数据库安全性分析(15篇)
1.数据库安全性分析 篇一
龙源期刊网 http://.cn
网络数据库实现技术与安全分析
作者:陈 虎 向 晖
来源:《沿海企业与科技》2005年第02期
[摘 要]从数据库访问、SQL编程、多层分布式应用及WEB访问等方面介绍网络数据库的实现技术。在对网络数据库安全性分析的基础上,确定在操作员安全账户认证、操作员授权管理、数据在网络上的安全传输等方面应采取的安全策略。
[关键词]网络数据库;安全分析;WEB访问;授权管理.
[中图分类]TP31
[文献标识码]B
2.数据库安全性分析 篇二
一、数据库系统的安全需求
数据库安全是信息安全的一个子集, 也是信息安全中最重要的部分之一。与信息安全的整体需求相似, 数据库系统的安全要求主要包括数据的保密性、可用性和完整性三个方面。
1. 数据的保密性数据的保密性是指禁止任何没有权限的用户非法访问数据。
2. 数据的可用性数据的可用性指任何授权用户的正常操作必须接受, 同时又能保证人机交互友好、系统高效正常运行。
3. 数据的完整性数据库系统的完整性是指数据要具备正确性、一致性和相容性等特点。
二、数据库加密的要求
数据库加密的目的就是要确保数据库的安全, 但是加解密操作过程必然会影响操作的效率, 一个好的加密系统就是要在安全性和效率之间取得一个平衡。即:稳定的数据库加密系统必须满足以下几点要求:
1. 加解密速度要求足够快, 这样减少影响数据操作响应时间。
2. 加密强度要足够大, 保证长时间而且大量数据不被破译。
但是在实际应用中加密算法不一定在理论上无法破解, 但在实际应用中能保证破解的代价大于获得其中数据的意义。
3. 对数据库的合法用户来说加解密操作是透明的, 它不会影响用户的合理操作。
用户在明文数据库系统中能够进行更新、增加、删除数据, 在密文数据库中也可以用相同的方法增加、更新和删除数据, 而且感觉不到加解密过程的存在。
4. 对加密后的数据库存储量并没有明显的增加。
5. 密钥管理机制灵活, 加解密密钥存储安全, 使用方便可靠。
三、数据库加密的粒度
数据库加密的粒度可以分为文件级、表级、字段级、记录级和数据元素级等五个层次。
文件级加密。把数据库文件作为一个整体, 对整个数据库文件用加密算法和加密密钥加密, 形成密文的形式来确保数据的机密性。
2. 表级加密。
表级加密的对象是整个表格, 与文件级加密类似, 表级加密中每个表格与其他不同的表密钥经过一定的加密算法运算后形成密文存储。
3. 字段级加密。
字段加密又称为域加密或属性级加密, 一般而言属性的个数少于相应表格中的记录数量, 按字段加密需要保存的密钥数相对较少。并且字段级加密是一种选择性加密, 并不是对所有数据都加密, 而是选择需要保密的字段加密, 其余字段仍以明文形式存储。
4. 记录级加密。
所谓记录级加密是指在数据库中, 每条记录在相应密钥的作用下, 被加密成密文数据保存起来。在数据库加密方法中记录级加密技术是较为常见的加密方式。
四、数据库加密的实现方式
数据库加密的实现方式主要体现在在数据库系统中执行加密的部件所处的位置和层次。按照数据库系统与加密部件的不同关系, 加密的实现方式可以大致分为两类:库内加密和库外加密。
1. 库内加密。
所谓库内加密是指在DBMS内核层中实现加密过程, 加/解密过程是透明的, 数据完成加解密工作之后才在库里进行存取操作。优点是在DBMS内完成加密功能, 实现DBMS与加密功能的无缝衔接, 因此加密功能强。
2. 库外加密。
所谓库外加密是指在DBMS之外进行加/解密操作, DBMS负责密文管理。一般在客户端实现加/解密操作过程。与库内加密相比, 库外加密有其自身的特点:首先, 加解密过程是在专门的加解密服务器中实现。其次, 加密的数据与加密密钥分开存放。
库外加密也有其缺点:如数据库一旦加密某些功能可能会受限制, 比如数据库的数据完整性受到破坏。
3. 加密算法的选择。
加密算法分为非对称加密和对称加密, 对称式加密就是加密和解密使用同一个密钥, 通常称之为“Session Key”这种加密技术目前被广泛采用, 如美国政府所采用的DES加密标准就是一种典型的“对称式”加密法, 它的Session Key长度为56Bits。
非对称式加密就是加密和解密所使用的不是同一个密钥, 通常有两个密钥, 称为“公钥”和“私钥”, 它们两个必需配对使用, 否则不能打开加密文件。它的优越性就在这里, 因为对称式的加密方法如果是在网络上传输加密文件就很难把密钥告诉对方, 不管用什么方法都有可能被别窃听到。而非对称式的加密方法有两个密钥, 且其中的“公钥”是可以公开的, 也就不怕别人知道, 收件人解密时只要用自己的私钥即可以, 这样就很好地避免了密钥的传输安全性问题。
在加密实施过程中, 无论选择什么加密算法都应当基于下述原则:
(1) 算法的安全强度需满足数据保密性的要求;
(2) 与明文数据相比, 密文数据量 (存储空间) 经加密处理后不应过量增长;
(3) 加解密足够快, 并且加解密时延应当是用户可以接受的。
无论是基于对称密钥加密的算法, 还是基于非对称密钥加密的算法, 它们都达到了一个很高的强度, 同时加密算法在理论上也已经相当的成熟, 形成了一门独立的学科, 而从应用方式上, 一般分成软件加密和硬件加密。前者成本低而且实用灵活, 更换也方便;而后者加密效率高, 本身安全性高, 在应用中, 可以根据不同的需要来进行选择。
参考文献
[1]李桂来, 刘海涛.网络数据库安全的探讨[J].中国现代教育装备, 2006[1]李桂来, 刘海涛.网络数据库安全的探讨[J].中国现代教育装备, 2006
3.数据库安全性分析 篇三
基于广域网的数据库访问带来的非法访问、黑客攻击、数据的截取、篡改等安全问题,在传统的数据库访问方式中加入加密和认证安全技术以及防火墙技术,形成新的数据库访问结构。而新加入的模块以代理的形式在起作用。从而达到安全访问数据库的目的。
一、数据库安全代理访问系统结构
数据库安全访问代理用来提供用户身份认证和数据库访问服务并提供了网络传输加密服务。所有的客户方的数据库访问请求都通过数据库安全访问代理进行转发。客户方数据访问代理用于接收所有的客户应用数据库访问请求(包括数据库客户的连接建立和连接断开请求),并负责向数据库客户传送数据库访问的结果。数据库访问请求是按照协议格式化为数据报提供给数据加密/认证客户端,而数据库访问结果是按照协议
格式由数据加密/认证客户端提供。数据加密认证客户端完成客户端的数据加密和认证工作,同服务器端的数据加密/认证服务器一起完成强大的数据加密功能保障数据安全。数据加密/认证服务器接收通过广域网(或者是局域网)传输的客户端发出的数据库访问请求数据报,这个请求是经过数据加密/认证客户端加密的。解密后的数据传递给数据库访问代理服务器。然后将数据库访问代理服务器返回的结果加密通过网络回送客户端。
二、安全访问代理的作用
1、安全访问代理的中间件特点
数据库安全访问代理处在应用和数据库之间,起一个数据库中间件的作用和结构。可以在代理系统中,对数据库的访问请求进行控制管理,配合数据库的特点,达到发挥最大数据库性能的目的。
2、安全访问代理的代理作用
之所以称为代理是因为系统接收数据库应用的数据库访问请求,把请求映射到代理系统对于数据库的访问,而系统不对这些请求进行过于复杂的处理。而数据库系统可以只接受代理的访问请求,起到隔离和安全保护作用。另一个重要特点是,可以加入到己经开发应用的信息系统中,极大提高原有系统的安全性能而不需要重新开发。
3、安全访问代理的防火墙作用
现在网络的一个现状是黑客的攻击广泛存在。后果是窃取信息、使系统瘫痪或者造成网络堵塞。数据库安全访问代理可以起应用级网关类别的防火墙作用,代理服务器而不是数据库暴露在广域网中,对数据库的访问都是通过代理服务器来完成。防火墙是网络安全的屏障,一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。
三、安全代理访问系统采用的技术
1、安全代理访问系统采用SSL加密认证技术
为了保护敏感数据在传送过程中的安全,全球许多知名企业采用SSL(SecuritySocketLayer)加密机制。SSL运行在TCP/IP层之上、应用层之下,为应用程序提供加密数据通道,适用于商业信息的加密。
代理系统中的数据加密和身份认证及签名采用SSL技术来完成,代理系统中的数据加密和身份认证及签名采用SSL技术来完成。应用程序通常使用IPC (Interporcess Communications Facility)与不同层次的安全协议打交道,在不同传输层协议中工作。
2、安全代理访问系统形成多层结构
为了克服由于传统客户/服务器模型的这些缺陷给系统应用带来的影响,一种新的结构出现了,这就是三层(N层)客户/服务器模型。三层客户/服务器结构构建了一种分割式的应用程序。主要分为三层:用户服务层,业务处理层,数据服务层。系统中由于安全访问代理的加入而形成多层结构,安全代理形成独立的一层,与其它层通过标准的数据库访问接口,这就提供了极大的灵活性,这也很大程度上降低了数据安全访问代理的设计复杂性。
3、安全代理访问系统采用ODBC技术
(OpenDatabaseConnectivity,开放数据库互连)是微软公司开放服务结构(WOSA,WindowsOpenServicesArchitecture)中有关数据库的一个组成部分,它建立了一组规范,并提供了一组对数据库访问的标准API(应用程序编程接口)。
