《网络数据库安全.ppt》由会员分享,可在线阅读,更多相关《网络数据库安全.ppt(55页珍藏版)》请在三一办公上搜索。
1、第9章 网络数据库安全,本章提出网络数据库的安全需求。介绍了3种数据库安全模型:基于存取控制模型、扩展存取控制模型和多级安全模型。详细阐述了网络数据库的安全技术,其内容包含:Web的访问控制、用户身份认证、授权管理、监视追踪、安全审计、网络数据库加密,备份与故障恢复、病毒防范技术以及网络数据库服务器安全漏洞的堵塞措施。本章重点介绍目前国内外常用的Oracle和SQL Server数据库的安全机制。,9.1 网络数据库安全概述,20世纪90年代以来,以Web技术和数据库技术相结合,产生了网络数据库(也称Web数据库)这一新兴的数据库应用领域。所谓网络数据库就是以数据库为基础,配以一定的前台应用程
2、序,通过浏览器完成数据储存、查询等操作的系统。网络数据库可以实行方便的资源共享,网络数据信息是资源的主体,因此网络数据库技术自然而然成为互联网络的核心技术。,时至今日,网络数据库的重要地位已不言而语,尤其是网络数据库中的数据的安全与否直接关系到人们的利益、企业的效益、社会的稳定甚至国家的安危。随着网络的高度普及和广泛应用,人们对数据库的安全性提出了更为严格的要求。针对日益严峻的网络安全问题,人们已经提出许多可以增强网络系统和数据库安全性的技术,以努力确保网络资源得到合理、高效而又充分的应用。,数据库技术发展到现在已成为一个引人注目的重要学科领域。以网络数据库为基础的信息系统正成为信息设施建设的
3、基础,网络数据库中信息的价值也越来越高,而针对网络数据库系统的攻击方式也越来越多,所以网络数据库系统的安全问题也变得越来越重要。网络数据库系统安全是指为网络数据库系统建立安全保护措施,以保护数据库系统软件和其中的数据不因偶然原因而遭到破坏、更改和泄漏。目前,网络数据库系统安全与网络安全、操作系统安全及协议安全一起构成了信息系统安全的四个最主要的研究领域。,9.1.1 网络数据库安全简介,与计算机操作系统的安全需求类似,网络数据库的安全需求可以归纳为完整性、保密性和可用性三个方面。(1)数据库的完整性网络数据库系统的完整性主要包括物理完整性和逻辑完整性。物理完整性是指保证数据库的数据不受物理故障
4、的影响,并有可能在灾难性毁坏时重建和恢复数据库。逻辑完整性是指对数据库逻辑结构的保护,包括数据的语义完整性与操作完整性。主要指数据存取在逻辑上满足完整性约束,并发事务中保证数据的逻辑一致性。,9.1.2 网络数据库安全需求,(2)数据库的保密性网络数据库的保密性是指不允许未经授权的用户存取数据。一般要求对用户的身份进行标识与鉴别,并采取相应的存取控制策略以保证用户仅能访问授权数据,同一组数据的不同用户可以被赋于不同的存取权限。同时,还应能够对用户的访问操作进行跟踪和审计。并且要控制用户通过推理的方式从经授权的数据获取未经授权的数据。,(3)数据库的可用性 网络数据库的可用性是指不应拒绝授权用户
5、对数据库的正常操作,同时保证系统的运行效率。一般而言,数据库的保密性和可用性是一对矛盾。对这一矛盾的分析与解决构成了数据库系统的安全模型和一系列安全机制的主要目标。,9.2 网络数据库安全模型,安全模型也称为策略表达模型,是一种抽象的、独立于软件实现的概念模型。网络数据库系统的安全模型是用于精确描述数据库系统的安全需求和安全策略的有效方式。网络数据库通过设立多层的安全关卡保护,来提高数据库的安全性。当用户进入计算机系统时,操作系统首先鉴别用户的身份,在合法进入计算机系统后,数据库管理系统(Database Management System,DBMS)对用户的权限进行存储控制,只允许用户执行与
