郭春如

摘要：在當今信息時代，信息已經(jīng)成為人們工作生活中不可缺少的一部分。因此，用來存儲數(shù)據(jù)信息的數(shù)據(jù)庫安全逐步引起人們的重視。在日益開放的網(wǎng)絡(luò)社會，數(shù)據(jù)庫所面臨的問題也越來愈多，為了保護數(shù)據(jù)庫的安全，該文分析了數(shù)據(jù)庫面臨的在主要安全威脅，并探討了維護數(shù)據(jù)庫安全的策略和技術(shù)。

關(guān)鍵詞：數(shù)據(jù)庫；數(shù)據(jù)加密；網(wǎng)絡(luò)安全；數(shù)據(jù)備份

中圖分類號：TP311文獻標識碼：A文章編號：1009-3044(2012)23-5525-02

隨著信息價值在人們生活和企業(yè)中重要性的提升，以及互聯(lián)網(wǎng)的高速發(fā)展，因此，數(shù)據(jù)庫的安全問題變得日益突出，人們對數(shù)據(jù)庫的安全要求也越來越高。為了保護數(shù)據(jù)不受外界侵害，個人隱私的暴露，因此，將數(shù)據(jù)庫的安全與操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)結(jié)合起來考慮問題變得十分重要。

1數(shù)據(jù)庫安全的重要性

當前計算機及網(wǎng)絡(luò)上各種信息的存儲和管理基本上都是由數(shù)據(jù)庫實現(xiàn)的。因此，數(shù)據(jù)庫的安全是網(wǎng)絡(luò)信息安全的基礎(chǔ)。由于數(shù)據(jù)庫安全與數(shù)據(jù)庫的使用幾乎是個矛盾體，若想為廣大合法用戶提供各種便捷的網(wǎng)絡(luò)應(yīng)用，就必須降低數(shù)據(jù)庫的復(fù)雜程度以及保密性和完整性。而要想提高數(shù)據(jù)庫的安全性，防止非法用戶入侵，竊取用戶信息，破壞用戶信息的完整性和私密性，卻要提高整個數(shù)據(jù)庫的復(fù)雜度。在當今普遍強調(diào)易用性的情況下，數(shù)據(jù)庫管理人員很多時候在易用性和安全性方面，選擇了易用性。作為存儲企業(yè)和用戶大量具有重要信息的數(shù)據(jù)庫，一旦遭到破壞，內(nèi)部信息必然遭到損壞，各種商業(yè)機密和企業(yè)日常運作信息可能會流入市場，或者遭到損害，這都將給企業(yè)帶來不可估量的損失。數(shù)據(jù)庫所承載信息的價值一般要遠高于數(shù)據(jù)庫系統(tǒng)本身。也正由于這個原因，一般的企業(yè)會在數(shù)據(jù)庫建立時，選擇專業(yè)的公司進行架設(shè)，從整體上把握信息系統(tǒng)和數(shù)據(jù)庫的安全工作，但是后期的運作維護階段這些專業(yè)的公司的工作基本上僅限于數(shù)庫的故障維護上，然而企業(yè)的工作基本上都僅限于數(shù)據(jù)安全和系統(tǒng)維護方面。在這種情況下，一旦企業(yè)的數(shù)據(jù)庫被外界入侵，數(shù)據(jù)庫內(nèi)部的信息就會面臨著被竊取、篡改和刪除的威脅。其中如果數(shù)據(jù)庫中存儲的商業(yè)機密信息，若被篡改或者刪除，恢復(fù)起來也會十分困難，并會給企業(yè)帶來嚴重的損失。即使是存儲的是一般信息，也面臨著數(shù)據(jù)恢復(fù)的問題。

2數(shù)據(jù)庫使用安全所面臨的問題

數(shù)據(jù)庫在使用中面臨著數(shù)據(jù)庫硬件、操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)以及數(shù)據(jù)庫的加密等眾多方面的問題。

