计算机数据库应用及管理中安全问题研究.docVIP

计算机数据库应用及管理中安全问题研究 　　摘 要 　　本文讨论了计算机数据库通常存在的安全问题，然后主要从应用的角度以及管理高度，探索了如何对数据库安全进行防范，保证企业、事业单位数据的安全。 　　【关键词】数据库安全 数据库入侵 主动检测 入侵检测 数据库攻击 　　根据企业的一个调研机构-策略研究组（其英文缩写为ESG）在近些年调查报告，指出大约存在 15%的公司企业，上一年碰到过若干次的信息泄露与数据安全问题。这是一般性的，还有特别的将近 41%的公司、组织机构等等碰到过一次特别严重的机密数据泄露。当然这些报告通常是对部分情况的统计调查，没法将全部的情况都理清，可管中窥豹的是数据安全问题以及信息泄露问题现在是一个十分值得重视和加强的问题，随着技术手段的不断发展，无论是网络层面还是数据库方面，面临着越来越严重的安全性挑战，本文针对这个问题进行展开，主要从管理层面、技术层面、应用层面等多角度多维度的探讨数据库安全机制、安全防护等问题，以期尽量减少数据库遭受破坏和入侵的可能，保证安全特性，为信息安全提供支持。 　　1 数据库安全危险性分析 　　这里根据数据库结构和功能上划分，能够将其信息安全问题划分为如下的若干方面： 　　（1）首先是用户的认证问题。可以说这个是数据库安全首先遇到的一个情况，相对来说其风险以及存在的隐患是很大的。当有关技术人员、不法分子将这一层面破坏了，那么能够长驱直入十分便利的就进入到数据库里进行肆意的破坏活动。这里以甲骨文公司的oracle数据库为例子，在其数据库系统里，监听器就扮演着这个角色。该子系统存在着设计上的不完善和缺陷，那么就会导致产生很多数据库系统漏洞，具体的有缓冲区的溢出问题以及管理配置等问题，这都是认证这个情况不完善所衍生出来的数据库安全隐患。 　　（2）SQL代码编程出现的问题。现在一些市场上常见和常用的关系数据库，通常具有支持存储过程、以及接受函数、触发的这些功能，一些良好方便的系统通常甚至具有专门设计的 SQL扩展语言包。所以这种情况下，一个安全的隐患就存在于 SQL代码编程设计上的不足，也就是系统的漏洞上面，这种情况下很容易出现类似SQL 注入这种安全隐患，最糟糕的是，这种安全隐患并不是很好发现，虽然只是一个小问题，可是万一被人发现并且突破造成的破坏往往是不能恢复，这种灾难后果。 　　（3）文件系统的隐患。可以这么理解，即使是存储在数据库系统中数据，最终从操作系统上看也都是归结于文件方式存储到电子计算机上。或者其相关的配置数据，也同样是通过配置文件的方式进行存储的。所以文件数据系统层面的数据安全，也是数据库本身安全问题的重要方面。尤其是网络计算机，如果从操作系统层面攻破了电子计算机的壁垒，也或者是修改了相关的配置数据，那么等于曲线、间接的影响了数据库系统的安全，这个典型的体现在一些数据库诸如Oracle的Exproc漏洞，或者例如Informix 的SPL漏洞方面。 　　（4）密码的安全及其管理。实际上，系统密码、数据库密码是相对来说一个非常脆弱的环节。无论是用户口令的设置和更改，都应该充分保证其安全性，不仅如此在其日常的管理和应用上，制度层面也必须加强安全性教育。然后可惜的是许多一般使用者缺乏相关的专业技能及相关的专业知识，例如一个最简单的例子密码过段、过于存在规律性这种的弱密码情况经常出现，同时也不懂得经常更换密码等。 　　2 加强技术应用和管理提高安全的手段 　　（1）主动对网络安全进行处理配置。当然购置良好的防木马和防病毒的系统是必要的，除此以外，一个良好的手段就是通过分段VLAN及VLAN间访问控制的方式来保证数据库的安全。一般在传统不注意VLAN划分情况的时候，往往将所有的企业内部终端、业务部门子站、以及相关的服务器或者交换机以及路由器全部放在某个具体相同网段，这种情况下所有网络都具有一样网络号，同时也有完全一致的子网掩码，那么就没有办法去有效的防止它们之间的相互访问，这就给数据库安全带来了隐忧。可以说这种防护方式在技术上并不是太难，一般的管理应用者只需要简单的培训就可以掌握，通过一些简单的配置，只需把核心的交换机变为三层结构，而且实现企事业单位内部网段的多VLAN划分，就能达到良好的防护性能。这是一种投资小、见效快，快速进行系统改造的良好方案，其终极目的是防止内部的乱访问，控制数据库不会被内部随意攻击，加强了数据流的管理。 　　（2）通信监控措施。管理者主动应用通信的监控记录软件。其实单从管理方面入手这种数据库安全问题，肯定是不够的，管理最终还是要通过技术手段来实现。在数据库系统、服务器上加载跟路由器、多层交换机以及防火墙的系统软件，确实能够实现数据的过滤，实现相对来说较为可靠可信的通信，甚至一些部署IPS还能实现避免受信任终端攻击的情况，然而一旦有“内贼”从内部去破坏