(1)環(huán)境級(jí):對(duì)計(jì)算機(jī)系統(tǒng)的機(jī)房和設(shè)備加以保護(hù),防止物理破壞。 (2)職員級(jí):對(duì)數(shù)據(jù)庫系統(tǒng)工作人員,加強(qiáng)勞動(dòng)紀(jì)律和職業(yè)道德教育,并正確的授予其訪問數(shù)據(jù)庫的權(quán)限。
(3)操作系統(tǒng)級(jí):防止未經(jīng)授權(quán)的用戶從操作系統(tǒng)層著手訪問數(shù)據(jù)庫。 (4)網(wǎng)絡(luò)級(jí):由于數(shù)據(jù)庫系統(tǒng)允許用戶通過網(wǎng)絡(luò)訪問,因此,網(wǎng)絡(luò)軟件內(nèi)部的安全性對(duì)數(shù)據(jù)庫的安全是很重要的。
(5)數(shù)據(jù)庫系統(tǒng)級(jí):檢驗(yàn)用戶的身份是否合法,檢驗(yàn)用戶數(shù)據(jù)庫操作權(quán)限是否正確。
本節(jié)主要討論數(shù)據(jù)庫系統(tǒng)級(jí)的安全性問題。
數(shù)據(jù)庫系統(tǒng)中一般采用用戶標(biāo)識(shí)和鑒別、存取控制、視圖以及密碼存儲(chǔ)等技術(shù)進(jìn)行安全控制。
安全性控制是指要盡可能地杜絕所有可能的數(shù)據(jù)庫非法訪問。每種數(shù)據(jù)庫管理系統(tǒng)都會(huì)提供一些安全性控制方法供數(shù)據(jù)庫管理員選用,以下是常用的幾種方法。 用戶標(biāo)識(shí)與鑒別 授權(quán) 視圖定義與查詢修改 數(shù)據(jù)加密 安全審計(jì)
1、網(wǎng)站服務(wù)器安全 防止服務(wù)器被黑客入侵。
首先,要選擇比較好的托管商,托管的機(jī)房很重要?,F(xiàn)在很多服務(wù)商都在說硬件防火墻防CC攻擊,其實(shí)一般小托管商很少具備這些配置。
機(jī)房里其他電腦的安全也是很重要的,例如現(xiàn)在很多攻擊方法是通過嗅探的方法得到管理密碼的,或者ARP欺騙,其最大的危害就是根本找不到服務(wù)器漏洞,卻莫名其妙地被黑了。其次,對(duì)于服務(wù)器本身,各種安全補(bǔ)丁一定要及時(shí)更新,把那些用不到的端口全部關(guān)閉掉,越少的服務(wù)等于越大的安全系數(shù)。
2、網(wǎng)站程序安全 程序漏洞是造成安全隱患的一大途徑。網(wǎng)站開發(fā)人員應(yīng)該在開發(fā)網(wǎng)站的過程中注意網(wǎng)站程序各方面的安全性測(cè)試,包括在防止SQL注入、密碼加密、數(shù)據(jù)備份、使用驗(yàn)證碼等方面加強(qiáng)安全保護(hù)措施。
3、網(wǎng)站信息安全 信息安全有多層含義。首先,最基本的是網(wǎng)站內(nèi)容的合法性,網(wǎng)絡(luò)的普及也使得犯罪分子利用網(wǎng)絡(luò)傳播快捷的特性而常常發(fā)布違法、違規(guī)的信息。
要避免網(wǎng)站上出現(xiàn)各種違法內(nèi)容、走私販毒、種族歧視及政治性錯(cuò)誤傾向的言論。其次,防止網(wǎng)站信息被篡改,對(duì)于大型網(wǎng)站來說,所發(fā)布的信息影響面大,如果被不法分子篡改,,引起的負(fù)面效應(yīng)會(huì)很惡劣。
輕者收到網(wǎng)監(jiān)的警告,重者服務(wù)器被帶走。 4、網(wǎng)站數(shù)據(jù)安全 說到一個(gè)網(wǎng)站的命脈,非數(shù)據(jù)庫莫屬,網(wǎng)站數(shù)據(jù)庫里面通常包含了政府網(wǎng)站的新聞、文章、注冊(cè)用戶、密碼等信息,對(duì)于一些商業(yè)、政府類型的網(wǎng)站,里面甚至包含了重要的商業(yè)資料。
網(wǎng)站之間的競(jìng)爭(zhēng)越來越激烈,就出現(xiàn)了優(yōu)部分經(jīng)營(yíng)者不正當(dāng)競(jìng)爭(zhēng),通過黑客手段竊取數(shù)據(jù),進(jìn)行推廣,更有黑客直接把“拿站”當(dāng)做一項(xiàng)牟利的業(yè)務(wù)。所以,加強(qiáng)一個(gè)網(wǎng)站的安全性,最根本的就是保護(hù)數(shù)據(jù)庫不要被攻擊剽竊掉。
1.數(shù)據(jù)庫用戶的管理,按照數(shù)據(jù)庫系統(tǒng)的大小和數(shù)據(jù)庫用戶所需的工作量,具體分配數(shù)據(jù)庫用戶的數(shù)據(jù)操作權(quán)限,控制系統(tǒng)管理員用戶賬號(hào)的使用。
2.建立行之有效的數(shù)據(jù)庫用戶身份確認(rèn)策略,數(shù)據(jù)庫用戶可以通過操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)以及數(shù)據(jù)庫系統(tǒng)進(jìn)行身份確認(rèn),通過主機(jī)操作系統(tǒng)進(jìn)行用戶身份認(rèn)證。
3.加強(qiáng)操作系統(tǒng)安全性管理,數(shù)據(jù)服務(wù)器操作系統(tǒng)必須使用正版軟件,同時(shí)要有防火墻的保護(hù)。