6、自身权限相符的操作。数据库对数据加密,只有用户掌握数据库的密钥才能使用数据库中的数据。,完整的数据库安全体系包括:1保护:用户标识鉴别、数据加密、对数据的授权和访问控制、采用视图隐藏部分数据。2检测:设立日志对数据库的使用情况进行监视。3响应:保证数据库在发现隐患后能够及时采取措施的响应机制。4恢复:数据库的故障恢复能力。目前主要有以下三种安全模型。,图9.1 数据库安全模型,标识用户,操作系统OS,授权控制,数据库管理系统DBMS,数据加密,数据库DB,基本的存取控制模型由主体集合(Subject Set),客体集合(Object Set),规定主体允许对客体进行的存取操作集合这三部分组成。
7、主体是指要求存取数据库的某个用户或用户组、用户启动的进程和服务,常用S来表示;客体是指要求保护的数据对象,常用O表示;存取操作即如读、写、更新、删除等操作,常用T表示。,基本的存取控制模型,基本的存取控制矩阵只可以满足与名字有关,但不能满足与内容有关的访问控制策略,所以需扩展这个模型。可以用四元组(S,O,T,P)来表示访问规则,增加可表示条件的谓词P,当P为真时,主体S才能对有关联的客体O进行操作T。扩展的存取控制矩阵模型能有效地控制主体对客体的存取,但不能控制主体如何使用该客体,出现信息流控制问题。,扩展的存取控制模型,为了防止发生信息的非授权泄漏,往往采用多级安全模型。此模型对信息进行访
8、问和流动控制,为所有的主体和客体指定一个安全级别,如绝密级、机密级、秘密级、无密级。不同安全级别的主体对不同级别的客体访问是在强制的安全策略下实现的。多级安全模型考虑了保密系统的状态,将安全级别按照从高到低的原则进行排序,并规定一个安全级别要控制另一个安全级别须满足这两个条件:密级或许可级大于等于另一个密级或许可级;分类级别包含另一个的分类级别。,多级安全模型,9.3 数据库安全技术,9.3.1 Web的访问控制用户使用客户端通过浏览器对其数据库进行访问操作时,客户端程序先将自身信息传送给Web服务器,等服务器经解析获得IP地址和客户域名后,便开始验证决定该客户能否有权访问。但当服务器端无法确
9、定其真正客户域名时,可能会误将信息发送给其他用户,随即就可能出现安全漏洞。所以尽可能地以非特权用户配置、运行服务器,合理利用访问控制机制;使用服务器镜像,不把敏感的文件放在对外开放的辅助系统上;检查HTTP服务器所用的脚本、Applet,CGI程序,以防外部客户有机会触发内部执行命令。,网络数据库系统为保证数据在网络传输时不被未授权用户访问,常利用用户认证机制来控制用户的登录、访问等权利。通常包含以下两方面:(1)进行用户的用户名、口令、账号信息的识别和检验。对所传送的用户名和口令进行一定的加密,保证在客户和服务器之间的安全性,防止用户信息被窃听、干扰。当出现非法用户通过用户口令进行入侵时,认
10、证系统应当及时反应、发出警报信息,对此用户的相关信息加以记录存档。(2)由于在互联网环境下用户容易绕过登录界面和用户口令验证,来对数据库安全直接构成威胁,所以一般还会利用ASP Session和HTTP headers信息来进行更深层的身份验证。,9.3.2 用户身份认证,只有经过身份认证的用户才能在其权限范围内访问网络数据库,授权管理控制的严密重要性直接影响着整个数据库系统的安全性。以下两种方式是较常用的权限控制:(1)目录级安全访问控制:允许控制用户对目录、文件等信息的访问。在目录一级指定的权限范围内,用户对文件和子目录及以下的文件和子目录权限起效。访问权限常分为:系统管理员、读权限、写权
11、限、创建权限、删除权限、修改权限、文件查找权限、存取控制权限。多种访问权限的有效搭配能够有效的控制用户对服务器的资源访问,增强了网络及服务器的安全性。,9.3.3 授权管理,(2)属性安全访问控制:允许用户给予目录、文件等指定访问属性的权限控制。在结合访问范围权限的基础上设置更深层具体操作的属性控制,加强了访问权限的整体安全性。如向指定文件的读、写、删除、查看、执行、共享等权限,属性安全访问控制对避免目录文件的误操作起到了良好作用。,日志系统是网络数据监视追踪的主要手段之一,完整的日志系统具有综合性数据记录功能和自动分类检索能力,而且还包括用户的操作信息及网络中数据接发的正确性、有效性的检测结
