基于SSL加密微博数据库安全研究.docVIP

基于SSL加密微博数据库安全研究 　　摘要：随着互联网技术的发展，微博给网民带来了信息传播与交往关系的新模式，而随之而来的我们如何保证这些数据和信息的安全显得尤为重要。SSL协议能加密数据以防止数据被窃取，维护数据库的完整性，并确保数据在传输过程中不被改变。 　　关键词：微博；数据库；SSL 　　中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2013）08-1743-02 　　1 概述 　　随着信息化的深入及手机互联网的飞速发展，社会各项工作已越来越离不开计算机网络与数据库系统。层出不穷的网络产品形态一步步改变人们的生活方式和思维方式。从BBS、电子邮件、即时通讯、博客到当前炙手可热的微博，这种新型社会化媒体给网民带来了信息交流与交往关系的新奇体验。 　　微博是一个基于用户关系的信息分享、传播以及获取平台，用户可以通过WEB、WAP 和手机客户端登录个人主页，Twitter限定每次发布140 字以内的文字信息到网页和手机等客户端。微博整合了图片、音乐、视频、游戏、投票等功能，目前更是嵌套即时通讯、参与话题、群组讨论等，可以更随时随地与网友分享信息，所有的信息都以在一个平台上瀑布式地呈现。微博通过关注评论、转发、访问、加入微群来拓展新关系和维系已有的旧关系。它的存在使得大家越来越主动、交流越来越频繁、方式也多样化，这些都使用户感受了全新的信息获取、休闲娱乐与交友沟通方式。对促进现有社会资源充分发挥更大的效能、推动社会进度都有着积极的意义。社会的信息数据量急剧增长。而随之而来的我们如何保证这些数据和信息的安全，已经构成了信息社会运作的大动脉。 　　2 微博数据库安全的重要性 　　曾经一度骇人听闻的泄密事件层出不穷，数据显示，网站数据外泄事件中种种情况表明，高速发展中的网站都在拼价格、拼服务、等以期获得更大的市场占有率，巨大的数据流量足以让他们的忙得焦头烂额了，并没有多少闲暇时间和精力放在注册用户和信息的安全上。网站自身对用户账户信息保密程度不够重视，再配以内部机制不健全而产生的内部人员监守自盗现象，由此，我们不难想像我们这些信息的安全状况了。 　　微博凭借着及时性、开放性、交互性、独立性等特点得到用户越来越多的喜爱，随着微博影响力逐步增加，黑客针对微博用户的攻击也会日趋活跃，尤其是专业机构、网络名人、意见领袖等粉丝数量众多的微博帐号，稍有不慎就可能在短时间内造成严重影响。微博每时每刻都有大量的实时消息产生，然而面对成千上万的用户，每天数百万条、千万条的记录，如此海量数据，如何保证你的微博不被黑客盗用、不背着你乱发假消息、发广告、甚至发病毒链接，数据信息安全显得尤为重要。 　　现实世界的多数敏感数据都存储在商业性数据库系统中，数据库是一个网站的核心，如果数据库出现安全问题，轻则数据泄密，重则数据全毁，很可能会造成无法挽回的损失。这使得数据库越来越成为犯罪分子喜爱的目标，直接导致SQL 注入攻击事件在近年来急剧增长，许多网站无法及时打上应用程序补丁，致使大量的Web 应用程序漏洞暴露在攻击者面前。以前，很多组织机构的安全防护重点集中在保障网络外围和客户端系统的安全上，因此纷纷部署了防火墙、IDS/IPS、反病毒软件等安全设备。但现在，保障自己的数据库免受损害和阻止未授权的变更显然更为重要。 　　3 解决微博数据库安全问题的方法 　　下面是能够提供数据整体安全性几种方法，既可以捍卫数据库的安全，又可以用一些关键规范实现合规要求。 　　3.1 及时发现 　　我们无法保障将要发生事物的安全性，因此应该对敏感数据有很好的洞察力，包括数据库实例、位于数据库中的敏感数据等，还应该自动化“发现”的恶意程序。一旦存在新的或被修改的应用程序、数据合并及数据获得，敏感数据的位置就会不断地发生变化。SQL 注入攻击除了暴露机密信息以外，还准许攻击者在数据库中嵌入其他的攻击，以便于对付该网站的访问者，所以应及时利用有效的工具及时发现SQL 注入攻击存放到数据库中的恶意行为。 　　3.2 漏洞评估、实时监视及追踪记录 　　强化和加固数据库是的首要步骤，一次漏洞评估的结果通常包括一整套特别的建议。加固数据库的其他要素还涉及清除并不使用的所有功能和选项。 　　要想快速检测入侵和数据滥用，实时的数据库活动监视是限制数据暴露的关键。例如，数据库活动监视能够对账户的特权提升、非授权的数据变更、非正常的访问模式、经由SQL 命令而执行的配置变更等发出警告。 　　数据库活动监视还是漏洞评估的一个关键组件，因为它准许您超越传统的静态评估，可以包括“行为漏洞”的动态评估。例如，多个共享特权用户的登录凭证或者失败的数据库登录的过多数量等。有些数据库监视技术还提供应用层的监视，准许您检测由多重应用程序所执行而不是直接连接到数据库的欺诈行为。 　　3.3 变