浅谈数据库安全技术研究
浅谈SQL Server数据库应用时的安全措施
Technology Analysis技术分析DCW95数字通信世界2021.030 引言在人们的日常生活中,计算机的使用愈加频繁,数据库作为计算机中不可或缺的一个重要组成部分,能够让网络运行过程中的后台存储空间得到进一步的扩大。
但需要注意的是,相应数据库的使用虽然能够给人们的日常生活带来便利,其依旧无法得到解决的安全问题,也很可能会让人民群众的个人隐私信息受到侵害。
要想让数据库能够安全的进行使用,相关研究人员就须采取必要的措施来保障日常数据库的正常运行。
1 数据库安全概述想要对SQL Server 数据库的应用安全措施进行深入的探讨与研究,首先要对数据库安全这一概念有一个全面的认知。
所谓数据库安全,指的是在数据库使用中,其相关信息拥有一定的一致性,完整性,可用性和保密性。
所谓的信息一致性,指的是数据库中的信息与实际信息高度一致,不存在信息传输过程中的信息走样和信息虚假的现象。
所谓的信息完整性,指的是数据库在进行某样信息抓取的过程中,数据库所获得的信息与实际的信息完全相同,并不存在断章取义或局部抓取等现象。
所谓的信息可用性,指的是数据库中所抓取的所有信息都有较大的用途,用户在进行该信息的获取时,能够通过该信息达到一定的目标或使用效果,数据库中不存在无效信息。
而信息保密性,指的是用户在数据库中所留下的个人信息与用户在进行信息查询收集过程中所留下的信息查询痕迹是保密的,第三方无法通过非法手段进行相应个人信息和信息查询痕迹的获取。
需要注意的是,数据库安全与数据库管理系统有十分密切的联系,倘若数据库管理系统出现问题,那么数据安全就无法得到充分的保障,当然数据安全除了与数据库管理系统有密切联系之外,还与应用程序以及进行操作的网络环境有十分密切的关联,因此,研究者在对数据库安全问题进行分析与研究的过程中,除了要考虑到数据库管理系统的建设使用规范之外,还需要对其他可能会对数据库安全产生影响的因素进行深入的研究与探讨。
医院信息管理系统数据库安全管理研究.docx
医院信息管理系统数据库安全管理研究随着我国信息技术的不断发展,当前医院现代化建设步伐加快,信息技术在促进医院日常运营和发展过程中发挥着突出的作用。
只有建立信息数据库管理系统,才能降低医院管理成本,提高工作效率,确保医院日常数据的安全。
但在现阶段,我国医院信息管理工作还存在诸多问题,必须通过加强网络系统安全防控等手段提升其安全性,进而为医院发展创造安全稳定的环境。
1医院信息管理系统与数据库安全管理存在的问题1.1内部系统安全问题医院信息管理系统的运行需要进行数据的常态化运用和保存,其中中心机房作用突出。
医院信息管理系统的重要目标是确保数据有效并满足医院需求,而其核心因素是在现有的计算机房等运行环境下形成有效的防护设计,如采用防火防雷以及其他安全技术[1]。
但目前我国医院信息系统中心机房内部管理有待完善,很多新改建的场地仍存在诸多问题,如因环境或人为操作失误引发的安全事故。
1.2网络系统安全问题网络系统安全问题主要集中在网络应用的入口,如第一层网关位置,控制系统中含有很多服务器访问,还有交换机、路由器、综合布线、集线器等,均存在安全威胁,导致交换机与集线器易被外来攻击者利用[2]。
而比较脆弱的安全装置造成的门户大开情况下往往没有修补设备,一些综合布线的网络设备与线路被暴露,导致网络系统环境非常脆弱,还有可能出现接错线或是监控遭到破坏的情况。
工作人员使用的防火墙虽然能在一定程度上提高网络信息管理的安全性,但对于防范偷越防火墙等攻击性行为还有一些漏洞。
