基于Web的数据库应用系统的安全性策略
基于ASP的Web网络数据库的安全策略
是 为 数 据库 文件 取 一 个 比 较复 杂 的文 件 名 。第 二 使 用 O B D C的
博, . 京: 译 北 清华 大 学 出版 社 , 0 . 2 2 0
虚拟 目录及其子 目录下的所有文件 、 网页 、 模块 以及可执行代码 发, 充分利用 A PN T的安全机制 、 在 S .E 数据 库安全控制 、 代码 的
的 总 和 。 据 系 统 需求 分 析 , 户 分 为 教 师 和 学 生( 数 据 的操 作 编 写 的 基 础 上。 以 极 大提 高 We 根 用 对 可 b应 用 程序 的安 全 性 能 。
南 信息 职 业 技 术 学 院 开发 了运 行 在 校 园 网上 的 网络 考 试 成 绩 系 在后 台完 成 . 分开 独立 做 的 事 情 . 分 开 独立 实 现 。 能 就 统 该 系 统 实 现 了用 户登 录 、 据 存 储 、 览 查 询 和教 学 分 析 统 数 浏 (1 分利 用 后 台数 据 库 系统 的 视 图 和 存 储 过 程 , : 建 带 1 充 如 创 计 功 能 , 高 了教 务 处 的信 息 化 管 理 和 校 园 网 的 利用 价 值 。在 整 参 数 的视 图.实 现 不 同 角 色 身 份 的 用 户对 各 自权 限 范 围 内 的数 提 个 系 统 的 开 发 过 程 中. 虑 最 多 的 就 是 安 全 问 题 . 信 这 也 是 所 据访 问 考 相
I fPwdFom a=” D5” te r t M hn
下 面一 行 得 到用 MD 5算 法 加 密后 的字 符 串
E cy P n rt wd = o ms t e t a in Ha h a s r F r trn l — F r Au h n i t . s P swo d o S o g n c o i
Web环境下数据库系统安全性及控制策略
趾鞣
幽
22蓄意的侵犯或敌 意的攻击
蓄 意 的 侵 犯 或 敌 意 的 攻 击 主 要 有 以 下 几 种类型 :
12正确配 置和保 护数 据库 系统是 计算
32推 论 控 制
务 包, 数据库管理和开发工具。安全漏洞和不
当 的配 置 通 常 会 造 成 严 重 的 后 果 , 且 难 以发 而
现。
推论 是指 用户通过 间接 的方式获取 本不
该 获 取 的数 据 或 信 息 。所 谓推 论 控 制 , 目标 其
( 由授 权 读 取 的 数 据 通 过 推 论 得 到 不 应 就 是 防 止 用 户 通 过 间 接 的 方 式 获 取 本 不 该 获 3) 访问的数据。 取 的 数据 或 信 息 , 即 防范 数 据 被 窃 取 。 也
据库 系统保存一些涉及个人隐私的资料 , 敏感 数据 , 战略上 的或者专业的信息等。数据库服
灾、 火灾等等导 致的硬 件的破坏 , 进而导 致数 世 纪 7 O年 代 后 期提 出 的 ,其 思 路是 对 可 访 问 的对 象之间流动 的信息 或信息 流程加 以监控 () 2 硬件或软件的故 障和错误 可能会导致 和管理 。信息流控制机制检 查信 息流程 , 以保
维普资讯
应 用与 安全
We b环境下数 据库系统安全 性及控制 策略
●
■■■■■●
一
■
宋庆 福
( 京唐港股份有限公 司技术管理部 , 河北唐山 0 3 1 ) 6 6 1
1W e 环 撞 下 数 据 库 系 统 安 宝 昀 量 b
构建基于Web的数据库安全体系
3 We b数 据 库 面 临 的挑 战
31 面 向应 用层 攻 击 的新 特 点 .
