兩種數(shù)據(jù)庫(kù)安全防護(hù)技術(shù)的比較研究

2014-08-14 18:40吳克明林伊凡

電腦知識(shí)與技術(shù) 2014年19期

關(guān)鍵詞：數(shù)據(jù)庫(kù)安全數(shù)字水印觸發(fā)器

吳克明+林伊凡

摘要：對(duì)數(shù)據(jù)庫(kù)的安全防護(hù)進(jìn)行介紹，著重對(duì)基于數(shù)字水印和基于觸發(fā)器這兩種數(shù)據(jù)庫(kù)防護(hù)技術(shù)進(jìn)行詳細(xì)研究，并對(duì)兩種方法在應(yīng)用范圍、實(shí)現(xiàn)難度、通用程度和技術(shù)差別進(jìn)行比較，發(fā)現(xiàn)基于觸發(fā)器技術(shù)在SQL Server數(shù)據(jù)庫(kù)中性能優(yōu)勢(shì)明顯，而基于數(shù)字水印的防護(hù)技術(shù)適用所有關(guān)系數(shù)據(jù)庫(kù)，有廣泛的應(yīng)用范圍。

關(guān)鍵詞：數(shù)據(jù)庫(kù)安全；數(shù)字水印；觸發(fā)器；SQL Server

中圖分類(lèi)號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）19-4375-03

Research and Comparison of Two Database Security Defense Techniques

WU Ke-ming1，LIN Yi-fan2

（1.College of Electronics Eng. Naval Univ. of Engineening， Wuhan 430033，China；2.Shanghai Military Representative Office of NED ，Shanghai 200000，China）

Abstract： On based of the security of the database are described， researched these two methods，that based on the digital watermarking and based on database triggers in detail， and compared the two methods in four aspects those the application， implementation difficulty， common extent and technology.then found that Trigger-based techniques in the SQL Server database performance advantages are obvious， but protection technique based on digital watermarking is applicable to all relational databases with a wide range of applications.

Key words： database security； fragile watermark； trigger； SQL Server

隨著我國(guó)經(jīng)濟(jì)社會(huì)不斷發(fā)展，以計(jì)算機(jī)技術(shù)為代表的信息技術(shù)在我國(guó)各行業(yè)領(lǐng)域應(yīng)用愈發(fā)廣泛和深入，特別是以數(shù)據(jù)庫(kù)技術(shù)為核心的管理信息系統(tǒng)普遍應(yīng)用于輔助管理。然而，由于數(shù)據(jù)庫(kù)中的設(shè)計(jì)、管理中存在的問(wèn)題和漏洞，不法分子容易進(jìn)行非法侵入并進(jìn)行數(shù)據(jù)庫(kù)攻擊。因此如何保護(hù)數(shù)據(jù)庫(kù)信息安全，特別是研究核心數(shù)據(jù)安全防護(hù)技術(shù)，如何及時(shí)發(fā)現(xiàn)入侵，避免數(shù)據(jù)篡改具有重要意義。

文章主要對(duì)數(shù)據(jù)庫(kù)的數(shù)據(jù)安全防護(hù)基本方法進(jìn)行介紹，針對(duì)數(shù)據(jù)庫(kù)的數(shù)據(jù)安全采用數(shù)據(jù)庫(kù)數(shù)字水印技術(shù)和基于觸發(fā)器的數(shù)據(jù)保護(hù)技術(shù)進(jìn)行研究，并對(duì)兩種方法進(jìn)行比較，發(fā)現(xiàn)針對(duì)不同的應(yīng)用需求，兩種數(shù)據(jù)庫(kù)安全防護(hù)技術(shù)在不同防護(hù)側(cè)面各有優(yōu)點(diǎn)。

1 數(shù)據(jù)庫(kù)安全防護(hù)技術(shù)

