数据库系统安全性.docx
《数据库系统安全性.docx》由会员分享,可在线阅读,更多相关《数据库系统安全性.docx(15页珍藏版)》请在冰点文库上搜索。
数据库系统安全性
计算机网络安全与应用技术
课程论文
题目数据库系统安全性
姓名熊斌
学号20127345
系部理工系
专业班级2012级计算机2班
指导教师黄成
2015年05月30日
摘要
数据库系统是信息仓库,管理着大量的数据信息。
可能受到来自多方面频繁的安全攻击,从而导致一系列安全问题。
随着网络和数据库技术的发展,数据库系统的安全管理日益成为人们关注的焦点。
数据库系统的安全框架可以划分为三个层次,各个层次是相辅相成的,防范重点和技术手段也不尽相同。
数据库安全包含两层含义:
第一层是指系统运行安全,系统运行安全通常受到的威胁如下,一些网络不法分子通过网络,局域网等途径通过入侵电脑使系统无法正常启动,或超负荷让机子运行大量算法,并关闭cpu风扇,使cpu过热烧坏等破坏性活动;第二层是指系统信息安全,系统安全通常受到的威胁如下,黑客对数据库入侵,并盗取想要的资料。
数据库系统的安全特性主要是针对数据而言的,包括数据独立性、数据安全性、数据完整性、并发控制、故障恢复等几个方面。
网络的开放性给数据库系统安全带来了严重的安全隐患,本文从数据库系统安全的各个方面,对数据库系统的安全策略进行粗略的探讨。
[关键词]数据库系统;安全;防范
1.数据库安全国内外研究现状
数据库安全问题是信息系统安全问题的一个子问题,数据库技术是构建信息系统的核心技术。
在当今开放式的互联网时代,许多关键的业务系统运行在数据库平台上,数据库系统中的数据为众多用户所共享,如果数据库安全无法保证,其上的应用系统也会被非法访问或破坏,所以数据库系统的安全保护措施是否有效已成为现代数据库系统的重要性能指标之一。
因此,研究如何保卫信息战的核心资源—数据库,已是目前迫切需要解决的课题。
数据库界对此十分重视,各数据库厂商纷纷在自己的产品中实现其安全功能,如安全控制策略,资源管理,数据库备份与恢复,锁定和审计等。
这些功能显然是不够的。
其主要原因是,数据库中数据是以明码方式存放的。
国外对计算机安全及数据库安全的研究起步较早,包括政府部门在内的各种研究机构及公司对此投入了大量的研究,研究成果和应用都较为丰富。
从年代开始,以美国军方为主的研究队伍对多级安全数据库系统伽进行了一系列的研究,研究内容主要包含安全需求,安全模型,系统结构,某些特定数据库应用系统的特殊安全问题,存储管理以及原型系统的实现问题。
数据仓库的安全保密问题,安全数据库系统中的推理控制问题等等。
取得了相当多的成果。
在产品开发方面,分别推出了到达安全级的商用数据库产品。
基于对安全数据库的需求,国内学术界对数据库的安全问题也进行了研究。
国内对数据库安全的研究开始于年代末年代处,从目前掌握的资料看,国内对数据库安全的研究无论是在理论上还是在相关实用产品上都落后于国外。
国外几大数据库厂商的低安全级别的数据库产品占据了国内的大部分市场。
2.数据库安全性综述
数据库安全技术作为信息安全技术的分支开始于年代中期,自年代末和年代初开始迅速发展,目前己得到被许多国家的重视,将其作为国家信息安全的重要基础技术。
国外一些成熟的商用大型数据库管理系统都具有诸如身份认证、访问控制、审计等安全功能,为数据库安全提供了一定的技术保障。
在我国,针对国内的具体需求,有一批研究机构和软件公司也正在积极从事数据库安全技术的研究和开发。
数据库在各种系统中都应用得非常广泛,目前,数据库主要用于人事管理、财务管理、档案管理、图书资料管理、仓库管理等方面的数据管理。
数据管理包括这些数据的组织编目、定位、存储、搜索、查询、修改、排序、分类等内容。
由于数据库在办公自动化系统、管理信息系统、电子商务中都是最重要的组成部分,数据库系统的任何破坏、修改或者不能及时地提供服务都会给使用者带来严重的问题,因此,保护数据库系统的安全至关重要。
