關(guān)于數(shù)據(jù)庫安全及其防范方案的分析
隨著網(wǎng)絡(luò)的不斷發(fā)展,數(shù)據(jù)的共享日益加強��,數(shù)據(jù)的安全保密越來越重要���。為了計算機數(shù)據(jù)庫整體安全性的控制���,需要做好很多細(xì)節(jié)性的工作�,并根據(jù)具體應(yīng)用環(huán)境的安全需要來分析安全薄弱環(huán)節(jié)�,并制定統(tǒng)一的安全管理策略加以實施,以保證其最高的安全性��。
1.數(shù)據(jù)庫安全環(huán)境的分析
隨著時代的發(fā)展�����,我國的計算機信息安全標(biāo)準(zhǔn)也在不斷提升���。在當(dāng)下的數(shù)據(jù)庫系統(tǒng)安全控制模塊中,我國數(shù)據(jù)庫安全分為不同的等級。但是總體來說,我國的數(shù)據(jù)庫安全性是比較低的��,這歸結(jié)于我國數(shù)據(jù)技術(shù)體系的落后�����。為了更好的健全計算機數(shù)據(jù)庫體系�����,進行數(shù)據(jù)庫安全體系的研究是必要的�����。我國現(xiàn)有的一系列數(shù)據(jù)安全理論是落后于發(fā)達國家的�。這體現(xiàn)在很多的應(yīng)用領(lǐng)域,比如電力領(lǐng)域�、金融領(lǐng)域�、保險領(lǐng)域等�。很多軟件都是因為其比較缺乏安全性而得不到較大范圍的應(yīng)用,歸根結(jié)底是數(shù)據(jù)庫安全性級別比較低。
為了滿足現(xiàn)階段數(shù)據(jù)庫安全工作的需要�����,進行相關(guān)標(biāo)準(zhǔn)的深化研究是必要的�����。這需要對數(shù)據(jù)庫安全進行首要考慮,且需要考慮到方方面面����,才更有利于數(shù)據(jù)庫保密性的控制���,從而保證這些數(shù)據(jù)存儲與調(diào)用的一致性��。
在當(dāng)前數(shù)據(jù)庫安全控制過程中��,首先需要對這些數(shù)據(jù)進行可用性的分析�����,從而有利于避免數(shù)據(jù)庫遭到破壞���,更有利于進行數(shù)據(jù)庫的損壞控制及其修復(fù)��。其次為了保證數(shù)據(jù)庫的安全性�、效益性,也離不開對數(shù)據(jù)庫整體安全性方案的應(yīng)用�。最后必須對數(shù)據(jù)庫進行的一切操作進行跟蹤記錄,以實現(xiàn)對修改和訪問數(shù)據(jù)庫的用戶進行追蹤���,從而方便追查并防止非法用戶對數(shù)據(jù)庫進行操作�。
2.數(shù)據(jù)庫安全策略的更新
為了滿足現(xiàn)階段數(shù)據(jù)庫安全性方案的應(yīng)用,進行身份的鑒別是必要的����。所謂的身份鑒別就是進行真實身份及其驗證身份的配比,這樣可以避免欺詐及其假冒行為的發(fā)生��。身份鑒別模式的應(yīng)用�,表現(xiàn)在用戶使用計算機系統(tǒng)進行資源訪問時。當(dāng)然在一些特定情況下�����,也要進行身份鑒別�,比如對某些稀缺資源的訪問。
身份鑒別通常情況下可以采用以下三種方法:一是通過只有被鑒別人自己才知道的信息進行鑒別���,如密碼����、私有密鑰等��;二是通過只有被鑒別人才擁有的信物進行鑒別���,如IC 卡��、護照等���;三是通過被鑒別人才具有的生理或者行為特征等來進行鑒別����,如指紋�、筆跡等。
