周冰　劉芳

摘要：隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，微博給網(wǎng)民帶來了信息傳播與交往關(guān)系的新模式，而隨之而來的我們?nèi)绾伪ＷC這些數(shù)據(jù)和信息的安全顯得尤為重要。SSL協(xié)議能加密數(shù)據(jù)以防止數(shù)據(jù)被竊取，維護數(shù)據(jù)庫的完整性，并確保數(shù)據(jù)在傳輸過程中不被改變。

關(guān)鍵詞：微博；數(shù)據(jù)庫；SSL

中圖分類號：TP311 文獻標(biāo)識碼：A 文章編號：1009-3044（2013）08-1743-02

1 概述

隨著信息化的深入及手機互聯(lián)網(wǎng)的飛速發(fā)展，社會各項工作已越來越離不開計算機網(wǎng)絡(luò)與數(shù)據(jù)庫系統(tǒng)。層出不窮的網(wǎng)絡(luò)產(chǎn)品形態(tài)一步步改變?nèi)藗兊纳罘绞胶退季S方式。從BBS、電子郵件、即時通訊、博客到當(dāng)前炙手可熱的微博，這種新型社會化媒體給網(wǎng)民帶來了信息交流與交往關(guān)系的新奇體驗。

微博是一個基于用戶關(guān)系的信息分享、傳播以及獲取平臺，用戶可以通過WEB、WAP 和手機客戶端登錄個人主頁，Twitter限定每次發(fā)布140 字以內(nèi)的文字信息到網(wǎng)頁和手機等客戶端。微博整合了圖片、音樂、視頻、游戲、投票等功能，目前更是嵌套即時通訊、參與話題、群組討論等，可以更隨時隨地與網(wǎng)友分享信息，所有的信息都以在一個平臺上瀑布式地呈現(xiàn)。微博通過關(guān)注評論、轉(zhuǎn)發(fā)、訪問、加入微群來拓展新關(guān)系和維系已有的舊關(guān)系。它的存在使得大家越來越主動、交流越來越頻繁、方式也多樣化，這些都使用戶感受了全新的信息獲取、休閑娛樂與交友溝通方式。對促進現(xiàn)有社會資源充分發(fā)揮更大的效能、推動社會進度都有著積極的意義。社會的信息數(shù)據(jù)量急劇增長。而隨之而來的我們?nèi)绾伪ＷC這些數(shù)據(jù)和信息的安全，已經(jīng)構(gòu)成了信息社會運作的大動脈。

2 微博數(shù)據(jù)庫安全的重要性

曾經(jīng)一度駭人聽聞的泄密事件層出不窮，數(shù)據(jù)顯示，網(wǎng)站數(shù)據(jù)外泄事件中種種情況表明，高速發(fā)展中的網(wǎng)站都在拼價格、拼服務(wù)、等以期獲得更大的市場占有率，巨大的數(shù)據(jù)流量足以讓他們的忙得焦頭爛額了，并沒有多少閑暇時間和精力放在注冊用戶和信息的安全上。網(wǎng)站自身對用戶賬戶信息保密程度不夠重視，再配以內(nèi)部機制不健全而產(chǎn)生的內(nèi)部人員監(jiān)守自盜現(xiàn)象，由此，我們不難想像我們這些信息的安全狀況了。

微博憑借著及時性、開放性、交互性、獨立性等特點得到用戶越來越多的喜愛，隨著微博影響力逐步增加，黑客針對微博用戶的攻擊也會日趨活躍，尤其是專業(yè)機構(gòu)、網(wǎng)絡(luò)名人、意見領(lǐng)袖等粉絲數(shù)量眾多的微博帳號，稍有不慎就可能在短時間內(nèi)造成嚴(yán)重影響。微博每時每刻都有大量的實時消息產(chǎn)生，然而面對成千上萬的用戶，每天數(shù)百萬條、千萬條的記錄，如此海量數(shù)據(jù)，如何保證你的微博不被黑客盜用、不背著你亂發(fā)假消息、發(fā)廣告、甚至發(fā)病毒鏈接，數(shù)據(jù)信息安全顯得尤為重要。

