网络安全防范教程：数据库安全概述

数据库安全是指保护数据库以防止非法用户的越权使用、窃取、更改或破坏数据。

1.数据库安全的目标

1）提供数据共享，集中统一管理数据；

2）简化应用程序对数据的访问，应用程序得以在更为逻辑的层次上访问数据；

3）解决数据有效性问题，保证数据的逻辑一致性；

4）保证数据独立性，降低程序对数据及数据结构的依赖；

5）保证数据的安全性，在共享环境下保证数据所有者的利益。

以上仅是数据库安全的几个最重要的动机，发展变化的应用对数据库提出了更多的要求。为达到上述的目的，数据的集中存放和管理永远是必要的。其中的主要问题，除功能和性能方面的技术问题，最重要的问题就是数据的安全问题。如何既提供充分的服务同时又保证关键信息不被泄漏而损害信息属主的利益，是数据库安全的主要任务之一。

2.数据库系统安全的主要风险

数据库系统在实际应用中存在来自各方面的安全风险，由安全风险最终引起安全问题，下面从四个方面讲述数据库系统的安全风险。

（1）来自操作系统的风险

来自操作系统的风险主要集中在病毒、后门、数据库系统和操作系统的关联性方面。首先在病毒方面，操作系统中可能存在的特洛伊木马程序对数据库系统构成极大的威胁，数据库管理员尤其需要注意木马程序带给系统入驻程序所带来的威胁。特洛伊木马程序可以修改入驻程序的密码，并且当更新密码时，入侵者能得到新的密码。其次，在操作系统的后门方面，许多数据库系统的特征参数尽管方便了数据库管理员，但也为数据库服务器主机操作系统留下了后门，这使得黑客可以通过后门访问数据库。最后，数据库系统和操作系统之间带有很强的关联性。操作系统具有文件管理功能，能够利用存取控制矩阵实现对各类文件包括数据库文件的授权进行读写和执行等，而且操作系统的监控程序能进行用户登录和口令鉴别的控制，因此数据库系统的安全性最终要靠操作系统和硬件设备所提供的环境。如果操作系统允许用户直接存取数据库文件，则在数据库系统中采取最可靠的安全措施也没有用。

（2）来自管理的风险(www.xing528.com)

用户安全意识薄弱，对信息网络安全重视不够，安全管理措施不落实，导致安全事件的发生，这些都是当前安全管理工作存在的主要问题。在已发生安全事件的原因中，占前两位的分别是“未修补软件安全漏洞”和“登录密码过于简单或未修改”，也表明了用户缺乏相关的安全防范意识和基本的安全防范常识。比如数据库系统可用的但并未正确使用的安全选项、危险的默认设置、给用户更多的不适当的权限、对系统配置的未经授权的改动等。

（3）来自用户的风险

用户的风险主要表现在用户账号、作用和对特定数据库目标的操作许可，例如对表单和存储步骤的访问。因此必须对数据库系统做范围更广的彻底安全分析，找出所有可能领域内的潜在漏洞，包括与销售商提供的软件相关的风险软件的bug、缺少操作系统补丁、脆弱的服务和选择不安全的默认配置等。另外对于密码长度不够、对重要数据的非法访问以及窃取数据库内容等恶意行动也潜在存在，以上这些都表现为来自用户的风险。

（4）来自数据库系统内部的风险

虽然绝大多数常用的关系数据库系统已经存在了十多年之久，并且具有强大的特性，产品非常成熟。但许多应该具有的特征，在操作系统和现在普遍使用的数据库系统中并没有提供，特别是那些重要的安全特征，绝大多数关系数据库系统并不够成熟。

3.数据库安全涉及的层面

数据库安全涉及很多层面，必须在以下几个层面做好安全措施。

1）物理层：重要的计算机系统必须在物理上受到保护，以防止入侵者强行进入或暗中潜入。

2）人员层：数据库系统的建立、应用和维护等工作，一定要由思想过硬的合法用户来管理。

3）操作系统层：要进入数据库系统，首先要经过操作系统，如果操作系统的安全性差，数据库将面临着重大的威胁。

4）网络层：由于几乎所有网络上的数据库系统都允许通过终端或网络进行远程访问，所以网络的安全和操作系统的安全一样重要，网络安全无疑对数据的安全提供了保障。

5）数据库系统层：数据库系统应该有完善的访问控制机制，以防止非法用户的非法操作。为了保证数据库的安全，必须在以上所有层次上进行安全性控制。