導語：數據庫安全技術研究論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

內容摘要：數據庫系統作為計算機信息系統的重要組成部分，數據庫文件作為信息的聚集體，擔負著存儲和管理數據信息的任務，其安全性將是信息安全的重中之重。本文主要探討了數據庫系統面臨的安全問題，并提出了一定的建議。

關鍵字：數據庫安全管理

Abstract:Databaseistheimportantcomponentofcomputerinformationsystem,astheinformationtogethercollective,thedatabasedocumentisbearingthemissionofstoringandmanagingtheinformation''''sdata,soitssecuritywillbethemostimportantofall.ThispaperhavediscussedmainlysafeproblemwhichfacingtotheDatabase,andhavesubmittedsomecertainsuggestions.

Keywords:Databasesecuritymanagement

一、數據庫安全概述

1.數據庫安全概述

數據庫安全是指保護數據庫以防止非法用戶的越權使用、竊取、更改或破壞數據。數據庫安全涉及到很多層面，必須在以下幾個層面做好安全措施：

（1）物理層：重要的計算機系統必須在物理上受到保護，以防止入侵者強行進入或暗中潛入。

（2）人員層：數據庫系統的建立、應用和維護等工作，一定要由政治思想上過硬的合法用戶來管理。

（3）操作系統層：要進入數據庫系統，首先要經過操作系統，如果操作系統的安全性差，數據庫將面臨著重大的威脅。

（4）網絡層：由于幾乎所有網絡上的數據庫系統都允許通過終端或網絡進行遠程訪問，所以網絡的安全和操作系統的安全一樣重要，網絡安全了，無疑對數據的安全提供了保障。

（5）數據庫系統層：數據庫系統應該有完善的訪問控制機制，以防止非法用戶的非法操作。為了保證數據庫的安全，必須在以上所有層次上進行安全性控制。

2.數據庫安全的目標

（1）提供數據共享，集中統一管理數據;

（2）簡化應用程序對數據的訪問，應用程序得以在更為邏輯的層次上訪問數據:

（3）解決數據有效性問題，保證數據的邏輯一致性:

（4）保證數據獨立性問題，降低程序對數據及數據結構的依賴:

（5）保證數據的安全性，在共享環境下保證數據所有者的利益。

以上僅是數據庫的幾個最重要的動機，發展變化的應用對數據庫提出了更多的要求。為達到上述的目的，數據的集中存放和管理永遠是必要的。其中的主要問題，除功能和性能方面的技術問題，最重要的問題就是數據的安全問題.如何既提供充分的服務同時又保證關鍵信息不被泄漏而損害信息屬主的利益，是DBMS的主要任務之一。

二、數據庫系統安全的主要風險

數據庫系統在實際應用中存在來自各方面的安全風險，由安全風險最終引起安全問題，下面從四個方面講述數據庫系統的安全風險。

1.來自操作系統的風險

來自操作系統的風險主要集中在病毒、后門、數據庫系統和操作系統的關聯性方面。首先在病毒方面，操作系統中可能存在的特洛伊木馬程序對數據庫系統構成極大的威脅，數據庫管理員尤其需要注意木馬程序帶給系統入駐程序所帶來的威脅。一個特洛伊木馬程序修改了入駐程序的密碼，并且當更新密碼時，入侵者能得到新的密碼。其次在操作系統的后門方面，許多數據庫系統的特征參數盡管方便了數據庫管理員，但也為數據庫服務器主機操作系統留下了后門，這使得黑客可以通過后門訪問數據庫。最后數據庫系統和操作系統之間帶有很強的關聯性。操作系統具有文件管理功能，能夠利用存取控制矩陣，實現對各類文件包括數據庫文件的授權進行讀寫和執行等，而且操作系統的監控程序能進行用戶登錄和口令鑒別的控制，因此數據庫系統的安全性最終要靠操作系統和硬件設備所提供的環境，如果操作系統允許用戶直接存取數據庫文件，則在數據庫系統中采取最可靠的安全措施也沒有用。