在當(dāng)前訪問控制模塊中���,除了進行身份鑒別模式的應(yīng)用外���,還需要進行信息資源的訪問及其控制,這樣更有利于不同身份用戶的權(quán)限分配�。這就需要進行訪問級別的控制,針對各個系統(tǒng)的內(nèi)部數(shù)據(jù)進行操作權(quán)限的控制�,進行自主性及其非自主性訪問的控制,滿足數(shù)據(jù)庫的安全需要�����。實現(xiàn)用戶對數(shù)據(jù)庫訪問權(quán)限進行控制��,讓所有的用戶只能訪問自己有權(quán)限使用的數(shù)據(jù)����。當(dāng)某一個用戶具有對某些數(shù)據(jù)進行訪問的權(quán)限時,他還可以把對這些數(shù)據(jù)的操作權(quán)限部分或者全部的轉(zhuǎn)移給其他用戶���,這樣其他的用戶也獲得了對這些數(shù)據(jù)的訪問權(quán)�����。
為了更好的進行數(shù)據(jù)庫的安全管理���,審計功能的應(yīng)用也必不可少。這需要就數(shù)據(jù)庫的數(shù)據(jù)進行統(tǒng)一性的操作��。這樣管理員更加方便對數(shù)據(jù)庫應(yīng)用情況進行控制,審計功能也有利于對數(shù)據(jù)庫的操作行為進行控制��,更有利于控制用戶對數(shù)據(jù)庫的訪問���。攻擊檢測是通過升級信息來分析系統(tǒng)的內(nèi)部和外部所有對數(shù)據(jù)庫的攻擊企圖,把當(dāng)時的攻擊現(xiàn)場進行復(fù)原�����,對相關(guān)的攻擊者進行處罰。通過這種方法���,可以發(fā)現(xiàn)數(shù)據(jù)庫系統(tǒng)的安全隱患����,從而來改進以增加數(shù)據(jù)庫系統(tǒng)的安全性�����。
在數(shù)據(jù)庫數(shù)據(jù)處理過程中���,可以進行一些合法查詢模式的應(yīng)用���,當(dāng)需要調(diào)取保密數(shù)據(jù)時,就需要應(yīng)用推理分析模塊���。這是數(shù)據(jù)庫安全性方案控制過程中的重難點�����,而通過這種簡單的推理分析方法調(diào)取保密數(shù)據(jù)�,是得不到有效解決的。但是我們可以使用以下幾種方法來對這種推理進行控制:數(shù)據(jù)加密的基本思想就是改變符號的排列方式或按照某種規(guī)律進行替換����,使得只有合法的用戶才能理解得到的數(shù)據(jù)�����,其他非法的用戶即使得到了數(shù)據(jù)也無法了解其內(nèi)容��。
通過對加密粒度的應(yīng)用��,更有利于進行數(shù)據(jù)庫加密性的控制�。其分為幾種不同的應(yīng)用類型等級。在當(dāng)前應(yīng)用模塊中���,需要進行數(shù)據(jù)保護級別的分析����,進行適當(dāng)?shù)募用芰6鹊姆治?���。更有利于滿足數(shù)據(jù)庫級別加密的需要。該加密技術(shù)的應(yīng)用針對的是整體數(shù)據(jù)庫��,從而針對數(shù)據(jù)庫內(nèi)部的表格、資料等加密�����。采用這種加密粒度���,加密的密鑰數(shù)量較少���,一個數(shù)據(jù)庫只需要一個加密密鑰,對于密鑰的管理比較簡單�����。但是����,由于數(shù)據(jù)庫中的數(shù)據(jù)能夠被許多的用戶和應(yīng)用程序所共享,需要進行很多的數(shù)據(jù)處理��,這將極大的降低服務(wù)器的運行效率��,因此這種加密粒度只有在一些特定的情況下才使用��。