ODBC之所以能够操作众多的数据库,是由于当前绝大部分数据库全部或部分地遵从关系数据库概念。ODBC基本思想是提供独立程序来提取数据信息,并具有向应用程序输入数据的方法。ODBC接口的优势之一为互操作性,程序设计员可以在不指定特定数据源情况下创建ODBC应用程序。
4、安全代理访问系统对于应用的透明性
对于应用的透明性是指对应数据库应用来说,采用或者不采用数据库安全访问代理,对于数据库的访问方法没有区别。对应用的透明性是通过采用标准的数据库访问技术来达到的,数据库应用的每一个数据库访问操作经过访问代理系统映射为同样的数据库访问实施于数据库,对API调用进行一对一的映射,所以原来开发系统不需要改动。也为系统的方案设计提供了灵活性。
5、安全代理访问系统中数据的压缩传输
数据库安全访问代理中,数据的传输要通过Internet来完成。带宽相对于局域网来说要窄的多,造成数据库访问的瓶颈,影响速度。对于使用很广泛的拨号上网方式来说,速度问题更为重要。所以考虑采用数据压缩传输。数据的压缩是作为SSL的一部分存在的,采用的主要压缩技术是Zlib。通常的压缩比可以达到2:1~5:1。
4.计算机网络数据安全策略分析论文 篇四
拥有访问权利才能访问计算机网络,所以,需要重视提高计算机访问控制能力。提高控制能力可以从以下几个方面着手。首先是验证用户,利用用户名的方式对访问用户进行验证,待计算机网络正确识别之后允许通过。其次是增加用户验证以及用户名的识别程序,只能输入正确的计算机指令才能进入。再者是对相应的程序增加权限设置,只有拥有权限的人才能进入。在计算机网络应用中增设验证步骤,主要是为了进一步保证计算机网络数据的安全,在此基础上还需要提高计算机中的防火墙防御技术,通过设定计算机屏障,能够严格控制双方的访问权,没有相应的授权不能进入个人账户中[3]。比如我们生活中最常见的用户验证设置“控制面板―用户账户―设置密码/管理其他账户”。防火墙是每个计算机都需要的,防火墙经常设置在内部网、互联网以及外网区域等中,主要是为了保证计算机网络数据的安全。
3.2重视计算机数据加密
计算机中的数据信息非常重要,所以需要不断提高对计算机数据加密的重视,这也是计算机网络数据安全控制中最基础的方式之一,能够对网络中的各种数据进行加密,提高数据信息的安全性。在原有计算机数据信息文件中进行加密处理,将其译成只有计算机能够识别的代码,在计算机加密处理中,将其称之为密文。这些密文职能通过代码翻译或是相对应的计算机钥匙才能打开。在技术发展进步基础上,加密技术也在不断升级,当前已经开始应用微机芯片等方式进行加密,总而言之,数据加密是保证计算机网路数据安全的重要手段。
3.3数据备份以及提高防御能力
保证计算机网络数据安全,还需要注意数据备份,对于重要的数据信息一定要备份,这样才能保证即使计算机网络数据出现问题,还能够存留一份,并且提高了计算机网络数据的恢复能力。与此同时,还需要提升计算机自身对病毒以及hacker的抗干扰能力,在遇到病毒或是hacker侵扰时能够及时阻止,这样才能保证计算机数据的安全。
4结语
综上所述,计算机是我们生活中的必需品,在很多地方都需要应用计算机网络,计算机网络数据安全对于我们来讲非常重要,因此,要不断加强对计算机网络数据安全防护的重视,进一步提高计算机网络数据安全控制能力,保证计算机网络数据的安全。
参考文献
[1]任卫红.计算机网络安全的现状及网络安全技术新策略的分析[J].通讯世界,(24):17-18.
[2]汪东芳,鞠杰.大数据时代计算机网络信息安全及防护策略研究[J].无线互联科技,2015(24):40-41.
[3]李红娟,王祥.计算机网络的信息安全分析及防护策略研究[J].信息安全与技术,(4):40-41,81.
5.数据库安全性分析 篇五
一、主题活动提出的背景
小学生尤其是农村小学生上下学大多数都是学生自行乘车或步行或乘船;低年级部分学生由家长或监护人接送上下学;高年级超过12岁的学生有的骑自行车上下学。对于一个超过千名甚至几千名小学生的学校而言,学生每天上下学没有规范和统一的接送车,以上诸多交通因素都存在一定的安全隐患,也是学校安全管理中一个无法解决薄弱环节。为此我们把“小学生上下学交通安全隐患调查”作为社会实践活动的主题。
二、活动目标
1、指导学生学会制定问卷调查表,初步学会制定调查方案;
2、通过问卷、调查分析全校学生上下学交通状况,了解其中哪些存在较大的安全隐患。
3、通过调查活动培养学生合作和探究意识,以及实事求是的科学精神,形成良好的学习态度,增强学生的交通安全意识。
三、活动对象:
六年级学生
四、活动时间:
一个星期
五、活动形式: 以小组为单位进行调查研究活动
六、活动设计:
第一阶段 准备阶段
具体目标:确定研究内容,组建研究小组;指导撰写研究方案,准备实施。活动过程:
(1)谈话引入主题,确定研究课题
“生命安全高于天”,可是全国每年有2万多名中小学生因交通事故伤残、死亡,也就是说有2万多个家庭蒙受痛苦和情感折磨。同学们:你们说我们要
不要时时刻刻重视交通安全呢?今天我们就以《小学生上下学交通安全隐患调查》为主题,开展社会实践活动。(2)初步了解调查研究的方法
1、组建研究小组,课题组成员分成6个小组,每组8人,并选好组长。
2、讨论制定问卷调查表。
3、围绕主题,展开讨论,确定课题研究的内容并归纳指导。(3)编制问卷调查表
小学学生上下学交通情况调查表
学校:时间:
具体目标:发放问卷、回收问卷、统计与分析存在较大安全隐患的是哪些因素。活动过程:
(1)分组发放问卷调查表;(2)回收问卷调查表;
(3)对问卷调查表进行统计和整理;
(4)交流讨论,对整理的资料进行分析,分析其中存在较大安全隐患的是哪些因素。
第三阶段交流总结
具体目标:整理资料,撰写《小学生上下学交通安全隐患调查》报告;交流反思,汲取教训。活动过程:
(1)整理资料,提炼认识,教师指导各小组撰写《小学生上下学交通安全隐患调查》报告;
小学生上下学交通安全隐患调查表
(2)交流反思,让学生谈本次活动意义、感想和收获,汲取经验教训。
通过小组讨论和学生交流反思、畅谈感想,大家认为要减少学生上下学交通安全隐患必须做到以下几点:
①学校经常开展交通安全教育活动,家庭要配合学校对学生经常进行交通安全教育; ②每个学生都要遵守交通规则; ③政府统一规范统一管理学生接送车。
6.数据库安全性分析 篇六
一、实验目的1.掌握数据变量的使用;
2.掌握各种控制语句及系统函数的使用;
3.掌握存储过程的实现;
4.掌握混合模式下数据库用户帐号的建立与取消方法;
5.掌握数据库用户权限的设置方法;
6.掌握在企业管理器中进行备份、恢复操作的步骤;
二、实验学时
2学时
三、实验要求
1.了解T-SQL支持的各种基本数据类型及变量的使用;
2.了解T-SQL各种运算符、控制语句及函数的功能及使用方法;
3.掌握存储过程的编写和运行方法
4.熟悉数据库完全备份及恢复的方法;
5.了解SQL Server 2008系统安全;
6.熟悉数据库用户、服务器角色及数据库角色的用法
7.完成实验报告。
四、实验内容
以student数据库为基础数据,完成以下内容
1.变量及函数的使用:
1)创建局部变量@xh(学号)并赋值,然后输出数据表student中所有等于该值的学生的学号、姓名、性别、所属院系及年龄等信息;
2)将学号为200515008的学生的姓名赋值给变量@name;
3)计算学生信息表student中学生最高年龄和最低年龄之差,并将结果付给@cz;
4)定义一函数,按系别统计当前所有学生的平均年龄,并调用该函数。
5)定义一函数,通过姓名查询某学生的学号、性别、年龄、系别、选修课程名及成绩。
2.编写并执行存储过程
(1)创建一个无参存储过程pr_StuScore,查询以下信息:班级、学号、姓名、性别、课程名称、考试成绩。
(2)创建一个带参数的存储过程stu_info,该存储过程根据传入的学生编号在student表中查询此学生的选修课程及成绩信息。
(3)创建一个带参数的存储过程StuScoreInfo2,该存储过程根据传入的学生
编号和课程名称查询以下信息:班级、学号、姓名、性别、课程名称、考试成绩。
(4)编写带参数的存储过程,根据传入的课程名称统计该课程的平均成绩。
3.*对数据库student进行完全备份和恢复操作;
4.*以系统管理员身份登录到SQL Server服务器,在SQL Server2008界面中实现以下操作
1)在当前计算机中增加一个用户zhang,密码为secret。使此用户通过windows
模式下登录SQL Server服务器,登录名为zhang;
2)新建以混合模式登录SQL Server服务器的用户登录名分别为stu1、stu2和
stu3,登录密码为secret,默认登录数据库为student;
3)在数据库student中创建用户zhang,登录帐号为zhang;
4)在数据库student中创建用户stu1、stu2和stu3,登录帐号为stu1、stu2
和stu3;
5)给数据库用户zhang赋予创建数据表的权限;
6)给数据库用户stu1赋予对sc表进行插入、修改、删除操作权限;
