浅谈数据库应用系统防护

摘 要：随着数据库的应用系统与网络的飞速发展，网络数据库应用系统进入到了各个领域，与此同时数据库也产生了各种安全问题。

关键词：数据库 数据库安全

数据库系统是信息的核心载体，也是计算机信息系统的核心部件，单位企业的核心信息如：财务信息、人事信息、远期规划等都保存在数据库服务器中，它们都是单位企业极为重要的资料，目前数据库的数量和规模越来越大，一旦泄漏或者损坏，造成的破坏是巨大的。各种应用系统的数据库中大量数据的安全，便成了急需解决的的首要问题。

目前单位企业内部数据库应用的普遍架构，它对外提供Web服务，并接入外网，有自己的虚拟专用网接入，内部有自己的各类应用系统，我们可以看到数据库是处于各类应用系统的核心。

数据库系统的安全与系统管理人员素质有关，还与外部网络环境、搭建的平台环境、本身内部的安全机制等因素有关，本文从以下三个方面探讨。

一、网络系统方面安全防护

Interne网的飞速发展和普及，人们已经习惯于从网上获取有用信息，大量公司将业务重心转移到互联网，基于网络的数据库应用系统大量出现，现在我们可以足不出户，在网上就可完成东西的买卖。数据库应用系统如果要为社会大众提供相应服务，自然就离不开网络，数据库要安全那么网络就得安全，外部入侵是从网络开始的，而且这些攻击往往伪装在大量正常的网络访问，隐蔽性强，更加危险和复杂。

网络的安全防范技术有很多种，如：防火墙技术、入侵检测技术、入侵防御技术等。

（1）防火墙技术。防火墙是位于两个或多个网络间，实施网络间访问控制的一组功能组件的集合。作为系统的第一道防线，其作用是就是在网络之间建立一个安全控制点，可在内部与外部网络之间形成一道防护屏障，拒绝或重新定向经过防火墙的数据流，实现对进出内部网络服务和访问的审计及控制，防火墙无法动态地调整规则，只能根据已有的规则来判断是否拦截信息流的进出，因而其智能化程度是有限的[2]。

（2）入侵检测技术。入侵检测系统是一种对网络传输进行即时监视，从计算机系统和网络中收集信息并分析，判断是否有违反安全策略的行为和遭受袭击的迹象，在发现可疑传输时发出警报或者采取主动反应措施，它是一种积极主动地的安全防护技术。入侵检测效果很大程度上依赖于收集信息的可靠性和正确性。收集的信息包括系统日志、网络数据、系统调用。入侵检测系统已成为安全防御系统的重要组成部分。

（3）入侵防御技术。入侵防御系统部署在数据转发路径上的，根据预先设定的安全策略，检测流经的数据流量，对流经的每个报文进行深度感知，识别潜在的非法行为，如果一旦发现网络攻击，可以根据该攻击的威胁级别当即采取相应抵御措施，如：切断此次TCP连接；切断此次应用会话；丢弃该报文；向管理人员警告，那么我们可以在数据库和应用服务器之间部署一台专业的数据库入侵防御系统（如：Imperva）来保证数据库的安全。

二、操作系统方面安全防护

操作系统是大型数据库系统安全运行的基础平台，目前最普遍的平台是Windows NT，Unix，及linux，操作系统有身份鉴别、访问控制、加密机制等安全机制。

身份鉴别是大多数保护机制的基础，为应用系统验证用户登录系统的合法性，以便对用户相应的访问授权，是防止主动攻击的一种重要技术，那么我们首先得拥有操作系统授权用户进入操作系统后，才能对数据库系统进行管理，身份认证技术可分为：基于密码算法的身份认证和非密码身份认证。

访问控制是操作系统安全控制保护中重要的一环，在身份识别的基础上，对用户进行识别，并对用户访问权限加以控制。

加密机制是通过加密算法将数据明文转变为密文，必须拥有密钥才能解读，从而起到保护信息安全的作用。

三、数据库管理系统方面安全防护

数据库管理系统的安全功能也决定着数据库系统的安全。我们目前市场主要使用的数据库是关系式数据库管理系统，但是它的安全模块很弱，这给数据库系统的安全带来一定隐患。

在操作系统中，数据库系统是以文件形式存在的，攻击者可以利用专有工具来篡改、伪造数据库文件，或利用操作系统漏洞，轻松地绕过数据库管理系统，窃取数据库文件。

数据库管理系统需要解决这一问题，即当网络和操作系统有可能被攻破的情况下，也能保障数据库数据的安全，除数据库管理系统本身得有强大的安全机制。数据库管理系统必须对数据库文件进行充分的加密处理，即使数据泄露，也不会被阅读和破译。

上文只是对数据库系统安全防护进行了综述，提到了数据库系统的安全体系的三个方面，并对三个方面只进行了简要的描述。虽然各方面的重点和使用的技术手段各异，总的来说就是希望我们信息的核心载体数据库更加安全。