① 保證資料庫安全的一般方法包括哪四種
1.資料庫用戶的管理,按照資料庫系統的大小和資料庫用戶所需的工作量,具體分配資料庫用戶的數據操作許可權,控制系統管理員用戶賬號的使用。
2.建立行之有效的資料庫用戶身份確認策略,資料庫用戶可以通過操作系統、網路服務以及資料庫系統進行身份確認,通過主機操作系統進行用戶身份認證。
3.加強操作系統安全性管理,數據伺服器操作系統必須使用正版軟體,同時要有防火牆的保護。
4.網路埠按需開放,根據實際需要只開放涉及業務工作的具體網路埠,屏蔽其它埠,這樣可以在較大程度上防止操作系統受入侵。
② 怎麼保證企業資料庫的安全有哪些安全措施
制定一個成功的資料庫安全策略的關鍵在於你要了解為什麼要保護資料庫,保護哪個資料庫,以及如何最好的保護數據以應對所有類型的威脅,遵從各種規范——如SOX、HIPAA、PCI DSS、GLBA 和歐盟法令。在最新的研究中,建議企業按照以下三點來建立完整的資料庫安全策略:
1、建立一個集身份驗證、授權、訪問控制、發現、分類,以及補丁管理於一體的堅實基礎。
了解哪些資料庫包含敏感數據是資料庫安全戰略的基本要求。企業應對所有的資料庫採取一個全面的庫存管理,包括生產和非生產的,並且遵循相同的安全政策給它們劃分類別。所有的資料庫,尤其是那些存有私人數據的資料庫,應該有強的認證、授權和訪問控制,即使應用層已經完成了認證和授權。缺乏這些堅實基礎會削弱審計、監察和加密等其他的安全措施。
此外,如果不能每季度給所有的關鍵資料庫打補丁,那麼至少半年一次,以消除已知的漏洞。使用滾動補丁或從資料庫管理系統(DBMS)的供應商和其他廠商那裡收集信息,以盡量減少應用補丁的停機時間。始終在測試環境下測試安全補丁,定期運行測試腳本,以確保修補程序不影響應用程序的功能或性能。
2、使用具有數據屏蔽、加密和變更管理等功能的預防措施
在建立了一個堅實和基本的資料庫安全策略後,就應該開始採取預防措施,以保護重要的資料庫。這樣就為生產和非生產資料庫提供了一個保護層。數據隱私不隨著生產系統而停止,它也需要擴展到非生產環境,包括測試、開發、質量保證(QA)、分階段和訓練,基本上所有的私有數據都可以駐留。資料庫安全專業人士應該評估在測試環境中或外包應用開發中用數據屏蔽和測試數據生成來保護私有數據的效果。
使用網路加密以防止數據暴露給在監聽網路流量或數據靜止加密的窺視者(他們關注存儲在資料庫中的數據)。當數據針對不同的威脅,這些加密方法可以實現相互獨立。通常情況下,也不會對應用程序的功能有影響。
保護關鍵資料庫的結構要按照標准化的變更管理程序來進行。在過去,對生產環境中的計劃或其它資料庫進行變更時需要關閉資料庫,但新版本的資料庫管理系統允許在聯機時進行這些更改,這就帶來了新的安全風險。一個標准化的變更管理程序能確保只有管理員在得到管理部門批准後才能改變生產資料庫並且跟蹤所有資料庫的變更。機構還應該更新自己的備份和可行性計劃,以處理數據或元數據因這些變更而發生的改變。
3、建立具有審計、監測和漏洞評估功能的資料庫入侵檢測系統
當重要數據發生意外變化或者檢測到可疑數據時,有必要進行一個快速的調查來查看發生了什麼事情。資料庫里的數據和元數據可以被訪問、更改甚至是刪除,而且這些都可以在幾秒鍾的時間內完成。通過資料庫審計,我們能夠發現「是誰改變了數據」和「這些數據是什麼時候被改變的」等問題。為了支持之前提到的管理條例標准,安全和風險管理的專業人士應該追蹤私人數據的所有訪問途徑和變化情況,這些私人數據包括:信用卡卡號、社會安全卡卡號以及重要的資料庫的名稱和地址等信息。如果私人數據在沒有授權的情況下被更改或者被訪問,機構應該追究負責人的責任。最後,可以使用漏洞評估報告來確定資料庫的安全空白地帶,諸如弱效密碼、過多的優先訪問權、增加資料庫管理員以及安全群組監測。