1.3数据系统安全问题医院信息系统安全问题大多出现在后台数据的安全管理工作上,后台数据的安全管理是整个系统数据信息的灵魂,具有重要的安全防护作用。
数据库是数据信息系统,有助于有效保护数据,并提供查询、分析服务,数据系统的安全储存与合法使用需要数据监控以访问权限的方式实施管理。
就数据库系统管理现状来看,权限管理层级细化到用户识别、使用权限、审计、加密等,特别是在登录权限、资源管理权限与数据库管理权限方面还缺乏积极性与针对性,仍需进一步完善管理,以完善数据库安全较薄弱环节,例如硬件故障、软件故障、网络故障等,这些都将直接影响数据库的安全[3]。
对数据库安全技术的探讨
随着计算机科学技术的发展与普及 ,数据 权给合法用户访问数据库 ,只有合法用户才能 尚未写入 ,从而造成 数据 的不一致。为保证数 库的应用变得越来越 广泛 , 渐深入到各个领 修改和查询信息,而未 被授权 的用户是无法进 据库 中的数据一致性 , 逐 需要清除这些事务对数 域。但随之产生 的数据库安 全问题 , 则关 系到 入数据库取得数据的。它主要包括 :自主访问 据库 的所有修改。 企事业单位的信息安全。就 数据库安全方面 问 控制和强制访问控制 。存取控制机制主要包括 4有关数 据库安 全技术 的探讨 除上述技术因素外 ,还应加强对数据 库管 题提 出个人见解 ,在措 施上 作 了一 些初 浅探 两部分 :定义用户权 限和检查合法权限。当用 讨。 户发 出存取数据库 的操作请求时 ,D M 就 进 理人员的安全培训 。在实际应用中 ,往往将 多 BS 1数据库的安全性概述 行合法权限检查 ,若请求超 出权限 ,系统将 拒 种方法并用 ,以提 高其安全性。随着网络 的普 在我 国,对数据库 的安全定义是保证数据 绝操作。 及发展 , 越来越多 的公 司将其业务向互联 网转 库信息的保密性 、完整性 、一致 性和可用 性。 3 视图机制 . 3 移 ,各种基 于网络 的数 据库应 用系统 涌现 出 保密性是指保护数据库 中的数据不被泄露和未 不同的用户定义不 同的视图 ,把保密的数 来 ,面 向网络用户提供各种信息服务。随着信 授权 的获取 ;完整性是指保护数据库中的数据 据对非法用户隐藏起来 ,从而 自动地对数 据提 息时代的到来 , 数据库技术和计算机网络技术 不被破坏和删 除 ; 一致性指确保数据库的数据 供一定程度的安全保护 。 的 日益发展 ,数据库 的安全问题必将受到社会 满 足实体完整性 、参照完整性和用户定义完整 3 审计跟踪技术 . 4 的广泛关注。同时 ,国家也有必要 制定相应法 性要求 ;可用性指确保数据库中的数据不因人 基本 过程是把用户对数据库的所有操作 自 律 ,以保护数据库 的安全。 为的和 自然的原 因对授权用户不可用。 动记 录下来放 入审计 日志 中,D A可 以利用 B 参 考 文献 2数据库 安全要求 审计跟踪的信息 ,找 出非法存取数 据的人 、时 【 1 】张敏. 数据库安全 【 】. :科学 出版社 , M 北京 20. o 5 数据库系统安全 的总体要求是通 过访问控 间和内容等,进行相关的分析和调查 。 制等技术手段来保障数据库系统的安全 , 御 抵 3 数据加密技术 . 5 f1 蒋 本 立 ,数 据 库 原 理 及 应 用 【 . 京 : 2 北 诸如非法访 问、未经授权非法修改 数据 等针对 加密就是将称为明文的敏感信息 , 通过算 中国 铁 道 出版 社 ,2 o . o6 数据库安全 的各种威胁。