• 快捷搜索
  • 全站搜索

数据库系统的安全防护

2017-12-28 16:32:57作者:中国人民银行大连市中心支行 唐恒武编辑:金融咨询网
保存核心数据资产的数据库系统,数据库安全至关重要,是信息安全工作者不可轻视的重要领域。如何实现数据的保密性、完整性和有效性,有效地保障数据库系统的安全,已经成为信息安全工作的重要任务。

数据,是当今这个时代最巨量的产物,数据库的应用涉及到方方面面,在各个领域中不可或缺。数据库系统是海量数据的载体,数据库系统是否安全直接影响到整个系统的安全。人们也开始越来越关注数据安全,保存核心数据资产的数据库系统,毫无疑问的成为防护的关键。保存核心数据资产的数据库系统,数据库安全至关重要,是信息安全工作者不可轻视的重要领域。如何实现数据的保密性、完整性和有效性,有效地保障数据库系统的安全,已经成为信息安全工作的重要任务。

  数据库系统的安全仅仅依靠其自身内部的安全机制是不能很好保障系统的安全的,还需要多方位的手段,如:加强人员安全教育,提高人员的安全意识,完善外部环境、网络环境的技术防范设备,制定并执行严格的管理措施等。根据影响数据库系统安全的因素可以从以下几个方面加强安全措施:数据库管理系统安全、操作系统安全、网络系统安全。

  这几个方面从外到内、由表及里保证数据的安全,防范的作用也逐层加强,与数据安全的关系紧密相关,构筑成数据库系统的安全体系。

数据库管理系统安全技术

  由于操作系统都是以文件形式对数据库系统进行管理,因此数据库系统可能会被不法者利用操作系统的漏洞进行修改数据库文件、伪造内容、删除或直接窃取数据库文件。数据库安全管理人员应该加强对这种隐患的排查和防范。

  针对这一安全隐患,对数据库文件及数据进行加密处理是数据库管理系统解决这一问题的有效方法,使入侵者不能轻易破解和利用非法获取的数据。

数据库加密

  对数据库数据的加密,我们可以考虑在各个环节进行数据的加密,在操作系统、数据库管理系统各层实现数据加密。

  1.在操作系统层加密

  对于拥有大量数据的数据库来说,数据库文件十分庞大,在操作系统层对数据库文件难以进行有效率的加密。而且数据库中的数据关系在操作系统层无法识别,对密钥的产生、使用和管理都带来了极大的难度。

  2.在数据库管理系统内核层加密

  在数据库管理系统的内核层进行数据成加/解密后再进行物理存取。这种加密方式数据库管理系统和加密功能之间的耦合性好,功能性强,对数据库管理系统的功能几乎没有影响。但是这种方式加解密的运算占用服务器的大量资源,服务器的负载过重,并且加密器和数据库管理系统之间的接口开发难度也较大。

  3.在数据库管理系统外层加密

  利用外部数据加解密工具对数据库数据进行加解密处理。在客户端对数据进行加解密处理,好处是不会占用数据库服务器的资源而且可以实现数据传输过程中的加密。但这将降低与数据库管理系统之间的耦合性,加解密功能会受到一些限制。

操作系统安全技术

  数据库系统的运行于操作系统之上,操作系统为数据库系统提供了多重安全保护措施。目前操作系统平台都有多方面的安全保障技术。

  数据安全主要是指为了保障数据在存储时的安全、数据传输过程中的安全,采用各种技术措施进行数据加密、数据备份。

  安全管理策略是指对系统进行安全管理采用的方法和策略,主要是保障服务器的安全和管理各类用户的权限。针对操作系统、网络环境的不同需要采取应用的安全管理策略。

  操作系统安全策略是指计算机设备的安全设置,包括采用身份认证、IP安全、密码、用户权利指派及回收、账户锁定、用户操作审计、加密数据的恢复代理等安全选项。可以通过加强多方面的管理实现,如账户管理、访问权限、用户密码、操作审计等方面。