12、果,以便用于网络的安全分析、预防入侵,提高网络的安全性。安全审计是指通过一定的策略,利用分析记录和历史操作时间发现系统的漏洞,来改进系统性能和安全。通过完善的安全审计制度,就可及时提供系统运行中发生的可疑现象,帮助系统管理员分析发现入侵行为或系统的隐患和漏洞。,9.3.4 监视追踪及安全审计,数据加密技术是网络安全中十分有效的技术之一,加密数据库中的重要数据可以保护数据库系统内的数据、文件和控制信息,以实现数据网上传输和存储的安全,防止数据的泄漏。加密常用方法:链路加密,其目的是保护网络节点间的链路信息安全;端点加密,其目的是保护源端用户到目的端用户的数据;节点加密,其目的是保护源节点到目的节
13、点间的传输链路。,9.3.5 网络数据库加密,数据加密是将明文加密成密文,在查询时将密文取出解密得到明文信息。但是在数据库系统中当检索出符合要求的记录时,要求能够尽快地解密使用,由于不可能为了一次查询就将整个数据库全部解密一次,所以数据库的加密要求具有它自身的特殊性。目前主要的数据库系统的安全加密系统常由对称密码算法和非对称密码算法结合使用,对称密码算法负责信息加密,非对称密码算法负责身份鉴别、数字签名、密钥分发。,数据库中最宝贵的自然而然是数据信息,当系统出现故障无法正常运行甚至瘫痪时,尽快的恢复数据是至关重要的任务。数据库系统无论是出现物理故障还是逻辑故障,都需要根据其程度采取不同的恢复措
14、施,对其备份要求也不相同。一般结合软硬件方案采用两种备份方式:逻辑备份,将数据库的记录读取写入到一个文件中;物理备份,通过脱机和联机对数据库的内容进行完整转储拷贝。,9.3.6 备份与故障恢复,病毒的特性使其成为影响数据库安全的重要因素之一。常见的有计算机病毒(Computer Virus),计算机蠕虫(Computer Worm),特洛伊木马(Trojan Horse),逻辑炸弹(Logic Bomb)。一般可通过系统内存中的监控程序预防判断病毒是否存在,利用杀毒软件对服务器的文件扫描检测,设置网络目录和文件的访问权限等手段对数据库进行保护。,9.3.7 病毒防范技术,网络数据库安全推理指用
15、户根据低密级的数据和模式的完整性约束推导出高密级的数据,造成信息泄漏。近年来随着外包数据库模式及数据挖掘技术的发展,对数据库推理控制、隐私保护的要求也越来越高。推理通道问题仍处于理论探索阶段,这是由推理通道问题本身的多样性与不确定性所决定的。目前常用的推理控制方法可以分为两类:一是在数据库设计时找出推理通道,主要包括利用语义数据模型的方法和形式化的方法。,9.3.8 推理控制,属于分析数据库的模式。修改数据库设计或者提高一些数据项的安全级别来消除推理通道。二是在数据库运行时找出推理通道,主要包括多实例方法和查询修改方法。网络数据库的安全性与计算机的安全性是紧密相关的,涉及计算机系统及网络本身的
16、技术、管理问题。包括计算机安全理论策略、计算机安全管理评价、计算机安全产品、计算机犯罪与侦查、计算机安全法律、计算机安全监察等方面。,9.4 数据库服务器安全,9.4.1 概述数据库服务器实际上是网络应用系统的基础,它存储商业伙伴和客户的敏感信息。尽管系统的数据完整性和安全性相当重要,但对数据库采取的安全检查措施的级别还比不上操作系统和网络的安全检查措施的级别。很多因素都能破坏数据完整性导致非法访问,包括复杂程度、密码安全性较差、误配置、系统后门等。,数据库服务器的应用相当复杂。Oracle,Sybase,Microsoft SQL服务器都具有:用户账号及密码、校验系统、优先级模型和控制数据库
