防范安全隐患 网络数据库安全隐患及防范策略探讨

防范安全隐患 网络数据库安全隐患及防范策略探讨,第1张

中图分类号:TN91508 文献标识码:A摘 要:随着信息技术的飞速发展,网络技术和数据技术日渐成熟,21世纪计算机网络的运行速度越来越快,高速的网络也逐渐走向商业、家庭。由于信息在当今人类的经济、军事、生活等方面越来越重要,信息的安全也渐渐被人们所重视。因此网络数据库的安全问题是目前网络信息安全的重点之一,网络环境下数据库数据被盗、丢失使得网络环境下数据库安全性研究极为重要。本文详细论述网络环境下数据库将面临的安全威胁,从数据库安全的基础概念着手,让大家知道提高数据库的安全策略是什么,做好哪些防范才能使数据库安全。

关键词:网络环境 数据库安全 威胁 策略

一、网络数据库的含义

将海量数据汇集,且按照规格有组织的整理好,存储在计算机的硬盘上面,方便人们查找使用数据集合称为“数据库”。我们所说的数据有数字、文字、图形、图像、声音、符号、文件、档案等一切描述事物的符号记录。而在开放式的网络中数据具有共享性,我们需要把数据与资源共享两种方式融合在一起那就是我们所说的“网络数据库”,它是需要后台数据库加上前台程序,然后通过浏览器将数据储存、查询等一系列 *** 作的系统。网络数据库的设计是根据数据棋型来设计的数据库,它在关系数据库的基础上面集合网络技术、存储技术、检索技术为一体的新型数据库,它使web数据库的应用成为网络信息时代的一大亮点。目前网络数据库在信息检索、电子商务、网上医疗、网络数字图书馆等多个领域得到了广泛的使用。其重要性也被越来越多的人所重视。

二、网络数据库的安全知识与安全机制

数据库的安全简单说是指保证数据库的正常运作,不被非授权用户非法使用、**、修改以及破坏数据。在现实 *** 作中网络管理员一般会忽略服务器端的安全设置,而是把问题抛给程序开发者来处理。数据库安全主要包括三个方面:互联网系统安全、 *** 作系统安全、数据库管理系统安全等三个方面。

(一)互联网系统安全机制

Intemet系统安全是数据库第一道保障,一般的入侵都是从网络系统开始的。但是现在互联网系统面临着木马程序的攻击、网络犯罪欺骗、网络非法入侵与网络病毒等威胁。这些威胁都有可能使信息系统的完整性、秘密性、可信性遭到破坏。从技术角度来说预防互联网系统安全的技术有很多种:如防火墙它是目前应用广泛的一种防御方式;防病毒软件它可以使网络数据库免受木马病毒的攻击,现在市面上的防病毒软件有瑞星、360、诺顿等;入侵检查它是专门为保护计算机系统安全而配置的以及能及时发现威胁并报告威胁的一种技术,其可以时时监控系统是否有被入侵,并能主动的实施安全防御并且保护系统。

(二) *** 作系统安全机制

现在很多企业家庭大多都用Windows的 *** 作系统,这个系统本身就有缺陷、安全配置、网络病毒等三个方面的威胁。但是这些威胁可以通过人工 *** 作来避免。网络管理员必须定期对 *** 作系统进行升级更新,合理化安全配置以及病毒扫描,这样能及时发现 *** 作系统的漏洞并且能及时制定修补计划。

(三)数据库管理系统安全机制

数据库管理系统它都是采用多个不同的安全设置方法与用户设置做为不同的访问权限,而且可以定期进行数据备份,以防系统出问题造成数据丢失。数据安全可以分为:数据加密、数据备份与恢复、数据存储的安全性、数据传输的安全性、数据存取权限等等。数据库管理系统又分为两部分:一个是数据库,存储数据信息的仓库;另一个是数据库管理系统,它不但可以给用户与应用程序提供数据访问,而且也具有管理数据库、数据库维护等工作的能力。数据库与它的管理系统在整个网络环境中,做为信息数据储存和处理访问的重要工作地必须具有以下能力:数据库的保密性、数据库的完整性、数据库的一致性、数据库的可用性、数据库的跟踪性。

