数据库的安全与管理策略

1、数据库的安全与管理策略作者：林晖来源：电子世界2012年第17期【摘要】数据库安全主要是指利用一定的措施来保障数据库一直处在正常的运行状态，以 免因不良用法对其产生破坏。本文主要从技术角度针对数据库的安全管理策略展开讨论，首先 总结数据库处于安全状态的主要特征，在分析当前数据库管理问题的基础上，提出一些行之有 效的管理策略。【关键词】数据库；安全管理；研究一、主要特征本文所讨论的数据库安全特征主要针对数据而言，具体包括以下四个方面：第一，数据的 安全性，通常保证数据安全性的措施有多种，例如隔开数据库中需要被保护的部分数据，或者 根据相关的授权规则，采用适当的访问方法，比如以用户鉴别或者标识、强

2、制存取、自主存取 以及相关的视图机制；也可以在存储数据前对其做审计或加密处理。第二，数据的完整性，只 有数据具备正确性、有效性以及相容性的特点，数据才能称得上完整。其中数据输入值和数据 表对应域的类型相同，表示数据正确；对于数据库系统中的相关理论值而言，其对现实中应用 的数值段具有非常重要的作用，它表示该数据已经有所修改；而同一数据针对不同权限的用户 所呈现出的内容是相同的，即表示数据具备相容性。由此可见，要实现数据的完整性，就要避 免合法用户在输入或输出时采用不符合语义的数据。第三，并发控制，数据库系统可以实现多 个用户的信息资源共享，在某些大型的数据库系统中，可能同一时刻会有多个用户事务同

3、时运 行，数据库处于这种多用户并发操作的状态下，容易出现多个事务同时存取同一数据的现象， 此时需要控制并发操作，以防止出现数据存取有误的现象，进而保证数据相同，因此，数据库 系统的安全性一定要有所保障。第四，故障恢复功能，虽然数据库系统中保证数据安全、完整 的措施有很多，但是也无法绝对保证一些不可避免的因素对数据造成破坏，例如硬件的故障、 软件错误以及人为失误与恶意攻击等，所以一个安全的数据库要具备故障恢复功能，即修正数 据库的错误状态，使其恢复到某个已知的、正确状态的功能。二、实际管理过程中存在的主要问题具体而言，数据库的安全管理问题体现在以下几个方面：（一）操作系统的问题一般而言，操作系统

4、中主要存在的问题有病毒、数据库和操作系统。其中病毒方面，操作 系统可能存在木马程序，从而影响到数据库系统的安全性。木马程序很可能会对入驻的相关程 序密码进行修改，并对密码进行更新的同时也获得了所需的信息密码。对于操作系统的后台来 说，尽管数据库管理员可以方便的获取数据库系统特征参数，但是由于数据库服务器主机操作 系统中出现了后门，为非法入侵者攻击数据库提供了途径。此外，由于数据库系统与操作系统 之间存在较强的关联性，操作系统具备文件管理的功能，执行文件管理的过程即为利用存取控 制读写、执行文件的过程，在这些文件中同时也存在着数据库信息数据；一般而言，操作系统 中的相关监控可控制用户的口令和登陆

5、，因此数据库的安全性以及操作系统和相关硬件设备的 所处环境密切相关。（二）系统管理的问题有些系统用户缺乏信息网络安全意识，对数据库安全的重要性缺乏深入的了解，在系统操 作过程中未按规定落实安全管理措施，导致频发安全事故。在实际运行过程中，对数据库服务 器的访问权限做出合理限制，可以有效的减少数据库受攻击的机率，但是并不代表可以修复补 丁。通过大量调查可知，数据库系统管理员很少有对数据库系统的补丁进行定期修复的习惯， 这对数据库系统的安全性也会产生直接的影响。实际上在数据库的安全维护过程中，对其补丁 的定期修复非常必要，这样可以有效避免由于漏洞未修复而致使系统受到攻击。导致数据库系 统出现安全问

6、题的主要原因主要包括系统安全漏洞未及时修补、登录密码过于简单等，所以要 加强安全问题的防范，了解基本的安全防范常识。（三）数据库系统自身存在问题尽管数据库系统的相关产品经过较长时间的应用已经越来越成熟，性能也越来越强大，但 是实际中在操作系统与普遍应用的数据库系统中体现出上述其应具备的特征，特别是一些非常 用重要的安全特性。这说一个问题，即大多数数据库系统尽管已经很成熟，但其成熟度还有欠 缺。三、安全管理策略研究（一）用户身份认证可以进行用户的身份认证是数据库系统所设置的第一道安全屏障，经过身份认证，保证每 个用户身份标识的唯一性，一旦用户向数据库发出连接请求，服务器端会对其身份进行验证， 对

7、其身份合法性进行判断，系统只向经过身份验证的用户开放。这种方法的实现相对简单，但 是其安全级别也比较低，仅靠口令的保密性实现安全保护，往往会受到口令猜测攻击。所以口 令传输过程中要加密处理，系统也只保存口令密文，可以有效防范窃听者。（二）访问控制所谓访问控制是指对授权的用户进行权限划分，使其只能操作自己所对应的数据。一般其 访问控制模型主要表现为以下三种：自主存取控制系统会定义不同用户对不同数据的存取权限，一旦用户访问数据库时，系统对其存取权限 进行检查，如果用户不合法则会限制其在数据库的操作行为。用户可以在数据库中对自己控制 对象的权限进行修改，或者将自己的权限授权给其它用户。强制存取控制这

8、种模型是指系统把全部的数据对象均设置对应的密级，不同的用户所拥有的权限与密级 相对应，即具有某一许可级别的用户只能操作其所对应密级的数据对象，并且用户在操作数据 过程中要遵循以下原则，即只有用户许可级别大于或等于数据对象密级时，才可以对数据对象 执行读取的操作；而用户许可证级别等于数据对象密级时，则可以进行写操作。基于角色的存取控制该模型是指针对不同的角色赋予不同的存取权限，而用户必须为对应的角色成员才能获取 对应的权限。可以按照组织中的职责来创建不同的角色，用户根据职责内容被指定对应的角 色。这种模型使得权限的管理得到进一步的简化。（三）数据库加密技术采用数据库加密技术可以进一步保证数据库中

9、机密的数据不受攻击，重要的数据经过加密 后即使被窃取，也可以保证其安全性。因为数据加密技术是根据特定的加密算法，将明文数据 转换为不可读的密文，窃取者如果无法获取密钥则无法恢复原数据。通常加密算法分为两种， 即对称式与非对称式，其中对称式加密是指加密与解密所采用的是同一个密钥，反之，加密与 解密采用不同密钥则为非对称式加密，在非对称式加密中，要求两个密钥配对使用才能将数据 打开。这种加密方法的安全性相对较高，但是加密、解密的速度非常慢，所以一般在用户认 证、数字签名以及密钥传输时会用到该方法。通常数据库加密会采用对称式加密，其不仅速度 比较快，而用对系统性能的影响也不大。（四）安全审计所谓安全审计是对用户对于数据库的操作行为进行监视与记录，一旦数据库出现安全问 题，可以采用该方法进行查询与分析。安全审计模型包括审计数据采集器以及审计数据分析器 两个部分，顾名思义，审计数据采集器的主要作用就是采集审计数据，并将其通过日志的形式 储存于数据库中；而审计数据分析器的主要作用就是对所采集的审计数据进行分析，最后提供 审计分析报告。