數據庫安全性論文匯總十篇
時間:2023-03-21 17:02:57
序論:好文章的創作是一個不斷探索和完善的過程,我們為您推薦十篇數據庫安全性論文范例,希望它們能助您一臂之力,提升您的閱讀品質,帶來更深刻的閱讀感受。
篇(1)
本課題所涉及的問題在國內(外)的研究現狀綜述
1.1.課題背景簡介
隨著WWW應用領域的不斷拓展,人們已不滿足于只用Web服務器瀏覽和靜態的信息,人們需要通過它發表意見、查詢數據甚至進行網上購物。原來的靜態Web頁面已經滿足不了用戶對信息服務的動態性、交互性的要求。這就迫切需要實現Web與數據庫的交互。
Web與數據庫這兩者結合意味Web數據庫將存儲和管理大量重要數據,然兒一但它們被盜用或篡改,可能會帶來巨大的政治和經濟損失。基于廣域網的Web數據庫訪問會帶來很大的安全問題。首先是數據庫的非法訪問;另一方面數據通過網絡傳輸,可能被截取、篡改。還有黑客的攻擊可能使系統癱瘓。
在動態Web不斷發展的今天,人們對其依賴性也越來越強,但由于其開放性,在設計時對與信息的保密和系統的安全考慮不完備,及人們對保護數據庫的安全意識薄弱,造成現在數據庫攻擊與破壞事件層出不窮,給人們的日常生活和經濟活動造成了很大麻煩。因此,研究網絡環境下的Web數據庫系統的安全保障已經成為了重要的課題。
1.2.課題發展現狀
目前Web技術與數據庫管理系統(DBMS)相互融合的研究已成為熱點研究方向之一。但是由于Internet本身并沒有提供任何安全機制,所以Web數據庫系統對于外界攻擊的防衛能力顯得十分脆弱,以至Web數據庫被攻擊事件屢有發生。
1.2.1.Web數據庫系統的產生與發展
隨著互聯網Internet的不斷發展,以及網上信息呈幾何級數的增加,同時由于傳統的數據庫管理系統中的數據庫資源不能被Web直接訪問,影響了數據庫資源的共享。如何將分布在Internet上的大量信息有效的管理起來,如何使現有的數據庫中的信息到Internet上,而且使的信息具有交互性、動態性和實時性,也就是將Web技術和數據庫技術想結合,開發動態的Web數據庫應用,成為當今Web技術研究的熱點所在。數據庫技術適于對大量的數據進行組織管理,Web技術擁有較好的信息途徑,這兩種技術天然的互補性決定其相互融合成為技術發展的必然趨勢。
1.2.2.Web數據庫應用系統安全威脅分析
為了讓數據庫能為處于網絡上的用戶服務而暴露在網絡中,網絡上的任何用戶都可以訪問這個數據庫,這種情況下對數據庫訪問的控制只能通過用戶控制既用戶名/密碼來進行。任何知道密碼的擁護都可以訪問,這增加了密碼保護管理的難度,同時用戶名/密碼通過Internet傳輸很容易被人竊取。
其次,數據應用放讀取的數據是通過Web傳輸,而這些數據缺乏有效的安全措施保護,從而可能被截取、篡改。
另外,Web數據庫中存儲著大量的數據信息,往往成為信息系統的關鍵,這就需要數據庫及數據庫所在的計算機能夠安全運行。數據庫放在Internet中很容易受到黑客的各種攻擊。
隨著網絡信息系統的應用,數據庫遠程訪問的安全問題日益突出。這個問題可采用網絡傳輸加密,用戶身份認證等安全措施解決。但由于日前的主
審計
防
認
數
訪
用戶
火
證
據
問
墻
服
加
控
Web數據庫服務器
務
密
制
備份
圖1數據庫安全模型
流數據的網絡傳輸部分都由數據庫廠家來完成,恰恰缺少這些安全措施,因此上述安全技術在普通的數據庫系統中難以直接應用。另外利用操作系統和數據庫管理系統提供的安全保護功能是常用的數據庫安全解決方案。但是Internet本身并沒有提供任何安全機制,只要Web站點和Internet連通,就可能被任何人訪問。
Web數據庫受到的威脅大致包括泄漏、竊取、竄改、冒充、延遲、重傳、遺失、越權存取數據、否認已收送數據及侵犯隱私權等。
1.2.3.數據庫安全結構模型
Web數據庫安全威脅涉及許多方面,我們認為安全措施應綜合考慮,具體可以采用下列技術措施:(1)安裝防火墻;(2)身份認證和數據完整性認證服務;(3)對機密敏感的數據進行加密存儲和傳輸;(4)訪問控制機制;(5)安全審計和監視追蹤技術;(6)數據庫備份與故障恢復。Web數據庫安全模型見圖5。
1.3.文獻綜述
文獻一:竇麗華,蔣慶華,等.基于Web的信息系統安全研究.北京理工大學學報.2002.6,22(3):361-363.
摘要:研究基于Web的信息系統的安全問題及如何充分并合理地利用操作系統、Web服務器和數據庫管理系統所提供的安全設置,以有效地保證信息系統的安全性.利用應用程序所具有的靈活性,可以彌補操作系統、Web服務器和數據庫管理系統的安全漏洞,結合某單位業務信息系統的案例,分別從操作系統、Web服務器、數據庫管理系統、應用程序4個方面對安全問題進行分析,同時給出了建議.
文獻二:曾愛林.基于Web的網絡數據安全體系的建立與完善.湘潭師范學院學報.2004.6,26(2):69-72.
摘要:隨著Web數據庫的應用越來越廣泛,Web數據庫的安全問題日益突出.本文從介紹幾種流行的Web數據庫訪問技術出發,針對Web數據庫的安全問題,建立一個Web數據庫安全體系的初步模型,并指出安全問題應以預防為主,應該在構建Web數據庫服務器時,及時進行漏洞檢測、風險評估,根據檢測結果,有意識地加強數據庫服務器某方面的防范措施.
文獻三:王惠琴,李明,王燕.基于Web的數據庫安全管理技術與實現.2001.4.27
(3):61-67.
摘要:隨著
Internet/Intranet
技術的發展和普及,Web數據庫已逐步取代基于傳統的
Client/Server
模式的數據庫系統,因此對于基于Web的數據庫安全管理技術的研究具有實際意義.介紹了目前常用的幾種Web數據庫的連接技術,并結合ASP技術對如何利用防火墻、身份認證、授權控制、監視跟蹤、存儲過程、審計、備份與故障恢復等技術來實現數據庫的安全管理進行了詳細的闡述.
文獻四:王燕,李明,王惠琴.Web數據庫的連接技術及安全控制.計算機工程與應用.2001.2,P126-128.
摘要:隨著
Internet/Intranet
技術的發展和普及,Web
數據庫必將逐步取代基于傳統的
Client/Server
模式的數據庫系統.對于數據庫與Web技術融合的研究具有實際意義.文章就目前常用的幾種Web數據庫的連接技術進行對比分析,并對利用ASP技術實現Web與數據庫的連接和Web數據庫系統的安全控制進行了詳細闡述.
文獻五:吳春明,鄭志強.基于Web數據庫加密研究.西南農業大學學報.2004.4,26(2):121-126.
摘要:計算機和網絡技術的廣泛應用,給信息安全提出了更高的要求,在信息系統開發設計過程中,安全性能總是被放在首要的位置,成為信息系統生存的關鍵.數據庫是基于WEB信息系統的核心組成部分,面臨來自外部和內部的雙重威脅,對其進行加密處理,是進行數據保護的有效手段.文章提出了一種基于JCE的WEB數據庫加密模型,并對模型進行了行為分析及安全性分析.
文獻六:帥兵.Web數據庫系統開發技術研究.安徽機電學院學報.2001.6,16(2):29-32.
摘要:利用Web服務器的信息服務能力和數據庫服務器的數據管理能力來構造信息服務系統已成為人們關注的熱點,其開發技術的關鍵是數據庫網關的實現.介紹了目前采用的傳統Web數據庫解決方案中數據庫網關實現幾種技術:CGI、IDC、ASP、JDBC,并分析了其缺點,提出了一種的新的Web數據庫解決方案.
文獻七:徐鋒,呂建.Web安全中的信任管理研究與進展.軟件學報.2002.13.(11):2058-2064.
摘要:信任管理是當前
Web
安全研究的熱點.介紹了信任管理思想的出現,給出了信任管理的概念和模型,并概述了幾個典型的信任管理系統和信任度評估模型.討論了當前研究存在的問題以及今后的研究方向.
文獻八:韓效鵬,官法明,等.關于Web數據庫安全性問題探討.勝利油田師范專科學校學報.2004.12.18(4)83-85.
摘要:按照DBMS對數據庫安全管理的思想,在基于Windows環境的Web數據庫應用中,安全控制問題主要包括如何有效地對通過頁面訪問的數據庫中的數據進行保護,實現數據庫級別的分權限訪問等.在實施過程中,可使用用戶身份認證、授權控制、使用日志監視數據庫、參數化存儲過程等安全管理技術來構筑管理信息系統的安全體系.
