浅析数据库的安全设计与管理.docVIP

浅析数据库的安全设计与管理 　　摘要：如何实现数据库安全，是数据库设计的重要环节，也是数据库管理系统中最重要部分。大量重要数据存放于数据库中，如果无法保障数据库的安全，则可能导致系统中的重要数据被窃取、丢失或损毁等危害。该文通过对数据库的安全机制、访问控制策略的分析，提出了针对数据库安全设计的建议。 　　关键词：数据库；安全机制；安全策略；安全设计；访问控制 　　中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2016）17-0009-02 　　现在是信息化时代，信息化离不开数据库的建设，数据库是电子商务系统、信息管理系统、金融系统以及ERP系统的基础，保存着企业、客户等重要的商业数据和信息，如交易信息、工程数据和个人资料等。因此，保证数据库安全性是每个数据库管理员的责任。 　　1 数据库系统的安全机制 　　在现实应用中，数据的安全性是数据库的一个重要特性，安全性是指系统保护数据以防止被非法使用而造成的数据泄漏、破坏更改。数据库系统安全机制分为四个等级： 　　1.1 操作系统安全机制 　　通常情况下，数据库管理系统运行在一特定操作系统平台下，所以操作系统的安全性直接到数据库的安全。在用户使用计算机实现对数据库服务器的访问时，首先应该获得操作系统的使用权限。操作系统安全性是管理员工作之一。 　　1.2 网络传输安全机制 　　在网络时代，防止数据传输过程中的安全，通常会采用对数据加密的方式进行。1）数据加密：数据加密是所有数据库级别的操作，数据在定到磁盘时进行加密，从磁盘读的时候解密，可以保护数据库中的业务数据而不必对现有的应用程序做修改。2）备份加密：备份加密的方式可以防止数据泄漏和被窜改，备份的恢复可以限于特殊的用户。 　　1.3 数据库级安全机制 　　用户在通过服务器级安全性检查后，将面对不同的数据库接口。在建立不同用户的登录账号时，应该确定用户登录时的默认数据库，并需要给用户分配权限。固定数据库角色存在于每个数据库中，在数据库级别提供管理特权分组。管理员可将任何有效的数据用户添加为固定数据库角色成员，第一个成员都获得应用于固定数据库角色的权限。在特殊情况下，我们需要创建一个自定义的数据库角色。 　　1.4 对象级安全机制 　　数据库对象安全机制包括对数据表和列的安全设置，是对用户权限审查的最后一个安全等级。数据对象的访问权限指定了用户针对数据操作的许可、数据对象的引用。用户访问数据时的处理过程：1）用户必须先登录进行身份识别，并被确认为合法用户。2）用户在访问的数据库中有对应的账号，在此账号上定义数据库管理的安全策略。3）审核用户是否有访问数据库对象的权限，经过许可权限的验证，才可以对数据的访问。通常，为了减少系统开销，在对象级安全管理上应该在大多数场合赋予用户广泛的权限，具体情况实施具体的访问权限设置。 　　2 数据库访问控制策略 　　2.1 数据库访问控制系统 　　访问控制是允许或限制用户访问能力及范围的一种方法。最初的研究和应用主要是为了防止机密信息被未经授权者访问，现在主要在商业领域进行应用，其的目的是使用户只能对取得授权的数据库操作。 　　访问控制系统主要包括： 　　1） 主体，即发出访问动作、操作要求的实体，一般指用户或者某进程。 　　2） 客体，指被调用的程序或数据访问。 　　3） 安全访问规则，一般用来确定主体是否拥有对客体的访问能力。 　　2.2 数据库访问控制方式 　　数据库访问控制方式有自主访问控制、基于角色访问控制和强制访问控制等三种方式。 　　1） 自主访问控制 　　自主访问控制，指允许把访问控制权的授予和取消留给个体用户来判断，具有某种访问特权的用户可以把该种访问许可传递给其他用户。 　　2） 基于角色访问控制 　　在RBAC中，访问决策是基于角色的。角色，指一个或一群用户在组织内可执行操作的集合。使用角色来集中管理数据库或服务器的权限，按照角色的作用范围，可以将角色分为服务器角色和数据库角色。服务器角色是对服务器级别的权限分配，而数据库角色是针对具体数据库的权限分配。数据库角色可分为：固定数据库角色；用户定义的数据库角色；应用程序角色等。 　　3） 强制访问控制 　　强制访问控制，是一种限制访问客体的手段，主要以包含在这些客体中信息敏感性和访问这些信息主体的正式授权信息为基础，对于不同类型的信息采取不同层次的安全策略 　　2.3 数据库数据加密方案 　　1） 身份验证器：加密?E表中的数据时，加密算法将使数据变得无法阅读。此类加密的数据是无法阅读的，却可以被具有该表数据修改权限的用户操作。身份验证器是加密数据与爱迪生段特定数据的结合，用于确保不会发生数据行的非法移动。 　　2） 对称密钥加密：对称密钥