数据库系统安全性测试技术研究

2016-12-31邓文艳

数码世界 2016年11期

关键词：数据库系统完整性备份

邓文艳

山西金融职业学院

数据库系统安全性测试技术研究

邓文艳

山西金融职业学院

数据库系统存储着大量的数据信息，其本身的安全性非常重要，一旦存在安全问题，将会带来相应的信息风险，引发数据信息的泄露、丢失或者损坏，因此，需要重视对数据库系统安全性的测试。本文结合数据库系统安全性测试的相关内容，对其测试技术进行了研究和讨论。

数据库系统安全性测试技术

无论是哪一种软件系统的开发，都不可能忽略数据库系统，这是进行数据管理的基础。通过数据库系统的安全性测试，能够帮助技术人员及时发现数据库中存在的漏洞，从而减少信息泄露的风险。

1 数据库系统安全性测试内容

数据库系统的安全性测试，主要是针对系统本身对于非法入侵防范能力的检验，可以对数据库系统内存在的保护机制在遭遇非法入侵时的效果进行测试。数据库安全性测试的内容主要包括三个，一是资源，或者更加直观的说数据库中的数据信息以及应用功能，为了对其进行测试，需要罗列出所有需要进行保护的数据和功能，然后分析其对于数据库用户的价值，找出可能对这些数据和功能进行利用的非法手段；二是风险，即可能造成用户损失的事件。在安全性测试中，同样需要将所有可能发生的风险罗列出来，同时根据风险的诱发因素，将其分为自然风险、人为风险和意外风险，在分析风险发生概率的同时，做好风险危害的预测评估，对于可能引发严重后果的风险必须重点关注；三是安全性控制，换言之，就是针对风险的保护措施，对于所有的风险都应该给出相应的保护措施，尤其需要重点关注人为风险以及误操作带来的风险。

2 数据库系统安全性测试技术

在进行数据库系统的安全性测试时，需要合理把握测试策略。通常来讲，可以从正向和反向两个方面进行分析和考虑。正向是立足系统需求、系统设计以及编码等，对其中可能存在安全隐患的地方信息测试，反向则是从已经明确的缺陷和漏洞出发，寻找软件系统中可能存在的缺陷，构建相应的缺陷威胁模型，利用模型寻找非法入侵点，进行系统漏洞的扫描检测。如果数据库系统对于安全性的要求一般，则可以采用反向测试的策略，如果对于安全性要求较高的系统，则可以综合运用两种测试策略，以正向测试为主，反向测试为辅。

2.1 完整性测试

数据的完整性是保证其应用功能的前提，也是必须重点关注的内容，数据完整性的测试，具体来讲就是在数据库中发现不完整、不准确数据信息的过程，多数情况下都是针对数据存储的方式而言。就目前来看，影响数据库数据存储方式的因素是多种多样的，例如，数据本身的类型、长度等，都可能会造成数据的不完整。在进行数据完整性测试时，可以结合文档或者代码进行审查，分析数据库管理系统是否能够提供实体完整性定义语句、参照完整性定义语句等。同时，应该对数据库是否存在事务机制进行检验，如果存在，则可以在SQL语句处理执行环节出现错误时，通过回滚事务将数据库恢复到之前事务尚未开始的状态，从而保证数据库系统中数据的完整性，也可以实现数据库的并发访问。

2.2 防范性测试

一方面，针对SQL注入攻击的防范测试，需要检验所有涉及SQL语句提交的位置，看是否对用户输入的字符串进行了准确处理，如果必要，也可以模拟SQL注入攻击，对数据库管理系统进行攻击测试，检验管理系统对于攻击的响应情况；另一方面，针对缓冲区溢出攻击的防范测试，主要是看缓冲区是否写入了超出限值长度的内容，导致数据溢出进而破坏程序的堆栈，导致程序放弃执行相应的指令。可以利用相应的攻击工具向数据库服务器端口发送可能导致缓冲器溢出的畸形保温，分析管理系统的响应情况。对于测试人员而言，必须在用户可能输入的地方，进行不同长度数据的输入测试，保证程序能够对用户输入的各种数据进行正确处理，避免数据异常或者数据溢出的情况。

2.3 备份恢复测试

数据库系统一旦遭到黑客或者病毒的攻击，又或者出现硬件问题，可能会导致数据信息的丢失，而想要对丢失的数据进行恢复，就必须保证数据库系统具备良好的备份及恢复功能。如果由于一些意外情况，如硬件故障、网络中断、停电等导致了数据的意外丢失，系统应该能够将数据库恢复到之前没有损坏的状态。

备份恢复测试主要是分析数据库是否提供数据备份方式，管理系统是否提供数据恢复技术。在进行测试的过程中，应该数据库服务器的硬盘或者客户端在备份时是否被恶意拷贝，同时在对数据库版本进行更新后，应该检查原来数据库中的数据是否已经完成备份，确保在备份数据导入时不会出现不兼容的情况。