① 隐 蔽性 强 : 用 We 漏 洞 发 起 对 We 用 的 攻 利 b b应 击 纷 繁 复 杂 . 括 S L 注入 、 站 脚 本 攻 击 等 , 个 共 包 Q 跨 一 同 特 点是 隐蔽 性 强 . 易 发 觉 。 不 ⑦ 攻 击 时 间 短 :可 在 短 短 几 秒 到 几 分 钟 内 完成 一 次 数 据 窃 取 、 次 木 马 种 植 、 成 对 整 个 数 据 库 或 We 一 完 b 服 务 器 的 控 制 . 至 于非 常 难 作 出人 为 反应 以 ⑧ 危 害性 大 : 目前 几 乎 所 有 银 行 、 券 、 证 电信 、 移
收 稿 日期 :O 1 3 1 2 l —0 一O 修 稿 日期 :O 1 3 2 2 l -0 — 0
互 服 务 。用 户 的 机 密 信 息 包 括 账 户 、 人 私 密 信 息 ( 个 例
作 者 简介 : 张元 金 (9 9 , , 西人 , 科 , 师 , 究 方 向 为 计 算机 网络 安 全 1 6 一) 女 江 本 讲 研
而 . We 在 b服 务 给 用 户 提供 方 便 快 捷 的信 息 服 务 的 同
关 键 活 动 的 行 为 . 会 导致 数 据 库 安 全上 的错 误 判 断 . 都 并且 干扰 数 据 库 在 运行 时 的性 能
时 。 据 库 面 临 的 风 险 也 在不 断地 增 加 主 要 表 现在 两 数
基于WEB的网络数据库安全技术探析
摘要: 网络数据库的安 全问题 归结为两个方 面: 一方面要 保证 网络数据库系统的保 密性 , 另一方面则要保证 网络 数据库 系 统的完整性。本文在阐述数据库安全问题 的基础上 , 网络 系统、 从 宿主操作系统以及S ev r0 5 QL S r e2 0  ̄ 库安全管理系统
等三个层 面, 对 网络 环 境 下数据 库 的安 全技 术 展开 讨 论 。 针
何处理库存数据及通信报文等 。 具体而言, 人为因素造成 的数
据库系统安全隐患又体现在以下几个方面:
第一 , 黑客 的 攻击 , 些 非 法用 户出于 非 法 的 目的 窃取 网络 一
基入 网络的入侵检测 , 一种是基于主机 的入侵检测。网络入侵 检测技 术分析非常攻击 的数据 源主要来 自原始的网络分组 数 据; 而主机 入侵检测技术则是加强对操作系统事件及安全 日志
一
定的破译工具, 分析密码后获取密文, 然后篡改密文内容或者
解密密文 , 以达到其非法的 目的。 第二, 计算机病毒, 由于 网络
用户越来越多, 所以病毒 的传播速度也越来越快 , 影响范围越 来越大 , 尽管杀毒技术不断提高、 升级, 但是病毒技术同样水涨 船高, 更加多样化及复杂化, 且破坏力及攻击力也逐渐强大。 第 三, 网络安全环 境存 在隐患, 网络安全环境 自身就相对比较脆 弱。 第四, 数据库应用系统存在的安全隐患, 其主要体现在非法 用户在未得到授权的前提下在数据库应用系统 中存取数据 , 此 外还有合法用户对数据库应用系统进行越权操作等。
的监控 。 在日常应用 中将这两种技术 联合使用, 以增强入侵 可
检测的功能。 () 4 加密机 制。 网络通信有一个基 本原则, 即如果 信息 内
基于ⅡS的Web信息系统安全策略研究
网站本身 出 了问题 , 是相 关 的 I e t 务故 障 引 而 n me 服 t 起, 比如 D S不 能正 常 解析 网站 名。因此 , b网站 N We 的安全性还 与网络系统 中其 它相关服务 的安全 性息息 相关。
和软件 、 及时 升级不 安全 的软件版本
来保障 。 ( )we 3 b服务器 安全隐 患。 b we
图 1 基 于 WE B的信息 系统结构
服务器通 常 会有 以下 两个 方 面 的安
全要求 :
2 we 信 息系统的安全性分析 b
信息系统的安全 性包 含两部分 内容 , 是保 证系 一 统正常运 行 , 避免 各种非故意的错误与损坏 ; 二是防止 系统及数据 被 非 法利 用或 破 坏。在 开放 的 网络 环境 下, 系统安全的保障则更 加 困难。 基于 we b的信息 系 统安全性体系大致分为网络系统 、 操作系统 、 e w b服务
安全 攻击行 为的发生 并及时 报告 , 管理 员采取 进一 为 步 的措施提供依据 。这类软件一般有基于 网络和 基于
服务器两 类。
据库系 统本 身 的漏洞 , 包括使 用有漏洞 的数据库版 本 或是没有 对数据库进 行安全 配置 ; 其次 是应 用程序 的 解释脚本漏洞 , 比如 程序脚本源程序 的泄 漏 , 用户认证 口令的 明码传输 , 用户使用习惯 的考虑不 周等。
庞 芳 沈晓军 杨 帆 王丽玫 ( 西壮 族 自治 区气象 台 南宁 5 0 2 ) 广 30 2