文獻九:楊成,王恒山,張乾宇.Web數據庫在線維護方法研究.
上海理工大學學報.2003.6.27(4):40-43.
摘要:本文討論了結合互聯網數據中心(IDC)的服務器托管形式下對網站Web數據庫在線維護的形式和內容.并以上海理工大學管理學院學院網站為例,介紹了如何利用JSP動態網頁編程語言和JavaBeans來方便、快捷地實現對學院網站Web數據庫在線維護功能.
文獻十:賀紅,徐寶文.Web信息系統的安全隱患與網絡管理員對策.計算機工程與應用.2005.18,P151-153.
摘要:基于Web的信息系統安全性體系大致分為網絡系統、操作系統、Web服務器及應用程序和Web數據庫等多個層次,該文分別闡述了造成各層次安全隱患的主要原因,以及從網絡管理員的角度出發,在各安全層次上消除和減少安全隱患的實用性安全對策.
2.設計(論文)要解決的問題和擬采用的研究方法(論文框架)
2.1.Web數據庫應用系統要解決的問題
2.1.1.用戶身份認證
基于Web的數據庫應用系統中包含大量的敏感數據和機密數據,為保證系統數據在存儲時和網絡傳輸時不被未經授權的用戶訪問或解讀,可以利用用戶名來標明用戶身份,經系統鑒別用戶的合法性后,再利用口令進一步核實用戶身份。為保證口令的安全性,在口令的提交過程中,可以利用安全套接字協議(SSL),通過使用公共密鑰和對稱性加密提供非公開通信、身份驗證和消息集成。
2.1.2.授權控制
經身份認證的合法用戶根據自己的權限來訪問系統,因此用戶的授權管理機制甚為重要,其嚴密性將直接影響整個系統的安全性。在該安全體系中,可以利用Windows
NT的NTFS和DBMS的用戶角色在不同層次分別對用戶權限進行限制。
2.1.3.監視跟蹤
日志系統具有綜合數據記錄功能和自動分類檢索能力。完整的日志不僅要包括用戶的各項操作,而且還要包括網絡中數據接受的正確性、有效性及合法性的檢查結果,為日后網絡安全分析提供可靠的依據。
2.1.4.存儲過程
在基于Web的數據庫應用系統中,可通過建立參數化的存儲過程實現數據庫的訪問,這通常是增強Web安全的一個最佳方案。
2.1.5.輸出數據HTML編碼
輸出數據HTML編碼是指在將任何數據返回給用戶前應采用HTML編碼,以防止跨站點的腳本攻擊。因為攻擊一旦破壞了數據庫,便可向記錄中輸入腳本,次腳本隨后返回給用戶并在瀏覽器中執行。通過HTML編碼,可將大數腳本命令自動轉換為無害文本。
2.1.6.中間件技術
隨著網絡數據庫朝分布式方向的深入發展,加上Internet上異構數據庫的普遍存在,上述單獨的數據庫管理系統的安全管理能力越發顯示出它的局限性。因此需要有在邏輯層次位于DBMS之上能覆蓋具體差異、邏輯功能上能同意管理、同時可與用戶進行交互的中間件部分。
最基本的中間件技術有通用網關接口(CGI)、Internet數據庫連接器(IDC),Microsoft最近開發的ActiveXDataObject技術(ADO),它提供了高效率的ODBC數據庫或OLE-DB數據庫來源的鏈接功能。
基于數據庫訪問數據庫的原理如圖1所示。
2.2.研究方法
本課題采用以文獻資料法和比較研究法相結合,以文章的全面性,系統性,專業性為目標,讓讀者清楚的知道Web數據庫的含義,發展現狀,以及如何更好的保證Web數據庫的安全。
3.本課題需要重點研究的、關鍵的問題及解決的思路
本課題主要討論Web數據庫產生與發展和存在的安全性問題,重點研究Web數據庫保護的具體方法。以縱向且全面的方式分析Web數據庫的安全問題。
主要涉及內容:
1對身份認證的加密方法
2如何安全地設置Web和數據庫權限
3如何更好地對CGI應用程序進行編程
Web瀏覽器
Web服務器
中間件
Web數據庫
圖2基于中間件技術訪問數據庫
論文研究內容確定
安全解決方案的研究
研究工作總結,形成論文
Web數據庫安全性分析
文獻檢索
課題調研
4.完成本課題所必須的工作條件(如工具書、實驗設備或實驗環境條件、某類市場調研、計算機輔助設計條件等等)及解決的辦法
4.1.具備一定的實驗設備和實驗條件:
有專業知識作為基礎,有文獻資源豐富的網站,擁有自己的電腦及為實驗提供的機房,并有專業的老師進行輔導。
4.2.參考文獻:
[1].
許龍飛.基于Web的數據庫技術與應用.現代計算機,2000(2):14-15.
[2].
王國榮,朱琳杰,王偉.Active
Server
Pages&數據庫.北京:人民郵電出版社,1999:139-269.
[3].
道焰,朱世挺等.CGI技術及其安全性研究
[J].計算機系統應用,1997
(12).
[4].
周世雄編.IIS4.0超級網站速成.青島:青島出版社,1999:33-299.
[5].
蔡丹媚利用ASP輕松實現Web的動態交互訪問.計算機應用研究,1999
(2):62-63.
[6].
Arman
Danesh,Wes
Tatters著,陳卓,張知一等譯.Java
Script
1.1開發指南.清華大學出版社,1998.
[7].
宵金秀,馮沃輝,盧國旺.中文Dreamweaver3網頁設計大制作.北京:中國民航出版社,2000.5:117-130.
[8].Palo
Alto.Overview
of
Control
Network.CA
94304.
[9].張國祥.基于Apache的Web安全技術的應用研究[J].武漢理工大學學報,2004,(3).
[10].Java
2
Platform
[M].Enterprise
Edition
By
Anne
Thomas.
[11].刑春曉,潘泉,張洪才.通用Web數據庫系統體系結構研究[J].計算機工程與應用,1999.9:35(9):90-93.
[12].
[美]
Curt
Jang,Jeff
Chow
著,周志英等譯.Web網和INTRANET上的信息出版技術.電子工業出版社,1997.
[13].Gunnit
S.Khunrana等,Web數據庫的建立與管理.機械工業出版社,1997.
[14].羅明宇,等.計算機網絡安全技術[J].計算機科學,2000,(10):55-58.
[15].王英凱.證券交易系統中的數據庫安全性[J].蘭州大學學報,35:531-533.
[16].張少敏,王保義.基于Web的MIS中的數據庫安全性策略[J].華北電力技術,2002,P45-90.
[17].羅昌隆,李玲娟.基于Web的數據庫訪問技術[J].南京郵電學院學報,2001.7,P30-32.
[18].呂峰,劉曉東等.基于Web的網絡數據庫安全系統研究[J].武漢工業學院學報,2003.6,P51-54.
[19].程萬軍
張霞
劉積仁.基于擴展客體層次結構的安全數據庫策略模型[J].軟件學報,2002.9,P40-42.
[20].李建中.日新月異的數據庫研究領域——數據庫技術的回顧與展望[J].黑龍江大學自然科學學報,2002,19(2):43-52.
