关键词:网络环境 数据库安全 威胁 策略
一、网络数据库的含义
将海量数据汇集,且按照规格有组织的整理好,存储在计算机的硬盘上面,方便人们查找使用数据集合称为“数据库”。我们所说的数据有数字、文字、图形、图像、声音、符号、文件、档案等一切描述事物的符号记录。而在开放式的网络中数据具有共享性,我们需要把数据与资源共享两种方式融合在一起那就是我们所说的“网络数据库”,它是需要后台数据库加上前台程序,然后通过浏览器将数据储存、查询等一系列 *** 作的系统。网络数据库的设计是根据数据棋型来设计的数据库,它在关系数据库的基础上面集合网络技术、存储技术、检索技术为一体的新型数据库,它使web数据库的应用成为网络信息时代的一大亮点。目前网络数据库在信息检索、电子商务、网上医疗、网络数字图书馆等多个领域得到了广泛的使用。其重要性也被越来越多的人所重视。
二、网络数据库的安全知识与安全机制
数据库的安全简单说是指保证数据库的正常运作,不被非授权用户非法使用、、修改以及破坏数据。在现实 *** 作中网络管理员一般会忽略服务器端的安全设置,而是把问题抛给程序开发者来处理。数据库安全主要包括三个方面:互联网系统安全、 *** 作系统安全、数据库管理系统安全等三个方面。
(一)互联网系统安全机制
Intemet系统安全是数据库第一道保障,一般的入侵都是从网络系统开始的。但是现在互联网系统面临着木马程序的攻击、网络犯罪欺骗、网络非法入侵与网络病毒等威胁。这些威胁都有可能使信息系统的完整性、秘密性、可信性遭到破坏。从技术角度来说预防互联网系统安全的技术有很多种:如防火墙它是目前应用广泛的一种防御方式;防病毒软件它可以使网络数据库免受木马病毒的攻击,现在市面上的防病毒软件有瑞星、360、诺顿等;入侵检查它是专门为保护计算机系统安全而配置的以及能及时发现威胁并报告威胁的一种技术,其可以时时监控系统是否有被入侵,并能主动的实施安全防御并且保护系统。
(二) *** 作系统安全机制
现在很多企业家庭大多都用Windows的 *** 作系统,这个系统本身就有缺陷、安全配置、网络病毒等三个方面的威胁。但是这些威胁可以通过人工 *** 作来避免。网络管理员必须定期对 *** 作系统进行升级更新,合理化安全配置以及病毒扫描,这样能及时发现 *** 作系统的漏洞并且能及时制定修补计划。
(三)数据库管理系统安全机制
数据库管理系统它都是采用多个不同的安全设置方法与用户设置做为不同的访问权限,而且可以定期进行数据备份,以防系统出问题造成数据丢失。数据安全可以分为:数据加密、数据备份与恢复、数据存储的安全性、数据传输的安全性、数据存取权限等等。数据库管理系统又分为两部分:一个是数据库,存储数据信息的仓库;另一个是数据库管理系统,它不但可以给用户与应用程序提供数据访问,而且也具有管理数据库、数据库维护等工作的能力。数据库与它的管理系统在整个网络环境中,做为信息数据储存和处理访问的重要工作地必须具有以下能力:数据库的保密性、数据库的完整性、数据库的一致性、数据库的可用性、数据库的跟踪性。
三、数据库的安全威胁
网络数据库的安全意义是保护网络中数据库信息的保密性、完整性、一致性、可用性。保护网络数据库的安全我们需要保护其系统中的数据信息不被恶意破坏、修改、泄漏。一般保护数据库安全的技术有:授权控制、身份辨别、数据库安全审计等等。我们只要做好防范有很多威胁是可以避免的,数据库在网络环境中面临的威胁有以下几点:
1软件环境出现意外,如系统崩溃软件不能运行;硬件环境受损,如电缆接口断裂、硬盘不能启动、磁盘损坏等。
2病毒入侵严重的可以导致系统崩溃,进一步破坏数据。
3数据库被不正确访问,引发数据库中数据的错误。
4未授权访问数据库,数据库中数据信息。
5未授权修改数据库中数据,使数据真实性丢失。
6通过非正常路径对数据库进行攻击。
7人为的破坏,管理员 *** 作不当使数据丢失。
四、数据库常用安全技术