7)给数据库用户stu2和stu3赋予对student表、course表所有操作权限及查
询sc的操作权限,并允许再授权给其他用户;
8)撤销数据库用户stu2对student表和course表的删除操作的权限;
五、实验步骤
3.对数据库student进行完全备份和恢复操作;
1)对数据库student进行完全备份操作;
以管理员账号登录SQL Server并运行SQL Server资源管理器;以下方法任选其一
方法1:利用资源管理器进行备份
(1)打开【对象资源管理器】,在【服务器对象】节点下找到【备份设备】节点,单击鼠标右键,弹出右键菜单,选择【新建备份设备】菜单,弹出新建备份设备窗口。输入备份设备逻辑名称data_backup,并指定备份设备的物理路径,例如“D:backupdata_full.bak”,单击【确定】。
(2)连接到相应的SQL Server服务器实例之后,在【对象资源管理器】中,单击服务器名称以展开服务器树。找到【数据库】节点展开,选择STUDENT
数据库,单击鼠标右键,在弹出的快捷菜单中选择【任务】—>【备份】命令。
(3)在【备份数据库】对话框中的【数据库】下拉列表中选择的数据库名STUDENT。在【备份类型】下拉列表中选择备份类型为“完整”,在【名称】文本框中输入备份集的名称STUDENT_BAK,在【备份集过期时间】选项中指定备份集过期时间为30天,在“选择页”窗格中,单击【选项】,在【可靠性】选项中选择“完成后验证备份”选项,最后单击【确定】按钮。
方法2:用T-SQL语句进行数据库完全备份
使用逻辑名STUDENTBAK创建一个命名的备份设备,并将数据库STUDENT完全备份到该设备。在查询分析器的窗口输入如下的语句并执行:
USE master
EXEC sp_addumpdevice ‘disk’,’ STUDENTBAK’,’D:backup STUDENTBAK.BAK’
BackUp DataBase STUDENT To STUDENTBAK
2)在资源管理器中进行数据库恢复;
(1)展开【数据库】节点,用鼠标右键单击STUDENT,在弹出的快捷菜单中选择【属性】命令。打开“数据库属性”对话框,在“选择页”列表中,单击“选项”。在“恢复模式”下拉列表中选择【完整】恢复模式。
(2)用鼠标右键单击STUDENT,在弹出的快捷菜单中选择【任务】—>【还原】—>【数据库】命令。打开“还原数据库”对话框。在“常规”选项卡上,“目标数据库”下拉列表框中选择STUDENT。在“目标时间点”文本框中,使用默认值“最近状态”。在“选择用于还原的备份集”表格中,选择用于还原的备份,单击“确定”按钮。
4.*以系统管理员身份登录到SQL Server服务器,在SQL Server2008界面中实现以下操作
1)在当前计算机中增加一个用户zhang,密码为secret。使此用户通过windows
模式下登录SQL Server服务器,登录名为zhang; 在计算机中增加用户的方法如下:单击【开始|管理工具】,选择【计算机管理】,在【计算机管理】的窗口中单击左边的【本地用户和组】,在右侧【用户】文件夹上单击右键,选择菜单上的【新用户】,然后在弹出的【新用户】对话框中键入您准备使用的用户名、密码,然后清除【用户下次登录时须更改密码】复选框的选中状态,再单击【创建】按钮,然后单击【关闭】按钮关闭对话框。
创建windows身份验证登陆用户方法:在【对象资源管理器】中,展开【安全性】节点,然后右键单击【登录名】,在弹出的快捷菜单中选择【新建登录名】。在“登录名-新建”对话框中单击【登录名】后面的搜索按钮,选择
【高级】,在弹出的对话框中选择【立即查找】,在搜索结果中选择已经建立的用户名,单击【确定】按钮,回到“登录名-新建”对话框中,最后单击确定按钮完成创建。
2)新建以混合模式登录SQL Server服务器的用户登录名分别为stu1、stu2和
stu3,登录密码为secret,默认登录数据库为student;
创建SQL Server身份验证登陆用户方法:在【对象资源管理器】中,展开
【安全性】节点,然后右键单击【登录名】,在弹出的快捷菜单中选择【新建登录名】。在“登录名-新建”对话框中选择SQL Server身份验证选项,在【登录名】后面输入用户名,在密码及确认密码后面输入密码。取消【强制密码过期】选项,单击【确定】按钮。
3)在数据库student中创建用户zhang,登录帐号为zhang;
在【对象资源管理器】中展开student数据库节点,展开【安全性】节点,在用户上单击鼠标右键选择【新建用户】命令,在弹出的新建对话框中单击
【登陆名】后面的搜索按钮,在弹出的【选择登录名】对话框中单击【浏览】按钮,在相应的账号前面选中并单击【确定】按钮,最后在用户名后面输入用户名称,单击【确定】按钮完成创建。
CREATEUSERzhang for login zhang
4)在数据库student中创建用户stu1、stu2和stu3,登录帐号为stu1、stu2
和stu3;
CREATEUSERstu1 for login stu1
5)给数据库用户zhang赋予创建数据表的权限;
在student数据库安全性节点下的用户名上单击鼠标右键,选择【属性】,在打开的对话框中选择【安全对象】页,单击右边的【搜索】按钮,在弹出的【添加对象】对话框中直接单击【确定】按钮,然后单击【对象类型】按钮,弹出【选择对象类型】对话框,选中【数据库】,单击【确定】按钮。再在选择对象对话框中单击【浏览】,在student数据库前面选中,单击【确定】。最后在【安全对象】页下方的student的权限中创建表选项后的【授予】复选框中选中,单击【确定】完成设置。
GRANTcreatetabletozhang
6)给数据库用户stu1赋予对sc表进行插入、修改、删除操作权限;
GRANT insert,update,delete ONsc to stu
17)给数据库用户stu2和stu3赋予对student表、course表所有操作权限及查
询sc的操作权限,并允许再授权给其他用户;
GRANTALL PRIVILEGESONStudent,CourseTOstu2,stu3
WITH GRANT OPTION
8)撤销数据库用户stu2对student表和course表的删除操作的权限;
7.网络数据库安全分析与防范 篇七
关键词:信息技术,数据库安全,Web数据库
网络数据库也叫W e b数据库。将数据库技术与W e b技术融合在一起, 实现数据库与网络技术的无缝结合而形成的数据库就是网络数据库。Internet技术在Web数据库技术中扮演着重要的角色。T C P/I P协议是Internet上使用的两个最基本的协议。T C P协议规定了分割数据和重组数据所要遵循的规则和要进行的操作。T C P协议能保证数据发送的正确性, 如果发现数据有损失, T C P将重新发送数据。而I P协议会在由路由器的转接实现数据在Internet上的传输的过程中发挥重要作用。路由器会检测数据包的目的地主机地址, 然后决定将该数据包送往每一台计算机的I P地址。这也在一定程度上保证了数据传输的安全性。
数据库安全就是保证数据库信息的保密性、完整性、一致性和可用性。在实际应用中, 网络管理员经常会忽视服务器端的安全设置, 而把安全问题交给应用程序开发者处理。数据库的安全性和计算机系统得安全性相互联系、相互支持, 只有各个环节都安全了, 才能保证数据库的安全性, 才能防止不合法的使用所造成的数据泄密、更改或破坏。
当前对数据库安全的威胁主要分为物理上的威胁和逻辑上的威胁。物理上的威胁是指水灾、火灾等造成硬件故障, 从而导致数据的损坏和丢失。为了防止这样的威胁产生, 我们通常采用备份和恢复的策略。
数据库的完整性指保护数据库中的数据不被破坏和删除。在操作系统下网络数据库系统一般是以文件形式进行管理的, 因此入侵者通过网络就可以直接用操作系统的漏洞窃取数据库文件, 或者直接利用O S工具非法伪造、篡改数据库中的重要文件内容。而且一般的网络数据库用户是很难察觉的。
数据库的保密性是指保护数据库中的数据不被泄漏和未授权的获取。SQL server2000使用Tabular Data Stream协议来进行网络数据交换, 在不加密的情况下, 所有的网络传输都是明文的, 包括密码、数据库内容等等, 很有可能被黑客截取、篡改。所以用户应当在应用或访问S Q L s e r v e r时, 就要发生一个互换凭证的过程。尽可能的对信息进行加密处理, 以防黑客窃取网络上的通信信息, 并假冒一个合法的用户进行信任欺骗。
对于高度机密的数据, 加密是必不可少的程序, 它在安全措施外, 更对数据库系统的安全作了进一步的保护。加密的基本思想是根据一定所谓算法将原始数据变换为不可直接识别的格式, 从而使不知道解密算法的人无法获知数据库中机要数据的具体内容。加密的方法主要有以下两种:一种是置换方法, 这个方法仅将明文的字符按不同的顺序重新排列;另一种方法是替换法, 如将a替换成K, b替换成R, ……于是l u n k可能就变成了M K N H。
网络数据库总体安全策略包括以下几方面。
1身份认证
