论文部分内容阅读
自美国1969年创建互联网开始到1991年第一个互联网接口被开发出来,互联网技术得到了快速的发展,并推动了时代的进步,随着数据库技术被广泛应用到互联网中,其诸多的漏洞逐渐出现,这些漏洞是黑客攻击电脑的重要途径,给计算机系统的安全带来了很大的威胁。本文主要分析了计算机网络数据库存在的各种安全威胁,并有针对性的提出了应对措施,以期对计算机网络数据库的安全管理有一定的推动作用。
一、互联网数据库安全概述
为了有效的避免用户非法越权使用数据库、窃取和更改、甚至破坏数据,我们必须对数据库采取安全保护措施,数据库安全包括如下几点。
1.物理完整性。数据不会受到自然及物理问题的破坏,如电力、设备故障或物理损坏等问题。
2.逻辑完整性。保护数据库的整体结构,例如:当对数据库某个字段进行修改时,要确保其他字段没有遭到破坏。
3.可审计性。能够对数据库元素进行追踪存取与修改。
4.控制访问。明确只有通过授权的用户才可以访问数据库,
可以通过不同方式限制不同用户的访问。
5.元素安全。数据库中存储的所有元素均正确。
6.可用性。授权用户可以对数据库进行自由访问。
7.身份验证。审计追踪、访问数据库必须进行严格的身份验证,防止不正常进入。
二、互联网数据库存在的安全威胁
1.数据库的下载。多数用户在使用 ASP 编写连接文件中,大都用语句“(conn.asp):<%......db=“/admin/database/bxzcvmqhjwkry21ahfqweir.mdb”数据库文件具体位置......%>”对数据库进行保护。从语句的连接上看,这是正确的,而且名称长度也很长、很保险,下载者对数据库难以识别破解。但是如果通过暴库技术与相关工具,就可以快速定位具体数据库的各种情况,一般是用“%5c”命令,虽说不能百分百的成功暴库,但是出现暴库的几率非常高。在获取地址后通过IE输入,再下载到本地,就能够获得用户名及密码。
2.注入SQL。互联网中,WEB 服务器大多数是在设立防火墙后方才布置,并且只开放80端口,非法者无法入侵其他端口,因此,80 端口是他们入侵的目标,而常用方式是注入SQL。有少数程序员在编写程序的代码时,忽略了辨别用户输入的数据是否正确,使编写的应用程序面临很多网络威胁。注入SQL就是在客户端对代码进行传输,收集服务器数据信息与处理程序,得到相应资料。注入SQL可以常规访问 80 端口,相当于普通Web页面进行访问,防火墙对注入SQL无法获取报警信息,如果系统管理员不能及时对程序进行审核和检查,基本是很难发现数据库被入侵的。
三、维护互联网数据库安全的应对措施
1.严格查堵URL端漏洞。在审核用户使用数据库的情况时,若发现用户端在URL提交参数时,存在exec,insert,delete,from,count,user,xp_cmdshell,add,asc(,char(,drop,able,mid"等用在注入SQL中的字符以及字符串,就必须立即禁止ASP的运行,而且会显示出如“出错提示”等报警信号,对于有接收的用户端在 URL 提交参数程序时用<!--#include?le =“../*****.asp”-->即可写入程序,该方法不会影响程序执行的速度,同时还能够有效防止大多数入侵者的非法入侵,;同时也可以在 if 语句中对注入 SQL 常用的字符串、字符的方式进行设置,限定特定的时间内拒绝 任何IP 对数据库的访问,增强数据库安全,防止黑客非法入侵。
2.严格查堵 form 和 cookies 漏洞。有些不法入侵者通过cookies、form提交含有“or”、“=”等字符入侵。在编写程序时有意识的添加特殊字符可以防止入侵,从而确保程序安全执行。亦可通过paraname = Request.form()即 paraname = Request.Cookies()获取用户名与密码,再加入代码,如果在用户参数 paraname中發现空格、=、or 等非正常字符时,应当立即终止 then 后面的执行,不再运行 ASP,以拦截入侵者入侵。