数据库系统 的安全需 法和密钥转换为一种难以辨认 的密文 。可 以限 【 3 1周学艺 ,刘 艺. 息安全 学 [ 】. :机 信 M 北京 求包括 : 制有人非法使用数据库 , 直接打 开数据库文 械 工 业 出版 社 .2 0 . 或 03 ()物 理完整 性 。数 据 能够 免于物 理破 件来 窃取或篡改信息 ,以达 到保护数据安全 的 f】刘云生. 】 4 实时数据 库 系统 叨 计 算机科 学, 9 4. 坏 ,即使被破坏也能够迅速重构数据库 。 目的。加密系统的两个基本要 素是加密算法和 1 9 ( 2 )逻辑完整性。能够保持数据库 的结构 密钥管理 。加密算法是一些公式和法则 ,它规 责 任 编 辑 :胡 明 月 完整。 定 了明文和密文之间的转换方法 。常用的加密 ( 3 )访问控制。允许 用户 只访问被批准 的 算 法有 :对 称算法 ( 密 和解密使 用 同一密 加 上接 19页)节 目、 8 新形式 , 以满足广大 同学 数据 ,以及限制不同的用户 可以有不 同的访问 钥 )和非对 称算法 (u / 密用公 钥 ,解密 用私 ( J 模 式。 钥) 。数据库加密处理有 三种 基本方式 :文件 的文化娱乐需求。 23 -5加强网络文化建设 . ( 4 )用户认证。确保 每个用户能够被正确 加 密 、记 录加密 、字段 加 密。在数 据加 密方 是在校 园网和局域网上可以设立 电子信 识别。 面 ,由于 D M 要完成对数据文件 的管理和使 BS () 可 用 性 。 5 用 ,具有能够标识部分数据 的条件 。因此 ,对 箱进行 网上答疑 、 问卷调查和思想交流 , 沟通学 3实现数据库 安全 的常见措施 ’ 数据库 中的索引字段 、关 系运算 的 比较字 段 、 生 的现实问题 , 排忧解难。 二是建立 电子公告牌 3 用户标 志与鉴别 . 1 表问的连接码等字段一般不能加密。在数据加 fB ) 开放 园地 , B 具有 隐蔽性 、 BS 这一 BS 虚拟性 、 用户标 志与鉴别是系统提供的最外层安全 密这种方式中 , 核心是加密 的算法。 目前国际 交互性 ,是方便、快捷传播信息的网络交流平 B 舆论 引导 工作 , 大 保护措施。标志是指用户 向系统出示 自己的身 上公认的密码算法主要有 :D S ( 据加密算 台。要 高度重 视高校络 B S E 数 份证 明,必须保证标志 的唯一性 。鉴别是指系 法) S ( ,R A 公钥 密码体制 )等等 。 由于加 密 力加强 网上评论队伍的建设 , 积极主动引导 网 统检查验证用户的身份证 明,用于检验用户身 时 ,用密码存储数据 ,使用时须解密。所以加 上舆论 , 高校 B S 把 B 建成 学生思想 交流 、 提高 通过 E m i等 ~a l 份 的合法性 。标志和鉴别功能的存在保 证了只 密解密要增加 系统开销 ,降低系统性能 ,因此 的新阵地 。三是开辟教师 网页 , 方式 ,进行学术思想交 流,促进师生 的信息沟 有合法的用户才能存取系统中的资源。用户标 般用于要求较高的数据库 。 识和鉴定的方法有很多 ,常用的方法有 :口 令 36系统安全恢复 . 通 。四是开通网上心理 咨询热线 、心理服务网 构建网络心理预警系统 。 以独特 的视角和符 验证 、智能卡验证 、指纹验证 、声音识别验 证 随着 安全技术的不断发展 ,系统要求对 已 站 , 进行信息和思想交流 。 等技术 。口令验证容 易被人窃取 ,如 :生 日、 遭到破坏 的系统尽可能的恢复 ,把损失 降低到 合学生语言特点 ,