數(shù)據(jù)庫(kù)安全防護(hù)技術(shù)是防護(hù)數(shù)據(jù)庫(kù)不受侵入的技術(shù)，主要分為動(dòng)態(tài)入侵行為檢測(cè)和靜態(tài)安全特性檢測(cè)兩種類(lèi)型防護(hù)技術(shù)[1]。其中動(dòng)態(tài)安全防護(hù)技術(shù)，即動(dòng)態(tài)入侵行為檢測(cè)是針對(duì)客戶(hù)端對(duì)數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)請(qǐng)求的通信信息進(jìn)行識(shí)別分析，發(fā)現(xiàn)其中具有危險(xiǎn)侵入可能的通信指令，從而保證數(shù)據(jù)庫(kù)安全。靜態(tài)安全防護(hù)也稱(chēng)數(shù)據(jù)庫(kù)安全特性檢測(cè)防護(hù)，則是對(duì)數(shù)據(jù)庫(kù)設(shè)計(jì)中存在的可能漏洞進(jìn)行分析測(cè)試，發(fā)現(xiàn)其中的安全策略或設(shè)置的問(wèn)題。該文主要研究的是數(shù)據(jù)庫(kù)的靜態(tài)安全防護(hù)，通過(guò)檢測(cè)數(shù)據(jù)庫(kù)管理系統(tǒng)的安全配置來(lái)發(fā)現(xiàn)安全隱患，為數(shù)據(jù)庫(kù)安全策略的實(shí)施和改進(jìn)，以及數(shù)據(jù)庫(kù)用戶(hù)的行為檢測(cè)提供可靠信息[2]。

數(shù)據(jù)庫(kù)安全特性分析以及其檢測(cè)工具的設(shè)計(jì)是數(shù)據(jù)庫(kù)安全技術(shù)的重要研究領(lǐng)域，西方國(guó)家自上世紀(jì)八十年代開(kāi)始對(duì)數(shù)據(jù)庫(kù)登錄管理進(jìn)行認(rèn)證研究，以便保證數(shù)據(jù)庫(kù)管理系統(tǒng)（Database Management System，DBMS）安全有效運(yùn)行[3]。商業(yè)關(guān)系數(shù)據(jù)庫(kù)的安全主要依賴(lài)生產(chǎn)廠家提供的最佳安全策略進(jìn)行保障實(shí)施，然而自上世紀(jì)末科學(xué)家發(fā)現(xiàn)穩(wěn)定性安全性在業(yè)內(nèi)很高的Oracle數(shù)據(jù)庫(kù)也存在巨大安全漏洞，作為管理信息系統(tǒng)的核心DBMS的未知安全特性風(fēng)險(xiǎn)，特別是數(shù)據(jù)庫(kù)中的高危漏洞的評(píng)估和識(shí)別，逐步成為人們關(guān)注焦點(diǎn)，同時(shí)也更加深入認(rèn)識(shí)到DBMS安全級(jí)別認(rèn)證和安全風(fēng)險(xiǎn)評(píng)估的差異。因此數(shù)據(jù)庫(kù)安全研究人員從本世紀(jì)初開(kāi)始了數(shù)據(jù)庫(kù)漏洞掃描及利用等數(shù)據(jù)庫(kù)管理系統(tǒng)安全特性的漏洞檢測(cè)和風(fēng)險(xiǎn)評(píng)估研究。

2 兩種數(shù)據(jù)庫(kù)安全防護(hù)技術(shù)

數(shù)據(jù)庫(kù)的安全即包括硬件也包括軟件，即包括用戶(hù)角色也包括數(shù)據(jù)安全，其中最重要的就是核心數(shù)據(jù)安全。這里研究?jī)煞N數(shù)據(jù)庫(kù)中保護(hù)核心數(shù)據(jù)安全的防護(hù)技術(shù)，一種基于數(shù)據(jù)庫(kù)數(shù)字水印技術(shù)，一種則是基于SQL Server數(shù)據(jù)庫(kù)觸發(fā)器技術(shù)。SQL Server系列數(shù)據(jù)庫(kù)是微軟公司推出的一款關(guān)系數(shù)據(jù)庫(kù)開(kāi)發(fā)系統(tǒng)，在大型企業(yè)信息系統(tǒng)中作為DBMS有著廣泛應(yīng)用[4]。