5.設計(論文)完成進度計劃
第1—3周:課題調研、資料收集,完成開題報告
第4—6周:結合課題開展畢業實習
第7—11周:實驗研究
第12—13周:完成論文初稿
第14—16周:完成論文終稿并答辯
6.指導教師審閱意見
指導教師(簽字):
年
月
日
7.教研室主任意見
教研室主任(簽字):
系(簽章)
年
月
篇(2)
計算機網絡環境中的信息存儲和管理都是由網絡數據庫來實現的,而隨著計算機網絡技術的廣泛普及和快速發展,網絡數據庫的安全性已經成為整個計算機網絡安全領域中的一個極為重要的問題。網絡數據庫是一種開放環境下的信息倉庫,存儲著大量非常重要的數據信息,一旦遭受各個方面的不可預測的安全攻擊,就將給用戶帶來不可估量的損失,如此大的安全隱患不得不讓我們納入考慮范疇并加以防范。
1、網絡數據庫簡介
所謂網絡數據庫是指在普通后臺建立起來的數據庫基礎之上,利用瀏覽器等各種軟件實現數據存儲、查詢等操作。其主要特征是能夠作為儲存大量數據信息的載體,同時可以保障數據的完整性和一致性。此外,瀏覽器/服務器(b/c)和客戶機/服務器模式是當前網絡數據庫部署情況下最常見的兩種形式,簡單方便。
2、網絡數據庫安全威脅
由于internet是一個高度自治、自由開放、復雜多樣的網絡環境,因此網絡數據庫不可避免地會存在數據丟失、數據庫非法入侵、數據被篡改等安全性問題。此外,網絡數據庫具有多用戶、高可靠性、頻繁地更新和大文件存儲等基本特性,同時還存放有大量重要的敏感數據資源信息。因而,在如此安全性存在極大威脅的背景下,如何采取措施保障網絡數據庫免受安全威脅變得非常重要。
網絡上的非法用戶通常都是直接通過網絡系統來實現入侵網絡數據庫,以此來達到攻擊網絡數據庫的目的,所以網絡數據庫的安全性基本決定于網絡系統的安全情況。一般情況下,我們將網絡數據庫面臨的安全威脅歸納為以下幾個方面:(1)因用戶操作不當而導致的網絡數據庫數據錯誤;(2)非法訪問非權限范圍內的數據信息:(3)攻擊數據庫的正常訪問;(4)非法竊取或篡改連接中數據庫內的數據資源信息。
3、網絡數據庫安全技術方案探討
在開放的網絡環境中,網絡數據庫是非常容易遭受到各種安全威脅的,所以我們必須要采取實際有效的技術方案來不斷提高網絡數據庫自身的安全性,以保證數據的完整性和一致性。一般來說,網絡數據庫的安全問題可歸結為保證數據庫中各種對象存取權的合法性和數據庫內容本身的安全兩個方面,具體安全技術方案有如下幾方面:
3.1 用戶身份認證
由于計算機網絡環境是一個面向多用戶的開放式環境,所以對每一個網絡數據庫訪問用戶都必須要進行統一的身份認證,這也是防止網絡數據庫被用戶非法訪問的一個最有效的手段。因而,用戶身份認證功能在當前網絡數據庫都是必須具備的功能,是通過采用系統登錄、數據庫連接和數據庫對象使用三級機制來實現身份認證功能。其中,系統登錄是驗證訪問用戶輸入的用戶名和密碼正確與否;而數據庫連接是要求數據庫管理系統驗證用戶身份;數據庫對象是采用分配不同的權限機制來為不同使用用戶設置相應的數據庫對象權限來保障數據庫內數據的安全性。
3.2 數據庫加密
數據庫加密是指通過對數據庫的加密設置來保證數據庫內數據的安全性。所謂加密是以某種特殊的算法改變原有的數據信息,使得未授權的用戶即使獲得了已加密的信息,但因不知解密的方法,則仍然無法了解獲取的信息數據的原始內容。因此,數據庫加密系統是加密和解密兩個過程的統一,包括可辨數據信息轉換成非可變信息、算法、利用密鑰解密讀取數據等三方面內容。
3.3 數據備份與恢復
數據備份與恢復是網絡數據庫保障數據完整性和一致性的一種有效機制,也是最常見的一種技術方案。在此機制下,一旦網絡數據庫系統發生故障,管理人員可以根據先前的數據備份文件,在最短的時間內實現恢復數據,進而讓網絡數據庫回到故障發生之前的數據狀態。目前,網絡數據庫中的數據備份機制有靜態備份、動態備份和邏輯備份等幾種技術方案,而數據恢復技術有磁盤鏡像、備份文件,以及在線日志等幾種方式。
3.4 審計追蹤和攻擊檢測
審計追蹤是指當用戶在操作網絡數據庫時,可以自動跟蹤用戶做的所有操作,并將其操作的內容都記錄在相應的審計日志文件中,以供管理員查閱并提供相關參考依據。根據審計日志文件,管理員可以非常清楚地重現網絡數據庫中出現的任何狀況,一旦出現安全問題,管理員可以十分快速地找出存在非法存取數據的操作人員,進而追查相關人的責任。此外,通過利用審計追蹤和攻擊檢測技術對發現網絡數據庫安全方面的弱點和漏洞也有十分明顯的效果。
4、結語
綜上所述,如何構建有效地網絡數據庫安全技術方案是保障計算機網絡健康發展的核心內容,同時隨著安全威脅因素日益增多且越來越復雜,網絡數據庫安全技術也要不斷更新、改進。以應對不斷出現的新情況、新問題,只有這樣才能在最大程度上保障網絡數據庫的完整性和一致性。
參考文獻
[1]陳黎.我國網絡數據庫發展現狀[j].中國信息導報,2004.
[2]周世忠.淺談網絡數據庫安全研究與應用[j].電腦知識與技術.2010(05).
[3]汪新建,羅緋,李明.網絡數據庫的應用與安全認識[j].西南軍醫.2009(01).
篇(3)
計算機網絡環境中的信息存儲和管理都是由網絡數據庫來實現的,而隨著計算機網絡技術的廣泛普及和快速發展,網絡數據庫的安全性已經成為整個計算機網絡安全領域中的一個極為重要的問題。網絡數據庫是一種開放環境下的信息倉庫,存儲著大量非常重要的數據信息,一旦遭受各個方面的不可預測的安全攻擊,就將給用戶帶來不可估量的損失,如此大的安全隱患不得不讓我們納入考慮范疇并加以防范。
1、網絡數據庫簡介
所謂網絡數據庫是指在普通后臺建立起來的數據庫基礎之上,利用瀏覽器等各種軟件實現數據存儲、查詢等操作。其主要特征是能夠作為儲存大量數據信息的載體,同時可以保障數據的完整性和一致性。此外,瀏覽器/服務器(B/C)和客戶機/服務器模式是當前網絡數據庫部署情況下最常見的兩種形式,簡單方便。
2、網絡數據庫安全威脅
由于Internet是一個高度自治、自由開放、復雜多樣的網絡環境,因此網絡數據庫不可避免地會存在數據丟失、數據庫非法入侵、數據被篡改等安全性問題。此外,網絡數據庫具有多用戶、高可靠性、頻繁地更新和大文件存儲等基本特性,同時還存放有大量重要的敏感數據資源信息。因而,在如此安全性存在極大威脅的背景下,如何采取措施保障網絡數據庫免受安全威脅變得非常重要。
網絡上的非法用戶通常都是直接通過網絡系統來實現入侵網絡數據庫,以此來達到攻擊網絡數據庫的目的,所以網絡數據庫的安全性基本決定于網絡系統的安全情況。一般情況下,我們將網絡數據庫面臨的安全威脅歸納為以下幾個方面:(1)因用戶操作不當而導致的網絡數據庫數據錯誤;(2)非法訪問非權限范圍內的數據信息:(3)攻擊數據庫的正常訪問;(4)非法竊取或篡改連接中數據庫內的數據資源信息。
3、網絡數據庫安全技術方案探討
在開放的網絡環境中,網絡數據庫是非常容易遭受到各種安全威脅的,所以我們必須要采取實際有效的技術方案來不斷提高網絡數據庫自身的安全性,以保證數據的完整性和一致性。一般來說,網絡數據庫的安全問題可歸結為保證數據庫中各種對象存取權的合法性和數據庫內容本身的安全兩個方面,具體安全技術方案有如下幾方面:
3.1 用戶身份認證
由于計算機網絡環境是一個面向多用戶的開放式環境,所以對每一個網絡數據庫訪問用戶都必須要進行統一的身份認證,這也是防止網絡數據庫被用戶非法訪問的一個最有效的手段。因而,用戶身份認證功能在當前網絡數據庫都是必須具備的功能,是通過采用系統登錄、數據庫連接和數據庫對象使用三級機制來實現身份認證功能。其中,系統登錄是驗證訪問用戶輸入的用戶名和密碼正確與否;而數據庫連接是要求數據庫管理系統驗證用戶身份;數據庫對象是采用分配不同的權限機制來為不同使用用戶設置相應的數據庫對象權限來保障數據庫內數據的安全性。
3.2 數據庫加密
數據庫加密是指通過對數據庫的加密設置來保證數據庫內數據的安全性。所謂加密是以某種特殊的算法改變原有的數據信息,使得未授權的用戶即使獲得了已加密的信息,但因不知解密的方法,則仍然無法了解獲取的信息數據的原始內容。因此,數據庫加密系統是加密和解密兩個過程的統一,包括可辨數據信息轉換成非可變信息、算法、利用密鑰解密讀取數據等三方面內容。
3.3 數據備份與恢復
數據備份與恢復是網絡數據庫保障數據完整性和一致性的一種有效機制,也是最常見的一種技術方案。在此機制下,一旦網絡數據庫系統發生故障,管理人員可以根據先前的數據備份文件,在最短的時間內實現恢復數據,進而讓網絡數據庫回到故障發生之前的數據狀態。目前,網絡數據庫中的數據備份機制有靜態備份、動態備份和邏輯備份等幾種技術方案,而數據恢復技術有磁盤鏡像、備份文件,以及在線日志等幾種方式。
3.4 審計追蹤和攻擊檢測
審計追蹤是指當用戶在操作網絡數據庫時,可以自動跟蹤用戶做的所有操作,并將其操作的內容都記錄在相應的審計日志文件中,以供管理員查閱并提供相關參考依據。根據審計日志文件,管理員可以非常清楚地重現網絡數據庫中出現的任何狀況,一旦出現安全問題,管理員可以十分快速地找出存在非法存取數據的操作人員,進而追查相關人的責任。此外,通過利用審計追蹤和攻擊檢測技術對發現網絡數據庫安全方面的弱點和漏洞也有十分明顯的效果。
4、結語
綜上所述,如何構建有效地網絡數據庫安全技術方案是保障計算機網絡健康發展的核心內容,同時隨著安全威脅因素日益增多且越來越復雜,網絡數據庫安全技術也要不斷更新、改進。以應對不斷出現的新情況、新問題,只有這樣才能在最大程度上保障網絡數據庫的完整性和一致性。
參考文獻
[1]陳黎.我國網絡數據庫發展現狀[J].中國信息導報,2004.
