APP下载

基于SSL加密的微博数据库安全的研究

2013-04-29周冰刘芳

电脑知识与技术 2013年8期
关键词:微博数据库

周冰 刘芳

摘要:随着互联网技术的发展,微博给网民带来了信息传播与交往关系的新模式,而随之而来的我们如何保证这些数据和信息的安全显得尤为重要。SSL协议能加密数据以防止数据被窃取,维护数据库的完整性,并确保数据在传输过程中不被改变。

关键词:微博;数据库;SSL

中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2013)08-1743-02

1 概述

随着信息化的深入及手机互联网的飞速发展,社会各项工作已越来越离不开计算机网络与数据库系统。层出不穷的网络产品形态一步步改变人们的生活方式和思维方式。从BBS、电子邮件、即时通讯、博客到当前炙手可热的微博,这种新型社会化媒体给网民带来了信息交流与交往关系的新奇体验。

微博是一个基于用户关系的信息分享、传播以及获取平台,用户可以通过WEB、WAP 和手机客户端登录个人主页,Twitter限定每次发布140 字以内的文字信息到网页和手机等客户端。微博整合了图片、音乐、视频、游戏、投票等功能,目前更是嵌套即时通讯、参与话题、群组讨论等,可以更随时随地与网友分享信息,所有的信息都以在一个平台上瀑布式地呈现。微博通过关注评论、转发、访问、加入微群来拓展新关系和维系已有的旧关系。它的存在使得大家越来越主动、交流越来越频繁、方式也多样化,这些都使用户感受了全新的信息获取、休闲娱乐与交友沟通方式。对促进现有社会资源充分发挥更大的效能、推动社会进度都有着积极的意义。社会的信息数据量急剧增长。而随之而来的我们如何保证这些数据和信息的安全,已经构成了信息社会运作的大动脉。

2 微博数据库安全的重要性

曾经一度骇人听闻的泄密事件层出不穷,数据显示,网站数据外泄事件中种种情况表明,高速发展中的网站都在拼价格、拼服务、等以期获得更大的市场占有率,巨大的数据流量足以让他们的忙得焦头烂额了,并没有多少闲暇时间和精力放在注册用户和信息的安全上。网站自身对用户账户信息保密程度不够重视,再配以内部机制不健全而产生的内部人员监守自盗现象,由此,我们不难想像我们这些信息的安全状况了。

微博凭借着及时性、开放性、交互性、独立性等特点得到用户越来越多的喜爱,随着微博影响力逐步增加,黑客针对微博用户的攻击也会日趋活跃,尤其是专业机构、网络名人、意见领袖等粉丝数量众多的微博帐号,稍有不慎就可能在短时间内造成严重影响。微博每时每刻都有大量的实时消息产生,然而面对成千上万的用户,每天数百万条、千万条的记录,如此海量数据,如何保证你的微博不被黑客盗用、不背着你乱发假消息、发广告、甚至发病毒链接,数据信息安全显得尤为重要。

现实世界的多数敏感数据都存储在商业性数据库系统中,数据库是一个网站的核心,如果数据库出现安全问题,轻则数据泄密,重则数据全毁,很可能会造成无法挽回的损失。这使得数据库越来越成为犯罪分子喜爱的目标,直接导致SQL 注入攻击事件在近年来急剧增长,许多网站无法及时打上应用程序补丁,致使大量的Web 应用程序漏洞暴露在攻击者面前。以前,很多组织机构的安全防护重点集中在保障网络外围和客户端系统的安全上,因此纷纷部署了防火墙、IDS/IPS、反病毒软件等安全设备。但现在,保障自己的数据库免受损害和阻止未授权的变更显然更为重要。

3 解决微博数据库安全问题的方法

下面是能够提供数据整体安全性几种方法,既可以捍卫数据库的安全,又可以用一些关键规范实现合规要求。

3.1 及时发现

我们无法保障将要发生事物的安全性,因此应该对敏感数据有很好的洞察力,包括数据库实例、位于数据库中的敏感数据等,还应该自动化“发现”的恶意程序。一旦存在新的或被修改的应用程序、数据合并及数据获得,敏感数据的位置就会不断地发生变化。SQL 注入攻击除了暴露机密信息以外,还准许攻击者在数据库中嵌入其他的攻击,以便于对付该网站的访问者,所以应及时利用有效的工具及时发现SQL 注入攻击存放到数据库中的恶意行为。