現(xiàn)實世界的多數(shù)敏感數(shù)據(jù)都存儲在商業(yè)性數(shù)據(jù)庫系統(tǒng)中，數(shù)據(jù)庫是一個網(wǎng)站的核心，如果數(shù)據(jù)庫出現(xiàn)安全問題，輕則數(shù)據(jù)泄密，重則數(shù)據(jù)全毀，很可能會造成無法挽回的損失。這使得數(shù)據(jù)庫越來越成為犯罪分子喜愛的目標(biāo)，直接導(dǎo)致SQL 注入攻擊事件在近年來急劇增長，許多網(wǎng)站無法及時打上應(yīng)用程序補丁，致使大量的Web 應(yīng)用程序漏洞暴露在攻擊者面前。以前，很多組織機構(gòu)的安全防護重點集中在保障網(wǎng)絡(luò)外圍和客戶端系統(tǒng)的安全上，因此紛紛部署了防火墻、IDS/IPS、反病毒軟件等安全設(shè)備。但現(xiàn)在，保障自己的數(shù)據(jù)庫免受損害和阻止未授權(quán)的變更顯然更為重要。

3 解決微博數(shù)據(jù)庫安全問題的方法

下面是能夠提供數(shù)據(jù)整體安全性幾種方法，既可以捍衛(wèi)數(shù)據(jù)庫的安全，又可以用一些關(guān)鍵規(guī)范實現(xiàn)合規(guī)要求。

3.1 及時發(fā)現(xiàn)

我們無法保障將要發(fā)生事物的安全性，因此應(yīng)該對敏感數(shù)據(jù)有很好的洞察力，包括數(shù)據(jù)庫實例、位于數(shù)據(jù)庫中的敏感數(shù)據(jù)等，還應(yīng)該自動化“發(fā)現(xiàn)”的惡意程序。一旦存在新的或被修改的應(yīng)用程序、數(shù)據(jù)合并及數(shù)據(jù)獲得，敏感數(shù)據(jù)的位置就會不斷地發(fā)生變化。SQL 注入攻擊除了暴露機密信息以外，還準(zhǔn)許攻擊者在數(shù)據(jù)庫中嵌入其他的攻擊，以便于對付該網(wǎng)站的訪問者，所以應(yīng)及時利用有效的工具及時發(fā)現(xiàn)SQL 注入攻擊存放到數(shù)據(jù)庫中的惡意行為。

3.2 漏洞評估、實時監(jiān)視及追蹤記錄

強化和加固數(shù)據(jù)庫是的首要步驟，一次漏洞評估的結(jié)果通常包括一整套特別的建議。加固數(shù)據(jù)庫的其他要素還涉及清除并不使用的所有功能和選項。

要想快速檢測入侵和數(shù)據(jù)濫用，實時的數(shù)據(jù)庫活動監(jiān)視是限制數(shù)據(jù)暴露的關(guān)鍵。例如，數(shù)據(jù)庫活動監(jiān)視能夠?qū)~戶的特權(quán)提升、非授權(quán)的數(shù)據(jù)變更、非正常的訪問模式、經(jīng)由SQL 命令而執(zhí)行的配置變更等發(fā)出警告。

數(shù)據(jù)庫活動監(jiān)視還是漏洞評估的一個關(guān)鍵組件，因為它準(zhǔn)許您超越傳統(tǒng)的靜態(tài)評估，可以包括“行為漏洞”的動態(tài)評估。例如，多個共享特權(quán)用戶的登錄憑證或者失敗的數(shù)據(jù)庫登錄的過多數(shù)量等。有些數(shù)據(jù)庫監(jiān)視技術(shù)還提供應(yīng)用層的監(jiān)視，準(zhǔn)許您檢測由多重應(yīng)用程序所執(zhí)行而不是直接連接到數(shù)據(jù)庫的欺詐行為。

3.3 變更審核及警告

對于可能影響到安全態(tài)勢、數(shù)據(jù)完整性或查看敏感數(shù)據(jù)的任何數(shù)據(jù)庫活動，都要生成安全的、無爭議的審核記錄。除了作為合規(guī)性要求的關(guān)鍵要素外，擁有精細的審核記錄對于取證調(diào)查也是極為重要的。

