『壹』 網路安全與防範措施
網路安全與防範措施【1】
摘要:隨著計算機網路技術的快速發展,網路安全日益成為人們關注的焦點。
越來越多的計算機用戶足不出戶就可訪問到全球網路系統豐富的信息資源,經濟、文化、軍事和社會活動也強烈依賴於網路,一個網路化的社會已呈現在我們面前。
隨著網路應用的不斷增多,網路安全問題也越來越突出。
由於計算機網路聯接形式的多樣性、終端分布的不均勻性、網路的開放性和網路資源的共享性等因素,致使計算機網路容易遭受病毒、黑客、惡意軟體和其它不軌行為的攻擊。
為確保信息的安全與暢通,研究網路的安全與防範措施已迫在眉捷。
本文分析了影響網路安全的主要因素及攻擊的主要方式,從管理和技術兩方面就加強計算機網路安全提出了針對性的對策。
關鍵詞:網路安全;防範;隱患;措施
引言
隨著計算機技術的突飛猛進,計算機網路的新月異,網路已經深入到我們生活的各個角落。
計算機網路在扮演著越來越重要的角色。
然而,在我們每天通過互聯網路與朋友通信,和同行交流,通過互聯網了解新聞獲取信息的同時,我們對這個網路究竟了解多少,我們是否能意識到給我們生活、工作帶來快捷、便利的網路所潛伏的不安全因素。
1計算機網路安全的概念
計算機網路安全的具體定義會隨著使用者的變化而變化,使用者不同,對網路安全的認識和要求也就不同。
例如從普通使用者的角度來說,可能僅僅希望個人隱私或機密信息在網路上傳輸時受到保護,避免被偷聽、篡改和偽造;而網路提供商除了關心這些網路信息安全外,還要考慮如何應付突發的 自然 災害、軍事打擊等對網路硬體的破壞,以及在網路出現異常時如何恢復網路通信,保持網路通信的連續性。
從本質上來講,網路安全包括組成網路系統的硬體、軟體及其在網路上傳輸信息的安全性,使其不致因偶然的或者惡意的攻擊遭到破壞,網路安全既有技術方面的問題 ,也有管理方面的問題,兩方面相互補充,缺一不可。
人為的網路入侵和攻擊行為使得網路安全面臨新的挑戰。
2、計算機網路安全的隱患及攻擊形式
2.1計算機網路硬體安全隱患
計算機網路硬體設施是互聯網中必不可少的部分,硬體設施本身就有著安全隱患。
電子輻射泄露就是其主要的安全隱患問題,也就是說計算機和網路所包含的電磁信息泄露了,這增加了竊密、失密、泄密的危險;此外安全隱患問題也體現在通信部分的脆弱性上,在進行數據與信息的交換和通信活動時,主要通過四種線路,即光纜、電話線、專線、微波,除光纜外其它三種線路上的信息比較容易被竊取;除上述方面外,計算機的操作系統與硬體組成的脆弱性,也給系統的濫用埋下了隱患。
?另外,移動存儲介質。
移動存儲介質比如U盤、移動硬碟等,由於其自身具有方便小巧、存儲量大、通用性強、易攜帶等特點,應用比較廣泛,尤其是涉密單位,這給網路系統的信息安全造成很大的隱患。
2.2計算機軟體漏洞
黑客通過精心構造的惡意代碼,攻擊某些網站並上傳惡意代碼到被攻擊網站的伺服器。
用戶訪問被攻擊的網站時,可能導致用戶隱私信息泄露。
無論多強大的軟體在設計之初都難免存在缺陷或漏洞,操作系統軟體也不例外。
系統主機之間互異的操作系統具有相對的獨立性,同樣性質的漏洞,也會由於操作系統軟體設計開發過程的不同,而具有不一樣的表現形式。
攻擊者可以很「方便」的通過漏洞對計算機系統進行破壞,造成主機癱瘓、重要資料丟失等,嚴重影響系統的正常運行。
2.3黑客攻擊和計算機病毒攻擊
這是一種最嚴重的網路安全威脅。
攻擊者通過各種方式尋找系統脆弱點或系統漏洞,由於網路系統同構冗餘環境的弱點是相同的,多個系統同時故障的概率雖小,但被攻破可能性卻大,通過攔截、竊取等多種方式,向系統實施攻擊,破壞系統重要數據,甚至系統癱瘓,給網路安全帶來嚴重威脅。
網路病毒發病和傳播速度極快,而許多計算機用戶由於各種各樣的原因,沒有安裝殺毒軟體或不能及時更新殺毒軟體病毒庫,造成網路病毒泛濫,病毒程序輕者降低系統工作效率,重者導致系統崩潰、數據丟失,造成無可挽回的損失,不僅嚴重地危害到了用戶計算機安全,而且極大的消耗了網路資源,造成網路擁塞,給每一個用戶都帶來極大的不便。
2.4網路自身的安全缺陷
網路是一個開放的環境,TCP/IP是一個通用的協議,即通過IP地址作為網路節點的唯一標識,基於IP地址進行多用戶的認證和授權,並根據IP包中源IP地址判斷數據的真實和安全性,但該協議的最大缺點就是缺乏對IP地址的保護,缺乏對源IP地址真實性的認證機制,這就是TCP/IP協議不安全的根本所在。
通過TCP/IP協議缺陷進行的常見攻擊有:源地址欺騙、IP欺騙、源路由選擇欺騙、路由選擇信息協議攻擊、SYN攻擊等等。
3.網路安全的防範措施
3.1防火牆技術
防火牆是網路安全的屏障,配置防火牆是實現網路安全最基本、最經濟、最有效的安全措施之一。
防火牆是指一個由軟體或和硬體設備組合而成,處於企業或網路群體計算機與外界通道之間,限制外界用戶對內部網路訪問及管理內部用戶訪問外界網路的許可權。
當一個網路接上Inter net之後,系統的安全除了考慮計算機病毒、系統的健壯性之外,更主要的是防止非法用戶的入侵,而目前防止的措施主要是靠防火牆技術完成。
3.2數據加密技術
數據加密技術就是對信息進行重新編碼,從而隱藏信息內容,使非法用戶無法獲取信息的真實內容的一種技術手段。
數據加密技術是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部破析所採用的主要手段之一。
數據加密技術按作用不同可分為數據存儲,數據傳輸、數據完整性的鑒別,以及密鑰的管理技術。
數據存儲加密技術是防止在存儲環節上的數據丟失為目的,可分為密文存儲和存取兩種,數據傳輸加密技術的目的是對傳輸中的數據流加密。
數據完整性鑒別是對介入信息的傳送、存取,處理人的身份和相關數據內容進行驗證,達到保密的要求,系統通過對比驗證對輸入的特徵值是否符合預先設定的參數,實現對數據的安全保護。
3.3防病毒技術
隨著計算機技術的不斷發展,計算機病毒變得越來越復雜和高級,對計算機信息系統構成極大的威脅。
在病毒防範中普遍使用的防病毒軟體,從功能上可以分為網路防病毒軟體和單機防病毒軟體兩大類。