三、数据库的安全威胁

网络数据库的安全意义是保护网络中数据库信息的保密性、完整性、一致性、可用性。保护网络数据库的安全我们需要保护其系统中的数据信息不被恶意破坏、修改、泄漏。一般保护数据库安全的技术有:授权控制、身份辨别、数据库安全审计等等。我们只要做好防范有很多威胁是可以避免的,数据库在网络环境中面临的威胁有以下几点:

1软件环境出现意外,如系统崩溃软件不能运行;硬件环境受损,如电缆接口断裂、硬盘不能启动、磁盘损坏等。

2病毒入侵严重的可以导致系统崩溃,进一步破坏数据。

3数据库被不正确访问,引发数据库中数据的错误。

4未授权访问数据库,**数据库中数据信息。

5未授权修改数据库中数据,使数据真实性丢失。

6通过非正常路径对数据库进行攻击。

7人为的破坏,管理员 *** 作不当使数据丢失。

四、数据库常用安全技术

网络由于其开放性,它绝对没有安全存在,我们可以通过安全管理减少很多不必要的损失。从保护数据库的安全出发,可从数据库管理系统去考虑问题。保证数据库安全的技术主要有:用户身份认证、权限访问控制、信息流控制、数据库加密、数据库安全审计、防火墙等。

(一)数据库的物理安全

物理安全是保证数据库安全的基本。它重点指保护数据库服务器、存放数据库的环境与网络等物理安全。一般指连接服务器的网络电线与放置交换机的环境是否安全,避免自然灾害的侵袭如:雷击、火灾、洪水、电压是否稳定等等物理问题。

(二)用户身份认证

用户身份认证是系统提供的第一道安全保护闸门。每一次用户进入数据库时系统都会提示身份验证,用户只能输入正确的命令才能进入,身份信息如不正确会发出警告。这样可以防止非授权用户进入数据库对数据信息造成破坏、**等行为。目前使用最多的身份验证手段是设置用户名与密码。但是也有更高级别的验证方法正在迅速发展起来如:智能IC卡、指纹、人脸等强度高的认证技术。用户身份的识别只能通过数据库授权与验证才能知道是否为合法的用户。

(三)访问控制技术

所谓的访问控制是指已经进入系统的用户,数据库管理系统内部这些用户进行访问权限的控制,是防止系统安全漏洞的一种保护方法,也是其核心技术。访问控制就是控制数据库可以被哪些用户访问,不被哪些用户访问。只有被授权的用户才能对数据库的数据进行读、写、删、查。一般授权有:按功能模块来授权用户、赋予用户数据库系统权限等两种。用户访问控制是数据库安全技术中最有效的方法,也是目前人们用的最多的一种技术。

(四)数据加密处理

数据库系统提供的一系列安全措施是可以满足数据库的日常应用,但如果数据比较敏感、重要,像公司的财务数据、军事数据、国家机密、以及个人隐私等这些数据,采用以上所述的几种安全措施是不够的,为了数据的保密性一般都会使用数据加密技术,增加数据储存的安全性。根据网络数据的共享性这一特点,我们可以采用公开密钥的加密办法,这种加密办法可以经受住来自 *** 作系统和DBMS的攻击,但是它的缺点是只能加密数据库中的部分数据,但这也足够机密数据进行数据加密保护。

(五)数据备份与恢复

软硬件的故障我们不能百分百的保证,因此数据库备份是很有必要的。如果数据库被入侵、被病毒破坏、以及发生自燃灾害、盗窃等情况数据就会丢失造成损失,但是如果我们做好了数据备份并且在短时间内恢复好数据库,那么造成的影响应该会很小。因此定期做好数据备份、对数据库进行安全管理是保护数据库的手段之一。备份数据库的方法有:静态、动态、逻辑备份三种,还可以采用磁盘镜像、数据备份文件、数据库在线日志来恢复数据库。保证网络环境下数据库安全的前提是要做好防范工作,防御能力提高了才能抵制外来的侵袭