1）硬件對數(shù)據(jù)庫安全的威脅

硬件對于數(shù)據(jù)庫安全的主要影響因素包括UPS供電設(shè)備和磁盤系統(tǒng)兩個方面，其中，供電系統(tǒng)若出現(xiàn)瞬間的功率過載，則可能影響系統(tǒng)的正常運行。若長時間出現(xiàn)這種情況會對系統(tǒng)的安全造成威脅。比如長時間的電壓不穩(wěn)會造成機器的頻繁重啟。數(shù)據(jù)庫存儲磁盤，包括兩個方面，一方面是設(shè)備的運行損耗、存儲介質(zhì)失效、運行環(huán)境以及人為的破壞等，另外一方面是一個硬盤驅(qū)動器的物理損壞意味著數(shù)據(jù)丟失。同時安全措施還包括對數(shù)據(jù)庫系統(tǒng)硬件運行環(huán)境的安全，只有數(shù)據(jù)庫系統(tǒng)的硬盤始終運作在安全的環(huán)境之中，其中安全環(huán)境包括，合理的干濕度、溫度等，這些外在因素影響磁盤系統(tǒng)的讀寫能力。另外，要確保數(shù)據(jù)庫系統(tǒng)硬件不安裝運行在地震、洪水、泥石流等地方，防止給數(shù)據(jù)庫造成物理損害。對于重要數(shù)據(jù)要做好異地備份工作。

2）計算機網(wǎng)絡(luò)方面存在的安全威脅

當今的數(shù)據(jù)庫幾乎都接入到了互聯(lián)網(wǎng)中，然而當今的互聯(lián)網(wǎng)危機四伏，各種各樣的病毒和木馬橫行網(wǎng)絡(luò)，病毒要想侵入到數(shù)據(jù)庫服務(wù)器必然要接入計算機網(wǎng)絡(luò)，在不同的網(wǎng)絡(luò)環(huán)境中，計算機網(wǎng)絡(luò)病毒都或多或少地存在著，感染計算機病毒而破壞計算機系統(tǒng)，會給企業(yè)造成重大經(jīng)濟損失，計算機病毒的具有強大的復(fù)制能力和感染性。特別是在當今信息社會下，計算機網(wǎng)絡(luò)病毒具有更強的傳播性。與病毒相比，木馬具有更大的威脅，它常常隱藏在用戶的計算機系統(tǒng)中，對用戶信息進行盜竊，餓用戶卻很難發(fā)現(xiàn)。從而嚴重影響用戶的利益。像現(xiàn)在普遍存在的一些注入性病毒，給數(shù)據(jù)庫的使用安全帶來了嚴重的威脅。

3）操作系統(tǒng)給數(shù)據(jù)庫帶來的安全威脅

當前比較常用的數(shù)據(jù)庫系統(tǒng)有ORACLE、SyBase、MS SQL Server、MySQL、DB2等，這些數(shù)據(jù)庫系統(tǒng)有的只能運行于Windows平臺，有的只能運行于UNIX類平臺，有的兩者都可。不管數(shù)據(jù)庫是運行于一種或者多種操作系統(tǒng)之上，總之它必須運行于操作系統(tǒng)之上，然而，這也讓數(shù)據(jù)庫對計算機操作系統(tǒng)形成了一定的安全依賴性，也就是說，數(shù)據(jù)庫要保持安全的前提是計算機操作系統(tǒng)必須是安全的，操作系統(tǒng)的安全是數(shù)據(jù)庫安全的必要條件。可計算機操作系統(tǒng)安全性讓人擔憂，不僅windows操作系統(tǒng)漏洞百出，本身結(jié)構(gòu)上存在問題，就連linux和unix也有越來越多的漏洞被發(fā)現(xiàn)。因此當前計算機操作系統(tǒng)的安全難以讓人放心。