网络由于其开放性,它绝对没有安全存在,我们可以通过安全管理减少很多不必要的损失。从保护数据库的安全出发,可从数据库管理系统去考虑问题。保证数据库安全的技术主要有:用户身份认证、权限访问控制、信息流控制、数据库加密、数据库安全审计、防火墙等。
(一)数据库的物理安全
物理安全是保证数据库安全的基本。它重点指保护数据库服务器、存放数据库的环境与网络等物理安全。一般指连接服务器的网络电线与放置交换机的环境是否安全,避免自然灾害的侵袭如:雷击、火灾、洪水、电压是否稳定等等物理问题。
(二)用户身份认证
用户身份认证是系统提供的第一道安全保护闸门。每一次用户进入数据库时系统都会提示身份验证,用户只能输入正确的命令才能进入,身份信息如不正确会发出警告。这样可以防止非授权用户进入数据库对数据信息造成破坏、等行为。目前使用最多的身份验证手段是设置用户名与密码。但是也有更高级别的验证方法正在迅速发展起来如:智能IC卡、指纹、人脸等强度高的认证技术。用户身份的识别只能通过数据库授权与验证才能知道是否为合法的用户。
(三)访问控制技术
所谓的访问控制是指已经进入系统的用户,数据库管理系统内部这些用户进行访问权限的控制,是防止系统安全漏洞的一种保护方法,也是其核心技术。访问控制就是控制数据库可以被哪些用户访问,不被哪些用户访问。只有被授权的用户才能对数据库的数据进行读、写、删、查。一般授权有:按功能模块来授权用户、赋予用户数据库系统权限等两种。用户访问控制是数据库安全技术中最有效的方法,也是目前人们用的最多的一种技术。
(四)数据加密处理
数据库系统提供的一系列安全措施是可以满足数据库的日常应用,但如果数据比较敏感、重要,像公司的财务数据、军事数据、国家机密、以及个人隐私等这些数据,采用以上所述的几种安全措施是不够的,为了数据的保密性一般都会使用数据加密技术,增加数据储存的安全性。根据网络数据的共享性这一特点,我们可以采用公开密钥的加密办法,这种加密办法可以经受住来自 *** 作系统和DBMS的攻击,但是它的缺点是只能加密数据库中的部分数据,但这也足够机密数据进行数据加密保护。
(五)数据备份与恢复
软硬件的故障我们不能百分百的保证,因此数据库备份是很有必要的。如果数据库被入侵、被病毒破坏、以及发生自燃灾害、盗窃等情况数据就会丢失造成损失,但是如果我们做好了数据备份并且在短时间内恢复好数据库,那么造成的影响应该会很小。因此定期做好数据备份、对数据库进行安全管理是保护数据库的手段之一。备份数据库的方法有:静态、动态、逻辑备份三种,还可以采用磁盘镜像、数据备份文件、数据库在线日志来恢复数据库。保证网络环境下数据库安全的前提是要做好防范工作,防御能力提高了才能抵制外来的侵袭
五、结束语
计算机和网络已经成为人类工作和生活的一部分,在计算机 *** 作系统、网络协议、数据库中安全问题是一直备受关注的问题之一。随着网络技术的发展,在网络环境中数据库需求越来越大,然而数据库的安全问题也备受人们关注。在信息技术高速发展的当今社会各个行业都把数据信息储存在数据库系统中,这使得数据库安全显得尤为重要。通过上述文章的详解,有一点大家应该知道,那就是做好防御工作是有备无患的明智之举。在做预防工作之前最好是先了解一下数据库安全性方面的知识,以免进入 *** 作误区。1 使用NTFS文件系统,以便对文件和目录进行管理。
2 关闭默认共享
打开注册表编辑器,展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”项,添加键值AutoShareServer,类型为REG_DWORD,值为0。 这样就可以彻底关闭“默认共享”。
3 修改共享权限
建立新的共享后立即修改Everyone的缺省权限,不让Web服务器访问者得到不必要的权限。
4 为系统管理员账号更名,避免非法用户攻击。
鼠标右击[我的电脑]→[管理]→启动“计算机管理”程序,在“本地用户和组”中,鼠标右击“管理员账号(Administrator)”→选择“重命名”,将管理员账号修改为一个很普通的用户名。