浅谈数据库安全
引言
库数 据不 被非法 访 问 和非 法 更新 , 防止数 据 的 泄露 并 和丢失 。把数据 库 系统 的安全 问题归结 为三个方 面 : ( ) 证 数 据 库 系 统 的完 整 性 。包括 : 1保 数据 库 系 统 的物 理完整性 ; 据库 系统 的逻辑完 整性 ; 据库 系 数 数 统 的元 素完 整性 。 () 2 保证 数据库 系 统 的可 用性 。即保证 数据 库 系 统资源 可 以存取 、 易于使 用 、 面友 好等 。 界 () 3 保证 数 据 库 系统 的保 密 性 。包 括 : 数 据 库 对 系统 的用户 进行 身份 鉴 别 , 保证 每个 用 户是 合法 的且 是可 以识别 的 ; 据库 系统 的访 问控制 , 数 即控制 主体 对 客 体的访 问 , 拒绝 非授 权访 问 ; 统计 数据库 对推理攻 击 的防范 ; 数据库 系统 的可审 计性 , 即对非 法用户 的侵入
Dic s in n t e Da a s e u iy S lo y s u so o h t ba e S c rt halwl
U U Na
( h nsaS i r oee hnS a Hua 10 4 C agh o a Wo clg ,C ag h , nn4 00 ) cl k l
at l sm r e erle erst edt aescr , n l oa stedt aesft t h o g e Q i rc u ma zs h a dt o e t a b s ui adea r e a s a y e nl ya W la S Lwt ie i t e t h i oh a e t y b t h b a e c o s l s h
e h ss o e S r e aa a e s f ip st n mp a i n t v rd tb s ae d s o i o . h e i
数据库安全技术的研究与实现
文件 目录的第一个扇 区相对于 F T A 卷第一个
扇 区 的扇 区号 公式 已经 由公 式 () 出 . 2给
了解 了数据结构特征和所在的位置 , 通过计算
公式就可以计算 出需要备份的数据所在的位置 , 从
而编程完成信息的备份 .
①
收稿 日期 "0 8 0—3 20 —1 1 基金项 目: 佳木斯大学科研项 目资金资助( 8 5 ) —02 . 作者简介 : 李晶 ( 6 一)女 , 江桦南人 , 1 8 , 黑龙 9 哈工大在读硕 士, 教授 , 主要研究方向 : 数据库技术及应用等
其中 R DS为根 目录扇 区数 , otnCt R oE tn为根 目录 目
录项数 , y Pre 为每扇区字节数 . Bt e c s S
数据 区的起始位置可以通过公式() 2 计算 :
F S = R s Sc n +( u F T *, Z )+R S D e d eC t N m A s H v D () 2
指定卷 中的数据 t e — R s d e C t tS c oS c ev S c n
+( u F T *F T N m A s A &)+R S D 扇 区数 .
() 4
其 中 D t e 表示数据区扇区总数 ,o e 表示 总 a Sc a Tt c S 磁盘上 , 分区中的实际文件数据全都处于数据 部分 , 而且因为在 FT 2中, 目录部分也位于数据 A3 根 部分 , 所以这个部分也称之为文件 目录数据部分.