数据库的安全主要是保证数据的独立性、完整性、保密性和可用性,防止数据被非法访问,甚至被篡改或破坏。
2.1数据库系统的安全性威胁
2.1.1安全性误区
对数据安全性的领域错误的分析往往会导致设计出无效的安全解决方案。
下面是几种最普遍的安全性误区
误区1:
黑客是导致大部分安全崩溃的主要原因。
事实上,80%的数据丢失是来自内部。
误区2:
加密可以保证你的数据安全。
事实上,加密仅仅是保护数据安全的一种途径,安全性同样也需要访问控制、数据完整性、系统的可用性以及审计等。
误区3:
防火墙可以保证数据安全。
事实上,尽管安装了防火墙,40%的网络入侵仍然发生。
因此,设计一个安全的解决方案,真正保护数据,必须要了解相关的安全性需求,当前威胁你的数据的范围。
数据库的安全威胁主要有数据篡改、数据损坏和数据
窃取3种情况。
2.1.2数据篡改
篡改就是对数据库中的数据XX就进行修改,破坏数据的真实性。
如修改成绩、伪造发货单等。
这类修改是一个潜在的问题,表面上看来是没有任何迹象的,在造成影响之前,数据库管理者一般很难发现。
数据篡改一般是基于以下的动机:
个人利益驱动、隐匿或毁坏证据、恶作剧或开玩笑、无意识的修改或用户误操作等。
2.1.3数据损坏
数据的真正丢失是数据库安全性所要面对的另一个威胁。
数据库中的表、数据甚至整个数据库,都有可能被删除、移动或破坏,这样数据库的内容就不可用了。
数据损坏的原因主要是破坏、恶作剧、病毒等。
2.1.4数据窃取
窃取数据是一个非常严重的问题。
窃取是通过对敏感数据的未授权访问来完成的,可以是将数据复制到其他介质上,或是输出成可直接或间接读取的资料(如打印),还有可能是通过网络连接对敏感数据进行未授权的访问或处理。
数据窃取的主要原因有:
一些数据可能比想象的还重要;不满的员工或辞职的员工;工商业间谍等。
以上数据库的安全威胁均来自于对数据库的直接攻击或间接攻击。
直接攻击是通过查询以得到几个记录来直接搜索并确定敏感字段的值。
最成功的技术是形成一种特定的查询,它恰好与一个数据项相匹配。
间接攻击是依据一
种或多种统计值推断出结果。
统计攻击通过使用某些明显隐匿的统计量来推导出数据。
例如求和、计数、中值等数据来得到某些数据。
2.2数据库安全性的基本要求和特点
计算机安全,是指保护计算机系统的硬件、软件和数据,不受破坏、更改、泄露,从系统的角度,主要包括三个方面:
1保密性:
一个计算机系统的资源只能由许可的当事人访问。
这类访问是“读”类型的访问。
2完整性:
计算机系统的资源只能由许可的当事人更改,包括写入、改变状态、删除和创建。
3可用性:
指对拥有合法的访问权限的用户,不应该阻止其访问
目标。
数据库系统的安全的需求与其它系统基本相同,包括数据库的完整性、可靠性、有效性、保密性、可审计性、存取控制与用户身份认证等。
数据库系统通常是在操作系统的控制之下运行,操作系统己经提供的安全措施,数据库系统可以利用,不必另行考虑。
但与操作系统和网络安全相比,其不同之处在于操作系统中的对象为文件,而数据库系统中要求有更加精确的数据粒度,比如要求精确到数据库的表级、域级、直到行级,元素级等操作系统并不关心相关的数据对象的语义及其相互关系,而数据库系统则必须重视数据的语义。
数据库完整性是数据库管理系统、操作系统和计算机管理者三方面应负的责任。
包括数据的正确性、有效性和一致性,及数据库中包含在每个项目内的数据是正确的,也是有效的。
同时,当不同的用户使用数据库时,应保证他们取出的数据是一致的。
由于用户在搜集数据、输入数值、计算结果时可能会出现错误,因此,DBMS必须帮助用户在输入时能发现错误,并在插入错误数据后能纠正它们。
为了保证数据库中每个元素的完整性,DBMS采用3种方法进行维护:
字段有效性检查、通过访问控制维护数据的完整性和一致性、维护数据库的更新日志以利于故障恢复。