[2]周世忠.淺談網絡數據庫安全研究與應用[J].電腦知識與技術.2010(05).
[3]汪新建,羅緋,李明.網絡數據庫的應用與安全認識[J].西南軍醫.2009(01).
篇(4)
數據庫管理系統(DBMS)是一個非常復雜的系統,檢測和評估數據庫的安全性,涉及到眾多的參數、設置、選項和數據庫本身的方方面面。安全評測可以采用專家評測或運行評測系統兩種方式,二者各有所長。一方面,專家評測比評測系統具有更強的靈活性,可以充分發揮專家的智能和經驗。另一方面,評測系統更適用于數據庫系統定期的安全評測。專家評估只是針對被評估時的狀態,但是系統是在不斷變化的,如果系統狀態發生了變化(比如添加了一些新用戶,修改了某些用戶的權限),也許會出現新的安全漏洞。定期聘請專家評估的成本比較高,安全評測系統則可以在系統狀態發生變化后重新進行評測。
一、自主訪問控制模型
自主訪問控制模型是基于用戶身份的訪問和控制。在自主型訪問安全模型中,每個用戶都要被分配一定的權限,例如用戶或者是被允許讀取,或是被允許寫入。也就是說,在自主型訪問安全模型中,對資源對象的“擁有”是用戶最核心的權限屬性。當某個用戶要求訪問某個數據庫資源時,系統檢查該用戶對該資源的所有權限,或衍生出來的訪問權限,如果通過,則允許該訪問在許可的方式下進行,如果不能通過,則拒絕繼續訪問系統。在自主型安全模型中,擁有某種權限的用戶可以自主地將其所擁有的權限傳授給其他任意在系統中登錄的用戶,它是該模型存在的致命缺點。自主訪問安全模型的典型代表是存取矩陣。DAC模型可對用戶提供靈活和易行的數據訪問方式,但安全性相對較低。在該模型中,盡管訪問控制只在授權后才能得到,但攻擊者也很容易越過訪問的授權限制。如當一個用戶有權對某數據進行讀操作時,它可以把這個權利傳遞給無權讀此數據的人,而數據的所有者并不知道這一切。一旦某個信息為用戶所獲得,那么該模型策略對信息的使用是不加任何限制的。也就是說,在該模型中,盡管有自主型控制,對于非授權的人來說,非法讀取數據是可能的,這樣一來,系統就很容易受到類似特洛伊木馬的攻擊。特洛伊木馬可以改變系統的保護狀態,使系統安全受到威脅。
二、改造數據庫實現數據庫安全
(一)采用對數據庫驅動程序進行安全擴展的方法
在數據庫存取接口上,通過擴展標準的SQL語句,透明地實現對數據庫中敏感信息的加密和完整性保護,對關系數據庫的操作可以采用SQL DDL和SQL DML語言,通過ODBC、.IDBC、BDE等數據庫驅動程序實現對數據庫中表格、記錄或字段的存取控制;并對用戶操作進行日志記錄和審計,從內部增強關系數據庫的存儲和存取安全。這種方式具有通用性,并且不會對數據庫系統的性能造成大的影響。該模型在常規數據庫驅動程序中增加密鑰管理、審計日志管理、完整性驗證和數據加解密等安全擴展模塊,通過附加的安全屬性如數據庫存儲加密密鑰和審計日志等與安全相關的信息來加強數據庫的安全;同時,增加數據庫主密鑰設置、更新和加密算法設置等安全屬性來提高SQL語句的安全性。
(二)采用基于視圖的數據庫安全模型
SQL Server通用安全模型的特點是將權限賦予表,用戶要查詢數據、更改數據或對數據庫進行其它操作時,直接存取表,用戶只要有對表的Select權限,就可以檢索表中所有的信息。但是,現實世界中大多數的應用都要求對信息本身劃分為不同的保密級別,如軍隊中對信息的分類就不能簡單地劃分為公開和保密2類,而是需要更加細致的分類,可能對同一記錄內的不同字段都要劃分為不同的保密級別。甚至同一字段的不同值之間都要求劃分為不同的保密級別。多級保密系統中,對不同數據項賦予不同的保密級別。然后根據數據項的密級,給存取本數據項的操作賦予不同的級別。SQLServer通用安全模式顯然不能將不同的字段和同一字段的不同值分為不同的保密級別。這是因為用戶直接存取存儲數據的數據庫表。采用基于視圖的數據庫安全模型。這個問題就可迎刃而解。
利用視圖限制對表的存取和操作:通過限制表中的某些列來保護數據;限制表中的某些行來保護數據。視圖和權限創建一個視圖后,必須給視圖授予對象權限,用戶才能存取和操作視圖中的數據,不必給作為視圖表的基礎表授予權限。
三、應用解析
應用解析是數據庫安全中間件(DBSAPI)的重要組成部分,包括語法分析、詞法分析、加密字典信息的檢索、訪問控制字典信息的檢索、SQL命令的加密變換等,目前語法分析并不能識別所有類型的SQL命令,可以不考慮那些與加脫密無關的SQL命令,遇到不認識的SQL命令,則直接提交給DBMS的語法詞法分析.基于現在對于數據庫信息已做特殊處理,SQL請求返回的信息已經不是其本身的價值方式,同時為了更好地實現業務層將用戶和數據訪問的復雜性相隔離的目的,將用戶界面層的所有數據訪問請求提取出來,放到數據訪問應用解析模塊中.這不但將用戶與數據訪問完全隔離,而且大大改善了對數據訪問操作的查詢和管理效率.當用戶界面層從客戶端向數據庫層發出對數據庫的請求時,首先對應的SQL請求進行語法詞法分析,接著檢索訪問控制和加密字典,根據訪問控制和加密定義需求進行相關操作,然后提交給DBMS作數據提取處理,最后將結果返回到用戶界面層,數據訪問過程中實時出現的錯誤也返回用戶界面層.
參考文獻:
[1]詹鑫,校園網的安全分析及防范措施[J].安防科技,2006,(05).
[2]任興洲,計算機網絡安全問題的分析與對策[J].電腦知識與技術,2005,(17).