五、结束语

计算机和网络已经成为人类工作和生活的一部分,在计算机 *** 作系统、网络协议、数据库中安全问题是一直备受关注的问题之一。随着网络技术的发展,在网络环境中数据库需求越来越大,然而数据库的安全问题也备受人们关注。在信息技术高速发展的当今社会各个行业都把数据信息储存在数据库系统中,这使得数据库安全显得尤为重要。通过上述文章的详解,有一点大家应该知道,那就是做好防御工作是有备无患的明智之举。在做预防工作之前最好是先了解一下数据库安全性方面的知识,以免进入 *** 作误区。

数据库安全性问题一直是围绕着数据库管理员的恶梦,数据库数据的丢失

以及数据库被非法用户的侵入使得数据库管理员身心疲惫不堪。本文围绕数据

库的安全性问题提出了一些安全性策略,希望对数据库管理员有所帮助,不再

夜夜恶梦。数据库安全性问题应包括两个部分:

一、数据库数据的安全

它应能确保当数据库系统DownTime时,当数据库数据存储媒体被破

坏时以及当数据库用户误 *** 作时,数据库数据信息不至于丢失。

二、数据库系统不被非法用户侵入

它应尽可能地堵住潜在的各种漏洞,防止非法用户利用它们侵入数据

库系统。

对于数据库数据的安全问题,数据库管理员可以参考有关系统双机

热备份功能以及数据库的备份和恢复的资料。

以下就数据库系统不被非法用户侵入这个问题作进一步的阐述。

组和安全性:

在 *** 作系统下建立用户组也是保证数据库安全性的一种有效方法。

Oracle程序为了安全性目的一般分为两类:一类所有的用户都可执行,

另一类只DBA可执行。在Unix环境下组设置的配置文件是/etc/group,

关于这个文件如何配置,请参阅Unix的有关手册,以下是保证安全性的

几种方法:

(1) 在安装Oracle Server前,创建数据库管理员组(DBA)而且

分配root和Oracle软件拥有者的用户ID给这个组。DBA能执

行的程序只有710权限。在安装过程中SQLDBA系统权限命令

被自动分配给DBA组。

(2) 允许一部分Unix用户有限制地访问Oracle服务器系统,增加

一个由授权用户组的Oracle组,确保给Oracle服务器实用例

程Oracle组ID,公用的可执行程序,比如SQLPlus,SQLFo

rms等,应该可被这组执行,然后该这个实用例程的权限为

710,它将允许同组的用户执行,而其他用户不能。

(3) 改那些不会影响数据库安全性的程序的权限为711。

注:在我们的系统中为了安装和调试的方便,Oracle数据库中

的两个具有DBA权限的用户Sys和System的缺省密码是manager。

为了您数据库系统的安全,我们强烈建议您该掉这两个用户的

密码,具体 *** 作如下:

在SQLDBA下键入:

alter user sys indentified by password;

alter user system indentified by password;

其中password为您为用户设置的密码。

Oracle服务器实用例程的安全性:

以下是保护Oracle服务器不被非法用户使用的几条建议:

(1) 确保$ORACLE_HOME/bin目录下的所有程序的拥有权归Oracle

软件拥有者所有;

(2) 给所有用户实用便程(sqiplus,sqiforms,exp,imp等)711权

限,使服务器上所有的用户都可访问Oracle服务器;

(3) 给所有的DBA实用例程(比如SQLDBA)700权限。Oracle服务器

和Unix组当访问本地的服务器时,您可以通过在 *** 作系统下把

Oracle服务器的角色映射到Unix的组的方式来使用Unix管理服

务器的安全性,这种方法适应于本地访问。

在Unix中指定Oracle服务器角色的格式如下:

ora_sid_role[_dla]

