任志欽

[摘 要]在科技高度發(fā)展的影響下，互聯(lián)網(wǎng)技術(shù)已經(jīng)普遍應(yīng)用于企業(yè)單位及學(xué)校等各個(gè)領(lǐng)域中，逐漸改變了人們的生活與工作方式，產(chǎn)生了非常深遠(yuǎn)的影響。與此同時(shí)，計(jì)算機(jī)病毒、黑客攻擊等安全事件頻發(fā)，嚴(yán)重威脅到了網(wǎng)絡(luò)安全，給人們的信息與隱私帶來較大的不良影響。在此種形勢(shì)下，就需要加大對(duì)數(shù)據(jù)庫安全的研究力度，充分確保網(wǎng)絡(luò)的安全性?；诖?，本文從網(wǎng)絡(luò)數(shù)據(jù)庫的相關(guān)概念出發(fā)，就網(wǎng)絡(luò)數(shù)據(jù)庫的安全防御措施及設(shè)計(jì)展開深入探討。

[關(guān)鍵詞]網(wǎng)絡(luò)數(shù)據(jù)庫 安全措施 B/W/D 三層結(jié)構(gòu)模型

中圖分類號(hào)：TP311.13 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-914X（2016）12-0397-01

引言

網(wǎng)絡(luò)信息安全不僅關(guān)系著廣大群眾以及國家的安全，同時(shí)也是社會(huì)穩(wěn)定的保障。近些年來，隨著科技的進(jìn)步與發(fā)展，網(wǎng)絡(luò)技術(shù)也得到了廣泛應(yīng)用。其中，信息技術(shù)具有較強(qiáng)的開放性與共享性，且傳播速度快，范圍廣，在給人們生活與工作帶來較大便利的同時(shí)，也使得網(wǎng)絡(luò)數(shù)據(jù)庫容易受到黑客的攻擊，存在較大的安全隱患。在此種形勢(shì)下，急需對(duì)網(wǎng)絡(luò)數(shù)據(jù)庫安全進(jìn)行有效的防御，以便提高網(wǎng)絡(luò)的安全性與可靠性。

1.網(wǎng)絡(luò)數(shù)據(jù)庫相關(guān)概念

網(wǎng)絡(luò)數(shù)據(jù)庫指的是將后臺(tái)數(shù)據(jù)庫作為基礎(chǔ)，利用前臺(tái)程序向用戶提供一定的訪問，并借助瀏覽器來儲(chǔ)存、查詢數(shù)據(jù)的一種信息集合。其中，B/W/D 三層結(jié)構(gòu)為當(dāng)前主要的網(wǎng)絡(luò)數(shù)據(jù)庫模型，此模型的組成部分包括客戶端瀏覽器、應(yīng)用服務(wù)器與Web服務(wù)器、數(shù)據(jù)庫服務(wù)器。模型的第一層為客戶端瀏覽器軟件，為系統(tǒng)與用戶的連接口，該瀏覽器將代碼轉(zhuǎn)化為相應(yīng)的網(wǎng)頁，向后臺(tái)（也即第二層Web服務(wù)器）提交用戶輸入的信息及處理請(qǐng)求。為相應(yīng)請(qǐng)求，Web服務(wù)器將會(huì)啟動(dòng)相關(guān)進(jìn)程，并將動(dòng)態(tài)生成的處理結(jié)果代碼嵌入其中，同時(shí)返回給客戶端瀏覽器。當(dāng)客戶端提交了包含數(shù)據(jù)存取在內(nèi)的請(qǐng)求，那么就需要結(jié)合數(shù)據(jù)庫服務(wù)器與Web服務(wù)器進(jìn)行協(xié)同處理。而第三層的數(shù)據(jù)庫服務(wù)器則主要對(duì)Web服務(wù)器發(fā)出的不同SQL請(qǐng)求進(jìn)行協(xié)調(diào)，進(jìn)而實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)庫的安全、有效管理[1]。

2.網(wǎng)絡(luò)數(shù)據(jù)庫的安全措施

網(wǎng)絡(luò)數(shù)據(jù)庫安全指的是需確保數(shù)據(jù)庫中存儲(chǔ)的信息具備高度的保密性、完整性、一致性以及可用性。以下就網(wǎng)絡(luò)數(shù)據(jù)庫的幾種常見安全措施展開探究。