17、目标的特别许可、内置式命令、唯一的脚本和编程语言、网络协议等特征,由于其自身的任务繁重很可能无法检查出严重的安全隐患和不当的配置,甚至根本没有进行检测。所以,正是由于传统的安全体系在很大程度上忽略了数据库服务器安全这一主题,使数据库专业人员也通常没有把安全问题当做他们的首要任务。,保障数据库服务器上的网络和操作系统数据安全是至关重要的,但这些措施对于保护数据库服务器的安全还很不够。目前普遍存在着一个错误概念:一旦访问并锁定了关键的网络服务和操作系统的漏洞,服务器上的所有应用程序就得到了安全保障。现代网络数据库系统具有多种特征和性能配置方式,在使用时可能会误用,或危及数据的保密性、有效性和完整性
18、。,传统的数据库安全系统只侧重于以下几项:用户、账号、对特定数据库目标的操作许可。必须对数据库系统做出范围更广的彻底安全分析,找出所有可能领域内的潜在漏洞,包括:软件的BUG、缺少操作系统补丁、脆弱的服务和选择不安全的默认配置;未正确使用的安全选项、危险的默认设置、给用户更多的不适当的权限,对系统配置的未经授权的改动;密码长度不够、对重要数据的非法访问以及窃取数据库内容等恶意行动。在对数据库服务器进行安全保护时,都应将这些因素考虑在内。,9.4.2 数据库服务器的安全漏洞,在重要数据库服务器中,还存在着多种数据库服务器的漏洞和错误配置。绝大多数常用的关系数据库系统长时间运用在不同领域,并且具有
19、强大的特性,产品非常成熟。但被认为理所当然应该具有的许多特征,在操作系统和现在普遍使用的数据库系统中,却并没有提供。,由于系统管理员的账号是不能重命名的,如果没有密码封锁可用或已配置完毕,入侵者就可以对数据库服务器发动字典进攻,最终能破解密码。在多数数据库系统提供的安全标准中,需要对全部密码列表进行管理和安全检查。要想了解系统的安全状态和发展方向,就需要部署系统,以对数据库服务器做出最彻底的评估,并进行常规的安全评估。所有系统都应该采用信息风险管理原则,以进行监督、检测,对安全漏洞做出响应。,9.5 网络数据库安全,网络数据库系统的安全性很大程度上依赖于数据库管理系统。如果数据库管理系统安全机
20、制非常强大,则数据库系统的安全性能就较好。目前市场上流行的是关系式数据库管理系统,其安全性功能很弱,这就导致数据库系统的安全性存在一定的隐患。,Oracle安全机制数据库管理员应从以下几个方面对数据库的安全进行考虑:Oracle用户管理Oracle数据保护Oracle授权机制Oracle审计技术,9.6 SQL Server安全机制,9.6.1 SQL Server身份验证Microsoft SQL Server广泛使用于各个领域,数据库系统管理员需深入的理解SQL Server的安全性控制策略,以实现管理安全性的目标。SQL Server各层安全控制策略是通过各层安全控制系统的身份验证实现的
21、。身份验证是指当用户访问系统时,系统对该用户的账号和口令的确认过程。身份验证的内容包括确认用户的账号是否有效、能否访问系统、能访问系统的哪些数据等。,(1)身份验证方式身份验证方式是指系统确认用户的方式,系统提供的最外层安全保护措施。用户必须使用一个登录账号,才能连接到SQL Server中。SQL Server可以识别两类的身份验证方式,即:SQL Server身份验证(SQL Server Authentication)方式和Windows身份验证(Windows Authentication)方式。,使用SQL Server身份验证方式时,用户连接SQL Serve必须提供登录账号和口令
22、;使用Windows身份验证方式时,用户不必提供SQL Server的Login账号和口令就能连接到系统上。但连接之前,SQL Serve系统管理员必须将Windows 2000账号定义为SQL Server的有效登录账号。,(2)身份验证模式SQL Server的身份验证模式有两种:Windows 身份验证模式和混合模式。其关系是:Windows身份验证模式(Windows身份验证方式),混合模式(Windows 身份验证方式 和 SQL Server 身份验证方式)。Windows 身份验证模式只允许使用Windows 身份验证方式,这时用户无法以SQL Server的登录账号登录服务器。