4.網(wǎng)絡(luò)端口按需開放,根據(jù)實(shí)際需要只開放涉及業(yè)務(wù)工作的具體網(wǎng)絡(luò)端口,屏蔽其它端口,這樣可以在較大程度上防止操作系統(tǒng)受入侵。
①、用戶標(biāo)識(shí)和鑒別:數(shù)據(jù)庫會(huì)對(duì)用戶進(jìn)行標(biāo)識(shí),系統(tǒng)內(nèi)部記錄所有合法用戶的標(biāo)識(shí),每次用戶要求進(jìn)入系統(tǒng)時(shí),由系統(tǒng)進(jìn)行核對(duì)通過鑒定以確定用戶的合法性。
②、存取控制:通過用戶權(quán)限定義和合法檢查確保只有合法權(quán)限的用戶訪問數(shù)據(jù)庫,所有未被授權(quán)的人員無法存取數(shù)據(jù)。③、視圖機(jī)制:為不同的用戶定義視圖,通過視圖機(jī)制把要保密的數(shù)據(jù)對(duì)無權(quán)存取的用戶隱藏起來,從而自動(dòng)地對(duì)數(shù)據(jù)提供一定程度的安全保護(hù)。
④、審計(jì):建立審計(jì)日志,把用戶對(duì)數(shù)據(jù)庫的所有操作自動(dòng)記錄下來放入審計(jì)日志中,DBA可以利用審計(jì)跟蹤的信息,重現(xiàn)導(dǎo)致數(shù)據(jù)庫現(xiàn)有狀況的一系列事件,找出非法存取數(shù)據(jù)的人、時(shí)間和內(nèi)容等。⑤、數(shù)據(jù)加密:對(duì)存儲(chǔ)和傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理,從而使得不知道解密算法的人無法獲知數(shù)據(jù)的內(nèi)容。
方法一、數(shù)據(jù)庫數(shù)據(jù)加密
數(shù)據(jù)加密可以有效防止數(shù)據(jù)庫信息失密性的有效手段。通常加密的方法有替換、置換、混合加密等。雖然通過密鑰的保護(hù)是數(shù)據(jù)庫加密技術(shù)的重要手段,但如果采用同種的密鑰來管理所有數(shù)據(jù)的話,對(duì)于一些不法用戶可以采用暴力破解的方法進(jìn)行攻擊。
但通過不同版本的密鑰對(duì)不同的數(shù)據(jù)信息進(jìn)行加密處理的話,可以大大提高數(shù)據(jù)庫數(shù)據(jù)的安全強(qiáng)度。這種方式主要的表現(xiàn)形式是在解密時(shí)必須對(duì)應(yīng)匹配的密鑰版本,加密時(shí)就盡量的挑選最新技術(shù)的版本。
方法二、強(qiáng)制存取控制
為了保證數(shù)據(jù)庫系統(tǒng)的安全性,通常采取的是強(qiáng)制存取檢測(cè)方式,它是保證數(shù)據(jù)庫系統(tǒng)安全的重要的一環(huán)。強(qiáng)制存取控制是通過對(duì)每一個(gè)數(shù)據(jù)進(jìn)行嚴(yán)格的分配不同的密級(jí),例如政府,信息部門。在強(qiáng)制存取控制中,DBMS所管理的全部實(shí)體被分為主體和客體兩大類。主體是系統(tǒng)中的活動(dòng)實(shí)體,它不僅包括DBMS 被管理的實(shí)際用戶,也包括代表用戶的各進(jìn)程。
客體是系統(tǒng)中的被動(dòng)實(shí)體,是受主體操縱的,包括文件、基表、索引、視圖等等。對(duì)于主體和客體,DBMS 為它們每個(gè)實(shí)例(值)指派一個(gè)敏感度標(biāo)記。主客體各自被賦予相應(yīng)的安全級(jí),主體的安全級(jí)反映主體的可信度,而客體的安全級(jí)反映客體所含信息的敏感程度。對(duì)于病毒和惡意軟件的攻擊可以通過強(qiáng)制存取控制策略進(jìn)行防范。但強(qiáng)制存取控制并不能從根本上避免攻擊的問題,但可以有從較高安全性級(jí)別程序向較低安全性級(jí)別程序進(jìn)行信息傳遞。
方法三、審計(jì)日志
審計(jì)是將用戶操作數(shù)據(jù)庫的所有記錄存儲(chǔ)在審計(jì)日志(Audit Log)中,它對(duì)將來出現(xiàn)問題時(shí)可以方便調(diào)查和分析有重要的作用。對(duì)于系統(tǒng)出現(xiàn)問題,可以很快得找出非法存取數(shù)據(jù)的時(shí)間、內(nèi)容以及相關(guān)的人。從軟件工程的角度上看,目前通過存取控制、數(shù)據(jù)加密的方式對(duì)數(shù)據(jù)進(jìn)行保護(hù)是不夠的。因此,作為重要的補(bǔ)充手段,審計(jì)方式是安全的數(shù)據(jù)庫系統(tǒng)不可缺少的一部分,也是數(shù)據(jù)庫系統(tǒng)的最后一道重要的安全防線。
聲明:本網(wǎng)站尊重并保護(hù)知識(shí)產(chǎn)權(quán),根據(jù)《信息網(wǎng)絡(luò)傳播權(quán)保護(hù)條例》,如果我們轉(zhuǎn)載的作品侵犯了您的權(quán)利,請(qǐng)?jiān)谝粋€(gè)月內(nèi)通知我們,我們會(huì)及時(shí)刪除。
蜀ICP備2020033479號(hào)-4 Copyright ? 2016 學(xué)習(xí)鳥. 頁面生成時(shí)間:2.588秒