基于Web网络数据库安全技术研究.docVIP

基于Web网络数据库安全技术研究 　　摘 要：网络和数据的时代中，WEB数据库信息的存储量将越来越大，但是网络数据库信息安全也越来越重要。本文主要介绍了网络数据库安全的基本技术、预防措施和安全实现。 　　关键词：网络数据库；数据库安全；WEB 　　中图分类号：TP393.08 　　互联网的发展给我们带来的极大的便利，但是开放的环境同时也带来了信息的安全问题。特别是电子商务为主的网络公司在网络数据库中存储了大量的销售、链接和个人信息。如何保证数据库数据安全也是电子商务中的重中之重。 　　1 WEB数据库访问技术 　　1.1 CGI技术。CGI即通用网关接口（Common Gate Interface）。CGI技术是使用最早的WEB数据库访问技术，是数据库服务器和WEB服务器之间的桥梁，为两者提供应用程序服务和解决两者的通信问题。用户通过超文本标记语言（HTML）通过WEB浏览器向浏览器服务器提出访问数据库的请求。服务器接收到请求后，通过通用网关接口将HTML转化为标准查询语言（SQL）来访问WEB数据库，查询结果再通过CGI转化为HTML在浏览器中显示，从而完成了WEB浏览器与数据库数据的交流通信。 　　1.2 WEB API技术。API即应用程序编程接口（Application Programming Interface）。是操作系统留给应用程序的一个调用接口，应用程序通过调用操作系统的API而使操作系统去执行应用程序的命令（动作）。API通常通过DLL（动态连接库）的方式提供，作用于CGI类似，但是解决了CGI效率底的问题。API函数包含在系统目录的动态连接库之中，其连接模型与CGI一样。WEB API比CGI的优势在于其与WEB服务器在同一地址空间，所以执行效率高[1]。 　　1.3 ASP技术。ASP即动态服务器页面（Active Server Page）。ASP是微软公司开发的代替CGI脚本程序的一种应用，运行于IIS（Internet Information Services）之中，它可以与数据库和其它程序进行交互，是一种简单、方便的编程工具。ASP的网页文件的格式是.asp。现在常用于各种动态网站中。ASP对由用户从HTML表单提交的查询或者数据作出响应，访问数据或者数据库，并向WEB浏览器返回结果，为不同的用户定制网页，提高这些页面的可用性。ASP比结合了CGI和API的优势，并且把HTML、SCRIPT、ActiveX组件有机的结合在一起，生成高效性WEB服务器应用程序，体现了它的简易性和速度。ASP可以通过多种方式访问WEB数据库，通常是通过ADO（ActiveX数据对象）方式。ADO允许网络开发者将一个DB与一个网页相连接，以便存取操作数据。而且由于ASP代码不能从浏览器查看，而且ASP应用程序在服务器端运行，所以提供安全性保障更优秀。 　　1.4 Java/JDBC技术。JDBC即java数据库连接（Java Data Base Connectivity），是一种用于执行SQL语句的标准数据库API，可以为多种关系数据库提供统一访问，它由一组用Java语言编写的类和接口组成。目前的绝大多数浏览器都支持JAVA开放接口程序，只需要安装JDBC驱动就能实现。有了JDBC，各种关系数据发送SQL语句就变得容易，不必为访问Oracle数据库等数据库专门写一个程序，程序员只需用JDBC API写一个程序就够了，它可向相应数据库发送SQL调用。所以Java/JDBC在编写数据库接口程序当中在通用性、扩展性等方面做具有的优势[2]。 　　2 数据库安全问题概述 　　数据库安全的定义主要有两方面：系统运行的安全和系统信息的安全。网络数据库安全问题包括自然因素和人为因素两个方面。自然因数所导致网络数据库出现抗击单站点故障和网络故障的可能性比较低。网络数据库的安全问题不要还是人为因素。人为因素包括以下几方面：（1）人为制造计算机病毒对网络数据库进行窃听、假冒攻击、数据窃取等。（2）一些黑客处于非法目的对网络数据库进行干扰、窃取数据。利用数据库的漏洞或网络协议访问数据库文件，借助破译工具篡改数据、获取密文已达到非法获利的目的。（3）非法用户在未得到授权的情况下对数据库应用系统中存取数据；合法用户在数据库应用系统中的越权操作等。 　　3 数据库安全技术的实现 　　3.1 用户识别。用户识别是数据库安全外围保护措施，方法就是客户应用程序。客户应用程序首先可对用户登陆的合法性、用户的身份进行验证。用户识别现今有三种主要的方式。（1）用户密码。用户名和用户密码登陆是如今应用最广泛的识别方式，但是存在的风险也最高，非法者可以通过重复攻击等手段获取用户和密码。现如今可通过密码加验证码的方法和密码输入次数的限制来控制风险。（2）生物特征识