2.1 基于水印技術(shù)的安全防護(hù)技術(shù)

關(guān)系數(shù)據(jù)庫(kù)數(shù)字水印是將數(shù)字水印技術(shù)應(yīng)用于數(shù)據(jù)庫(kù)安全技術(shù)中，在確保數(shù)據(jù)庫(kù)正常運(yùn)行基礎(chǔ)上，通過(guò)對(duì)數(shù)據(jù)庫(kù)的冗余空間中嵌入水印信息，從而實(shí)現(xiàn)保護(hù)關(guān)系數(shù)據(jù)庫(kù)版權(quán)或確保數(shù)據(jù)庫(kù)安全的目標(biāo)。

關(guān)系數(shù)據(jù)庫(kù)水印嵌入技術(shù)和水印提取和檢測(cè)技術(shù)[5]是關(guān)系數(shù)據(jù)庫(kù)水印技術(shù)研究的兩個(gè)重要方面。水印嵌入的關(guān)系數(shù)據(jù)庫(kù)設(shè)定為[R=M，A1，A2，…An]，其中M是數(shù)據(jù)庫(kù)中的主鍵，是數(shù)據(jù)表示對(duì)象的不變屬性，其信息領(lǐng)域包含信息和屬性意義最大，也叫最大意義屬性MSA[6]，Ai（0

[W=βP，Ai（Ai為水印構(gòu)造調(diào)用屬性）]

研究的數(shù)據(jù)庫(kù)安全防護(hù)技術(shù)主要采用數(shù)據(jù)庫(kù)脆弱水印方法，其水印構(gòu)造算法基本思想是通過(guò)決策樹(shù)算法對(duì)關(guān)系數(shù)據(jù)庫(kù)的非主鍵屬性Ai進(jìn)行分組，對(duì)分組的MSA的數(shù)學(xué)P結(jié)合密鑰η，根據(jù)需要構(gòu)建的水印W位數(shù)K，進(jìn)行哈希變換hash（η，K，P）進(jìn)行重新排序，最后將水印序列W的K位信息嵌入到排序后的各元組數(shù)學(xué)Ai中。其水印構(gòu)造嵌入的具體步驟為：

第一步：

對(duì)數(shù)據(jù)庫(kù)中非MSA屬性Ai進(jìn)行決策樹(shù)分化，構(gòu)建Ai：{（a1，a2），（a3，a4），…}子樹(shù)劃分形成分組，根據(jù)屬性數(shù)據(jù)類(lèi)型的不同采用不同劃分方法：

1）連續(xù)性數(shù)值數(shù)據(jù)利用決策樹(shù)方法分劃，設(shè)定最大閥值分組為離散組列[7]；

2）文本數(shù)據(jù)利用length（）等函數(shù)轉(zhuǎn)變?yōu)檫B續(xù)的數(shù)值數(shù)據(jù)，再按連續(xù)數(shù)據(jù)分組處理；

3）離散型數(shù)據(jù)可以直接按照較多離散點(diǎn)進(jìn)行劃分。

第二步：

對(duì)Ai劃分的n個(gè)分組采用hash（η，K，P）函數(shù)，構(gòu)建新的分組排序，并按哈希沖突處理嵌入“0”或“1”，結(jié)合水印W的K位序列進(jìn)行元組排序，并按此重新排序主鍵屬性P。

