浅谈数据库安全技术研究及改进策略

文｜孙飞

浅谈数据库安全技术研究及改进策略

文｜孙飞

计算机技术尤其是数据库技术的不断发展，不仅影响了人们的正常生活，也为社会的进步带来了便利。与计算机技术发展同步的就是日益凸显的数据库安全问题，数据库安全问题的正确防范是促进计算机顺利应用的重要基础。各种应用系统中都包含了大量的数据库信息，如果数据库信息被盗或者发生错误都将直接影响到用户的体验并带来各方面的损失。因此要重视数据库安全问题，并加强数据库安全技术的研究。

一、数据库安全技术问题分析

数据库安全一直都是我时刻关注的问题，很多方面不注意都会使得数据库陷入危险的境地，目前数据库安全防范技术也有很多，比如流量监控技术、加密技术、审计技术等，基于计算机技术的数据库安全技术问题主要包括以下三个方面，这些问题也是我们加强数据库安全研究的重要基础。

（一）不安全的Web应用程序

近年来很多的安全编程方法得到了应用和传播，并在数据库安全方面发挥了重要的作用，尽管如此，目前互联网中的Web应用程序还存在很多的漏洞，这些不安全的Web应用程序漏洞的存在给数据库安全带来了巨大的风险。就目前国内以及国外的整体Web应用程序现状来看，在漏洞的修复方面仍然还有很长很长的路要走。

Litchfield作为著名的数据库安全研究人员，他认为当前的漏洞修复进展还是比较缓慢的，而且随着计算机技术和程序的发展，很多以前的漏洞修复工具已经失去了原有的价值，而很多时候都以“无法验证输入”而告终，因此要求安全技术研究人员要能够不断更新漏洞修复系统。再加上当前很多程序开发人才的培养还存在一定的限制，很多刚毕业的大学生进入企业或政府部门就开始计算机编程工作，但在安全编程方面还存在欠缺。

（二）泛滥的数据库系统特权账户

由于互联网自身的特性，使得很多的企业以及政府部门（以下简称单位）的身份认证和管理都处于一个自动化的过程，并不能够要求每时每刻都有专门人员进行看管，当然这也是互联网技术的一方面优势。每一个单位都拥有自己的数据库系统，各单位会根据自身的需要设定身份认证要求并进行周期管理，一般情况下这些都是通过共享账户或者服务账户来完成，账户认证和账户管理配合来实现对数据库的管理。

在各单位的数据库管理过程中，由于管理模式的限制，很多时候除了IT管理员以外，单位内的很多其他员工也具有系统账户的权限，这样在访问控制以及监控过程中就容易出现漏洞，内部其他人员权限的滥用以及安全管理方面的缺失都会给外部攻击创造可能，影响了数据库安全。

（三）错误配置的网络分段

目前很多方面认为网络分段之后再进行风险控制可以收到良好的效果，并能够将风险控制在一定的范围之内，这种网络分段式的数据库安全防范也被应用到了很多高价值数据库的管理中，但是这种方式也存在一定的弊端和问题，比如分段控制之后配置不当的话，会对防火墙的安全性能带来隐患，并给攻击方面带来可能性，很容易导致数据库受侵。Kevin Beaver是Principle Logic公司的创始人，该公司主要研究安全网络和数据库安全评估。从该公司的评估结果可以看出，很多单位由于错误配置网络分段导致的错误信息非常多，这使得整个数据库系统的安全也会受到影响。

二、数据库安全系统的构建和优化

从数据库安全角度来看，数据库系统的安全不仅和自身的系统安全系数有着很大关系，同时也和网络运行环境、管理人员以及运行模式等存在着紧密的联系，因此我们可以简单的将数据库系统的安全防范分为以下三个层次：网络系统层次；宿主操作系统层次；数据库管理系统层次。这三个层次是数据库广义方面的系统安全防范角度，同时也是和数据库安全联系最为密切的三个方面，从内部到外部的共同安全管理来保证系统的安全性能。

（一）网络系统层次安全技术

数据库系统是网络运行的重要基础，而网络又是数据库受到威胁的重要途径，因此保证数据库系统的安全也应从网络系统的安全入手，进一步加强网络安全保护。互联网不仅给社会的发展和人们的生活创造了更便利的条件，同时也一度成为很多企业业务拓展的方向，成为很多政府部门对外宣传及提高办事效率的工具，很多单位在网络数据库和自身产品的基础上，为用户提供了更多网络产品，不仅满足了用户的更多需要，同时也是实现自身创新发展的重要途径。而这一切都是建立在网络系统的基础之上的，网络系统是数据库的外部基础，也是数据库安全的重要保障。正常情况下，用户通过网络系统才可以实现对数据库的访问，并应用数据库。因此，保障数据库安全的第一步就是要拓展和应用网络系统层次的安全技术。

网络系统是数据库的外部屏障，当外界攻击数据库的时候，第一要攻击的就是网络系统，目前通过网络入侵实现对整个数据库系统的破坏已经非常常见，这种网络攻击具有以下几个方面的特点：一是不受时间或者空间的限制，很多的跨国或者跨界攻击也都不受限制；二是一些网络攻击会隐蔽在一些正常网络活动中，因此不容易被发现，进而对主体进行攻击。三是在隐蔽性的基础上更具复杂性和多样性。当然，网络攻击和网络威胁的种类有很多，比如一些木马病毒、数据盗取、恶意攻击等，随着网络技术的发展，安全问题也呈现出更加多样性的发展趋势，这些威胁一旦产生影响，其后果都是非常严重的，因此必须对这些威胁进行控制和防范，以下将从三个方面对于数据库安全技术进行分析。

1. 防火墙技术

防火墙技术是目前数据库安全防范的基本技术之一，也是重要的技术之一。防火墙是保护网络系统的最外层保护网，是审核网络信任的必要通道，防火墙可以将一些不可信的网络屏蔽在外，对于非法访问或者不能通过验证的访问会进行屏蔽和拦截，进而保证信息流的安全性。但是防火墙技术对于内部的非法操作是无法进行控制的，对于内部信息的外泄也是无法拦截的，因此这种数据库安全技术具有一定的局限性，还不能根据信息流的源头和流向进行适时调整，在智能化控制方面还需要进行有效的加强。目前防火墙技术主要包括数据包过滤器、代理和状态分析三种，目前在具体的实践中，为了提高防火墙技术的效果，会根据实际需求将这三种防火墙技术进行混用。

2. 入侵检测技术

入侵检测是近些年发展而来的一种新的数据库安全技术，是在统计分析、网络通信以及密码安全等技术基础上发展而来的新技术，该技术主要注重事后的检测和控制，最大的作用就是对于计算机系统和数据库系统进行全面的入侵检测，一旦发现一场就会进行分析和监控，为应对和防范恶性攻击提供理论基础。随着数据库安全技术的发展，IDS系统已经成为了数据库安全系统的重要方面。入侵检测技术主要分为签名分析、统计分析和数据完整性分析三个方面，通过几方面的协同作用，对整个数据库系统进行实时的监测，一旦遭受到攻击和入侵都会进行提示 ，以此来提高系统整体的安全性。

3. 协作式入侵监测技术

入侵监测技术可以对于整个数据库系统的入侵行为进行监测和处理，但是由于单独系统的单一性，还需要加强协同作用，建立专门的协作式入侵监测系统进行完善和支持，这不仅可以进一步完善入侵监测系统，同时也可以提高监测范围，对于一切的入侵行为进行更快和高有效的打击。协作式入侵监测技术应用范围进一步扩大，它适应于多种网络环境。

（二）宿主操作系统层次安全技术

为了有效的加强数据库系统的安全，网络管理员还需要根据系统的具体需求和常见的数据库安全问题制定相应的安全管理策略。由于每个数据库系统运行的网络环境存在一定的差异性，因此所采取的安全管理方法也要具有一定的针对性，最终目的都是为了提高系统的安全性，并能够保证权限分配的合理性。

操作系统安全策略用于配置本地计算机的安全设置，包括密码策略、账户锁定策略、审核策略、IP安全策略、用户权利指派、加密数据的恢复代理以及其它安全选项。具体可以体现在用户账户、口令、访问权限、审计等方面。

◆用户账户：用户访问系统的“身份证”，只有合法用户才有账户。

◆口令：用户的口令为用户访问系统提供一道验证。

◆访问权限：规定用户的权限。

◆审计：对用户的行为进行跟踪和记录，便于系统管理员分析系统的访问情况以及事后的追查使用。

（三）数据库管理系统层次安全技术

当前很多的数据库管理都是采用关系式数据库管理，这种数据库管理方式具有一定的漏洞和风险，在关系处理之间容易给外部的攻击行为创造条件。如果数据库受到攻击，入侵者会借助OS工具对于数据库内容进行伪造和盗取，这种篡改是不容易发现的，而这种攻击性行为对于安全技术的要求也更高。根据数据库系统的层次性再进行逐个层次的加密管理，这可以提高系统保护的全面性。对于数据库系统进行分层次的安全保护，以下从三个方面进行相应的介绍和分析。

1.在OS层加密

由于在数据库的OS层不能够对于数据关系进行分析和辨别，因此并不能根据数据信息产生相应的秘钥，所以数据的管理和秘钥的产生都比较困难，因此目前的OS层加密还停留在小型数据库方面，对于大型数据库的OS层加密技术还具有一定的难度。

2.在DBMS内核层实现加密

物理存储是数据库存储的重要方面，在数据库进行物理存储之前会对数据进行DBMS内核层加密。这种加密形式一般具有很强的功能性，而且整个加密过程也不对DBMS的功能产生影响，同时这种加密也可以实现和整体数据库系统的完美耦合，提高系统安全性。但是这种加密大大增加了系统的运载负荷，同时这种加密也需要开发特定的端口和服务器，需要资本的投入和开发商的支持。

◆定义加密要求工具；

◆DBMS；

◆数据库应用系统；

◆加密器（软件或硬件）。

3.在DBMS外层实现加密

DBMS外层加密相比内核加密更简单，只需要根据数据库系统制作相应的外层加密工具就可以完成。

◆定义加密要求工具加密器；

◆软件或硬件；

◆DBMS；

◆数据库应用系统。

三、结束语

数据库是一个庞大的信息系统，其中包含着大量的数据信息，也正是由于这个原因使得数据库系统安全问题备受关注。当数据库受到外来安全攻击的时候，如果不能够及时有效的对攻击进行预防和防范，就会造成数据的丢失、损坏以及被非法修改等，这些都是当前的数据库安全技术需要进行完善的方面。如今网络技术已经融入到人们生活的方方面面，各方面也应该加强研究和投入，持续保证数据库的安全。

作者单位：国家海洋局秦皇岛海洋环境监测中心站