篇(5)
1 前言
作為信息系統建設過程中的核心部分,數據庫不僅是服務于業務系統的正常運轉,而且由于數據庫是儲存數據與信息的載體,所以對于各行各業的業務發展也起到了至關重要的失去作用。因此無論是小到企業、單位,大到政府、國家,數據庫的安全性保障與控制都勢在必行。一方面,由于數據庫需要對外提供數據與信息,因此在數據進行訪問與存取時需要保障安全性;另一方面,數據在存儲與傳輸的過程中,可能被篡改或丟失,這一方面也需要保障安全性。因此在數據庫的系統的實施過程中,相應的安全措施也成為衡量其優良重要的性能指標。
2 SQL語言在數據庫安全方面的應用
如圖1所示,數據庫的安全控制一般包括幾項內容。
身份認證:驗證用戶是否具有連接到SQL Server數據庫的資格。
操作權控制 & 文件操作:驗證用戶是否具備相應的操作對象與操作類型的權限。
數據庫的加密存儲與冗余:即對數據庫庫進行加密處理,以及數據的備份策略。
1) 身份認證:對于非法用戶的控制。
對于非法進行數據連接和訪問的用戶,一般采取的策略即系統保護機制,通過設置系統賬號和密碼進行主動保護,另一方面,可通過強認證方式,例如通過數字證書,通過用戶的簽名、指紋、聲音、虹膜等用戶特有的特征來進行用戶的驗證。
2) 操作權限控制、文件操作:SQL語言對于數據庫存取的控制。
SQL標準語言能夠支持數據庫的自動存取控制,一般是通過授權語句 Grant 和收權語句 Revoke來實現的。
a) 用戶權限的設置
在進行用戶權限設置時,涉及到兩大內容:可操作的數據本身及可進行哪些操作,即操作的對象和類型。在對用戶進行制受權時,就是定義所授權的用戶可以對哪些數據進行何種操作。如表1所示即為用戶權限設置的方法。
從表1可見,對于數據庫中的表、視圖和列,賦予的可進行的操作有查詢(Select)、插入(Insert)、更新(Update)、刪除(Delete)以及其總和All Privilege。授予TABLE本身的操作權限有修改和索引。 授予數據庫的操作權限是創建表,而且對這個表空間有使用(存儲)的權限,并能夠在系統中創建新的數據庫。
b) SQL語言中授權與收權語句的具體使用方法
授權語句(Grant),其主要功能是將某個數據對象的操作權限分配給某個用戶。
語法如下:
GRANT 權限1[,權限2,…] [on對象類型 對象名稱] TO 用戶1[,用戶2,…]
[WITH GRANT OPTION]
在授權語句的最后[With Grant Option]選項的功能是設置允許進行權限的轉移,即被指定的用戶可以將此權限轉交給其它的用戶。
對于數據對象的訪問權限控制,能夠很好的對數據庫的使用人員進行控制,分級分組進行管理,有利于保障。以下為授權請問的使用舉例。
例1:將學生基本表(Students)中的“name”的修改、查詢功能分配給用戶u1。則語句的使用方法為:
GRANT UPDATE(name),SELECT ON TABLE students TO u1。
例2:將表student, score的插入、刪除、修改操作權限分配給用戶u1和u2。則語句使用方法為:
GRANT ALL PRIVILIGES ON TABLE student,score TO u1,u2。
例3:將表score的查詢功能分配給數據庫中的全部用戶。
GRANT SELECT ON TABLE score TO PUBLIC;
例4:將在Mydatabase數據庫中建立表的功能分配給u2。
GRANT CREATETAB ON DATABASE mydatabase TO u2。
例5:將Students的查詢功能分配給u3,并允許用戶u3能夠進行權限的轉移。
GRANT SELECT ON TABLE students TO u3 WITH GRANT OPTION。
例6:用戶u3將查詢students表的權限轉移給用戶u4。
GRANT SELECT ON TABLE students TO u4;
收權語句(Revoke),其主要功能是把已經授權的信息全部撤銷。
語法如下:
REVOKE 權限1[,權限2,…] [ON對象類型對象名] FROM 用戶1[,用戶2,…]。
例7:將用戶u1修改student表中列 name的權限取消。
REVOKE UPDATE (name) ON TABLE students FROM u1。
例8:將用戶u3查詢students表的權限取消。
REVOKE SELECT ON TABLE students FROM u3。
3) 數據加密。
數據加密的目的是為了保障數據在存儲、傳送過程中的完整性、機密性、可用性。對于如銀行、保險、政府、軍工等行業的數據庫中存儲的數據,保密級別要求較高,除了嚴格的身份認證與授權認證方式外,數據加密技術也必不可少。數據加密的一般方法即將源數據加密為無法直接進行訪問或識別的數據,即所謂的明文加密為密文,在不知道加密算法的前提下,用戶是無法獲取到真實的數據的。主流加密的方法有幾種。
替換法:將源數據中的每一個字符逐一轉換成為密文。
轉換法:對于源數據中的字符進行順序調換。
由于這兩種方法單獨使用時都存在一定的局限性,因此一般會結合這兩種方式,來提高數據的安全性。
3 結束語
多年來,數據庫的安全一直是一個沒有完全解決的問題。一方面是由于數據庫系統的日益復雜,在確保其查詢、修改、添加、統計等功能能夠便捷使用的前提下,無法兼顧其安全;另一方面由于數據庫能夠給管理員最大的權限,因此對于人為的數據泄漏沒有很好的解決方法,對于其安全性也帶來了極大的挑戰。本文通過對于SQL語言在數據庫安全方面的應用,細化其權限分配,以期能夠盡量地避免某一個用戶占用數據庫的大部分權限,減少數據庫的安全風險。同時通過強身份認證與相應的加密手段,加強數據的保護。
參考文獻
[1] [美]Robert Sheldon 著,黃開枝等譯.SQL 實用教程[M].北京:清華大學出版社,2004(34-50).
[2] [美]Alex Kriegel、Boris M.Tnukhnov著, 陳冰等譯.SQL寶典[M].北京:電子工業出版社,2003(19-30).
[3] 張勇.高安全的數據庫管理系統保護技術研究[D].華中科技大學博士學位論文, 2003.
[4] 程萬暈.多級安全數據庫管理系統的研究與實現[D].東北大學博士學位論文, 2003.
[5] 彭湃,戴一奇,李武軍.網絡密文數據庫的設計[J].清華大學學報(自然科學版),2001(1), 92-95.
篇(6)
范茂魁.2009.制約特勤隊伍地震救援專業化發展因素及對策[J].消防科學與技術,28(3):217-222.
何少林,李佐唐,姚子文.2006.甘肅省地震應急基礎數據庫管理服務軟件系統研制[J].西北地震學報,28(2):149-153.
吉雍慧.2008.數字圖書館中的檢索結果聚類和關聯推薦研究[J].情報分析與研究, (2):69-75.
雷秋霞,陳維鋒,黃丁發等.2011.地震現場搜救力量部署輔助決策系統研究[J].地震研究,34(3):385-388.
李東平,姚遠,2009.浙江省地震應急基礎數據庫建設研究[J].科學技術與工程,9(9):2474-2479.
劉紅桂,王建宇,徐桂明.2005.基于GIS的江蘇省地震應急基礎數據庫與震害快速評估技術[C]// 江蘇省測繪協會.2005數字江蘇論壇――電子政務與地理信息技術論文專輯.江蘇:《現代測繪》編輯部,10-12.
聶高眾,陳建英,李志強等.2002.地震應急基礎數據庫建設[J].地震,22(3):105-112.
王東明.2008.地震災場模擬及救援虛擬仿真訓練系統研究[D].哈爾濱:中國地震局工程力學研究所.
篇(7)
中圖分類號:TP311 文獻標識碼:A 文章編號:1007-9416(2015)12-0000-00
高校計算機基礎課程是大學生學習計算機的第一門課程,課程側重于培養學生動手操作能力,在該課程上應用無紙化考試系統,體現了教育系統的改革以及模式的更新,能夠體現課程性質以及提高教學的工作效率和管理水平。在該系統中,最重要的設計是數據庫的設計,數據庫中存儲了海量的試題,能夠快捷高效地進行出卷、答題、評分等工作。目前,已經有許多考試(遠程教育、計算機等級考試、微軟辦公自動化考試)已經采用了標準化在線答題方式,其科學性、準確性、公平性也遠遠高于傳統的考試形式。
1 考試系統數據庫需求
對于數據庫設計的步驟來說,需求分析是第一步也是最重要的一步,它決定了整個設計的目的和產品形態、在這個階段當中,主要分析使用該在線考試系統的用戶群體和業務活動,比如管理員的職責有錄入考試名單、查詢學生成績等;教師負責出卷、修改、評分等;學生則需要在規定時間完成答題。
2 考試系統數據庫設計
在線考試系統中,合理地設計數據庫中的邏輯和屬性關系能夠保證系統中每個模塊的功能之間緊密聯系在一起。在需求分析確立以后,需要將所得到的需求抽象為信息概念,在概念設計中,一般采用自底而上的設計理念,得出教師、學生、試題庫、試卷等實體信息。每一個試題都有各自的屬性。每一個實體之間根據各自的功能都會有相應的聯系。