23、它要求用户登录到Windows2000,当用户访问SQL Server时,不用再次登录。虽然仍会被提示登录,但SQL Server的用户名会自动从用户网络登录ID中提取。,(1)加强数据库日志的记录审核数据库登录事件的“失败和成功”。在实例属性中选择“安全性”,将其中的审核级别选定为全部,这样在数据库系统和操作系统日志里面,就详细记录了所有账号的登录事件。并且还要定期查看SQL Server日志检查是否有可疑的登录事件发生。,9.6.2 SQL Server安全配置,(2)管理扩展存储过程 对账号调用扩展存储过程的权限要慎重,毕竟在多数应用中都没有必要使用系统的存储过程,而SQL Server
24、的系统存储过程只是用来适应广大用户需求的,却常有些系统的存储过程能很容易地被人利用起来提升权限或进行破坏。,(3)使用协议加密SQL Server使用Tabular Data Stream协议来进行网络数据交换。因为所有的网络传输都是明文的,包括密码、数据库内容等等,能在网络中被截获到,所以,最好在一个证书的支持下使用SSL来加密协议。,(4)不要让人随便探测到你的TCP/IP端口 默认情况下,SQL Server使用1433端口监听,虽说SQL Server配置时要把这个端口改变,就不能很容易地知道使用的什么端口了。但通过微软未公开的1434端口的UDP探测群很容易知道SQL Server使
25、用什么TCP/IP端口。,(5)对网络连接进行IP限制SQL Server数据库系统本身没有提供网络连接的安全解决办法,但是Windows 2000提供了这样的安全机制。使用操作系统自己的IPSec可以实现IP数据包的安全性。可以对IP连接进行限制,只保证自己的IP能够访问,也拒绝其他IP进行的端口连接,把来自网络上的安全威胁进行有效的控制。,9.7 网络数据备份技术,备份的主要目的是一旦系统崩溃或数据丢失,就能用备份的系统和数据进行及时的恢复,使损失减少到最小。现代备份技术涉及的备份对象有操作系统、应用软件及其数据。,对计算机系统进行全面的备份,并不只是简单地进行文件拷贝。一个完整的系统备份
26、方案,应由备份硬件、备份软件、日常备份制度和灾难恢复措施四个部份组成。选择了备份硬件和软件后,还需要根据本单位的具体情况制定日常备份制度和灾难恢复措施,并由系统管理人员切实执行备份制度。,网络数据备份管理系统是指在分布式网络环境下,通过专业的数据存储管理软件,结合相应的硬件和存储设备,对整个网络的数据备份进行集中管理,从而实现自动化的备份、文件归档、数据分级存储以及灾难恢复等。,9.7.1 网络数据备份策略,(1)全备份所谓全备份就是用一盘磁带对整个系统进行完全备份,包括系统和数据。这种备份方式的好处就是很直观,容易被人理解。而且当发生数据丢失的灾难时,只要用一盘磁带(即灾难发生之前的备份磁带
27、),就可以恢复丢失的数据。然而它也有不足之处:首先由于每天都对系统进行完全备份,因此在备份数据中有大量是重复的,例如操作系统与应用程序。这些重复的数据占用了大量的磁带空间,这对用户来说就意味着增加成本;其次,由于需要备份的数据量相当大,因此备份所需时间较长。,(2)增量备份每次备份的数据是相对于上一次备份后增加的和修改过的数据。这种备份的优点很明显:没有重复的备份数据,即节省磁带空间,又缩短了备份时间。但它的缺点在于当发生灾难时,恢复数据比较麻烦。在这种备份下,各磁带间的关系就像链子一样,一环套一环,其中任何一盘磁带出了问题都会导致整条链子脱节。,(3)数据备份方式 自动备份进程由备份服务器承