数据库系统的完整性与可靠性是指保证数据的正确性,它涉及到数据库内容的正确性、有效性与一致性。
实现数据完整性是保证数据库中的数据的正确、有效,使其免受无效更新的影响。
数据库的完整性总的来讲是数据库系统自身、操作系统、应用系统的职责。
该需求涉及到防止更改数据内容的非授权访问,以及病毒,蓄意破坏,或是系统级错误及故障等。
这主要由通过系统控制以及备份、恢复机制执行并完成保护工作。
存取控制数据库安全的最首要的课题就是确保只对授权的合法用户给予访问权限,并能以令人信服的方式证明或测试这一保证的可靠程度。
同时,令所有未正常授权的人员均无法接近数据,即防止和杜绝非授权的数据访问,无论是窃取,还是破坏。
这就是数据库系统或者任何信息系统中的所谓存取控制问题。
2.2.1数据库的用户认证
用户认证就是确保每个用户都能够被正确识别,避免非法用户的入侵。
DBMS通常要求严格的用户认证,指定应该允许谁访问哪些数据,这些数据可以是字段、记录甚至是元素级的。
DBMS必须实施这一访问策略,批准一个用户或者程序可能有权读、改变、删除或附加一个值,可能增加或删除整个字段或记录数据,或重新组织数据库。
DBMS是在操作系统之外作为应用程序来执行的,它可能要求用户传递指定的通行字和日期、时间以接受检查和认证。
这一认证是在操作系统完成的认证之外附加的。
这说明,从DBMS到操作系统之间没有可信赖的路径,数
据库系统可以怀疑它所接收到的任何数据。
2.2.2数据库系统保密性需求
(1)维护数据库系统保密性的方法
维护数据库系统保密性的方法主要有:
主体身份识别和确认;访问操作的鉴别和控制;数据信息的加密;审计和跟踪。
(2)身份鉴别
处于数据库管理系统的重要性和特殊性,使得数据库系统必须具备独立的用户身份鉴别机制,用于独立完成身份鉴别任务。
操作系统的用户身份鉴别机制加上数据库系统的身份鉴别机制,实际上形成了双重保护。
这种双重的用户身份鉴别机制在一定程度上强化了数据库系统的保密性。
用户身份鉴别的基本方法是用户标识(ID)和密码。
为了保证数据信息的保密性,尤其是为保证对机密敏感数据的访问控制,应当识别用户是惟一的。
同时还要对访问进行确认,以防止事后否认。
(3)访问控制
DBMS是在操作系统的基础上运行的应用程序,是为多个用户共享的应用软件。
数据库系统存放的数据往往比计算机系统本身的价值大得多,必须加以特别保护。
数据库管理系统的访问控制可分为两大类:
任意访问控制和强制访问控制。
任意访问控制通过访问控制矩阵来实现。
访问控制矩阵就是不同的主体以何种模式访问不同的客体的一个列表。
访问模式可以为单一的读(r)、写(w)、添加(a)、删除(d)等,也可以是以上单一访问模式的组合,如读写(rw)。
强制访问控制也是通过与军事安全策略类似的方法来实现的。
具体来说,在安全控制上引入级和范围(又称类别)的概念,每个主体指定一个范围许可级别,而每个客体则有相应的保密级别。
范围许可级别和保密级别一般分为4类:
公开、秘密、机密和绝密。
代表一个用户的执行过程(主体)具有与用户相同的范围许可级别。
客体可以是内存区域、程序变量、文件、I/O设备以及其他可保存的信息。
每个客体和主体都有一个范畴集合。
一个访问级别(安全级别)是保密级别(许可级别)与范畴集合的组合:
<保密级别,范畴集合>。
2.2.3数据库系统的加密
对于使用数据库系统的重要部门,仅依靠访问控制加强保密性是远远不够的。
因为这些安全措施都存在一个明显的致命弱点:
原始数据是以可读的形式存储在数据库中的。
入侵者可以从计算机系统的内存导出需要的信息,或者采取某种方式进入系统,从系统的后备存储器上窃取数据或篡改数据。
要彻底解决数据库的安全保密问题,除了在传输过程中要采取加密保护和控制非法访问等方法之外,还必须对存储数据进行加密保护。
2.2.4多层数据库系统安全结构
