对数据库中安全监控技术研究.docVIP

对数据库中安全监控技术研究 　　摘要：随着信息技术的发展，基于数据库的信息系统得到了广泛的关注和应用，这也带来了大量的针对数据库安全的攻击，为保证数据库数据的安全，必须采取相应的安全防护措施以保证数据信息不被泄露或者破坏。本文对当前数据库中面临的威胁和应用的安全监控技术进行了讨论，主要介绍了一种面向数据库的自主安全防护系统。 　　关键词：数据库 信息系统 安全 防护 　　中图分类号：TP393 文献标识码：A 文章编号：1007-9416（2013）03-0214-01 　　随着基于数据库的信息系统的广泛应用，数据库中存储的大量信息成为了重点关注对象，有关数据库的安全事故不断发生，一旦数据库中的数据信息出现泄漏或者被非法更改则很容易对企业造成巨大的经济损失，故必须采取一定的数据库安全防护措施。当前数据库产业的发展现状为市场份额较大的数据库大部分由国外企业开发其在企业??的透明度不够，同时基于数据库的应用需求日趋复杂，在数据库安全防护中的灵活性需求和独立性需求也相应提高，面对上述问题如何建立一个灵活独立的数据库安全防护系统势在必行。 　　1 数据库安全防护技术概述 　　当前数据库所面临的主要威胁来自以下几方面。（1）恶意性质的数据库破坏行为。（2）多种技术的数据库攻击。（3）未经授权的数据库访问或者修改。（4）数据库自身问题导致的应用或者访问过程中的出现的数据错误等。 　　对于上述问题，人们相继开发出了存取管理技术、数据库加密技术和数据的安全管理技术等多种数据库安全防护技术。但是上述工作均为基于数据库系统的开发或者管理，并没有在更深层次解决防护技术与数据库系统之间的相互关系，无法设计出与数据库管理系统相互独立的，可按照用户需求切实有效的解决数据库所面临的安全威胁的解决方案。若设计出一种相对独立的，对进行多种技术综合应用的集中安全防护方案不仅可以实现对数据库的管理和防护，还可以根据用户需求进行自定义，满足用户多样化需求。 　　2 自主安全系统 　　该系统可以设定预设警告或者阻止机制，该机制下阻止未授权用户对数据信息的非法访问，即便发生非??操作，也可以按照系统预定的防御策略对访问行为进行阻断，同时，该系统可对数据库的操作进行记录并生成访问日志，以供事后分析。 　　2.1 系统结构 　　首先，管理员制定安全策略来管理用户的访问权限。其中核心部件Sensor用来监听对数据库的访问请求并将这些请求转换为系统可识别的访问指令，该指令由Sensor发送到自主安全防护系统的访问控制模块进行指令审查和用户匹配操作，对于满足数据库访问条件和权限的用户，开放数据库，对于无访问权限或非法访问的用户进行拒绝访问操作。对于用户的数据库访问行为，均生成记录日志文件，供以后调用分析。该系统也可根据用户自定义安全策略开放数据库调用端口供用户访问。 　　2.2 系统实现 　　在整个系统中包含以下几部分：系统数据字典、用户管理、系统安全策略、用户访问监听及控制和数据库访问日志记录等几部分。该系统中数据库的API信息和用户的自主防护策略被认为是输入部分，自主安全防护系统可以利用用户监听模块将用户的自主防护策略接入到数据库API接口中，同时生成日志供管理员查阅。这样，对于数据库的安全防护即脱离了数据库系统本身，在不破坏数据库结构的前提下实现对数据库的防护。 　　其中用户访问监听模块为本系统的核心模块，该模块由四部分功能实现，分别为对数据库的访问接口对接功能、对用户的访问控制功能、对用户安全策略的诸如功能以及防护系统核心模块。防护系统的核心模块可以对API接口信息进行拦截和监控，进而从中获得所需的系统检测信息供安全检查程序进行安全检查。用户的访问控制模块则根据用户的自定义策略对数据库访问用户进行分级处理，按照用户信息生成或调用相应的安全防护模块用户访问进行控制。数据库访问接口对接功能则是将数据库提供的API信息转化为可被安全防护系统识别和监听的DLL信息，供系统使用。 　　当用户或者应用在调用数据库的API函数前，防护系统会将所调用API的动态链接库加载到用户进程或应用程序中；然后将API函数的相关信息压入系统调入栈；接着安全防护系统按照访问需求执行API函数，执行时，参数调用是从系统调用栈中调用的；执行完毕后按照函数返回地址将返回值存储在寄存器中，进而从系统堆栈中读取API函数返回值。 　　3 数据库自主安全防护系统特点分析 　　相较于传统的数据库安全监控技术而言，本系统具有如下优势和特点。 　　首先，本系统的设计与应用是独立于数据库的，可适用于多种数据库结构，且不影响原数据库整体性能。这种独立性体现在：（1）用户或应用的访问和操作行为都是基于本系统，在用户安全策略下进行的，数据库只需要提供相应的API接口信息即可完成对数据库的操