單機防病毒軟體一般安裝在單台PC上,即對本地和本地工作站連接的遠程資源採用分析掃描的方式檢測、清除病毒。
網路防病毒軟體則主要注重網路防病毒,一旦病毒入侵網路或者從網路向其它資源傳染,網路防病毒軟體會立刻檢測到並加以刪除。
病毒主要由數據破壞和刪除、後門攻擊、拒絕服務、垃圾郵件傳播幾種方式的對網路進行傳播和破壞,照成線路堵塞和數據丟失損毀。
那麼建立統一的整體網路病毒防範體系是對計算機網路整體有效防護的解決辦法。
3.4伺服器訪問控制策略
伺服器和路由器這樣的網路基礎設備,避免非法入侵的有效方法是去掉不必要的網路訪問,在所需要的網路訪問周圍建立訪問控制。
另外對用戶和賬戶進行必要的許可權設置。
一是要限制資料庫管理員用戶的數量和給用戶授予其所需要的最小許可權。
二是取消默認賬戶不需要的許可權選擇合適的賬戶連接到資料庫。
3.5建立更安全的電子郵件系統
目前有些優秀的電子郵件安全系統具有強大的高准確率和低誤報率,獨特的策略模塊可以幫助用戶輕松地實現郵件系統的管理與維護,有的電子郵件系統判別垃圾郵件的准確率接近百分之百。
各用戶要多方分析、比較,選擇優秀的電子郵件安全系統保證網路的郵件系統安全,以改變郵件系統存在垃圾郵件、郵件病毒、郵件泄密等安全隱患的現狀。
3.6提高網路工作人員的素質,強化網路安全責任
為了強化網路安全的責任,還有一項重要任務――提高網路工作人員的管理素質。
要結合數據、軟體、硬體等網路系統各方面對工作人員進行安全教育,提高責任心,並通過相關業務技術培訓,提高工作人員的操作技能,網路系統的安全管理要加以重視,避免人為事故的發生。
由於網路研究在我國起步較晚,因此網路安全技術還有待提高和發展。
此外,為了保障網路能夠安全運行,我們還應該制定完善的管理措施,建立嚴格的管理制度,完善法規、法律,提高人們對網路安全的認識,加大對計算機犯罪的法律制裁。
4.結束語
計算機網路的安全性越來越受到重視,網路環境的復雜性、多變性,以及信息系統的脆弱性,決定了計算機網路不能僅僅依靠防火牆,而涉及到管理和技術等方方面面。
總的來說,網路安全不僅僅是技術問題,同時也是一個安全管理問題。
我們必須綜合考慮安全因素,制定合理的目標、技術方案和相關的配套法規等。
世界上不存在絕對安全的網路系統,隨著計算機網路技術的進一步發展,網路安全防護技術也必然隨著網路應用的發展而不斷發展。
需要仔細考慮系統的安全需求,建立相應的管理制度,並將各種安全技術與管理手段結合在一起,才能生成一個高效、通用、安全的計算機網路系統。
網路安全與防範措施【2】
[摘要]隨著計算機網路的普及,我們對網路的依賴程度越來越高。
網路的開放性使得網路信息的安全受到前所未有的威脅。
我們必須積極採取各種有效的防範措施以確保重要信息不受損失。
本文主要從分析計算機網路安全隱患入手來探究其防範措施。
[關鍵詞]計算機網路;網路安全;防範措施;防火牆
隨著高新科技的發展,信息技術已滲透各個領域,對行業現代化建設發揮越來越重要的作用。
特別是信息技術在生活中的廣泛滲透和發展,不但改變了傳統的生活模式、辦公方式、管理方式。
信息化已作為社會發展的核心內容,成為促進社會發展的助推器。
然而,隨著信息網規模的逐漸擴大和系統應用的不斷深入。
各種網路安全問題也隨之而來。
例如系統不穩定、網速緩慢或癱瘓:訪問登錄失敗、設備和信息安全事故、黑客和計算機病毒入侵等故障,嚴重影響,網路的正常使用,成為阻礙網路進一步深化和發展的瓶頸。
因此,研究網路安全防範技術具有十分重要的意義。
1計算機網路安全的概念
網路安全從本質上講就是網路上的信息安全,指網路系統的硬體、軟體及數據受到保護,免受破壞、更改和泄露,系統可靠正常地運行,網路服務小中斷;從用戶的角度來看,他們希望涉及個人和商業的信息在網路上傳輸時受到機密性、完整性和真實性的保護,避免其他人利用偷聽,篡改、抵賴等於段對自己的利益和隱私造成損害和侵犯;從網路運營商和管理者的角度來說,他們希望對本地網路信息的訪問、讀寫等操作受到保護和控制,避免出現病毒、非法存取、拒絕服務和網路資源的非法佔用和黑客的攻擊。
計算機安全主要是為數據處理系統建立和採取的技術和管理的安全保護,保護計算機硬體、軟體數據不因偶然和惡意的元兇而遭到破壞,更改和泄漏。
從本質上來講,網路安全包括組成網路系統的硬體,軟體及其住網路上傳輸信息的安全性,使其不致因偶然的或者惡意的攻擊遭到破壞。
網路安全既有技術方面的問題,也有管理方面的問題,兩方面相互補充,缺一不可。
2網路安全的隱患
對計算機信息構成不安全的因素很多,其中包括人為的因素、自然的因素和偶發的因素。
其中,人為因素是指一些不法之徒利用計算機網路存在的漏洞,或者潛入計算機房,盜用計算機系統資源,非法獲取重要數據、篡改系統數據、破壞硬體設備、編制計算機病毒。
人為因素是對計算機信息網路安全威脅最大的因素。
計算機網路不安全因素主要表現在以下幾個方面:
2.1計算機網路的脆弱性
互聯網是對全世界都開放的網路,任何單位或個人都可以在網上方便地傳輸和獲取各種信息,互聯網這種具有開放性、共享性、國際性的特點就對計算機網路安全提出了挑戰。
在使用互聯網時應注意以下幾項不可靠的安全性。
2.1.1網路的開放性,網路的技術是全開放的,使得網路所面臨的攻擊來自多方面。
或是來自物理傳輸線路的攻擊,或是來自對網路通信協議的攻擊,以及對計算機軟體、硬體的漏洞實施攻擊。
2.1.2網路的國際性,意味著對網路的攻擊不僅是來自於本地網路的用戶,還可以是互聯網上其他國家的黑客,所以,網路的安全面臨著國際化的挑戰。
2.1.3網路的自由性,大多數的網路對用戶的使用沒有技術上的約束,用戶可以自由的`上網,發布和獲取各類信息。
2.2操作系統存在的安全問題
操作系統是一個支撐軟體,是計算機程序或別的運用系統在上面正常運行的一個環境。
操作系統提供了很多的管理功能,主要是管理系統的軟體資源和硬體資源。
操作系統軟體自身的不可靠安全性,是計算機系統開發設計的不周而留下的破綻,都給網路安全留下隱患。
2.2.1操作系統結構體系的缺陷。
操作系統本身有內存管理、CPU管理、外設的管理,每個管理都涉及一些模塊或程序,如果在這些程序裡面存在問題,比如內存管理的問題,外部網路的一個連接過來,剛好連接一個有缺陷的模塊,可能出現的情況是,計算機系統會因此崩潰。
