计算机网络数据库存在的安全威胁及措施
时间:2021-04-09 07:58:48 来源:达达文档网 本文已影响 人
【摘要】 现在网络中多种数据库技术的使用成了造成计算机威胁的最大的原因,因为这些数据库中存在着各种各样的弊端,最终使得计算机系统面临着各种风险。基于此,本文对计算机网络数据库存在的安全威胁与措施进行了探讨。
【关键词】 计算机网络;数据库;安全威胁;措施
1 引言
现在社会的快速发展带来了电子计算机技术的广泛使用,数据库技术也在计算机技术日新月异的更新中形式多变起来,那么随之而来的就是各种与数据库相联系的网络威胁的出现,这就给现代计算机系统的正常运行带来了各种威胁。现在社会中数据库的安全措施主要有相关的数据库管理人员来进行管理,通常数据库遭到黑客的攻击之后,会造成很多严重的后果,比如计算机中有用数据的丢失、账号的非法入侵等。黑客攻击计算机的目的在于获得对他们有用的数据和资料。
2 计算机网络数据库存在的安全威胁
2.1 结构化查询语言的注入
现在社会中,各种互联网设备的使用都基于Web服务器,而服务器的设置基本上都是在建立牢靠的防火墙之后进行的,它只对某一特定的端口号进行开放,非法侵入者想要进入这个端口是完全没有可能的。那么这个特定的端口就变成了黑客们进行入侵的主要目标,而最常用的模式就是结构化查询语言的注入。
在浏览器/服务器模式的不断变化过程中,也出现了与之相对应的软件程序开发人员。其中某些程序编程者的操作过程不够细致,很容易留下漏洞,从而导致用户在使用过程中遭到黑客的攻击。所谓结构化查询语言注入是将代码输入到正在使用的客户端,通过一系列程序和服务器的处理之后,在端口得到我们想要的资料的过程。与普通Web访问相似的是结构化查询语言也能够对特定端口进行访问,但一般情况下,防火墙对于结构化查询语言的注入没有明确的警示,只要管理人员不进行及时的监控就很难在很短的时间内发现问题。
就我国目前的各种网站的使用情况来看,基本上都在使用ASP或者与ASP相关的其它页面或者关系数据库管理系统,这几种数据库在市场上占有绝对的优势,我们现就ASP+Access作为研究内容来对结构化查询语言的注入进行描述。
2.2 数据库的下载
3 采用有效措施保证数据库的安全
3.1 修补漏洞
3.1.1修补URL端口的漏洞
该方法的使用能够在很大程度上预防大部分的入侵者,而且它的使用不会影响到计算机的运行速度;也可以使用到其他字符或者字符串,并有可能对某些权限进行设定,这样就增强了数据库的安全性,预防了黑客的攻击。
3.2 数据库安全工作的强化
3.2.1以ASP、ASA命名数据库的后缀名
在现代的防护系统中很多人喜欢将以前的后缀名变为ASP或ASA,虽然此方法能够在一定程度上预防暴库的发生,但是现在网络技术更新速度较快,这种方式很难抵挡住新的攻击和干扰,对于改变后缀名来获得安全的数据库,黑客们很容易利用手中的工具进行明确的定位并很快获得自己想要的资料。
3.2.2将“#”加在数据库名前
目前社会中,很多数据库的管理人员为了预防数据库被下载就在数据库名称前加上了#号,这种方法的使用在于IE浏览器无法对带有特殊符号的文件进行下载的前提下来设置的。但是黑客们使用的并不是常人所使用的浏览器,他们在浏览器中进行一种程序的编写,用某一种编码符号来取代#号,经过黑客的特殊处理之后,这种防御系统就很难保证数据库的安全。
3.2.3对数据库进行加密
在现代社会中常使用的给数据库加密的措施是通过MD5来完成的,因为MD5含有非常特殊的一项功效,那就是没有反推算法,这就使得黑客很难进行密码的破解。除非使用他自己的代码来代替你的密码,但这种形式的操作是很难行得通的。
当然使用MD5加密也有很大的弊端存在,即在它加密之后就必须牢靠的记住密码,密码一旦丢失或者忘记都很难再找回。这种加密方式本身就有其复杂性存在,需要改变以前的所有原始资料并对资料进行重新填写,而且需要经过一个复杂阶段后进行再次的存储。
3.2.4 Access数据库的加密
当然在现代社会中某些管理人员可以采用对Access数据库进行加密设置,实施这样的措施以后,管理人员想即使黑客拥有很好的技术能够对数据库进行攻击并截获数据库的地址,在得不到密码的情况下,黑客也很难下载到数据库的数据和资料。
实际上,这种想法是完全错误的,Access的加密表面上看来是很牢靠的,但实际情况却不尽如人意,它存在着各种各样的漏洞,黑客攻击人员很容易在网上搜索到破解其密码的软件,并且在几分钟之内就可以对数据库的密码进行破解。
3.3 后台入口的隐藏
现代计算机技术的使用过程中,后台管理人员对数据库的维护往往使用不同的维护系统,这就造成了后台管理系统的薄弱。管理人员为使后台管理系统隐藏就要设置个性化的后台管理目录,以防后台页面被扫描出来。管理人员在设置过程中最好使用一些非常规的排列组合的词组形式来进行管理,排列组合的模式越是复杂对于黑客的攻击来说效果越明显。所以在正常后台入口管理工作的进行中,要使用复杂化的名称来代替简单的单词或字符,从而保证后台入口的隐藏。
3.4 管理人员注意的问题
作为服务器的管理工作人员其本质核心的工作内容就是要确保Web服务器的安全,这不仅是影响到各个网络用户信息的安全性,也是他们工作的中心任务,必须对系统漏洞做好修复处理。为避免SQL注入则要对IIS设置出现的各种ASP错误给予提示,主要是 http 500错误,且对数据库用户权限加以调整,这样则能有效防止黑客袭击,将500:100默认提示页面变为C:\WINDOWSHelp\iisHelp\Com-mon\500.htm。
对各个网站设置相应的权限,一般情况下设置最简单的纯脚本模式即可,在关于后台中心文件的管理执行目录中最好将其权限设为“无”,这有助于防止木马的入侵。所有的这些相关工作都是管理人员关注和进行认真管理的问题。
4 结束语
总之,各种数据库的安全工作对现代计算机信息的保护有着至关重要的影响,所以我们必须采用一切可以利用的资源和优势来进行数据库安全工作的建设,保证用户有一个正常的网络运行环境。
参考文献
[1] 吴溥峰,张玉清.数据库安全综述[J].计算机工程,2006,32(12):85-88.
[2] 李社宗,赵海青,马青荣等.数据库安全技术及其应用[J].河南气象,2003(1):36-37.
[3] 于翔,阎宏印等,网络数据库安全初探[J].科技情报开发与经济,2007,10.
[4] 于翔,阎宏印.网络环境下的数据库安全及防范[J].网络安全技术与应用,2007,7.
[5] 朱良根,雷振甲,张玉清.数据库安全技术研究[J].计算机应用研究,2004(9):127-129.
作者简介:
关伟(1976-),湖北仙桃人,硕士研究生;研究方向:数据库技术、网络技术。
陆慧娟,女,浙江东阳人,1986年在中国矿业大学自动化系获学士学位,1995年获浙江大学电子工程系硕土学位,中国计量学院教授,软件与理论研究所所长,计算机系副主任;研究方向:主要从事网络与数据库技术、无线传感器网络、多值逻辑与模糊逻辑、生物信息学等研究。