论述数据库系统的安全与防范

1、万 博 科 技 职 业 学 院 毕业设计（论文）报告系 别 计算机系 专 业 计算机应用 年 级 11级 学 制 三年 学 号 姓 名 唐正方 二一四年五月题目 论述数据库系统的安全与防范主要内容计算机网络系统的迅猛发展标志着现代信息系统的发展迅速。人们越来越深刻地认识到信息安全的重要性。为了确保、提升数据库系统的安全性，有必要深刻地分析数据库信息系统的安全风险内容，并采取具体、有效的防范措施。信息安全数据库近年来，随着信息产业快速发展以及计算机的普及、应用，很多单位企业纷纷建立自己的数据库来存储、管理各类信息。但由于数据库的系统安全技术还不完善，系统可能随时面临遭受病毒、黑客的侵害，导致出现

2、数据泄露现象，造成巨大损失。于是，加强、保证数据库系统安全任务迫在眉睫。导师评语成 绩导 师摘要- 3 -关键词- 3 -1 引言- 3 -2 数据库系统的基本概念及其组成部分-3 -2.1数据库- 3 -2.2硬件- 4 -2.3软件- 4 -2.4人员- 4 -3 数据库信息系统安全范畴及安全现状- 4 -3.1信息系统安全范畴- 4 -3.2信息系统安全管理水平低- 4 -3.3信息安全所面临的威胁- 5 -3.3.1 管理方面面临的威胁- 5 -3.3.1.1人员的威胁- 5 -3.3.1.2信息安全组织的不完善- 5 -3.3.1.3政策和措施的不完善- 5 -3.3.2技术上的威胁

3、- 5 -3.3.2.1对系统的威胁- 5 -3.3.2.2对应用的威胁- 5 -3.3.2.3对数据的威胁- 5 -3.3.2.4对物理面造成威胁- 5 -4加强数据库系统安全技术及防范措施- 5 -4.1数据库信息系统安全- 5 -4.2数据加密- 5 -4.3数据库的备份以及恢复- 6 -4.4资源的管理- 6 -4.5检查入侵技术- 6 -4.6防火墙技术的重要性- 7 -4.7 身份认证- 7 -4.8访问控制- 7 -4.8.1账号管理- 8 -4.8.2权限原则- 8 -4.8.3账号密码安全原则- 8 -4.8.4文件的访问控制- 8 -4.9审计追踪- 8 -结束语- 9 -

4、谢辞- 9 -参考文献- 9 -论述数据库系统的安全与防范摘要：计算机网络系统的迅猛发展标志着现代信息系统的发展迅速。人们越来越深刻地认识到信息安全的重要性。为了确保、提升数据库系统的安全性，有必要深刻地分析数据库信息系统的安全风险内容，并采取具体、有效的防范措施。信息安全数据库近年来，随着信息产业快速发展以及计算机的普及、应用，很多单位企业纷纷建立自己的数据库来存储、管理各类信息。但由于数据库的系统安全技术还不完善，系统可能随时面临遭受病毒、黑客的侵害，导致出现数据泄露现象，造成巨大损失。于是，加强、保证数据库系统安全任务迫在眉睫。关键词：内存；虚拟内存；作用与前景。1 引言随着信息技术的发

5、展，许多企业为了提高自身的管理水平都使用计算机建立了信息系统。在信息系统中，数据的组织形式有两种：文件形式和数据库形式。 由于文件组织形式的数据缺乏共享性，而数据库组织形式的数据具有共享性、独立性、一致性和可访问控制性，它既可以存储大量的数据信息，又可以尽量避免重复和冗余；既可以为某个用户所独有，又可以为不同的用户所共享；而且还可以独立地扩充而不影响应用程序的开发，因此，数据库成为信息系统中存储数据的主要形式。数据库安全的重要性数据库中存放着大量的信息，其中有些信息作为信息系统的重要平台，其安全至关重要。 因此，如何有效地保证数据库系统的安全，实现数据的保密性、完整性和有效性，已经成为探索研究

