论文部分内容阅读
摘要:鉴于保障基于Web的数据库安全的重要性,简要分析了数据库安全的几个相关方面问题;在此基础上,着重从用户身份认证、授权控制等四方面对于Web的数据库安全管理技术及实现进行了较为深入的探讨。
关键词:Web;数据库;安全管理
中图分类号:TP311文献标识码:A文章编号:1007-9599 (2013) 07-0000-03
1引言
伴随着计算机及网络技术的迅猛发展,在目前全球计算机领域中,应用得最多的就是互联网(Internet)技术,当今世界在计算机领域,功能最为强大、应用也最为广泛的通信网就是基于计算机技术、遍及全球每个角落的互联网。众所周知,当前因特网最为重要的信息服务方式就是一个超媒体信息服务数据库,即WWW系统;这个超媒体数据库可把诸如视频、音频、数据以及文字等等信息资源进行有机结合,构成超媒体信息并在WWW服务器各个站点进行建立,这样可方便用户在因特网上进行查询、浏览以及相互分享。随着网络技术应用的日益成熟,把Web技术应用于管理数据库并对此进行深入研究已成为当前最为流行的一个研究领域;但由于网络的开放性及在安全性方面还存在着一定缺陷的通信协议,使得网络极易受到非法攻击,致使基于因特网而进行的数据传输,极易受到非法侵害;直至今天,就Web数据库应用级入侵、诸如跨站点访问、超越权限的用户访问等等,已经发展到极为严重的地步,上述各种入侵均可避开前台安全系统而对数据库系统进行攻击,致使网上传输数据受到篡改、窃取等非法侵害而使用户遭到大小不一的损失;故在当前如何有效确保Web数据库的安全性已经显得特别的重要与迫切;鉴于此,以下就基于Web数据库的安全管理技术及实现进行一些探讨。
2数据库安全的相关分析
2.1数据库安全的含义及安全技术。在国外,是以C.P.Ptleeger来对数据库安全进行相应的定义,这是迄今为止最具代表性的定义;此定义从多个方面对数据库安全进行了极为全面的概括,诸如逻辑数据库及物理数据库的完整性、可审计性、元素安全性以身份验证等。在我国,所谓数据安全,指的就是决不允许数据库的任何部分受到恶意攻击,在未经授权情况下,不得随意修改或存取数据库信息,以确保数据库信息的可用性、完整性及保密性;有关数据库信息的可用性、完整性、保密性的具体含义以及有关管理数据库系统的安全技术如下表所示:
可用性 完整性 保密性 数据库管理的安全技术
保证数据库中的相关信息不因自然或人为因素而带给授权用户的不可用。 确保数据库中的重要信息不被删除或者破坏。 在未经授权情况下,保证数据库中的相关信息不被获取或者不被泄露出去。 数据完整性、身份鉴别、数据库安全审计、标记与访问控制、可信恢复、隐蔽信道分析,客体重用等。
2.2数据库的安全问题分析。网络数据库不仅具有较多客体,而且其数据也具有较长生存时间,故在维护需求方面具有相当高的要求。结合数据库系统的基本特殊点,有关其安全问题主要表现在这两方面:第一,确保数据库系统的保密性;也就是在非授权情况下,保证级别比较高的信息不会流向级别比较低的主、客体;这里牵涉到两个方面:①控制网络数据库系统的访问;②鉴别网络数据库系统的用户身份。第二,确保网络数据库系统的完整性:也就是在非授权情况下,确保信息不被随意改动或者错误的改动,其中包括网络数据库系统的三大方面的完整性及可用性,即物理、逻辑及元素方面的完整性及可用性。
2.3Web数据库可能受到的恶意侵害分析。由于Web数据库这种信息仓库,是建立于开开放环境之下的。并在此种环境中要对大量数据信息进行管理,因而极易受到来自各方面的恶意侵害及相关安全方面的威胁,具体如下表所示:
安全威胁一 安全威胁二 安全威胁三 安全威胁四 安全威胁五 安全威胁六
计算机病毒通过对系统的破坏,进而对数据库产生破坏。 因用户不正确访问数据库,进而致使数据库数据出现错误。 数据库遭到恶意破坏而无法让数据库得以恢复。 非法对数据库数据进行修改,致数据真实性大为降低。 非法用户绕开安全内核而对信息资源实施窃取。 用户基于网络访问数据库过程中,受到来自各个方面的技术攻击。
3基于Web的数据库安全管理技术及实现的相关探讨
浏览器/Web服务器/数据库服务器结构,这是基于Web的信息系统管理所应用的Client/Server三层结构,其体系系统可用下图来体现:
图1基于Web信息系统管理的结构示意图
在把ASP技术应用于数据库连接这个系统之中,有关浏览器及Web服务器这二者之间的彼此通信是基于HTTP协议来加以实现的。用户在浏览器一端,通过基于Web数据库的应用程序,向某一数据库文件发出相应的请求,此请求被Web服务器接收后,并非以应用程序来对数据库进行直接访问,而是先把ASP的各级安全性检验进行激活;基于ADO,ASP在服务器完成连接对象的创建,并对后台数据库所保持的用户基本信息以ODBC这种方式进行访问,在此基础上予以鉴定用户,针对用户的非授权访问请求加以一一拒绝,而对获得授权用户,视其权限大小进行相关数据存取并返回其处理结果。所以,针对基于Web的数据库应用系统的具体特征,可应用以下这些安全管理技术来实现对信息系统的管理,并构筑起相应的信息系统管理的安全体系。