No v. 2 0 08
文章编号 :0 8 , ( s o 10 —1 mo )6一o6 —0  ̄ 75 2
数 据 库 安全 技 术 的研 究 与 实现
网络数据库的安全技术研究
更新, 也将会随之产生新的安全问题, 因此, 数据库安全必须走立体式发展道路, 在进行系统设计时要将各方面因素都考虑进来,这个问题才能得到有效解决。 参考文献: [1]袁玫.网络数据库应用教程[M].人民邮电出版社,第 1 版 [2]李陶深.网络数据库[M].重庆大学出版社,2004,8 [3]谢希仁.计算机网[M]络.电子工业出版社,第 4 版
其内容、形式;对于管理员而言,值得研究的是在数据库系统的开发和维护过程 中,对整个系统的安全机制进行整体设计和各项系统设置。 (四)客户端应用程序层次 网络数据库的安全也要受到客户端应用程序的影响。 客户端应用程序相对来 说具有独立性和可移值性, 并且可以通过多种平台实现, 对用户的需求进行设计 和完善也比较容易, 还能够对用户的合法性进行验证, 也可以对数据进行直接的 设置。在 DBMS 自身的安全机制较弱的情况下,从应用程序上进行加强控制,能 在一定的程序上保证应用系统的安全。 四、DBMS 安全机制的防范措施 (一)用户身份认证与授权 DBMS 具有识别用户身份的功能,通过这种功能鉴别用户的合法性。用户在 访问数据库时必须提供用户账号,它由用户名和密码组成,且用户名是唯一的。 只有通过身份认证的用户才能进行后续操作。 授权是系统赋予用户的权限, 标明 能够访问哪些资源,以及对它们的操作类型。 (二)备份与故障恢复 备份与故障恢复是保障数据库安全的重要手段, 是确保数据库系统因各种不 测事件受到破坏时,能尽快投入再使用的重要保证。通常故障有两种:物理故障 和逻辑故障, 与此相对应的就有物理备份和逻辑备份。 而恢复可以通过数据库备 份文件、安全日志来完成。 (三)监视跟踪与审计 利用网络监视软件对日志记录和信息进行跟踪, 能检查潜在的黑客攻击、 单 账号多用户以及非工作时间的操作。 而审计可以把用户对数据库的所有操作自动 记录下来,这样数据库管理员就可以找出问题原因,追查相关责任人,防止问题 再度发生。 五、结束语 上文提出了网络数据库的安全要进行分层处理的观点, 并对各层安全问题进 行了相关阐述,然后从 DBMS 安全机制上进行防范,可以得知网络数据库的安全 问题是一个系统性、综合性的问题。随着计算机技术、数据库技术和网络技术的
数据库系统安全的研究与分析
的组 织 、管理 、维 护和恢 复 工作 ,还 要控 制数 据库 管理 员 的要 求 ,保 证数 据库 的安 全性 和 完整性 。
电子商 务 中都是最 重要 的组 成部 分 ,数 据库 系统 的任何 破
坏 、修 改或者 不能 及时 地提 供服 务都会 给使 用者带 来 严重 的问题 ,因 此 ,保 护数 据库 系统 的安全 至关 重要 。数据 库
e f c iey n u e h s c rt o DB h s e o o e f h i o t n t p s n a a a e e e r h p &. o, is l e p t t t e u f e t l e s r t e e u iy f v MS a b c me n o t e mp r a t o i i c d t b s r s a c a e S F r t y x a i e h s mma ie f a r o z
K y w r :dtbs ;dt aesse (B S e od s aa e a aa s ytm D M );dtbs s ut ;s ut ehnm b aaae e ry ci e ry m cai ci s
数 据库 在各 种 系统 中都应 用得 非常 广泛 , 目前 ,数 据 库主 要用 于人 事管 理 、财务管 理 、档案 管理 、图书 资料 管 理 、仓库 管理 等方面 的数 据管理 。数 据 管理 包括这 些数 据
一
篡 改就 是对 数据 库 中的数 据 未经 授权就 进 行修 改 ,破
般 地讲 ,数据 库 系统 由两 部分组 成 :一部 分是数 据