6、信息系统的重要课题之一。2 数据库系统的基本概念及其组成部分数据库系统（database systems），是由数据库及其管理软件组成的系统。它是为适应数据处理的需要而发展起来的一种较为理想的数据处理系统，也是一个实际可运行的存储、维护和应用系统提供数据的软件系统，是存储介质 、处理对象和管理系统的集合体。数据库系统一般由4个部分组成：2.1数据库（database，DB）是指长期存储在计算机内的，有组织，可共享的数据的集合。数据库中的数据按一定的数学模型组织、描述和存储，具有较小的冗余，较高的数据独立性和易扩展性，并可为各种用户共享。2.2硬件 构成计算机系统的各种物理设备，包括存储所需的外

7、部设备。硬件的配置应满足整个数据库系统的需要。2.3软件 包括操作系统、数据库管理系统及应用程序。数据库管理系统（database management system，DBMS）是数据库系统的核心软件，是在操作系统的支持下工作，解决如何科学地组织和存储数据，如何高效获取和维护数据的系统软件。其主要功能包括：数据定义功能、数据操纵功能、数据库的运行管理和数据库的建立与维护。2.4人员主要有4类。第一类为系统分析员和数据库设计人员：系统分析员负责应用系统的需求分析和规范说明，他们和用户及数据库管理员一起确定系统的硬件配置，并参与数据库系统的概要设计。数据库设计人员负责数据库中数据的确定、数据库各级

8、模式的设计。第二类为应用程序员，负责编写使用数据库的应用程序。这些应用程序可对数据进行检索、建立、删除或修改。第三类为最终用户，他们利用系统的接口或查询语言访问数据库。第四类用户是数据库管理员（data base administrator，DBA），负责数据库的总体信息控制。DBA的具体职责包括：具体数据库中的信息内容和结构，决定数据库的存储结构和存取策略，定义数据库的安全性要求和完整性约束条件，监控数据库的使用和运行，负责数据库的性能改进、数据库的重组和重构，以提高系统的性能。3 数据库信息系统安全范畴及安全现状3.1信息系统安全范畴 实行信息管理，信息的所有者在国家和行业法律规定之内建立

9、安全组织，并制定符合组织的管理政策。提高内部人员的素质及安全意识，通过培训使其执行安全政策。建立审计制度来监督实施。保证信息所在的信息系统的安全必须通过技术的手段得以实施。如加密技术、访问控制技术、病毒检测、入侵检测等。只有通过技术才能实现对目标的管理。将管理和技术有机结合才能最大程度保障安全。 3.2信息系统安全管理水平低 目前，信息安全还存在一些问题，很多企业和单位的信息安全设备达不到预期的效果，没有相应技术保障，安全技术保障体系还不完善；企业和单位的相关信息安全制度和信息安全的标准还比较滞后，原因是没有充分落实安全管理制度，且安全防范意识也比较薄弱；另外，安全产品达不到相应要求、安全管理

10、人员缺乏培训、安全经费不足等都导致了问题的发生。 3.3信息安全所面临的威胁 3.3.1 管理方面面临的威胁3.3.1.1人员的威胁计算机系统的发展，自动化设备的提高，使人们对信息处理过程的参与越来越少，人员降低安全意识、蓄意破坏、误操作等行为严重影响了信息的安全。3.3.1.2信息安全组织的不完善信息的安全组织不完善不能建立有效管理体系，不能有效地协调资源，也就不能够对管理体系实施有效地监督和维护，就会给信息的安全造成危害。应该规划维护、部署，建立信息安全组织管理系统。3.3.1.3政策和措施的不完善信息安全组织需要制度相应的政策、信息安全策略和高素质人才。政策指导人员按照制度进行相应的日常

11、工作。如果缺少了安全政策就会导致滥用或误用信息处理设备，缺乏合理的使用控制和对信息系统的维护，信息的安全性也极容易受到相应危害。3.3.2技术上的威胁3.3.2.1对系统的威胁由于技术有限，传输设备、处理和信息存储系统中的漏洞很容易被木马、病毒、黑客侵入，造成损失。3.3.2.2对应用的威胁不适当的应用程序本身就存在安全隐患，误用、滥用都会是信息的安全受到威胁。3.3.2.3对数据的威胁篡改、伪造、窃取等手段造成数据泄露和失效，其损失也是不言而喻的。3.3.2.4对物理面造成威胁信息的存储、传输、产生、使用、处理等的环节离不开物理环境。物理环境就是信息的载体，没有物理环境信息也将荡然无存。 4