3.1用户身份认证
(1)利用口令核实用户身份。众所周知,基于Web的数据库应用系统,不仅有着数量众多的敏感数据,还包含着数量众多的机密数据,在存储和网络传输这些系统数据时,为确保不被未经授权用户所解读或访问,就可基于用户名把用户身份标明出来,通过系统对用户的合法性进行相应的鉴别,再基于口令来对用户身份进行进一步的核实和确定;通常在提交口令过程中,均不以明文形式进行规定,这样可起到保障口令安全性的效果;其一般过程为:在加密口令、用户名基础上进行传送至服务器,等服务器接收再予以相应的解密;也可应用SSL(安全套接字)协议这种方法进行加密,再以对称性加密或者公共密钥来对非公开通信进行提供;这样不仅可化繁为简,还可有效确保其安全性,为服务器和客户创造一种防干扰、防伪造消息及防窃听的安全环境来完成这二者之间的通信。
(2)基于身份认证机制来对被限制的ASP内容进行保护。这主要是在Web应用程序级进行实施,对于那些被限制的ASP内容,若用户试图进行访问,则须持有相应的用户名及密码(WindowsNT账号);被限制内容,若有用户试图进行访问Web服务器就将对其身份进行确认,即对用户是否拥有有效的WindowsNT账号进行检查。为使后台数据库能基于身份验证机制来对用户的合法性进行进一步的确认,可把这样一个包括用户名及访问权限代码、登录名及口令的User用户表建立起来;其中访问权限代表用户能对数据库所进行的一系列权限组合,通常有修改操作、插入、删除及读取等等;TP地址在对用户进行过滤后,有关用户登录界面将在WebBrowser端呈现出来,在系统相应的提示下,用户把相应的登录名、口令输入,并把输入结果进行提交;浏览器发出的请求在被WebServer接收后,把ASP进行激活,基于ADO把ODBC驱动起来,在此基础上建立起与User数据库的联系,再通过ASP处理程序的运行,把有关数据库的记录与用户所输入的信息这二者进行相应比较,如果该用户合法,则结合权限允许其对数据库进行访问,若为非法用户,则对其访问请求予以彻底拒绝,或者通过相应的引导要求让非法用户进行相应的注册操作。
关键词:Web;数据库;安全管理
中图分类号:TP311文献标识码:A文章编号:1007-9599 (2013) 07-0000-03
1引言
伴随着计算机及网络技术的迅猛发展,在目前全球计算机领域中,应用得最多的就是互联网(Internet)技术,当今世界在计算机领域,功能最为强大、应用也最为广泛的通信网就是基于计算机技术、遍及全球每个角落的互联网。众所周知,当前因特网最为重要的信息服务方式就是一个超媒体信息服务数据库,即WWW系统;这个超媒体数据库可把诸如视频、音频、数据以及文字等等信息资源进行有机结合,构成超媒体信息并在WWW服务器各个站点进行建立,这样可方便用户在因特网上进行查询、浏览以及相互分享。随着网络技术应用的日益成熟,把Web技术应用于管理数据库并对此进行深入研究已成为当前最为流行的一个研究领域;但由于网络的开放性及在安全性方面还存在着一定缺陷的通信协议,使得网络极易受到非法攻击,致使基于因特网而进行的数据传输,极易受到非法侵害;直至今天,就Web数据库应用级入侵、诸如跨站点访问、超越权限的用户访问等等,已经发展到极为严重的地步,上述各种入侵均可避开前台安全系统而对数据库系统进行攻击,致使网上传输数据受到篡改、窃取等非法侵害而使用户遭到大小不一的损失;故在当前如何有效确保Web数据库的安全性已经显得特别的重要与迫切;鉴于此,以下就基于Web数据库的安全管理技术及实现进行一些探讨。
2数据库安全的相关分析
2.1数据库安全的含义及安全技术。在国外,是以C.P.Ptleeger来对数据库安全进行相应的定义,这是迄今为止最具代表性的定义;此定义从多个方面对数据库安全进行了极为全面的概括,诸如逻辑数据库及物理数据库的完整性、可审计性、元素安全性以身份验证等。在我国,所谓数据安全,指的就是决不允许数据库的任何部分受到恶意攻击,在未经授权情况下,不得随意修改或存取数据库信息,以确保数据库信息的可用性、完整性及保密性;有关数据库信息的可用性、完整性、保密性的具体含义以及有关管理数据库系统的安全技术如下表所示:
可用性 完整性 保密性 数据库管理的安全技术
