web数据库:Web数据库的安全保障疯狂代码ĵ:http:/CrazyCoder.cn/DataBase/Article17442.html 随着Web数据库应用越来越广泛Web数据库安全问题日益突出如何才能保证和加强数据库安全性已成为目前必须要解决问题 数据库系统安全控制模式 Web数据库是数据库技术和Web技术结合其中存在诸多安全隐患如通过网络传输用户名和密码很容易被人窃取用户读取数据可能被截取、篡改等如何保障Web数据库安全运行呢? 建立安全模型 通常安全措施是计算机系统中用户使用数据库应用直到访问后台数据库要经过安全认证过程 当用户访问数据库时首先通过数据库应用进入到数据库系统这时数据库应用将用户提交用户名和口令(口令密文)交给数据库管理系统进行认证在确定其身份合法后才能进入下步操作当要对数据库中对象(表、视图、触发器、存储过程等)进行操作时也必须通过数据库访问身份认证只有通过了数据库身份认证才能对数据库对象进行实际操作 通过身份认证用户只是拥有了进入应用系统和数据库“凭证”但用户在应用系统和数据库中可以进行什么样操作就要依靠“访问控制”和“存取控制”权限分配和约束其中“访问控制”和应用系统相关决定当前用户可以对应用系统中哪些模块、模块中哪些工作流程进行管理;“存取控制”和数据库相关联决定当前用户可以对数据库中哪些对象进行操作以及可以进行何种操作虽然“访问控制”和“存取控制”可以将用户应用系统访问范围最小化数据对象操作权限最低化但是就数据库本身而言利用这种视图、触发器、存储过程等思路方法来保护数据和对些敏感数据“加密存储”也是数据库管理系统提供安全策略 审计追踪和数据备份 目前还没有任何种可行思路方法来彻底解决合法用户在通过身份认证后滥用特权问题但审计追踪仍是保证数据库安全不可缺道重要防线 审计是种监视措施跟踪记录有关数据访问活动审计追踪把用户对数据库所有操作自动记录下来存放在审计日志中(AuditLog)记录内容般包括:操作类型(如修改、查询、删除)操作终端标识和操作者标识操作日期和时间操作所涉及到相关数据(如基本表、视图、记录、属性等)数据库前象和后象等利用这些信息可以进步找出非法存取数据库人、时间和内容等 数据库管理系统往往都将其作为可选特征允许相应操作语句可灵活打开或关闭审计功能 数据库备份恢复策略 计算机同其他设备样都可能发生故障计算机故障原因多种多样包括磁盘故障、电源故障、软件Software故障、灾害故障以及人为破坏等旦发生这种情况就可能造成数据库丢失因此数据库系统必须采取必要措施以保证发生故障时可以恢复数据库数据库系统管理系统备份和恢复机制就是保证在数据库系统出故障时能够将数据库系统还原到正常状态 数据备份(建立冗余数据)是指定期或不定期地对数据库进行复制可以将数据复制到本地机制上也可以复制到其他机器上恢复思路方法通常是可以利用利用备份技术、事务日志技术、镜像技术完成[Page] 视图机制和数据加密 为区别用户定义区别视图可以限制各个用户访问范围通过视图机制把要保护数据对无权存取这些数据用户隐藏起来从而自动地对数据库提供定程度安全保护但是视图机制安全性保护不太精细往往不能达到应用系统要求其主要功能在于提供了数据库逻辑独立性在实际应用中通常将视图机制和授权机制结合起来使用首先用视图机制屏蔽部分保密数据然后在视图机制上进步定义存取权限 数据加密(DataEncryption)是防止数据库中数据存储和传输中失密有效手段加密基本思想是根据定算法将原始数据(明文plaext)加密成为不可直接识别格式(密文ciphertext)数据以密文方式存储和传播 Web数据库安全威胁涉及许多方面是个全局性问题而且黑客攻击手段和思路方法不断翻新因此要根据企业实际需求综合考虑各种技术构建个有机结合体 同时也要清醒地认识到个很好安全解决方案不仅是纯粹技术问题而且还需要法律、管理、社会原因配合 常见Web数据库安全技术 用户标识和鉴别: 用户标识和鉴定思路方法有多种为了获得更强安全性通常是多种思路方法并用系统通过核对口令来判别用户真伪这种思路方法简单易行但是也是个不安全思路方法不能抵御口令猜测攻击;另外攻击者可能窃听通信信道或进行网络窥探(snfer)口令明文传输使得攻击者只要能在口令传输过程中获得口令系统就会被攻破口令以明文形式在通信信道上传输容易被窃取因此人们通常采用更复杂思路方法--口令加密口令以密文形式在通信信道上传输 智能卡技术: 智能卡由微处理器、存储器、输入输出设备组成其中微处理器可计算该卡个序列号(ID)和其他数据加密形式ID保证智能卡真实性持卡人就能访问系统在使用智能卡时为了安全起见许多系统要卡和身份识别码(PIN)同时使用2者缺不可 使用智能卡进行身份认证优点:智能卡提供是硬件保护措施和加密算法较传统口令鉴别思路方法更好安全性能增加;缺点:携带不方便且开户费用较高 主体特征鉴别: 主体认证技术以人体唯、可靠、稳定生物特征(如指纹、虹膜、脸部、掌纹等)为依据采用计算机强大网络功能和网络技术进行图像处理和模式识别 主体特征鉴别技术优点:安全性、可靠性和有效性和传身份认证手段相比产生了质飞跃适合安全级别较高场所;缺点:生物特征信息采集、认证装备成本较高人身特征识别软件Software识别率有待提高2009-2-123:31:15疯狂代码