12、加强数据库系统安全技术及防范措施 4.1数据库信息系统安全 通过用户认证确保对数据库数据的安全。访问数据库的主体必须相系统提供有效身份证明。身份证明有用户ID及密码构成，是用户唯一标识。通过用户鉴别功能检查登录身份是否合法。用户认证和鉴别是安全机制的重点，通过它可以进行授权访问、审计以及相应的跟踪等。 4.2数据加密 为了不被非法用户和非授权者操作、窃取数据库信息数据，可以对敏感数据进行加密。比起传统数据加密技术，数据库有独特的要求。传统加密是以报文为单位，实施加密和脱密，而数据库系统运行平台则使用Unix等，具有用户注册、任意存取控制以及用户识别等功能。病毒和黑客通过系统漏洞来篡改数据库的文

13、件，然而对重要数据进行加密是数据库独特的安全技术措施。对数据库进行加密，主要有三种方式：系统中加密、客户端（DBMS外层）加密、服务器端（DBMS内核层）加密。客户端加密的好处是不会加重数据库服务器的负载，并且可实现网上的传输加密，这种加密方式通常利用数据库外层工具实现。而服务器端的加密需要对数据库管理系统本身进行操作，属核心层加密，如果没有数据库开发商的配合，其实现难度相对较大。此外，对那些希望通过ASP获得服务的企业来说，只有在客户端实现加解密，才能保证其数据的安全可靠。数据加密的基本思想是根据一定的算法将原始数据（明文）加密成为不可直接识别的格式（密文），数据以密文的方式存储和传播，在传

14、统的数据库系统中，数据库管理员的权力至高无上，他既负责各项系统管理工作，例如资源分配、用户授权、系统审计等，又可以查询数据库中的一切信息。实现数据库加密以后，各用户（或用户组）的数据由用户用自己的密钥加密，数据库管理员获得的信息后也无密钥解密，从而保证了用户信息的安全。数据加密是防止数据库中数据存储和传输中失密的有效手段。同时还能减少因备份介质失窃或丢失而造成的损失。 4.3数据库的备份以及恢复 计算机同其他设备一样，都可能发生故障计算机故障的原因多种多样，包括磁盘故障、电源故障、软件故障，灾害故障以及人为破坏等。一旦发生这种情况，就可能造成数据库的数据丢失。因此数据库系统必须采取必要的措施，

15、以保证发生故障时，可以恢复数据库。数据库管理系统的备份和恢复机制就是保证在数据库系统出故障时，能够将数据库系统还原到正常状态。加强数据备份非常重要，数据库拥有很多关键的数据，这些数据一旦遭到破坏后果不堪设想。不少数据库管理员在这点上作得并不好，不是备份不完全，就是备份不及时。数据备份需要仔细计划，制定出一个策略测试后再去实施，备份计划也需要不断地调整。数据库的备份及修复最大限度减少软件及硬件的故障，防止数据的丢失，有效地增强系统的可靠性，是整个安全的基础之一。 4.4资源的管理 还有一种安全措施，就是分开日志段和数据段，再创立磁盘镜像恢复数据库。资源管理中最重要的就是控制用户的资源开销。 4.