其中

sid 是您Oracle数据库的oracle_sid;

role 是Oracle服务器中角色的名字;

d (可选)表示这个角色是缺省值;

a (可选)表示这个角色带有WITH ADMIN选项,

您只可以把这个角色授予其他角色,不能是其他用户。

以下是在/etc/group文件中设置的例子:

ora_test_osoper_d:NONE:1:jim,narry,scott

ora_test_osdba_a:NONE:3:pat

ora_test_role1:NONE:4:bob,jane,tom,mary,jim

bin: NONE:5:root,oracle,dba

root:NONE:7:root

词组“ora_test_osoper_d”表示组的名字;词组“NONE”表示这

个组的密码;数字1表示这个组的ID;接下来的是这个组的成员。前两

行是Oracle服务器角色的例子,使用test作为sid,osoper和osdba作

为Oracle服务器角色的名字。osoper是分配给用户的缺省角色,osdba

带有WITH ADMIN选项。为了使这些数据库角色起作用,您必须shutdown

您的数据库系统,设置Oracle数据库参数文件initORACLE_SIDora中

os_roles参数为True,然后重新启动您的数据库。如果您想让这些角色

有connect internal权限,运行orapwd为这些角色设置密码。当您尝

试connect internal时,您键入的密码表示了角色所对应的权限。

SQLDBA命令的安全性:

如果您没有SQLPLUS应用程序,您也可以使用SQLDBA作SQL查权

限相关的命令只能分配给Oracle软件拥有者和DBA组的用户,因为这些

命令被授予了特殊的系统权限。

(1) startup

(2) shutdown

(3) connect internal

数据库文件的安全性:

Oracle软件的拥有者应该这些数据库文件

($ORACLE_HOME/dbs/dbf)设置这些文件的使用权限为0600:文件的

拥有者可读可写,同组的和其他组的用户没有写的权限。

Oracle软件的拥有者应该拥有包含数据库文件的目录,为了增加

安全性,建议收回同组和其他组用户对这些文件的可读权限。

网络安全性:

当处理网络安全性时,以下是额外要考虑的几个问题。

(1) 在网络上使用密码

在网上的远端用户可以通过加密或不加密方式键入密码,

当您用不加密方式键入密码时,您的密码很有可能被非法用

户截获,导致破坏了系统的安全性。

(2) 网络上的DBA权限控制

您可以通过下列两种方式对网络上的DBA权限进行控制:

A 设置成拒绝远程DBA访问;

B 通过orapwd给DBA设置特殊的密码。

建立安全性策略:

系统安全性策略

(1) 管理数据库用户

数据库用户是访问Oracle数据库信息的途径,因此,

应该很好地维护管理数据库用户的安全性。按照数据库系统

的大小和管理数据库用户所需的工作量,数据库安全性管理

者可能只是拥有create,alter,或drop数据库用户的一个

特殊用户,或者是拥有这些权限的一组用户,应注意的是,只

有那些值得信任的个人才应该有管理数据库用户的权限。

(2) 用户身份确认

数据库用户可以通过 *** 作系统,网络服务,或数据库进行

身份确认,通过主机 *** 作系统进行用户身份认证的优点有:

A 用户能更快,更方便地联入数据库;

B 通过 *** 作系统对用户身份确认进行集中控制:如果 *** 作

系统与数据库用户信息一致,那么Oracle无须存储和管

理用户名以及密码;

C 用户进入数据库和 *** 作系统审计信息一致。

(3) *** 作系统安全性

A 数据库管理员必须有create和delete文件的 *** 作系统权限;

B 一般数据库用户不应该有create或delete与数据库相关文

件的 *** 作系统权限;

C 如果 *** 作系统能为数据库用户分配角色,那么安全性管理者

必须有修改 *** 作系统帐户安全性区域的 *** 作系统权限。

数据的安全性策略:

数据的生考虑应基于数据的重要性。如果数据不是很重要,那么数

据的安全性策略可以稍稍放松一些。然而,如果数据很重要,那么应该

有一谨慎的安全性策略,用它来维护对数据对象访问的有效控制。

用户安全性策略:

(1) 一般用户的安全性

A 密码的安全性

如果用户是通过数据库进行用户身份的确认,那么建议

使用密码加密的方式与数据库进行连接。这种方式的设置方

法如下:

