wǎng)絡(luò)安全、IT 安全的子集,因此非常接近公共場景下的安全領(lǐng)域:網(wǎng)絡(luò)安全、新興云安全、新興的移動安全和應(yīng)用程序安全等。隨著數(shù)據(jù)庫的使用,各種組織和機構(gòu)發(fā)展也在不斷涌現(xiàn),伴隨而來的威脅和攻擊在威脅數(shù)據(jù)庫安全。

      2 數(shù)據(jù)庫威脅和攻擊

      如圖2 所示,通常計算機系統(tǒng)上存在著不同類型的威脅,數(shù)據(jù)庫管理系統(tǒng)(DBMS)的保護(hù)大致有:①訪問授權(quán);②訪問控制;③備份事實;④恢復(fù)事實;⑤數(shù)據(jù)完整性;⑥加密事實;⑦與RAID 相關(guān)技術(shù)。

      圖2 數(shù)據(jù)庫威脅攻擊

      因此,如圖3、圖4 所示,數(shù)據(jù)庫安全除保護(hù)數(shù)據(jù)庫表、數(shù)據(jù)屬性、數(shù)據(jù)字段之外,作為一種擴展方式,同時還關(guān)聯(lián)到機密性、完整性和可用性等。數(shù)據(jù)庫保護(hù)是需要通過以下方法來確定和測量:①黑客通過惡意攻擊未經(jīng)授權(quán)數(shù)據(jù)庫客戶端??蛻舳藢ο笊踔吝€可能包括數(shù)據(jù)庫管理員、系統(tǒng)經(jīng)理、網(wǎng)絡(luò)管理員等。②未經(jīng)授權(quán)的內(nèi)部事件機制,包括各種布局在存儲庫或數(shù)據(jù)庫分布式事物事件表等,比如數(shù)據(jù)保護(hù)配置。③惡意軟件攻擊可以在未經(jīng)授權(quán)的執(zhí)行訪問的前提下大概率刪除這些事實或程序,拒絕訪問有時可能還會發(fā)起對數(shù)據(jù)庫系統(tǒng)攻擊,并導(dǎo)致數(shù)據(jù)庫故障。④對于數(shù)據(jù)庫保護(hù)方面,一般總體性能約束的過載會導(dǎo)致數(shù)據(jù)庫系統(tǒng)中的治理安全等問題。⑤通過火災(zāi)或洪水等意外天氣引起數(shù)據(jù)庫物理服務(wù)器破壞。⑥設(shè)計缺陷,主要包括編程中的bug,還有數(shù)據(jù)庫程序停止最終導(dǎo)致事實損失,甚至能夠?qū)е抡w性能下降。⑦數(shù)據(jù)損壞,由于輸入無效事實或命令,系統(tǒng)內(nèi)部錯誤會導(dǎo)致數(shù)據(jù)庫或存儲模塊出現(xiàn)讀寫異常等問題,引起最終結(jié)果脆弱因素。⑧系統(tǒng)/數(shù)據(jù)庫恢復(fù),數(shù)據(jù)庫管理系統(tǒng)(DBMS)應(yīng)提供備份介質(zhì),以恢復(fù)所涉及數(shù)據(jù)庫表。同時備份副本也需要定期保存在一個顯著位置。⑨盡量減少未經(jīng)授權(quán)使用的數(shù)據(jù)庫系統(tǒng)通過確保類似于多因素組成的記錄管理訪問。⑩負(fù)載平衡,進(jìn)一步查找在數(shù)據(jù)庫系統(tǒng)內(nèi)部涉及關(guān)鍵身份ID,以確保數(shù)據(jù)庫負(fù)載均衡穩(wěn)定。 11系統(tǒng)物理保護(hù)(數(shù)據(jù)庫),根據(jù)不同場景下進(jìn)行區(qū)分劃分不同服務(wù)器組成。 12監(jiān)控、評價數(shù)據(jù)庫工具,這些工具可以進(jìn)行多維度攻擊因素,并成為一個關(guān)鍵問題。