28、担:自动按照事先制订的时间表所要求内容,进行增量或全量的备份;批前及批后备份:在主机端,由批处理人员键入触发备份命令,自动按要求备份数据库有关内容;其他文件的自由备份:进入软件交互菜单,选择要求备份的文件后备份;线跟踪备份:配合数据存储管理软件的数据库在线备份功能,可定义实时或定时将日志备份;灾难备份异地存放介质的克隆:自动复制每日完成后的数据,并进行异地备份以作灾难恢复。,(4)虚拟存储技术使用虚拟存储技术的最主要目的就是为了集中存储资源,以便更好地对大容量数据进行管理存储。虚拟存储技术就是对应该技术的产品或者架构被仿真设计为一个普通的类似数据存储磁带机的一种物理存储设备,虚拟存储技术在对数
29、据存储时,通过对“软”技术的管理控制,间接达到对“硬”存储设备的管理和控制。,在信息系统的安全保护措施中,数据备份是最基础也是最重要的手段。备份系统是通过硬件设备和相应的管理软件共同实现的。硬件备份产品的介质包括磁介质和光介质两种,在选择备份设备时,根据用户需要备份数据量的大小、对备份速度的要求、对自动化程度的要求等。备份设备主要分为磁带机、自动加载机、磁带库;而磁带库又分为入门级、企业级和超大容量等几个级别。,9.7.2 网络数据备份硬件介绍,在任何系统中,软件的功能和作用都是核心所在,备份系统也不例外。磁带设备等硬件,提供了备份系统的基础,而具体的备份策略的制定、备份介质的管理以及一些扩展
30、功能的实现,则都是由备份软件来最终完成的。(1)磁带驱动器的管理。一般磁带驱动器的厂商并不提供设备的驱动程序,对磁带驱动器的管理和控制工作,完全是备份软件的任务。磁带的卷动、吞吐磁带等机械动作,都要靠备份软件的控制来完成。所以,备份软件和磁带机之间存在一个兼容性的问题,这两者之间必须互相支持,备份系统才能得以正常工作。,9.7.3 网络数据备份软件介绍,(2)磁带库的管理。与磁带驱动器一样,磁带库的厂商也不提供任何驱动程序,机械动作的管理和控制也全权交由备份软件负责。与磁带驱动器相区别的是,磁带库具有更复杂的内部结构,备份软件的管理相应的也就更复杂。例如机械手的动作和位置、磁带仓的槽位等等。这
31、些管理工作的复杂程度比单一磁带驱动器要高出很多,所以几乎所有的备份软件都是免费的支持单一磁带机的管理,而对磁带库的管理则要收取一定的费用。,(3)备份数据的管理。作为全自动的系统,备份软件必须对备份下来的数据进行统一管理和维护。在简单的情况下,备份软件只需要记住数据存放的位置就可以了,这一般是依靠建立一个索引来完成的。然而随着技术的进步,备份系统的数据保存方式也越来越复杂多变。例如,一些备份软件允许多个文件同时写入一盘磁带,这时备份数据的管理就不再像传统方式下那么简单了,往往需要建立多重索引才能定位数据。,(4)数据格式的管理。就像磁盘有不同的文件系统格式一样,磁带的组织也有不同的格式。一般备
32、份软件会支持若干种磁带格式,以保证自己的开放性和兼容性,但是使用通用的磁带格式也会损失一部分性能。所以,大型备份软件一般还是偏爱某种特殊的格式。这些专用的格式一般都具有高容量,高备份性能的优势,但是需要注意的是,特殊格式对恢复工作来说,是一个小小的隐患。,(5)备份策略制定。需要备份的数据都存在一个2/8原则,即20%的数据被更新的概率是80%。这个原则告诉我们,每次备份都完整的复制所有数据是一种非常不合理的做法。事实上,真实环境中的备份工作往往是基于一次完整备份之后的增量或差量备份。那么完整备份与增量备份和差量备份之间如何组合,才能最有效的实现备份保护,这正是备份策略所关心的问题。还有工作过程控制。,(6)数据恢复工作。数据备份的目的是为了恢复,所以这部分功能自然也是备份软件的重要部分。很多备份软件对数据恢复过程都给出了相当强大的技术支持和保证。一些中低端备份软件支持智能灾难恢复技术,即用户几乎无需干预数据恢复过程,只要利用备份数据介质,就可以迅速自动的恢复数据。而一些高端的备份软件在恢复时,支持多种恢复机制,用户可以灵活的选择恢复程度和恢复方式,极大的方便了用户。s,