所以,有些黑客往往是針對操作系統的不完善進行攻擊,使計算機系統,特別是伺服器系統立刻癱瘓。
2.2.2操作系統支持在網路上傳送文件、載入或安裝程序,包括可執行文件,這些功能也會帶來不安全因素。
網路很重要的一個功能就是文件傳輸功能,比如FTP,這些安裝程序經常會帶一些可執行文件,這些可執行文件都是人為編寫的程序,如果某個地方出現漏洞,那麼系統就可能會造成崩潰。
像這些遠程調用、文件傳輸,如果生產廠家或個人在上面安裝間諜程序,那麼用戶的整個傳輸過程、使用過程都會被別人監視到,所有的這些傳輸文件、載入的程序、安裝的程序、執行文件,都可能給操作系統帶來安全的隱患。
所以,建議盡量少使用一些來歷不明,或者無法證明它安全性的軟體。
2.2.3操作系統有守護進程的防護功能,它是系統的一些進程,總是在等待某些事件的出現。
所謂的守護進程,就是監控病毒的監控軟體,當有病毒出現就會被捕捉。
但是有些進程是一些病毒,碰到特定的情況就會把用戶的硬碟格式化,這些進程就是很危險的守護進程,平時可能不起作用,可是在某些條件下發生後,就會發生作用。
如果操作系統守護進程被人為地破壞掉就會出現這種不良的安全隱患。
3網路安全的防患措施
上面已經分析了網路安全所存在的一系列隱患,其中包括網路本身所具有的脆弱性和一些管理上的失當等原因。
而作為計算機用戶,應該積極地採取有效的措施進行防患,以避免嚴重後果發生的可能性。
網路安全採用的主要防範措施如下:
3.1提高安全意識,加大安全管理力度
(1)配備專業的安全管理人員。
安全管理要有專人負責,同時還要有技術人員去落實。
(2)控制對網路的訪問和使用。
控制用戶對網路的訪問和使用的目的是保證網路資源不被非法使用和非法訪問。
(3)增強防病毒意識。
查、殺病毒是確保網路系統安全的必不可少的重要手段。
(4)及時做好數據備份工作,確保網路信息的安全。
3.2及時修補「漏洞」
網路軟體不可能無缺陷、無漏洞,這些漏洞和缺陷正是黑客攻擊的首選目標。
3.3利用網路安全技術
3.3.1防火牆技術
目前保護網路安全最主要的手段之一就是構築防火牆。
防火牆是一種形象的說法,其實它是一種計算機硬體和軟體相結合的技術,是在受保護網與外部網之間構造一個保護層,把攻擊者擋在受保護網的外面。
這種技術強制所有出入內外網的數據流都必須經過此安全系統。
它通過監測、限制或更改跨越防火牆的數據流,盡可能地對外部網路屏蔽有關受保護網路的信息和結構來實現對網路的安全保護。
因而防火牆可以被認為是一種訪問控制機制,用來在不安全的公共網路環境下實現局部網路的安全性。
3.3.2身份認證
身份認證是任何一個安全的計算機所必需的組成部分。
身份認證必須做到准確無誤地將對方辨認出來,同時還應該提供雙向的認證,即互相證明自己的身份,網路環境下的身份認證比較復雜,因為驗證身份的雙方都是通過網路而不是直接接觸,傳統的指紋手段等已無法使用,所以目前通常採用的是基於對稱密鑰加密或公開密鑰加密的方法,以及採用高科技手段的密碼技術進行身份驗證。
3.3.3訪問控制
訪問控制也叫接入控制,阻止非授權用戶進入網路,防止任何對計算機資源和通信資源的非授權訪問。
即根據用戶的身份賦予其相應的許可權,也就是說按事先確定的規則決定主體對客體的訪問是否合法。
訪問控制主要通過注冊口令、用戶分組控制、文件許可權控制三個層次來實現。
3.3.4基於密碼論的技術
密碼技術是集數學、計算機科學、電子與通信等諸多學科於一體的交叉學科,是保護信息安全的主要手段之一,它不僅具有保證信息機密性的信息加密功能,而且具有數字簽名、身份驗證、秘密分存、系統安全等功能。
(1)密鑰技術。
密鑰技術的任務是在一個密碼系統中控制密鑰的選擇和分配。
密鑰是一段數字信息,它與加密演算法相互作用,以控制信息的加密。
(2)數字簽名。
數字簽名是一種用於鑒別的重要技術。
數字簽名是一個數,它依賴於消息的所有位以及一個保密密鑰。
它的正確性可以用一個公開密鑰來檢驗。
數字簽名可以用於鑒別服務,也可以用於完整性服務和無拒絕服務。
當數字簽名用於無拒絕服務時,它是和公證一起使用的。
公證是通過可信任的第三方來驗證消息的。
(3)驗證技術。
驗證技術可分為基於共享密鑰的認證和基於公鑰的認證。
前者實際上是執行一種查詢―問答協議,發送方發送一個隨機數給接收方,接收方解密後以一種特殊形式轉換它並傳回結果,從而實現認證。
該協議的關鍵是如何建立共享密鑰。
3.3.5反病毒軟體
即使有防火牆、身份認證和加密措施,人們仍擔心遭到病毒和黑客的攻擊。
隨著計算機網路的發展,攜帶病毒和黑客程序的數據包和電子郵件越來越多,打開或運行這些文件,計算機就有可能感染病毒。
假如安裝有反病毒軟體,就可以預防、檢測一些病毒和黑客程序。
總之,網路安全是一項復雜的系統工程,涉及技術、設備、管理和制度等多方面的因素,安全解決方案的制定需要從整體上進行把握。
網路安全解決方案是綜合各種計算機網路信息系統安全技術,將安全操作系統技術、防火牆技術、病毒防護技術、入侵檢測技術、安全掃描技術等綜合起來,形成一套完整的、協調一致的網路安全防護體系。
我們必須做到管理和技術並重,安全技術必須結合安全措施,並加強網路立法和執法的力度,建立備份和恢復機制,制定相應的安全標准。
此外,由於網路病毒、網路犯罪等技術是不分國界的,因此必須進行充分的國際合作,來共同對付日益猖獗的網路犯罪和網路病毒等問題,確保網路安全。
參考文獻:
[1]白斌.防火牆在網路安全中的應用[J].科技創新導報,2007(35).
[2]彭,高.計算機網路信息安全及防護策略研究[J].計算機與數字工程,2011(01).
[3]陳愛梅.基於防火牆技術的網路安全的研究[J].科協論壇(下半月),2008(05).
[4]郭勇.計算機網路安全淺析[J].科技廣場,2009(09).
『貳』 網路資料庫安全論文範文
隨著互聯網的迅猛發展,資料庫系統在網路環境下的面臨著一系列威脅如病毒感染、黑客攻擊等。下文是我為大家搜集整理的關於網路資料庫安全論文範文的內容,歡迎大家閱讀參考!
