數(shù)據(jù)庫(kù)系統(tǒng)各部分的安全防護(hù)策略,計(jì)算機(jī)應(yīng)用技術(shù)論文

數(shù)據(jù)庫(kù)系統(tǒng)各部分的安全防護(hù)策略,計(jì)算機(jī)應(yīng)用技術(shù)論文內(nèi)容摘要：隨著國(guó)民經(jīng)濟(jì)的飛速發(fā)展,信息管理系統(tǒng)在各行各業(yè)的應(yīng)用不斷融合深化,但伴隨而來(lái)的安全風(fēng)險(xiǎn)也在持續(xù)增加。數(shù)據(jù)庫(kù)系統(tǒng)作為信息管理系統(tǒng)的核心部分,它的安全直接關(guān)系到整個(gè)信息管理系統(tǒng)的安全。因而,對(duì)于數(shù)據(jù)庫(kù)系統(tǒng)的安全防護(hù)就顯得十分重要。本文關(guān)鍵詞語(yǔ)：數(shù)據(jù)庫(kù)系統(tǒng);安全防護(hù);信息管理系統(tǒng);TalkingabouttheSafetyProtectionofDatabaseSystemYangFengjiaGuizhouVocationalTechnologyCollegeofElectronicsandInformationAbstract：Withtherapiddevelopmentofthenationaleconomy,theapplicationofinformationmanagementsysteminallwalksoflifecontinuestointegrateanddeepen,butthesecurityrisksassociatedwithithavealsocontinuedtoincrease.Asthecorepartoftheinformationmanagementsystem,thesecurityofthedatabasesystemisdirectlyrelatedtothesecurityofthewholeinformationmanagementsystem.Therefore,thesecurityprotectionofdatabasesystemisparticularlyimportant.0引言隨著國(guó)民經(jīng)濟(jì)的飛速發(fā)展,信息管理系統(tǒng)在各行各業(yè)的應(yīng)用不斷融合深化,但伴隨而來(lái)的安全風(fēng)險(xiǎn)也在持續(xù)增加。黑客攻擊、系統(tǒng)漏洞等行為造成信息泄露而產(chǎn)生經(jīng)濟(jì)損失的案例比比皆是。因而對(duì)信息管理系統(tǒng),十分是其核心組成部分?jǐn)?shù)據(jù)庫(kù)系統(tǒng)的安全防護(hù)就顯得十分重要。根據(jù)Gartner公司發(fā)布的(2021全球數(shù)據(jù)庫(kù)安全市場(chǎng)趨勢(shì)報(bào)告〕顯示,當(dāng)今用戶面臨最常見(jiàn)的數(shù)據(jù)庫(kù)安全威脅主要有:SQL注入攻擊、緩沖區(qū)溢出、默認(rèn)口令或弱口令、配置錯(cuò)誤、用戶賬戶泄露、數(shù)據(jù)駐留等。對(duì)于以上的安全威脅,用戶應(yīng)采取相應(yīng)的措施對(duì)數(shù)據(jù)庫(kù)系統(tǒng)各部分進(jìn)行安全防護(hù)。1物理設(shè)備安全物理設(shè)備是數(shù)據(jù)庫(kù)系統(tǒng)運(yùn)行的物理平臺(tái),對(duì)物理設(shè)備的安全防護(hù)主要是為了盡量避免因不可抗因素導(dǎo)致的數(shù)據(jù)信息損壞或丟失,其防護(hù)手段主要有:(1)對(duì)物理設(shè)備所處的運(yùn)行環(huán)境要進(jìn)行防水、防火、防雷擊、防靜電等處理;供電線路要配備UPS、過(guò)電壓防護(hù)裝置等,確保數(shù)據(jù)庫(kù)服務(wù)器不會(huì)由于某些不可預(yù)測(cè)因素造成物理主機(jī)損毀。