表級加密也是比較常用的方法�,這種方法應(yīng)用于數(shù)據(jù)庫內(nèi)部的數(shù)據(jù)加密����。針對具體的存儲數(shù)據(jù)頁面進行加密控制�。這對于系統(tǒng)的運行效率的提升具備一定的幫助,不會影響系統(tǒng)的運行效率�。這種方法需要應(yīng)用到一些特殊工具進行處理��,比如解釋器�����、詞法分析器等�����,進行核心模塊的控制�,進行數(shù)據(jù)庫管理系統(tǒng)源代碼的控制及其優(yōu)化。但是其難以確保數(shù)據(jù)庫管理系統(tǒng)的整體邏輯性��,也存在缺陷�。記錄級加密;這種加密技術(shù)的加密粒度是表格中的每一條記錄����,對數(shù)據(jù)庫中的每一條記錄使用專門的函數(shù)來實現(xiàn)對數(shù)據(jù)的加密、解密。通過這種加密方法����,加密的粒度更加小巧,具有更好的選擇性和靈活性�����。字段級加密���;這種加密技術(shù)的加密粒度是表格中的某一個或者幾個字段�����。通過字段級的加密粒度只需要對表格中的敏感列的數(shù)據(jù)進行加密�����,而不需要對表格中的所有的數(shù)據(jù)進行加密��。
選擇加密算法也是比較常見的數(shù)據(jù)加密方法���。它是數(shù)據(jù)加密的核心部分。對于數(shù)據(jù)庫的整體安全性的控制具有直接性的影響�。通過對加密算法的分析��,得知其分為公共密鑰加密及其對稱加密�����。在數(shù)據(jù)加密模塊中�,需要進行密文及其明文的區(qū)分�,從而進行明文及其密文的轉(zhuǎn)換,也就是普遍意義上的密碼�。密碼與密鑰是兩個不同的概念����。后者僅是收發(fā)雙方知道的信息。在數(shù)據(jù)加密技術(shù)中���,對密鑰進行管理主要包括以下幾個方面�,產(chǎn)生密鑰�。產(chǎn)生怎樣的密鑰主要取決于使用什么樣的算法。若產(chǎn)生的密鑰強度不一樣就稱這種算法實現(xiàn)的是非線性的密鑰空間���,若產(chǎn)生的密鑰強度一樣就稱這種算法實現(xiàn)的是線性的密鑰空間�����。分配密鑰��、傳遞密鑰:分配密鑰就是產(chǎn)生一個密鑰并且將這個密鑰分配給某個用戶使用的過程����。
密鑰的傳遞分為不同的應(yīng)用形式,集中式與分散式����。所謂的集中式就是進行密鑰整體式的傳遞;所謂的分散式就是對密鑰的多個部分進行劃分�����,以秘密的方法給用戶進行傳遞����。通過將整體方法與分散方法應(yīng)用到存儲模塊中,更好的滿足現(xiàn)階段數(shù)據(jù)庫整體安全性的需要��。對于密鑰的備份可以使用和對密鑰進行分散存儲一樣的方式進行�����,以避免太多的人知道密鑰��;而銷毀密鑰需要有管理和仲裁機制,以防止用戶對自己的操作進行否認(rèn)����。
3.結(jié)束語
隨著計算機,特別是網(wǎng)絡(luò)的不斷發(fā)展�,數(shù)據(jù)的共享日益加強,數(shù)據(jù)的安全保密越來越重要����。本文詳細(xì)闡述了數(shù)據(jù)庫的安全防范,分別從數(shù)據(jù)分析����、用戶鑒別���、訪問權(quán)限控制���、審計、數(shù)據(jù)加密等環(huán)節(jié)逐一剖析數(shù)據(jù)庫安全�。為了計算機數(shù)據(jù)庫整體安全性的控制,需要做好很多細(xì)節(jié)性的工作�,并根據(jù)具體應(yīng)用環(huán)境的安全需要來分析安全薄弱環(huán)節(jié),并制定統(tǒng)一的安全管理策略加以實施�,以保證其最高的安全性���。
CDA數(shù)據(jù)分析師考試相關(guān)入口一覽(建議收藏):
? 想報名CDA認(rèn)證考試,點擊>>>
“CDA報名”
了解CDA考試詳情�;
? 想學(xué)習(xí)CDA考試教材,點擊>>> “CDA教材” 了解CDA考試詳情���;
? 想加入CDA考試題庫��,點擊>>> “CDA題庫” 了解CDA考試詳情����;
? 想了解CDA考試含金量����,點擊>>> “CDA含金量” 了解CDA考試詳情;
京公網(wǎng)安備 11010802034615號
經(jīng)營許可證編號:京B2-20210330