网络系统安全技术

  越来越多的公司通过网络向用户提供各种信息服务,将业务向互联网转移,因此各种基于网络应用的数据库应用系统层出不穷。所以数据库的安全首先依赖于网络系统。

  用户通过网络才能利用各种应用访问数据,数据库系统的用户对数据的访问也要依靠网络系统,正是在网络系统的支持下数据库系统要发挥出了其强大作用,可以说网络系统是数据库应用的基础、外部环境和重要依托。非法入侵的第一步就是对网络系统进行攻击,网络系统是抵抗非法入侵的首个防线,因此网络系统的安全保障至关重要。

  网络入侵活动具有以下特点:不分时间和地域;具有极强的隐蔽性;入侵手段复杂性、隐蔽性强。威胁网络系统环境安全的主要手段有以下几种类型:拒绝服务;欺骗;特洛伊木马;SQL注入;重发;陷阱门;攻击,如透纳攻击、应用软件攻击;报文修改等。网络系统的安全防范技术大致可以分为网络防火墙、数据库防火墙、入侵检测、合作式入侵检测技术等。

   1.网络防火墙

   这是在内部与外部网络之间的一道防护屏障,是网络的第一道防线,对网络之间的访问通道进行监控,能够阻断外部网络的非法访问,确保只有合法用户才可以与服务器进行通信,更好地对内部信息进行保护。防火墙技术主要有代理、数据包过滤、内容过滤和状态分析。防火墙产品通常混合使用多种技术。它利用事先设定的规则来防止网络攻击活动,但由于其不具备动态识别、学习的能力,无法对新型的网络攻击手段进行阻断。

   2.入侵检测技术

   其作用是对计算机系统和网络被入侵及滥用的行为进行监控。它综合多学科的知识采用了多方面技术,通过从网络或系统中收集信息并进行分析,从中发现网络或系统中的不安全行为和被攻击的迹象。入侵检测系统是软件和硬件的组合,是防火墙的合理补充。入侵检测分为信息采集、行为分析、记录报警等过程。入侵检测通过对网络访问、系统状态、数据操作及用户行为等多方面信息进行采集,利用模式匹配、统计分析、签名分析及完整性分析等技术手段,根据事先设定好的规则对采集的信息进行分析判断,发现异常行为实时记录并发出报警。入侵检测系统根据检测对象、采用技术及工作方式可分为基于网络和主机的入侵监测系统、基于特征的和非正常行为的入侵监测系统、实时和非实时的入侵监测系统等。

  3.合作式入侵监测技术

  独立运行的入侵检测系统存在着网络局限、对加密数据无法有效处理、资源有限的局限,合作式入侵监测系统很好地弥补了以上不足。通过一种统一的规范合作式入侵监测系统中各入侵监测组件之间分工合作、交换信息,并且通过大量信息的监控对入侵进行有效监测。

   4.数据库防火墙

   数据库防火墙是数据库安全主动防御机制,数据库防火墙部署于应用服务器和数据库之间,是数据库系统安全的最后一道防线。数据库防火墙可以提供数据库的访问控制、危险行为阻止及安全审计功能。数据库防火墙通过对访问数据库的数据包进行深度分析,对SQL语句的词法及语法分析和对返回参数、结果的格式转换和内容过滤,可以有效的防范SQL注入攻击等外部恶意攻击。数据库防火墙需要具备高性能、高可用性、可扩展性。

  在计算机特别是网络高速发展的当今社会,数据的共享日益频繁,数据的安全保密越来越需要人们的高度关注。为了计算机数据库整体安全,性的控制,需要做好很多细节性的工作,制定统一的安全管理策略,针对各方面薄弱环节,加以实施,以系统的安全。

  数据库系统安全的三个方面是相辅相承的,必须综合考虑核运用各种技术和管理措施,针对不同防范重点采取相应的技术手段,以保证系统数据的安全。

(文章来源:金融电子化杂志)

扫码即可手机
阅读转发此文

本文评论

相关文章