5 禁用TCP/IP 上的NetBIOS
鼠标右击桌面上[网络邻居] →[属性] →[本地连接] →[属性],打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)]→[属性]→[高级]→[WINS],选中下侧的“禁用TCP/IP上的NetBIOS”一项即可解除TCP/IP上的NetBIOS。
6 TCP/IP上对进站连接进行控制
鼠标右击桌面上[网络邻居] →[属性] →[本地连接] →[属性],打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)]→[属性]→[高级]→[选项], 在列表中单击选中“TCP/IP筛选”选项。单击[属性]按钮,选择“只允许”,再单击[添加]按钮(如图1),只填入80端口。
7 修改注册表,减小拒绝服务攻击的风险。
打开注册表:将HKLM\System\
CurrentControlSet\Services\Tcpip\Parameters下的SynAttackProtect的值修改为2,使连接对超时的响应更快。
保证IIS自身的安全性
IIS安全安装
要构建一个安全的IIS服务器,必须从安装时就充分考虑安全问题。
1 不要将IIS安装在系统分区上。
2 修改IIS的安装默认路径。
3 打上Windows和IIS的最新补丁。
IIS的安全配置
1 删除不必要的虚拟目录
IIS安装完成后在>但是,安全问题也一直伴随在FTP左右。如何防止攻击者通过非法手段窃取FTP服务器中的重要信息;如何防止攻击者利用FTP服务器来传播木马与病毒等等。这些都是系统管理员所需要关注的问题。这次我就已Linux *** 作系统平台上使用的最广泛的VSFTP为例,谈谈如何来提高FTP服务器的安全性。一、禁止系统级别用户来登录FTP服务器为了提高FTP服务器的安全,系统管理员最好能够为员工设置单独的FTP帐号,而不要把系统级别的用户给普通用户来使用,这会带来很大的安全隐患。在VSFTP服务器中,可以通过配置文件vsftpdftpusers来管理登陆帐户。不过这个帐户是一个黑名单,列入这个帐户的人员将无法利用其帐户来登录FTP服务器。部署好VSFTP服务器后,我们可以利用vi命令来查看这个配置文件,发现其已经有了许多默认的帐户。其中,系统的超级用户root也在其中。可见出于安全的考虑,VSFTP服务器默认情况下就是禁止root帐户登陆FTP服务器的。如果系统管理员想让root等系统帐户登陆到FTP服务器,则知需要在这个配置文件中将root等相关的用户名删除即可。不过允许系统帐户登录FTP服务器,会对其安全造成负面的影响,为此我不建议系统管理员这么做。对于这个文件中相关的系统帐户管理员最好一个都不要改,保留这些帐号的设置。如果出于其他的原因,需要把另外一些帐户也禁用掉,则可以把帐户名字加入到这个文件中即可。如在服务器上可能同时部署了FTP服务器与数据库服务器。那么为了安全起见,把数据库管理员的帐户列入到这个黑名单,是一个不错的做法。匿名用户是指那些在FTP服务器中没有定义相关的帐户,而FTP系统管理员为了便于管理,仍然需要他们进行登陆。但是他们毕竟没有取得服务器的授权,为了提高服务器的安全性,必须要对他们的权限进行限制。在VSFTP服务器上也有很多参数可以用来控制匿名用户的权限。系统管理员需要根据FTP服务器的安全级别,来做好相关的配置工作。需要说明的是,匿名用户的权限控制的越严格,FTP服务器的安全性越高,但是同时用户访问的便利性也会降低。故最终系统管理员还是需要在服务器安全性与便利性上取得一个均衡。一是参数anon_world_readable_only。这个参数主要用来控制匿名用户是否可以从FTP服务器上下载可阅读的文件。