在面向多用户开放共享的网络环境下, 访问数据库系统的用户必须要求进行身份认证, 以防止非法用户访问。这是网络数据库安全系统防止非法用户侵入的第一道防线。当前流行的几种R D B M S中, 身份认证一般有三级:系统登录, 数据库连接和数据库对象使用。系统登录一般由网络操作系统提供检查, 要求用户输入用户名和口令加以验证。通过系统安全检查后用户才可以处理业务流程。当要求访问数据库时, 就要求数据库管理系统验证当前用户身份是否可以进行数据库访问。在取得数据库登陆身份后, 对数据库中的数据对象进行操作之前, 数据库管理系统要再次检验用户对数据库对象的访问权限, 以核实该用户是否有权对该数据库对象进行指定的操作。
2存储访问控制
所谓访问控制, 简单地说, 就是对应保护的数据所进行的存取访问权限的确定、授予和实施。例如, 针对一组数据库记录标识, 通过访问控制, 可以授权符合某一级别或者某一特征的用户进行的访问方式, 即:读、写、查询、增加、删除、修改等操作的组合。数据的访问控制必须和用户的身份认证结合起来, 才能形成有效的安全机制。
3审计追踪和攻击检测
身份验证和存储访问控制是目前网络信息系统设计中最为普遍的安全性方法, 但目前的软件工程技术水平还无法证明或者保证任何一个系统不存在安全漏洞, 也没有一种可行的方法, 可以彻底的解决合法用户在通过身份认证后滥用特权的问题。因而, 一些网络信息系统中的大型D B M S提供的审计追踪和攻击检测便成了一个十分重要的安全措施, 也是任何一个安全系统中不可缺少的最后一道防线。审计功能在系统运行时, 可以自动对数据库的所有操作记录在审计日志中, 以此来监视各用户对数据库施加的动作。攻击检测系统则是根据审计数据分析检测内部和外部攻击者的攻击企图, 再现导致系统现状的事件, 分析发现系统安全的弱点, 追查相关责任者。
4网络数据库的备份与恢复
数据备份与恢复是实现信息系统安全运行的重要技术之一, 能保证该系统因各种原因遭到破坏时, 能尽快投入使用。为了保证数据库的安全性, 应用数据库的备份是很重要的举措。一般的数据备份解决方案无非是以下三种:磁带备份、双机热备份、手工备份方法。
未来网络数据库系统安全技术发展必将围绕着关系数据库系统的访问控制模型展开。主要表现在以下几个方面。
(1) 隐蔽信道问题, 就是如何同过信息流控制和推理控制等其他安全机制来彻底检测与消除。
(2) 安全模式的研究, 包括旧的安全模型在实际中的具体应用和新的安全模式的研究。
(3) 体系结构技术的发展, 允许可信主体系统使用最小可信代码, 满足高保证需求。
综上所述, 网络数据库的安全防范是多层次、大范围的。随着计算机技术的发展和数据库技术应用范围的扩大, 网络数据库安全必须走立体式发展道路, 在设计一个正确的访问控制策略和构建一个正确的访问控制安全模型时, 必须考虑以下原则:首先是最小权限和最大权限原则;其次是开放式系统和封闭式系统原则:再次是集中管理和分散管理原则;第四是粒度原则;最后是访问权限原则。在实际应用中网络数据库除了和入侵检测系统、防火墙等其他安全产品配套研究使用外, 其他安全应用系统通过接口就可以存取数据库。这样, 通过多方面建立安全防护机制, 就能更全面考虑可能存在的安全隐患, 降低数据被暴露和攻击的可能性。
参考文献
[1]陈黎.我国网络数据库发展现状[J].中国信息导报, 2004.
[2]姜启涛.网络数据库的安全及优化[J].计算机与信息技术, 2006.
8.云端数据存储安全技术分析 篇八
因此清楚了解各种数据的安全需求,透彻的分析现行云存储方面的关键技术,了解其不足,才能明确未来技术的攻克方向,以最快速度走出云端数据存储的“魔障”。
【关键词】云存储 数据加密 密文访问控制 完整性审计 重复删除
一、云存储发展现状
随着网络的普及和技术的发展,我们已经进入海量数据时代,云计算应运而生,云存储是在云计算的基础上发展而来的新兴存储形态,因其容量大、可以不受时间和地域的限制对资料进行上传下载,而且还可以按需购买等优点受到许多企业、组织或是个人的青睐。很多公司都租用了用于企业内部小范围的私有企业云,便于数据分析处理,节省数据管理方面的开支,降低了企业成本,而像华为、OPPO、vivo等很多做移动终端的大型企业也都向用户提供云服务,当然还有很多专门做云存储空间租用的企业,像我们经常用到的百度云、SaaS、360云盘等。据相关调查数据显示,全球公有云市场规模正逐年递增,云端数据存储正在得到越来越多的企业关注,同时吸引了大批资金用于开发与研究新的数据存储安全技术。
虽然云存储解决了很多难题,但是此起彼伏的数据存储安全事故也不断挑弄着我们的神经,例如2010年6月,苹果公司发生Ipad用户隐私数据泄露,2015年4月多省社保信息遭泄露,数千万个人隐私泄密等等,它让我们清楚的认识到在云端数据存储这种模式下,数据资料被上传至虚拟空间,使数据脱离了我们的实际操控范围,在数据的上传下载的过程中极有可能会被恶意改写或是盗取等引起数据安全事故,带来无法挽回的损失,这引起了用户对云存储提供商可靠性以及数据安全性的担忧[1]。基于此,我们大多数是采用数据加密的方式将数据放置云端,但是这样一来又使很多功能如数据检索、运算等难以实现,带来很多技术难题。
二、云存储关键技术
为了保证云端数据的完整性、机密性与可用性,打消用户的使用疑虑,促云计算快速发展,国内外企业和学者做了大量研究,其中一些技术已经比较成熟或是提出了相应的技术模型,较好的解决了目前的一些问题。
(一)数据加密技术
加密无疑是保护云中存储的数据的安全性和隐私性的重要方法之一[2],目前比较好的加密技术就是收敛加密与基于属性的数据加密技术。
收敛加密即相同的数据资料经过加密后生成相同的密文,有利于重复数据的冗余删除,提升空间利用率;另一方面由于密钥的生成方式与明文的散列值密切相关,这样一来可以利用生成的密钥来检验明文的完整性;用户访问权限被撤销后,不是马上重新加密数据,而是采用特定事件触发加密,待数据修改时同时生成新的密钥,减少了密钥的生成、分发与管理。
基于属性的加密机制(attribute-based encryption,ABE)是一种控制接受者对加密数据的解密能力的密码机制,只要用户拥有的属性满足一定的介入策略时就可以解密信息[3]。根据属性加密,不需了解属性所属方,这样就不会侵犯用户的隐私;只有私钥具备解密数据属性时才可以解密明文,并且在这个过程中,不同的用户之间私钥不可以联合,保证的数据的安全性;还可以实现灵活的访问控制。
(二)数据销毁
云计算提供商通过计算资源租用和存储资源租用的方式对外提供服务,那么对同一租户的相同数据进行重复数据删除,在结束租用期限时,清空该租户的所有信息,释放空间,使利益最大化,用户可以基于自身需求,及时清除失去存储意义的数据等一系列数据销毁技术是保护数据安全与隐私的另一重要方法。
1、基于密文的重复数据删除技术
由于同一明文经过不同的密钥加密后会产生不同的密文,因此系统对这些重复数据无法有效识别和删除,所以目前只能依赖特殊的加密方法即收敛加密,使相同的明文生成相同的密文,这样便可以进行重复数据删除操作,但是这种加密方法针对性强,无法适应海量数据的加密趋势,因此,支持删冗的一般性加密方法是一大技术挑战。
2、数据的可信删除
存储在云端的数据都会经过加密,因此,对此部分数据的删除只需要所有人都无法解密明文即可,这样就转换成为密钥的删除技术。2007年Perlman等人在文献中首次提出了可信删除(assured delete)的机制[4],即通过建立第三方可信机制,将时间或是用户的某项特定操作作为删除的触发条件,使其可以在规定的时间后将密钥删除,这与张逢喆等人提出的基于可信计算数据销毁机制本质是一样的。
三、技术挑战与重点突破方向
(一)公开审计数据安全难以保障
数据的公开审计需要提供相关内容进行检测,这期间重要数据,隐私内容就需要公开或是提供给第三方,数据安全控制难以保障。另一方面如何根据云端数据的时时更新,进行动态审计,也是技术的攻克难点。
(二)数据残留问题难以解决
如何实现数据的有效删除,是空间释放中面临的安全问题,无论是将数据放进垃圾箱还是交给专门的第三方处理,都可能会导致信息泄露;另外租赁到期必然要进行空间回收,数据是否有效删除直接带来了上一位与下一位租户数据之间能否有效隔离开来以及数据隐私方面的问题。
(三)针对海量数据的加解密技术
目前的数据加解密技术不具有一般性特点,复杂度较高,针对海量数据的加解密必然会带来用时长、效率低、查询处理等多方面的问题。
四、总结
云计算异军突起,云存储作为云计算的技术支撑,其地位必然不必多说,从云端数据安全存储的总体发展情况来看,一些加解密技术已日渐成熟,但是还缺乏一般性;当前一些技术领域方面的研究如加解密、数据销毁、完整性审计等大多还是分开展开研究的,缺乏联合性;一些技术研究长期停留在实验和模型阶段,缺乏有效的实践。从发展方向来看,基于云端数据存储的自由特性,需要我们在保证数据安全的前提下,尽可能的提高数据加解密的效率,降低时间复杂度,使密文搜索、空间回收、数据处理等操作成为可能,当然这需要政府、社会各界以及我们每个人的共同努力,我相信在不久的将来,我们一定可以将云端数据存储的优势更好的发挥出来,给大家带来更好的用户体验。
[]张浩,赵磊,冯博,余荣威,刘维杰.CACDP:适用于云存储动态策略的密文访问控制方法[J].计算机研究与发展,2014,51 (7): 1424-1435
[]冯朝胜. 云数据安全存储技术[J]. 计算机学报,2015,38(1):151-163.
