http://soft.yesky.com/securityw/aqff/478/3318478.shtml

資料庫系統安全框架與其各層安全技術

 

  隨著電腦技術的飛速發展,資料庫的應用十分廣泛,深入到各個領域,但隨之而來產生了資料的安全問題。各種應用系統的資料庫中大量資料的安全問題、敏感性資料的防竊取和防篡改問題,越來越引起人們的高度重視。資料庫系統作為資訊的聚集體,是電腦資訊系統的核心部件,其安全性至關重要,關係到企業興衰、成敗。因此,如何有效地保證資料庫系統的安全,實現資料的保密性、完整性和有效性,已經成為業界人士探索研究的重要課題之一,本文就安全防入侵技術做簡要的討論。

 

  資料庫系統的安全除依賴自身內部的安全機制外,還與外部網路環境、應用環境、從業人員素質等因素息息相關,因此,從廣義上講,資料庫系統的安全框架可以劃分為三個層次:

 

  (1)網路系統層次;

 

  (2)宿主作業系統層次;

 

  (3)資料庫管理系統層次。

 

  這三個層次構築成資料庫系統的安全體系,與資料安全的關係是逐步緊密的,防範的重要性也逐層加強,從外到內、由表及裡保證資料的安全。下面就安全框架的三個層次展開論述。

 

  1.網路系統層次安全技術

 

  從廣義上講,資料庫的安全首先依賴於網路系統。隨著Internet的發展和普及,越來越多的公司將其核心業務向互聯網轉移,各種基於網路的資料庫應用系統如雨後春筍般湧現出來,面向網路使用者提供各種資訊服務。可以說網路系統是資料庫應用的外部環境和基礎,資料庫系統要發揮其強大作用離不開網路系統的支援,資料庫系統的用戶(如異地用戶、分散式使用者)也要通過網路才能訪問資料庫的資料。網路系統的安全是資料庫安全的第一道屏障,外部入侵首先就是從入侵網路系統開始的。網路入侵試圖破壞資訊系統的完整性、機密性或可信任的任何網路活動的集合,具有以下特點:

 

  a)沒有地域和時間的限制,跨越國界的攻擊就如同在現場一樣方便;

 

  b)通過網路的攻擊往往混雜在大量正常的網路活動之中,隱蔽性強;

 

  c)入侵手段更加隱蔽和複雜。

 

  電腦網路系統開放式環境面臨的威脅主要有以下幾種類型:

 

  a)欺騙(Masquerade);

 

  b)重發(Replay);

 

  c)報文修改(Modification of message);

 

  d)拒絕服務(Deny of service);

 

  e)陷阱門(Trapdoor);

 

  f)特洛伊木馬(Trojan horse);

 

  g)攻擊,如透納攻擊(Tunneling Attack)、應用軟體攻擊等。這些安全威脅是無時、無處不在的,因此必須採取有效的措施來保障系統的安全。

 

從技術角度講,網路系統層次的安全防範技術有很多種,大致可以分為防火牆、入侵偵測、協作式入侵偵測技術等。

 

  (1)防火牆是應用最廣的一種防範技術:

 

  作為系統的第一道防線,其主要作用是監控可信任網路和不可信任網路之間的訪問通道,可在內部與外部網路之間形成一道防護屏障,攔截來自外部的非法訪問並阻止內部資訊的外泄,但它無法阻攔來自網路內部的非法操作。它根據事先設定的規則來確定是否攔截資訊流的進出,但無法動態識別或自我調整地調整規則,因而其智慧化程度很有限。防火牆技術主要有三種:資料包篩檢程式(packet filter)、代理(proxy)和狀態分析(stateful inspection)。現代防火牆產品通常混合使用這幾種技術。

 

  (2)入侵偵測(IDS—Instrusion Detection System)是近年來發展起來的一種防範技術:

 

  綜合採用了統計技術、規則方法、網路通信技術、人工智慧、密碼學、推理等技術和方法,其作用是監控網路和電腦系統是否出現被入侵或濫用的徵兆。1987年,Derothy Denning首次提出了一種檢測入侵的思想,經過不斷發展和完善,作為監控和識別攻擊的標準解決方案,IDS系統已經成為安全防禦系統的重要組成部分。

 

  入侵偵測採用的分析技術可分為三大類:簽名、統計和資料完整性分析法。

 

  簽名分析法:

 

  主要用來監測對系統的已知弱點進行攻擊的行為。人們從攻擊模式中歸納出它的簽名,編寫到IDS系統的代碼裡。簽名分析實際上是一種範本匹配操作。

 

  統計分析法:

 

  以統計學為理論基礎,以系統正常使用情況下觀察到的動作模式為依據來判別某個動作是否偏離了正常軌道。

 

  資料完整性分析法:

 

  以密碼學為理論基礎,可以查證檔或者物件是否被別人修改過。

 

  IDS的種類包括基於網路和基於主機的入侵監測系統、基於特徵的和基於非正常的入侵監測系統、即時和非即時的入侵監測系統等。

 

  (3)協作式入侵監測技術:

 

  獨立的入侵監測系統不能夠對廣泛發生的各種入侵活動都做出有效的監測和反應,為了彌補獨立運作的不足,人們提出了協作式入侵監測系統的想法。在協作式入侵監測系統中,IDS基於一種統一的規範,入侵監測元件之間自動地交換資訊,並且通過資訊的交換得到了對入侵的有效監測,可以應用於不同的網路環境。

 

  2.宿主作業系統層次安全技術

 

  作業系統是大型資料庫系統的運行平臺,為資料庫系統提供一定程度的安全保護。目前作業系統平臺大多數集中在Windows NTUnix,安全級別通常為C1C2級。主要安全技術有作業系統安全性原則、安全管理策略、資料安全等方面。

 

  作業系統安全性原則用於配置本地電腦的安全設置,包括密碼策略、帳戶鎖定策略、稽核原則、IP安全性原則、用戶權利指派、加密資料的恢復代理以及其它安全選項。具體可以體現在用戶帳戶、口令、存取權限、審計等方面。

 

  ◆用戶帳戶:使用者訪問系統的“身份證”,只有合法用戶才有帳戶。

 

  ◆口令:使用者的口令為使用者訪問系統提供一道驗證。

 

  ◆存取權限:規定用戶的許可權。

 

  ◆審計:對使用者的行為進行跟蹤和記錄,便於系統管理員分析系統的訪問情況以及事後的追查使用。

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 ivan0914 的頭像
    ivan0914

    I'n Blog 之萬象真藏

    ivan0914 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