網路資料庫安全論文範文篇1
淺論計算機網路資料庫安全
【摘 要】文章闡述了網路資料庫的安全因素,並且對網路資料庫的安全防範措施進行了探討。
【關鍵詞】計算機資料庫;網路環境;分析;安全
經過目前網路環境下,網路信息安全是一個亟待解決的重要問題,而計算機資料庫的安全問題,又是其核心和關鍵問題,它直接關繫到網路信息管理系統的整體的安全性。所以,為了保證網路信息系統高效、穩定、安全的運行,科學、合理的防範措施是網路資料庫技術研究的重點內容。
一、網路資料庫的模型構建
網路資料庫的基礎是後台資料庫,其訪問控制功能是由前台程序所提供。查詢、存儲等操作的信息集合是由瀏覽器完成的,資料庫在網路環境下,其特點是實現數據信息的共享,同時能夠實現訪問控制和最小冗餘度,保持數據的一致性和完整性,圖1是網路資料庫的構建模型圖如下
該模型是在網路技術結合資料庫技術的基礎上構建的,具體是由三層結構組成,包括資料庫伺服器、應用伺服器和WEB伺服器、瀏覽器等。整個系統和用戶連接的介面,是通用的瀏覽器軟體。作為第一層的客戶端,瀏覽器的功能是為用戶提供信息的輸入,將代碼轉化為網頁,提供交互功能,同時處理所提出的各種請求。而第二層的WEB伺服器是作為後台,通過對相應的進程進行啟動,來響應各種請求,同時生成代碼處理各種結果,若數據的存取也在客戶端請求的范圍內,則資料庫伺服器必須配合WEB伺服器,才能對這一請求共同進行完成。第三層資料庫伺服器對資料庫能進行有效的管理,對不同的SQL伺服器發出的請求起到協調的功能。
二、分析網路資料庫安全性
1、分析數據安全性
網路資料庫是信息管理系統的核心部分,其安全性能會對資料庫中數據的安全起到直接的影響作用,由於很多重要的數據保存在資料庫伺服器上,例如一些賬務數據、金融數據、還有一些工程數據、技術數據、涉及到規劃和戰略發展的決策性數據等等,屬於機密信息,嚴禁非法訪問,對外必須嚴格保密的數據等。而針對企業和公司,內部資源的籌劃、對外交易的進行、日常業務的運作等等,必須依賴網路資料庫進行,所以數據的安全性至關重要。
2、分析系統的安全性
網路資料庫是否安全,直接決定了伺服器主機和區域網的安全性能,資料庫系統配置的“可從埠定址的”,表示只要具備數據的使用許可權及適合的查詢工具,都可直接連接資料庫及伺服器埠,而針對操作系統的安全檢測,可巧妙避開。而多數資料庫還具有公開的密碼和默認號,而這種默認賬號的許可權非常高,既可訪問資料庫的各級資源,同時還可按照指令對操作系統進行操作,甚至還能開啟後門,對監聽程序進行存放,進而獲得相關口令,對整個區域網進行控制,產生較嚴重的危害性。
3、分析影響資料庫的安全因素
資料庫伺服器是網路信息系統的核心部分,裡面有大量敏感的和重要的信息存在,所以資料庫的安全性對保存的數據的安全性有著直接的影響。網路資料庫不僅有著較大的處理量,較集中的數據信息,同時數據有著非常頻繁的更新,用戶訪問量也非常巨大。所以,對網路數據安全帶來威脅的影響因素有:
(1)用戶沒有執行正確的訪問操作,造成資料庫發生錯誤;
(2)人為對資料庫進行破壞,造成資料庫不能恢復正常;
(3)非法訪問機密信息,而表面又不留任何痕跡;
(4)通過網路,用戶對資料庫進行訪問時,會受到各種搭線竊聽技術的攻擊;
(5)用戶採取非法手段,對信息資源進行竊取;
(6)在未被授權的情況下,對資料庫進行修改,造成數據失真現象嚴重;
面對以上種種威脅,只進行網路保護還根本不夠,由於和其他系統在結構上有著本質的區別,資料庫中所含有的各種數據敏感級別和重要程度不同,同時還具有共享功能,為擁有各種特權的用戶提供服務,所以它對安全性的要求更廣,也更為嚴格,不僅僅需要對聯機網路、外部設備等實行物理保護,為防止敏感數據被盜用,同時對非法訪問進行預防,還必須採取其他有效措施,以實現數據的一致性和完整性。
三、對網路資料庫實行安全防範的措施
目前所採取的各種防範策略中,往往還不全面和具體,無法真正實現資料庫的安全保障。所以在網路環境下,針對資料庫的安全問題,應從日常的維護和開發,系統的設計等整體方面進行考慮和設計,建立各種安全機制,形成整體的安全策略。
1、研發信息管理人員應轉變設計觀念
首先研發信息管理系統的人員,必須轉變觀念,改變以往的只對信息管理系統功能進行重視的錯誤看法,綜合考慮系統的安全性,徹底評估所要開發的系統和軟體,從後台資料庫系統及前台開發工具,以及軟體和硬體的實施環境等方面,查找信息系統中潛在的安全隱患,避免因為硬體環境及開發工具的不合適,造成資料庫的泄密,進而使整個系統出現不穩定現象。
2、系統管理和維護人員應綜合考慮資料庫安全性
系統管理和維護人員,必須對資料庫的安全性進行全面的考慮,具體涵蓋以下兩點內容:
1)外圍層的安全
主要包括網路安全和計算機系統安全,而來自病毒的侵犯是最主要的威脅,所以為了對整個系統的正常運行做出保證,必須規避外層中病毒的擴散和隱藏及入侵,採用綜合治理方法,將防、殺、管結合在一起,對網路資料庫系統的虛擬專用網進行構築,採用技術,使網路路由的傳輸安全性和接入安全性得到保障,利用防火牆技術,實現網段間隔離及網間隔離,既避免系統遭受非法入侵,同時也使網路邊界安全得到保障。
同時,網路資料庫外圍安全重點是在WEB伺服器及操作系統上,既要進行物理保護,同時還應進行應用伺服器的保護,通過加密等方式,預防在傳輸過程中,數據被篡改或監聽。因為該層對資料庫自身的加密並為涉及,所以不能直接進行文件的加密,也無法使用密鑰管理。同時由於主要是以WEB瀏覽器服務輸出進行該層的運行程序,所以在ASP等具體應用軟體上,更要實現其安全性能。
2)核心層安全
在整個網路資料庫系統中,應用軟體和資料庫是重要的核心組成部分,若濫用、非法復制、竊取、篡改、丟失軟體和數據,將會對系統造成毀滅性的打擊,嚴重的會危害到社會安全。所以,我們必須進行控制用戶訪問許可權,從資料庫的加密、恢復和備份、數據分級控制等幾個方面,來進行安全防範,使資料庫管理系統的完整性和獨立性得到保障。數據分級是一種簡單易行的操作方法,可對資料庫實行信息流控制。採用加密控制,通過加密資料庫文件,提供幾種不同速度和安全強度的加解密演算法,為用戶提供合理的設置。
四、結語
伴隨著計算機技術的迅猛發展和不斷更新換代,各種建立在Internet及計算機上的信息管理系統已經成為重要的手段,支撐和完成各種事物的運作。在網路環境下,開發和使用信息管理系統的過程中,必須重點考慮安全問題,這樣才能為整個資料庫伺服器的數據安全提供保障,以實現一種預期的效益,更好的為廣大用戶服務。
參考文獻:
[1]徐莉.春梅.網路資料庫的安全漏洞及解決方法[J].福建電腦,2007(12).