(2)根據(jù)所存數(shù)據(jù)的重要程度,對(duì)數(shù)據(jù)庫(kù)服務(wù)器設(shè)置好對(duì)應(yīng)級(jí)別的磁盤(pán)陣列;并對(duì)數(shù)據(jù)進(jìn)行異地備份,防止由于磁盤(pán)物理?yè)p壞或主機(jī)損毀造成的數(shù)據(jù)丟失。2操作系統(tǒng)安全操作系統(tǒng)是整個(gè)數(shù)據(jù)庫(kù)系統(tǒng)運(yùn)行的軟件平臺(tái),它作為系統(tǒng)軟件,管理數(shù)據(jù)庫(kù)服務(wù)器的所有軟硬件資源,提供其他軟件程序與硬件環(huán)境交互的通道。因而,對(duì)操作系統(tǒng)的安全防護(hù)直接關(guān)系到整個(gè)數(shù)據(jù)庫(kù)系統(tǒng)的穩(wěn)固,其防護(hù)手段主要有:(1)安裝正版操作系統(tǒng),并及時(shí)進(jìn)行補(bǔ)丁程序的升級(jí),確保系統(tǒng)處于最新的版本。(2)要對(duì)操作系統(tǒng)用戶賬戶進(jìn)行合理管理,停用來(lái)賓賬戶,刪除多余不用的用戶賬戶;對(duì)默認(rèn)系統(tǒng)管理員賬戶進(jìn)行改名,不要經(jīng)常使用系統(tǒng)管理員賬戶登錄系統(tǒng)。(3)對(duì)所有用戶啟用密碼策略,并設(shè)置好密碼策略的相關(guān)功能;要對(duì)系統(tǒng)管理員賬戶設(shè)置復(fù)雜密碼,并定期更換密碼;設(shè)置好賬戶鎖定策略,當(dāng)用戶屢次登錄系統(tǒng)失敗后,系統(tǒng)能進(jìn)行登錄失敗處理。(4)設(shè)置分享文件的訪問(wèn)權(quán)限,避免任何用戶都能訪問(wèn)分享文件;根據(jù)用戶角色進(jìn)行權(quán)限分配,并且僅授予用戶所需的最小權(quán)限。(5)操作系統(tǒng)中僅安裝提供服務(wù)所需要的必要軟件,禁止安裝不必要的軟件,堅(jiān)持最少應(yīng)用程序安裝原則。(6)設(shè)置安全策略,保證系統(tǒng)用戶的鑒別信息、系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)等資源所在的存儲(chǔ)空間在被釋放或重新分配給其他用戶前得到完全去除。(7)開(kāi)啟系統(tǒng)安全審計(jì)功能,安裝殺毒軟件、啟用系統(tǒng)自帶防火墻或安裝第三方專業(yè)防火墻。3數(shù)據(jù)庫(kù)管理系統(tǒng)安全數(shù)據(jù)庫(kù)管理系統(tǒng)是數(shù)據(jù)庫(kù)系統(tǒng)的核心組成部分,主要完成對(duì)數(shù)據(jù)庫(kù)的操縱與管理功能,實(shí)現(xiàn)數(shù)據(jù)庫(kù)對(duì)象的開(kāi)創(chuàng)建立、數(shù)據(jù)庫(kù)存儲(chǔ)數(shù)據(jù)的查詢、添加、修改與刪除操作和數(shù)據(jù)庫(kù)的用戶管理、權(quán)限管理等。它的安全直接關(guān)系到整個(gè)數(shù)據(jù)庫(kù)系統(tǒng)的安全,其防護(hù)手段主要有:(1)使用正版數(shù)據(jù)庫(kù)管理系統(tǒng)并及時(shí)安裝相關(guān)補(bǔ)丁。(2)做好用戶賬戶管理,禁用默認(rèn)超級(jí)管理員賬戶或者為超級(jí)管理員賬戶設(shè)置復(fù)雜密碼;為應(yīng)用程序分別分配專用賬戶進(jìn)行訪問(wèn);設(shè)置用戶登錄時(shí)間及登錄失敗次數(shù)限制,防止暴力破解用戶密碼。(3)分配用戶訪問(wèn)權(quán)限時(shí),堅(jiān)持最小權(quán)限分配原則,并限制用戶只能訪問(wèn)特定數(shù)據(jù)庫(kù),不能同時(shí)訪問(wèn)其他數(shù)據(jù)庫(kù)。(4)修改數(shù)據(jù)庫(kù)默認(rèn)訪問(wèn)端口,使用防火墻屏蔽掉對(duì)外開(kāi)放的其他端口,禁止一切外部的端口探測(cè)行為。