第三步：

元組數(shù)據(jù)的水印序列嵌入方法：

針對(duì)文本型數(shù)據(jù)，需要嵌入位為0時(shí)，對(duì)文本數(shù)據(jù)不作改變；當(dāng)需要嵌入位為1時(shí)，在該文本數(shù)據(jù)的結(jié)尾加入一個(gè)空格符。進(jìn)行水印檢測(cè)或提取時(shí)，研究比較文本長(zhǎng)度和空格位置，一致時(shí)取0，不一致時(shí)取1。

針對(duì)數(shù)值型數(shù)據(jù)，利用數(shù)值型數(shù)據(jù)的最低有效位（LSB）進(jìn)行嵌入，根據(jù)數(shù)值型數(shù)據(jù)的字段長(zhǎng)度和最低有效位數(shù)的差值多少來(lái)確定嵌入信息量。

第四步：

對(duì)關(guān)系數(shù)據(jù)庫(kù)R中的其他屬性Ai，按照步驟二、三的方法對(duì)各屬性元組進(jìn)行水印嵌入。

脆弱水印數(shù)據(jù)庫(kù)的數(shù)字水印檢測(cè)和提取技術(shù)是嵌入算法的反過(guò)程，主要對(duì)各元組數(shù)據(jù)按照哈希函數(shù)進(jìn)行重新排序，對(duì)各元組數(shù)據(jù)按反過(guò)程進(jìn)行水印提取，對(duì)n組序列提取后，按照大數(shù)選舉方法同水印W按位比較，發(fā)現(xiàn)不符位從而確定篡改的元組和屬性。

2.2 基于觸發(fā)器的安全防護(hù)技術(shù)

觸發(fā)器是關(guān)系數(shù)據(jù)庫(kù)中響應(yīng)數(shù)據(jù)定義語(yǔ)言（DML）事件或數(shù)據(jù)操作語(yǔ)言（DML）事件而自動(dòng)執(zhí)行的特殊類(lèi)型存儲(chǔ)過(guò)程[8]，當(dāng)數(shù)據(jù)庫(kù)發(fā)現(xiàn)操作或定義行為時(shí)自動(dòng)運(yùn)行。

根據(jù)定義，SQL Server據(jù)對(duì)數(shù)據(jù)庫(kù)進(jìn)行操作行為的不同將觸發(fā)器DDL觸發(fā)器和DML觸發(fā)器兩大類(lèi)，其具體定義為：

1） DML觸發(fā)器，DML觸發(fā)器[9]在CREATE、ALTER、DROP以及其他數(shù)據(jù)表定義語(yǔ)言的進(jìn)行執(zhí)行管理任務(wù)，可以強(qiáng)制影響數(shù)據(jù)庫(kù)的業(yè)務(wù)規(guī)則，即可以應(yīng)用于數(shù)據(jù)庫(kù)或服務(wù)器中某一類(lèi)型操作命令，也可用于審核和控制數(shù)據(jù)庫(kù)操作等管理任務(wù)。

2） DDL觸發(fā)器，DDL觸發(fā)器[10]在INSERT、UPDATE和DELETE等數(shù)據(jù)操作語(yǔ)句上操作，完成表或視圖的數(shù)據(jù)操作時(shí)的強(qiáng)制業(yè)務(wù)規(guī)則，并擴(kuò)展數(shù)據(jù)完整性。DML觸發(fā)器可定義于表或視圖上，也可查詢(xún)其他表。

DML觸發(fā)器可以按照觸發(fā)時(shí)機(jī)分為INSTEAD OF觸發(fā)器和AFTER觸發(fā)器。其中INSTEAD OF觸發(fā)器在執(zhí)行DML語(yǔ)句操作成功之前執(zhí)行，AFTER觸發(fā)器在執(zhí)行DML語(yǔ)句操作成功之后執(zhí)行。

