摘 要 针对数据库的安全防护，目前采用的主流防护技术存在功能配置方式不灵活、不能应变需求等问题。为此，设计了一种适用于不同数据库的自主安全防护系统（DSS）。利用DDS防护技术，可以实现独立于特定数据库的自主安全防护，从而大大提高了数据库安全防护的灵活性和适用性。

关键词 数据库安全；自主安全防护；访问控制；数据库审计

中图分类号：TP309 文献标识码：A 文章编号：1671-7597（2014）06-0030-01

近些年来，随着计算机技术的快速发展，与数据库相关的应用系统的使用也越来越广泛。但是面对日益增多的计算机病毒及黑客的攻击，数据库系统自身的安全性也受到越来越严重的威胁。由于数据库的安全问题而造成的信息泄露、财产损失等事故现象层出不穷。为了提高数据库的安全性，降低其面临威胁的风险，国内外许多公司企业相继开发了相应的数据库安全防护技术。但是，各开发商为了自身的利益，很少会将数据库安全防护技术的内核接口公开。考虑到这些防护技术只是针对特定数据库系统的，因此这在一定程度上限制了数据库安全防护技术的适用范围及其使用的灵活性。用户在使用这种防护系统时，没有自主选择的权利。考虑到目前数据库应用系统正变得越来越复杂，与之相应的对数据库安全防护的功能要求也变得多样，因此有必要设计开发一种新的基于自主防护的数据库安全防护技术。它可以独立灵活的对不同类型的数据库系统进行安全防护，方便有效的提高了用户自主选择的能力。

1 相关安全防护技术介绍

目前，针对数据库的安全防护技术有许多，它们往往是为了应对数据库系统面临的不同威胁而被开发出来的。一般来说，数据库系统主要是受到来自以下几个方面的威胁：①不正确的访问方式造成的数据库系统紊乱、数据错误；②恶意的攻击数据库系统、破坏数据；③非法入侵受权限限制的数据库系统，窃取数据或者非法修改数据；④使用其他方式攻击破坏数据库系统等。

为了应对以上这些威胁方式，人们对数据库系统的安全防护技术进行了大量的研究。通过理论分析及实践检验，逐渐形成了多种针对数据库系统的联合安全防护技术。它们包括：存取管理技术、安全管理技术及数据库加密技术。其中安全管理技术作为数据库安全防护的中心环节，是主要的技术实现途径。它包括访问控制和安全审计两项主要的功能。访问控制技术可以实现外部对数据库的访问权限进行限制，屏蔽对数据库系统的非法访问和入侵。对于访问控制技术的研究，人们提出了信任管理、数字版权管理和使用控制模型等多种方式。而安全审计技术则可以记录和分析数据库内可能发生的异常数据访问现象，并通过报警的形式将情况及时反馈给数据库管理员。对于数据库系统的审计功能，人们分布从其独立性、自我防护能力、全面性和查阅能力等几个方面做了改进提高。

但是上述关于数据库的安全防护技术基本上都是基于特定的数据库应用系统的，用户无法根据自己的需求及数据库系统的特点进行更换。下面本文将提出一种通用的、可进行模块重组的数据库自主安全防护模型。该模型不但能够实现多种数据库系统的安全防护，还可以进行防护模块的重组，增大其使用的灵活性。

2 自主安全防护系统的设计和实现

自主安全防护系统DDS作为一种主动数据库安全防护技术，它可以对数据库的非法访问进行主动拦截，并启动数据库安全报警机制，根据威胁等级将非法操作的相关记录信息反馈给数据库管理员。

1）系统结构。自主安全防护系统DDS在对数据库进行防护时，主要是通过对访问数据库的操作请求进行自动分析并拦截非法请求的方式来进行的。其系统结构的中心部分是Sensor监听器及相关访问控制部件。外界对数据库的操作请求首先要经过Sensor监听器检测，这主要包括对请求权限的判定及其合法性的校验。支撑这一检测过程的基础是数据库安全防护的访问控制策略和审计策略。在完成检测后，DDS还会形成日志记录，以备日后的分析和追查。

作为独立的功能模块，DDS系统还可以通过变换接口的方式与不同的数据库进行联接兼容，从而实现了其对多种数据库系统的安全防护功能。此外，DDS系统还支持可调的访问控制机制，用户可以根据自己的需求及数据库实际面临的威胁来自主设定安全防护策略。因此，这大大提高了数据库安全防护的效率和灵活性。

2）系统实现。DDS系统的功能实现，主要依靠六大部分的协同配合，它们是：系统数据字典设计、数据库登录与管理系统、策略制定、Sensor监听器的实现、访问控制及日志审计。其中Sensor监听器作为系统实现的重要环节，首先由它将用户的防护策略和数据库的登录与管理系统连接起来，对访问数据库的操作进行前期的控制和过滤。同时，在访问控制策略的支持下，DDS还可以对进入数据库系统的操作进行监视和控制。考虑到有些非法访问数据库的行为非常隐蔽，因此DDS系统还可以通过日志审计的方式，对相关行为进行记录并生成日志，以提供给数据库管理员进行分析。此外，Sensor监听器的访问控制模块还可以实现对不同权限的访问控制。它可以根据用户设置的安全防护策略和防护等级，自动组合相应的安全防护模块，对特定的访问操作进行控制。

3 DDS系统的特点

与传统常规的数据库安全防护技术相比，DDS具有不同的特点：①独立性好。DDS没有嵌入数据库系统，不用和数据库系统进行绑定。其自身数据及信息的物理存储是独立于数据库的。同时，为了提高系统的安全性，DDS自身的程序控制语句也与数据库系统不同。而工作时，只需通过数据库映射表将相关控制语句进行映射转换即可；②灵活性与针对性强。DDS防护系统的灵活性很高，在对不同的数据库系统进行防护时，只需通过更换相应的接口进行兼容即可。同时，它还可以针对不同的数据库类型、不同的防护要求和等级进行模块重组，以实现最好的防护效果；③自我保护能力完善。只有数据库的安全管理员和安全审计员才能进入DDS的控制系统，对DDS的防护策略和防护等级进行调整。但他们也只能对数据库的安全防护进行操作，而不能访问数据库中的数据；④完备的信息查阅和报警功能。DDS通过审计控制，可以对访问数据库及操作数据的行为以日志的形式进行监控和记录，以便于日后管理人员的分析和追查。同时，它还能及时将异常及非法的访问行为信息以报警的方式反馈给数据库管理员，以增加防护的效果。

参考文献

[1]朱良根，雷振甲，张玉清.数据库安全技术研究[J].计算机应用研究，2004（09）.

[2]臧劲松.数据库系统安全的研究与分析[J].计算机安全，2008（07）.

[3]徐永青，徐丽珍.数据库系统安全风险及安全策略研究[J].电脑知识与技术，2005（32）.

作者简介

曹琳（1975-），女，山西山阴人，大学本科。endprint