牢記安全政策、安全標准、角色分離和可用性
資料庫安全策略不僅關注審計和監測,它也是一個端到端的過程,致力於減少風險、達到管理條例的要求以及防禦來自內部和外部的各種攻擊。資料庫安全需要把注意力更多地放在填補安全空白、與其他安全政策協作以及使安全方式正式化上。在草擬你的安全策略時,要使你的資料庫安全政策與信息安全政策一致;要注意行業安全標准;要強調角色分離;要清楚描述出數據恢復和數據使用的步驟。
③ 關於資料庫安全及其防範方案的分析
關於資料庫安全及其防範方案的分析
隨著網路的不斷發展,數據的共享日益加強,數據的安全保密越來越重要。為了計算機資料庫整體安全性的控制,需要做好很多細節性的工作,並根據具體應用環境的安全需要來分析安全薄弱環節,並制定統一的安全管理策略加以實施,以保證其最高的安全性。
1.資料庫安全環境的分析
隨著時代的發展,我國的計算機信息安全標准也在不斷提升。在當下的資料庫系統安全控制模塊中,我國資料庫安全分為不同的等級。但是總體來說,我國的資料庫安全性是比較低的,這歸結於我國數據技術體系的落後。為了更好的健全計算機資料庫體系,進行資料庫安全體系的研究是必要的。我國現有的一系列數據安全理論是落後於發達國家的。這體現在很多的應用領域,比如電力領域、金融領域、保險領域等。很多軟體都是因為其比較缺乏安全性而得不到較大范圍的應用,歸根結底是資料庫安全性級別比較低。
為了滿足現階段資料庫安全工作的需要,進行相關標準的深化研究是必要的。這需要對資料庫安全進行首要考慮,且需要考慮到方方面面,才更有利於資料庫保密性的控制,從而保證這些數據存儲與調用的一致性。
在當前資料庫安全控制過程中,首先需要對這些數據進行可用性的分析,從而有利於避免資料庫遭到破壞,更有利於進行資料庫的損壞控制及其修復。其次為了保證資料庫的安全性、效益性,也離不開對資料庫整體安全性方案的應用。最後必須對資料庫進行的一切操作進行跟蹤記錄,以實現對修改和訪問資料庫的用戶進行追蹤,從而方便追查並防止非法用戶對資料庫進行操作。
2.資料庫安全策略的更新
為了滿足現階段資料庫安全性方案的應用,進行身份的鑒別是必要的。所謂的身份鑒別就是進行真實身份及其驗證身份的配比,這樣可以避免欺詐及其假冒行為的發生。身份鑒別模式的應用,表現在用戶使用計算機系統進行資源訪問時。當然在一些特定情況下,也要進行身份鑒別,比如對某些稀缺資源的訪問。
身份鑒別通常情況下可以採用以下三種方法:一是通過只有被鑒別人自己才知道的信息進行鑒別,如密碼、私有密鑰等;二是通過只有被鑒別人才擁有的信物進行鑒別,如IC 卡、護照等;三是通過被鑒別人才具有的生理或者行為特徵等來進行鑒別,如指紋、筆跡等。
在當前訪問控制模塊中,除了進行身份鑒別模式的應用外,還需要進行信息資源的訪問及其控制,這樣更有利於不同身份用戶的許可權分配。這就需要進行訪問級別的控制,針對各個系統的內部數據進行操作許可權的控制,進行自主性及其非自主性訪問的控制,滿足資料庫的安全需要。實現用戶對資料庫訪問許可權進行控制,讓所有的用戶只能訪問自己有許可權使用的數據。當某一個用戶具有對某些數據進行訪問的許可權時,他還可以把對這些數據的操作許可權部分或者全部的轉移給其他用戶,這樣其他的用戶也獲得了對這些數據的訪問權。
為了更好的進行資料庫的安全管理,審計功能的應用也必不可少。這需要就資料庫的數據進行統一性的操作。這樣管理員更加方便對資料庫應用情況進行控制,審計功能也有利於對資料庫的操作行為進行控制,更有利於控制用戶對資料庫的訪問。攻擊檢測是通過升級信息來分析系統的內部和外部所有對資料庫的攻擊企圖,把當時的攻擊現場進行復原,對相關的攻擊者進行處罰。通過這種方法,可以發現資料庫系統的安全隱患,從而來改進以增加資料庫系統的安全性。
