- 相關推薦
數據庫系統的安全管理論文
摘要:本文主要探討數據庫安全管理的訪問控制模型,通過分析改造數據庫實現數據庫安全,并對數據庫中間件(DBSAPI)進行了一些有益的探討。數據庫管理系統(Database Management System)是一種操縱和管理數據庫的大型軟件,主要用于建立、使用和維護數據庫。它對數據庫進行統一的管理和控制并保證數據庫的安全性和完整性。對數據庫系統進行安全評估有兩種方式:專家評估和系統評估工具。專家評估與系統評估工具比較,有許多優點,隨時隨地可以進行,專家的聰明才智和經驗也可以充分發揮。數據庫系統的定期安全評估則更多采用系統評估工具,如Nessus、NMAP等評估工具。由于系統不斷變化的特點,當系統狀態發生了變化,如一些新用戶的增加,用戶權限的修改,這時系統很可能出現新的安全隱患。專家對系統的安全評估是針對系統被評估時的狀態,而請專家定期評估,一是成本高,二是勞動強度大。但在系統狀態發生變化后,系統安全評估工具則可以重新對系統進行評估。
關鍵詞:關鍵詞:數據庫管理系統數據庫安全模型安全性數據庫安全數據庫中間件(DBSAPI)
中圖分類號:TP393.08 文獻標識碼:A 文章編號:
1.訪問控制模型
訪問控制模型是從訪問控制的角度描述安全系統并建立安全模型的方法。主體依據某些控制策略或權限對客體本身或資源進行的不同授權訪問,稱為訪問控制,訪問控制的三要素為主體、客體和控制策略,它的內容則包括認證、控制策略實現和審計。目前,訪問控制模型可分為自主訪問控制(Discretionary
Access Control)、強制訪問控制(Mandatory Access control)和基于角色的訪問控制(Role Based Access
Control)。
自主訪問控制模型(DAC)的特點是:允許合法用戶以用戶或用戶組的身份訪問規定的客體并阻止非授權用戶訪問客體。DAC的主要表現形式為目錄式訪問控制、訪問控制表、訪問控制矩陣和面向過程的訪問控制。DAC的優點是簡單易操作,缺點是安全性較低。這是由DAC的特點導致,因操作系統無法區別哪種修改是用戶的合法操作還是病毒或網路入侵者的非法操作,所以系統容易受到病毒感染和網路入侵者攻擊。
強制訪問控制模型(MAC)的特點是:系統對訪問主體和受控對象實行強制訪問控制,系統先根據事先分配的安全級別屬性對訪問主體和受控對象的安全級別屬性進行比較,然后決定其是否可以進行訪問。由于MAC模型采用分級安全標識,從而實現了信息的單向流動,其最大的優點是有效地防止機密信息向下級泄漏及有效地保護數據的完整性。但缺點是使用不靈活,工作量大且管理不便,由于MAC模型過于強調保密性,因此其應用范圍也受到限制。
基于角色的訪問控制模型(RBAC)的特點是:將訪問權限于角色對應聯系起來,通過分配給用戶的適當角色,使用戶與訪問權限相聯系,即在RBAC中,角色的作用類似于中介,主體與客體的聯系通過中介來溝通。RBAC的優勢在于它將數據資源訪問許可封裝在各種角色中,不同的角色對應不同的用戶,角色或用戶可以靈活地轉換變化,而且RBAC也非常貼近日常生活。
2.數據庫安全操作
2.1 數據庫驅動程序的安全擴展
結構化查詢語言的英文縮寫是SQL。在數據庫中的存取接口上,可使用擴展標準的SQL語言,執行對象定義、數據操縱、權限管理、流程控制等操作,從而實現對數據庫中機密信息的加密和完整性保護。實際工作中,對于關系數據庫的擴展操作,通常選用SQL DDL和SQL DML語言,同時,通過 ODBC、IDBC、BDE等數據庫程序控制存取數據庫中的表格、記錄和字段,進一步對用戶操作方面進行日志記錄和審計,從內部加強關系數據庫的存儲和存取安全。這種方式的好處是簡便易行,并且不會對數據庫系統的基本性能造成大的改變。
