- 1、本文档共4页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
WEB数据库的入侵威胁与防护策略
1Web数据库访问技术
Web数据库访问技术大致可分为两大类:一类是以Web服务器
作为中介,把浏览器和数据源连接起来,在服务器端执行对数据库的
操作;另一类是把应用程序和数据库下载到客户端,并在客户端直接
访问数据库。目前已经有多种服务器端的脚本编程技术可以实现数据
库访问的要求,虽然它们在具体的形式上不同,但是各自可以实现的
功能都足非常相似的。不管是哪种技术都可以访问数据库,并能最终
生成动态网页。比较成熟和流行的数据库访问技术有:CGI,ISAPI、
NSAPI、IDC、LiveWire、Perl、ASP、PHP、JSP和ColdFusion等,其
中ASP、PHP和JSP是三种主流技术。
2Web数据库的常见安全问题
Web数据库由于开放性的环境特点,对于安全的需求十分明显,
可当前大多数企业级用户对于安全防护策略的重视还是很低,往往只
在发生无可挽回的安全事故之后才将相关的安全问题放在眼前。以下
为本文介绍一些常见的Web数据库安全问题:
2.1账号设置的脆弱性。在成熟稳定的操作系统环境下,在政府
规定和企业安全策略的约束中,Web数据库的用户通常缺少安全设
置的足够重视。例如,首选用户的账号与密码是面向大范围用户公开
的,仅仅是处于禁用或修改的状态,以避免非授权的访问。而密码强
度检查并未以字典为基础而且账号过期控制措施不得力,所以能够提
供的安全性能较为有限。
2.2角色分离功能的缺乏。传统意义上的Web数据库管理没有
设置专门的“安全管理员”(SecurityAdministrator),这样的环境下
Web数据库的管理员(DBA)在数据库账号管理和维护的基础上,要
对跟踪调试Web数据库的操作行为与执行性能,这样的管理模式效
率相当低下。
2.3审计跟踪功能的缺失。由于资源环境的有限,DBA经常出于
节省空间和提高性能的目的忽视或关闭Web数据库审计,不可否认
数据库利用效率有所提高,但管理分析的效率与可靠性收到了严重的
影响。审计跟踪能够判定用户行为所产生的数据,将相关事件信息在
日志中记录,所以监视用户行为和数据访问的审计跟踪是Web数据
库安全的最基本的保证。
2.4Web数据库的安全特征利用不充分。在Web数据库的实际
操作过程中,由于过于重视某个系统的应用安全而忽视Web数据库
的安全很常见。而这些系统安全措施的应用仅针对客户端的用户,而
多数数据库是通过数据库接口和专有协议绕过了应用层直接连接到
Web数据库,因此Web数据库安全功能的可靠保障是来自于数据库
内部的。
3Web数据库的安全策略
在Web数据库技术不断发展的同时,数据库安全也成为日益凸
现的重要问题,在Web数据库应用中安全性的保证已经成为保证数
据库正常稳定运行的重要课题。Web数据库是将Web技术与数据库
技术相结合的综合应用,在系统中安全隐患很多,比如用户账号和密
码在网络通信的过程中被窃取,用户查询的信息在网络环境下被篡改
或截取等。以下为针对常见数据库安全问题的策略:
3.1数据库安全模型的建立。在通常的情况下,数据库系统的安
全措施是客户端应用程序到后台数据库服务系统整个过程的安全认
证。安全模型也称为策略表达模型,是一种抽象的、独立于软件实现
的概念模型。网络数据库系统的安全模型是用于精确描述数据库系统
的安全需求和安全策略的有效方式。网络数据库通过设立多层的安全
关卡保护,来提高数据库的安全性。当用户进入计算机系统时,操作
系统首先鉴别用户的身份,在合法进入计算机系统后,数据库管理系
统对用户的权限进行存储控制,只允许用户执行与自身权限相符的操
作。数据库对数据进行加密,只有用户掌握数据库的密钥才能使用数
据库中的数据。
3.2审计追踪。在当前的技术环境下,尚未有能够彻底解决用户
账号在通过验证后的特权滥用的方法,而审计追踪能够在Web数据
库安全防护中起到足够的防护作用。审计是对用户行为进行监视的重
要措施,对用户行为产生的相关数据活动进行
文档评论(0)