DML觸發(fā)器按照觸發(fā)操作行為可分為INSERT， UPDATE和DELETE觸發(fā)器，分別針對(duì)數(shù)據(jù)庫(kù)的表或視圖的插入、更新和刪除，主要利用到系統(tǒng)提供的inserted和deleted兩個(gè)系統(tǒng)表。其中Inserted表用于存儲(chǔ)INSERT和UPDATE操作時(shí)，語(yǔ)句所影響到的數(shù)據(jù)行的復(fù)制。當(dāng)數(shù)據(jù)庫(kù)執(zhí)行插入或更新操作時(shí)，添加的新數(shù)據(jù)行或更新的數(shù)據(jù)行副本將添加inserted表中。deleted表用于存儲(chǔ)DELETE和UPDATE語(yǔ)句所影響的行的復(fù)制。當(dāng)數(shù)據(jù)庫(kù)表或視圖執(zhí)行刪除或更新操作，涉及行從觸發(fā)器執(zhí)行表中刪除，同時(shí)在Deleted表中備份存儲(chǔ)。根據(jù)inserted和deleted兩個(gè)系統(tǒng)表特點(diǎn)發(fā)現(xiàn)，當(dāng)數(shù)據(jù)庫(kù)中數(shù)據(jù)表或視圖執(zhí)行UPDATE操作語(yǔ)句時(shí)，更新事務(wù)等同于在該數(shù)據(jù)行先刪除后插入，刪除舊行并復(fù)制到deleted表中，然后插入新行到觸發(fā)器表并復(fù)制到inserted表中。

根據(jù)觸發(fā)器特點(diǎn)，構(gòu)建基于觸發(fā)器的數(shù)據(jù)庫(kù)安全防護(hù)系統(tǒng)，其基本結(jié)構(gòu)如圖1。

如圖1，利用數(shù)據(jù)庫(kù)觸發(fā)器的特性，當(dāng)用戶(hù)登錄數(shù)據(jù)庫(kù)信息系統(tǒng)后，數(shù)據(jù)庫(kù)的監(jiān)控模塊將記錄用戶(hù)信息同時(shí)登記到用戶(hù)認(rèn)證的登錄審計(jì)表中。當(dāng)用戶(hù)操作數(shù)據(jù)庫(kù)時(shí)，根據(jù)用戶(hù)操作行為的不同引發(fā)不同類(lèi)型的觸發(fā)器，將數(shù)據(jù)庫(kù)表或視圖的操作相關(guān)信息寫(xiě)入到用戶(hù)操作信息審計(jì)表中，同時(shí)設(shè)計(jì)觸發(fā)器執(zhí)行當(dāng)操作數(shù)據(jù)庫(kù)定義操作時(shí)，則備份數(shù)據(jù)庫(kù)；當(dāng)操作是數(shù)據(jù)庫(kù)基本操作時(shí)，則更新原數(shù)據(jù)記錄到副表。

當(dāng)管理員登錄系統(tǒng)可審查用戶(hù)操作信息審查表，對(duì)于審查發(fā)現(xiàn)的非法用戶(hù)或非授權(quán)用戶(hù)操作的，則還原數(shù)據(jù)庫(kù)到備份點(diǎn)，具體方法為當(dāng)進(jìn)行數(shù)據(jù)表操作，則從基表副表中通過(guò)逆操作恢復(fù)此數(shù)據(jù)，視圖操作則恢復(fù)到基本表中，其他數(shù)據(jù)表的定義操作則直接還原數(shù)據(jù)庫(kù)。通過(guò)觸發(fā)器最終實(shí)現(xiàn)對(duì)核心數(shù)據(jù)的禁止修改和寫(xiě)入等操作，對(duì)其他數(shù)據(jù)實(shí)現(xiàn)修改記錄并提供可恢復(fù)技術(shù)。

3 兩種防護(hù)技術(shù)比較

基于數(shù)字水印技術(shù)和基于觸發(fā)器的兩種SQL Server數(shù)據(jù)庫(kù)安全防護(hù)技術(shù)，在實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)核心數(shù)據(jù)安全保護(hù)中都能發(fā)揮防護(hù)作用，但兩種防護(hù)技術(shù)仍存在區(qū)別，具體分析如下：