[2]錢菁.網路資料庫安全機制研究[J].計算機應用研究,2010(12).
網路資料庫安全論文範文篇2
淺談網路資料庫安全策略
摘 要: 主要對現今網路環境中資料庫所面臨的安全威脅進行詳盡論述,並由此全面地分析提高網路資料庫安全性的解決對策。
關鍵詞: 網路;資料庫;安全對策
隨著網路在21世紀社會當中的普及發展,越來越多的企業逐漸地 參與進來,並且將企業的核心逐漸的轉向互聯網,在地理區域內分散的部門和公司以及廠商對於資料庫的應用需求明顯呈現出過旺的趨勢,在資料庫的管理系統當中逐漸的從單機有力的擴展到了整個網路環境,針對數據的收集和儲存以及處理與後期的傳播方式都從集中性邁向了全面分布式模式。企業在使用資料庫管理系統的時候,尤為重視的是資料庫信息的安全性。
1 網路資料庫安全機制
網路資料庫的基礎是計算機的後台資料庫,在加上前台程序所以提供的訪問控制,對於數據的儲存和查詢以及信息之間的集合操作都可以通過有效的瀏覽器進行逐步完成。當前信息處理網路環境當中,有效的將大量數據信息進行多用戶的共享是資料庫存在的最大特點,然而與此同時對於數據的完整性以及一致性都有著有效的保障,有力的實現了最小程度的訪問控制。
網路資料庫所採用的兩個典型的模式是B/S模式和C/S模式。C/S所採用的模式主要分為三層結構:① 首先是客戶機;② 應用伺服器;③ 資料庫伺服器,主要表現形式的是由客戶機將數據傳輸到應用伺服器,然後再次傳輸到資料庫的伺服器當中。B/S所採用的模式其主要也是分為三層結構:① 首先是瀏覽器;② Web伺服器;③ 資料庫伺服器,主要表現形式如上所述。由此我們可以看出,這兩種網路資料庫模式在結構上存在很大程度的共同點,它們全部都涉及到了網路和系統軟體以及應用軟體。
2 各層安全機制詳述
2.1 網路系統安全機制
如果資料庫受到了外部惡意的信息的攻擊侵入,首先是從網路系統開始進行攻擊入侵,由此我們可以判斷資料庫安全的第一道保護屏障就是網路系統的正常安全。我們僅站在技術角度而言,可以將其大致的分成其防入侵檢測以及協作式入侵檢測技術等。下面我們分別闡述:
首先,計算機系統當中都安裝有防火牆,防火牆的廣泛運用儼然成為了現今一種最基本的防範措施。防火牆所起到的主要作用是對可信任的網路以及不可信任的網路之間的訪問渠道進行有效的監控,針對內部網路和外部網路建立一道有效的防護措施屏障,將外部網路當中的非法訪問進行有效的攔截並且將內部信息進行有效的阻止防止信息外流。防火牆對於外部的入侵具有強有力的防範控制,但是對於網路內部產生的非法操作卻無法進行阻攔和加以有效控制。
其次,關於入侵檢測,是近幾年逐漸發展壯大的一種有力的防範技術,它主要採用了統計技術和規則技術以及網路通信技術與人工智慧等技術和方法進行有效的綜合在一起的防範技術,入侵檢測所起到的主要作用是對網路和計算機系統進行有效的監控,能夠及時有效的反映出是否有被入侵或者濫用的情況。
最後,針對協作式入侵檢測技術,對於以往獨立的入侵檢測系統的不足點和諸多方面的缺陷,協作式入侵檢測技術都有著極好的彌補,其系統當中IDS是基於一種統一的規范,入侵檢測組件之間的信息都有效的自動進行交換。而且通過信息的自動交換可以對入侵信息進行有效的檢查,並且還能夠有效的在不同的網路環境當中進行運用。
2.2 伺服器操作系統安全機制
目前,市場上計算機有很大一部分都是Windows NT以及Unix操作系統,其所具有的安全級別一般的處於C1、C2級。主要的安全技術可以歸納為以下三點:
① 操作系統安全策略。主要是在本地計算機的安全設置上進行配置,主要保障的安全策略包括密碼策略和賬戶鎖定策略以及審核策略和IP安全策略等一系列的安全選項,其具體運用可以體現在用戶的賬戶以及口令和訪問許可權等諸多方面。
② 安全管理策略。主要是網路管理員對系統安全管理所採取的方法和策略。因為,操作系統和網路環境各不相同,所以需要採取的安全管理策略也都存在著各不相同的方法,但是主要核心依舊是有力的保障伺服器的安全以及對各類用戶的許可權進行分配。
③ 數據安全策略。這點主要具有以下幾點體現:數據的加密技術和對數據進行備份以及數據儲存當中的安全性等。由此可以採用的技術有很多,其中主要有:認證、IPSec ,SSL ,TLS,等技術。
2.3 資料庫管理系統安全機制
資料庫系統在操作系統當中都是以文件的形式進行有效的管理。所以入侵資料庫的人員可以對操作系統當中的漏洞及其資料庫當中的文件進行直接盜取,還可以利用OS工具進行違法操作和對資料庫文件內容進行篡改。所存在的這種隱患資料庫用戶一般很難以察覺,針對這種漏洞進行分析被認為是BZ級別的安全技術措施。資料庫的層次安全技術,主要針對當前兩個層次已經被破壞的情況下進行有效的解決,保障資料庫安全性。那麼對於資料庫的管理系統就必須要求有一套較為強有力的安全機制。
2.4 客戶端應用程序安全機制
網路資料庫安全性的重要方面是客戶端應用程序。具有強有力和實現比較快捷方便是其主要的特點,而且還能夠根據需求的變化很容易做出相對應的更改。客戶端的應用程序不僅可以有效的控制用戶的合法登陸以及身份的驗證,而且還能夠對數據進行直接的設置。想要應用系統具有更好的安全性,首先就必須在應用程序上進行行之有效的控制。另外,針對客戶應用程序的編寫也具有著較大的靈活性,與此同時還有很多的技巧性,可以有效全面的實現管理的靈活和安全。
3 使用DBMS安全機制防範網路攻擊
有很多大型的DBMS對於資料庫的安全防範技術的提供相對來講都是非常完善的,而且針對提高資料庫的安全性也有著明顯的積極作用。
3.1 系統的認證和授權
認證是驗證系統中請求服務的人或應用程序身份的過程;授權是將一個通過身份認證的身份映射已經授予資料庫用戶的許可的過程,該過程限制用戶在資料庫內部允許發生的行為。對SQL Server資料庫伺服器進行許可權設置時,應該為DPeb程序單獨設立一個受限的登錄,指定其只能訪問特定的資料庫,並為該特定資料庫添加一個用戶,使之與該受限的登錄相連,並嚴格設定該用戶的資料庫許可權。
3.2 數據的備份與恢復
通過數據備份可以在系統發生故障的時候,管理員可以在最短的時間內將數據進行恢復,保持原先所處理的狀態,對於數據的一個完整性和一致性有著強有力的保障。通常對於資料庫的備份一般都是採取以下幾種形式備份形式:其一靜態備份;其二動態備份;其三邏輯備份等。然而對於資料庫的恢復,可以採取磁碟鏡像和資料庫備份文件以及資料庫在線日誌等諸多方式進行有效的恢復。
3.3 全面有效的加強審查
通過有效的審查,用戶可以將資料庫當中所進行的所有操作都能夠得以有效的自動記錄,然後將所記錄的信息全部保存在審查的日誌當中,對於審查進行全面加強利用可以有效的跟蹤信息,將資料庫現有狀況的一系列事件都進行充分的重現。因此,就可以有效的找出非法存取數據的人員以及存取信息的時間和內容等線索,這樣就方便有效的追查有關責任,與此同時關於系統安全方面的弱點和漏洞審查也可以有效的進行發現。
4 總結
現代社會正處於一個不斷發展的階段,網路信息技術也有著空前的發展。然而互聯網技術的不斷高速發展,其網路資料庫的安全性更是當今不斷發展的主要問題,隨著現代網路入侵系統手段的不斷提高,其所採用的安全技術也在不斷的進一步提升。只有對所出現的問題進行不斷的分析和研究,總結經驗進而全面有效的處理出現的一系列的新問題。總之,計算機網路資料庫的安全防範是新時期一個永久性的重要問題,只有全面的通過科學合理的安全防範手段以及在後期的發展過程中進行不斷的改進和完善,才能夠更好的將系統的安全可靠性進行有效的全面提高。
參考文獻:
[1]周世忠,淺談網路資料庫安全研究與應用[J].電腦知識與技術,2010(05).