4）數(shù)據(jù)庫系統(tǒng)自身的配置和應(yīng)用系統(tǒng)的設(shè)計缺陷

很多用戶在默認安裝好系統(tǒng)的數(shù)據(jù)庫之后，就立即開始使用數(shù)據(jù)庫，對數(shù)據(jù)庫系統(tǒng)所處外界環(huán)境不夠重視，對數(shù)據(jù)庫是面向內(nèi)網(wǎng)用戶還是全網(wǎng)用戶考慮的不夠充分，數(shù)據(jù)庫放在內(nèi)網(wǎng)還是以面向全網(wǎng)都沒有給予充分的考慮，對于計算機數(shù)據(jù)庫中的對外開放端口是否需要更改端口，訪問端口的密碼設(shè)置等方面等都存在著嚴重的問題。數(shù)據(jù)庫管理系統(tǒng)可以采用不同的安全設(shè)置方法,對不同的用戶設(shè)置為不同的訪問權(quán)限,同時可以定期進行數(shù)據(jù)庫備份操作,防止由于系統(tǒng)問題導(dǎo)致的數(shù)據(jù)丟失。另外一定要做好系統(tǒng)的備份工作，否則，一旦系統(tǒng)受到攻擊或損壞，則系統(tǒng)數(shù)據(jù)很難得到快速恢復(fù)。盡管這以問題非常明顯，但是在現(xiàn)實的實踐當中時常被人忽略。在數(shù)據(jù)庫的應(yīng)用系統(tǒng)中，尤其是一些腳本語言，基于數(shù)據(jù)庫的Web應(yīng)用給數(shù)據(jù)庫的安全帶來了嚴重的威脅。要對腳本中的一些特殊字符進行過濾，防止惡意構(gòu)造SQL語句。

5）數(shù)據(jù)庫的加密

盡管數(shù)據(jù)庫系統(tǒng)加強了計算力操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等方面的工作，但是仍然不能有效的保證計算機的網(wǎng)絡(luò)安全，在2011年的中國互聯(lián)網(wǎng)用戶大規(guī)模被盜號，最后得出的最重要原因是沒有做好數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)加密工作。省去加密流程這一方面節(jié)約了成本，提高了用戶體驗，另一方面降低了數(shù)據(jù)庫內(nèi)數(shù)據(jù)的安全性。當前數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)是以明文的形式存儲的，然而如果入侵者繞過了系統(tǒng)的認證系統(tǒng)，那么數(shù)據(jù)庫的安全將難以保證，它就可以對數(shù)據(jù)庫中的信息進行破壞和修改。由于這種威脅更多的是來自于系統(tǒng)的內(nèi)部，因此，此時的防火墻、防入侵檢測等措施對內(nèi)部人員應(yīng)經(jīng)不起作用，因此他們可以很容易的對數(shù)據(jù)進行破壞。

6）數(shù)據(jù)庫使用安全中的人的因素

數(shù)據(jù)庫在使用中存在著各種各樣的網(wǎng)絡(luò)安全問題，歸根結(jié)底應(yīng)該是人的原因，一方面是有關(guān)組織和企業(yè)缺乏相關(guān)的數(shù)據(jù)庫系統(tǒng)的安全實用知識，不能夠?qū)?shù)據(jù)庫系統(tǒng)進行良好的配置，從而導(dǎo)致外來病毒和木馬的入侵，或者其它形式的入侵。另一方面表現(xiàn)在數(shù)據(jù)庫管理人員對管理的缺乏，對數(shù)據(jù)庫的安全不夠重視，往往在購買軟件時，過多的去強調(diào)軟件功能的強大，而忽略數(shù)據(jù)庫的安全性。另外，數(shù)據(jù)庫使用者也可能會修改影響系統(tǒng)運行的參數(shù)或者誤刪除系統(tǒng)的重要文件以及沒有按照規(guī)定要求或操作不當導(dǎo)致系統(tǒng)宕機。

3數(shù)據(jù)庫使用安全策略和技術(shù)

1）數(shù)據(jù)庫的硬件安全

由于影響數(shù)據(jù)庫的外部硬件安全包括，數(shù)據(jù)庫系統(tǒng)硬件所處地理位置、電力供應(yīng)保障、磁盤運行環(huán)境等。對于電力供應(yīng)問題由于是小概率事件，相對來講，對數(shù)據(jù)庫服務(wù)器產(chǎn)生不利影響也較小，因此容易被人忽視，但它還是可能發(fā)生的，所以有必要防患于未然。方法也簡單，為一組服務(wù)器、交換機共用一套UPS UPS即可。第二，上文提到，由于各種各樣的原因，數(shù)據(jù)庫中的磁盤的信息有可能受到損害，若采用磁盤陣列技術(shù)，則可能使服務(wù)器磁盤數(shù)據(jù)避免受損，當前比較常用的磁盤陣列技術(shù)有RAID1和RAID5兩種規(guī)范，其中RAID1的成本較高，但它的數(shù)據(jù)安全性和可用性也是最高的，RAID5則價格更低，通過奇偶校驗來完成數(shù)據(jù)的恢復(fù)工作。它更適用于小數(shù)據(jù)模塊和隨機讀寫的數(shù)據(jù)。對于數(shù)據(jù)庫中的重要信息要使用異地備份，雙擊容錯的系統(tǒng)，以保證在各種天災(zāi)人禍徹底癱瘓系統(tǒng)之后，數(shù)據(jù)能夠快速的到恢復(fù)，以及災(zāi)時的數(shù)據(jù)訪問。