摘要 : 文从 网络体 系、 本 操作 系统 、 b服务 器、 We 应用程序 、 据库和 管理制度 安全意识 等几 个方 面探 讨 了基 于 l 数 l S 的 We 信 息系统的安全 问题 , b 并结合 目前的技术手段 , 阐述 了构 建 We 信 息系统应该采取 的一些安全策略 , b 实践 证 明, 些策略是行之有 效。 这
Web数据库系统的安全管理策略
二 .用户身份标 识与鉴别
W e 系统 中用 户 身 份 信 息 是 由以 下 字 段 组 成 :用 户 登 录 b 账 号 、 姓 名 、 密 码 等 ,这 些 字段 在 数 据 库 中 作 为 一 个数 据 表 存 储 。用 户 每 次 登录 时 ,需 输 入 登 录 账 号 和 密 码 ,采 用 fr o m 表 单 提 交 用 户 输 入 的 账 号 和 密 码 , 并 通 过 数 据 库 访 问 该 数 据 表 , 进 行 身 份 标 识 与 鉴 别 。如 果 不 能 通 过 身 份 验 证 ,S QL
& 统越来越 多,W b e 数据库应 用也越来越广泛 ,而 面临的
全 管理 策略 进 行 探 讨 和 研 究,从 多 方 面保 证 了 Mco f i st ro
关键 词 W b数据 库 数据库 系统 安 全管理 e
随着 We b技 术 的 广 泛应 用 ,基 于 W e b的 信 息 系统 越 来
W id ws n o NT 鉴别 ,则 采 用 NT ev r 内置 安 全 性 来 鉴 S re 的
别 用 户 ,如 果使 用 S L e re 别 ,表 示 采 用 S re Q S v r鉴 QL S v r e
中 的 内 置 安 全性 来 鉴 别用 户 。 用 户 登 录 S S r e 时 经 过 了 以下 几 个 过 程 : 由于 操 QL e v r
+S ev r QL S r e 的安全管理。
作 系统 采 用 W i o nd ws网络 操 作 系统 , N ̄ I 户 首 先 要 登 录 cl l
一
.
对 S L S r e 的安全设置 Q ev r
网 络 操 作 系统 , 一 般 情 况 下 ,用 户必 须 提 供 一 个 有 效 的 网 络 账 号 和 密 码 来接 受 鉴 别 和 登录 到 网络 上 ;用 户 访 问 网 络之 后 ,
Web应用程序中的数据库安全策略
Nasa iesy Yat 6 73Ch a nhnUnvrt, na2 5 1。 i ) i i n
Ab t c: tb s ly ilp r i h e p h a o . tr n o teW e p l a o n h a b s e u t. hsat l amst sr t a aepasavt at n teW ba p ct n S t g f m b api t n a d ted t aesc r ti r ce i O a Da a i a i r h ci a i y i sv o ea e x ln t n a d tete d o p h a o n h a b s e ui on n ese t e u h i et g u e u t d l ie smed ti d epa a o n rn f p c t n a d ted t aesc rt frlma yp rp c v ss c l st n p sc r mo e, l i h a i a y i l s i i y
d t n o i g t e c me a k o tb s ’ o is t a e c dn , o b c f a ae Sc p e  ̄ C a h a d
Ke r sW e piainDa b s e u t;t tg ; e d y wo d : b Ap l t ; t aeS c r Sr e yTrn c o a i y a
1引言
在 Itrc 大众化 的今天 。数据库 和数据库技术在不断增 长 ne t a 的 We b程序设 计中起着越来越大 的作用 , 至在计 算机应用 的各 甚 个领域 , 数据 库都起着至关重要 的作用 。没有 数据 库的安全 和保 护 , b程序设计的深度 和广度都将受到很大 的影响 。 We 但是 , 多数
Web数据库安全威胁及对策研究
E ma :s@cc.e. — ij l h cc tn n c
h t : w w.n sn t n t / w d z .e . p/ c T l 8 — 5 — 6 0 6 5 9 9 4 e: 6 5 1 5 9 9 3 6 0 6 +
C m u r n weg n e hooy电 脑 知 识 与技术 o p t o ldea dT cn lg eK
ห้องสมุดไป่ตู้