本設計選用關系型數據庫SQL Server作為數據庫開發平臺,在邏輯設計中,將上述實體關系模型(即E-R圖)轉為關系模式,并生成數據庫所支持的表結構。詳細的表結構如下:
Teacher表(教師):字段有編號、姓名、用戶名、密碼、任課學科,其中編號作為主鍵,任課學科作為區分教師對領域學科的劃分。
Student(學生表):字段有學號、姓名、用戶名、密碼。主鍵為學號。
Paperlib(題庫表):字段題庫編號、題目標題、題目類型、難易等級、參考答案、備選答案。編號作為主鍵,用來保證記錄的唯一性。
Paper(試卷表):字段有編號、試卷代碼、大標題號、作答區、題庫編號、學號、卷面分。在該表中,學號和題庫編號是外鍵,分別和學生表以及題庫表建立對應關系。
3 系統數據庫連接代碼
考試系統可以使用PHP語言開發,PHP語言擁有完善數據庫集成層,使得它能夠支持絕大多數的數據庫系統,并兼容SQL標準,能夠高效、快速、穩定地進行數據庫的讀寫操作。在開發方面,PHP提供了許多用于數據庫操作的標準接口,對連接、讀取、寫入數據庫等操作非常方便,不論是開發web應用還是其他應用程序,都能夠快速地進行二次開發[2]。
在連接方式上,PHP可以建立兩種不同的方法來連接SQL Server。第一種是通過開放式的接口ODBC進行連接,它是微軟定義的一種專門用于連接數據庫的標準,目前市面上的關系數據庫中都會有相應的ODBC驅動,ODBC可以說是數據庫連接的一種業界通用標準,應用非常廣泛。第二種是通過PHP語言直接對SQL Server進行連接,PHP語言中集成了Mssql函數庫專門用于數據庫的訪問,主要分為即時連接和永久連接方式。
即時連接是指當需要進行數據庫訪問操作是才進行的數據連接,一般通過mssql_connect函數來進行。永久連接顧名思義就是一直保持著與數據庫的連接,通過mssql_pconnect函數來實現。在本系統設計中,采用即時連接的方式可以減少數據庫的負荷。
$db_conn = @mssql_connect("Computer_exam","admin","admin");
or die("數據庫無法連接!");
mssql_select_db("Computer_exam",$db_conn);
?>
上述代碼中,第一行用于連接數據庫,其中Computer_exam為數據庫名稱,第一個admin為用戶名,第二個為密碼,同時用了@符號屏蔽錯誤顯示。第二行中的die函數用來提示數據庫連接失敗并關閉程序,然后選擇需要訪問的數據庫。在退出訪問時,使用mssql_close函數把連接關閉。可以專門生成兩個文件用來連接和關閉數據庫,并命名為db_conn.php和db_exit.php。
4 考試系統數據庫安全性
數據庫系統的安全性與數據庫管理系統關系密切,因為數據庫管理系統如果擁有強大的安全機制,那么數據庫系統也會具備較好的安全性能。提高數據庫系統的安全性可以采用數據加密的方式,我們可以在操作系統層、數據庫管理系統內核層以及數據庫管理系統應用層三個層面進行加密。
在操作系統層面上,由于系統并不能識別數據庫文件當中的一些數據的邏輯關系,所以不能通過產生合理密鑰的方式來加密,也不便于對密鑰的管理和使用,因此,對于大型的數據庫很難在操作系統層面上實現數據的加密。
在數據庫管理的內核層加密是指把數據在物理存取之前完成數據的加密或解密,這種加密功能強大,并且不會影響數據庫管理系統的功能,能夠將兩者的進行無縫耦合,但是該加密方式必須在服務器中進行算法的運算工作,這樣就會使服務器的負荷增大,同時還需要數據庫管理系統開發商提供接口用于數據的加密。
目前采用的比較多的加密方式是在數據庫管理系統應用層的加密,通過在數據庫管理系統中根據加密的要求生成一個外層的工具,自動完成對數據的加密解密工作,這樣就可以使加密工作不會對服務器造成負擔,同時也可實現網絡加密,但是相應的加密功能會收到限制,不利于與數據庫管理系統的耦合。
5 結語
本文設計了一種計算機基礎無紙化考試系統,從需求分析開始,再進行邏輯關系設計、數據表的生成以及數據庫連接方法的描述,最后對數據庫安全性進行分析,對高校計算機基礎課程實施無紙化考試有一定的作用。
篇(8)
計算機技術的發展,網絡技術的普及,各個單位都建立了網絡管理系統,其中數據庫的運行起到關鍵性的作用。ORACLE數據庫是目前被廣泛應用的數據庫,該數據庫具有穩定的運行特性,大量的關鍵性數據信息儲存在數據庫中,不僅確保了數據的安全,而且還以其良好的權限管理性能對數據以全方位管理。ORACLE 數據庫管理中,數據庫管理員(Database Administrator;簡稱:DBA)承擔著重要的管理和維護責任。基于網絡的開放性,對網絡系統的數據庫就需要強化跟蹤管理,以避免數據庫在運行中遭到惡意攻擊。具體操作中,用戶的數據庫操作都需要DBA對其進行監督,并定期地審計。ORACLE 數據庫的數據庫跟蹤技術上可以滿足實施監控,并對跟蹤過程的技術要求以支持。本論文針對自動跟蹤技術在ORACLE數據庫維護中的應用進行分析。
1 Oracle數據庫概述
1.1 Oracle數據庫的概念
Oracle是“Oracle Database”的簡稱,又被稱為“Oracle RDBMS”。這款ORACLE公司提供的關系數據庫管理系統,在網路信息數據庫領域一直被關注。該數據庫系統具有良好的可移植性,在運行中不僅具有強大的功能性,而且方便使用,因此而被廣泛應用。
作為B/S體系結構的數據庫,ORACLE數據庫可以發揮通用的數據庫管理功能;ORACLE數據庫作為關系數據庫,也是完備關系的產品和分布式數據庫,發揮著完整的數據管理功能,并對數據庫運行進行分布式處理。Oracle數據庫的使用便捷性在于,只要學習相關的操作知識,就可以在各種型號的及其上操作。隨著計算機網絡技術的升級,Oracle數據庫引入了多承租方架構,可以對數據庫云進行管理,以促進資源的靈活利用,資源使用效率也會有所提高。特別是Oracle Multitenant,可以對多個數據庫進行整合,壓縮數據庫中的數據信息,并運用Automatic Data Optimization對數據庫中所存儲的數據信息進行分層管理。這些創新技術的運用,使得Oracle數據庫適應了現行的網絡環境而成為云計算的理想平臺。
1.2 Oracle數據庫的特點
Oracle數據庫在運行中具有安全性強的優勢,能夠在復雜的網絡環境中穩定運行,且能夠充分地發揮數據庫的可用性和可擴展性。
Oracle數據庫的數據管理功能是根據網絡環境需要而不斷調整的,不僅存儲數據量大,而且對數據信息能夠持久保存。雖然網絡的共享性和開放性會威脅到數據傳輸和使用的安全性,但是Oracle數據庫的數據可靠性極高,且能夠保證關系產品的完整性。關系型的Oracle RDBMS的所有數據信息之間都存在著邏輯關系,遵循這一信息準則的基礎上,還能夠保證訪問質量。在可視化信息的處理上,只要數據信息發生變化,相應的視圖也會變化,因此而實現了視圖實時更新。與其他的數據庫有所不同,關系型的Oracle RDBMS具有物理性,也具有邏輯性,但是兩者之間都是獨立的。
現行應用領域中所使用的ORACLE數據庫可以提供完善的分布式數據庫處理功能。在分布式數據庫構成上,關系型的Oracle RDBMS包括sql*Net、oraclerdbms、SQL*CONNECT等等關系型數據庫產品,還會根據系統運行需要使用非ORACLE的關系型產品。
2 Oracle數據庫的自動跟蹤技術
要保證Oracle數據庫的安全運行,就要時常地對系統運行中所存在的未知頻率進行跟蹤。Oracle數據庫的自動跟蹤技術是用戶在操作計算機的過程中,DBA對其在線跟蹤。跟蹤的方式分為兩種,即主動跟蹤和反應跟蹤。對用戶的操作進行跟蹤,采取主動跟蹤的方式,是對與數據庫相關的信息進行跟蹤,將所跟蹤到的信息與IP源地址結合,對系統的攻擊源以識破。
Oracle在執行主動跟蹤的過程中,經過計算機處理的各種信息都儲存在分組標記中。其目的是在分組傳輸的過程中,可以獲得前向節點信息,將控制報文協議(Internet Control Message Protocol;簡稱:ICMP)跟蹤消息創造出來,之后,計算機會將這些消息發送到指定位置。經過ICMP,就可以將跟蹤消息查找出來。主機經由路由器接收這些信息之后,就可以對攻擊源進行跟蹤,對所跟蹤到的網絡路徑進行標記分組。在跟蹤攻擊源的過程中,正常信息的分組處理并不會受到干擾。對用戶操作信息的跟蹤,也可以采用步進跟蹤的方式。這種自動跟蹤技術往往都會使用衛星天線接收信號,根據所接受的信號強度進行搜索,以對信息所在范圍進行判斷。
3 ORACLE數據庫維護中對自動跟蹤技術的應用
3.1 SQL語句跟蹤
3.1.1 SQL語句跟蹤
ORACLE數據庫的維護中,采用自動跟蹤技術,在跟蹤SQL語句的時候,要存儲用戶所執行的SQL語句,通過設置數據庫的參數就可以實現。DBA對跟蹤中所獲得的數據信息進行分析,并采取維護措施。
措施一:
具體操作中,打開“SQLPLUS”界面,輸入如下參數值:
show parameter sql_trace
如果顯示“TURE”,則參數值有效;如果為“FALSE”,就要將“sql_trace=true”添加到“initorcl.ora”參數文件中。