3.加强数据库自身的安全。暴库是因为 IIS 服务器具体显示各执行错误的情况并中断执行时,把错误信息发送给了用户。通常的防范措施是把数据库后缀名由MDB变为ASP、ASA。虽然该方式可以防暴库,但比较原始,随着计算机技术的发展,该这种方法已经无法满适应最新防范的要求了。为防止暴库,应该调整 IIS 默认设置。黑客对 ASP、ASA 的数据库文件的后缀进行修改,便能够进行查找并确定具体存储位置,可以通过迅雷等下载软件下载获得。
4.数据库名的前面加“#”。 因为 IE 浏览器不能下载带有# 号的文件,所以目前大部分的系统管理员会在数据库名子的前面加上 “#” 号,以防止数据库被非法下载,这种方法有效,但是不安全。网页不仅可以通过常规方式进行访问,还能够通过 IE 编码技术对其进行访问。IE 里的不同字符都存在相应编码,编码符号“%23”可以取代 # 号,以这样的方式进行处理后,后缀加 # 号的数据库文件是无法被下载和使用的。
5.对用户密码进行加密。加密用户密码也是一项有效的应对措施,一般是采取MD5进行加密。MD5没有反向算法,因此很难解密,黑客们即使获得加密情况,但还是无法找出正确的原始密码。虽然可通过 UPDATE 方式以其他密码替代,但是这种操作难以实行。需要注意的是,信息数据进行 MD5 加密后很难解密,因此用户必须防止密码丢失、忘记。这种加密方法必须改变前用户的所有资料,用户要对资料进行重新设置,还要把数据库中经过 MD5 加密放入相关字段进行计算后才能再次存储。
四、结论
数据库的安全直接影响到整个计算机网络系统的安全,因此,应该采取全方位的保护措施,保证计算机网络系统的安全,为广大用户营造安全且稳定的网络运行环境,以防止计算机网络数据库被非法入侵和袭击。
参考文献:
[1]邵佩英.数据库安全应用服务器的研究与现状[M].软件学报,2001.
[2]宋志敏,南相浩.数据库安全的研究与实现[M].计算机工程与应用,2001.
一、互联网数据库安全概述
为了有效的避免用户非法越权使用数据库、窃取和更改、甚至破坏数据,我们必须对数据库采取安全保护措施,数据库安全包括如下几点。
1.物理完整性。数据不会受到自然及物理问题的破坏,如电力、设备故障或物理损坏等问题。
2.逻辑完整性。保护数据库的整体结构,例如:当对数据库某个字段进行修改时,要确保其他字段没有遭到破坏。
3.可审计性。能够对数据库元素进行追踪存取与修改。
4.控制访问。明确只有通过授权的用户才可以访问数据库,
可以通过不同方式限制不同用户的访问。
5.元素安全。数据库中存储的所有元素均正确。
6.可用性。授权用户可以对数据库进行自由访问。
7.身份验证。审计追踪、访问数据库必须进行严格的身份验证,防止不正常进入。
二、互联网数据库存在的安全威胁
1.数据库的下载。多数用户在使用 ASP 编写连接文件中,大都用语句“(conn.asp):<%......db=“/admin/database/bxzcvmqhjwkry21ahfqweir.mdb”数据库文件具体位置......%>”对数据库进行保护。从语句的连接上看,这是正确的,而且名称长度也很长、很保险,下载者对数据库难以识别破解。但是如果通过暴库技术与相关工具,就可以快速定位具体数据库的各种情况,一般是用“%5c”命令,虽说不能百分百的成功暴库,但是出现暴库的几率非常高。在获取地址后通过IE输入,再下载到本地,就能够获得用户名及密码。