A l i d f h e t a d t e c u e f e tb s e u i r n lz d a d s d e es c rt e h o o y a d c u t r au e h s l k n o r as n h a s s b Daa ae S c rt we ea ay e , n u i d t e u i t c n l g n o n e me s rsi t i s t oW y t h y n
库应用 中的热点课题 。
1网络数 据 库及 其应 用
数据库作 为数据 的存储池 , 在各类信 息系统管 理中得 到了广泛应用 , 现代化信 息建设 和管理 , 均离不开数据库 的支持 。所谓 网 络 数据库 , 又称为 We 数 据库 , b 其实质是建 立在传统 的数据库技术 之上 , 合数据库技术 、 综 存储 技术 、 检索技术 和网络络技术为一 体, 基于 ltme应 用的数据 库结构 和数据模 型的数据库 。 ne t 在用户 的场景 中, 数据库 网络应 用模式有 : S C/ 模式 、 B/S 模式 、 //模式三种 。C/s BC¥ 模式采用 “ 客户机—应用服务器一数据 库 服务 器” 三层结构 , 早期的传统 的w no s idw 应用程序普遍采 用该种模式 ; B/S 模式采用 “ 浏览器— w b e 服务器一数据库服务 器” 三 层结 构 , 因该模 式其简单 、 方便 、 快捷 、 无缝 介入等种种便 利使 得客户越来越喜欢 BS 构的场景。BCS 式则 是综合 了以上两种 /结 //模 基本模 式 , 对于不 同用户可 以采用 Ci t Bo sr l n或 rw e客户端界 , e 进行系统管理或操作。这三种模式在结构上存在共同点 : 均涉及 到网 络、 数据库系统和应 用软件 , 均离不开 We 数 据库 支持 。 b
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
基于Web的数据库应用系统的安全性策略摘要:基于web的数据库应用系统,以其界面美观适用,操作简单便捷,有着非常好的应用前景。
其安全性是开发商和用户都非常关注的一个问题。
因此,本文就如何有效的加强web数据库系统的安全性作了一定的分析和简单的设计,文中从9个方面展开叙述,旨在能应用到各种普通的中小型的web数据库应用系统,确保网络数据库的安全。
关键词:web;数据库;安全
中图分类号:tp391 文献标识码:a 文章编号:1007-9599 (2013) 02-0000-02
随着互联网的迅猛发展,各种网络平台日趋成熟,如网络银行、网络教学、网络购物、网络调查等等已经逐渐为世人所接受并且已融入了人们的日常生活中。
近年来,web技术以其特有的优势赢得了市场,一是能将文本、图像、声音等多媒体信息资源通过用户的浏览、查询实现各站点的共享;二是该技术简单易学、与平台无关、在全球范围可用等。
数据库技术发展到今天,与web技术想结合成为web数据库应用系统,界面美观适用,操作简单便捷。
但安全性不容乐观。
原因如下:一是数据库系统作为信息的聚集体,是计算机系统的核心部件,其安全性直接关系到企业的兴衰,国家安全,因此其安全问题非常重要。
二是在网络方面,由于internet技术本身没有提供任何安全机制,只有web站点和internet连通,就
可能被任何人访问。
因此,本文就如何有效的加强web数据库系统的安全性作了一定的分析和简单的设计,文中强调应从9个方面进行防范,确保网络数据库的安全。
1 web数据库应用系统存在的安全威胁及安全要求
web数据库应用系统在实际操作过程中,海量的数据存放和繁琐的管理过程必然带来诸多的不安全因素。
凡是涉及到对数据库存储数据的非法访问都对数据安全造成威胁。
数据库系统的安全威胁大致可以分为以下几类:一是技术手段的威胁:如用户身份的假冒,非授权的试用以及黑客的恶意攻击或盗用等;二是硬件设施的故障,如机器故障,服务器设备的损坏或数据的丢失等;三是操作人员的错误和系统管理人员的维护错误。
由于网络数据库应用系统是通过web页面与后台数据库交互信息的,数据的存取以及在网络上的传输都存在着诸多的安全隐患。
不同于传统的数据库应用系统只限于本系统的用户进行操作,在共享电子资源的同时必然存在着被篡改、存取丢失数据和在网络传输过程中的丢包、被窃听、被截获等不安全因素。
因此,在开发网络数据库应用系统时必须考虑web数据库安全性等问题。
其安全要求如下:
1.保证数据的完整性。
数据必须是正确有效数据,数据的操作过程是规范合法的。
2.保证数据的安全性。
数据在使用过程中保证数据不被窃取盗
用,不被人为篡改、破坏,不被跟踪攻击。
