数据库安全性论文

今天小编为大家推荐《数据库安全性论文(精选3篇)》相关资料，欢迎阅读！摘要随着计算机特别是计算机网络的发展，数据的共享日益增强，数据的安全保密越来越重要。网络数据库安全性问题一直是围绕着数据库管理的重要问题，数据库数据的丢失以及数据库被非法用户的侵入使得网络数据库安全性的研究尤为重要。数据库管理系统是管理数据的核心，因而其自身必须有一整套完整而有效的安全性机制。

第一篇：数据库安全性论文

对数据库系统安全性的思考

[摘要]首先讨论自主访问控制模型，接着分析改造数据库实现数据库安全，最后研究应用解析。

[关键词]数据库系统 安全性 数据库安全模型 数据库安全 应用解析

数据库管理系统(DBMS)是一个非常复杂的系统，检测和评估数据库的安全性，涉及到众多的参数、设置、选项和数据库本身的方方面面。安全评测可以采用专家评测或运行评测系统两种方式，二者各有所长。一方面，专家评测比评测系统具有更强的灵活性，可以充分发挥专家的智能和经验。另一方面，评测系统更适用于数据库系统定期的安全评测。专家评估只是针对被评估时的状态，但是系统是在不断变化的，如果系统状态发生了变化(比如添加了一些新用户，修改了某些用户的权限)，也许会出现新的安全漏洞。定期聘请专家评估的成本比较高，安全评测系统则可以在系统状态发生变化后重新进行评测。

一、自主访问控制模型

自主访问控制模型是基于用户身份的访问和控制。在自主型访问安全模型中，每个用户都要被分配一定的权限，例如用户或者是被允许读取，或是被允许写入。也就是说，在自主型访问安全模型中，对资源对象的“拥有”是用户最核心的权限属性。当某个用户要求访问某个数据库资源时，系统检查该用户对该资源的所有权限，或衍生出来的访问权限，如果通过，则允许该访问在许可的方式下进行，如果不能通过，则拒绝继续访问系统。在自主型安全模型中，拥有某种权限的用户可以自主地将其所拥有的权限传授给其他任意在系统中登录的用户，它是该模型存在的致命缺点。自主访问安全模型的典型代表是存取矩阵。DAC模型可对用户提供灵活和易行的数据访问方式，但安全性相对较低。在该模型中，尽管访问控制只在授权后才能得到，但攻击者也很容易越过访问的授权限制。如当一个用户有权对某数据进行读操作时，它可以把这个权利传递给无权读此数据的人，而数据的所有者并不知道这一切。一旦某个信息为用户所获得，那么该模型策略对信息的使用是不加任何限制的。也就是说，在该模型中，尽管有自主型控制，对于非授权的人来说，非法读取数据是可能的，这样一来，系统就很容易受到类似特洛伊木马的攻击。特洛伊木马可以改变系统的保护状态，使系统安全受到威胁。

二、改造数据库实现数据库安全

(一)采用对数据库驱动程序进行安全扩展的方法

在数据库存取接口上，通过扩展标准的SQL语句，透明地实现对数据库中敏感信息的加密和完整性保护，对关系数据库的操作可以采用SQL DDL和SQL DML语言，通过ODBC、.IDBC、BDE等数据库驱动程序实现对数据库中表格、记录或字段的存取控制;并对用户操作进行日志记录和审计，从内部增强关系数据库的存储和存取安全。这种方式具有通用性，并且不会对数据库系统的性能造成大的影响。该模型在常规数据库驱动程序中增加密钥管理、审计日志管理、完整性验证和数据加解密等安全扩展模块，通过附加的安全属性如数据库存储加密密钥和审计日志等与安全相关的信息来加强数据库的安全;同时，增加数据库主密钥设置、更新和加密算法设置等安全属性来提高SQL语句的安全性。

(二)采用基于视图的数据库安全模型

SQL Server通用安全模型的特点是将权限赋予表，用户要查询数据、更改数据或对数据库进行其它操作时，直接存取表，用户只要有对表的Select权限，就可以检索表中所有的信息。但是，现实世界中大多数的应用都要求对信息本身划分为不同的保密级别，如军队中对信息的分类就不能简单地划分为公开和保密2类，而是需要更加细致的分类，可能对同一记录内的不同字段都要划分为不同的保密级别。甚至同一字段的不同值之间都要求划分为不同的保密级别。多级保密系统中，对不同数据项赋予不同的保密级别。然后根据数据项的密级，给存取本数据项的操作赋予不同的级别。SQLServer通用安全模式显然不能将不同的字段和同一字段的不同值分为不同的保密级别。这是因为用户直接存取存储数据的数据库表。采用基于视图的数据库安全模型。这个问题就可迎刃而解。

