我们都知道,数据库作为非常重要的存储工具,存放着大量有价值或敏感信息, 这些信息包括金融财政、知识产权、企业数据等方方面面的内容。因此,数据库常常会被不法分子利用,形成黑色信息产业链,最终导致悲剧的发生,所以,保证数据库安全变得尤为重要。

数据库存在的风险

数据库安全性是指保护数据库,防止不合法的使用造成数据泄露、更改或破坏。不过安全性问题不是只有数据库系统存在,所有计算机系统都有这个问题,只是数据库系统中大量数据集中存放,而且被许多最终用户直接共享,从而使安全性问题更为突出。

数据库的风险主要来源于两个方面,一个是外部攻击,另一个是内部人员(有权限人员)的违规操作(故意或者无意)。常见数据库安全问题有:错误的部署、基础设施薄弱、SQL注入、数据泄露、数据库备份信息被盗、违法操作等。

实现数据库安全性控制的常用方法

数据库的安全性和计算机系统的安全性,包括操作系统、网络系统的安全性是紧密联系、相互支持的。实现数据库安全性控制的常用方法和技术有:

1

用户标识与鉴别

用户标识与鉴别是数据库系统提供的最外层安全保护措施。系统提供一定的方式让用户标识自己的名字或身份。当用户要求进入系统时,由系统核对用户提供的身份标识,通过鉴定后才提供系统的使用权。用户标识和鉴别简单易行,但是有两个明显的缺点:一是容易被人窃取身份标识,二是难以防范内部人员主动泄露身份信息。

2

存取控制

通过定义用户权限和检查合法权,确保只有合法权限的用户访问数据库,所有未被授权的人员无法存取数据。然而,存取控制能保证内部人员访问的合法性,却无法避免来自外部的黑客攻击。

3

视图机制

为用户定义视图,通过视图机制把要保密的数据对无权存取这些数据的用户隐藏起来,从而自动地对数据提供一定程度的安全保护。视图机制主要功能在于提供数据独立性,其安全保护功能不够精细,难以达到应用系统的要求。

4

数据加密

对存储和传输的数据进行加密处理,从而使得不知道解密算法的人无法获知数据的内容。通常加密的方法有替换、置换、混合加密等。虽然通过密钥的保护是加密技术的重要手段,但如果采用同种的密钥来管理所有数据的话,对于一些不法用户可以采用暴力破解的方法进行攻击。此外,当加密出现问题时,可能导致文档的直接损坏丢失,造成无法挽回的损失。

5

审计:

建立审计日志,把用户对数据库的所有操作自动记录下来放入审计日志中,DBA可以利用审计跟踪的信息,重现导致数据库现有状况的一系列事件,找出非法存取数据的人、时间和内容等。由于任何系统的安全性措施都不可能是完美无缺的,蓄意盗窃、破坏数据的人总是想方设法打破控制。所以,当数据相当敏感,或者对数据的处理极为重要时,就必须使用审计技术。审计作为重要的补充手段,审计方式是数据库安全不可或缺的一部分,也是数据库系统的最后一道重要的安全防线。

数据库审计的作用

大量事实表明,大部分数据泄漏和篡改事件都是“内部人员”作案,他们有合法的帐号口令,把自己伪装成一个“合法”的内部人员,堂而皇之的窃取数据库信息,根本不用任何攻击手段,防火墙、IDS/IPS之类的传统安全系统根本发现不了。因此,在考虑到入侵防御、访问身份认证、数据加密等安全措施的同时,也要对数据库系统的使用进行监控和审计。

审计是一种监视措施,跟踪记录有关数据的访问活动。审计追踪把用户对数据库的所有操作自动记录下来,存放在审计日志中(Audit Log)。记录的内容一般包括:操作类型(如修改、查询、删除),操作终端标识与操作者标识,操作日期和时间,操作所涉及到相关数据(如基本表、视图、记录、属性等),数据库的前象和后象等。利用这些信息,可以进一步找出非法存取数据库的人、时间和内容等以保障数据库安全。最关键的就在于对内部人员的违规和误操作进行监控和审计,而这,正是数据库审计系统的特长。

作者 昂楷科技

昂楷科技 ----专注数据库安全http://www.ankki.com 深圳昂楷科技有限公司专注于数据库安全技术研究和产品研发,已成功研制出数据库审计系统、医疗防统方系统、云数据库审计系统、集中监控管理平台等一系列数据安全产品。

陕ICP备11003551号-2