晋泳江

[摘要]现代信息系统的飞速发展是以计算机以及计算机网络系统的飞速发展为标志的。信息化的社会在尽力追逐信息系统的失控功能。计算机、高速网络逐步民用化、商用化、家用化，正因为信息在人类社会活动、经济活动中起着越来越重要的作用，信息的安全就日益成为关系成败的关键要点，日益引发人们越来越深刻的重视。从数据库安全性的基本概念入手，在其安全体系的基础上，针对目前可能存在的威胁，展开对于数据库安全的讨论。

[关键词]数据库 安全 威胁 防范技术

中图分类号：TP3 文献标识码：A 文章编号：1671－7597（2009）0720064－01

一、数据库安全及威胁

一般意义上，数据库的安全定义就是保证数据库信息的保密性、完整性、一致性和可用性。要保证数据库的安全通常依靠以下几种技术：即身份鉴别、标记与访问控制、数据完整性、数据库安全审计、客体重用、可信恢复、隐蔽信道分析、可信路径和推理控制等。

数据库作为信息的重要集中地，一般说来，面临的安全威胁主要有：

1．软件和硬件环境出现意外，如磁盘损坏，系统崩溃等；2．计算机病毒可能造成系统崩溃，进而破坏数据；3．对数据库的不正确访问，引起数据库中数据的错误；4．未经授权非法访问数据库信息，窃取其中的数据；5．未经授权非法修改数据库中的数据，使其数据失去真实性；6．通过网络访问对数据库的攻击等。

二、数据库安全技术

（一）数据加密。数据加密是防止数据泄漏的有效手段。数据加密是就是将明文数据经过一定的交换变成密文数据。与传统的数据加密技术相比较，数据库有其自身的要求和特点，传统的加密以报文为单位，加、脱密都是从头至尾顺序进行。大型数据库管理系统的运行平台一般是Windows NT和Unix，这些操作系统的安全级别通常为C1、C2级。它们具有用户注册、识别用户、任意存取控制（DAC）、审计等安全功能。虽然DBMS在OS的基础上增加了不少安全措施，例如基于权限的访问控制等，但OS和DBMS对数据库文件本身仍然缺乏有效的保护措施，有经验的网上黑客会“绕道而行”，直接利用OS工具窃取或篡改数据库文件内容。这种隐患被称为通向DBMS的“隐秘通道”它所带来的危害一般数据库用户难以觉察。分析和堵塞“隐秘通道”被认为是B2级的安全技术措施。对数据库中的敏感数据进行加密处理，是堵塞这一“隐秘通道”的有效手段。

（二）用户认证与鉴别。此安全机制是对访问的主体进行的，用户认证是指访问时必须向系统提供身份证明，他由用户标识ID和与此对应的密码组成，用户标识必须是惟一的。鉴别是指系统具有检查用户身份证明的功能，通过它来鉴别用户的身份是否合法。用户认证和鉴别是所有安全机制的前提，只有通过它才能进行授权访问、跟踪、审计等。

（三）访问控制技术。访问控制是数据库管理系统内部对已经进入系统的用户的控制，可防止系统安全漏洞。访问控制就是数据库管理系统要控制：数据库能被哪些用户访问；数据库中的数据对象能被哪些用户访问；同一数据对象针对不同用户的访问方式，如读、写、查询等。访问控制主要有：自主访问控制、强制访问控制和基于角色的访问控制。

对于数据库来说，访问用户按权限大致可分为：最终用户、数据库系统管理员、数据库管理员、超级用户。一般的数据库操作人员为最终用户，最终用户只拥有最少的访问权限，只能进行读取或部分写，没有完全写库信息的权限。数据库系统管理员除了拥有一般使用权限外还拥有数据库管理一切的权限，包括任意访问所有一般用户的人和数据、为合法用户授予相应权限、创建各种数据库客体、完成库备份、重组装入、备份数据、审计等工作。至于超级用户，可以进入内核层修改库内容、建立或删除数据库以及维护数据库运行等。明确不同用户的访问要求，按访问需求合理分配权限，限制访问级别，是确保访问数据安全的基本途径。

（四）操作审计。对数据库系统的操作审计就是记录、检查和回顾对系统进行所有相关操作的行为。审计的主要任务是对用户及应用程序使用系统资源，包括软硬件或数据的情况进行记录和审查，一时出现问题，审计人员可以通过审计跟踪，找出问题原因，追查相关责任人，防止问题再度发生，审计过程不可绕过，审计记录也应该得到保护且不能轻易更改。审计作为保证数据库安全的补救措施，可以提高系统的抗否认能力。

数据库系统中审计工作主要是：审查系统资源的安全策略、安全保护措施及故障恢复计划等对系统的各种操作，如访问、查询、修改等，尤其是一些敏感操作，进行记录、分析，对发生的攻击性操作及可能危害系统安全的事件进行检测和审计。审计主要有语句审计、特权审计、模式对象审计和资源审计。

三、数据库安全技术的发展趋势

（一）口令认证系统逐渐向动态口令认证过渡。动态口令认证是非固定口令的认证，用户口令呈现动态变化；此外，作为数字证书载体的智能密码钥匙（USB KEY）也被用于现在数据库安全技术上。

（二）加密算法越来越复杂化。非对称密码技术就是针对对称密码体制的缺陷被提出来的。在公钥加密系统中，加密和解密是相对独立的，加密和解密会使用两“把”不同的密钥，加密密钥（公开密钥）向公众公开，解密密钥（秘密密钥）只有解密人自己知道，非法使用者根据公开的加密密钥无法推算出解密密钥，故也称为公钥密码体制。现在密码研究的重点是对已有的各种密码算法从设计和分析两个角度上进一步深入发展，完善和改进算法的安全性、易用性。传统密码将会在安全性、使用代价、算法实现上有进一步发展。

（三）防火墙技术。应用专用集成电路（ASIC）、FPGA特别是网络处理器（NP）将成为高速防火墙设计的主要方法，除了提高速度外，功能多样化和安全也是防火墙发展的一个趋势。防火墙将与入侵检测技术、攻击防御技术以及VPN技术融合；防火墙的另一个发展趋势是与多个安全产品实现集成化管理和联动，达到立体防御的效果。

（四）物理隔离技术的使用。安全专家认为，联网的计算机是有安全隐患的，物理隔离的思想就是在保证安全的前提下，才互联互通。物理隔离就技术而言，大致可以分为简单隔离技术和网闸技术。

四、结语

安全性问题不是数据库系统所独有的，所有的计算机系统都存在数据安全问题。只是作为数据的仓库数据库，既要保证其共享性，又要保证其安全性，这个问题显得就尤为突出。在安全技术越来越被人们重视的今天，数据库安全技术逐步发展成了数据库技术一个重要的方面。对数据库系统安全性的研究和探讨，也具有很现实的意义。

参考文献：

[1]宋志敏、南相浩，数据库安全的研宪与进展，计算机工程与应用，2001.

[]张元全，数据文件的加密技术，现代计算机，期现代计算机，2007.8.

[3]GA/T，389-2002，计算机信息系统安全等级保护数据库管理系统技术要求.

[4]张建军，浅析数据库管理系统加密技术及其应用[J].甘肃高师学报，2006.