基于Web的MIS中的数据库安全性策略.docVIP

基于Web的MIS中的数据库安全性策略张少敏 王保义华北电力大学　河北保定 071003 ??? 近年来，随着Internet的普及，世界范围内Internet/Intranet环境逐渐形成，Web正改变着企业应用系统开发实施的方法。所有这一切都归功于Internet技术，如TCP／IP、HTTP、HTML等的基本原则简明、开放和可适应性。它们的开放性的设计已成为全球研究和开发产品的成就。??? Web是Internet上的一个服务，可以用来把文档很方便地链接在一起。通过这样的链接 ，用户能够迅速确定所需文档的位置，浏览时从一个文档跳转到另一个文档，同时可以访问存储在数据库中的数据。基于Web的应用具有以下优点：开放分布体系，可以让用户透明地应用由不同运行平台组成的异构型计算机资源 ；框架结构能以不变应万变；??? (3) 可使开发人员能按需要选择各种各样的软件和工具来实现各种应用和服务，并把注意力从用户界面细节问题转移到核心的问题上去。总之，基于Web的应用具有良好的开放性，资源共享，协议通用，互联方便，但同时也带来了严重的安全性问题，即网络用户有对内部系统的访问权。最终用户所能看到的一个完整的在浏览器上表达的主页，我们称之为一个节点(Node)。在系统中同一节点上各种资源的权限域可能不同。有时网页发布者并不希望自己的某些信息被所有人共享，而只提供给那些被授权的用户。在开发基于Web的管理信息系统时，这是必然要遇到的问题。作者在开发基于Web的应用时，对其安全性进行了研究，考虑了防火墙技术、Web服务器安全技术 、主机安全防卫等因素外，也系统考虑了数据库安全策略。 1 MIS方案及数据库的选择 ??? 目前有多种Internet/Intranet应用方案，采用的Web与数据库接口技术有CGI、JDBC、ASP等。然而，这些Web应用方式都是按自身提供的编程体系编写脚本，未能很好地继承管理信息系统开发工具本身的强大功能，比较适合于数据处理量不多的情况，如信息查询类的逻辑处理。而PowerBuilder是功能强大的开发客户机／服务器方式MIS的开发工具，在PowerBuilder6.0／6.5版本中，也提供了对Internet/Intranet解决方案的支持，鉴于此，作者在实践中对PowerBuilder的Internet/Intranet解决方案进行了探索。本应用选用Oracle数据库。Oracle是世界上第一个以SQL语言为基础的关系数据库，从1979年问世，到1997年Oracle8的发表，美国Oracle公司一直致力于信息管理现代化技术及产品的开发，使Oracle在数据库技术领域创造了许多第一，它的销量及普及程度名列世界前茅。Oracle实际上成了大型数据库管理系统的标准。所以本方案选用了它。 2 数据库安全性策略 ??? 数据库安全是指保护数据以防止不合法的使用所造成的数据泄露、更改或破坏。计算机系统都有这个问题。在数据库系统中，大量数据集中存放，为许多用户所共享，使安全性问题更为突出。2.1 数据库的安全分类??? 数据库安全分为两类：系统安全性和数据安全性。??? (1) 系统安全性是指在系统级控制数据库的存取和使用的机制，包含：??? ·有效的用户名／口令的组合；一个用户是否授权可连接数据库；用户对象可用的磁盘空间的数量；用户的资源限制；用户可执行哪些操作等。??? (2) 数据安全性是指在对象级控制数据库的存取和使用的机制，包含：哪些用户可存取一指定的模式对象及在对象上允许做哪些类型操作。在Oracle服务器上提供了一种任意存取控制，是一种基于权限(privilege)限制信息存取的方法，用户要存取一对象必须有相应的特权授给该用户，已授权的用户可任意地将它授权给其他用户，由于这个原因，这种安全性类型叫做任意型(discretionary)。2.2 安全性建立??? Oracle利用数据库用户和模式、权限、角色(role)、存储设置和空间份额等机制管理数据库安全性。2.2.1 用户建立使用多种不同的机制管理数据库安全性，其中有模式和用户两种机制。模式(schema)为模式对象的集合，模式对象如表、视图、聚集、过程和包等。每一数据库有一组模式。每一Oracle数据库有一合法的用户(user)，可存取一数据库，可运行一数据库应用和使用该用户名连接到定义该用户的数据库，当建立一数据库用户时，对该用户建立一个相应的模式，模式名与用户名相同，一旦用户连接到一数据库，该用户就可存取相应模式中的全部对象，一个用户仅与同名的模式相联系，所以用户和模式是类似的。用户的存取权利受用户安全域(users security domain)的设置所控制，在建立一个数据库的新用户或更改一已有用户时，安全管理员(secu