浅谈办公计算机数据库系统安全技术.docVIP

浅谈办公计算机数据库系统安全技术 　　摘 要：数据库作为一个非常复杂的系统，在开放性网络环境下，目前没有绝对可靠的办公计算机数据库系统安全技术体系。随着计算机入侵者和工作人员的违规操作，使得办公计算机的数据库频频出现信息泄露和数据破坏等现象，已逐步变为愈演愈烈的信息安全问题。基于办公计算机数据库系统的特殊性和重要性，本文以Oracle数据库为例，对其安全特性进行了分析，提供了安全检测思路，进行了需整体结构和功能的设计，并对关键技术作出了解释。 　　关键词：数据库安全；安全检测技术；数据库安全特性 　　中图分类号：TP309 　　1 办公计算机的数据库安全问题 　　1.1 数据库的安全意义 　　数据库作为一个非常复杂的系统，在开放性网络环境下，目前没有绝对可靠的办公计算机数据库系统安全技术体系。同时数据库管理人员的经验和维护能力也是一个待解决的问题。随着计算机入侵者和工作人员的违规操作，使得办公计算机的数据库频频出现信息泄露和数据破坏等现象，已逐步变为愈演愈烈的信息安全问题。基于办公计算机数据库系统的特殊性和重要性，我们需要对其安全技术进行讨论分析。 　　1.2 数据库的安全类别 　　不同公司开发的数据库软件具有不同的安全特性，但市面上常见的数据库安全类别问题从发生源来看，基本上分为自身设计缺陷、架构缺陷、安全配置漏洞以及用户操作所导致的安全问题，而从数据库的整体结构和功能上来说，可以分为账户密码管理、权限管理、SQL编程漏洞以及网络配置。解决的方法有两个，一方面可以通过安装和更新补丁程序的形式进行安全防范工作，另一方面应定期对数据库系统安全进行全面检测。 　　2 办公计算机数据库系统安全检测设计 　　本文以Oracle数据库为例，对办公计算机数据库系统安全检测进行设计。 　　2.1 整体结构和功能设计 　　本系统从架构上将结构体系分为三层设计，分别是数据库引擎、应用管理层和GUI层，其中数据库引擎不仅要处理Oracle数据库，还需要利用Access数据库来满足其扩张性，用于存放基础知识库，采用的操作技术是ADO.NET技术；应用管理层负责系统处理核心业务的核心功能层；GUI层要满足系统的输入输出管理，以及操作界面的图形方式展现。 　　为实现数据库系统安全的检测，本系统应满足的功能目标如下： 　　端口扫描功能：为发现对应的数据库服务端口，本系统应对目标计算机进行全端口扫描，如Oracle的监听端口1521；渗透性测试功能：通过对非法用户名和密码进入数据库内部的试探性登录，采取非侵入式的渗透性测试；内部安全检测功能：在采取合法用户名和密码登录数据库内部后检测所有的与安全配置具有一定关系的内部信息，实现系统漏洞的自检。 　　2.2 安全特性知识库设计 　　安全特性知识库是存放数据库的安全特性检测策略的地方，其检测策略主要包括： 　　（1）用户名和密码检测策略 　　首先通过读取DBA_USERS等数据字典来检测用户密码策略的合理性，有效配置用户资源。再进行Orcale中hash变换之后的密码与用户名重合的现象，对比hash值的一致性，需要改动用户密码，实现这种风险较高的检测方式。 　　（2）用户权限检测策略 　　审核用户权限一般从系统权限、对象权限入手，系统权限的检测是为了保证用户拥有最低系统权限或不完整权限，同时要注重角色权限的获得；对象权限的检测是为了对用户拥有的视图权限和关键数据字典进行检测，其中用户是否具有Oracle内置包这部分漏洞的执行权限是关键检测点。同时要防止表权限和视图权限产生冲突。 　　（3）数据库网络检测策略 　　这是对网络关键安全配置策略进行检测的方式，其中PL/SQL编程的对象和Oracle数据库内置程序包是主要的检测内容，但Oracle数据库内置程序包因无法获取源代码，只能通过Oracle的官方补丁来及时修复漏洞。对于可以获得源代码的用户程序包检测，便是通过字符串方式对源代码进行分析工作，或是采取编译器利用上下文感知进行分析，但目前的检测局限性和实施难度都较大。 　　2.3 数据库安全检测技术分析 　　（1）获取Oracle监听端口 　　Oracle的默认监听端口是1521，是数据通信的对外通道，也是安全检测的最佳切入点，但系统管理员通常会修改Oracle的监听端口，因此我们需要对目标数据库的所有开放端口进行扫描，用ping命令来确定Oracle监听端口。为达到这一目的，可以采取发消息给端口的形式，如果端口能够返回包含版本信息的数据包，那说明该端口为Oracle的监听端口。 　　（2）获取监听器密码 　　Oracle提供的LSNRCRL工具可以用来检测到数据库监听器的安全信息，如版本信息和主机实例信息等。以Oracle 10g为例，使用servi