信息系统数据库安全浅析.doc

信息系统数据库安全浅析【摘要】文章针对信息系统中的数据库的安全问题进行了研究。数据库的安全技术在实际应用中主要包括身份认证、访问控制、审计追踪和数据库加密、数据库的备份等方面。 【关键词】信息系统 控制 审计追踪 数据库加密 一、引言 随着信息技术的发展，许多企业为了提高自身的管理水平都使用计算机建立了信息系统。在信息系统中，数据的组织形式有两种：文件形式和数据库形式。 由于文件组织形式的数据缺乏共享性，而数据库组织形式的数据具有共享性、独立性、一致性和可访问控制性，它既可以存储大量的数据信息，又可以尽量避免重复和冗余；既可以为某个用户所独有，又可以为不同的用户所共享；而且还可以独立地扩充而不影响应用程序的开发，因此，数据库成为信息系统中存储数据的主要形式。数据库安全的重要性数据库中存放着大量的信息，其中有些信息作为信息系统的重要平台，其安全至关重要。 因此，如何有效地保证数据库系统的安全，实现数据的保密性、完整性和有效性，已经成为探索研究信息系统的重要课题之一。 本文结合信息系统的建设，阐述了基于B/S网络结构下的数据库的安全体系。数据库的安全技术主要包括身份认证、访问控制、审计追踪和数据库加密等方面，在实际应用中，这些技术相互支持和协作有效地解决了数据库的安全问题，从而保证了应用系统的运行。 二、身份认证 身份认证技术能够密切结合企业的业务流程，阻止对重要资源的非法访问。身份认证技术可以用于解决访问者的物理身份和数字身份的一致性问题，给其他安全技术提供权限管理的依据。所以说，身份认证是整个信息安全体系的基础。在执行真正的数据访问操作之前，要在客户和数据库服务器之间进行身份认证 。用户访问数据库时首先要通过数据库应用程序将用户提交的用户名与口令交给数据库管理系统进行认证，在确定其身份合法后，进人下一步的操作。当要对数据库中的对象（表、视图、触发器、存储过程等）进行操作时，也必须通过数据库访问的身份认证只有通过了数据库的身份认证才能对数据库对象进行实际的操作。 三、访问控制 访问控制技术通过控制与检查进出关键服务器中的访问，保护服务器中的关键数据。它是一种主机防护技术。如果说安全保护就像保护自己的球网不被攻破一样，防火墙是中卫、IDS是后卫，则访问控制就是守门员――随时准备扑出任何非法的进入。访问控制是数据库安全性的核心。它包括了账号管理、密码策略、权限控制等方面。用户的访问控制有两种形式：自主访问授权控制和强制访问授权控制。其中自主访问授权控制由管理员设置访问控制表，此表规定用户能够进行的操作和不能进行的操作。 而强制访问授权控制先给系统内的用户和数据对象分别授予安全级别，根据用户、数据对象之间的安全级别关系限定用户的操作权限。涉及到这个用户可以对数据表进行什么样的操作，如是否可以编辑数据库，是否可以查询数据等等。访问控制策略主要包括以下问题。 1、账号管理 对用户的账号设置不同的操作权限。 2、权限原则 数据库管理员分配给用户的账号及相关使用权限。主要涉及到这个用户可以对数据表进行什么样的操作，例如，是否可以编辑、查询、删除数据库数据等等。 3、账号密码安全原则 分配账号的密码必须符合密码安全原则的要求。基本安全要求包括：密码长度、密码复杂性、密码结构非连续性等。密码的安全性是访问控制的主要威胁，特别是最高管理账户，账号的密码设置显得优为重要。 4、文件的访问控制 确保文件不会被人修改、删除。主要包括数据库系统文件、数据库文件、日志文件以及备份文件等。 四、审计追踪 审计是一种监视措施，跟踪记录有关数据的访问活动。审计追踪把用户对数据库的所有操作自动记录下来，存放在审计日志中（Audit Log）。 记录的内容一般包括：操作类型（如修改、查询、删除），操作终端标识与操作者标识，操作日期和时间，操作所涉及到相关数据（如基本表、视图、记录、属性等），数据库的前象和后象等。利用这些信息，可以进一步找出非法存取数据的库人、时间和内容等。数据库管理系统往往都将其作为可选特征，允许相应的操作语句可灵活的打开或关闭审计功能。审计追踪机制是指系统设置相应的日志记录，特别是对数据更新、删除、修改的记录，以便日后查证。 日志记录的内容可以包括操作人员的名称、使用的密码、用户的IP地址、登录时间、操作内容等。若发现系统的数据遭到破坏，可以根据日志记录追究责任，或者从日志记录中判断密码是否被盗，以便修改密码，重新分配权限，确保系统的安全。 五、数据库加密 对数据进行加密，主要有三种方式：系统中加密、客户端（DBMS外层）加密、服务器端（DBMS内核层）加密。客户端加密的好处是不会加重数据库服务器的负