(5)對(duì)數(shù)據(jù)庫(kù)內(nèi)存儲(chǔ)的重要數(shù)據(jù)、敏感數(shù)據(jù)進(jìn)行加密存儲(chǔ),防止數(shù)據(jù)庫(kù)備份或數(shù)據(jù)文件被盜而造成數(shù)據(jù)泄露。(6)設(shè)置好數(shù)據(jù)庫(kù)的備份策略,保證數(shù)據(jù)庫(kù)被毀壞后能迅速恢復(fù)。(7)對(duì)數(shù)據(jù)庫(kù)內(nèi)的系統(tǒng)存儲(chǔ)經(jīng)過(guò)進(jìn)行合理管理,禁用掉不必要的存儲(chǔ)經(jīng)過(guò),防止利用存儲(chǔ)經(jīng)過(guò)進(jìn)行數(shù)據(jù)庫(kù)探測(cè)與攻擊。(8)啟用數(shù)據(jù)庫(kù)審核功能,對(duì)數(shù)據(jù)庫(kù)進(jìn)行全面的事件跟蹤和日志記錄。4應(yīng)用程序安全應(yīng)用程序是訪問(wèn)數(shù)據(jù)庫(kù)的主要途徑,也是數(shù)據(jù)庫(kù)安全風(fēng)險(xiǎn)的直接來(lái)源。因而在應(yīng)用程序的開(kāi)發(fā)經(jīng)過(guò)中,就應(yīng)該參加對(duì)數(shù)據(jù)庫(kù)訪問(wèn)的安全措施,其主要防護(hù)手段有:(1)對(duì)應(yīng)用程序連接數(shù)據(jù)庫(kù)的連接字段或連接文件進(jìn)行加密訪問(wèn),防止因代碼泄露而產(chǎn)生的數(shù)據(jù)庫(kù)安全風(fēng)險(xiǎn)。(2)應(yīng)用程序?qū)?shù)據(jù)庫(kù)內(nèi)的重要數(shù)據(jù)和敏感數(shù)據(jù)進(jìn)行讀寫(xiě)時(shí),應(yīng)進(jìn)行加密處理,防止這些數(shù)據(jù)因網(wǎng)絡(luò)攻擊而造成泄漏。(3)應(yīng)用程序上線前,利用第三方工具對(duì)應(yīng)用程序進(jìn)行漏洞掃描,并及時(shí)通過(guò)修改代碼來(lái)防止類似SQL注入攻擊等安全攻擊的毀壞。5數(shù)據(jù)庫(kù)管理員安全數(shù)據(jù)庫(kù)管理員是數(shù)據(jù)庫(kù)系統(tǒng)的管理人員,他的主要目的是保證數(shù)據(jù)庫(kù)系統(tǒng)穩(wěn)定、安全、高效的運(yùn)行。數(shù)據(jù)庫(kù)管理員是整個(gè)數(shù)據(jù)庫(kù)系統(tǒng)安全的第一責(zé)任人,因而對(duì)他的防護(hù)手段主要具體表現(xiàn)出在:(1)對(duì)數(shù)據(jù)庫(kù)管理員應(yīng)定期進(jìn)行職業(yè)道德和專業(yè)技能的培訓(xùn),使他們能遵守相關(guān)法律、愛(ài)崗敬業(yè)、技術(shù)過(guò)硬并嚴(yán)格保守所管理系統(tǒng)的機(jī)密。(2)制定全面嚴(yán)格的數(shù)據(jù)庫(kù)系統(tǒng)管理規(guī)定,從制度上規(guī)范數(shù)據(jù)庫(kù)管理員的行為,防止由于內(nèi)部人為因素導(dǎo)致的數(shù)據(jù)庫(kù)系統(tǒng)安全風(fēng)險(xiǎn)的產(chǎn)生。(3)數(shù)據(jù)庫(kù)管理員離任后,應(yīng)及時(shí)禁用相關(guān)訪問(wèn)用戶,修改其能牽涉到的系統(tǒng)訪問(wèn)密碼、取消其訪問(wèn)權(quán)限,最大限度地降低數(shù)據(jù)庫(kù)管理員離任后帶來(lái)的安全風(fēng)險(xiǎn)。6網(wǎng)絡(luò)訪問(wèn)安全數(shù)據(jù)庫(kù)的主要特點(diǎn)是數(shù)據(jù)訪問(wèn)分享。而要實(shí)現(xiàn)真正的分享,則必須通過(guò)網(wǎng)絡(luò)提供訪問(wèn)服務(wù)來(lái)實(shí)現(xiàn)。