3.2 漏洞评估、实时监视及追踪记录

强化和加固数据库是的首要步骤,一次漏洞评估的结果通常包括一整套特别的建议。加固数据库的其他要素还涉及清除并不使用的所有功能和选项。

要想快速检测入侵和数据滥用,实时的数据库活动监视是限制数据暴露的关键。例如,数据库活动监视能够对账户的特权提升、非授权的数据变更、非正常的访问模式、经由SQL 命令而执行的配置变更等发出警告。

数据库活动监视还是漏洞评估的一个关键组件,因为它准许您超越传统的静态评估,可以包括“行为漏洞”的动态评估。例如,多个共享特权用户的登录凭证或者失败的数据库登录的过多数量等。有些数据库监视技术还提供应用层的监视,准许您检测由多重应用程序所执行而不是直接连接到数据库的欺诈行为。

3.3 变更审核及警告

对于可能影响到安全态势、数据完整性或查看敏感数据的任何数据库活动,都要生成安全的、无争议的审核记录。除了作为合规性要求的关键要素外,拥有精细的审核记录对于取证调查也是极为重要的。

新一代的数据活动监视方案可以提供精细的、独立于数据库管理系统的审核,而且它对数据库系统性能的影响极小,同时又有自动化、集中化的跨数据库策略和审核规则库、过滤和压缩等特性,因而可以减少操作成本。并在发生影响到数据库安全的数据变更时,及时向数据库管理员发出警告。

3.4数字认证、访问控制、权利管理

应围绕数字证书应用,为微博信息中各种业务应用提供信息的真实性、完整性、机密性和不可否认性保证。并非所有的用户和数据都平等,必须验证所有的用户,保障每个用户都有完整的义务,并管理其特权,以限制对数据的访问,还必须强化这些特权,即使对于最有特权的数据库用户也是如此,并需要定期检查权利报告,将其用于正式的审核过程的一部分。

3.5 SSL加密技术

使用加密技术可以让不法之徒无法阅读敏感数据,并且在数据传输中采用加密传输,这样攻击者就无法从数据库的外部获得对数据的未经授权的访问。这包括对传输中的数据进行加密,因而在数据被发送给数据库客户端时,攻击者就无法在网络层实施窃听及获得对数据的访问。这种加密还包括对静态的数据进行加密,即使攻击者能够访问媒体文件也无法获取数据。

为了保护敏感数据在传送过程中的安全,采用SSL安全保密协议,在Web浏览器和Web服务器之间构造安全交换来进行数据传输,SSL提供两个基本的安全服务:鉴别与保密。SSL运行在TCP/IP层之上、应用层之下,为应用程序提供加密数据通道,它采用了RC4、MD5以及RSA等加密算法,使用40 位的密钥,适用于商业信息的加密。HTTPS协议使用SSL在发送方把原始数据进行加密,然后在接受方进行解密,加密和解密需要发送方和接受方通过交换共知的密钥来实现,因此,所传送的数据不容易被网络黑客截获和解密。

网站使用数字签名之后,即可实现 SSL安全登录。当选择“SSL安全登录”后登录微博,用户名和密码会首先加密,然后通过SSL连接在 Internet 上传送,没有人能够读取或访问到利用该连接传送的数据。使用SSL可以对通讯内容进行高强度的加密,从而可以有效防止黑客盗取用户名、密码和通讯内容,保证了微博信息的安全性。

SSL介于应用层和TCP层之间。应用层数据不再直接传递给传输层,而是传递给SSL层,SSL层对从应用层收到的数据进行加密,并增加自己的SSL头。

4 结束语

本文介绍了SSL在数据库及数据传输中的研究,实际表明,在SSL加密环境中,对数据库及数据传输的安全性起到了比较好的效果,具有一定的实际应用价值。

参考文献:

[1] 北京市微博安全管理规定.[2011-12-16].

[2] 李锦星.完全用nosql轻松打造千万级数据量的微博系统[EB/OL].[2012-07-12].http://wenku.baidu.com/view/a770f6878762 caaedd33d4ft/html.

猜你喜欢

微博数据库
数据库
数据库
“985工程”高校图书馆阅读推广的调查与分析
事实与流言的博弈
重大突发事件中微博之力不微
数据库
数据库
数据库
神回复
数据库