在数据库系统中,不同类型的用户其具体的安全要求也可能会不同,但完全可以参照操作系统的安全层次结构概念,来构造数据库系统的多层安全结构。
(1)数据库系统的层次安全结构
数据库系统由数据库边界分为内部和外部两大部分,而数据库内部又由安全周界划分出数据库安全内核(又称为可信计算基,TCB)。
数据库安全内核由0、1、2、3和4各层组成,0层是支持数据库安全内核的操作系统部分;第1层除了完成访问控制和数据库系统需要的用户身份识别外,还要完成把数据传递给高层时的数据筛选工作;第2层要完成数据库索引和计算功能;第3层把用户的视图转换为数据库的基本关系;第4层提供系统或数据库安全内核所需要的数据和数据结构。
在实现用户身份鉴别和访问控制的第1层,应选择适合用户实际需要的安全模型。
比如,当注重于信息加密时,则可以选择Bell-LaPadula信息保密性模型作为数据库安全结构的参考模型。
(2)数据库系统的多级安全模型
数据库安全模型中的元素实际上是一些具有独立意义的数据信息的集合。
数据库系统多级安全模型中的主要元素如下图:
(3)数据库系统的宏观安全结构
在实施强制访问控制的前提下,结合以访问控制矩阵实现的任意访问控制机制,就可以形成比较安全且灵活的数据库多级安全模型。
以数据库系统为中心,计算机系统安全层次机制、计算机系统安全访问识别控制机制、数据库系统安全层次机制、数据库系统多级安全机制、数据库安全机制和数据库、数据库管理系统以及计算机系统、配合密码等安全技术,就形成了数据库系统的宏观安全逻辑结构。
显然,无论在层次结构或是访问控制上,数据库都是受到多重安全机制保护的。
需要说明的是,无论是层次结构还是多级模型,或者是密码技术的应用,都是在访问的安全控制上、多做工作的基础上来构造数据库系统的全结构的。
在此基础上,再辅以切实有效的安全技术措施,必然使数据库系统的安全性得到很大增强。
3.网络数据库系统层次安全技术
从某种程度上讲,数据库的安全首先依赖于网络系统。
随着Internet的发展和普及,越来越多的公司将其核心业务向互联网转移,各种基于网络的数据库应用系统如雨后春笋般涌现出来,面向网络用户提供各种信息服务。
可以说网络是数据库应用的外部环境和基础,数据库系统要发挥其强大功能离不开网络的支持,数据库系统的用户(如异地用户、分布式用户)也要通过网络才能访问数据库的数据。
因此,网络系统的安全是数据库安全的第一道屏障,外部入侵首先就是从入侵网络系统开始的。
(一)入侵的方法
入侵包括试图破坏网络上信息的保密性、完整性、可用性、真实性和可控性等的任何网络活动。
具有以下特点:
没有地域和时间的限制;隐蔽性强;入侵手段更加隐蔽和复杂。
一般的入侵方法主要有:
1.口令入侵
所谓口令入侵,就是指用一些软件解开已经得到但被人加密的口令文档。
不过许多黑客已大量采用一种可以绕开或屏蔽口令保护的程序来完成这项工作。
2.特洛伊木马技术
特洛伊木马最典型的做法可能就是把一个能帮助黑客完成某一特定动作的程序依附在某一合法用户的正常程序中,这时合法用户的程序代码已被改变。
一旦用户触发该程序,那么依附在内的黑客指令代码同时被激活,这些代码往往能完成黑客指定的任务。
3.监听法
网络节点或工作站之间的交流是通过信息流的传送得以实现的。
而当在一个没有集线器的网络中,数据的传输并没有指明特定的方向,这时每一个网络节点或工作站都是一个接口。
数据的传输就依靠这些接口来完成。
有一种叫sniffer的软件,它可以截获口令,可以截获秘密的信息,可以用来攻击相邻的网络。
4.E-mail技术
5.病毒技术
6.隐藏技术
(二)数据库系统层次的安全防范技术
从技术角度讲,系统层次的安全防范技术有很多种,大致可以分为防火墙、入侵检测、协作式入侵检测技术等。
1.防火墙
防火墙是应用最广的一种防范技术作为系统的第一道防线,其主要作用是监控
可信任网络和不可信任网络之间的访问通道,可在内部与外部网络之间形成一道防护屏障,拦截来自外部的非法访问并阻止内部信息的外泄,但它无法阻拦来自网内部的非法操作。
