WEB数据库的入侵威胁与防护策略.pdfVIP

WEB数据库的入侵威胁与防护策略

1Web数据库访问技术

Web数据库访问技术大致可分为两大类：一类是以Web服务器

作为中介，把浏览器和数据源连接起来，在服务器端执行对数据库的

操作；另一类是把应用程序和数据库下载到客户端，并在客户端直接

访问数据库。目前已经有多种服务器端的脚本编程技术可以实现数据

库访问的要求，虽然它们在具体的形式上不同，但是各自可以实现的

功能都足非常相似的。不管是哪种技术都可以访问数据库，并能最终

生成动态网页。比较成熟和流行的数据库访问技术有：CGI，ISAPI、

NSAPI、IDC、LiveWire、Perl、ASP、PHP、JSP和ColdFusion等，其

中ASP、PHP和JSP是三种主流技术。

2Web数据库的常见安全问题

Web数据库由于开放性的环境特点，对于安全的需求十分明显，

可当前大多数企业级用户对于安全防护策略的重视还是很低，往往只

在发生无可挽回的安全事故之后才将相关的安全问题放在眼前。以下

为本文介绍一些常见的Web数据库安全问题：

2.1账号设置的脆弱性。在成熟稳定的操作系统环境下，在政府

规定和企业安全策略的约束中，Web数据库的用户通常缺少安全设

置的足够重视。例如，首选用户的账号与密码是面向大范围用户公开

的，仅仅是处于禁用或修改的状态，以避免非授权的访问。而密码强

度检查并未以字典为基础而且账号过期控制措施不得力，所以能够提

供的安全性能较为有限。

2.2角色分离功能的缺乏。传统意义上的Web数据库管理没有

设置专门的“安全管理员”（SecurityAdministrator），这样的环境下

Web数据库的管理员（DBA）在数据库账号管理和维护的基础上，要

对跟踪调试Web数据库的操作行为与执行性能，这样的管理模式效

率相当低下。

2.3审计跟踪功能的缺失。由于资源环境的有限，DBA经常出于

节省空间和提高性能的目的忽视或关闭Web数据库审计，不可否认

数据库利用效率有所提高，但管理分析的效率与可靠性收到了严重的

影响。审计跟踪能够判定用户行为所产生的数据，将相关事件信息在

日志中记录，所以监视用户行为和数据访问的审计跟踪是Web数据

库安全的最基本的保证。

2.4Web数据库的安全特征利用不充分。在Web数据库的实际

操作过程中，由于过于重视某个系统的应用安全而忽视Web数据库

的安全很常见。而这些系统安全措施的应用仅针对客户端的用户，而

多数数据库是通过数据库接口和专有协议绕过了应用层直接连接到

Web数据库，因此Web数据库安全功能的可靠保障是来自于数据库

内部的。

3Web数据库的安全策略

在Web数据库技术不断发展的同时，数据库安全也成为日益凸

现的重要问题，在Web数据库应用中安全性的保证已经成为保证数

据库正常稳定运行的重要课题。Web数据库是将Web技术与数据库

技术相结合的综合应用，在系统中安全隐患很多，比如用户账号和密

码在网络通信的过程中被窃取，用户查询的信息在网络环境下被篡改

或截取等。以下为针对常见数据库安全问题的策略：

3.1数据库安全模型的建立。在通常的情况下，数据库系统的安

全措施是客户端应用程序到后台数据库服务系统整个过程的安全认

证。安全模型也称为策略表达模型，是一种抽象的、独立于软件实现

的概念模型。网络数据库系统的安全模型是用于精确描述数据库系统

的安全需求和安全策略的有效方式。网络数据库通过设立多层的安全

关卡保护，来提高数据库的安全性。当用户进入计算机系统时，操作

系统首先鉴别用户的身份，在合法进入计算机系统后，数据库管理系

统对用户的权限进行存储控制，只允许用户执行与自身权限相符的操

作。数据库对数据进行加密，只有用户掌握数据库的密钥才能使用数

据库中的数据。

3.2审计追踪。在当前的技术环境下，尚未有能够彻底解决用户

账号在通过验证后的特权滥用的方法，而审计追踪能够在Web数据

库安全防护中起到足够的防护作用。审计是对用户行为进行监视的重

要措施，对用户行为产生的相关数据活动进行