16、5检查入侵技术 入侵检测系统分为4个组件，分别是：事件数据库、响应单元、事件分析器、事件产生器。 事件产生器从计算环境中得到事件，然后向系统其它终端提供事件。事件分析器分析数据之后产生结果。响应单元做出改变文件属性、切断连接等反应。事件数据库可以是简单的文本文件，也可以是复杂的数据库，终端数据和各种中间数据被存放在这里。 入侵系统的型式因所检测对象的不同而异。分为网络型和主机型。网络型入侵的数据源是网络数据包。它可以通过一台终端的网卡对任何网段内的数据包进行收集、判断。主机型检测系统以应用程序日志、系统日志等为数据源，这种系统在被监测的系统上运行，并监测进程的合法性。 4.6防火墙技术的重要性

17、 防火墙是不同网络安全域间信息唯一的进出口，具有较强的抗攻击力，能根据安全政策来允许、监测、拒绝进出网络的信息，是实现信息安全的基础设施，它给用户提供了良好的信息安全服务。防火墙技术是应用性安全技术，它建立在信息安全技术和现代通信网络技术的基础上。由于只有通过精心选择的协议才能通过防火墙，所以网络的环境才变得更加可靠、安全。防火墙有效地控制终端与英特威之间的活动，确保终端安全。它也是一个分析器，能将有关安全的软件配置在防火墙，强化网络安全策略。防火墙还能有效控制终端信息外泄。利用防火墙划分内部网络，隔离内部网中重点网络，解除了全局网络在敏感网络安全问题上的困扰。防火墙还可监控审计对网络的访问和

18、存取，记录下访问。防火墙对信息安全提供了技术保障。4.7 身份认证 身份认证技术能够密切结合企业的业务流程，阻止对重要资源的非法访问。身份认证技术可以用于解决访问者的物理身份和数字身份的一致性问题，给其他安全技术提供权限管理的依据。所以说，身份认证是整个信息安全体系的基础。在执行真正的数据访问操作之前，要在客户和数据库服务器之间进行身份认证 。用户访问数据库时首先要通过数据库应用程序将用户提交的用户名与口令交给数据库管理系统进行认证，在确定其身份合法后，进人下一步的操作。当要对数据库中的对象（表、视图、触发器、存储过程等）进行操作时，也必须通过数据库访问的身份认证只有通过了数据库的身份认证才能

19、对数据库对象进行实际的操作。4.8访问控制 访问控制技术通过控制与检查进出关键服务器中的访问，保护服务器中的关键数据。它是一种主机防护技术。如果说安全保护就像保护自己的球网不被攻破一样，防火墙是中卫、IDS是后卫，则访问控制就是守门员随时准备扑出任何非法的进入。访问控制是数据库安全性的核心。它包括了账号管理、密码策略、权限控制等方面。用户的访问控制有两种形式：自主访问授权控制和强制访问授权控制。其中自主访问授权控制由管理员设置访问控制表，此表规定用户能够进行的操作和不能进行的操作。 而强制访问授权控制先给系统内的用户和数据对象分别授予安全级别，根据用户、数据对象之间的安全级别关系限定用户的操作

20、权限。涉及到这个用户可以对数据表进行什么样的操作，如是否可以编辑数据库，是否可以查询数据等等。访问控制策略主要包括以下问题。 4.8.1账号管理 对用户的账号设置不同的操作权限。 4.8.2权限原则 数据库管理员分配给用户的账号及相关使用权限。主要涉及到这个用户可以对数据表进行什么样的操作，例如，是否可以编辑、查询、删除数据库数据等等。 4.8.3账号密码安全原则 分配账号的密码必须符合密码安全原则的要求。基本安全要求包括：密码长度、密码复杂性、密码结构非连续性等。密码的安全性是访问控制的主要威胁，特别是最高管理账户，账号的密码设置显得优为重要。 4.8.4文件的访问控制 确保文件不会被人修改、删除。主要包括数据库系统文件、数据库文件、日志文件以及备份文件等。4.9审计追踪 审计是一种监视措施，跟踪记录有关数据的访问活动。审计追踪把用户对数据库的所有操作自动记录下来，存放在审计日志中（Audit Log）。 记录的内容一般包括：操作类型（如修改、查询、删除），操作终端标识与操作者标识，操作日期和时间，操作所涉及到相关数据（如基本表、视图、记录、属性等），数据库的前象和后象等。利用这些信息，可以进一步找出非法存取数据的库人、时间和内容等。数据库管理系统往往都将其作为可选特征，允许相应的操作语句可灵活的打开或关闭审计功能。审计追踪机制是指系统设置相应的日志记录，特别是对数据