當操作完成之后,重新啟動計算機,數據庫所設置的參數就會生效。
措施二:
當數據庫系統處于網絡運行狀態的時候,可以對自動跟蹤技術的參數重新設置。
具體操作中,打開“SQLPLUS”界面,輸入如下參數值:
“alter session set sql_trace = true”
當用戶執行SQL語句的時候,自動跟蹤技術就會跟蹤用戶所操作的SQL語句。雖然這種自動跟蹤技術操作簡單,且對跟蹤參數值可以隨時調整,但是,存在著跟蹤局限性,即只能夠對數據庫的會話語句進行跟蹤。如果重新啟動計算機,數據庫跟蹤參數就會恢復到原始狀態,新設置的跟蹤參數生效。
措施三:使用事件探察器進行跟蹤
用SQL設置事件探察器,在跟蹤的過程中不會有數據信息產生。
使用下面程序:
select * from ::fn_trace_getinfo ( 1 )
可以對SQL的語句執行狀態進行觀察。此時,“ c:\test . trc”顯示為空文件。
在事件探察器中將篩選參數設置出來,Object Type所對應的是sys objects 表中字符為 type 列。當輸入查詢字符時,所需要的是數字。此時,如果所顯示的語句為:
“insert,update,delete”
則意味著正處于SQL自動跟蹤狀態,跟蹤過程中所獲得的數據會自動存儲在sys objects 表中。
3.1.2 SQL語句跟蹤文件解析
對SQL語句跟蹤文件進行解析,所執行的SQL 命令如下:
“SQL > select * from tab;
SQL > update emp set sal = sal + 1000;
SQL > select * from emp”
當程序處于運行狀態后,就可以查找到跟蹤文件所在位置:
“ D: \ORACLE \ADMIN \ORCL \UDUMP”
新的跟蹤文件就會生成。
在對跟蹤文件進行分析中,包括Parse、fetch、execut的執行次數(count);內存數據(disk);CPU的實際運行時間(cpu)elapsed;訪問語句的行數(Rows)等等,根據這些數據信息,DBA就可以對SQL語句的執行情況有效分析,并根據分析結果采取故障排除措施,包括用戶訪問顯示、用戶使用西苑范圍調整等等,通過調整數據庫參數,以確保數據庫能夠有效運行。
3.2 后臺進程跟蹤
3.2.1 后臺進程跟蹤
ORACLE 數據庫的跟蹤文件在initsid.ora 中存儲。
跟蹤文件的參數設置的確定為:
“ background_dump_dest”
對用戶信息進行跟蹤的參數設置的確定為:
“ user_dump_dest”
假設ORACLE 安裝在d 盤,sid= ORCL,則:
在文件目錄“d:\oracle\admin\orcl\pfile:”打開參數文件“initorcl.ora”
如果“ background_dump_dest ” 文件沒有內容,ORACLE就會對系統運行路徑自動選擇,即:
“ d:\oracle\admin\orcl\bdump\orclalrt.log”
以此作為跟蹤文件路徑參數。然后,重新啟動計算機,設置新參數的數據庫就會生效。
3.2.2 后臺進程跟蹤文件解析
ORACLE 數據庫運行中,會對數據庫所接受的信息自動識別,并存儲到相應的目錄中,擴展名為“. trc”。文件跟蹤中,使用TKPROF即可對指定文件進行閱讀。格式如下:
TKPROF TRACEFILE OUTPUTFILE
其中:
TRACEFILE:跟蹤文件名
OUTPUTFILE:新文件名
當命令執行結束后,就可以將整理后的文件打開閱讀。
4 結論
綜上所述,ORACLE數據庫是由美國ORACLE公司開發的,是目前在各個領域被廣為應用的數據庫軟件之一。ORACLE數據庫是關系型數據庫,具有分布式處理功能。作為一個完備的關系數據庫產品,其在運行中具穩定可靠,具有很強的實用性,且確保了數據庫中所存儲信息的安全、完整。隨著計算機網絡技術的快速升級,為了確保數據庫信息安全,DBA要對用戶的數據庫操作實時跟蹤,并做好定期審查工作,這些工作都是對計算機數據庫安全進行維護的重要環節。對數據庫的運行環境采用自動跟蹤技術進行分析,可以對用戶的操作進程實時跟蹤。要確保跟蹤監控有效運行,可以設置SQL語句參數或者對Oracle系統的后臺進程進行跟蹤管理,以在Oracle系統運行中獲得關鍵信息點。DBA則可以根據關鍵信息點對數據庫的參數進行調整,會確保Oracle系統運行中性能得以優化,提高Oracle系統的工作效率。
參考文獻
[1]殷泰暉,李帥.基于TNS協議的Oracle數據庫安全性改進方法[J].合肥工業大學學報(自然科學版),2012,35(02):193-196.
[2]孫鐘安.大型數據庫ORACLE數據庫的優化設計思考[J].電腦知識與技術,2014,10(20):4644-4645.
[3]于淑云,馬繼軍.ORACLE數據庫安全問題探析與應對策略[J].軟件導刊,2010(12):147-149.
[4]肖飛,黃正東,王光華,郭雪清.JAVA存儲過程在Oracle數據庫中的應用研究[J].中國數字醫學,2014,9(03):18.
[5]魏亞楠,宋義秋.Oracle數據庫應用系統的性能優化[J].制造業自動化,2010,32(8):204-206、222.
[6]曹新志,沈君姝,郭輝,等.Oracle數據庫在PACS/RIS系統中的應用[J].中國醫療設備,2013(07):35-37.
[7]彭小斌,張文峰,林根深.ORACLE數據庫并發訪問控制機制及訪問沖突的解決方法[J].中國醫療設備,2013,28(01):44-45、14.
篇(9)
【關鍵詞】ASPAccess數據庫安全ODBC數據源
筆者從事電子商務網站建設課程教學工作多年,一直選用ASP+Access方案構建方案。但ASP+Access方案最大的安全隱患在于Access數據庫可以被攻擊者非法下載,而現在互聯網上提供的很多ASP空間都是只支持Access數據庫。這樣一來,防止Access數據庫被非法下載就顯得非常重要了。本文筆者通過分析研究將告訴大家如何打造mdb數據庫文件的安全防范對策。
一、危機起因
(一)Access數據庫的安全問題
1.Access數據庫的存儲隱患
在ASP+Access應用系統中,如果獲得或者猜測到Access數據庫的存儲路徑和數據庫名,則該數據庫就可以被下載到本地。
2.Access數據庫的解密隱患
由于Access數據庫的加密機制非常簡單,所以即使數據庫設置了密碼,解密也很容易。該數據庫系統通過將用戶輸入的密碼與某一固定密鑰進行異或來形成一個加密串,并將其存儲在*.mdb文件中從地址“&H42”開始的區域內。由于異或操作的特點是“經過兩次異或就恢復原值”,因此,用這一密鑰與*.mdb文件中的加密串進行第二次異或操作,就可以輕松地得到Access數據庫的密碼。基于這種原理,很容易編制出解密程序或者在互聯網上下載到破解工具,數據庫文件的內容,企業的資料、隱私和員工的密碼從此不在安全。由此可見,無論是否設置了數據庫密碼,只要數據庫被下載,其信息就沒有任何安全性可言了。
(二)ASP帶來的安全問題
1.ASP程序源代碼的隱患
由于ASP程序采用的是非編譯性語言,這大大降低了程序源代碼的安全性。任何人只要進入站點,就可以獲得源代碼,從而造成ASP應用程序源代碼的泄露。
2.程序設計中的安全隱患
ASP代碼利用表單(form)實現與用戶交互的功能,而相應的內容會反映在瀏覽器的地址欄中,如果不采用適當的安全措施,只要記下這些內容,就可以繞過驗證直接進入某一頁面。例如在瀏覽器中敲入“page.asp?x=1”,即可不經過表單頁面直接進入滿足“x=1”條件的頁面。因此,在設計驗證或注冊頁面時,必須采取特殊措施來避免此類問題的發生。
二、防范對策
我們可以采用迷惑法、隱藏法、加密法、ODBC數據源法和注冊驗證法等技術手段防止數據庫文件被非法下載。
(一)非常規命名法
1.把數據庫的主文件名進行修改,并且放到很深的目錄下面
防止數據庫被找到的簡便方法是為Access數據庫文件起一個復雜的非常規名字,并把它存放在多層目錄下。例如,對于網上花店的數據庫文件,不要簡單地命名為“flower.mdb”或“bloom.mdb”,而是要起個非常規的名字,例如:halower123.mdb,再把它放在如/wh123/wd123d/hoo9/dh123/abc之類的深層目錄下。這樣攻擊者想簡單地猜測數據庫的位置就很困難了。
2.把mdb擴展名修改為ASP或ASA等不影響數據查詢的名字
但是有時候修改為ASP或者ASA以后仍然可以被下載,如將mdb修改為ASP以后,直接在IE的地址欄里輸入網絡地址,雖然沒有提示下載但是卻在瀏覽器里出現了一大片亂碼。如果使用FlashGet等專業的下載工具就可以直接把數據庫文件下載下來,因此需要找到一種FlashGet無法下載的方法。根據網站在處理包含unicode碼的鏈接的時候將會不予處理的原理。可以利用unicode編碼(比如可以利用“%3C”代替“<”等),來達到目的。而FlashGet在處理包含unicode碼的鏈接的時候卻“自作聰明”地把unicode編碼做了對應的處理,比如自動把“%29”的unicode編碼字符轉化成“(”。即是說如向FlashGet提交一個22.0.1.2/dat/%29amitx.mdb的下載鏈接,它卻解釋成了22.0.1.2/dat/(amitx.mdb,當單擊“確定”按鈕進行下載的時候,FlashGet就去尋找一個名為“(amitx.mdb”的文件,當然找不到。