1）應(yīng)用范圍不同?；跀?shù)字水印的防護(hù)技術(shù)主要通過(guò)對(duì)關(guān)系數(shù)據(jù)庫(kù)中嵌入水印實(shí)現(xiàn)核心數(shù)據(jù)防護(hù)；基于觸發(fā)器的防護(hù)技術(shù)則是主要針對(duì)SQL Server數(shù)據(jù)庫(kù)。

2）算法難度不同?；跀?shù)字水印的防護(hù)技術(shù)的嵌入和提取水印算法較為復(fù)雜；基于觸發(fā)器的防護(hù)技術(shù)則主要在數(shù)據(jù)庫(kù)中進(jìn)行修改、添加相應(yīng)數(shù)據(jù)表，設(shè)置觸發(fā)器即可實(shí)現(xiàn)。endprint

3）通用程度不同?；跀?shù)字水印的防護(hù)技術(shù)對(duì)于不同的數(shù)據(jù)庫(kù)數(shù)據(jù)和水印信息要重新設(shè)計(jì)算法，通用性不高；基于觸發(fā)器則只需對(duì)相應(yīng)數(shù)據(jù)表格作簡(jiǎn)單調(diào)整即可在不同數(shù)據(jù)庫(kù)中通用。

4）保護(hù)技術(shù)差別?；跀?shù)字水印的防護(hù)技術(shù)主要通過(guò)發(fā)現(xiàn)數(shù)據(jù)庫(kù)中核心數(shù)據(jù)的篡改并定位，來(lái)保護(hù)核心數(shù)據(jù)；基于觸發(fā)器則通過(guò)對(duì)核心數(shù)據(jù)設(shè)定禁寫(xiě)觸發(fā)器來(lái)保護(hù)，對(duì)其他數(shù)據(jù)的修改則進(jìn)行記錄，并提供恢復(fù)技術(shù)來(lái)保護(hù)數(shù)據(jù)安全。

兩種數(shù)據(jù)庫(kù)安全防護(hù)技術(shù)的差別匯總?cè)绫?。

表1

[防護(hù)技術(shù)＼&應(yīng)用范圍＼&實(shí)現(xiàn)難度＼&通用程度＼&技術(shù)差別＼&基于數(shù)字水印＼&關(guān)系數(shù)據(jù)庫(kù)＼&較難＼&不高＼&對(duì)篡改數(shù)據(jù)定位＼&基于觸發(fā)器＼&SQL Server系列數(shù)據(jù)庫(kù)＼&較易＼&較好＼&核心數(shù)據(jù)禁寫(xiě)，其他記錄修改，并提供恢復(fù)技術(shù)＼&]

可以發(fā)現(xiàn)，對(duì)于SQL server數(shù)據(jù)庫(kù)，基于觸發(fā)器的安全防護(hù)技術(shù)實(shí)現(xiàn)較容易，較好的通用性，既能發(fā)現(xiàn)數(shù)據(jù)修改還能提供數(shù)據(jù)恢復(fù)技術(shù)，基于數(shù)字水印的防護(hù)技術(shù)則對(duì)于所有的關(guān)系數(shù)據(jù)庫(kù)均能應(yīng)用，應(yīng)用范圍廣。

4 結(jié)論

本文對(duì)數(shù)據(jù)庫(kù)的安全防護(hù)進(jìn)行介紹，著重對(duì)基于數(shù)字水印和基于觸發(fā)器這兩種數(shù)據(jù)庫(kù)防護(hù)技術(shù)進(jìn)行詳細(xì)研究，并對(duì)兩種方法在應(yīng)用范圍、實(shí)現(xiàn)難度、通用程度和技術(shù)差別進(jìn)行比較，發(fā)現(xiàn)基于觸發(fā)器技術(shù)在SQL Server數(shù)據(jù)庫(kù)中性能優(yōu)勢(shì)明顯，而基于數(shù)字水印的防護(hù)技術(shù)適用所有關(guān)系數(shù)據(jù)庫(kù)，有廣泛的應(yīng)用范圍。

