科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道建立安全模型 保障Web数据库安全运行

建立安全模型 保障Web数据库安全运行

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

随着Web数据库的应用越来越广泛,Web数据库的安全问题日益突出,如何才能保证和加强数据库的安全性已成为目前必须要解决的问题。

作者: 中国计算机报 来源:中国计算机报 2008年4月14日

关键字: Web数据库 安全模型 安全运行 安全策略 Web技术

  • 评论
  • 分享微博
  • 分享邮件

随着Web数据库的应用越来越广泛,Web数据库的安全问题日益突出,如何才能保证和加强数据库的安全性已成为目前必须要解决的问题。

数据库系统安全控制模式

Web数据库是数据库技术与Web技术的结合,其中存在诸多安全隐患,如通过网络传输的用户名和密码很容易被人窃取。用户读取的数据可能被截取、篡改等。如何保障Web数据库的安全运行呢?

建立安全模型

通常,安全措施是计算机系统中用户使用数据库应用程序一直到访问后台数据库要经过的安全认证过程。

当用户访问数据库时首先通过数据库应用程序进入到数据库系统,这时数据库应用程序将用户提交的用户名与口令(口令密文)交给数据库管理系统进行认证,在确定其身份合法后,才能进入下一步的操作。当要对数据库中的对象(表、视图、触发器、存储过程等)进行操作时,也必须通过数据库访问的身份认证,只有通过了数据库的身份认证才能对数据库对象进行实际的操作。

通过身份认证的用户,只是拥有了进入应用系统和数据库的“凭证”,但用户在应用系统和数据库中可以进行什么样的操作,就要依靠“访问控制”和“存取控制”的权限分配和约束。其中“访问控制”与应用系统相关,决定当前用户可以对应用系统中哪些模块、模块中的哪些工作流程进行管理;“存取控制”与数据库相关联,决定当前用户可以对数据库中的哪些对象进行操作,以及可以进行何种操作。虽然“访问控制”和“存取控制”可以将用户的应用系统访问范围最小化,数据对象操作权限最低化,但是就数据库本身而言,利用这种视图、触发器、存储过程等方法来保护数据和对一些敏感数据的“加密存储”也是数据库管理系统提供的安全策略。

审计追踪和数据备份

目前还没有任何一种可行的方法来彻底解决合法用户在通过身份认证后滥用特权的问题,但审计追踪仍是保证数据库安全不可缺的一道重要防线。

审计是一种监视措施,跟踪记录有关数据的访问活动。审计追踪把用户对数据库的所有操作自动记录下来,存放在审计日志中(Audit Log)。记录的内容一般包括:操作类型(如修改、查询、删除),操作终端标识与操作者标识,操作日期和时间,操作所涉及到相关数据(如基本表、视图、记录、属性等),数据库的前象和后象等。利用这些信息,可以进一步找出非法存取数据的库人、时间和内容等。

数据库管理系统往往都将其作为可选特征,允许相应的操作语句可灵活的打开或关闭审计功能。

    • 评论
    • 分享微博
    • 分享邮件
          邮件订阅

          如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

          重磅专题
          往期文章
          最新文章