2.來自管理的風險

用戶安全意識薄弱，對信息網絡安全重視不夠，安全管理措施不落實，導致安全事件的發生，這些都是當前安全管理工作存在的主要問題。從已發生安全事件的原因中，占前兩位的分別是“未修補軟件安全漏洞”和“登錄密碼過于簡單或未修改”，也表明了用戶缺乏相關的安全防范意識和基本的安全防范常識。比如數據庫系統可用的但并未正確使用的安全選項、危險的默認設置、給用戶更多的不適當的權限，對系統配置的未經授權的改動等等。

3.來自用戶的風險

用戶的風險主要表現在用戶帳號、作用和對特定數據庫目標的操作許可。例如對表單和存儲步驟的訪問。因此必須對數據庫系統做范圍更廣的徹底安全分析，找出所有可能領域內的潛在漏洞，包括與銷售商提供的軟件相關的風險軟件的BUG、缺少操作系統補丁、脆弱的服務和選擇不安全的默認配置等。另外對于密碼長度不夠、對重要數據的非法訪問以及竊取數據庫內容等惡意行動也潛在的存在，以上這些都表現為來自用戶的風險。

4.來自數據庫系統內部的風險

雖然絕大多數常用的關系數據庫系統已經存在了十多年之久，并且具有強大的特性，產品非常成熟。但許多應該具有的特征，在操作系統和現在普遍使用的數據庫系統中，并沒有提供，特別是那些重要的安全特征，絕大多數關系數據庫系統并不夠成熟。

三、數據庫安全技術研究

1.數據庫加密

對于一些重要的機密的數據，例如一些金融數據、商業秘密、游戲網站玩家的虛擬財產，都必須存儲在數據庫中，需要防止對它們未授權的訪問，哪怕是整個系統都被破壞了，加密還可以保護數據的安全。對數據庫安全性的威脅有時候是來自于網絡內部，一些內部用戶可能非法獲取用戶名和密碼，或利用其他方法越權使用數據庫，甚至可以直接打開數據庫文件來竊取或篡改信息。因此，有必要對數據庫中存儲的重要數據進行加密處理，以實現數據存儲的安全保護。

數據加密就是將稱為明文的敏感信息，通過算法和密鑰，轉換為一種難于直接辨認的密文。解密是加密的逆向過程，即將密文轉換成可識別的明文。數據庫密碼系統要求把明文數據加密成密文，數據庫存儲密文，查詢時將密文取出解密后得到明文。數據庫加密系統能夠有效地保證數據的安全，即使黑客竊取了關鍵數據，他仍然難以得到所需的信息。另外，數據庫加密以后，不需要了解數據內容的系統管理員不能見到明文，大大提高了關鍵數據的安全性。

2.存取管理技術

存取管理技術主要包括用戶認證技術和訪問控制技術兩方面。用戶認證技術包括用戶身份驗證和用戶身份識別技術。訪問控制包括數據的瀏覽控制和修改控制。瀏覽控制是為了保護數據的保密性，而修改控制是為了保護數據的正確性和提高數據的可信性。在一個數據資源共享的環境中，訪問控制就顯得非常重要。

2.1用戶認證技術

用戶認證技術是系統提供的最外層安全保護措施。通過用戶身份驗證，可以阻止未授權用戶的訪問，而通過用戶身份識別，可以防止用戶的越權訪問。

(1)用戶身份驗證

該方法由系統提供一定的方式讓用戶標識自己的身份。每次用戶請求進入系統時，系統必須對用戶身份的合法性進行鑒別認證。用戶要登錄系統時，必須向系統提供用戶標識和鑒別信息，以供安全系統識別認證。目前，身份驗證采用的最常用、最方便的方法是設置口令法。但近年來，一些更加有效的身份驗證技術迅速發展起來，如智能卡技術、物理特征（指紋、虹膜等）認證技術等具有高強度的身份驗證技術日益成熟，并取得了不少應用成果，為將來達到更高的安全強度要求打下了堅實的理論基礎。