[2]戴雪蕾,基於SQL SERVER的網路資料庫安全管理[J].網路安全技術與應用,2009(04).
[3]梁建民,網路資料庫的安全因素分析和預防措施探討[J].光碟技術,2008(09).
猜你喜歡:
1. 網路資料庫安全論文
2. 關於安全教育論文範文
3. 數字圖書館論文參考範文
4. 優秀畢業論文範文
5. 技術類論文範文
『叄』 資料庫的安全策略有哪些
計算機安全是當前信息社會非常關注的問題,而資料庫系統更是擔負著存儲和管理數據信息的任務,因而如何保證和加強其安全性,更是迫切需要解決的熱門課題。下面將討論資料庫的安全策略,並簡單介紹各種策略的實現方案。
一、資料庫的安全策略
資料庫安全策略是涉及信息安全的高級指導方針,這些策略根據用戶需要、安裝環境、建立規則和法律等方面的限制來制定。
資料庫系統的基本安全性策略主要是一些基本性安全的問題,如訪問控制、偽裝數據的排除、用戶的認證、可靠性,這些問題是整個安全性問題的基本問題。資料庫的安全策略主要包含以下幾個方面:
1.保證資料庫存在安全
資料庫是建立在主機硬體、操作系統和網路上的系統,因此要保證資料庫安全,首先應該確保資料庫存在安全。預防因主機掉電或其他原因引起死機、操作系統內存泄漏和網路遭受攻擊等不安全因素是保證資料庫安全不受威脅的基礎。
2.保證資料庫使用安全
資料庫使用安全是指資料庫的完整性、保密性和可用性。其中,完整性既適用於資料庫的個別元素也適用於整個資料庫,所以在資料庫管理系統的設計中完整性是主要的關心對象。保密性由於攻擊的存在而變成資料庫的一大問題,用戶可以間接訪問敏感資料庫。最後,因為共享訪問的需要是開發資料庫的基礎,所以可用性是重要的,但是可用性與保密性是相互沖突的。
二、資料庫的安全實現
1.資料庫存在安全的實現
正確理解系統的硬體配置、操作系統和網路配置及功能對於資料庫存在安全十分重要。比如對於硬體配置情況,就必須熟悉系統的可用硬碟數量,每個硬碟的可用空間數量,可用的CPU數量,每個CPU的Cache有多大,可用的內存數量,以及是否有冗餘電源等問題;對於操作系統,則應該周期性的檢查內存是否有泄漏,根文件系統是否需要清理,重要的日誌是否已經察看;對於網路就應該隨時確保網路沒有過載,網路暢通、網路安全是否得到保證等等。因為這一部分不是本文的重點,所以不再一一細述,總之,這三方面的安全運行是和維護資料庫存在安全不可分割的。
2.資料庫完整性的實現
資料庫的完整性包括庫的完整性和元素的完整性。
資料庫的完整性是DBMS(資料庫管理系統)、操作系統和系統管理者的責任。資料庫管理系統必須確保只有經批準的個人才能進行更新,還意味著數據須有訪問控制,另外資料庫系統還必須防範非人為的外力災難。從操作系統和計算系統管理者的觀點來看,資料庫和DBMS分別是文件和程序。因此整個資料庫的一種形式的保護是對系統中所有文件做周期性備份。資料庫的周期性備份可以控制由災禍造成的損失。資料庫元素的完整性是指它們的正確性和准確性。由於用戶在搜集數據、計算結果、輸入數值時可能會出現錯誤,所以DBMS必須幫助用戶在輸入時能發現錯誤,並在插入錯誤數據後能糾正它們。DBMS用三種方式維護資料庫中每個元素的完整性:通過欄位檢查在一個位置上的適當的值,防止輸入數據時可能出現的簡單錯誤;通過訪問控制來維護資料庫的完整性和一致性;通過維護資料庫的更改日誌,記錄資料庫每次改變的情況,包括原來的值和修改後的值,資料庫管理員可以根據日誌撤消任何錯誤的修改。
3.資料庫保密性的實現
資料庫的保密性可以通過用戶身份鑒定和訪問控制來實現。
DBMS要求嚴格的用戶身份鑒定。一個DBMS可能要求用戶傳遞指定的通行字和時間日期檢查,這一認證是在操作系統完成的認證之外另加的。DBMS在操作系統之外作為一個應用程序被運行,這意味著它沒有到操作系統的可信賴路徑,因此必須懷疑它所收的任何數據,包括用戶認證。因此DBMS最好有自己的認證機制。
訪問控制是指根據用戶訪問特權邏輯地控制訪問范圍和操作許可權。如一般用戶只能訪問一般數據、市場部可以得到銷售數據、以及人事部可以得到工資數據等。DBMS必須實施訪問控制政策,批准對所有指定的數據的訪問或者禁止訪問。DBMS批准一個用戶或者程序可能有權讀、改變、刪除或附加一個值,可能增加或刪除整個欄位或記錄,或者重新組織完全的資料庫。
4.資料庫可用性的實現
資料庫的可用性包括資料庫的可獲性、訪問的可接受性和用戶認證的時間性三個因素。下面解釋這三個因素。
(1)數據的可獲性
首先,要訪問的元素可能是不可訪問的。例如,一個用戶在更新幾個欄位,其他用戶對這些欄位的訪問便必須被暫時阻止。這樣可以保證用戶不會收到不準確的信息。當進行更新時,用戶可能不得不阻止對幾個欄位或幾個記錄的訪問通道,以便保證數據與其他部分的一致性。不過有一點要注意,如果正在更新的用戶在更新進行期間退出,其他用戶有可能會被永遠阻止訪問該記錄。這種後遺症也是一個安全性問題,會出現拒絕服務。
(2)訪問的可接受性
記錄的一個或多個值可能是敏感的而不能被用戶訪問。DBMS不應該將敏感數據泄露給未經批準的個人。但是判斷什麼是敏感的並不是那麼簡單,因為可能是間接請求該欄位。一個用戶也許請求某些包含敏感數據的記錄,這可能只是由非敏感的特殊欄位推出需要的值。即使沒有明確地給出敏感的值,資料庫管理程序也可能拒絕訪問這樣的背景信息,因為它會揭示用戶無權知道的信息。
(3)用戶認證的時間性
為了加強安全性,資料庫管理員可能允許用戶只在某些時間訪問資料庫,比如在工作時間。
『肆』 大數據環境下的網路安全分析
大數據環境下的網路安全分析
「大數據」一詞常被誤解。事實上,使用頻率太高反而使它幾乎沒有什麼意義了。大數據確實存儲並處理大量的數據集合,但其特性體現遠不止於此。
在著手解決大數據問題時,將其看作是一種觀念而不是特定的規模或技術非常有益。就其最簡單的表現來說,大數據現象由三個大趨勢的交集所推動:包含寶貴信息的大量數據、廉價的計算資源、幾乎免費的分析工具。