      圖3 數(shù)據(jù)庫多維安全體系

      圖4 分庫分表安全拆分

      根據(jù)現(xiàn)有研究,常見地區(qū)數(shù)據(jù)庫保護(hù)問題,涉及數(shù)據(jù)庫安全管理,其中一些關(guān)鍵點如下所述。

      可用性?!翱捎眯浴币辉~討論了使用信息、并適當(dāng)準(zhǔn)確獲取信息的權(quán)利。如果聯(lián)系信息錯位,這將導(dǎo)致可用性的損失,因此級別較高的安全標(biāo)準(zhǔn)是必要的。例如,缺乏可用性會妨礙網(wǎng)絡(luò)通信效率,從而破壞控制系統(tǒng)功能,而操作員系統(tǒng)則會阻止網(wǎng)絡(luò)的可用性??捎眯怨艨赡軙で?、限制或阻礙數(shù)據(jù)傳輸。此外,智能電網(wǎng)中的可用性攻擊禁止并可能中斷授權(quán)訪問。在大規(guī)模常規(guī)電網(wǎng)中定位資產(chǎn)可用性具有挑戰(zhàn)性。ICT 被嵌入智能電網(wǎng)的信息資產(chǎn),可能受到攻擊和完全無法訪問。DoS 攻擊被稱為可用性攻擊。DoS 攻擊試圖通過阻礙、破壞或停止數(shù)據(jù)傳輸來中斷數(shù)據(jù)傳輸。這使得網(wǎng)絡(luò)源無法訪問??捎眯怨舻脑O(shè)計使用了幾種方法來均衡網(wǎng)絡(luò)負(fù)擔(dān)以確保系統(tǒng)能否正確運行。攻擊者傳輸大量的流量以壓倒網(wǎng)絡(luò)傳輸連接。此外,有效數(shù)據(jù)包將可能丟失,并且不會在網(wǎng)絡(luò)流量中進(jìn)行處理。IEC 61850 和IP/TCP 是基于IP 的協(xié)議系統(tǒng),受可用性攻擊,必須執(zhí)行SG 技術(shù)中優(yōu)先級最高的標(biāo)準(zhǔn),針對可用性攻擊進(jìn)行全面補救措施??捎玫姆椒ò髁窟^濾、大管道、氣隙網(wǎng)絡(luò)和異常檢測方法。在SG 系統(tǒng)中,DoS 的攻擊對大數(shù)據(jù)的威脅巨大;因此,將軟件解決方案集成到不同的網(wǎng)絡(luò)層中可以顯著防止DoS 的攻擊。

      完整性。在網(wǎng)絡(luò)系統(tǒng)中,完整性是保護(hù)數(shù)據(jù)防止未經(jīng)授權(quán)的修改或降級狀態(tài)的標(biāo)準(zhǔn)。當(dāng)數(shù)據(jù)存在被破壞、修改或被剝奪的可能時,會存在完整性缺失的潛在風(fēng)險。例如,SQL 注入是針對對手破壞性攻擊,攻擊者可以訪問、修改或刪除數(shù)據(jù)庫中的敏感信息,完整性威脅并不限于未經(jīng)授權(quán)的數(shù)據(jù)更改或注入。完整性攻擊包括設(shè)備模擬攻擊、稀疏攻擊和重放攻擊。通過加密技術(shù)和方法,可以防止數(shù)據(jù)完整性威脅。SQL 注入和MITM 攻擊使用數(shù)據(jù)庫操作進(jìn)一步改變、接管或破壞已授權(quán)操作。

      在應(yīng)用系統(tǒng)中,數(shù)據(jù)集中器鏈接到SMHAN,攻擊者可以使用未經(jīng)授權(quán)的數(shù)據(jù)更改或MITM 攻擊來損害SM 和數(shù)據(jù)集中器單元之間的數(shù)據(jù)傳輸完整性,導(dǎo)致攻擊安全負(fù)載的下降。