參考文獻(xiàn)：

[1] José Fonseca，Marco Vieira，Henrique Madeira.Integrated Intrusion Detectionin Databases[M].A.Bondavalli，F(xiàn).Brasileiro，and S.Rajsbaum（Eds.）：LADC 2007，LNCS 4746.2007：198-211.

[2] 焦巖.關(guān)于數(shù)據(jù)庫(kù)系統(tǒng)安全現(xiàn)狀的研究[J].計(jì)算機(jī)安全，2010（5）：15-25.

[3] 李瑞林.計(jì)算機(jī)數(shù)據(jù)庫(kù)安全管理研究[J]制造業(yè)自動(dòng)化，2012（3）：112-116.

[4] 孫明麗，王斌，劉瑩.SQL Server 2005 數(shù)據(jù)庫(kù)系統(tǒng)開(kāi)發(fā)完全手冊(cè)[M].北京：人民郵電出版社，2007：10-15.

[5] 牛夏牧，趙亮，黃文軍，等.利用數(shù)字水印技術(shù)實(shí)現(xiàn)數(shù)據(jù)庫(kù)的版權(quán)保護(hù)[J].電子學(xué)報(bào)，2003，31（12A）：2050-2054.

[6] 顧力平，聶元銘.基于決策樹(shù)的數(shù)據(jù)庫(kù)脆弱水印算法研究[J].艦船電子工程，2013（04）：57-61.

[7] Quinlan J R.C4.5：Programs for machine learning[M].San Mateo：Morgan Kaufmann Publishers Inc，1993：17-42.

[8] 郭暉，周鋼.基于觸發(fā)器的考核管理信息系統(tǒng)監(jiān)控模塊的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)安全，2011（9）：47-52.

[9] 張丹. SQL Server中存儲(chǔ)過(guò)程與觸發(fā)器技術(shù)的研究與應(yīng)用[J].高新技術(shù)，2008（23）：24.

[10] 魏錦茂. SQL觸發(fā)器在數(shù)據(jù)庫(kù)設(shè)計(jì)中的應(yīng)用[J].數(shù)據(jù)庫(kù)與信息管理，1995（3）：73-74.endprint

4）保護(hù)技術(shù)差別。基于數(shù)字水印的防護(hù)技術(shù)主要通過(guò)發(fā)現(xiàn)數(shù)據(jù)庫(kù)中核心數(shù)據(jù)的篡改并定位，來(lái)保護(hù)核心數(shù)據(jù)；基于觸發(fā)器則通過(guò)對(duì)核心數(shù)據(jù)設(shè)定禁寫(xiě)觸發(fā)器來(lái)保護(hù)，對(duì)其他數(shù)據(jù)的修改則進(jìn)行記錄，并提供恢復(fù)技術(shù)來(lái)保護(hù)數(shù)據(jù)安全。

兩種數(shù)據(jù)庫(kù)安全防護(hù)技術(shù)的差別匯總?cè)绫?。

表1

[防護(hù)技術(shù)＼&應(yīng)用范圍＼&實(shí)現(xiàn)難度＼&通用程度＼&技術(shù)差別＼&基于數(shù)字水?。?關(guān)系數(shù)據(jù)庫(kù)＼&較難＼&不高＼&對(duì)篡改數(shù)據(jù)定位＼&基于觸發(fā)器＼&SQL Server系列數(shù)據(jù)庫(kù)＼&較易＼&較好＼&核心數(shù)據(jù)禁寫(xiě)，其他記錄修改，并提供恢復(fù)技術(shù)＼&]