當進行安全擴展時,在常規數據庫驅動程序中增加審計日志管理、完整性驗證、密鑰管理和數據加解密安全擴展模塊,例如,數據庫審計日志和存儲加密密鑰等與安全相關的信息,從而提高數據庫的安全性。同時,增加加密算法設置、更新和主密鑰設置等安全屬性,進一步提高SQL語句的安全性。
2.2 數據庫安全數據視圖
標準的SQL Server 數據庫安全模型由用戶、SQL Server 登錄、權限和基本表組成,其安全認證通過數據庫對用戶所輸入的帳號和口令進行確認,它包括確認用戶的帳號是否有效、能否訪問系統、能夠訪問哪些數據等。此安全模型的特點是將權限賦予表,用戶在需要查詢及更改數據時,直接對表進行存取,只要用戶有對表的Select權限,便可以檢索表中所有的信息。然而,大多數數據庫中的數據是非常機密或涉及個人隱私的,這就要求對信息本身劃分為不同的保密級別,例如國家機密、商業秘密和個人隱私等就不能簡單地劃分為公開和保密兩類,而是需要更細致的分類,可細分為多級保密級或不同的保密級。在多級保密系統中,不同的保密級別被賦予不同的數據項,再根據數據項的不同細分項,給存取本數據項的操作賦予不同的級別。SQL Server通用安全模式顯然不能將數據項細分,這是因為用戶有對表的Select權限,可直接存取存儲數據的數據庫表。采用基于視圖的數據庫安全模型是解決問題的方法之一。在SQL中,把傳統的關系模型中的子模式稱為視圖(VIEW),視圖是從若干基本表和其他視圖構造出來的表;颈頌椤皩嵄怼,是實際存放在數據庫中的表。視圖則稱為“虛表”。創建一個視圖時,只把視圖的定義存儲在數據詞典中,而不存儲視圖所對應的數據。在關系數據系統中為不同的用戶定義不同的視圖,對無權存取這些數據的用戶,通過視圖機制,把要保密的數據隱藏起來,這種方法是實現視圖并只授權訪問視圖。若使用該方式,用戶只能訪問在生成視圖時返回的數據。視圖機制使系統具有數據安全性、數據邏輯獨立性和操作簡便等優點,視圖不僅可以簡化用戶對數據的理解,也可以簡化他們的操作。那些被經常使用的查詢可以被定義為視圖,從而使得用戶不必為以后的操作每次都指定全部的條件。視圖和存儲過程,就好像一座架設在用戶與底層表之間的橋梁,用戶的操作只能針對視圖和存儲過程進行,而無法直接訪問底層表。
3.數據庫中間件(DBSAPI)的應用
數據庫中間件是連接用戶和底層數據庫之間的系統軟件或服務程序,主要用于屏蔽異構數據庫的底層細節問題,是客戶與后臺的數據庫進行通訊的橋梁。中間件可減少對數據的直接讀取,能對數據起到一個緩沖作用,安全且高效。當客戶發出對某個數據庫的SQL請求時,依次進行語法詞法分析、加密字典和檢索訪問控制,再根據加密定義和訪問控制進行相關操作,然后提交給DBMS做數據提取處理;即由數據庫中間件搜索匹配的數據庫連接,并將SQL請求轉發給對應的數據庫服務器,然后對數據庫進行操作。這種方式訪問數據庫,最大的好處就是安全性,因為中間件的服務是定制的,應用程序只能通過中間件接到數據庫。所以,應用程序無法做中間件服務之外的事情。只要將所需的應用邏輯寫在中間件中,就可以保證數據的安全性。
參考文獻: 王櫻,徐雨明 數據庫訪問技術研究 微計算機信息2006
【數據庫系統的安全管理論文】相關文章:
安全管理的論文08-02
煤礦安全管理的論文10-13
油田車輛安全管理的論文09-15
安全管理水利施工論文09-29
安全管理論文06-12
酒店安全管理特點論文07-24
企業安全管理分析論文08-10
安全管理論文06-04
安全管理下的安全教育論文07-28
信息安全管理論文06-21