      在MITM 攻擊威脅場景下,安全網(wǎng)關(guān)支持目標(biāo)節(jié)點和源身份驗證,以及數(shù)據(jù)傳輸?shù)臋C密性。TLS 協(xié)議還包括內(nèi)置的非對稱加密特性,可以有效地發(fā)現(xiàn)和解決漏洞,以防止MITM 攻擊。通過將腳本命令插入到數(shù)據(jù)庫中,SQL 注入攻擊會試圖操作數(shù)據(jù)庫。SQL 注入攻擊會在數(shù)據(jù)庫系統(tǒng)中插入欺詐性的需求,以維護(hù)控制系統(tǒng),刪除或更改當(dāng)前信息,并插入偽造的數(shù)據(jù)。通過使用輸入類型檢查、匹配正則校驗?zāi)J?、驗證靜態(tài)代碼、對遠(yuǎn)程用戶數(shù)據(jù)庫訪問預(yù)防、動態(tài)SQL 預(yù)防和進(jìn)行漏洞掃描等技術(shù),可以減輕網(wǎng)絡(luò)系統(tǒng)中的SQL 注入攻擊。攻擊者可以使用分號等字符,因此,在類型驗證期間應(yīng)監(jiān)視和排除這些字符。其他類型的完整性攻擊包括篡改SCADA 系統(tǒng)、重放攻擊和時間同步攻擊(TSA)。為了防止上述對SG 網(wǎng)絡(luò)的完整性攻擊,使用了身份驗證方法和端到端加密建議。針對發(fā)起機密性或完整性攻擊,可以驗證攻擊者的通信網(wǎng)絡(luò)訪問和機密數(shù)據(jù)。因此,身份驗證和訪問控制是減少對通用網(wǎng)絡(luò)系統(tǒng)的完整性攻擊關(guān)鍵。

      保密性。保密性保護(hù)了對記錄的獲取和傳播的允許限制。保密標(biāo)準(zhǔn)包括防止未經(jīng)授權(quán)的個人、組織或系統(tǒng)披露或訪問專有或敏感的細(xì)節(jié)。如果信息被釋放而被剝奪了許可,保密性就會受到損害。例如,信息在客戶和多個機構(gòu)之間傳播,計量使用、計量管理和計費信息可以是私人的和保護(hù)性的;否則,客戶的信息可以被利用和更改,或其他惡意用途。機密性攻擊還會對通信網(wǎng)絡(luò)的功能產(chǎn)生負(fù)面影響。保密攻擊尋求獲取應(yīng)在受信任各方之間保密或披露的數(shù)據(jù),非法訪問設(shè)備內(nèi)存、重放攻擊、欺騙有效負(fù)載及改變軟件控制都是保密攻擊的實例。密碼攻擊通常包括社交操縱、字典攻擊、密碼嗅和密碼猜測。竊聽是一種被動攻擊,也損害了的數(shù)據(jù)保密性。在SG 網(wǎng)絡(luò)系統(tǒng)中對局域網(wǎng)(LAN)的竊聽攻擊嗅探IP 包或攔截?zé)o線傳輸,對系統(tǒng)的問責(zé)和透明度造成損害。加密保護(hù)敏感信息免受竊聽攻擊。流量分析攻擊是一種被動的保密性攻擊,通過解釋和嗅探這些消息,可以讓攻擊者圍繞網(wǎng)絡(luò)之間的通信模式獲取關(guān)鍵數(shù)據(jù)。偽裝攻擊,也被稱為模仿或身份欺騙,是其他保密攻擊。其他機密性攻擊包括未經(jīng)授權(quán)的訪問、MITM 攻擊和外部數(shù)據(jù)注入公司攻擊。針對防止保密攻擊,智能電網(wǎng)相關(guān)設(shè)備必須包括身份驗證、數(shù)據(jù)加密和對隱私協(xié)議等。

