怎樣證保證網(wǎng)站數(shù)據(jù)庫安全性

Web數(shù)據(jù)庫是基于Internet/Intranet的應(yīng)用系統(tǒng)，由于互連網(wǎng)開放性和通信協(xié)議的安全缺陷，以及在網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)存儲和對其訪問與處理的分布性特點，網(wǎng)上傳輸?shù)臄?shù)據(jù)容易受到破壞、竊取、篡改、轉(zhuǎn)移和丟失。這些危害通常是對網(wǎng)絡(luò)的攻擊引起的。到現(xiàn)在，針對Web數(shù)據(jù)庫的應(yīng)用級入侵已經(jīng)變得越來越猖獗，如SQL注入、跨站點腳本攻擊和未經(jīng)授權(quán)的用戶訪問等。所有這些入侵都有可能繞過前臺安全系統(tǒng)并對數(shù)據(jù)庫系統(tǒng)攻擊。如何保證Web數(shù)據(jù)庫的安全性已成為新的課題。

方法一、數(shù)據(jù)庫數(shù)據(jù)加密

數(shù)據(jù)加密可以有效防止數(shù)據(jù)庫信息失密性的有效手段。通常加密的方法有替換、置換、混合加密等。雖然通過密鑰的保護是數(shù)據(jù)庫加密技術(shù)的重要手段，但如果采用同種的密鑰來管理所有數(shù)據(jù)的話，對于一些不法用戶可以采用暴力破解的方法進行攻擊。

但通過不同版本的密鑰對不同的數(shù)據(jù)信息進行加密處理的話，可以大大提高數(shù)據(jù)庫數(shù)據(jù)的安全強度。這種方式主要的表現(xiàn)形式是在解密時必須對應(yīng)匹配的密鑰版本，加密時就盡量的挑選最新技術(shù)的版本。

方法二、強制存取控制

為了保證數(shù)據(jù)庫系統(tǒng)的安全性，通常采取的是強制存取檢測方式，它是保證數(shù)據(jù)庫系統(tǒng)安全的重要的一環(huán)。強制存取控制是通過對每一個數(shù)據(jù)進行嚴格的分配不同的密級，例如政府，信息部門。在強制存取控制中，DBMS所管理的全部實體被分為主體和客體兩大類。主體是系統(tǒng)中的活動實體，它不僅包括DBMS 被管理的實際用戶，也包括代表用戶的各進程。

客體是系統(tǒng)中的被動實體，是受主體操縱的，包括文件、基表、索引、視圖等等。對于主體和客體，DBMS 為它們每個實例(值)指派一個敏感度標記。主客體各自被賦予相應(yīng)的安全級，主體的安全級反映主體的可信度，而客體的安全級反映客體所含信息的敏感程度。對于病毒和惡意軟件的攻擊可以通過強制存取控制策略進行防范。但強制存取控制并不能從根本上避免攻擊的問題，但可以有從較高安全性級別程序向較低安全性級別程序進行信息傳遞。

方法三、審計日志

審計是將用戶操作數(shù)據(jù)庫的所有記錄存儲在審計日志(Audit Log)中，它對將來出現(xiàn)問題時可以方便調(diào)查和分析有重要的作用。對于系統(tǒng)出現(xiàn)問題，可以很快得找出非法存取數(shù)據(jù)的時間、內(nèi)容以及相關(guān)的人。從軟件工程的角度上看，目前通過存取控制、數(shù)據(jù)加密的方式對數(shù)據(jù)進行保護是不夠的。因此，作為重要的補充手段，審計方式是安全的數(shù)據(jù)庫系統(tǒng)不可缺少的一部分，也是數(shù)據(jù)庫系統(tǒng)的最后一道重要的安全防線。