Web数据库系统安全技术综述.docVIP

Web数据库系统安全技术综述 作者：*** 指导老师：*** 摘要：Web数据库是基于Internet/Intranet的应用系统，由于互联网的开放性和通信协议的安全缺陷，以及在网络环境中数据存储和对其访问与处理的分布性特点，网上传输的数据容易受到破坏、窃取、篡改、转移和丢失。这些危害通常是对网络的攻击引起的。到现在，针对Web数据库的应用级入侵已经变得越来越严重，如何保证Web数据库的安全性已成为新的课题。本文阐述了Web数据库及其安全性的定义，并由目前数据库面临的安全威胁引出了当前Web数据库的各种安全技术。 关键词：Web数据库 数据库入侵 安全技术 引言：Web数据库是数据库技术与Web技术的结合，这种结合集中了数据库技术与网络技术的优点，既充分利用了大量已有的数据库信息，用户又可以很方便地在Web浏览器上检索和浏览数据库的内容。但是Web数据库是置于网络环境下，存在很大的安全隐患，如何才能保证和加强数据库的安全性已成为目前必须要解决的问题。因此对Web数据库安全模式的研究，在Web的数据库管理系统的理论和实践中都具有重要的意义。 1 Web数据库及其安全的定义 1.1 Web数据库概述 随着网络技术的飞速发展，基于Internet/ Internet的B/S（浏览器/服务器）机构的管理信息系统应运而生。与传统的MIS物理结构不同，该系统只需要在各个客户端简单的安装和运行相同的浏览器，在服务器端安装Web服务器软件和数据库管理系统。 Web数据库将Web技术与数据库技术有机地融合在一起，用户通过浏览器就可以完成对后台数据库中数据的插入、删除、查询和修改等操作[1]。 Web数据库是基于Internet/ Internet的应用系统，由于互联网开放性和通信协议的安全缺陷，以及在网络环境中数据存储和对其访问与处理的分布性特点，网上传输的数据容易受到破坏、窃取、篡改、转移和丢失。这些危险通常是对网络的攻击引起的。到现在，针对Web数据库应用级入侵已经变得越来越猖獗，如SQL注入、跨站点脚本攻击和未经授权的用户访问等。所有这些入侵都有可能绕过前台安全系统，并对数据库系统攻击。那么，在Web环境下的数据库是否能够有足够的安全为企业服务呢，答案是肯定的。 1.2 数据库安全的定义 数据库的安全性是指数据库的任何部分都不允许受到恶意侵害或未经授权的存取和修改，数据库系统必须提供可靠的保护措施，以确保数据库的安全性[2]。保密性是指保护数据库中的数据不被泄露和未授权的获取；完整性是指保护数据库中的数据不被破坏和删除；一致性指确保数据库的数据满足实体完整性、参照完整性和用户定义完整性要求；可用性指确保数据库中的数据不因人为的和自然的原因对授权用户不可用。 2. 数据库的安全威胁 Web数据库系统是开放环境下的信息仓库，管理着大量的数据信息，面临的安全威胁有很多[3]。 2.1数据库入侵攻击途径及检测 数据库有两个层面的入侵攻击途径，即：操作系统层面的入侵攻击和应用层面的入侵攻击操作系统层面的入侵攻击主要指入侵者非法进入操作系统后对数据库系统的文件进行非法访问，破坏数据库系统中数据的安全性和完整性通过检测操作系统的日志可以检测出攻击的行为；应用层面的入侵攻击是指入侵者通过非授权的或恶意的事务来对数据库进行非法访问或操作，破坏数据库系统中数据的安全性和完整性。数据库应用层面的入侵攻击可以利用数据库应用层丰富的模式和语义信息来进行检测。数据库应用层的入侵检测可以检测出操作系统层面所不能检测的入侵攻击，是对操作系统入侵检测的补充。 2.2数据库入侵模型 操作系统层面入侵主要是利用操作系统软件中的安全漏洞及安全管理和配置中存在的漏洞。通常先通过漏洞扫描或端口扫描等技术发现攻击目标，再利用相关技术进行破坏活动。基于操作系统入侵的方式与方法很多，其中以木马病毒方式入侵最为普遍。木马病毒方式入侵的原理是通过漏洞扫描找到操作系统软件中的安 全漏洞，然后将木马病毒程序植入用户本地计算机，最后由远端主机通过网络控制本地计算机，绕过数据库系统的安全机制，盗取本地计算机数据库中的各种数据。 数据库应用层面的入侵[4]主要包括以下几种情形： （1）入侵者利用数据库系统的安全漏洞绕开数据库应用系统的安全机制，包括数据库系统的身份认证和访问控制等，对数据库中的数据进行非法访问或操作。 （2）入侵者利用数据库系统的安全漏洞提升访问数据库的权限，对数据库系统进行越权访问或操作。 （3）入侵者利用数据库系统安全管理上的缺陷，例如系统管理员没有更改某些账户的缺省口令来获得口令，对数据库进行非法的访问或操作；通过嗅探器在网上窃听或通过猜测窃取合法用户的口令来假冒合法用户，对数据库进行非法的访问或操作。 （4）内部工作人员利用合法的工作权限对数据库进行非法访问