      3 數(shù)據(jù)庫安全策略

      行業(yè)領(lǐng)域各公司機構(gòu)都必須采取合規(guī)的法規(guī)標(biāo)準(zhǔn)措施,以實現(xiàn)高標(biāo)準(zhǔn)、高優(yōu)先級和適當(dāng)規(guī)模的數(shù)據(jù)庫系統(tǒng)控制。數(shù)據(jù)庫控制在保護(hù)完整的數(shù)據(jù)庫系統(tǒng)和控制方面起著重要的作用,特別是在分布式事務(wù)加鎖場景下。在數(shù)據(jù)庫管理員進(jìn)行數(shù)據(jù)庫權(quán)限加權(quán)過程中主要包括如下原則。

      1)控制對數(shù)據(jù)庫訪問權(quán)限。

      2)為消費者或用戶提供手動服務(wù)。管理適當(dāng)策略備份,比如治療記錄和內(nèi)容,以確保記錄完整性。

      3)控制記錄保護(hù)。

      4)設(shè)置記錄隱私。

      5)制定IT 規(guī)范和指南。

      此外,仔細(xì)控制對記錄的訪問,允許更好記錄保護(hù),比如敏感信息記錄等。

      4 結(jié)束語

      數(shù)據(jù)庫和主系統(tǒng)通常面臨著許多安全威脅。這些威脅在小組織中是常見的,但在大組織和機構(gòu)中,漏洞可能是非常關(guān)鍵的威脅因素,因為其保存了敏感信息和核心部門人員的使用記錄。在數(shù)據(jù)丟失的情況下,無法檢索數(shù)據(jù)庫中的核心參數(shù),因此,對于一致安全事實場景下非常重要。物理損壞也是數(shù)據(jù)庫安全的一個關(guān)鍵困難,包括人為錯誤或硬件故障等。此外,就數(shù)據(jù)庫系統(tǒng)而言,這些規(guī)范和指南還希望成為云原生場景下數(shù)據(jù)安全的廣泛依賴項。

      猜你喜歡
      數(shù)據(jù)庫安全數(shù)據(jù)庫系統(tǒng)可用性
      基于文獻(xiàn)計量學(xué)的界面設(shè)計可用性中外對比研究
      包裝工程(2023年24期)2023-12-27 09:18:26
      基于輻射傳輸模型的GOCI晨昏時段數(shù)據(jù)的可用性分析
      管理信息系統(tǒng)中數(shù)據(jù)庫安全實現(xiàn)方法
      活力(2019年21期)2019-04-01 12:16:50
      數(shù)據(jù)庫系統(tǒng)shell腳本應(yīng)用
      電子測試(2018年14期)2018-09-26 06:04:24
      微細(xì)銑削工藝數(shù)據(jù)庫系統(tǒng)設(shè)計與開發(fā)
      淺談高速公路數(shù)據(jù)庫安全審計
      實時數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)安全采集方案
      核反應(yīng)堆材料數(shù)據(jù)庫系統(tǒng)及其應(yīng)用
      高校數(shù)據(jù)庫安全技術(shù)教學(xué)實踐探索
      電子測試(2015年22期)2015-03-25 00:45:59
      空客A320模擬機FD1+2可用性的討論
      河南科技(2015年7期)2015-03-11 16:23:13
      隆子县| 桦南县| 青龙| 葵青区| 柳江县| 怀集县| 靖州| 阿鲁科尔沁旗| 上高县| 崇左市| 黄陵县| 阿拉善盟| 潜山县| 安阳县| 深圳市| 宜阳县| 监利县| 慈利县| 邛崃市| 白玉县| 洪江市| 平武县| 永州市| 惠来县| 封开县| 台湾省| 楚雄市| 鄢陵县| 嫩江县| 涞水县| 元阳县| 清丰县| 盐山县| 安顺市| 镇平县| 博白县| 珠海市| 新平| 枣庄市| 砀山县| 神池县|