2）網(wǎng)絡(luò)和操作系統(tǒng)方面的安全

網(wǎng)絡(luò)安全是數(shù)據(jù)庫安全的第一屏障，為了防止外部入侵數(shù)據(jù)庫，必須從以下三個方面保證數(shù)據(jù)庫系統(tǒng)的安全，分別是入侵檢測、防火墻、和殺毒系統(tǒng)。入侵檢測系統(tǒng)主要用于及時發(fā)現(xiàn)計算機系統(tǒng)中各種安全威脅，檢測不可信的網(wǎng)絡(luò)訪問通道，通過信息交換對入侵進行有效監(jiān)測。防火墻是指對網(wǎng)絡(luò)之間的流動的信息進行檢測，防止有害信息流入，不得流出的信息流出網(wǎng)絡(luò)等。殺毒系統(tǒng)主要是為了應(yīng)對當前橫行網(wǎng)絡(luò)的各種病毒和木馬，防止因為數(shù)據(jù)庫系統(tǒng)中毒，而遭到不法分子的破壞。

操作系統(tǒng)方面的安全策略則主要是對自身的各種配置。主要是用來數(shù)據(jù)庫的安全和合理分配用戶的權(quán)限。為了達到以上兩個目的，計算機操作系統(tǒng)必須采用合理的安全策略和安全配置，對數(shù)據(jù)進行加密、備份，保證數(shù)據(jù)存儲的安全性和傳輸?shù)陌踩浴１M管監(jiān)控程序可以對用戶登陸和密碼進行監(jiān)控，但是如果不能對操作系統(tǒng)進行合理的配置，很可能造成系統(tǒng)缺陷的紊亂。

3）做好管理工作，杜絕人為因素的影響

為了降低錯誤操作給數(shù)據(jù)庫帶來的安全威脅，就必須控制數(shù)據(jù)庫管理員的數(shù)量，數(shù)據(jù)庫管理員對數(shù)據(jù)庫具有最高的權(quán)限，可以對數(shù)據(jù)庫中的信息進行任意的更、刪、改，因此必須降低數(shù)據(jù)庫管理員用戶的數(shù)量，另外，對數(shù)據(jù)庫管理員最好有兩個人知道密碼，防止對一個管理員的依賴，防止因為數(shù)據(jù)庫管理員的意外，導(dǎo)致整個系統(tǒng)無法使用。而對于普通用戶，只需給與其需要的最小權(quán)限即可，以保證數(shù)據(jù)庫的安全。另外，要加大數(shù)據(jù)庫管理員的素質(zhì)，防止因為非技術(shù)渠道數(shù)據(jù)庫信息的丟失。

4結(jié)束語

數(shù)據(jù)庫的使用安全工作是一個復(fù)雜的工作不僅涉及到計算機網(wǎng)絡(luò)、操作系統(tǒng)、機密系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、機密等眾多因素，還包括管理以及人員的素質(zhì)等眾多方面的因素，因此，只有管理和技術(shù)兩手抓，兩手都要硬才能實現(xiàn)計算機網(wǎng)絡(luò)的使用安全。

參考文獻：

[1]宋志敏,南相浩.數(shù)據(jù)庫安全的研憲與進展[J].計算機工程與應(yīng)用,2009.

[2]張卓萌.淺談計算機病毒與防治策略[J].科技促進發(fā)展,2009(10):117.

[3]孔冬艷.基于對象關(guān)系型空間數(shù)據(jù)庫理論的GIS實現(xiàn)[D].北京:中國地質(zhì)大學,2010.

[4]陳從錦,楊昱.Oracle數(shù)據(jù)庫的安全防護概述[J].中山大學學報論叢,2010(3).

[5]張華.企業(yè)數(shù)據(jù)庫安全的模糊綜合評估[J].西安文理學院學報:自然科學版,2010(2).

[6]陳效軍,楊章瓊.數(shù)據(jù)庫安全概述[J].科技創(chuàng)新導(dǎo)報,2008(9).