2.1 用戶身份認(rèn)證

由于當(dāng)前網(wǎng)絡(luò)具有非常強(qiáng)的開放性與共享性，因此，為避免出現(xiàn)非法訪問數(shù)據(jù)庫系統(tǒng)的情況，就需要對(duì)用戶展開身份認(rèn)證，此為網(wǎng)絡(luò)數(shù)據(jù)庫第一道防止非法侵入的防線。在當(dāng)前常見的幾種關(guān)系型數(shù)據(jù)庫管理系統(tǒng)中，用戶身份認(rèn)證主要存在系統(tǒng)登錄、數(shù)據(jù)庫連接及其對(duì)象使用這三級(jí)。在系統(tǒng)登錄中，需要應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)來驗(yàn)證輸入的用戶名及口令，用戶只有通過安全檢查后，才能順利處理相關(guān)業(yè)務(wù)流程[2]。當(dāng)需要訪問網(wǎng)絡(luò)數(shù)據(jù)庫時(shí)，管理系統(tǒng)就需要對(duì)當(dāng)前用戶的身份進(jìn)行驗(yàn)證，檢查其是否具備訪問的權(quán)限。此外，在用戶獲得登陸數(shù)據(jù)庫權(quán)限后，并且還未對(duì)數(shù)據(jù)對(duì)象展開相關(guān)操作時(shí)，管理系統(tǒng)還需再一次對(duì)其訪問權(quán)限進(jìn)行檢驗(yàn)，進(jìn)一步核實(shí)用戶是否具備操作數(shù)據(jù)庫對(duì)象的權(quán)限。

2.2 訪問控制

對(duì)于合法的用戶，可通過系統(tǒng)訪問權(quán)限表來控制其訪問權(quán)限。其中，用戶不能越權(quán)來訪問一些特定的內(nèi)容，只能在規(guī)定的權(quán)限范圍內(nèi)訪問。而為實(shí)現(xiàn)這一目的，就需要將主體與客體結(jié)合起來，對(duì)它們之間的關(guān)系進(jìn)行權(quán)限，并從角色權(quán)限及職責(zé)出發(fā)，對(duì)擁有合法訪問權(quán)限的用戶進(jìn)行詳細(xì)定義。除此之外，還可通過日志系統(tǒng)來實(shí)時(shí)追蹤并監(jiān)視用戶，這是因?yàn)槿罩鞠到y(tǒng)可將所有用戶登陸操作的過程詳細(xì)記錄下來，從而為接下來數(shù)據(jù)可審計(jì)與網(wǎng)絡(luò)安全分析等提供準(zhǔn)確的數(shù)據(jù)支持。

2.3 審計(jì)追蹤及攻擊檢測(cè)

由于受到現(xiàn)階段軟件工程技術(shù)水平的限制，無法保證網(wǎng)絡(luò)數(shù)據(jù)庫的所有系統(tǒng)無安全漏洞，也未能將合法用戶經(jīng)身份認(rèn)證后出現(xiàn)的濫用特權(quán)等問題進(jìn)行徹底解決，因此，采取審計(jì)追蹤及攻擊檢測(cè)就成為了確保網(wǎng)絡(luò)數(shù)據(jù)庫安全的一項(xiàng)重要措施，同時(shí)也是所有安全系統(tǒng)中至關(guān)重要的最后一道防線。在數(shù)據(jù)庫管理系統(tǒng)運(yùn)行過程中，審計(jì)功能可詳細(xì)記錄所有對(duì)數(shù)據(jù)庫的操作，并以此為依據(jù)，來對(duì)用戶的動(dòng)作進(jìn)行嚴(yán)密監(jiān)測(cè)。此外，攻擊檢測(cè)系統(tǒng)是以審計(jì)結(jié)果為依據(jù)，來對(duì)內(nèi)外部的攻擊意圖進(jìn)行分析，將系統(tǒng)存在的安全弱點(diǎn)及時(shí)找出，進(jìn)而追查相關(guān)人員的責(zé)任。

2.4 數(shù)據(jù)庫備份

作為確保數(shù)據(jù)庫安全的一種重要技術(shù)，數(shù)據(jù)備份主要包括手工、磁帶以及雙機(jī)熱這三種備份方法，其能充分保證信息系統(tǒng)在遭到破壞后，盡可能快的投入到使用中。

