1、引言

        隨著計算機(jī)及網(wǎng)絡(luò)技術(shù)的發(fā)展和廣發(fā)應(yīng)用，越來越多的關(guān)鍵業(yè)務(wù)系統(tǒng)運行在數(shù)據(jù)庫平臺上。數(shù)據(jù)庫中的數(shù)據(jù)作為一個組織中的數(shù)字財產(chǎn)，一旦泄露或丟失就可能讓組織蒙受經(jīng)濟(jì)損失，或者失去客戶和公眾的信任。本文將從實際安全保護(hù)經(jīng)驗出發(fā)，結(jié)合《信息系統(tǒng)安全等級保護(hù)基本要求》提出具體的數(shù)據(jù)庫系統(tǒng)安全保護(hù)措施。

2、數(shù)據(jù)庫系統(tǒng)安全保護(hù)機(jī)制

        GB/T 22239-2008《信息系統(tǒng)安全等級保護(hù)基本要求》的技術(shù)基本要求中，為保證數(shù)據(jù)庫系統(tǒng)的安全，要求實現(xiàn)包括身份驗證、訪問控制、數(shù)據(jù)加密、審計跟蹤以及數(shù)據(jù)備份與恢復(fù)的安全功能。

         2.1 有效保護(hù)數(shù)據(jù)庫系統(tǒng)用戶口令認(rèn)證

        口令認(rèn)證方式是鑒別數(shù)據(jù)庫系統(tǒng)用戶身份最基本的方式。因此，實施嚴(yán)格的賬號和密碼管理機(jī)制是實現(xiàn)數(shù)據(jù)庫系統(tǒng)安全的重點。數(shù)據(jù)庫系統(tǒng)用戶安全策略包括以下幾方面。

     （1） 保護(hù)默認(rèn)的用戶賬號。在新的數(shù)據(jù)庫系統(tǒng)安裝時，通常會安裝若干默認(rèn)賬號，而這些賬號、密碼以及權(quán)限在互聯(lián)網(wǎng)上都是公開的，恰恰為攻擊者提供了機(jī)會和目標(biāo)。因此，為確保賬號的安全，應(yīng)避免因安裝不需要的賬號而帶來不必要的危險。

      （2） 管理并確保密碼安全。一個未經(jīng)慎重選擇又從未變更過的密碼對于數(shù)據(jù)庫系統(tǒng)來說，是巨大的安全隱患之一。根據(jù)密碼復(fù)雜性規(guī)則，通常需要驗證密碼是否和賬號一致、密碼是否超過一定字符長度、密碼是否和過去的密碼一致、密碼是否很容易被猜測到。因此，在制定數(shù)據(jù)庫系統(tǒng)密碼規(guī)范時，應(yīng)該包括密碼生存周期。寬限時間、密碼重復(fù)使用（最大）時間、登錄失效、賬號鎖定和密碼驗證功能。以O(shè)racle數(shù)據(jù)庫系統(tǒng)為例，設(shè)定用戶密碼規(guī)范的程序如下：

SQL>CREATE PROFILE strong_pwd LIMIT

PASSWORD_LIFE_TIME 90

PASSWORD_GRACE_TIME 15

PASSWORD_REUSE_TIME 180

PASSWORD_REUSE_MAX UNLIMITED

FALLED_LOGIN_ATTEMPTS 5

PASSWORD_LOCK_TIME 5

PASSWORD_VERIFY_FUNCTION password_strong_name

        （3） 刪除陳舊賬號。在確保數(shù)據(jù)庫系統(tǒng)安全的過程中，一個良好的習(xí)慣是刪除不再使用或不再需要的賬號，過期的賬號至少應(yīng)該被鎖定或被刪除。此外，之前在數(shù)據(jù)庫系統(tǒng)中已經(jīng)安裝但現(xiàn)在需要被刪除的數(shù)據(jù)庫應(yīng)用也會造成安全風(fēng)險。

         2.2 加強(qiáng)對數(shù)據(jù)庫系統(tǒng)的訪問控制

        訪問控制是允許或禁止訪問資源的過程。基于角色的訪問控制是一種數(shù)據(jù)庫權(quán)限管理機(jī)制，它根據(jù)不同的職能崗位劃分角色，資源訪問權(quán)限被封裝在角色中，而用戶被賦予角色，通過角色來間接訪問資源。在給角色或用戶授權(quán)時，必須遵循最小權(quán)限和特權(quán)分離的基本安全原則。

      （1） 最小權(quán)限原則是只需授予列級權(quán)限的不授予表級權(quán)限，只需授予表級權(quán)限的不授予庫級權(quán)限，只需授予對象權(quán)限的不授予系統(tǒng)權(quán)限。此外，在確定不需要使用某種權(quán)限時要及時收回角色和權(quán)限。最小權(quán)限原則有效地限制、分割了用戶對數(shù)據(jù)資源進(jìn)行訪問時的權(quán)限，降低了非法用戶或非法操作可能給系統(tǒng)及數(shù)據(jù)帶來的損失。

      （2） 特權(quán)分離原則是利用角色間約束能力實現(xiàn)權(quán)利之間的制約，即數(shù)據(jù)庫管理員、系統(tǒng)安全員和系統(tǒng)審計員三個角色是互斥的，一個用戶最多擁有這三個角色之一。特權(quán)分離原則有利于保證權(quán)力之間的制衡和監(jiān)督，能減少未經(jīng)授權(quán)訪問和欺詐行為發(fā)生的概率。