(二)使用ODBC數據源
在ASP程序設計中,應盡量使用ODBC數據源,不要把數據庫名直接寫在程序中。例如:直接語句
DBPath=ServerMapPath(“/wh123/wd123d/hoo9/dh123/abc/halower123.mdb”)
ODBC數據源語句
ConnOpen“driver={MicrosoftAccessDriver(*.mdb)};dbq=”&DBPath
可見,即使數據庫名字起得再怪異,隱藏的目錄再深,ASP源代碼失密后,數據庫也很容易被下載下來。如果使用ODBC數據源,就不會存在這樣的問題了。
(三)加密ASP頁面
可以使用微軟公司的免費軟件ScriptEncoder對ASP頁面進行加密。它可以對當前目錄中的所有的ASP文件進行加密,并把加密后的文件統一輸出到相應的目錄中。由于ScriptEncoder只加密在HTML頁面中嵌入的ASP代碼,其他部分仍保持不變,這就使得我們仍然可以使用FrontPage等常用網頁編輯工具對HTML部分進行修改、完善,操作起來簡單方便、效果良好。(四)利用Session對象進行注冊驗證
篇(10)
數字化社區就是運用各種信息技術和手段,在社區范圍內為政府、居委會、居民和包括企業在內的各種組織和機構,搭建互動網絡平臺,建立溝通服務渠道,從而使管理更加高效,服務更加優質,最終使居民滿意,建設和諧社會。其核心系統為:社區服務平臺,社區服務呼叫中收、社區一鍵通報警平臺。
一、社區服務平臺
社區服務平臺由社區服務網站和社區綜合管理系統組成。社區服務網站主要面向居民提供服務,居民可以登陸網站查詢與自己生活相關的政策法規以及相關便民信息,使居民做到輕松處理日常事宜;社區綜合管理系統則是為相關管理部門方便辦公所建立的一套綜合性系統,使辦公程序簡化,將不同的部門集中化,從而方便了社區居民。
社區服務網站作為向居民提供服務的信息平臺,適應不斷增長的應用需求,對安全性、可靠性,靈活的可擴充性、高度的穩定性以及服務質量等都做了很好的滿足。同時網站還可以為百姓提供在線申請并受理用戶的服務請求等功能。
網站的內容主要包括四類:一般事務、政策法規、政務服務和便民利民。詳細功能包括:今日城區、政府相關、城區政務、參政議政、街道社區、公告欄、城區快訊、政府公文、辦事指南、熱點關注、基層動態、民意反饋、網站調查、便民服務等。同時,網站可以接受居民的各種咨詢、監督反饋等,統一進入到后臺數據庫。
社區綜合管理系統是專門為社區、街道、區職能部門使用的綜合信息管理系統,主要模塊包括:行政事務辦理(92項功能)、輔助辦公(8個功能)、基礎管理(9個功能)等。主要功能包括:社區居民基礎信息庫、政務服務流程、統計分析、報表系統、公文傳遞、輔助辦公。
社區服務平臺中涉及的相關技術有數據庫安全技術和網絡環境搭建技術。
1社區服務平臺是以數據庫的構建為基礎形成的一套綜合性系統。在整個系統中數據庫占據了重要的地位,因為服務的平臺主要是運行在大量居民數據的基礎上,因此數據庫的選擇、建設和安全問題至關重要,下面簡要分析一下數據庫安全的實現策略。
數據庫安全策略是涉及信息安全的高級指導方針,這些策略根據用戶需要、安裝環境、建立規則和法律等方面的限制來制定。數據庫系統的基本安全性策略主要是一些基本性安全的問題,如訪問控制、偽裝數據的排除、用戶的認證、可靠性,這些問題是整個安全性問題的基本問題。數據庫的安全策略主要包含保證數據庫存在安全和保證數據庫使用安全兩個方面。
數據庫的安全實現主要有數據庫存在安全的實現、數據庫完整性的實現、數據庫保密性的實現和數據庫可用性的實現四個方面。正確理解系統的硬件配置、操作系統和網絡配置及功能對于數據庫存在安全十分重要,這三方面的安全運行是和維護數據庫存在安全不可分割的;數據庫的完整性包括庫的完整性和元素的完整性,數據庫的完整性是DBMS(數據庫管理系統)、操作系統和系統管理者的責任,數據庫元素的完整性是指它們的正確性和準確性;數據庫的保密性可以通過用戶身份鑒定和訪問控制來實現,DBMS要求嚴格的用戶身份鑒定,一個DBMS可能要求用戶傳遞指定的通行字和時間日期檢查,這一認證是在操作系統完成的認證之外另加的,DBMS在操作系統之外作為一個應用程序被運行,這意味著它沒有到操作系統的可信賴路徑,因此必須懷疑它所收的任何數據,包括用戶認證,因此DBMS最好有自己的認證機制,訪問控制是指根據用戶訪問特權邏輯地控制訪問范圍和操作權限,如一般用戶只能訪問一般數據、市場部可以得到銷售數據、以及人事部可以得到工資數據等,DBMS必須實施訪問控制政策,批準對所有指定的數據的訪問或者禁止訪問,DBMS批準一個用戶或者程序可能有權讀、改變、刪除或附加一個值,可能增加或刪除整個字段或記錄,或者重新組織完全的數據庫;數據庫的可用性包括數據庫的可獲性、訪問的可接受性和用戶認證的時間性三個因素。
2.在如何能夠保證不同地點的終端共同訪問數據庫所帶來的數據安全問題方面考慮采用虛擬專用網絡技術進行網絡連接,即VPN技術。
VPN是指在共用網絡上建立專用網絡的技術,之所以稱為虛擬網主要是因為整個VPN網絡的任意兩個結點之間的連接并沒有傳統專網建設所需的點到點的物理鏈路,而是架構在公用網絡服務商ISP所提供的網絡平臺之上的邏輯網絡。用戶的數據是通過ISP在公共網絡(Internet)中建立的邏輯隧道(Tunne1),即點到點的虛擬專線進行傳輸的。通過相應的加密和認證技術來保證用戶內部網絡數據在公網上安全傳輸,從而真正實現網絡數據的專有性。用于構建VPN的公共網絡包括Internet、幀中繼、ATM等,而且提供了比傳統方法更強的安全性和可靠性。
VPN是利用公網來構建專用網絡,它是通過特殊設計的硬件和軟件直接通過共享的IP網所建立的隧道來完成的。通常將VPN當作WAN解決方案,但它也可以簡單地用于LAN。VPN類似于點到點直接撥號連接或租用線路連接,盡管它是以交換和路由的方式工作。
可以說,VPN是Intranet(內部網)在公眾網絡上的延伸,它可以提供與專用網一樣的安全性、可管理性和傳輸性能。VPN是建立在實際網絡(或物理網絡)基礎上的一種功能性網絡。它克服了公共網絡缺乏保密性的弱點,在VPN網絡中,位于公共網絡兩端的網絡在公共網絡上傳輸信息時,其信息都是經過安全處理的,可以保證數據的完整性、真實性和私有性。
二、社區服務呼叫中心
呼叫中心(Call Center),也稱作客戶服務中心,是基于電話、傳真機、計算機等通信、辦公設備于一體的交互式增值業務系統。用戶可以通過電話接入、傳真接入、MODEM撥號接入和訪問Internet網站等多種方式進入系統,在系統自動語音導航或人工坐席幫助下訪問系統的數據庫,獲取各種咨詢服務信息或完成相應的事務處理。呼叫中心最早出現在美國,我國于1995年出現了第一家合資的呼叫中心九五資訊,通過了十多年的發展,目前我國呼叫中心已經在通信、銀行、電力、保險等行業普及,隨著互聯網分類廣告、電視購物和高檔消費品進入循環消費階段,呼叫中心越來越多地進入了生產型企業、商業企業和服務型企業,為越來越多的企業提供銷售、服務、技術支持等服務和事務處理類工作。
社區服務呼叫中心與社區服務網站是密切結合的,所有網站上的內容,都可以通過服務專線了解,使居民可以足不出戶,通過電話就可以享受方便快捷的網絡經濟時代的信息化社區服務。現階段呼叫中心存在三種業務發展模式:企業自建、傳統外包和虛擬呼叫中心。當今主流的發展模式是虛擬呼叫中心,它不受地點的限制,只要能夠上網就可以實現。
呼叫中心是通過用戶撥打一個固定的接入號碼,采用輪詢機制選擇空閑接線人員接聽電話處理用戶需求的一種信息類服務形式。現在通用的呼叫中心模式有硬件方式坐席和軟件坐席兩種,并且可以通過互聯網在任何一臺可以訪問互聯網的主機上進行操作。當前通訊類運營商的客服系統就是典型的呼叫中心。
社區服務熱線采用一個專用的電話號碼,專門為社區的居民提供優質的服務。需要建設一套完善的系統,需要幾個人24小時值班。社區服務熱線基于先進的CTI(計算機與電信集成)技術,集程控交換技術、計算機技術、網絡技術與數據庫技術于一體,按照Call Center(呼叫中心)的動作模式,采用技術領先、性能可靠的平臺為呼叫處理和業務支撐設備,以靈活的人工、自動服務方式提供多種客戶服務業務手段,并可按運營者要求在線生成新的業務。
社區服務熱線具備所需的幾乎全部呼叫處理應用功能,如:模擬中繼、數字中繼(一號和七號信令)、Internet接入;自動語音導航、自動語音應答、人工坐席服務、多媒體坐席服務、語音合成、傳真、語音的錄放等。交換能力強勁,功能齊備。(該系統可采用各市分公司提供坐席出租的方式,采用客戶制定的呼叫號碼,提供最專業的24小時語音服務,為客戶節省了大量的人力和財力。)其主要功能有:政策、法規咨詢;政務服務流程咨詢;便民服務事項查詢;便民信息;便民信息查詢。“社區服務呼叫中心”與社區服務網站在資源上有機結合。