(2)用戶身份識別

用戶身份識別以數據庫授權為基礎，只有經過數據庫授權和驗證的用戶才是合法的用戶。數據庫授權技術包括授權用戶表、用戶授權表、系統的讀出／寫入規則和自動查詢修改技術。

2.2訪問控制

訪問控制是從計算機系統的處理功能方面

對數據提供保護，是數據庫系統內部對已經進入系統的用戶的訪問控制，是安全數據保護的前沿屏障。它是數據庫安全系統中的核心技術，也是最有效的安全手段，限制了訪問者和執行程序可以進行的操作，這樣通過訪問控制就可防止安全漏洞隱患。DBMS中對數據庫的訪問控制是建立在操作系統和網絡的安全機制基礎之上的。只有被識別被授權的用戶才有對數據庫中的數據進行輸入、刪除、修改和查詢等權限。通常采用下面兩種方法進行訪問控制：

(1)按功能模塊對用戶授權

每個功能模塊對不同用戶設置不同權限，如無權進入本模塊、僅可查詢、可更新可查詢、全部功能可使用等，而且功能模塊名、用戶名與權限編碼可保存在同一數據庫。

(2)將數據庫系統權限賦予用戶

通常為了提高數據庫的信息安全訪問，用戶在進行正常的訪問前服務器往往都需要認證用戶的身份、確認用戶是否被授權。為了加強身份認證和訪問控制，適應對大規模用戶和海量數據資源的管理，通常DBMS主要使用的是基于角色的訪問控制RBAC（Rolebasedaccesscontrol）。

3.備份與恢復

數據備份與恢復是實現數據庫系統安全運行的重要技術。數據庫系統總免不了發生系統故障，一旦系統發生故障，重要數據總免不了遭到損壞。為防止重要數據的丟失或損壞，數據庫管理員應及早做好數據庫備份，這樣當系統發生故障時，管理員就能利用已有的數據備份，把數據庫恢復到原來的狀態，以便保持數據的完整性和一致性。一般來說，數據庫備份常用的備份方法有：靜態備份（關閉數據庫時將其備份）、動態備份（數據庫運行時將其備份）和邏輯備份（利用軟件技術實現原始數據庫內容的鏡像）等；而數據庫恢復則可以通過磁盤鏡像、數據庫備份文件和數據庫在線日志三種方式來完成。

4.建立安全的審計機制

審計就是對指定用戶在數據庫中的操作進行監控和記錄的一種數據庫功能。這里主要以Oracle數據庫為例，Oracle數據庫沒有為審計數據提供獨立的導出、備份和恢復機制，用戶每導出和刪除1條審計記錄都需要自己來書寫程序，并且審計記錄所需要的存儲空間也是Oracle數據庫所提供。如果審計數據是保存在操作系統中的文件中，那么審計記錄的保護完全依賴于操作系統的安全性和對文件的加密措施。顯然，現有的數據庫管理系統的審計保護功能存在不足，應從以下2方面改進:建立單獨的審計系統和審計員，審計數據需要存放在單獨的審計文件中，而不像Oracle那樣存在數據庫中，只有審計員才能訪問這些審計數據。可以把用戶大致分為審計員、數據庫用戶、系統安全員3類，這三者相互牽制，各司其職。分別在3個地方進行審計控制。為了保證數據庫系統的安全審計功能，還需要考慮到系統能夠對安全侵害事件做出自動響應，提供審計自動報警功能。當系統檢測到有危害到系統安全的事件發生并達到預定的閾值時，要給出報警信息，同時還會自動斷開用戶的連接，終止服務器端的相應線程，并阻止該用戶再次登錄系統。

參考文獻：

劉啟原，劉怡．數據庫與信息系統的安全[M]．科學出版社，2000．

李海泉，李健．計算機網絡安全與加密技術[M]．科學出版社，2001

曹效陽．淺談SQLServer中的安全策略[M]．現代計算機，2006

江南，常春．SQLServer2000安全驗證的故障診斷與分析[M]．計算機與數字工程，2006