坏 数 据 的真实性 。如修 改成 绩 、伪造 发货 单等 。这 类修 改 是一 个潜 在 的问题 ,表面 上 看来 是没 有任何 迹 象 的 ,在造 成 影 响之 前 ,数 据库 管理 者 一般很 难 发现 。数 据篡 改一般 是基 于 以下 的动机 :个人 利益 驱 动、隐 匿或 毁坏 证据 、恶
计算机网络数据库安全管理技术分析
[3]
ssword,'key') ; FROM userdata; 3.3 存取控制管理技术 由上文的叙述可知,在网络数据库数据存取过程中,易 出现一些非授权、非认证用户浏览和访问数据的情况,从而 影响到网络数据库资源的安全性,此现象归根结底就是数据 访问权限的问题。通过使用存取控制管理技术,能够很好防 止此类现象的发生。该技术的工作原理主要是通过对用户访 问数据和存储数据的操作进行权限控制,有效避免非授权和 非认证的用户浏览和访问数据。存取控制管理技术主要可分 为权限检查和资格认证两大部分。权限检查的工作是审核用 户权限,让指定用户能够进行某些操作,并对用户的不正当 操作进行限制。资格审查的工作是审查用户的资格,如筛选 和审核用户的资料、对用户的资料进行存档和记录等,可以 有效避免非权限用户乱操作情况发生。这两个功能结合使用, 即可有效保障数据库资源的有权限使用。例如,在登录数据 库时,需要用户名和密码,而需要更改和删除数据库中的某 些数据时,必须获得管理员权限才可以。如在 Linux 系统中, 很多受保护的信息就需要通过用户名来登陆访问,而有些权 限只有管理员才拥有。
1 计算机网络数据库概述
1.1 数据库的含义 数据库是根据一定的结构和规律组织起来的相关数据的 结合。网络数据库是在普通后台建立起来的基于数据库的能 够通过浏览器等应用实现数据存储及数据查询功能,可以作 为存储信息的重要载体,可以让数据实现完整和统一 [1]。 1.理的意义
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
浅谈数据库安全技术研究
发表时间:
2009-02-11T15:56:13.560Z 来源:《黑龙江科技信息》2008年9月下供稿 作者: 田丹 刘申菊
[导读] 针对目前可能存在的威胁数据库安全性的各类风险,结合实例展开对于数据库安全技术研究。
摘
要:从数据库安全性的基本概念入手,在其安全体系的基础上,针对目前可能存在的威胁数据库安全性的各类风险,结合实例展开对于
数据库安全技术研究。
关键词:数据库安全性;安全体系;风险
引言
随着计算机网络技术的发展,越来越多的人们开始使用网络传送和共享数据,这不仅方便了用户,同时提高了数据的利用率。与此同
时,数据在网络中传送的安全性以及保存这些数据的数据库的安全性也逐渐成为研究的热点。下面结合数据库安全体系的构成,分析各种
潜在的安全威胁,结合实例进行对于数据库安全技术的研究。
1
数据库安全性概念及安全体系
数据库安全性是指保护数据库以防止非法用户的越权使用、窃取、更改或破坏数据。数据库安全性涉及到很多层面,例如SQL Server
数据库的安全性包括自身的安全机制、外部网络环境、操作人员的技术水平等。因此,数据库的安全性可以划分为三个层次:
网络系统安全:这是数据库的第一个安全屏障。目前网络系统面临的主要威胁有木马程序、网络欺骗、入侵和病毒等。
操作系统安全:本层次的安全问题主要来自网络内使用的操作系统的安全。例如目前通用的操作系统Windows 2003 Server主要包
括:操作系统本身的缺陷;对操作系统的安全配置,即相关安全策略配置;病毒的威胁三个方面。
数据库管理系统安全:根据采用的数据库管理系统的不同采用的安全设置方法不同。针对SQL Server 2000可以由数据库管理员将数
据库用户分类,不同的用户有不同的访问权限;也可以采用视图的方法进行信息隔离,防止用户对基本表的操作;同时要定期进行数据库
备份操作,防止由于系统问题导致的数据丢失。
这三个层次构筑成数据库的安全体系,与数据安全的关系是逐步紧密的。
2
数据库系统面临的主要风险
数据库系统在实际应用中存在来自各方面的安全风险,最终引起各类安全问题。数据库系统的面临的安全风险大体划分为:
2.1
操作系统的风险