在客户端的oracleini文件中设置

ora_encrypt_login数为true;

在服务器端的initORACLE_SIDora文件中设置

dbling_encypt_login参数为true。

B 权限管理

对于那些用户很多,应用程序和数据对象很丰富的数据

库,应充分利用“角色”这个机制所带的方便性对权限进行

有效管理。对于复杂的系统环境,“角色”能大大地简化权

限的管理。

(2) 终端用户的安全性

您必须针对终端用户制定安全性策略。例如,对于一个有

很多用户的大规模数据库,安全性管理者可以决定用户组分类,

为这些用户组创建用户角色,把所需的权限和应用程序角色授

予每一个用户角色,以及为用户分配相应的用户角色。当处理

特殊的应用要求时,安全性管理者也必须明确地把一些特定的

权限要求授予给用户。您可以使用“角色”对终端用户进行权

限管理。

数据库管理者安全性策略:

(1) 保护作为sys和system用户的连接

当数据库创建好以后,立即更改有管理权限的sys和system用

户的密码,防止非法用户访问数据库。当作为sys和system用户

连入数据库后,用户有强大的权限用各种方式对数据库进行改动。

(2) 保护管理者与数据库的连接

应该只有数据库管理者能用管理权限连入数据库,当以sysdba

或startup,shutdown,和recover或数据库对象(例如create,

drop,和delete等)进行没有任何限制的 *** 作。

(3) 使用角色对管理者权限进行管理

应用程序开发者的安全性策略:

(1) 应用程序开发者和他们的权限

数据库应用程序开发者是唯一一类需要特殊权限组完成自己

工作的数据库用户。开发者需要诸如create table,create

procedure等系统权限,然而,为了限制开发者对数据库的 *** 作,

只应该把一些特定的系统权限授予开发者。

(2) 应用程序开发者的环境

A 程序开发者不应与终端用户竞争数据库资源;

B 用程序开发者不能损害数据库其他应用产品。

(3) free和controlled应用程序开发

应用程序开发者有一下两种权限:

A free development

应用程序开发者允许创建新的模式对象,包括table,index,

procedure,package等,它允许应用程序开发者开发独立于其

他对象的应用程序。

B controlled development

应用程序开发者不允许创建新的模式对象。所有需要table,

indes procedure等都由数据库管理者创建,它保证了数据

库管理者能完全控制数据空间的使用以及访问数据库信息的

途径。但有时应用程序开发者也需这两种权限的混和。

(4) 应用程序开发者的角色和权限

数据库安全性管理者能创建角色来管理典型的应用程序开

发者的权限要求。

A create系统权限常常授予给应用程序开发者,以到于

他们能创建他的数据对象。

B 数据对象角色几乎不会授予给应用程序开发者使用的

角色。

(5) 加强应用程序开发者的空间限制

作为数据库安全性管理者,您应该特别地为每个应用程

序开发者设置以下的一些限制:

A 开发者可以创建table或index的表空间;

B 在每一个表空间中,开发者所拥有的空间份额。应用程

序管理者的安全在有许多数据库应用程序的数据库系统

中,您可能需要一应用程序管理者,应用程序管理者应

负责以下的任务:

C 为每一个应用程序创建角色以及管理每一个应用程序

的角色;

D 创建和管理数据库应用程序使用的数据对象;

E 需要的话,维护和更新应用程序代码和Oracle的存储

过程和程序包。

数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。

安全性问题不是数据库系统所独有的,所有计算机系统都有这个问题。只是在数据库系统中大量数据集中存放,而且为许多最终用户直接共享,从而使安全性问题更为突出。 系统安全保护措施是否有效是数据库系统的主要指标之一。 数据库的安全性和计算机系统的安全性,包括 *** 作系统、网络系统的安全性是紧密联系、相互支持的。

实现数据库安全性控制的常用方法和技术有:

(1)用户标识和鉴别:该方法由系统提供一定的方式让用户标识自己咱勺名字或身份。每次用户要求进入系统时,由系统进行核对,通过鉴定后才提供系统的使用权。

(2)存取控制:通过用户权限定义和合法权检查确保只有合法权限的用户访问数据库,所有未被授权的人员无法存取数据。例如C2级中的自主存取控制(I)AC),Bl级中的强制存取控制(M.AC)。

(3)视图机制:为不同的用户定义视图,通过视图机制把要保密的数据对无权存取的用户隐藏起来,从而自动地对数据提供一定程度的安全保护。

(4)审计:建立审计日志,把用户对数据库的所有 *** 作自动记录下来放人审计日志中,DBA可以利用审计跟踪的信息,重现导致数据库现有状况的一系列事件,找出非法存取数据的人、时间和内容等。

(5)数据加密:对存储和传输的数据进行加密处理,从而使得不知道解密算法的人无法获知数据的内容。

解决生产区数据安全问题的方法 1、数据库及应用程序的安全保证 在保障数据库和应用程序的安全方面,应采用相关数据存到同一用户,相关用户对应于相应表空间,执行统一的安全管理规定,口令定期更改的原则。针对数据库DBA的权限过高的特点,除对其有所限制外,还可采取多人按职责分类监管的措施,有针对性的加强对其 *** 作的审计,并特别针对这部分有价值日志进行保护。 在一些生产系统中,权限的设置和安全控制都主要依赖于应用程序,特别是在将权限控制功能嵌套在应用程序中的系统,应采用权限管理以功能模块为单位的策略,对应用程序的调用过程,应有专人进行研究、测试及审核,发现问题及时更改。对所建立账户、密码在应用程序中的加密算法及核对过程也应进行研究和控制。 2、主机和存储系统的安全保障措施 在重要数据管理系统中,为保证业务的连续性和数据安全,系统数据库主机应配备双机系统,采用集群或主、备形式进行搭配。在存储以及主机与存储的连接设计上,应采用了双通道卡、双光纤交换机的设置,以使其可靠性更高。 3、确保数据备份的可靠性和可用性 因为数据备份对保证数据安全非常重要,所以要制定好备份策略,例如可采用日增量、周全备等方式进行备份策略的安排。另外,在采用传统磁带库设备进行备份的同时,还可在每日夜间进行一次数据下卸,第二天由存储阵列导入活动硬盘中,相当于每日增加了一个全备份,而该备份又不同于磁带,这种双重备份形式可使数据备份及保存更为可靠。 对重要数据备份介质的存放,必须考虑周全,除在机房介质间存放一份,进行每日更换外,还应在本地其他地方存放一份,至少每周更换一次,甚至应选择到外地再存放一份,并进行每月或每季度的更换,以防地域性灾难对备份数据的破坏。 数据备份是否成功,必须经回装测试来进行验证。在一个系统中最好设置有与生产系统主机、存储及数据库基本相同或类似的测试系统,进行定期的和当系统有较大变化时的数据回装测试,以验证备份数据的有效性。 4、网络安全措施 一个结构清晰且配置合理的网络,对网络及数据安全非常重要。结构清晰,指对网络实施按区域的划分和管理,并使网络具有从主干到局部都结构清晰、配置方便的特点,以使查找网络故障快捷。网络配置合理,指网络设备配置和IP地址配置的合理。例如主干网可采用A类、局域网采用C类私有地址,再做细致划分时,对每个单位所分配的地址个数,最好都做细致测算,并按实际需求进行分配,这样不仅节省了IP资源,而且可在一定程度上使网络安全性得以提高。 重要环节的网络系统最好具有双线路,并由两家运营商独立提供,其中一条作为备份线路,以提高网络对业务连续性的支持。 5、提高数据交换环节的安全性

以上就是关于防范安全隐患 网络数据库安全隐患及防范策略探讨全部的内容,包括:防范安全隐患 网络数据库安全隐患及防范策略探讨、如何保证oracle数据库的安全性、什么是数据库的安全性等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/sjk/9835192.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-05-02
下一篇 2023-05-02

发表评论

登录后才能评论

评论列表(0条)

保存