[]李晖,孙文海,李凤华,王博洋.公共云存储服务数据安全及隐私保护技术综述[J]. 计算机研究与发展,2014,51 (7): 1397-1409
9.实验六:数据库安全管理 篇九
一、实验目的掌握在SQL SERVER中建立用户,为用户赋权限,收回权限,建立角色,给用户赋角色的方法。
二、实验内容
分别在企业管理器完成下列操作
1)创建登录帐号john,并使其成为固定服务器角色dbcreator的一个成员:
1.在企业管理器中选择安全性——右击登录名——新建登录名——输入登录名
2.选择SQL Sever 身份验证——输入密码,并确认密码
3.单击服务器角色——右击角色名dbcreator——属性——添加角色成员——点击浏览,选择对象即可
2)授予john服务器权限:alter any login,create any database
1.右击服务器——选择属性——权限
2.选择登录名john——勾选所要授予的权限
3)John可以创建登录帐号吗?为什么?,若能,创建安全登录帐号帐户Mary
1.使用john登录数据库——点开安全性
2.右击登录名——新建建登录名——并选择SQL Sever 身份验证——输入密码,并确认密码即可
4)创建用户Mary123,使用安全登录帐号Mary
5)授予帐户Mary123查询和修改student表的权限,写SQL语句
6)创建角色teachers,拒绝teachers修改student表,写出拒绝权限的SQL语句
7)使帐户Mary123成为teachers的一个成员,Mary123能够查询和修改student表吗?为什么?
8)如果希望角色teachers能够修改student表,应该怎么做?写SQL语句
9)授予帐户Mary123在数据库sc中创建表和创建视图的权限, 写SQL语句
10.数据库运维安全现状调查报告 篇十
近日,安华金和面向各行业IT运维人群开展了一次数据库运维安全现状调研。希望借此方式了解用户的数据库运维场景及安全现状,发现各行业用户在数据库运维工作中的安全需求,并研发出真正具有用户价值的安全产品。安华金和从多方通道获取的近500份问卷中抽取150份有效样本进行统计分析,总结归纳出此份《2016数据库运维安全现状调研报告》,摘取报告重点分析结论,分享给关注数据库安全的人士。
一. 参与人员概况
抽取调研样本来自不同行业,包括:政府,金融,能源,教育,制造业,互联网,交通,医疗行业等。调查对象主要为技术人员,直接从事IT运维或技术开发工作,或者为用户提供运维侧解决方案及相关产品咨询。参与调研人群共涉及10余类岗位,其中以工程师、技术经理占大多数,占比49%,其余职位亦多为技术层决策人员及研究人员,对于企业数据库系统的技术原理及运维操作比较了解,这对此份调研报告的客观、专业度提供保障。
二. 调查结果
2.1 当前数据库运维环境
随着各行业信息化水平的提升,应用类型多样而复杂。调查结果显示,各行业用户的数据存储规模及数据处理要求进一步提升。面对复杂的网络环境,大多数单位采取了一定的技术手段保护核心数据库系统。
半数以上数据库服务器规模超50台
根据有效样本统计,51%以上的企业部署数据库服务器超过50台,三成企业达到百台规模。
▲1.1 数据库服务器规模
数据库服务器部署位置分布
参与调查人群中,44%的参与者反馈数据库服务器部署在内网环境中,另有49%反馈内网及外网环境中均有部署。选择单纯部署于外网或不区分内外网的比例仅有6%左右,
具有对核心数据库的安全防护意识
调查结果显示,78%的用户会使用网络隔离等技术手段保护核心生产库
2.2 数据库安全政策要求及安全检查现状
在安全政策合规方面,大多数单位都需要满足等保、分保等安全检查标准。51%的参与者需要通过等保检查标准,35%需要通过分保检查标准,28%需要通过其他行业性安全标准。调查显示,64%的企业对于数据库会定期进行安全检查,其余为不定期检查。但有50%的参与者表示安全检查中没有使用专业的检查工具,这在一定程度上对于检查结果的全面性和专业度有所影响。
▲1.2 安全政策合规需求
2.3 数据库安全防护手段
大多数用户具有对核心数据的保护意识,在系统架构上更多采用网络隔离的手段保护核心数据库。对内部人员需要授权访问,敏感数据对外会采用脱敏或加密处理。
调查结果显示,对于核心生产库的安全防护,70%的参与者反馈会采用网络隔离等技术手段进行核心数据库的保护,但仍有近30%的企业尚未采取相关技术手段加以防护。
在提供外网服务的应用系统所用数据库中,存有敏感数据的比例占到74%。这种情况下,共计79%的调查参与者反馈,无论数据库中是否存有敏感数据,运维人员访问数据库系统必须得到授权。
当敏感数据用于第三方公司进行开发、测试、培训等环节前,62%的参与者反馈会对敏感数据进行脱敏或加密处理,但是仍有38%的企业在此方面没有防护手段,这是导致数据库安全隐患的重要原因之一。
▲1.3 敏感信息的访问
目前所采取的数据库安全管控技术手段中,数据库防火墙是选择最多的数据库安全管控技术手段,但仍有超半数单位没有使用专业的数据库安全管控产品,近一半单位不能满足数据库管理制度的要求。
在数据库安全管控手段的选择上,半数单位已采取专业的数据库管控手段。调查显示,49%的参与者已部署数据库防火墙或数据库访问管控平台,但仍有23%只部署了堡垒机,29%没有采取任何技术手段进行管控。同时,42%的参与者反馈目前的技术管理手段不能满足数据库管理制度的要求。这与企业没有选择专业的数据库管控手段有必然关系,对于技术手段的认知有待提高。
▲1.4 数据库安全管控技术手段
大部分企业会进行数据库访问审计,近三成单位只对少部分核心数据库系统进行审计。
关于数据库访问审计的具体范围,针对所有数据库、针对大多数数据库和不进行数据库审计这三个选项的比例相当,其中针对少部分数据库进行审计的比例会稍高一些,占到31%。可见目前大多数用户对于数据库审计接受度较高,在此趋势下,小部分未采取审计手段的用户可能被引导。
▲1.5数据库访问审计的`范围
三. 安全防护建议
综合调查结果,我们针对数据库运维安全现状,提供具有实际可落地的安全防护建议:
3.1 在开发、测试、培训等工作环节中,使用敏感数据前进行脱敏处理是必要的,选择专业工具能够提高工作效率,保证数据处理效果及质量。
大多数用户在数据外发之前,会采取脱敏或加密手段对敏感数据进行处理,这将在很大程度上降低数据泄露风险。但目前专业数据库脱敏和加密工具并没有被广泛使用,用户多选择自行编写程序。当数据量的规模较大,各数据表、数据子集之间的关联关系较为复杂的情况下,手工脱敏或加密工作量大,且处理质量无法保证。这将导致外发数据无法满足开发、测试、分析等业务需求,影响结果准确性,同时,耗费的人力及时间成本往往得不偿失。
专业的数据库脱敏工具可以保持原有数据类型和业务格式,保证长度不变、数据内涵不丢失,保持表间、表内数据关联关系,确保以上业务场景中的脱敏数据真实有效。同时提供动态脱敏功能,对敏感数据进行透明、实时脱敏,对数据库用户名、IP客户端类型、访问时间甚至业务用户等多重身份进行访问控制,提供多种安全策略。
