石家庄科技信息职业学院信息科学系 张健

网络数据库安全研究与应用

石家庄科技信息职业学院信息科学系 张健

随着因特网的扩大、数据库技术的成熟,网络数据库的安全性问题显得日益重要。从外围层的安全和核心层的安全两个方面阐述网络数据库安全性策略和应用。

计算机网络数据库软件管理

在计算机和网络基础设施不断完善的同时,计算机黑客及病毒也在不断的自我壮大,并且以计算机网络数据库为攻击对象。由此可见,计算机网络数据库安全存在的主要问题也就是易受计算机黑客及病毒的攻击。因此,对计算机网络数据库安全的管理就显得尤为重要。而对计算机网络数据库受攻击的防护措施主要由第一道防护线——防火墙,和第二道防护线——入侵监测系统两部分组成。

一、防火墙

防火墙是传统的计算机网络防护措施,目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。防火墙处于5层网络安全体系中的最底层,属于网络数据库软件层安全技术范畴。作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转化2NAT、代理型。

二、入侵检测系统

由于防火墙只防外不防内,并且很容易被绕过,所以仅仅依赖防火墙的计算机系统已经不能对付日益猖獗的入侵行为,对付入侵行为的第二道防线——入侵检测系统就被启用了。入侵检测系统(IDS)即检测企图破坏计算机资源的完整性,真实性和可用性的行为的软件。(Anderson)入侵检测系统执行的主要任务包括:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。入侵检测一般分为三个步骤:信息收集、数据分析、响应。入侵检测的目的:(1)识别入侵者;(2)识别入侵行为;(3)检测和监视以实施的入侵行为;(4)为对抗入侵提供信息,阻止入侵的发生和事态的扩大。

现有的入侵检测系统(IDS)的分类,大都基于信息源和分析方法。为了体现对IDS从布局、采集、分析、响应等各个层次及系统性研究方面的问题,在这里采用五类标准:控制策略、同步技术、信息源、分析方法、响应方式。(1)按照控制策略分类。控制策略描述了IDS的各元素是如何控制的,以及IDS的输入和输出是如何管理的。按照控制策略IDS可以划分为,集中式IDS、部分分布式IDS和全部分布式IDS。(2)按照同步技术分类。按照同步技术划分,IDS划分为间隔批任务处理型IDS和实时连续性IDS。在间隔批任务处理型IDS中,信息源是以文件的形式传给分析器,一次只处理特定时间段内产生的信息,并在入侵发生时将结果反馈给用户。在实时连续型IDS中,事件一发生,信息源就传给分析引擎,并且立刻得到处理和反映。按照信息源分类(3)按照信息源分类。按照信息源分类是目前最通用的划分方法,它分为基于主机的IDS、基于网络的IDS和分布式IDS。基于主机的IDS通过分析来自单个的计算机系统的系统审计踪迹和系统日志来检测攻击。基于主机的IDS是在关键的网段或交换部位通过捕获并分析网络数据包来检测攻击。(4)按照分析方法分类。按照分析方法IDS划分为滥用检测型IDS和异常检测型IDS。滥用检测型的IDS中,首先建立一个对过去各种入侵方法和系统缺陷知识的数据库,当收集到的信息与库中的原型相符合时则报警。任何不符合特定条件的活动将会被认为合法,因此这样的系统虚警率很低。(5)按照响应方式分类。按照响应方式IDS划分为主动响应IDS和被动响应IDS。当特定的入侵被检测到时,主动IDS会采用以下三种响应:收集辅助信息;改变环境以堵住导致入侵发生的漏洞;对攻击者采取行动。被动响应IDS则是将信息提供给系统用户,依靠管理员在这一信息的基础上采取进一步的行动。

三、创建稳定、可靠的服务

网络化势在必行,但不是简单地为要有网络而建网络。建立了网络就要发挥出网络及网络数据库的效率与效益,要能提高管理水平。要开发必要的网络数据应用软件系统,势必带来更深层次的工作模式和管理模式的变革。要发挥网络和网络数据库的效益,必须对全体人员进行必要而且充分的培训,这也应是网络安全计划的重要组成部分。建网工作,不光是计算中心或电算室的工作,而是全体勘测设计人员乃至管理人员的工作,需全体人员共同努力,才能真正发挥网络的作用,才能真正达到建网的根本目的。创建一个稳定、可靠的服务是一个网络数据系统管理员的重要工作。在进行这项工作时网络数据系统管理员必须考虑许多基本要素,其中最重要的就是在设计和开发的各个阶段都要考虑到用户的需求。要和用户进行交流,去发现用户对服务的要求和预期,然后把其它的要求如管理要求等列一个清单,这样的清单只能让系统管理员团队的人看到。在这样一个过程中“是什么”比“怎么样”更重要,否则在具体执行时很容易就会陷入泥潭而失去目标。为了可靠性和安全性,对服务器的访问权限应当进行限制,只有系统管理员才能具有访问权限。总之,对于网络数据库安全的管理主要就是防止黑客及病毒的入侵,而防止黑客机病毒的最好解决办法就是要使用防火墙和入侵检测系统(IDS)相结合,达到内外防治的效果,从而维护计算机网络数据库软件的安全。

[1]王锋波.基于数据开采技术的入侵检测系统.自动化博览2001年8月

[2]张杰.入侵检测系统技术现状及其发展趋势.计算机与通信2002年6月

book=0,ebook=117