2 基于web的数据库应用系统的安全性策略
为了实现一个web数据库应用系统的安全,尽力排除不安全因素,可以从以下几个方面建立安全性防护体系:
2.1 客户端安全。
客户应用程序是网络数据库安全性的重要方面。
客户端应用程序可以控制用户的合法登录、身份验证等,还可以直接设置数据,可采用基于com+组件应用程序实现的用户身份鉴定技术,达到提高应用端的安全管理的效果。
2.2 服务器端安全。
采用基于unix操作系统的数据库管理系统,能有效的克服数据易被篡改和破坏的问题。
当网络上的数据传送到服务端,请求响应时,服务器端必须立即启动检测机制,检查其合法性。
同时,最好能对对方的操作予以跟踪,及时发现是否存在非法操作。
一旦发现非法存取数据,服务器端立即启动报警机制,关闭对方的存取权限。
以确保数据的完整和安全。
2.3 数据库本身的安全。
为了确保数据库本身的安全,应从以下几个方面全方位考虑:首先选择一个适合自身系统的安全性较高的数据库管理软件,众多软件比较,一般可选用db2作为我们的数据库管理系统,其安全性相对更高。
其次选择好数据库的安全性实施方案:采用数据库服务器的用户身份鉴定和权限控制技术,数据库服务器与应用系统两级权限控制技术;最后为确保数据文件的安全,应对数据文件进行加密。
2.4 加强外部网络的安全。
一是加强网络通信协议的安全,如ip地址欺骗、icmp等攻击,他们大都属于拒绝服务攻击。
利用源地址验证技术可以阻塞ip欺骗,而icmp攻击等可以安装相应的补丁来保证数据库系统的安全;二是构筑防火墙,在内部网络和外部网之间构造保护墙,阻止对信息资源的非法访问;三是各种用户标识和身份认证;四是采用审计追踪技术,根据网络状态及时发现网络的攻击迹象,及时发现和查找黑客的信息和攻击情况;五是采用并发控制技术,利用封锁机制,使用户只能读取数据而不能修改数据,直到用户释放共享锁,从而保证数据的完整性;六是采用入侵检测技术,基于网络的入侵检测和基于主机的入侵检测联合使用,提供集成化的攻击签名/检测/报告和事件相关联功能;七是实施加密机制:在网络通信过程中将重要内容实施加密。
2.5 计算机设备的安全管理。
对计算机自身的管理也是安全性的一个方面,客户端的计算机和服务器端的计算机都应设置好用户的使用权限并管理好事务日志记录,以便出现问题及时恢复或追踪审查,定时检查电脑的各个性能,若发现有硬件或软件方面的损坏,应及时更新或升级,以便造成不必要的数据丢失。
应配备专门的并且专业的计算机管理人员,进行严格的管理和对系统的维护及定期的系统性能测试检查。
2.6 程序设计的管理,防范漏洞的产生。
在编制web数据库应用程序时,应充分考虑程序本身的漏洞,以及如何避免,尽可能做
到高容错性以及在不同情况下的应变能力。
由于c/s的数据库应用系统是多用户多任务的,因此开发人员在开发时应充分考虑以下几个问题:如何对众多的操作人员进行标识与鉴定(特别是在要对系统中的信息进行修改的操作人员)?如何决定一个操作人员应该进入哪一个工作环境?
2.7 相关人员的有效管理,避免人为的安全隐患。
对技术操作人员应进行标识和鉴定,为每一个操作人员在数据库管理系统中创建一个数据库管理系统帐号,即每一个操作员的工号都对应一个真实的数据库服务器帐号;在数据库中创建一个用户表(操作员表),每一操作人员在此表中都又一个记录,在连接数据库服务器时,这一记录都对应一个唯一的数据库管理系统帐号。
程序设计人员应具备一定的职业道德和职业精神,防止私自在程序设计过程中安置病毒,人为制造诸多安全因素或遗留安全漏洞。
这里包括明知会有安全漏洞或安全威胁,而不去考虑如何解决或不做任何解释说明。
对信息系统的监护人员,如公安机关、政府工作人员以及单位自身内部的所有可能会触及信息系统的人员,应该加强法律法规意识以及鉴别风险危害的意识,把不必要、不应该的威胁尽可能避免。
不断完善法规制度,对机房的管理,以及信息审查员应落实安全责任,严密监控网络安全漏洞和系统升级管理制度。
2.8 数据备份。
数据备份与数据恢复是数据库应用系统的安全
环节之一,适时做好数据备份,以防止意外的发生,建立健全的及时有效的数据恢复机制是必不可少的。
可采用向前滚动恢复机制,以确保数据的高完备性。
2.9 必要的情况建立起监理机制。
鉴于网络安全的重要性,可以考虑在网络应用系统这一块,建立起完善的安全监理机制。
采用监理机制,成立专门的网络安全、信息系统安全的监理机构,全天候的监控网络,监控系统,及时发现并阻击安全威胁,把所有的不安全因素控制在发生之前。
参考文献:
[1]王惠琴,李明.基于web数据库安全机制的研究[j].计算机工程与设计,2002,7:12-14.
[2]罗可,吴一凡.数据库安全问题[j].长沙电力学院学报(自然科学版),1999,14(2):173-175.。