新一代的數(shù)據(jù)活動監(jiān)視方案可以提供精細的、獨立于數(shù)據(jù)庫管理系統(tǒng)的審核，而且它對數(shù)據(jù)庫系統(tǒng)性能的影響極小，同時又有自動化、集中化的跨數(shù)據(jù)庫策略和審核規(guī)則庫、過濾和壓縮等特性，因而可以減少操作成本。并在發(fā)生影響到數(shù)據(jù)庫安全的數(shù)據(jù)變更時，及時向數(shù)據(jù)庫管理員發(fā)出警告。

3.4數(shù)字認(rèn)證、訪問控制、權(quán)利管理

應(yīng)圍繞數(shù)字證書應(yīng)用，為微博信息中各種業(yè)務(wù)應(yīng)用提供信息的真實性、完整性、機密性和不可否認(rèn)性保證。并非所有的用戶和數(shù)據(jù)都平等，必須驗證所有的用戶，保障每個用戶都有完整的義務(wù)，并管理其特權(quán)，以限制對數(shù)據(jù)的訪問，還必須強化這些特權(quán)，即使對于最有特權(quán)的數(shù)據(jù)庫用戶也是如此，并需要定期檢查權(quán)利報告，將其用于正式的審核過程的一部分。

3.5 SSL加密技術(shù)

使用加密技術(shù)可以讓不法之徒無法閱讀敏感數(shù)據(jù)，并且在數(shù)據(jù)傳輸中采用加密傳輸，這樣攻擊者就無法從數(shù)據(jù)庫的外部獲得對數(shù)據(jù)的未經(jīng)授權(quán)的訪問。這包括對傳輸中的數(shù)據(jù)進行加密，因而在數(shù)據(jù)被發(fā)送給數(shù)據(jù)庫客戶端時，攻擊者就無法在網(wǎng)絡(luò)層實施竊聽及獲得對數(shù)據(jù)的訪問。這種加密還包括對靜態(tài)的數(shù)據(jù)進行加密，即使攻擊者能夠訪問媒體文件也無法獲取數(shù)據(jù)。

為了保護敏感數(shù)據(jù)在傳送過程中的安全，采用SSL安全保密協(xié)議，在Web瀏覽器和Web服務(wù)器之間構(gòu)造安全交換來進行數(shù)據(jù)傳輸，SSL提供兩個基本的安全服務(wù)：鑒別與保密。SSL運行在TCP/IP層之上、應(yīng)用層之下，為應(yīng)用程序提供加密數(shù)據(jù)通道，它采用了RC4、MD5以及RSA等加密算法，使用40 位的密鑰，適用于商業(yè)信息的加密。HTTPS協(xié)議使用SSL在發(fā)送方把原始數(shù)據(jù)進行加密，然后在接受方進行解密，加密和解密需要發(fā)送方和接受方通過交換共知的密鑰來實現(xiàn)，因此，所傳送的數(shù)據(jù)不容易被網(wǎng)絡(luò)黑客截獲和解密。

網(wǎng)站使用數(shù)字簽名之后，即可實現(xiàn) SSL安全登錄。當(dāng)選擇“SSL安全登錄”后登錄微博，用戶名和密碼會首先加密，然后通過SSL連接在 Internet 上傳送，沒有人能夠讀取或訪問到利用該連接傳送的數(shù)據(jù)。使用SSL可以對通訊內(nèi)容進行高強度的加密，從而可以有效防止黑客盜取用戶名、密碼和通訊內(nèi)容，保證了微博信息的安全性。

SSL介于應(yīng)用層和TCP層之間。應(yīng)用層數(shù)據(jù)不再直接傳遞給傳輸層，而是傳遞給SSL層，SSL層對從應(yīng)用層收到的數(shù)據(jù)進行加密，并增加自己的SSL頭。

4 結(jié)束語

本文介紹了SSL在數(shù)據(jù)庫及數(shù)據(jù)傳輸中的研究，實際表明，在SSL加密環(huán)境中，對數(shù)據(jù)庫及數(shù)據(jù)傳輸?shù)陌踩云鸬搅吮容^好的效果，具有一定的實際應(yīng)用價值。

參考文獻：

[1] 北京市微博安全管理規(guī)定.[2011-12-16].

[2] 李錦星.完全用nosql輕松打造千萬級數(shù)據(jù)量的微博系統(tǒng)[EB/OL].[2012-07-12].http：//wenku.baidu.com/view/a770f6878762 caaedd33d4ft/html.