3.2 使用专业有效的数据库管控手段可以提供细粒度的数据库运维管控,满足数据库管理制度要求,防止危险访问行为。
与堡垒机相比,使用专业的数据库管控产品,通过对数据库访问协议的精确解析,而不是单纯对访问操作进行录屏,事后追责。
数据库防火墙优势:基于对SQL语句的精准解析,提供高危访问控制、SQL注入禁止、返回行数超标禁止、SQL黑名单等技术功能,对于匹配策略的威胁操作实时拦截、阻断,而堡垒机由于不具备SQL语句的精准解析能力,无法提供如此细粒度的访问控制。
数据库安全管控平台优势:目前大多数企业使用堡垒机对运维人员的数据库操作行为进行审批,但对于实际操作的事中控制,无法监控。运维人员的实际操作是否与申请一致?实际操作人是谁?如果出现误操作,如何追溯?这一系列问题堡垒机无法解决。专业的数据库安全管控平台在审批通过后返回唯一的操作码,使用任意客户端建立连接时,无操作码或与原申请操作不符时,拒绝访问。提高操作准确度,防止高危操作及误操作,弥补传统解决方案对于事中控制的缺失。
3.3 运维部门对整体数据库访问行为有必要进行实时有效的监控与审计,审计产品的风险感知能力、审计效率及审计结果的准确度是重要依据。
11.电力调度数据网安全技术分析 篇十一
【关键词】电力调度;数据网安全;技术分析
近几年,随着国家对电力系统的关注与扶持,我国在电网调度自动化建设方面取得了比较理想的成果,电网调度数据作作为直接为电力调度生产提供服务的专用型数据网络得到了推广、普及,全国范围内所有省级调度都已基本建成并投入正常使用。随着各级网络技术的延伸与扩展,网络规模日趋庞大,技术成分更加复杂,电网调度在自身规划中的安全隐患与设计缺陷不断暴露,成为我国电网安全运行的重大阻碍。因此积极推动实现电力调度数据网安全技术升级改良成为电力系统安全调度的重点工作。
一、制度健全,管理高效安全
制度管理是电力调度数据网安全运行的前提与基础,要想实现网络运行期间的网络安全首先要编制合理的管理制度,保证制度的合理与安全,实现数据网的功能最大发挥。制度安全涉及项目众多,除了基本的安全保障制度还需要健全安全防护组织机构、人员管理制度及机房管理制度、设备网络管理制度、安全操作管理制度等,除了制度上的健全与规范,安全管理运行离不开科学的防范管理体系,建立完善的防范管理体系可以保证制度管理方案的正常运行,增强电力网络部门之间的稳定性,增强网络威胁的应对能力,提前做好应急预案及演练管理工作,确保在发生危险时网络安全依然可以稳定高效运行。
二、物理环境安全稳定
物理安全主要指电力周边设施对电力调度数据网安全的影响,这是调度数据网络安全的前提。安全高效的物理环境可以保护数据网免受水灾、火灾等环境事故及个人操作事物的影响。物理环境主要包括基本的机房环境、电力调度场地及对应的供电设备安全。积极做好机房环境优化,设置必要的设备防盗防护体系,处理好日常的防雷、防静电等,在物理环境的优化上要根据具体数据网的特点进行合理布置。
三、网络运行的安全技术分析
除了上述提到的制度与物理环境的安全,在电力调度数据中最关键的是网络运行的安全,调动数据网是否能够安全运行主要取决于网络设备、网络结构及对用的安全审计等多个方面的防护措施安全程度。
(一)网络设备安全分析
在网络设备安全中主要涉及到四个方面。首先是网络账号安全。电力调度数据网安全技术设置一定的账号方便账号管理工作,对用户进行身份验证,保证电网信息的安全不泄露。其次是配置安全,主要是基于电力数据网内的关键数据信息进行定期备份处理,每一次关键信息的备份处理都在设备上留有痕迹,保证档案信息有效。再次是审计安全,我国明确要求整个电力调度数据网具备审计功能,做好审计安全可以保证系统设备运行状况、网络流量计用户日常信息更新,为日后查询提供方便。最后是维护安全,要求定期安排技术人员进行设备巡视,对于设备中存在的配置漏洞与书写错误进行检查修复,防止系统漏洞造成的系统崩溃及安全问题。
(二)网络结构安全分析
在计算机网络结构技术分析中我们为了保证电力调度数据网的结构安全可以从以下四个方面入手做好技术升级与完善。首先使用冗余技术设计完成网络拓扑结构,为电力调度提供主要的网络设备及通信线路硬件冗余。其次依据业务的重要性制定带宽分配优先级别,从而保证网络高峰时期的重要业务的宽带运行。再次积极做好业务系统的单独划分安全区域,保证每个安全区域拥有唯一的网络出口。最后定期进行维护管理,绘制网络拓扑图、填写登记信息,并对这些信息进行定期的更新处理。在网络安全结构的设计分析上采用安全为区分与网络专用的原则,对本区的调度数据网进行合理的前期规划,将系统进行实时控制区、非控制生产区及生产管理区的严格区分。坚持“横向隔离,纵向认证”的原则,在网络中部署好必要的安全防护设备。优先做好VLAN及VPN的有效隔离。最后不断优化网络服务体系。网络服务是数据运输及运行的保证,积极做好网络服务可以避免数据信息的破损入侵,在必要情况下关闭电力设备中存在的不安全或者不必要的非法控制入侵行为,切实提高电力调度数据网的安全性能。
四、系统安全管理技术分析
电力调度数据网本身具有网络系统的复杂性,只有积极做好网络系统的安全管理才能实现电力的合理调度。系统管理工作涉及项目繁多,涉及主要的设备采购及软件开发、工程建设、系统备案等多个方面。在进行系统安全管理时要积极做好核心设备的采购、自行或外包软件开发过程中的安全管理、设置必要的访问限制、安全日志及安全口令、漏洞扫描,为系统及软件的升级与维护保驾護航。
五、应用接入安全技术分析
在电力调度的数据网安全技术中,应用接入安全是不可忽视的重要组成部分。目前由于电力二次系统设备厂家繁多,目前国家没有明确统一的指导性标准可供遵循,导致生产厂家的应用接入标准不一,无形之中为安全管理工作带来诸多不便。因此在优化电力调度数据网安全系统时,可以依据调度数据网本身的运行需求,从二次系统业务的规范接入、通信信息的完整性及剩余信息的保护等方面着手,制定出切实可行的安全防护机制,从根本上保障电力调度数据网络的安全稳定。
结束语
电力调度数据网安全技术升级与优化是动态发展的过程,具有一定的复杂性与长期性。随着当前信息技术的发展,电力业务的大量扩展,电力系统漏洞威胁越来越明显,而电力调度的数据网安全技术更新升级与推广也具有了现实的迫切性。目前我国电网公司已经根据电网调度数据网安全性要求加大对安全性技术的研发力度,配套部署了部分安全防护型产品及安全防护技术,但是做好电力调度数据网的安全技术管理依然是任重而道远,需要我们付出不懈的努力。
参考文献
[1]王晓英.电力调度数据网安全防护设计及实现[J].信息安全与通信保密,2012,06:76-77+80.
[2]胡娟,李智欢,段献忠.电力调度数据网结构特性分析[J].中国电机工程学报,2009,04:53-59.
[3]荆铭,邱夕兆,延峰.电力调度数据网安全技术及其应用[A].山东电机工程学会第十二届优秀论文汇编[C].2011:4.