大數據架構和平台算是新事物,而且還在以一種非凡的速度不斷發展著。商業和開源的開發團隊幾乎每月都在發布其平台的新功能。當今的大數據集群將會與將來我們看到的數據集群有極大不同。適應這種新困難的安全工具也將發生變化。在採用大數據的生命周期中,業界仍處於早期階段,但公司越早開始應對大數據的安全問題,任務就越容易。如果安全成為大數據集群發展過程中的一種重要需求,集群就不容易被黑客破壞。此外,公司也能夠避免把不成熟的安全功能放在關鍵的生產環境中。
如今,有很多特別重視不同數據類型(例如,地理位置數據)的大數據管理系統。這些系統使用多種不同的查詢模式、不同的數據存儲模式、不同的任務管理和協調、不同的資源管理工具。雖然大數據常被描述為「反關系型」的,但這個概念還無法抓住大數據的本質。為了避免性能問題,大數據確實拋棄了許多關系型資料庫的核心功能,卻也沒犯什麼錯誤:有些大數據環境提供關系型結構、業務連續性和結構化查詢處理。
由於傳統的定義無法抓住大數據的本質,我們不妨根據組成大數據環境的關鍵要素思考一下大數據。這些關鍵要素使用了許多分布式的數據存儲和管理節點。這些要素存儲多個數據副本,在多個節點之間將數據變成「碎片」。這意味著在單一節點發生故障時,數據查詢將會轉向處理資源可用的數據。正是這種能夠彼此協作的分布式數據節點集群,可以解決數據管理和數據查詢問題,才使得大數據如此不同。
節點的鬆散聯系帶來了許多性能優勢,但也帶來了獨特的安全挑戰。大數據資料庫並不使用集中化的「圍牆花園」模式(與「完全開放」的互聯網相對而言,它指的是一個控制用戶對網頁內容或相關服務進行訪問的環境),內部的資料庫並不隱藏自己而使其它應用程序無法訪問。在這兒沒有「內部的」概念,而大數據並不依賴數據訪問的集中點。大數據將其架構暴露給使用它的應用程序,而客戶端在操作過程中與許多不同的節點進行通信。
規模、實時性和分布式處理:大數據的本質特徵(使大數據解決超過以前數據管理系統的數據管理和處理需求,例如,在容量、實時性、分布式架構和並行處理等方面)使得保障這些系統的安全更為困難。大數據集群具有開放性和自我組織性,並可以使用戶與多個數據節點同時通信。驗證哪些數據節點和哪些客戶應當訪問信息是很困難的。別忘了,大數據的本質屬性意味著新節點自動連接到集群中,共享數據和查詢結果,解決客戶任務。
嵌入式安全:在涉及大數據的瘋狂競賽中,大部分的開發資源都用於改善大數據的可升級、易用性和分析功能上。只有很少的功能用於增加安全功能。但是,你希望得到嵌入到大數據平台中的安全功能。你希望開發人員在設計和部署階段能夠支持所需要的功能。你希望安全功能就像大數據集群一樣可升級、高性能、自組織。問題是,開源系統或多數商業系統一般都不包括安全產品。而且許多安全產品無法嵌入到Hadoop或其它的非關系型資料庫中。多數系統提供最少的安全功能,但不足以包括所有的常見威脅。在很大程度上,你需要自己構建安全策略。
應用程序:面向大數據集群的大多數應用都是Web應用。它們利用基於Web的技術和無狀態的基於REST的API。雖然全面討論大數據安全的這個問題超出了本文的范圍,但基於Web的應用程序和API給這些大數據集群帶來了一種最重大的威脅。在遭受攻擊或破壞後,它們可以提供對大數據集群中所存儲數據的無限制訪問。應用程序安全、用戶訪問管理及授權控制非常重要,與重點保障大數據集群安全的安全措施一樣都不可或缺。
數據安全:存儲在大數據集群中的數據基本上都保存在文件中。每一個客戶端應用都可以維持其自己的包含數據的設計,但這種數據是存儲在大量節點上的。存儲在集群中的數據易於遭受正常文件容易感染的所有威脅,因而需要對這些文件進行保護,避免遭受非法的查看和復制。
『伍』 如何保證計算機網路資料庫的安全
資料庫的安全性是指保護資料庫以防止不合法的使用所造成的數據泄露、更改或破壞。
安全性問題不是資料庫系統所獨有的,所有計算機系統都有這個問題。只是在資料庫系統中大量數據集中存放,而且為許多最終用戶直接共享,從而使安全性問題更為突出。 系統安全保護措施是否有效是資料庫系統的主要指標之一。 資料庫的安全性和計算機系統的安全性,包括操作系統、網路系統的安全性是緊密聯系、相互支持的。
實現資料庫安全性控制的常用方法和技術有:
(1)用戶標識和鑒別:該方法由系統提供一定的方式讓用戶標識自己咱勺名字或身份。每次用戶要求進入系統時,由系統進行核對,通過鑒定後才提供系統的使用權。
(2)存取控制:通過用戶許可權定義和合法權檢查確保只有合法許可權的用戶訪問資料庫,所有未被授權的人員無法存取數據。例如C2級中的自主存取控制(I)AC),Bl級中的強制存取控制(M.AC)。
(3)視圖機制:為不同的用戶定義視圖,通過視圖機制把要保密的數據對無權存取的用戶隱藏起來,從而自動地對數據提供一定程度的安全保護。
(4)審計:建立審計日誌,把用戶對資料庫的所有操作自動記錄下來放人審計日誌中,DBA可以利用審計跟蹤的信息,重現導致資料庫現有狀況的一系列事件,找出非法存取數據的人、時間和內容等。
(5)數據加密:對存儲和傳輸的數據進行加密處理,從而使得不知道解密演算法的人無法獲知數據的內容。
『陸』 如何保證網路資料庫的安全