保证数据库中的相关信息不因自然或人为因素而带给授权用户的不可用。 确保数据库中的重要信息不被删除或者破坏。 在未经授权情况下,保证数据库中的相关信息不被获取或者不被泄露出去。 数据完整性、身份鉴别、数据库安全审计、标记与访问控制、可信恢复、隐蔽信道分析,客体重用等。
2.2数据库的安全问题分析。网络数据库不仅具有较多客体,而且其数据也具有较长生存时间,故在维护需求方面具有相当高的要求。结合数据库系统的基本特殊点,有关其安全问题主要表现在这两方面:第一,确保数据库系统的保密性;也就是在非授权情况下,保证级别比较高的信息不会流向级别比较低的主、客体;这里牵涉到两个方面:①控制网络数据库系统的访问;②鉴别网络数据库系统的用户身份。第二,确保网络数据库系统的完整性:也就是在非授权情况下,确保信息不被随意改动或者错误的改动,其中包括网络数据库系统的三大方面的完整性及可用性,即物理、逻辑及元素方面的完整性及可用性。
2.3Web数据库可能受到的恶意侵害分析。由于Web数据库这种信息仓库,是建立于开开放环境之下的。并在此种环境中要对大量数据信息进行管理,因而极易受到来自各方面的恶意侵害及相关安全方面的威胁,具体如下表所示:
安全威胁一 安全威胁二 安全威胁三 安全威胁四 安全威胁五 安全威胁六
计算机病毒通过对系统的破坏,进而对数据库产生破坏。 因用户不正确访问数据库,进而致使数据库数据出现错误。 数据库遭到恶意破坏而无法让数据库得以恢复。 非法对数据库数据进行修改,致数据真实性大为降低。 非法用户绕开安全内核而对信息资源实施窃取。 用户基于网络访问数据库过程中,受到来自各个方面的技术攻击。
3基于Web的数据库安全管理技术及实现的相关探讨
浏览器/Web服务器/数据库服务器结构,这是基于Web的信息系统管理所应用的Client/Server三层结构,其体系系统可用下图来体现:
图1基于Web信息系统管理的结构示意图
在把ASP技术应用于数据库连接这个系统之中,有关浏览器及Web服务器这二者之间的彼此通信是基于HTTP协议来加以实现的。用户在浏览器一端,通过基于Web数据库的应用程序,向某一数据库文件发出相应的请求,此请求被Web服务器接收后,并非以应用程序来对数据库进行直接访问,而是先把ASP的各级安全性检验进行激活;基于ADO,ASP在服务器完成连接对象的创建,并对后台数据库所保持的用户基本信息以ODBC这种方式进行访问,在此基础上予以鉴定用户,针对用户的非授权访问请求加以一一拒绝,而对获得授权用户,视其权限大小进行相关数据存取并返回其处理结果。所以,针对基于Web的数据库应用系统的具体特征,可应用以下这些安全管理技术来实现对信息系统的管理,并构筑起相应的信息系统管理的安全体系。
3.1用户身份认证
(1)利用口令核实用户身份。众所周知,基于Web的数据库应用系统,不仅有着数量众多的敏感数据,还包含着数量众多的机密数据,在存储和网络传输这些系统数据时,为确保不被未经授权用户所解读或访问,就可基于用户名把用户身份标明出来,通过系统对用户的合法性进行相应的鉴别,再基于口令来对用户身份进行进一步的核实和确定;通常在提交口令过程中,均不以明文形式进行规定,这样可起到保障口令安全性的效果;其一般过程为:在加密口令、用户名基础上进行传送至服务器,等服务器接收再予以相应的解密;也可应用SSL(安全套接字)协议这种方法进行加密,再以对称性加密或者公共密钥来对非公开通信进行提供;这样不仅可化繁为简,还可有效确保其安全性,为服务器和客户创造一种防干扰、防伪造消息及防窃听的安全环境来完成这二者之间的通信。
(2)基于身份认证机制来对被限制的ASP内容进行保护。这主要是在Web应用程序级进行实施,对于那些被限制的ASP内容,若用户试图进行访问,则须持有相应的用户名及密码(WindowsNT账号);被限制内容,若有用户试图进行访问Web服务器就将对其身份进行确认,即对用户是否拥有有效的WindowsNT账号进行检查。为使后台数据库能基于身份验证机制来对用户的合法性进行进一步的确认,可把这样一个包括用户名及访问权限代码、登录名及口令的User用户表建立起来;其中访问权限代表用户能对数据库所进行的一系列权限组合,通常有修改操作、插入、删除及读取等等;TP地址在对用户进行过滤后,有关用户登录界面将在WebBrowser端呈现出来,在系统相应的提示下,用户把相应的登录名、口令输入,并把输入结果进行提交;浏览器发出的请求在被WebServer接收后,把ASP进行激活,基于ADO把ODBC驱动起来,在此基础上建立起与User数据库的联系,再通过ASP处理程序的运行,把有关数据库的记录与用户所输入的信息这二者进行相应比较,如果该用户合法,则结合权限允许其对数据库进行访问,若为非法用户,则对其访问请求予以彻底拒绝,或者通过相应的引导要求让非法用户进行相应的注册操作。