2.注入SQL。互联网中,WEB 服务器大多数是在设立防火墙后方才布置,并且只开放80端口,非法者无法入侵其他端口,因此,80 端口是他们入侵的目标,而常用方式是注入SQL。有少数程序员在编写程序的代码时,忽略了辨别用户输入的数据是否正确,使编写的应用程序面临很多网络威胁。注入SQL就是在客户端对代码进行传输,收集服务器数据信息与处理程序,得到相应资料。注入SQL可以常规访问 80 端口,相当于普通Web页面进行访问,防火墙对注入SQL无法获取报警信息,如果系统管理员不能及时对程序进行审核和检查,基本是很难发现数据库被入侵的。
三、维护互联网数据库安全的应对措施
1.严格查堵URL端漏洞。在审核用户使用数据库的情况时,若发现用户端在URL提交参数时,存在exec,insert,delete,from,count,user,xp_cmdshell,add,asc(,char(,drop,able,mid"等用在注入SQL中的字符以及字符串,就必须立即禁止ASP的运行,而且会显示出如“出错提示”等报警信号,对于有接收的用户端在 URL 提交参数程序时用<!--#include?le =“../*****.asp”-->即可写入程序,该方法不会影响程序执行的速度,同时还能够有效防止大多数入侵者的非法入侵,;同时也可以在 if 语句中对注入 SQL 常用的字符串、字符的方式进行设置,限定特定的时间内拒绝 任何IP 对数据库的访问,增强数据库安全,防止黑客非法入侵。
2.严格查堵 form 和 cookies 漏洞。有些不法入侵者通过cookies、form提交含有“or”、“=”等字符入侵。在编写程序时有意识的添加特殊字符可以防止入侵,从而确保程序安全执行。亦可通过paraname = Request.form()即 paraname = Request.Cookies()获取用户名与密码,再加入代码,如果在用户参数 paraname中發现空格、=、or 等非正常字符时,应当立即终止 then 后面的执行,不再运行 ASP,以拦截入侵者入侵。
3.加强数据库自身的安全。暴库是因为 IIS 服务器具体显示各执行错误的情况并中断执行时,把错误信息发送给了用户。通常的防范措施是把数据库后缀名由MDB变为ASP、ASA。虽然该方式可以防暴库,但比较原始,随着计算机技术的发展,该这种方法已经无法满适应最新防范的要求了。为防止暴库,应该调整 IIS 默认设置。黑客对 ASP、ASA 的数据库文件的后缀进行修改,便能够进行查找并确定具体存储位置,可以通过迅雷等下载软件下载获得。
4.数据库名的前面加“#”。 因为 IE 浏览器不能下载带有# 号的文件,所以目前大部分的系统管理员会在数据库名子的前面加上 “#” 号,以防止数据库被非法下载,这种方法有效,但是不安全。网页不仅可以通过常规方式进行访问,还能够通过 IE 编码技术对其进行访问。IE 里的不同字符都存在相应编码,编码符号“%23”可以取代 # 号,以这样的方式进行处理后,后缀加 # 号的数据库文件是无法被下载和使用的。
5.对用户密码进行加密。加密用户密码也是一项有效的应对措施,一般是采取MD5进行加密。MD5没有反向算法,因此很难解密,黑客们即使获得加密情况,但还是无法找出正确的原始密码。虽然可通过 UPDATE 方式以其他密码替代,但是这种操作难以实行。需要注意的是,信息数据进行 MD5 加密后很难解密,因此用户必须防止密码丢失、忘记。这种加密方法必须改变前用户的所有资料,用户要对资料进行重新设置,还要把数据库中经过 MD5 加密放入相关字段进行计算后才能再次存储。
四、结论
数据库的安全直接影响到整个计算机网络系统的安全,因此,应该采取全方位的保护措施,保证计算机网络系统的安全,为广大用户营造安全且稳定的网络运行环境,以防止计算机网络数据库被非法入侵和袭击。
参考文献:
[1]邵佩英.数据库安全应用服务器的研究与现状[M].软件学报,2001.
[2]宋志敏,南相浩.数据库安全的研究与实现[M].计算机工程与应用,2001.