WEB数据库的入侵威胁与防护策略
时间:2021-04-09 07:53:38 来源:达达文档网 本文已影响 人 
摘要: 在计算机与网络技术不断发展的今天,数据库技术作为信息管理的重要手段已经在Web中广泛应用。同时,Web数据库的安全问题也成为信息技术应用的重要课题之一。通过Web数据库的访问技术介绍,分析Web数据库的安全问题,探讨数据库防护的安全策略,对如何防范针对数据库的入侵威胁进行深入讨论。
关键词: WEB数据库;入侵威胁;防护策略
中图分类号:TP393.08文献标识码:A文章编号:1671-7597(2011)0620012-01
随着Web技术的发展,人们已经可以把数据库技术引入到Web系统中。利用数据要零譬对各种复杂的数据进行有效管理和快速检索,并将这些数据按远端客户机的特定访问和请求实时地产生带查询结果的动态网页,然后传送给客户浏览器显示。将Web技术与数据库技术相结合,开发动态交互式数据库网页,已成为当今Web技术研究的热点之一。
1 Web数据库访问技术
Web数据库访问技术大致可分为两大类:一类是以Web服务器作为中介,把浏览器和数据源连接起来,在服务器端执行对数据库的操作;另一类是把应用程序和数据库下载到客户端,并在客户端直接访问数据库。目前已经有多种服务器端的脚本编程技术可以实现数据库访问的要求,虽然它们在具体的形式上不同,但是各自可以实现的功能都足非常相似的。不管是哪种技术都可以访问数据库,并能最终生成动态网页。比较成熟和流行的数据库访问技术有:CGI,ISAPI、NSAPI、IDC、LiveWire、Perl、ASP、PHP、JSP和ColdFusion等,其中ASP、PHP和JSP是三种主流技术。
2 Web数据库的常见安全问题
Web数据库由于开放性的环境特点,对于安全的需求十分明显,可当前大多数企业级用户对于安全防护策略的重视还是很低,往往只在发生无可挽回的安全事故之后才将相关的安全问题放在眼前。以下为本文介绍一些常见的Web数据库安全问题:
2.1 账号设置的脆弱性。在成熟稳定的操作系统环境下,在政府规定和企业安全策略的约束中,Web数据库的用户通常缺少安全设置的足够重视。例如,首选用户的账号与密码是面向大范围用户公开的,仅仅是处于禁用或修改的状态,以避免非授权的访问。而密码强度检查并未以字典为基础而且账号过期控制措施不得力,所以能够提供的安全性能较为有限。
2.2 角色分离功能的缺乏。传统意义上的Web数据库管理没有设置专门的“安全管理员”(Security Administrator),这样的环境下Web数据库的管理员(DBA)在数据库账号管理和维护的基础上,要对跟踪调试Web数据库的操作行为与执行性能,这样的管理模式效率相当低下。
2.3 审计跟踪功能的缺失。由于资源环境的有限,DBA经常出于节省空间和提高性能的目的忽视或关闭Web数据库审计,不可否认数据库利用效率有所提高,但管理分析的效率与可靠性收到了严重的影响。审计跟踪能够判定用户行为所产生的数据,将相关事件信息在日志中记录,所以监视用户行为和数据访问的审计跟踪是Web数据库安全的最基本的保证。
2.4 Web数据库的安全特征利用不充分。在Web数据库的实际操作过程中,由于过于重视某个系统的应用安全而忽视Web数据库的安全很常见。而这些系统安全措施的应用仅针对客户端的用户,而多数数据库是通过数据库接口和专有协议绕过了应用层直接连接到Web数据库,因此Web数据库安全功能的可靠保障是来自于数据库内部的。
3 Web数据库的安全策略
在Web数据库技术不断发展的同时,数据库安全也成为日益凸现的重要问题,在Web数据库应用中安全性的保证已经成为保证数据库正常稳定运行的重要课题。Web数据库是将Web技术与数据库技术相结合的综合应用,在系统中安全隐患很多,比如用户账号和密码在网络通信的过程中被窃取,用户查询的信息在网络环境下被篡改或截取等。以下为针对常见数据库安全问题的策略:
3.1 数据库安全模型的建立。在通常的情况下,数据库系统的安全措施是客户端应用程序到后台数据库服务系统整个过程的安全认证。安全模型也称为策略表达模型,是一种抽象的、独立于软件实现的概念模型。网络数据库系统的安全模型是用于精确描述数据库系统的安全需求和安全策略的有效方式。网络数据库通过设立多层的安全关卡保护,来提高数据库的安全性。当用户进入计算机系统时,操作系统首先鉴别用户的身份,在合法进入计算机系统后,数据库管理系统对用户的权限进行存储控制,只允许用户执行与自身权限相符的操作。数据库对数据进行加密,只有用户掌握数据库的密钥才能使用数据库中的数据。
3.2 审计追踪。在当前的技术环境下,尚未有能够彻底解决用户账号在通过验证后的特权滥用的方法,而审计追踪能够在Web数据库安全防护中起到足够的防护作用。审计是对用户行为进行监视的重要措施,对用户行为产生的相关数据活动进行跟踪记录。审计追踪可以完整的记录用户在数据库使用中的所有操作,并在审计日记中存储。通过这些信息的分析,可以将非法数据操作的账号、活动与时间进行记录。数据库管理系统通常都将审计追踪做为可选特征,以操作语言对审计功能进行操作。
3.3 数据库备份恢复策略。Web数据库是以计算机做为物理实现的基础,与其他电子设备相同计算机也会出现硬件或软件故障,同时灾害和人为破坏也能造成严重损坏。在这种情况下,Web数据库的服务器资源可能丢失。所以Web数据库系统必须采用必要措施,保证故障发生数据库信息资源的恢复,将数据库系统恢复到原来的状态。数据备份是定期或者随机对数据库的信息资源进行复制保存,可以保存早本地存储器中也可以复制到其他计算机中。数据恢复的方法是以事务日志技术、备份技术和镜像技术为基础而完成的。
3.4 数据加密和视图机制。通过用户的不同定义不同的视图,将不同用户访问的范围进行限制。以视图机制将这些数据的用户隐藏,保护无权存取的目标数据,在一定程度上对Web数据库资源进行自动保护。而视图机制保护的安全性不够细致,通常无法达到系统应用的需要,试图机制的主要功能是满足了数据库逻辑的独立性需求。在Web数据库的应用中,以授权机制和试图机制相结合,首先以视图机制将重要的保密数据进行屏蔽,之后在视图机制的基础上对存储权限进行定义,而数据加密(Data Encryption)能够防止数据库数据传输和存储的失密,并能够作为行之有效的手段。
4 结束语
Web数据库的入侵威胁的方式多种多样,涉及方面也较多,是需要进行全局性综合考虑的问题,在黑客攻击方法和手段不断进步的同时,必须根据企业的实际需求全盘分析考虑各种技术的应用,构建安全防护的有机结构。
参考文献:
[1]张瑞卿、高永平,基于Web数据库的安全问题探析[J].电脑知识与技术,2010(08).
[2]倪朔东,ASP访问WEB数据库在动态网站中的应用[J].电脑与电信,2007(05).
[3]李潇,基于电子商务网站的数据库安全技术问题的研究[J].电脑知识与技术,2010(08).
