网络数据库的安全保护方法

目前，计算机大批量网络数据存储的安全问题、敏感网络数据的防窃取和防篡改问题越来越引起人们的重视。网络数据库系统作为计算机信息系统的核心部件，网络数据库文件作为信息的聚集体，其安全性是非常重要的。因此，对网络数据库网络数据和文件进行安全保护是非常必要的。

（一）网络数据库的安全保护层次

网络数据库系统的安全除依赖于其内部的安全机制外，还与外部网络环境、应用环境、从业人员素质等因素有关。因此，从广义上讲，网络数据库系统的安全框架可以划分为以下三个层次：网络系统层次、操作系统层次、网络数据库管理系统层次。这三个层次构成网络数据库系统的安全体系，与网络数据库安全的关系是逐层紧密联系的，防范的重要性也逐层加强，从外到内、由表及里保证网络数据的安全。

1.网络系统层次安全

从广义上讲，网络数据库的安全首先依赖于网络系统。随着Internet的发展和普及，越来越多的公司将其核心业务向互联网转移，各种基于网络的网络数据库应用系统纷纷涌现出来，面向网络用户提供各种信息服务。可以说，网络系统是网络数据库应用的外部环境和基础，网络数据库系统要发挥其强大的作用离不开网络系统的支持，网络数据库系统的用户（如异地用户、分布式用户）也要通过网络才能访问网络数据库的网络数据。网络系统的安全是网络数据库安全的第一道屏障，外部入侵首先就是从入侵网络系统开始的。网络入侵试图破坏信息系统的完整性、保密性或可信任的任何网络活动的集合。

网络系统开放式环境面临的威胁主要有欺骗、重发报文修改、拒绝服务、陷阱门、应用软件攻击等。这些安全威胁是无时无处不在的，因此，必须采取有效的措施来保障系统的安全。

2.操作系统层次安全

操作系统是大型网络数据库系统的运行平台，为网络数据库系统提供了一定程度的安全保护。目前，操作系统平台大多为Windows NT和UNIX，安全级别通常为C2级。主要安全技术有访问控制安全策略、系统漏洞分析与防范、操作系统安全管理等。

访问控制安全策略用于配置本地计算机的安全设置，包括密码策略、账户策略、审核策略、IP安全策略、用户权限分配、资源属性设置等，具体可以体现在用户账户、口令，访问权限和审计等方面。

3.网络数据库管理系统层次安全

网络数据库系统的安全性在很大程度上依赖于DBMS。如果DBMS的安全性机制非常完善，则网络数据库系统的安全性能就好。目前，市场上流行的是关系型网络数据库管理系统，其安全性功能较弱，这就对网络数据库系统的安全性存在一定的威胁。

由于网络数据库系统在操作系统下都是以文件形式进行管理的，所以，入侵者可以直接利用操作系统漏洞窃取网络数据库文件，或者直接利用操作系统工具非法伪造、篡改网络数据库文件内容。

网络数据库管理系统层次安全技术主要是用来解决这些问题，即在前面两个层次已经被突破的情况下仍能保障网络数据库网络数据的安全。这就要求网络数据库管理系统必须有一套强有力的安全机制，采取对网络数据库文件进行加密处理是解决该层次安全的有效方法。因此，即使网络数据不慎泄露或者丢失，也难以被人破译和阅读。(www.xing528.com)

（二）网络数据库的审计

对于网络数据库系统，网络数据的使用、记录和审计是同时进行的。审计的主要任务是对应用程序或用户使用网络数据库资源的情况进行记录和审查，一旦出现问题，审计人员对审计事件记录进行分析，查出原因。因此，网络数据库审计可作为保障网络数据库安全的一种补救措施。

安全系统的审计过程是记录、检查和回顾与系统安全相关行为的过程。通过对审计记录的分析，可以明确责任个体，追查违反安全策略的违规行为。审计过程不可省略，审计记录也不可更改或删除。

由于审计行为将影响DBMS的存取速度和反馈时间，所以，必须综合考虑安全性系统性能，按需要提供配置审计事件的机制，以允许网络数据库管理员根据具体系统的安全性和性能需求做出选择。这些可由多种方法实现，如扩充、打开/关闭审计的SQL语句，或使用审计掩码。网络数据库审计有用户审计和系统审计两种方式。

1.用户审计

进行用户审计时，DBMS的审计系统记录下所有对表和视图进行访问的企图，以及每次操作的用户名、时间、操作代码等信息。这些信息一般都被记录在网络数据字典中，利用这些信息可以进行审计分析。

2.系统审计

系统审计由系统管理员进行，其审计内容主要是系统一级命令及网络数据库客体的使用情况。

网络数据库系统的审计工作主要包括设备安全审计、操作审计、应用审计和攻击审计等方面。设备安全审计主要审查系统资源的安全策略、安全保护措施和故障恢复计划等；操作审计是对系统的各种操作进行记录和分析；应用审计是审计建立于网络数据库上整个应用系统的功能、控制逻辑和网络数据流是否正确；攻击审计是指对已发生的攻击性操作和危害系统安全的事件进行检查和审计。

常用的审计技术有静态分析系统技术、运行验证技术和运行结果验证技术等。

为了真正达到审计目的，必须对记录了网络数据库系统中所发生过的事件的审计网络数据提供查询和分析手段。具体而言，审计分析要解决特权用户的身份鉴别、审计网络数据的查询、审计网络数据的格式、审计分析工具的开发等问题。