如果FTP服务器部署在企业内部,主要供企业内部员工使用的话,则最好把这个参数设置为YES。然后把一些企业常用表格等等可以公开的文件放置在上面,让员工在匿名的情况下也可以下载这些文件。这即不会影响到FTP服务器的安全,而且也有利于其他员工 *** 作的便利性上。二是参数anon_upload_enable。这个参数表示匿名用户能否在匿名访问的情况下向FTP服务器上传文件。通常情况下,应该把这个参数设置为No。即在匿名访问时不允许用户上传文件。否则的话,随便哪个人都可以上传文件的话,那对方若上传一个病毒文件,那企业不是要遭殃了。故应该禁止匿名用户上传文件。但是这也有例外。如有些企业通过FTP协议来备份文件。此时如果企业网络的安全性有所保障的话,可以把这个参数设置为YES,即允许 *** 作系统调用FTP命令往FTP服务器上备份文件。在这种情况下,为了简化备份程序的部署,往往采用匿名访问。故需要在FTP服务器上允许匿名用户上传文件。三是参数anon_other_write_enable与参数anon_mkdir_write_enable。这两个参数主要涉及到匿名用户的一些比较高级的权限。如第一个参数表示匿名用户具有上传和建立子目录之外的权限,如可以更改FTP服务器上文件的名字等等。而第二个参数则表示匿名用户可以在特定的情况下建立子目录。这些功能都会影响到FTP服务器的安全与文件的安全。为此除非有特别需要的原因,否则的话都应该把这些权限禁用掉。即把这些参数的值设置为NO。我认为,除非FTP服务器是系统管理员拿来玩玩的,可以开启这些参数。否则的话,还是把这些参数设置为NO为好,以提高FTP服务器的安全。三、做好目录的控制通常情况下,系统管理员需要为每个不同的用户设置不同的根目录。而为安全起见,不让不同用户之间进行相互的干扰,则系统管理员需要设置不让用户可以访问其他用户的根目录。如有些企业为每个部门设置了一个FTP帐户,以利于他们交流文件。那么销售部门Sales有一个根目录sales;仓库部门有一个根目录Ware。作为销售员工来说,他们可以访问自己根目录下的任何子目录,但是无法访问仓库用户的根目录Ware。如此的话,销售部门员工也就无法访问仓库用户的文件了。可见,通过限制用户访问根目录以外的目录,可以防止不同用户之间相互干扰,以提高FTP服务器上文件的安全。为了实现这个目的,可以把参数chroot_local_user设置为NO。如此设置后,所有在本地登陆的用户都不可以进入根目录之外的其他目录。不过在进行这个控制的时候,最好能够设置一个大家都可以访问的目录,以存放一些公共的文件。我们既要保障服务器的安全,也不能够因此影响到文件的正常共享交流。四、进行传输速率的限制有时候为了保障FTP服务器的稳定运行,需要对其文件上传下载的速率进行限制。如在同一台服务器上,分别部署了FTP服务器、邮件服务器等等。为了这些应用服务能够和平共处,就需要对其的最大传输速率进行控制。因为同一台服务器的带宽是有最大限制的。若某个应用服务占用比较大的带宽时,就会对其他应用服务产生不利的影响,甚至为导致其他应用服务无法正常相应用户的需求。再如有时候FTP用途的不同,也需要设置最大速率的限制。如FTP同时作为文件备份与文件上传下载等用途,那么为了提高文件备份的效率,缩短备份时间就需要对文件上传下载的速率进行最大值的限制。为了实现传输速率的限制,系统管理员可以设置local_max_rate参数。默认情况下,这个参数是不启用的,即没有最大速率的限制。不过基于以上这些原因,我还是建议各位系统管理员在把FTP服务器投入生产运营之前能够先对这个参数进行设置。防止因为上传下载耗用了过多的带宽而对其他应用服务产生负面的影响。系统管理员需要在各个应用服务之间取得一个均衡,合理的分配带宽。至少要保证各个应用服务能够正常响应客户的请求。另外在有可能的情况下,需要执行错峰运行。如在一台主机上同时部署有邮件服务器与FTP服务器。而FTP服务器主要用来进行文件备份。