数据库系统的安全性最终要靠操作系统和硬件设备所提供的环境,如果操作系统允许用户直接存取数据库文件,则在数据库系统中采
取最可靠的安全措施也没有用。
2.2
管理的风险
主要指用户的安全意识,对信息网络安全的重视程度及相关的安全管理措施。
2.3
用户的风险
主要表现在用户账号和对特定数据库对象的操作权限。
2.4
数据库管理系统内部的风险
3
数据库安全技术研究
针对以上存在的各种风险,提出以下几种防范技术。
3.1
数据加密技术
对数据库中存储的重要数据进行加密处理,例如采用MD5 算法,以实现数据存储的安全保护。 数据加密以后,在数据库表中存储的
是加密后的信息,系统管理员也不能见到明文,只有在执行了相应的解密算法后,能正确进入数据库中,大大提高了关键数据的安全性。
3.2
用户认证技术
用户认证技术是系统提供的最外层安全保护措施。对于SQL Server 2000提供了两种用户验证方式,即Windows用户身份验证和混合
模式验证。通过用户身份验证,可以阻止未授权用户的访问,而通过用户身份识别,可以防止用户的越权访问。
3.3
访问控制技术
访问控制是数据库管理系统内部对已经进入系统的用户的控制,可防止系统安全漏洞。通常采用下面两种方法进行:
(
1)按系统模块对用户授权
每个模块对不同用户设置不同权限,如用户
A无权进入模块A、仅可查询模块B,用户B可以进入模块A,可以执行统计操作等。系统模块
名、用户登录名与用户权限可保存在同一数据库中。
(
2)将数据库系统权限赋予用户
用户访问服务器时需要认证用户的身份、确认用户是否被授权。通常数据库管理系统主要使用的是基于角色的访问控制。
3.4
采取必要的防注入技术
目前流行的SQL Injection即“SQL注入”,就是利用某些数据库的外部接口把用户数据插入到实际的数据库操作语言当中,从而达到入
侵数据库乃至操作系统的目的。典型的利用
SQL Injection的攻击方法如下。
例如:使用用户名为tt,密码为rr的一个普通用户访问本地网站,其主机头为host.edu.com,端口号为8081,在地址栏输入:
http://host.edu.com:8081/index.asp?username=tt&password=rr
返回
“成功登录”。说明输入了正确的用户和密码,如果输入密码错误,如下:
http://host.edu.com:8081/index.asp?username=tt&password=yy
将返回
“登录失败”。此时用户无法进入系统。但是,如果输入如下的数据:
http://host.edu.com/index.asp?username='tt' —— '&password=yy
则返回
“成功登录”,即不需要密码可以直接进入系统。
以上就是SQL注入的应用,因为“——”在SQL Server中代表注释符,若针对系统默认的管理员用户Administrator,输入
Administrator'——
,这样该语句忽略密码的问题,所以无论密码是什么,这个语句都会返回成功登录。
可以通过以下方法在最大程度上避免其发生:
(
1)替换或删除敏感字符或者字符串。可以对用户输入进行过滤,对单引号、双引号以及“——”等符号进行过滤。
例如:将单引号转换为两个单引号:
aa = replace(aa, “'”, “''”)
(
2)对SQL Server进行必要的安全配置,在服务器正式处理之前对提交数据的合法性进行检查。
(
3)改变SQL Server的端口号。目前针对SQL Server 的攻击主要扫描的是1433端口。因此可以改变其默认端口号,这样虽然不能从根本
上解决问题,但可以防止一般的端口扫描。
结束语
数据库的安全与网络安全、操作系统安全以及数据库管理系统安全是紧密结合的。必须根据具体的应用环境的安全需要进行分析,并制定
统一的安全管理策略,保证数据库系统的安全。
参考文献
[1]
曹效阳.浅谈SQL Server中的安全策略[J].现代计算机,2006.
[2]
张勇,李力.WEB环境下SQL注入攻击的检测与防御[J].现代电子技术,2004(3).
[3]
刘启原,刘怡.数据库与信息系统的安全[M].北京:科学出版社,2000.