有效保障数据库安全的措施分析.docVIP

有效保障数据库安全的措施分析 　　摘 要：目前，数据库已经普及到各行各业，存储着大量信息，其安全性一直是研究的热点。随着商业运营的多样化，数据库中的信息需求量越来越多，一旦数据库的信息泄漏，将造成不可挽回的损失。如何保障数据库中的重要信息不被窃取，保证数据库应用最大化，是当前计算机应用中急需解决的问题。 　　关键词：数据库；安全措施 　　中图分类号：TP309.2 　　1 什么是数据库安全 　　1.1 数据库安全。有关数据库安全的研究最早在二十世纪七十年代。数据库安全主要是指数据库中的信息禁止未授权的读取、修改或是恶意入侵。数据库安全主要体现在三点：只有被授权的用户可以修改数据库；只有被授权的用户可以存取数据库信息；用户在使用数据库前，需要得到权限。数据库的威胁主要是逻辑威胁，其次是物理上的。目前流行的安全模型是访问控制模型，另一种是使用控制模型。不过，这些模型虽然有数据库系统在中间控制，但是未授权用户可能绕过数据库系统，直接威胁到数据库安全。 　　1.2 数据库系统安全层面。数据库安全措施可以从几个层面来看：（1）物理层。物理层为了不让数据链路层感觉到硬件设备和传输设备的差异，对这些差异进行最大的屏蔽。因此，数据链路层会直接完成本层的协议和服务，不用考虑其他；（2）操作系统层。操作系统的安全和稳定关系到数据库系统的日常运行。如果操作系统漏洞，会导致不法分子从这个弱点对数据进行攻击。因此，系统更新是数据库管理员必须时刻关注的；（2）网络层。网络是用户访问数据库的主要途径。很多应用程序或软件通过网络对信息系统进行破坏。因此，保证系统网络安全是不可忽视的。 　　2 数据库安全现状 　　2.1 管理存在问题。管理人员专业知识不够、不能随及时获取新信息，对日常维护懈怠，操作过程中不认真，很容易导致数据库安全事故的发生。在日常使用安全系统的过程中，不仅要对数据库的访问权限进行限制，减少攻击次数，还要及时更新系统补丁。就大量调查得出，很少有管理员按照规章及时为数据库系统修复补丁。如果没有及时修复补丁，会大大增加因为系统漏洞而造成的安全事故。同时，用户过于简单的账号和密码容易被不法分子盗取，使数据库遭到攻击破坏，造成损失。 　　2.2 数据库安全面临的威胁。信息系统越来越智能化，人参与的信息处理过程越来越少，导致人员的安全意识降低。由于人员安全意识淡薄，使非法攻击和错误操作等行为威胁到数据库的安全。因为信息操作系统受到技术限制，存在许多漏洞，容易被木马病毒等攻击。同时，物理设备所处的环境安全也是不容忽视的。信息储存在物理设备上，如果没有物理设备，信息也不会存在。用户在使用一些不适当的应用程序时，这些应用程序会使用篡改、窃取、伪造等各种攻击手段攻击信息系统，使数据泄漏或者失效。 　　信息安全组织也是维护信息安全的重要保障，但是，如果信息安全组织不能迅速地调动各个方面的资源，同时对信息安全管理没有实行有效的维护，使有效的管理体系无法建立。这些漏洞会给信息造成一定的威胁。如果没有合理的信息安全策略和政策，人为地滥用、误用物理设备，极其容易产生漏洞，使信息系统的信息面临威胁。 　　3 有效保证数据安全的技术及策略 　　3.1 用户身份认证。被授权的用户在进入数据库前，必须要进行身份验证。合法用户仅有一个身份标识。当用户需要进入数据库发出请求时，服务器端会验证其合法身份，通过系统验证的用户才能进入数据库。最简单的身份认证是口令认证，通过验证账户和密码是否匹配进行判断。但是一旦口令泄漏或是服务器遭到口令猜测攻击，很容易让非法用户以合法身份进入。因此，通常服务器会将口令加密进行传输，系统保存的也是加密的口令，可以起到防范作用。 　　3.2 访问控制。访问控制是现在数据库安全构建的有机组成之一。访问控制限制被授权用户的权限，只能操作权限允许内的数据。访问控制模型有以下四种：（1）自主控制模型。在授权用户时，系统会根据用户权限为用户定义，允许用户操作被授权的数据，甚至可以授权其他用户一定的权限；（2）强制控制模型。系统会根据命令将所有数据设置不同的密级，用户也被授予一定的级别的许可证，用户只能操作这一级别的数据；（3）角色控制模型。所有用户是角色的一员。系统会根据角色的职责设置权限。用户只能使用相应角色的权限；（4）使用控制模型。使用控制模型由八部分组成。其中，对象提供主体需要的访问资源，但主体使用对象时需要权限。系统访问决策过程中需要主体属性和对象属性；授权指根据访问对象的权限是否允许访问当前对象；条件指主体在一定环境时，申请对象的使用权限时需要完成的认证行为。 　　3.3 数据加密。数据加密是为了防止整个系统遭到攻击被破坏时，重要的加密数据也能保存下来，并且不被串改。数据加密也是为了防止一些被授权用户因为私利窃取重要信