資料庫的安全性是指保護資料庫以防止非法使用所造成的數據泄密、更改或破壞安全性控制的方法安全性控制是指要盡可能地杜絕任何形式的資料庫非法訪問。常用的安全措施有用戶標識和鑒別、用戶存取許可權控制、定義視圖、數據加密、安全審計以及事務管理和故障恢復等幾類1.用戶標識和鑒別用戶標識和鑒別的方法是由系統提供一定的方式讓用戶標識自己的身份,系統內部記錄著所有合法用戶的標識,每次用戶要求進入系統時,由系統進行核實,通過鑒定後才提供其使用權。為了鑒別用戶身份,一般採用以下幾種方法(1)利用只有用戶知道的信息鑒別用戶(2)利用只有用戶具有的物品鑒別用戶(3)利用用戶的個人特徵鑒別用戶。用戶存取許可權控制用戶存取許可權是指不同的用戶對於不同的數據對象有不同的操作許可權。存取許可權由兩個要素組成:數據對象和操作類型。定義一個用戶的存取許可權就是要定義這個用戶可以在哪些數據對象上進行哪些類型的操作許可權分系統許可權和對象許可權兩種。系統許可權由DBA授予某些資料庫用戶,只有得到系統許可權,才能成為資料庫用戶。對象許可權是授予資料庫用戶對某些數據對象進行某些操作的許可權,它既可由DBA授權,也可由數據對象的創建者授予。授權定義經過編譯後以一張授權表的形式存放在數據字典中。定義視圖為不同的用戶定義不同的視圖,可以限制用戶的訪問范圍。通過視圖機制把需要保密的數據對無權存取這些數據的用戶隱藏起來,可以對資料庫提供一定程度的安全保護。實際應用中常將視圖機制與授權機制結合起來使用,首先用視圖機制屏蔽一部分保密數據,然後在視圖上進一步進行授權。數據加密數據加密是保護數據在存儲和傳遞過程中不被竊取或修改的有效手段。數據加密技術在8.3節中已有詳細介紹。安全審計安全審計是一種監視措施,對於某些高度敏感的保密數據,系統跟蹤記錄有關這些數據的訪問活動,並將跟蹤的結果記錄在審計日誌(audit log)中,根據審計日誌記錄可對潛在的竊密企圖進行事後分析和調查6.事務管理和故障恢復事務管理和故障恢復主要是對付系統內發生的自然因素故障,保證數據和事務的一致性和完整性故障恢復的主要措施是進行日誌記錄和數據復制。在網路資料庫系統中,分布事務首先要分解為多個子事務到各個站點上去執行,各個伺服器之間還必須採取合理的演算法進行分布式並發控制和提交,以保證事務的完整性。事務運行的每一步結果都記錄在系統日誌文件中,並且對重要數據進行復制,發生故障時根據日誌文件利用數據副本准確地完成事務的恢復Oracle資料庫的安全機制簡介Oracle主要提供用戶標識和鑒別、授權與檢查、審計等系統級的安全性措施以及通過觸發器靈活定義的用戶級安全性措施1.Oracle的用戶標識和鑒別Oracle系統預定義了SYS和SYSTEM兩個用戶。SYS用戶擁有操作Oracle數據字典和相關的資料庫對象的許可權;SYSTEM用戶擁有操作Oracle應用開發工具所使用的表的許可權。SYS和SYSTEM用戶分別用系統給定的口令登錄。其他用戶使用CREATE USER語句建立,同時用戶的口令通過加密後存儲在數據字典中。Oracle的授權與檢查機制Oracle系統的許可權包括系統許可權和對象許可權兩類,採用非集中式的授權機制,即DBA負責授予與回收系統許可權,每個用戶授予與回收自己創建的資料庫對象的許可權Oracle也是將授權信息記錄在數據字典的授權表中。Oracle的審計技術在Oracle中,審計分為語句審計、特權審計和模式對象審計。其中,語句審計只允許審計SQL語句,不對SQL語句引用的模式進行審計。特權審計只審計系統許可權的使用。而模式對象審計則審計具體的數據操縱語言(DML,Data Manipulation Language)語句和制定模式的GRANT和REVOKE語句。特權審計和模式對象審計針對所有用戶,通常由DBA設置在Oracle中,審計設置以及審計內容均存放在數據字典中。用戶定義的安全性措施除了系統級的安全性措施外,Oracle還允許用戶使用資料庫觸發器定義更復雜的用戶級安全性措施。觸發器定義後,也存放在數據字典中。用戶每次執行特定的操作時都會自動觸發對應的觸發器,系統檢查觸發器中設定的執行條件是否符合,如不符合則不執行觸發器中指定的操作綜上所述,Oracle提供了多種安全性措施,提供了多級安全性檢查。數據字典在Oracle的安全性授權和檢查以及審計技術中起著重要作用。網路資料庫安全性技術 隨著互聯網技術的日益普及,網路資料庫已經得到了普遍應用,隨之而來的則是網路資料庫的安全性問題。特別是近幾年,隨著企業信息建設的不斷深化,企業中涉及網路資料庫安全方面的問題也越來越多。如何有效提高網路資料庫的安全防禦措施,建立一套行之有效的資料庫安全防禦機制,已經是企業需要首先解決的問題。網路資料庫安全問題經常涉及到的是資料庫數據的丟、非法用戶對資料庫的侵入等。針對以上兩個方面的問題,應該採取具體的應對措施,以實現企業核心數據的安全防護。首先,針對網路資料庫數據丟失的問題,應該著重以下幾個方面的工作:1、伺服器存儲系統硬碟作為伺服器數據存儲的主要設備,在正常運行過程中,一點小的故障都有可能造成硬碟物理損壞,所以一般伺服器存儲系統要求採用 Raid磁碟陣列,以此來增強伺服器存儲系統的容錯能力。2、數據備份機制建立一套行之有效的數據備份機制,是保障企業網路數據安全的又一項重要內容。對於一些非常重要的數據要運用其它設備時時執行 備份,定期定時做相對完備的備份方案。作為企業用戶來說,由於數據量上的原因,在使用磁碟陣列的同時,還應考慮採用磁帶機作為數據備份設備。在解決好數據丟失問題的基礎上,需要考慮的則是如何應對網路資料庫非法入侵的問題。網路技術的飛速發展,使各行業的信息化管理水平有了很大程度的提高,同時也帶動了整個企業的管理效率的提高,但隨之而來的問題是網路非法入侵者不斷出現。入侵者的目的往往針對企業核心機密,或是對數據的蓄意破壞。對於企業網路資料庫管理人員來說,如何在資料庫本身以及在網路層面上採取有效措施,防止資料庫系統的非法入侵,是一個非常艱巨的任務。制定資料庫系統安全策略,主要分以下幾個方面:1.資料庫用戶的管理,按照資料庫系統的大小和資料庫用戶所需的工作量,具體分配資料庫用戶的數據操作許可權,控制系統管理員用戶賬號的使用。2.建立行之有效的資料庫用戶身份確認策略,資料庫用戶可以通過操作系統、網路服務以及資料庫系統進行身份確認,通過主機操作系統進行用戶身份認證。 3.加強操作系統安全性管理,數據伺服器操作系統必須使用正版軟體,同時要有防火牆的保護。另外,根據實際需要只開放涉及業務工作的具體網路埠,屏蔽其它埠,這樣可以在較大程度上防止操作系統受入侵。