        在《信息系統(tǒng)安全等級保護(hù)基本要求》第三級以上要求中，提出實現(xiàn)強(qiáng)制訪問控制功能。強(qiáng)制訪問控制機(jī)制對數(shù)據(jù)庫系統(tǒng)中的每個存取對象指派一個密級，對每個用戶授予一個存取級，任意一個對象，只有具有合法存取級的用戶才可以存取，可以有效地防止木馬類的惡意攻擊。目前，實現(xiàn)強(qiáng)制訪問控功能要求的方法除采用安全數(shù)據(jù)庫管理系統(tǒng)外，還可以通過部署第三方安全增強(qiáng)產(chǎn)品實現(xiàn)數(shù)據(jù)庫強(qiáng)制存取控制機(jī)制。

         2.3 確保重要數(shù)據(jù)的加密

        數(shù)據(jù)加密是保證數(shù)據(jù)庫系統(tǒng)中數(shù)據(jù)保密性和完整性的有效手段。數(shù)據(jù)庫系統(tǒng)的加密措施是指對數(shù)據(jù)庫系統(tǒng)中的重要數(shù)據(jù)進(jìn)行加密處理，確保只有當(dāng)系統(tǒng)的合法用戶訪問有權(quán)限的數(shù)據(jù)時，系統(tǒng)才把相應(yīng)的數(shù)據(jù)進(jìn)行解密操作，否則，數(shù)據(jù)庫系統(tǒng)應(yīng)當(dāng)保持重要數(shù)據(jù)的加密狀態(tài)，以防止非法用戶利用竊取到的明文信息對系統(tǒng)進(jìn)行攻擊。

         2.4 保護(hù)訪問數(shù)據(jù)庫的進(jìn)出網(wǎng)絡(luò)通道

         雖然防病毒軟件和防火墻提供了一定級別的安全防護(hù)，但并不能因此認(rèn)為網(wǎng)絡(luò)通信就是安全的。數(shù)據(jù)庫監(jiān)聽器作為連接數(shù)據(jù)庫服務(wù)端得網(wǎng)絡(luò)進(jìn)程，正經(jīng)受著巨大的攻擊風(fēng)險。首要的任務(wù)是對監(jiān)聽過程進(jìn)行密碼保護(hù)，而改變默認(rèn)端口也是確保數(shù)據(jù)庫監(jiān)聽器安全的一種好辦法。通過配置數(shù)據(jù)庫監(jiān)聽器，可以使其允許或不允許客戶IP地址的訪問。這也是保護(hù)數(shù)據(jù)庫不受非預(yù)期用戶訪問的簡單而有效的方法。

         2.5 建立安全的審計機(jī)制

        審計就是對指定用戶在數(shù)據(jù)庫系統(tǒng)中的操作進(jìn)行監(jiān)控和記錄的一種數(shù)據(jù)庫功能。審計功能在數(shù)據(jù)庫系統(tǒng)中運行時，自動將對數(shù)據(jù)庫的所有操作記錄在審計日志中，包括用戶登錄操作、對數(shù)據(jù)庫的操作及系統(tǒng)功能的使用等。審計日志記錄可用于事后監(jiān)督，同時對日志的分析還可用于預(yù)防入侵，從而提高數(shù)據(jù)庫系統(tǒng)的安全。

         以O(shè)racle數(shù)據(jù)庫系統(tǒng)為例，以下程序可實現(xiàn)對用戶author執(zhí)行SELECT操作的審計：audit SELECT table by author；

          2.6 實施備份與故障恢復(fù)措施

         備份與恢復(fù)是實現(xiàn)數(shù)據(jù)庫系統(tǒng)安全運行的重要技術(shù)之一，是確保數(shù)據(jù)庫系統(tǒng)因各種原因發(fā)生系統(tǒng)故障時，能盡快投入再使用的重要保證。按照數(shù)據(jù)庫系統(tǒng)所遭受破壞程度的不同，備份與恢復(fù)措施又分為災(zāi)難性備份和非災(zāi)難性備份。

        （1） 災(zāi)難性備份措施是通過設(shè)置主數(shù)據(jù)庫系統(tǒng)的遠(yuǎn)程異地備份，以備數(shù)據(jù)庫系統(tǒng)不能正常運行時啟用。

        （2） 非災(zāi)難性備份措施是采用數(shù)據(jù)庫標(biāo)準(zhǔn)備份、專用備份設(shè)備等方式進(jìn)行全系統(tǒng)備份、差異備份和增量備份，以確保在數(shù)據(jù)庫系統(tǒng)失效時，利用已有的數(shù)據(jù)備份能盡快有效地把數(shù)據(jù)庫還原到錯誤發(fā)生的前一刻上，同時保持?jǐn)?shù)據(jù)的完整性和一致性。

3、結(jié)語

         本文依據(jù)《信息系統(tǒng)安全等級保護(hù)基本要求》，從數(shù)據(jù)庫系統(tǒng)的身份驗證、訪問控制、數(shù)據(jù)加密、審計跟蹤以及數(shù)據(jù)備份與恢復(fù)等方面提出了具體的安全保護(hù)措施，這些措施在實際運用中還應(yīng)該根據(jù)具體應(yīng)用環(huán)境的安全需要，緊密結(jié)合網(wǎng)絡(luò)安全、操作系統(tǒng)安全進(jìn)行分析，并制定統(tǒng)一的安全管理策略。數(shù)據(jù)庫系統(tǒng)安全防范是一個永久性的問題，只有通過不斷的改進(jìn)和完善安全手段，才能保證系統(tǒng)的正常運行，以及提高系統(tǒng)的可靠性。