網(wǎng)絡(luò)訪問(wèn)的安全對(duì)于數(shù)據(jù)庫(kù)系統(tǒng)安全來(lái)講是一個(gè)需要著重關(guān)注的問(wèn)題。網(wǎng)絡(luò)訪問(wèn)安全的防護(hù)手段主要有:(1)全面規(guī)劃網(wǎng)絡(luò)拓?fù)錁?gòu)造,合理劃分內(nèi)外網(wǎng)區(qū)域。在網(wǎng)絡(luò)邊界部署網(wǎng)絡(luò)安全設(shè)備,將數(shù)據(jù)庫(kù)服務(wù)器放置在內(nèi)網(wǎng)安全區(qū)內(nèi),避免數(shù)據(jù)庫(kù)服務(wù)器直接與外部網(wǎng)絡(luò)連接;對(duì)于數(shù)據(jù)庫(kù)服務(wù)器的訪問(wèn)要進(jìn)行路由控制,建立安全訪問(wèn)途徑。(2)在網(wǎng)絡(luò)邊界部署物理防火墻,合理設(shè)置訪問(wèn)策略,關(guān)閉不需要使用的訪問(wèn)端口,防備諸如SQL注入攻擊、XSS跨站腳本攻擊、拒絕服務(wù)攻擊、網(wǎng)絡(luò)嗅探等惡意攻擊行為。(3)部署入侵檢測(cè)設(shè)備,通過(guò)入侵檢測(cè)設(shè)備自動(dòng)收集和分析網(wǎng)絡(luò)訪問(wèn)行為、安全訪問(wèn)日志、審計(jì)數(shù)據(jù)及其他訪問(wèn)信息等,綜合判定網(wǎng)絡(luò)中能否存在惡意的攻擊行為,及時(shí)對(duì)入侵進(jìn)行攔截和響應(yīng),實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保衛(wèi)。(4)部署網(wǎng)絡(luò)防病毒設(shè)備,并及時(shí)升級(jí)病毒庫(kù),保證病毒不在內(nèi)網(wǎng)內(nèi)發(fā)作、感染和傳播。(5)定期對(duì)網(wǎng)絡(luò)進(jìn)行漏洞掃描,及時(shí)發(fā)現(xiàn)安全漏洞,客觀評(píng)價(jià)網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí),積極修補(bǔ)安全漏洞,提高網(wǎng)絡(luò)系統(tǒng)的安全等級(jí)。(6)對(duì)安全設(shè)備啟用訪問(wèn)控制功能,限制網(wǎng)絡(luò)設(shè)備的最大流量及連接數(shù),對(duì)一定時(shí)間內(nèi)的非活潑踴躍會(huì)話應(yīng)終止網(wǎng)絡(luò)連接。(7)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行防護(hù),登錄網(wǎng)絡(luò)設(shè)備要進(jìn)行用戶身份驗(yàn)證;對(duì)登錄網(wǎng)絡(luò)設(shè)備的地址要進(jìn)行限制;設(shè)備登錄口令要知足復(fù)雜度要求并定期更換;網(wǎng)絡(luò)設(shè)備登錄失敗時(shí)要采取結(jié)束會(huì)話、限制登錄次數(shù)或登錄超時(shí)自動(dòng)退出等手段,防止進(jìn)行密碼試探。(8)網(wǎng)絡(luò)設(shè)備開(kāi)啟安全設(shè)計(jì)功能,記錄安全設(shè)備運(yùn)行的狀況、網(wǎng)絡(luò)流量及用戶行為等信息,當(dāng)網(wǎng)絡(luò)設(shè)備出現(xiàn)故障時(shí),能夠利用記錄的日志信息,分析故障原因,定位故障點(diǎn),及時(shí)恢復(fù)網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行。7結(jié)論數(shù)據(jù)庫(kù)系統(tǒng)安全是一個(gè)復(fù)雜的工程,牽涉的范圍很廣,所以必須采用全方位多層次立體的安全防護(hù)手段才能到達(dá)