那么为了防止文件备份对邮件收发产生不利影响(因为文件备份需要比较大的带宽会在很大程度上降低邮件收发的速度),最好能够把文件备份与邮件收发的高峰时期分开来。如一般情况下早上上班时是邮件收发的高峰时期,那就不要利用FTP服务来进行文件备份。而中午休息的时候一般收发邮件就比较少了。此时就可以利用FTP来进行文件备份。所以把FTP服务器与其他应用服务错峰运行,那么就可以把这个速率设置的大一点,以提高FTP服务的运行效率。当然,这对系统管理员提出了比较高的要求。因为系统管理员需要分析各种应用,然后再结合服务器的部署,来进行综合的规划。除非有更高的措施与更好的条件,否则的话对FTP服务器进行最大速率传输是必须的。
从两个方向去做:
一、禁止系统级别用户来登录FTP服务器。
为了提高FTP服务器的安全,系统管理员最好能够为员工设置单独的FTP帐号,而不要把系统级别的用户给普通用户来使用,这会带来很大的安全隐患。在VSFTP服务器中,可以通过配置文件vsftpdftpusers来管理登陆帐户。不过这个帐户是一个黑名单,列入这个帐户的人员将无法利用其帐户来登录FTP服务器。部署好VSFTP服务器后,我们可以利用vi命令来查看这个配置文件,发现其已经有了许多默认的帐户。其中,系统的超级用户root也在其中。可见出于安全的考虑,VSFTP服务器默认情况下就是禁止root帐户登陆FTP服务器的。如果系统管理员想让root等系统帐户登陆到FTP服务器,则知需要在这个配置文件中将root等相关的用户名删除即可。不过允许系统帐户登录FTP服务器,会对其安全造成负面的影响,为此我不建议系统管理员这么做。对于这个文件中相关的系统帐户管理员最好一个都不要改,保留这些帐号的设置。
如果出于其他的原因,需要把另外一些帐户也禁用掉,则可以把帐户名字加入到这个文件中即可。如在服务器上可能同时部署了FTP服务器与数据库服务器。那么为了安全起见,把数据库管理员的帐户列入到这个黑名单,是一个不错的做法。
二、加强对匿名用户的控制。
匿名用户是指那些在FTP服务器中没有定义相关的帐户,而FTP系统管理员为了便于管理,仍然需要他们进行登陆。但是他们毕竟没有取得服务器的授权,为了提高服务器的安全性,必须要对他们的权限进行限制。在VSFTP服务器上也有很多参数可以用来控制匿名用户的权限。系统管理员需要根据FTP服务器的安全级别,来做好相关的配置工作。需要说明的是,匿名用户的权限控制的越严格,FTP服务器的安全性越高,但是同时用户访问的便利性也会降低。故最终系统管理员还是需要在服务器安全性与便利性上取得一个均衡。
下面是我推荐的几个针对匿名用户的配置,大家若不清楚该如何配置的话,可以参考这些配置。这些配置兼顾了服务器的安全与用户的使用便利。
一是参数anon_world_readable_only。这个参数主要用来控制匿名用户是否可以从FTP服务器上下载可阅读的文件。如果FTP服务器部署在企业内部,主要供企业内部员工使用的话,则最好把这个参数设置为YES。然后把一些企业常用表格等等可以公开的文件放置在上面,让员工在匿名的情况下也可以下载这些文件。这即不会影响到FTP服务器的安全,而且也有利于其他员工 *** 作的便利性上。
二是参数anon_upload_enable。这个参数表示匿名用户能否在匿名访问的情况下向FTP服务器上传文件。通常情况下,应该把这个参数设置为No。即在匿名访问时不允许用户上传文件。否则的话,随便哪个人都可以上传文件的话,那对方若上传一个病毒文件,那企业不是要遭殃了。故应该禁止匿名用户上传文件。但是这也有例外。如有些企业通过FTP协议来备份文件。此时如果企业网络的安全性有所保障的话,可以把这个参数设置为YES,即允许 *** 作系统调用FTP命令往FTP服务器上备份文件。
谢谢,这是我的回答。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)