保障Web数据库安全运行
2008-02-23 08:20:51来源:互联网 阅读 ()
随着Web数据库的应用越来越广泛,Web数据库的安全问题日益突出,如何才能确保和加强数据库的安全性已成为现在必须要解决的问题。
数据库系统安全控制模式
Web数据库是数据库技术和Web技术的结合,其中存在诸多安全隐患,如通过网络传输的用户名和密码很容易被人窃取。用户读取的数据可能被截取、篡改等。如何保障Web数据库的安全运行呢?
建立安全模型
通常,安全措施是电脑系统中用户使用数据库应用程式一直到访问后台数据库要经过的安全认证过程。
当用户访问数据库时首先通过数据库应用程式进入到数据库系统,这时数据库应用程式将用户提交的用户名和口令(口令密文)交给数据库管理系统进行认证,在确定其身份合法后,才能进入下一步的操作。当要对数据库中的对象(表、视图、触发器、存储过程等)进行操作时,也必须通过数据库访问的身份认证,只有通过了数据库的身份认证才能对数据库对象进行实际的操作。
通过身份认证的用户,只是拥有了进入应用系统和数据库的“凭证”,但用户在应用系统和数据库中能够进行什么样的操作,就要依靠“访问控制”和“存取控制”的权限分配和约束。其中“访问控制”和应用系统相关,决定当前用户能够对应用系统中哪些模块、模块中的哪些工作流程进行管理;“存取控制”和数据库相关联,决定当前用户能够对数据库中的哪些对象进行操作,连同能够进行何种操作。虽然“访问控制”和“存取控制”能够将用户的应用系统访问范围最小化,数据对象操作权限最低化,但是就数据库本身而言,利用这种视图、触发器、存储过程等方法来保护数据和对一些敏感数据的“加密存储”也是数据库管理系统提供的安全策略。
审计追踪和数据备份
现在还没有任何一种可行的方法来完全解决合法用户在通过身份认证后滥用特权的问题,但审计追踪仍是确保数据库安全不可缺的一道重要防线。
审计是一种监控措施,跟踪记录有关数据的访问活动。审计追踪把用户对数据库的任何操作自动记录下来,存放在审计日志中(Audit Log)。记录的内容一般包括:操作类型(如修改、查询、删除),操作终端标识和操作者标识,操作日期和时间,操作所涉及到相关数据(如基本表、视图、记录、属性等),数据库的前象和后象等。利用这些信息,能够进一步找出非法存取数据的库人、时间和内容等。
数据库管理系统往往都将其作为可选特征,允许相应的操作语句可灵活的打开或关闭审计功能。
数据库备份恢复策略
电脑同其他设备相同,都可能发生故障。电脑故障的原因多种多样,包括磁盘故障、电源故障、软件故障、灾害故障连同人为破坏等。一旦发生这种情况,就可能造成数据库的丢失。因此数据库系统必须采取必要的措施,以确保发生故障时,能够恢复数据库。数据库系统管理系统的备份和恢复机制就是确保在数据库系统出故障时,能够将数据库系统还原到正常状态。
数据备份(建立冗余数据)是指定期或不定期地对数据库进行复制。能够将数据复制到本地机制上,也能够复制到其他机器上。恢复方法通常是能够利用利用备份技术、事务日志技术、映像技术完成。
视图机制和数据加密
为不同的用户定义不同的视图,能够限制各个用户的访问范围。通过视图机制把要保护的数据对无权存取这些数据的用户隐藏起来,从而自动地对数据库提供一定程度的安全保护。但是视图机制的安全性保护不太精细,往往不能达到应用系统的需要,其主要功能在于提供了数据库的逻辑单独性。在实际应用中,通常将视图机制和授权机制结合起来使用,首先用视图机制屏蔽一部分保密数据,然后在视图机制上进一步定义存取权限。
数据加密(Data Encryption)是防止数据库中数据存储和传输中失密的有效手段。加密的基本思想是根据一定的算法将原始数据(明文plaintext)加密成为不可直接识别的格式(密文,ciphertext),数据以密文的方式存储和传播。
Web数据库的安全威胁涉及许多方面,是个全局性的问题,而且黑客的攻击手段和方法不断翻新,因此要根据企业的实际需求综合考虑各种技术,构建一个有机的结合体。
同时也要清醒地认识到一个很好的安全解决方案不但是纯粹的技术问题,而且还需要法律、管理、社会因素的配合。
常见Web数据库安全技术
用户标识和鉴别:
用户标识和鉴定的方法有多种,为了获得更强的安全性,通常是多种方法并用。系统通过核对口令来判别用户的真伪。这种方法简单易行,但是也是个不安全的方法,不能抵御口令的猜测攻击;另外,攻击者可能窃听通信信道或进行网络窥探(sniffer),口令的明文传输使得攻击者只要能在口令传输过程中获得口令,系统就会被攻破。口令以明文形式在通信信道上传输容易被窃取,因此人们通常采用更复杂的方法--口令加密,口令以密文形式在通信信道上传输。
智能卡技术:
智能卡由微处理器、存储器、输入输出设备组成,其中微处理器可计算该卡的一个序列号(ID)和其他数据的加密形式,ID确保智能卡的真实性,持卡人就能访问系统。在使用智能卡时,为了安全起见,许多系统要卡和身份识别码(PIN)同时使用,二者缺一不可。
使用智能卡进行身份认证的长处:智能卡提供的是硬件保护措施和加密算法,较传统的口令鉴别方法更好,安全性能增加;缺点:携带不方便且开户费用较高。
主体特征鉴别:
主体认证技术以人体唯一的、可靠的、稳定的生物特征(如指纹、虹膜、脸部、掌纹等)为依据,采用电脑的强大网络功能和网络技术进行图像处理和模式识别。
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇: 虚拟主机如何解决电信网通间互联互通
下一篇: 看上去很美:国产服务器变革初显锋芒
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash