网络数据库安全防卫体系探析

鲁翠柳

（盐城机电高等职业技术学校，江苏 盐城 224005）

随着现代信息技术的高度发展，整个社会数据呈几何级数增长。伴随着大数据时代的到来，大数据时代庞大的数据资源导致了各个领域的定量化进程，决策将越来越多地基于数据和分析，那么数据的安全性也越发重要。存有海量信息的数据库安全机制主要侧重预防和控制，从应用外部环境到数据库文件本身，形成多角度、多方位、多层次的数据库安全保障体系。

1 计算机网络数据库的安全威胁形式

1.1 结构化查询语言的输入

网络中计算机和互联网设备基于防火墙技术与网络数据库服务器相连，因为关闭了特定端口，无法实现非法访问。但这个端口就成了黑客们入侵的主要目标，而最常用的模式就是结构化查询语言的输入。在程序编写和运行过程中，程序编译阶段、对用户输入参数的验证过程及程序自身的漏洞等，都对计算机系统安全运行有潜在威胁。

1.2 病毒感染

计算机系统之间的数据交换将随着大数据技术和产业的发展愈加频繁，这给我们的生活带来便利，同时也增加了计算机病毒相互感染的可能性。根据网络数据库数据的使用情况来看，病毒严重影响数据库的安全性，已感染病毒的信息来源交叉传播和感染，错误的操作程序，编译人员人工植入，这些都增加了病毒的传播和感染。已感染病毒一旦大量爆发会影响计算机系统的使用，并具有很强的破坏力。

1.3 账户权限的脆弱性

计算机网络数据库使用者安全意识薄弱，忽略了计算机安全性，设置简单的计算机用户账号和密码，未对账号和密码等信息做好保密工作，监控密码不符合特定需求的数据字典。此外，在计算机网络数据库的管理中缺乏专业的安全管理人员，致使计算机安全管理系统得不到全面的维护和调试，这些方面对网络数据库的安全造成了威胁。

2 网络数据库3层安全防卫体系

2.1 网络系统安全防卫

网络数据库应用的外部环境与基础是网络，安全的网络环境是网络数据库安全的基石。

2.1.1 合理分配网络资源

保障网络数据库服务器安全、高效运行的前提是合理分配网络资源。网络资源在网络管理程序的统一管理、集中调度和合理分配下，以保证网络和设备在一定范围内能够可靠、高效地运行，网络资源处于良好的运行状态，从而保障数据库服务器安全、高效地运行。

2.1.2 构筑防火墙

构筑防火墙是数据库安全的第一道防线。防火墙位于内网与外网之间，内网流入流出的所有信息均要经过防火墙。防火墙对流经它的IP数据报进行扫描，检查其IP地址和端口号，确保进入内网和流出内网的信息的合法性。防火墙还能阻挡来自外部的非法访问，防止内部信息的外泄，滤掉黑客的攻击，关闭不使用的端口，形成内部和外部网络之间的屏障，达到保护网络数据库信息安全的目的。但防火墙是被动的，不能防范从网络内部发起的攻击，黑客利用系统缺陷和漏洞，窃取账号、密码，非法访问，传播病毒等形式危害网络数据库安全[1]。

2.1.3 使用入侵检测技术

入侵检测技术（Intrusion Detection System，IDS）是一种主动保护系统免受攻击的网络安全防范技术。入侵检测技术是综合运用网络通信、统计、规则方法等技术，通过在网络若干关键点上监听和收集信息并对其进行分析，从中发现网络系统中是否有违反安全策略的行为和被攻击的迹象，及时进行报警、阻断和审计跟踪。IDS基于统一的规范，在入侵监控组件之间自动交换信息，通过信息交换有效地监控入侵，可以应用于不同的网络环境[2]。

2.2 服务器操作系统的安全防卫

服务器操作系统的安全是网络数据库安全的重要保障。高性能、高可靠性和高安全性是服务器上的操作系统必备要素。服务器操作系统中可能存在的不安全因素：（1）操作系统本身存在不稳定或不安全的因素。（2）操作系统本身的安全配置。（3）对操作系统本身的病毒或木马威胁。为了更加安全地进行系统操作，需要按照以下机制进行改进。

2.2.1 在使用安全性的操作系统的基础上，对安全策略进行全面安全配置

例如，密码策略、账户锁定策略、系统监控、审核策略、IP安全策略、用户权限分配等安全选项，用户信息或重要文档的访问限制。安全策略的配置可以防止信息安全事故的影响降为最小，保证业务的持续性，保护组织的资源。

2.2.2 选择安全文件系统

例如，新技术文件系统（New Technology File System，NTFS）是最合适的SQL Server数据库文件系统。NFTS比文件配置表（File Allocation Table，FAT）的系统更加稳定，更安全的文件保障，提供文件加密，可以设置单个文件和文件夹权限，能够大大提高数据的安全性。

2.2.3 及时更新补丁和防病毒软件

软件漏洞已经成为信息安全事件主要原因之一。针对软件漏洞带来的危害，及时安装补丁程序，是最有效、最经济的防范措施，也是改善安全环境的有效途径。及时更新防病毒软件，使病毒库处于最新状态，可以协助保护计算机系统免受病毒的攻击，降低计算机系统遭受的安全威胁。

