關於網路資料庫裡一些商業資料被盜竊後公布於網上;公司商業**的產品**資料又被惡意修改……類似這樣的案例,在網上搜尋了一下,實在不少。其原因只有乙個,就是來自網路上對web資料庫攻擊。那麼,在web環境下的資料庫是否能有足夠的安全為企業服務呢?答案是肯定的。
web資料庫是基於internet/intranet的應用系統,由於互連網開放性和通訊協議的安全缺陷,以及在網路環境中資料儲存和對其訪問與處理的分布性特點,網上傳輸的資料容易受到破壞、竊取、篡改、轉移和丟失。這些危害通常是對網路的攻擊引起的。
到現在,針對web資料庫的應用級入侵已經變得越來越猖獗,如sql注入、跨站點指令碼攻擊和未經授權的使用者訪問等。
所有這些入侵都有可能繞過前台安全系統並對資料庫系統攻擊。如何保證web資料庫的安全性已成為新的課題。
第一關、對使用者安全管理
web資料庫是個極為複雜的系統,因此很難進行正確的配置和安全維護,當然,必須首先要保證的就是資料庫使用者的許可權的安全性。
當使用者通過web方式要對資料庫中的物件(表、檢視、觸發器、儲存過程等)進行操作時,必須通過資料庫訪問的身份認證。多數資料庫系統還有眾所周知的預設賬號和密碼,可支援對資料庫資源的各級訪問。因此,很多重要的資料庫系統很可能受到威協。
使用者訪問許可權是指不同的使用者對於不同的資料物件有不同的操作許可權。訪問許可權由兩個要素組成:資料物件和操作型別。定義乙個使用者的訪問許可權就是要定義這個使用者可以在哪些資料物件上進行哪些型別的操作。
許可權分系統許可權和物件許可權兩種。系統許可權由dba授予某些資料庫使用者,只有得到系統許可權,才能成為資料庫使用者。物件許可權是授予資料庫使用者對某些資料物件進行某些操作的許可權,它既可由dba授權,也可由資料物件的建立者授予。
第二關、定義檢視
為不同的使用者定義不同的檢視,可以限制使用者的訪問範圍。通過檢視機制把需要保密的資料對無權訪問這些資料的使用者隱藏起來,可以對資料庫提供一定程度的安全保護。實際應用中常將檢視機制與授權機制結合起來使用,首先用檢視機制遮蔽一部分保密資料,然後在檢視上進一步進行授權。
第三關、資料加密
資料安全隱患無處不在。一些機密資料庫、商業資料等必須防止它人非法訪問、修改、拷貝。如何保證資料安全?資料加密是應用最廣、成本最低廉而相對最可靠的方法。資料加密是保護資料在儲存和傳遞過程中不被竊取或修改的有效手段。
資料加密系統包括對系統的不同部分要選擇何種加密演算法、需要多高的安全級別、各演算法之間如何協作等因素。在系統的不同部分要綜合考慮執行效率與安全性之間的平衡。因為一般來講安全性總是以犧牲系統效率為代價的。
如果要在internet上的兩個客戶端傳遞安全資料,這就要求客戶端之間可以彼此判斷對方的身份,傳遞的資料必須加密,當資料在傳輸中被更改時可以被發覺。
第四關、事務管理和故障恢復
事務管理和故障恢復主要是對付系統內發生的自然因素故障,保證資料和事務的一致性和完整性。
故障恢復的主要措施是進行日誌記錄和資料複製。在網路資料庫系統中,分布事務首先要分解為多個子事務到各個站點上去執行,各個伺服器之間還必須採取合理的演算法進行分布式併發控制和提交,以保證事務的完整性。
事務執行的每一步結果都記錄在系統日誌檔案中,並且對重要資料進行複製,發生故障時根據日誌檔案利用資料副本準確地完成事務的恢復。
第五關、資料庫備份與恢復
計算機同其他裝置一樣,都可能發生故障。計算機故障的原因多種多樣,包括磁碟故障、電源故障、軟體故障、災害故障以及人為破壞等。一旦發生這種情況,就可能造成資料庫的資料丟失。
因此資料庫系統必須採取必要的措施,以保證發生故障時,可以恢復資料庫。資料庫管理系統的備份和恢復機制就是保證在資料庫系統出故障時,能夠將資料庫系統還原到正常狀態。
加強資料備份非常重要,資料庫擁有很多關鍵的資料,這些資料一旦遭到破壞後果不堪設想,而這往往是入侵者真正關心的東西。不少管理員在這點上作得並不好,不是備份不完全,就是備份不及時。
資料備份需要仔細計畫,制定出乙個策略測試後再去實施,備份計畫也需要不斷地調整。
第六關、審計追蹤機制
審計追蹤機制是指系統設定相應的日誌記錄,特別是對資料更新、刪除、修改的記錄,以便日後查證。日誌記錄的內容可以包括操作人員的名稱、使用的密碼、使用者的ip位址、登入時間、操作內容等。若發現系統的資料遭到破壞,可以根據日誌記錄追究責任,或者從日誌記錄中判斷密碼是否被盜,以便修改密碼,重新分配許可權,確保系統的安全。
第七關、重點在伺服器
web資料庫的三層體系結構中,資料存放在資料庫伺服器中,大部分的事務處理及商業邏輯處理在應用伺服器中進行,由應用伺服器提出對資料庫的操作請求。
理論上,既可以通過web頁面呼叫業務處理程式來訪問資料庫,也可以繞過業務處理程式,使用一些資料庫客戶端工具直接登入資料庫伺服器,訪問操作其中的資料。所以,資料庫伺服器的安全設定至關重要。
用ids(入侵檢測系統)保衛資料庫安全逐步普及,這種安全技術將傳統的網路和作業系統級入侵探測系統(ids)概念應用於資料庫。應用ids提供主動的、針對sql的保護和監視,可以保護預先包裝或自行開發的web應用。
保證Web資料庫安全 認真把好七道關
web資料庫的三層體系結構中,資料存放在資料庫伺服器中,大部分的事務處理及商業邏輯處理在應用伺服器中進行,由應用伺服器提出對資料庫的操作請求。理論上,既可以通過web頁面呼叫業務處理程式來訪問資料庫,也可以 關於網路資料庫裡一些商業資料被盜竊後公布於網上 公司商業 的產品 資料又被惡意修改 類似這樣...
資料庫安全
先分3點從全域性來看 對作業系統的安全需求 防止對dbms的非法訪問和修改,保護儲存的資料 檔案的安全性,對資料庫使用者的認證 對資料庫系統本身的安全需求 使用者認證管理 訪問控制 審計,資料庫的穩定性,保證資料的安全性與完整性,完善的恢復功能,資料加密 對資料庫應用系統的安全需求 訪問控制 認證管...
資料庫安全
先分3點從全域性來看 對作業系統的安全需求 防止對dbms的非法訪問和修改,保護儲存的資料 檔案的安全性,對資料庫使用者的認證 對資料庫系統本身的安全需求 使用者認證管理 訪問控制 審計,資料庫的穩定性,保證資料的安全性與完整性,完善的恢復功能,資料加密 對資料庫應用系統的安全需求 訪問控制 認證管...