12.数据库安全性分析 篇十二
SQL Server的安全机制可分为以下三个等级:SQL Server的登录安全、数据库的访问安全和数据库对象的使用安全。这三个等级如同三道闸门,可以有效地抵御外部非法侵入,保护数据库中数据的安全。用户在使用SQL Server时,需要经过两个安全阶段:身份验证和权限认证。(1)身份验证阶段:用户在SQL Server上获得对任何数据库的访问权限之前,必须合法的登录到SQL Server上。如果验证通过,用户就可以连接到SQL Server上,否则,服务器将拒绝用户登录,从而保证了系统安全。(2)权限认证阶段:在身份验证阶段,系统只检验用户是否有连接SQL Server实例的权力,如果身份验证通过了,即表示用户可以连接SQL Server实例,否则系统将拒绝用户的连接。
2 提高SQL Server安全的措施
2.1 使用安全的文件系统
NTFS是最适合安装SQL Server的文件系统,它比FAT文件系统更稳定且更容易恢复,而且它还包括一些安全选项,如文件、目录ACL及文件加密(EFS)等。在安装过程中,如果侦测到NTFS,SQLServer将在注册表键和文件上设置合适的ACL。通过EFS的数据库文件将在运行SQL Server的账户身份下进行加密,也只有这个账户才能解密这些文件。
2.2 使用安全的密码策略
安全的密码策略是数据库管理安全配置的第一步,不要让sa账号的密码写于应用程序或者脚本中。SQL Server 2000安装的时候,如果是使用混合模式,那么就需要输入sa的密码,建议不要使用空密码并定期修改密码。数据库管理员应该定期查看是否有不符合密码要求的账号。
2.3 使用安全的账号策略
SQL Server不允许更改sa超级用户名称,更不能删除超级用户,所以必须对sa账号进行严格的保护。数据库管理员可以建立一个拥有与sa一样权限的超级用户来管理数据库。
2.4 加强数据库日志的记录
SQL Server使用数据库的事务日志来恢复事务。事务日志是对数据库中已发生的所有修改和执行每次修改的事务的一连串记录。事务日志记录每个事务的开始,以及在每个事务期间对数据的更改和撤消所做的更改信息。
2.5 使用协议加密
SQL Server使用Tabular Data Stream协议来进行网络数据交换。若不加密,所有的网络传输都是明文的,包括密码、数据库内容等,这就存在一定的安全隐患,所以,最好使用SSL加密协议。以下介绍在SQL Server 2000上启用SSL加密的配置步骤:(1)在服务器端计算机上,单击“Microsoft SQL Server”程序组中的“服务器网络实用工具”;(2)单击选择“强制协议加密”;(3)验证是否启用了TCP/IP和/或命名管道;(4)单击“确定”关闭SQL Server网络实用工具,然后在“SQL Server网络实用工具”消息框中单击“确定”;(5)重新启动SQL Server服务。设置完后,不论客户端是否指定安全连接(即Encrypt=True/False),后续客户端所有连接都将以密文传送。
2.6 修改TCP/IP使用的端口
SQL Server一般使用的端口是1433,在实际配置中选择网络配置中的TCP/IP协议的属性,将TCP/IP使用的默认端口变为其他端口。
3 SQL Server安全系统整体结构
3.1 横向结构
横向看,该系统按照信息获取系统、分析机系统、控制台系统按照功能不同进行了重新的系统模块结构的划分,并补充了实时状态查询模块,增加了数据库安全监控系统安全威胁分析的数据来源,横向结构分:(1)信息获取子系统;(2)分析机子系统;(3)控制台子系统。分析机子系统作为整个系统的中间层,作用在于对从底层接收到的原始数据记录进行进一步的处理。
3.2 纵向结构
从纵向看,与原有系统不同之处在于,新的数据库安全监控系统在采用获取分析响应的体系结构,构建面向对象开发和面向构件开发的技术基础上,新引入了面向服务框架思想,实现了获取与分析的分离,通信与业务的分离。在整个系统中TCP/IP层,即物理网络层,作为底层存在于系统中,在其上构筑的通信托管层则总揽了系统的全部通信工作,是整个系统的总线,支持异步通讯。
3.3 切向结构
若从切面来观察该系统,新系统的关键脉络变得更加清晰明了,两条关键脉络包括:数据和命令,而且互相内部之间实现了高聚合、松祸合,提高了模块的独立化。这里的数据为狭义数据,主要包括了信息生产者向信息消费者提供的信息,而命令则是响应模块对于获取和分析模块进行配置、维护、管理所传送的信息。
4 系统工作原理
该系统是一种基于主机探测的实时自动攻击识别和响应系统,运行于有敏感数据需要保护内部网络中。通过采取主机监控的方式,获取用户的数据库操作信息。借助于自身内置的攻击特征数据库,识别违反用户定义的安全规则,进行应用级攻击检查。
信息获取、分析机以及控制台三个子系统三者之间的主要包括以下几个方面:(1)主机报警实现。探头启动之后,将自动实现对于探头所在主机数据库的监控,获取与数据库操作有关的信息,包括数据库操作的SQL语句、登陆的用户名、数据库主机名称、当前系统用户、操作结果(成功或者失败)等信息,并将信息格式化发送到分析机,分析机通过自身的信息规则分析系统,从这些信息当中分离出对数据库安全有危害的操作,并向控制台发送报警,控制台在接受到报警信息之后,由管理员发出对攻击源IP地址行阻断的命令。(2)命令的下发。控制台对分析机以及探头进行控制,对它们进行维护更新,并通过查询的方式,获取探头以及分析机的运行状态。命令由控制台发出后,向分析机或者经分析机向信息获取部分传达,再分别由分析机以及信息获取部分的响应模块对命令加以实现。(3)数据的传送。探头、分析机以及控制台三者之间通过指定的端口进行数据的传送,所有发送的数据都进行了统一的格式化处理,以固定的格式进行传递。
参考文献
[1]罗运模,王珊.SQL Server数据库系统基础[M].北京:高等教育出版社,2004.
13.数据库安全性分析 篇十三
我国发展互联网的时间比较短,只有二十二年,但是却取得了非常大的成果,尤其是计算机网络的发展,网络数据库破除了传统统计数据、管理数据的弊端,节约了时间和人力的投入,数据的综合性提高,但是在发展的过程中,由于系统的问题或人的因素,容易出现安全的问题。一方面,受到人为蓄意的破坏,尤其是计算机的设备比较落后、网络的安全性比较低的情况下,不法分子通过技术手段,入侵到系统内,盗取、破坏数据库的信息;另一方面,由于操作人员使用不规范性导致的安全问题,如没有开启杀毒软件,浏览广告多的网页,使病毒入侵到电脑中,会造成数据的丢失,再修复进行系统还原,计算机网络中所有的内容将都被清除[1]。
二、关于如何优化计算机的网络数据库的安全技术的几点思考
明确当前我国计算机的网络数据库容易出现的安全问题后,国家和相关部门需要重点研究解决的措施,这需要国家先完善相关内容的法律法规,严厉地打击不法分子,为数据的.安全做好基础。在这个基础上,负责数据库的编程人员要从下面三个方面思考,优化安全技术:
(一)备份数据库中的信息便于恢复。通过上文中的内容我们可以明确,出现安全的问题需要从两个方面入手,一是提高计算机设备的安全性能,二是做好数据的安全功能。第一,计算机系统生产、研发的企业明确责任意识,做好系统的安全性,尤其是用户的访问权限、防火墙等,在整体上保证设备在联网后,可以有效阻击不法分子的入侵;第二,设置相关的程序,使计算机在录入数据的时候,自动备份到闲置硬盘和云盘中,这样可以保证数据的完整性,一旦发生数据丢失、破坏等问题,可以马上找到准确的资料;第三,如果计算机的网络瘫痪,那么就需要进行系统还原或重做系统,这个过程中除了计算机C盘和云盘中的数据被保留外,其余的内容都会被清除,这个时候就可以用备份的数据,使系统还原到相应时间段的状态,保证数据库的完整性[2]。
(二)设置计算机的网络数据库的密码。做好数据的备份后,技术人员要学习国内外先进的经验和技术,做好数据库的密码问题。现阶段防止数据库出现闪失的主要途径就是设置密码,在访问的时候需要通过相应的权限才可以查阅、修改和删除,但是当前密码的类型过于单一,非常容易被破解,所以优化安全技术的另一个重要环节就是提高密码设置的技术。
(三)做好计算机设备的安全功能。强化数据库方面的安全技术需要对计算机设备功能予以优化。具体来讲,现今人们在日常生活中常常会使用到杀毒软件,而实际使用杀毒软件的目的在于能够对计算机中各种数据进行良好保存以及有效管理,这些杀毒软件包含了360卫士、金山毒霸等。用户通过杀毒软件进而将自身计算机系统进行进一步的升级,对于一些存在的漏洞进行及时修复,而对于一些多余的计算机垃圾则可以快速予以良好清理,当然最重要的是及时将潜在入侵的病毒挡在防护网之外[3]。
结论
总之,提高计算机的数据库的安全指数具有重要的现实意义,国家和相关部门需要重点研究。除了文中提到的内容外,对于计算机设备功能方面的实际优化还体现在能够对计算机方面安全系数进行科学合理检验,最终通过上述综合性操作促使计算机在功能上持续保优,进而便于各个用户安全有效的使用计算机,并保存其中的多种信息数据。
参考文献
[1]高建培.基于网络安全角度分析计算机信息系统安全技术的应用[J].网络安全技术与应用,,06:71+73.
[2]王志凌.浅谈数据加密技术在计算机网络通信安全中的应用模式[J].通讯世界,2015,16:45.