在資料庫數據處理過程中,可以進行一些合法查詢模式的應用,當需要調取保密數據時,就需要應用推理分析模塊。這是資料庫安全性方案控制過程中的重難點,而通過這種簡單的推理分析方法調取保密數據,是得不到有效解決的。但是我們可以使用以下幾種方法來對這種推理進行控制:數據加密的基本思想就是改變符號的排列方式或按照某種規律進行替換,使得只有合法的用戶才能理解得到的數據,其他非法的用戶即使得到了數據也無法了解其內容。
通過對加密粒度的應用,更有利於進行資料庫加密性的控制。其分為幾種不同的應用類型等級。在當前應用模塊中,需要進行數據保護級別的分析,進行適當的加密粒度的分析。更有利於滿足資料庫級別加密的需要。該加密技術的應用針對的是整體資料庫,從而針對資料庫內部的表格、資料等加密。採用這種加密粒度,加密的密鑰數量較少,一個資料庫只需要一個加密密鑰,對於密鑰的管理比較簡單。但是,由於資料庫中的數據能夠被許多的用戶和應用程序所共享,需要進行很多的數據處理,這將極大的降低伺服器的運行效率,因此這種加密粒度只有在一些特定的情況下才使用。
表級加密也是比較常用的方法,這種方法應用於資料庫內部的數據加密。針對具體的存儲數據頁面進行加密控制。這對於系統的運行效率的提升具備一定的幫助,不會影響系統的運行效率。這種方法需要應用到一些特殊工具進行處理,比如解釋器、詞法分析器等,進行核心模塊的控制,進行資料庫管理系統源代碼的控制及其優化。但是其難以確保資料庫管理系統的整體邏輯性,也存在缺陷。記錄級加密;這種加密技術的加密粒度是表格中的每一條記錄,對資料庫中的每一條記錄使用專門的函數來實現對數據的加密、解密。通過這種加密方法,加密的粒度更加小巧,具有更好的選擇性和靈活性。欄位級加密;這種加密技術的加密粒度是表格中的某一個或者幾個欄位。通過欄位級的加密粒度只需要對表格中的敏感列的數據進行加密,而不需要對表格中的所有的數據進行加密。
選擇加密演算法也是比較常見的數據加密方法。它是數據加密的核心部分。對於資料庫的整體安全性的控制具有直接性的影響。通過對加密演算法的分析,得知其分為公共密鑰加密及其對稱加密。在數據加密模塊中,需要進行密文及其明文的區分,從而進行明文及其密文的轉換,也就是普遍意義上的密碼。密碼與密鑰是兩個不同的概念。後者僅是收發雙方知道的信息。在數據加密技術中,對密鑰進行管理主要包括以下幾個方面,產生密鑰。產生怎樣的密鑰主要取決於使用什麼樣的演算法。若產生的密鑰強度不一樣就稱這種演算法實現的是非線性的密鑰空間,若產生的密鑰強度一樣就稱這種演算法實現的是線性的密鑰空間。分配密鑰、傳遞密鑰:分配密鑰就是產生一個密鑰並且將這個密鑰分配給某個用戶使用的過程。
密鑰的傳遞分為不同的應用形式,集中式與分散式。所謂的集中式就是進行密鑰整體式的傳遞;所謂的分散式就是對密鑰的多個部分進行劃分,以秘密的方法給用戶進行傳遞。通過將整體方法與分散方法應用到存儲模塊中,更好的滿足現階段資料庫整體安全性的需要。對於密鑰的備份可以使用和對密鑰進行分散存儲一樣的方式進行,以避免太多的人知道密鑰;而銷毀密鑰需要有管理和仲裁機制,以防止用戶對自己的操作進行否認。
3.結束語
隨著計算機,特別是網路的不斷發展,數據的共享日益加強,數據的安全保密越來越重要。本文詳細闡述了資料庫的安全防範,分別從數據分析、用戶鑒別、訪問許可權控制、審計、數據加密等環節逐一剖析資料庫安全。為了計算機資料庫整體安全性的控制,需要做好很多細節性的工作,並根據具體應用環境的安全需要來分析安全薄弱環節,並制定統一的安全管理策略加以實施,以保證其最高的安全性。