3.以B/W/D 三層結(jié)構(gòu)模型為基礎(chǔ)的網(wǎng)絡(luò)數(shù)據(jù)庫安全設(shè)計(jì)

3.1 身份驗(yàn)證設(shè)計(jì)

用戶身份的驗(yàn)證主要通過分配用戶名與密碼的方式開展。為確?？诹畎踩?，不可采取明文的提交形式，應(yīng)當(dāng)加密口令，在有效防止非法竊聽的基礎(chǔ)上，實(shí)現(xiàn)通信安全的保護(hù)。例如，在考勤系統(tǒng)中，當(dāng)用戶要查詢出勤數(shù)據(jù)時(shí)，為進(jìn)入這一系統(tǒng)的網(wǎng)頁中，他應(yīng)當(dāng)擁有用戶表中的用戶名及其對(duì)應(yīng)的密碼。其中，主要采取MD5來加密表中的密碼，從而充分確保用戶表中的密碼以及密碼在傳送中的安全性[3]。

3.2 避免IP欺騙的設(shè)計(jì)

IP欺騙指的是黑客通過偽造或盜用其他主機(jī)IP地址，從而將某臺(tái)主機(jī)偽裝成另一臺(tái)主機(jī)，而偽裝成的主機(jī)通常具備某些特權(quán)。一般情況下，只可盜用本網(wǎng)段的IP地址，如果盜用了其他的網(wǎng)段，那么在就無法收到正常通信過程中對(duì)方返回的IP包。因此，可通過將IP地址綁定MAC地址，從而有效預(yù)防本網(wǎng)段IP地址被盜用。

3.3 操作員授權(quán)管理的設(shè)計(jì)

對(duì)于操作員訪問數(shù)據(jù)庫的權(quán)限，可進(jìn)行直接授權(quán)或?qū)ζ渌鶎俳巧M(jìn)行授權(quán)。其一，操作員角色的定義：數(shù)據(jù)庫訪問許可的管理單位便是角色，成員繼承角色的訪問許可。通常情況下，相比于對(duì)操作員直接授權(quán)，對(duì)操作員所屬角色授權(quán)要更為簡(jiǎn)單一些。其二，有關(guān)應(yīng)用程序操作員的授權(quán)：在設(shè)計(jì)應(yīng)用程序時(shí)，以需求及概要為依據(jù)，可將整個(gè)軟件分為多個(gè)功能模塊；同時(shí)，在數(shù)據(jù)庫中建立起一定的角色組，并且為角色組指定可操作的模塊及其所需的數(shù)據(jù)庫訪問許可?？傮w而言，為促進(jìn)操作員授權(quán)管理的順利完成，就需將操作員、角色組以及程序功能模塊之間的關(guān)系調(diào)整好。

4.結(jié)語

綜上所述，在互聯(lián)網(wǎng)技術(shù)與信息技術(shù)的快速發(fā)展的大背景下，網(wǎng)絡(luò)數(shù)據(jù)庫的作用越來越突出，為了充分確保網(wǎng)絡(luò)技術(shù)的安全性，并將其交流溝通與電子商務(wù)等作用充分發(fā)揮出來，就需要對(duì)網(wǎng)絡(luò)數(shù)據(jù)庫安全進(jìn)行全面研究，采取用戶身份認(rèn)證、訪問控制、審計(jì)追蹤以及數(shù)據(jù)庫備份等多項(xiàng)行之有效的安全措施，并不斷創(chuàng)新安全防御技術(shù)，對(duì)網(wǎng)絡(luò)安全進(jìn)行有效的防范，從而促進(jìn)網(wǎng)絡(luò)環(huán)境安全性與穩(wěn)定性的提高。

參考文獻(xiàn)

[1] 朱良根，雷振甲，張玉清.數(shù)據(jù)庫安全技術(shù)研究[J].計(jì)算機(jī)應(yīng)用研究，2012，7（06）：85-86.

[2] 徐美紅，封心充，孫周軍，等.網(wǎng)絡(luò)數(shù)據(jù)庫安全研究與應(yīng)用[J].電腦知識(shí)與技術(shù)，2014，11（08）：1272-1273.

[3] 陳藝.網(wǎng)絡(luò)數(shù)據(jù)庫的安全研究及應(yīng)用探討[J].信息系統(tǒng)工程，2013，23（12）：79.