它根据事先设定的规则来确定是否拦截信息流的进出,但无法动态识别或自适应地调整规则,因而其智能化程度很有限。
防火墙技术主要有三种:
数据包过滤器、代理和状态分析。
2.入侵检测
该技术是近年来发展起来的一种防范技术。
它综合采用了统计技术、规则方法、网络通信技术、人工智能、密码学、推理等技术和方法,其作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。
1987年,DerothyDenning首次提出了一种检测入侵的思想,经过不断发展和完善,作为监控和识别攻击的标准解决方案,ids系统已经成为安全防御系统的重要组成部分。
入侵检测采用的分析技术可分为三大类:
签名、统计和数据完整性分析法。
3.协作式入侵监测技术
独立的入侵监测系统不能够对广泛发生的各种入侵活动都作出有效的监测和反应,为了弥补独立运作的不足,人们提出了协作式入侵监测系统的想法。
在协作式入侵监测系统中,IDS基于一种统一的规范,入侵监测组件之间自动地交换信息,并且通过信息的交换得到了对入侵的有效监测,可以应用于不同的网络环境。
4.数据库安全技术
4.1口令保护
口令设置是信息系统安全的第一道屏障,因此,口令安全尤其重要。
对数据库的不同功能块应设置不同的口令,对存取它的用户应设置不同的口令级别,各种模块如读模块、写模块、修改模块等之间的口令应彼此独立,并且应该将口令表进行加密,以保护数据安全。
现在,有一种口令管理方式能在最大限度上确保使用者是合法用户。
这种口令管理方式称为零知识证明,简称零式方式。
这种方式对一个真正的被授权用户来说,其口令不能被冒充、复制或破坏。
在进行用户身份验证时,不用提供可能被窃听者使用或计算口令所用的任何信息。
零方式的关键是必须有一个绝对可靠的数据库系统安全管理员,当一个用户将进入系统时,安全员需对其身份进行验证。
其具体工作步骤如下:
(1)用户获取一个随机数,并使其与自己所持的密钥一并处理,将结果传送给数据库安全管理员。
(2)数据库安全管理员获取一个随机数,并将此数字传送给用户。
(3)用户将此随机数同自己的密钥一并处理,并将其结果再一次传送给数据库安全管理员。
(4)数据库安全管理员检查这个回答是否正确。
若正确,则减少对用户真实身份一半的怀疑;如果不正确,则停止用户的进一步活动。
以上4个步骤可能需重复多次,如果每次回答均正确,
则数据库安全管理员对用户身份的怀疑可减少到零。
这时,
该用户便被确认为合法用户。
4.2数据加密
对数据加密的方法主要有DES算法和RSA算法。
DES算法的主要特点是为数据发送者和数据接收者提供相同的56位加上8位奇偶校验位共64位的密钥,并进行
64位数据块加密计算,得到长度为64位的密文输出,输出的每一位都必须由明文的每一位和64位密钥的每一位联合确定。
这种算法加密强度高,而且计算速度较快,得到广泛应用。
RSA算法的特点是加密密钥和解密密钥是不同的,但彼此间有密切联系。
这种算法使用离散指数产生一种公开密钥的密码体制,利用寻找最大素数的方法进行加密。
这种方法在理论上有很强的安全性,在数字签名等验证应用方面有很大的潜力,但分解因子比较困难,运算速度比较慢。
4.3数据库加密
数据库的加密方式很多,可以是软件加密,也可以是硬件加密。
软件加密可以采用库外加密,也可以采用库内加密。
库外加密方式采用文件加密的方法,它把数据作为一个文件,把每一个数据块作为一个记录进行加密。
文件系统与数据库管理系统交换的内容是块号。
库内加密按加密的程度可以进行记录加密,也可以进行字段加密,还可以对数据元素进行加密。
对数据元素加密时,每个元素作为一个文件进行加密。
硬件加密是在物理存储器与数据库文件之间加以硬件装置,使之与实际的数据库脱离,加密时只对磁盘上的数据加密。
4.4数据验证
数据验证是指在数据处理中,对数据的正确性、完整性进行检查验证,主要方法如下:
(1)检查录入数据的原始凭证
在批处理录入时,要对各部门或各地区送来的原始数据进行定期汇总,然后由计算机部门进行核对验收。
如有错误,应立即返回原单位进行改正。
为了便于核对验收,
通常采用批处理控制单作为安全控制手段,几个部门在上交汇总数据时,要分别填写批处理控制单,在此单中注名原始数据凭证的数量、批号、汇送单位、数据发生日期及其他有关控制项目。
数据管理部门可按批处理控制单核对数据,防止数据交接中产生错误。
为了防止原始凭证的遗失或漏录,一般采用编写流水单号的方法。
录入人员在接受录入凭证时可清点流水号,检查有无缺漏,如有缺号,表明数据的原始凭证有问题,应及时核对、查找。
(2)录入数据的安全控制
录入数据时,由于录入人员的错误、漏读、误操作等原因,使录入数据出错。
为了能及时发现这类错误,通常采用各种校验方法。
对重要的数据可采用双人录入、三人录入,然后进行核对差错的方法。
双人录入是指由两个录入人员录入统一凭证,然后对两人录入的数据进行核对,打印或显示出不一致的数据,再由录入人员进行检查、更改。
双人录入的方法大大减少了录入的错误,提高了录入的正确性。
但录入的工作量增加一倍。
在联机时,处理的作业由终端直接输入计算机,无法再由另一人重新录入。
这时应该采用软件校验每个输入的数据是否合法、完整,如果有问题,则及时提示,令录入人员改正。
(3)数据的类别检查
检查录入数据项目的类型与规定的类型是否相符,例如,如果在数值型项目中输入了非熟知的字符时,则应提示出错信息,数据的界限检查等。
4.5数据库的访问控制
数据库系统可以允许数据库管理员和有特定访问权限的用户有选择地、动态地把访问权授予其他用户。
如果需要,还可以收回这种权利。
其权利存在于一张访问控制表中。
当一个新的用户需要访问数据库资源时,首先由数据库管理人员或数据库拥有者对该用户进行注册,给该用户分配一个口令,并授予其访问相应系统资源的权利。
然后,由该用户输入注册口令。
若口令正确,就可以使用该数据库资源。
XX,任何用户都不能使用该数据库资源。
通过系统日志管理模块,记录每一个用户对每一个数据项所做的增加、修改、删除操作,并记录操作结果。
对重要的数据查询也作记录。
使用户对系统数据的操作,具有不可抵赖性。
5.数据库系统攻击的防护
(一)操作系统安全策略
操作系统安全策略用于配置本地计算机的安全设置,包括密码策略、账户锁定策略、审核策略、IP安全策略、用户权利指派、加密数据的恢复代理以及其他安全选项。
具体可以体现在用户账户、口令、访问权限、审计等方面。
1.用户账户:
用户访问系统的“身份证”,只有合法用户才有账户。
2.口令:
用户的口令为用户访问系统提供一道验证。
3.访问权限:
规定用户的权限。
4.审计:
对用户的行为进行跟踪和记录,便于
系统管理员分析系统的访问情况以及事后的追查
使用。
(二)安全管理策略
安全管理策略是指网络管理员对系统实施安
全管理所采取的方法及策略。
针对不同的操作系
统、网络环境需要采取的安全管理策略一般也不
尽相同,其核心是保证服务器的安全和分配好各
类用户的权限。
(三)数据安全
主要体现在以下几个方面:
数据加密技术、数据备份、数据存储的安全性、数据传输的安全性等。
可以采用的技术很多,主要有Kerberos认证、Ipsec、SSL、TLS、VPN(pptp、l2tp)等技术。
5.1数据库管理系统层次安全技术
数据库系统的安全性很大程度上依赖于数据库管理系统。
目前市场上流行的是关系式数据库管理系统,其安全性功能很弱,这就导致数据库系统的安全性存在一定的威胁。
保障数据库管理系统安全的有效方法之一是数据库管理系统对数据库文件进行加密处理,使得即使数据不幸泄露或者丢失,也难以被人破译和阅读。
可以考虑在三个不同层次实现对数据库数据的加密,这三个层次分别是OS层、DBMS内核层和DBMS外层。
(一)在OS层加密
在OS
升级会员 