数据库安全深度防护模型的设计和实现
2016-10-21李晓田
摘 要 随着数据安全功能开放程度与数据库应用复杂度的提升,不但数据库自身会产生很多的数据库系统安全问题。所以,应该通过多样化维度监控、检测分析数据库和应用安全特性等方式进行系统的维护,这样,将一个数据库安全保护的深度防护模型提了出来。在此模型设计基础上,将框架和工作原理制定了出来。
【关键词】数据库 安全深度 防护模型 设计与实现
1 安全检测数据库运行环境
1.1 内容分析
对于这样几方面,数据库运行环境安全防护工作都需要进行着重的分析:服务器安全、物理环境安全、网路环境安全和数据库本身安全。
一些重要的DBMS所给出的安全防护措施能够通过数据库本身来防护,所以,将数据库本身的安全抛出以外,剩余的部分被称为安全运行环境。
日常安全管理、硬件环境和软件环境等方面的内容是数据库周边安全问题所包含的主要内容,利用自动化测试工具无法或者难以发现这些问题。但是,实际运行中,泄漏和破坏数据库问题都是由于周围问题没有被有效处理所导致的。
1.2 检测对策
因为数据库会在多样性、复杂性的环境中运行,所以,在检查的时候很难通过自动手段来完成。因此,在研究数据库运行环境时不妨通过问卷调查的手段。有效的评估出其中可能存在的风险,在对各个问题进行打分时,可以应用缺陷评估模型CVSS。进而将被测数据库环境的安全状态可以定量的进行分析。利用此种方法,可以量化处理数据库运行环境中潜在的风险。对各个问题的风险等级进行打分,从而能够综合的评价分析运行环境的安全系数。
2 检测数据安全特性
2.1 内容分析
在事前检测数据库安全特性时,主要是检测数据库自身,在加固数据库本身时,首先应该准确的划分数据库的安全缺陷,在划分数据库自身的缺陷时,我们可以从横向和纵向两个方面入手。
2.2 方法分析
在进行安全特性自动化检测时,应该坚持从外到内的次序,此顺序是与数据库以外的逻辑层次相对的,因此,我们需要将一个自动化检测的分层模型构造出来:首先,扫描端口。主要是将相同网段里面的數据库服务找出来,数据库的不同,都会将一个服务监听特定端口开通出来。其次,渗透检测。在不明确数据库账号信息的基础上应用这种方法,通过猜测数据库的版本信息,将其中隐藏的漏洞找出来,之后利用先前弄好的脚本,攻击其中可能存在的数据,然互将数据内部潜在的安全隐患找出来。但是,必需要确保没有损坏存在于这种攻击中,防止将不必要的损害带给数据库。所有可能伤害到数据库的测试脚本,在数据库的副本上都应该进行相应的测试,对所有的数据在测试前都要进行合理的备份。再次,内部审计。当管理员权限被获取出来后,在数据库中进行登录,然后对数据库的配置参数在数据的内部完成相应的安全检测,此部分检测很少会伤害到数据库,主要是看是否有安全隐患存在于配置项中但是应该注意。在检测此部分时,将DBA权限必须要获取出来,在将该权限拿到手之后,就可以进行相应的操作,这样测试自身就会将一些安全隐患带给数据库。
3 审计数据安全日志
3.1 内容分析
我们可以将图1给出的日志信息作为研究的对象,通过分析这三种类型的日志,对于数据本身的安全性,用户们能够轻松的进行了解,掌握数据库的访问状态。
3.2 方法分析
解析效率问题是审计日志时所需要解决的一个重要问题。非结构化、海量的信息是现存日志信息的主要特点,所以,出于考虑其中的检查效率,首先应该进行结构化处理。通常利用这些方法对非结构化数据进行处理;其一,逐行的解析数据文件,然后向着数据库中加载这些被解析完的数据,这样就能够通过SQL将数据库中的内容快速的分析和查询出来,此种方法的优点是:通过SQL乬能够非常轻松的分析和查询数据,同时,还将索引等方式在数据表上构建起来,然后将查询效率提升,但是,也有一个严重的缺陷存在于这种方法中:在向数据库中加载解析完的日志文件时,IO读写操作需要被大量的应用,因为一般由上百万行的数量级存在于日志文件中,所以,需要通过花费大量的时间才能够将数据加载完毕。
4 结语
本文通过探究,在DBMS的基础上,使有关的支持工具成为了现实,将一个系统完善的数据库安全检测系统构建了起来,在自动化方法的基础上,将测试成本减少了,更重要是的将测试的效率有效的提升了上来。
参考文献
[1]刘欣,沈昌祥.多级数据库安全模型研究[A].第十九次全国计算机安全学术交流会论文集[C].2004.
[2]罗华钧,孙长军.现代数据库安全概述[A].2007通信理论与技术新发展——第十二届全国青年通信学术会议论文集(上册)[C].2007.
[3]李丽萍,杨寅春,何守才,蒋川群.数据库安全中审计的设计与实现[A].第二十二届中国数据库学术会议论文集(技术报告篇)[C].2005.
[4]张剡,夏辉,柏文阳.数据库安全模型的研究[A].第二十一届中国数据库学术会议论文集(技术报告篇)[C].2011.
作者简介
李晓田(1972-),男,福建省南平市建阳区人。大学本科学历。现为92403部队51分队高级工程师。研究方向为信息工程。
作者单位
92403部队51分队 福建省福州市 350007
