保障Web資料庫安全運行

來源:互聯網
上載者:User

隨著Web資料庫的應用越來越廣泛,Web資料庫的安全問題日益突出,如何才能保證和加強資料庫的安全性已成為目前必須要解決的問題。

資料庫系統安全控制模式

Web資料庫是資料庫技術與Web技術的結合,其中存在諸多安全隱患,如通過網路傳輸的使用者名稱和密碼很容易被人竊取。使用者讀取的資料可能被截取、篡改等。如何保障Web資料庫的安全運行呢?

建立安全模型

通常,安全措施是電腦系統中使用者使用資料庫應用程式一直到訪問後台資料庫要經過的安全認證過程。

當使用者訪問資料庫時首先通過資料庫應用程式進入到資料庫系統,這時資料庫應用程式將使用者提交的使用者名稱與口令(口令密文)交給資料庫管理系統進行認證,在確定其身份合法後,才能進入下一步的操作。當要對資料庫中的對象(表、視圖、觸發器、預存程序等)進行操作時,也必須通過資料庫訪問的身份認證,只有通過了資料庫的身份認證才能對資料庫物件進行實際的操作。

通過身份認證的使用者,只是擁有了進入應用系統和資料庫的“憑證”,但使用者在應用系統和資料庫中可以進行什麼樣的操作,就要依靠“存取控制”和“存取控制”的許可權分配和約束。其中“存取控制”與應用系統相關,決定目前使用者可以對應用系統中哪些模組、模組中的哪些工作流程進行管理;“存取控制”與資料庫相關聯,決定目前使用者可以對資料庫中的哪些對象進行操作,以及可以進行何種操作。雖然“存取控制”和“存取控制”可以將使用者的應用系統存取範圍最小化,資料對象操作許可權最低化,但是就資料庫本身而言,利用這種視圖、觸發器、預存程序等方法來保護資料和對一些敏感性資料的“加密儲存”也是資料庫管理系統提供的安全性原則。

審計追蹤和資料備份

目前還沒有任何一種可行的方法來徹底解決合法使用者在通過身份認證後濫用特權的問題,但審計追蹤仍是保證資料庫安全不可缺的一道重要防線。

審計是一種監視措施,追蹤記錄有關資料的訪問活動。審計追蹤把使用者對資料庫的所有操作自動記錄下來,存放在審計日誌中(Audit Log)。記錄的內容一般包括:操作類型(如修改、查詢、刪除),操作終端標識與操作者標識,操作日期和時間,操作所涉及到相關資料(如基本表、視圖、記錄、屬性等),資料庫的前象和後象等。利用這些資訊,可以進一步找出非法存取資料的庫人、時間和內容等。

資料庫管理系統往往都將其作為可選特徵,允許相應的動作陳述式可靈活的開啟或關閉審計功能。

Database Backup恢複策略

電腦同其他裝置一樣,都可能發生故障。電腦故障的原因多種多樣,包括磁碟故障、電源故障、軟體故障、災害故障以及人為破壞等。一旦發生這種情況,就可能造成資料庫的丟失。因此資料庫系統必須採取必要的措施,以保證發生故障時,可以恢複資料庫。資料庫系統管理系統的備份和恢複機制就是保證在資料庫系統出故障時,能夠將資料庫系統還原到正常狀態。

資料備份(建立冗餘資料)是指定期或不定期地對資料庫進行複製。可以將資料複製到本地機制上,也可以複製到其他機器上。恢複方法通常是可以利用利用備份技術、交易記錄技術、鏡像技術完成。

視圖機制和資料加密

為不同的使用者定義不同的視圖,可以限制各個使用者的存取範圍。通過視圖機制把要保護的資料對無權存取這些資料的使用者隱藏起來,從而自動地對資料庫提供一定程度的安全保護。但是視圖機制的安全性保護不太精細,往往不能達到應用系統的要求,其主要功能在於提供了資料庫的邏輯獨立性。在實際應用中,通常將視圖機制與授權機制結合起來使用,首先用視圖機制屏蔽一部分保密資料,然後在視圖機制上進一步定義存取許可權。

資料加密(Data Encryption)是防止資料庫中資料存放區和傳輸中失密的有效手段。加密的基本思想是根據一定的演算法將未經處理資料(明文plaintext)加密成為不可直接識別的格式(密文,ciphertext),資料以密文的方式儲存和傳播。

Web資料庫的安全威脅涉及許多方面,是一個全域性的問題,而且駭客的攻擊手段和方法不斷翻新,因此要根據企業的實際需求綜合考慮各種技術,構建一個有機的結合體。

同時也要清醒地認識到一個很好的安全解決方案不僅是純粹的技術問題,而且還需要法律、管理、社會因素的配合。

常見Web資料庫安全技術

使用者標識和鑒別:

使用者標識與評鑑的方法有多種,為了獲得更強的安全性,通常是多種方法並用。系統通過核對口令來判別使用者的真偽。這種方法簡單易行,但是也是一個不安全的方法,不能抵禦口令的猜測攻擊;另外,攻擊者可能竊聽通訊通道或進行網路窺探(sniffer),口令的明文傳輸使得攻擊者只要能在口令傳輸過程中獲得口令,系統就會被攻破。口令以明文形式在通訊通道上傳輸容易被竊取,因此人們通常採用更複雜的方法--口令加密,口令以密文形式在通訊通道上傳輸。

智慧卡技術:

智慧卡由微處理器、儲存空間、輸入輸出裝置組成,其中微處理器可計算該卡的一個序號(ID)和其他資料的加密形式,ID保證智慧卡的真實性,持卡人就能訪問系統。在使用智慧卡時,為了安全起見,許多系統要卡和身份識別碼(PIN)同時使用,二者缺一不可。

使用智慧卡進行身份認證的優點:智慧卡提供的是硬體保護措施和密碼編譯演算法,較傳統的口令鑒別方法更好,安全效能增加;缺點:攜帶不方便且開戶費用較高。

主體特徵鑒別:

主體認證技術以人體唯一的、可靠的、穩定的生物識別特徵(如指紋、虹膜、臉部、掌紋等)為依據,採用電腦的強大網路功能和網路技術進行影像處理和模式識別。

主體特徵鑒別技術優點:安全性、可靠性和有效性與傳的身份認證手段相比產生了質的飛躍,適合安全層級較高的場所;缺點:生物識別特徵資訊採集、認證裝備的成本較高,人身特徵識別軟體識別率有待提高。

本文收集整理自互連網,若您是原文作者,請來信更改作者及出處 Post@chinaz.com(把#改為@)



相關文章

Alibaba Cloud 10 Year Anniversary

With You, We are Shaping a Digital World, 2009-2019

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。