14.数据安全是根本 篇十四
瑞星是一名在信息安全产业服役了20多年的“老兵”,始终坚持为信息安全行业提供整体的解决方案、技术研发、产品和相关增值服务。如今,瑞星希望能够在常规的信息安全产品,如桌面安全、编辑安全、管理安全、审计安全、移动安全和计划安全等的基础上,着力发展大数据安全产品,这符合瑞星一直坚持的发展目标――帮助用户有效应对信息安全面临的一切威胁。
装备“新武器”
IDC报告显示,全球数据总量正以每年58%的速度增长,预计到2020年全球数据总量将超过40ZB。而无论是大数据概念诞生前,还是大数据技术蓬勃发展之后,在大多数行业中数据一直以来都是重要的资产。在国内,政企用户对于数据安全的重视度也在逐渐加强。
在此前为客户提供信息安全服务的过程中,瑞星已经发现很多客户都对保障数据安全存在强烈的需求。
所以,瑞星在很早前就围绕大数据安全领域开始了技术研究和资源投入,并很快形成了一套完整的大数据安全能力体系,备份恢复能力就包括在内。
在大数据环境下,现有市场业务的中断是很难避免的。今年5月在互联网行业就连续出现过两起业务中断事故,一个是支付宝的网络瘫痪,另一个是携程服务器故障导致的业务中断。两起事故给企业造成了非常大的损失。在此形势下,备份恢复软件成为企业们力争最大程度减少损失的有力助手,而企业也会对备份恢复软件提出更多的需求。“第一是操作体验要简单,以实现数据备份、恢复的一体化。第二是软件要具备应急接管的能力,不管发生什么故障,都要保障客户业务的连续性。”瑞星产品经理付芳芳说。
如今市场上,企业级的安全产品中已经出现了很多主机安全类、终端安全类、网路安全类产品,但专注于数据安全类的产品为数不多,能够帮助用户消除最新痛点,有效满足用户最新需求的数据安全产品更是凤毛麟角。为此,瑞星基于从前经验积累,与合作伙伴一起开发了瑞星备份恢复系统(Rising Backup Solution以下简称RBS)。
“我们对大数据安全的理解分为两个层面。第一个层面是如何利用大数据技术提供更好的安全产品,在这部分瑞星做得非常早。从现有产品来看,以瑞星终端安全管理系统和企业级网络安全预警系统这两个产品为代表,典型地应用了大数据的安全理念和技术。第二个层面就是数据本身的安全问题。为了满足客户保障数据安全的需求,瑞星迈出了第一步,就是和上海数腾软件科技有限公司(以下简称上海数腾)合作开发RBS产品。”瑞星市场部总经理唐威如是说。
“应急接管”是张好牌
RBS是一款针对行业客户践行“互联网+”战略而配套的大数据安全产品,旨在为用户提供系统整体应急保障、故障接管和数据恢复服务。该产品支持多种服务器品牌、操作系统类型和应用数据,为受保护的X86服务器物理机和虚拟机提供系统整体应急保障与运维支持。能够在几分钟内实现对受保护业务应用的故障后接管,可构建与原主机配置环境完全一致的业务应用故障应急场景。在故障服务器修复后,也可在短时间内完成故障服务器的整机无缝恢复和整体异机迁移。
据付芳芳介绍,RBS产品具有以下特色:
第一个特色,是支持瑞星的一体化备份技术。传统的备份模式是,当需要做数据备份时,如果想把数据再恢复回去,首先要先安装操作系统,然后安装应用软件,之后把数据库装上,然后再把备份的数据倒回到数据库中,这样才算完成恢复过程。但这个过程对于用户来说,在实际操控上是相对复杂的,所以瑞星开发了一体化备份技术。一体化是指,不单能够做到数据的备份和恢复,也能同步实现操作系统、应用程序的备份和恢复。这样,用户就不需要进行复杂的操作,由此也节省了数据恢复时间。此外,整机一体化的备份与应急可支持主流的操作系统,比如不光支持Windows平台,对于VMware、Hyper-V、思杰等虚拟化平台也能提供支持。在数据库方面,主流的数据库目前也能够支持。
第二个特色,就是能够做到直接应急。无论用户出现的是软件故障还是硬件故障,RBS都可以在任意历史时间点启动虚拟机。RBS里面包含多个历史时间点,可以让用户的数据回滚到故障发生之前的任意前1秒钟状态。然后,RBS会做应急接管。一般情况下,接管时间是3~5分钟,这3~5分钟实际上被用于启用虚拟机。
第三个特色,使用RBS实现整体业务恢复,也可以一键式地选择恢复到原机还是异机,并且同时兼容物理服务器和虚拟服务器。
“在这个产品中,瑞星主打应急接管这张牌,因为备份产品在市场上已经很多了,但应急接管是其他竞争对手还没有过多关注的点。”瑞星销售部总经理王志强表示。
合作伙伴很重要
瑞星专注信息安全行业多年,也是国内较早从事信息安全技术开发的公司,多年积累也让瑞星拥有了过硬的信息安全技术研发实力、强大的品牌号召力和渠道影响力。上海数腾是一家专门从事数据与业务保障、运维方案的厂商,在数据备份与系统应急方面具有丰富经验。所以在开发RBS产品时,双方能够做到“一拍即合”。
“上海数腾在数据安全行业从事多年,有一定的积累。比如对数据安全行业有更深刻的理解,也积累了长期的数据救援经验。在七八年前,上海数腾也做过备份业务,后来也延伸到应用安全、连续性管理相关技术的开发。我们的这些积累被瑞星发现了,所以一起就共同的目标开始了合作。”上海数腾CEO马建军如是说。
15.对分布式数据库系统的安全分析 篇十五
关键词:分布式,数据库系统,安全分析
分布式数据库作为一种计算机数据库系统, 对计算机数据储存于共享尤为重要。在计算机飞速发展的时代, 分布式数据库系统的应用在带来方便的同时, 也面临着巨大挑战, 必须尽快找出处在不安全因素, 并采取相应的安全措施进行处理, 从而为用户使用提供安全性保障。
1 分布式数据系统的不安全因素
1.1 黑客攻击
黑客攻击的方法是各种各样的, 不仅能够利用网络信息上的“监听客户—数据库服务器—服务器的报文”的方式来窃取数据信息, 还可利用用户的口令实施身份攻击。此外, 为了达到攻击的目的性, 黑客还可通过破译攻击方式, 使用密码分析来获取加密文件, 再解密或者是篡改数据信息。一般情况下, 黑客攻击的目的主要是为了扰乱系统的稳定运行与窃取数据信息, 其中黑客攻击的方式包括3种类型:假装攻击、迂回攻击及窃取攻击。
1.2 内部威胁
由于分布式数据库系统终端位置的物理特性分布具有分散性的特点, 威胁到系统运用内部本身的安全性, 加上它的每一个分站点都会存在薄弱环节, 会直接给整个系统运行的安全带来威胁。因此, 对于每一个分站点的潜在安全风险引起的问题, 都会发出警报, 这时必须充分利用网络安全性为系统提供安全防护措施。
1.3 计算机病毒
计算机病毒的发展与网络、自身因素有关, 对计算机网络来说, 网络环境的开发性加快了计算机病毒传播的速度, 难以根除计算机病毒。对计算机病毒本身而言, 计算机病毒本身具有传染性较强、隐蔽性良好和传播速度快的特点, 在发现病毒的时候通常已经被感染计算机病毒。
2 分布式数据库系统安全防护措施
2.1 建立安全审核系统
在运用分布式数据库系统过程中, 应建立安全审核系统, 对获得任何时间、用户访问数据库系统具有举足轻重的作用, 能够提升数据库系统使用的安全性。并且还应建立相应的用户权限安全性审核体系, 用来找出威胁系统安全性的来源, 以此建立有针对性的数据库安全防护系统。例如某省公安厅交通警察总队的某个项目中, 运用了数据库系统安全审计系统, 通过部署数据库审核系统, 在不更改业务网络结构基础上, 采用旁路镜像方法, 实时采集服务器和数据库网络数据流, 协议分析和识别信息数据, 最终将全部网络操作进行还原, 然后记录储存于取证分析操作痕迹, 以此提出相应的设定安全策略, 审核多个不同的分站点, 防止违规操作同时, 向管理员报警, 从而实现分布式部署。
2.2 净化网络环境
针对上述复杂、开放性网络环境条件下, 分布式数据库系统运用中存在的不安全因素, 为了降低网络环境的影响力, 真正做到安全防范, 必须净化网络环境, 加强网络管理力度, 为系统使用的安全性提供保障。例如某市为了净化网络环境, 确保计算机信息系统安全, 促进计算机应用与发展, 按照《中华人民共和国计算机信息系统安全保护条例》相关规定, 结合当地计算机应用情况, 明确相关部门工作职责, 加强网络管理, 收集和通报计算机病毒, 对计算机病毒来源进行追查, 定期检测计算机病毒, 及时消除计算机病毒传播与扩散。
2.3 病毒防控措施
分布式数据库系统内部储存与管理着海量数据信息, 都是为了防止黑客利用各种非法手段篡改、破坏和窃取数据库中的文件, 为了保护数据库系统中全部文件的安全性与完整性, 必须对分布式数据库系统中的数据库文件进行病毒防控, 做好相应的病毒预防与控制措施, 从而有效降低黑客攻击的威胁性。例如某校为了预防与控制本校计算机感染病毒, 维护用户利益, 按照国家与公安部门相关规定, 结合本校的实情, 制定相应的病毒防控措施, 要求学校信息化建设和管理领导小组负责病毒预防与控制工作, 并成立病毒防控小组, 负责监督与指导病毒防控工作, 根据有关规定检测计算机系统和软件的病毒, 对产生病毒计算机进行清除, 并更新防病毒软件, 新接入的软件必须经过检测, 确定没有病毒后才能使用。
2.4 保密安全措施
用户访问权限在通过一系列身份验证后, 分站点和分站点之间才可以进行数据互动。为了确保数据信息的保密性, 在数据信息传递的整个过程中, 一般会对需要传输的数据信息设置密码, 在通信双方建立一条保密通道, 对数据信息访问与传输进行加密处理, 以此避免数据被窃取、反复发送及遭到黑客攻击。另外, 应使用实时入侵检测方式, 加大分站点之间的安全监测力度, 在通信双方建立一条安全通道, 加强数据信息传输的保密性。例如某公司为了确保整个分布式数据系统信息系统中数据信息的保密性, 在发送信息数据过程中, 使用端对端加密方式对数据信息进行加密, 然后进入TCP/IP数据包封装, 将其设置成不可识别或者是不可阅读的信息数据, 最后通过网络方式传送到另一个用户系统中 (目的地) , 再对信息数据进行解密重组, 变成可读数据信息。
3 结束语
在开放式和复杂的网络环境中运用分布式数据库系统时, 应充分分析了解不安全因素, 通过建立访问控制和审计体系和安全审核系统方式, 净化网络环境, 实时预防和控制病毒传播, 从而做好分布式数据库系统保密安全措施, 确保分布式数据库系统安全使用。
参考文献
[1]邹平吉.对分布式数据库系统的安全分析与探讨[J].林区教学, 2013 (12) :98-100.
【数据库安全性分析】推荐阅读:
数据运营数据分析报告11-02
大数据挖掘与数据分析07-13
数据库的发展趋势分析09-08
cnki数据库分析功能12-30
数据分析分析技术03-03
sql 数据库 实验九:T-SQL语言、存储过程及数据库的安全性08-01
数据分析论文06-16
数据分析程序08-04
业务数据统计分析08-05
淘宝零售数据分析08-19