2.3 数据库管理系统安全防卫

当前两个层次防卫被破坏时，仍然可以保证数据库数据的安全性，这就要求数据库管理系统本身必须具有强大的安全机制。针对以文件形式存储的数据库系统，入侵者一般采用窃取和篡改两种方式，窃取数据库文件是利用操作系统漏洞，非法伪造，篡改数据库文件内容是使用操作系统工具。用户难以察觉这些针对数据库非法操作，分析和拦截这种漏洞被认为是B2级安全技术措施。数据库管理系统采取分级安全策略来解决这个问题[3]。

很多数据库管理系统为提高数据库系统的安全性，综合利用完备的数据库安全技术，成交显著。

2.3.1 利用身份认证和访问控制技术

身份认证是安全系统的第一级。访问控制和审计系统依赖于身份验证系统提供的信息和用户的身份。身份验证是在系统中验证请求服务的人或应用程序标识的过程，目的是为了防止假冒和欺诈。基本的认证技术包括数字签名、消息认证和简单身份认证。

访问控制是保证网络数据库安全的主要途径。访问控制是控制用户访问数据库中各种资源的权限的过程。访问控制是对未授权使用资源的防御措施。访问控制机制决定并实现实体的访问权限，拒绝使用未经授权的资源或以非法方式使用未经授权的资源。例如根据应用系统的特点，可以在实际应用中建立几个核心用户。在相应的核心用户中建立数据库对象，如表、视图、存储过程、触发器等。根据使用数据库系统的用户特点，建立多种层次的角色。创建拥有数据库对象权限及系统权限的核心用户角色，创建仅具有连接权限的通用用户默认角色[4]。在用户与数据库连接时段，将其他角色屏蔽，只有该角色有效；其后根据用户的需要，在应用程序中设置其他角色有效。

2.3.2 利用视图对数据库系统的安全性进行维护

视图是通过对表的某一行或者某一列进行访问，保障数据的安全性。视图是一个或者多个表中的行和列组成一个子集。在保护视图信息的前提下，要给用户授予操作视图权限，以保护基础表不被操作和修改。由于不同的操作用户被授予不同的数据库使用权限，当用户在访问数据库时，应用程序对视图的角色进行检查，由此来决定用户的访问权限。某个用户在执行任务时，只能看到自身权限下的数据库内容，其他的数据库信息是隐藏的。用户也可以将自己的权限授予其他用户，同时也可以回收。根据视图角色关系的变化实现授权或恢复用户，与系统的应用程序无关。因此，用户密码不需要修改。

2.3.3 利用数据库备份与恢复技术

同步时实的数据库备份是数据库防范灾难的一种强力手段。当数据库系统发生故障时，管理员可以通过数据库备份快速、低价地恢复到原始状态数据库，以保持数据的完整性和一致性，提高系统的可用性和灾难可恢复性。

数据库恢复可以通过磁盘镜像、数据库备份文件和数据库联机日志完成。

2.3.4 利用数据库安全审计技术

审计是指监视和记录用户在数据库上执行的各种操作的机制。数据库系统利用审计技术，可将数据库的所有行为自动记录在审计日志中，使数据库系统根据信息的审计线索，再现、查找、分析导致当前数据库状况的事件，快速查明数据的非法访问、时间和内容，进而追查相关责任。同时审计也有助于发现系统的安全弱点和漏洞，提高系统的安全性[5]。例如SQL Server数据库，监控SQL Server连接是非常有效的，可以分析出其使用的企图。

2.3.5 利用数据加密技术

数据加密是其他诸多安全措施的基础。在网络通信被窃听的情况下，仍然能保证网络数据库数据的安全，必须对数据加密。除了依靠外部环境和数据库系统提供的安全技术外，需要对数据库中存储的重要信息或数据进行加密，从而实现数据的安全存储。

3 结语

网络数据库具有扩大数据资源共享范围、易于分布式处理、便于传输交流、降低了系统的使用费用等优点，越来越受到人们的重视。网络数据库用户只有重视数据库安全，才能够给整个数据库系统提供全方位的安全保障。数据库中的数据只有得到安全防护，才能更好更稳定地为广大用户而服务。本文结合分析了网络数据库面临的安全威胁，给出三层安全防卫体系的解决方案，有助于提高网络数据库系统的安全性和安全管理水平。

[参考文献]

[1]朱天元.浅谈计算机网络数据库的安全机制问题[J].数字技术与应用，2016（5）：48.

[2]孔小燕.基于计算机数据库安全管理的分析与探讨[J].电子世界，2014（4）：15.

[3]刘传先，陈国栋.高校应用系统网络安全策略与典型技术[J].电脑知识与技术，2012（7）：4592-4597.

[4]邹吕新.计算机网络安全及防范[J].电脑知识与技术，2011（25）：6129-6130.

[5]张广才.试论构建计算机信息安全技术体系[J].计算机光盘软件与应用，2012（18）：51.