利用视图限制对表的存取和操作：通过限制表中的某些列来保护数据;限制表中的某些行来保护数据。视图和权限创建一个视图后，必须给视图授予对象权限，用户才能存取和操作视图中的数据，不必给作为视图表的基础表授予权限。

三、应用解析

应用解析是数据库安全中间件(DBSAPI)的重要组成部分，包括语法分析、词法分析、加密字典信息的检索、访问控制字典信息的检索、SQL命令的加密变换等，目前语法分析并不能识别所有类型的SQL命令，可以不考虑那些与加脱密无关的SQL命令，遇到不认识的SQL命令，则直接提交给DBMS的语法词法分析.基于现在对于数据库信息已做特殊处理，SQL请求返回的信息已经不是其本身的价值方式，同时为了更好地实现业务层将用户和数据访问的复杂性相隔离的目的，将用户界面层的所有数据访问请求提取出来，放到数据访问应用解析模块中.这不但将用户与数据访问完全隔离，而且大大改善了对数据访问操作的查询和管理效率.当用户界面层从客户端向数据库层发出对数据库的请求时，首先对应的SQL请求进行语法词法分析，接着检索访问控制和加密字典，根据访问控制和加密定义需求进行相关操作，然后提交给DBMS作数据提取处理，最后将结果返回到用户界面层，数据访问过程中实时出现的错误也返回用户界面层.

参考文献：

[1]詹鑫，校园网的安全分析及防范措施[J].安防科技，2006，(05).

[2]任兴洲，计算机网络安全问题的分析与对策[J].电脑知识与技术，2005，(17).

[3]张卫国，一种可扩展VFP应用系统的设计与实现[J].电脑知识与技术，2006，(32).

[4]吴玉、娄智，基于操作系统内核的包过滤防火墙系统的设计与实现[J]湖南工程学院学报(自然科学版)，2006，(02).

作者：徐　丰

第二篇：数据库的安全性保护

摘 要 随着计算机特别是计算机网络的发展，数据的共享日益增强，数据的安全保密越来越重要。网络数据库安全性问题一直是围绕着数据库管理的重要问题，数据库数据的丢失以及数据库被非法用户的侵入使得网络数据库安全性的研究尤为重要。数据库管理系统是管理数据的核心，因而其自身必须有一整套完整而有效的安全性机制。实现数据库系统安全性的技术和方法有多种，最重要的是存取控制技术、视图技术和审计技术。

关键词 数据库 安全性 安全保护 网络安全

数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。安全性问题不是数据库系统所独有的，所有的计算机系统都有这个问题。只是在数据库系统中大量数据集中存放，而且为许多最终用户直接共享，从而使安全性问题更为突出。系统安全保护措施是否有效是数据库系统的主要技术指标之一。数据库的安全性和计算机系统的安全性，包括计算机硬件、操作系统、网络系统等的安全性，是紧密联系、相互支持的。

在一般的计算机系统中，安全措施是一级一级层层设置的。在下图所示的安全模型中，用户要求进入计算机系统时，系统首先根据输入的用户标识进行用户身份鉴定，只有合法的用户才准进入计算机系统。对已进入系统的用户，DBMS还要进行存取控制，只允许用户执行合法操作。

数据库安全性所关心的主要是DBMS的存取控制机制。数据库安全最重要的一点就是确保只授权给有资格的用户访问数据库权限，同时令所有未被授权的人员无法接近数据。这主要通过数据库系统的存取控制机制实现。存取控制机制主要包括：一、定义用户权限，并将用户权限登记到数据字典中;二、合法权限检查。

我们还可以为不同的用户定义不同的视图，把数据对象限制在一定的范围内，即通过视图机制把要保密的数据对无权存取的用户隐藏起来，从而自动地对数据提供一定程度的安全保护。视图机制间接地实现支持存取谓词的用户权限定义。

为了使DBMS达到一定的安全级别，还需要在其他方面提供相应的支持，“审计”功能就是DBMS达到C2以上安全级别比不可少的一项指标。审计常常是很费时间和空间的，所以DBMS往往都将其作为可选特征，允许DBA根据应用对安全性的要求，灵活地打开或关闭审计功能。审计功能一般主要用于安全性要求较高的部门。

既然造成数据库不安全的一个主要原因是因为原始数据以可读(明文)形式存放在数据库中。一旦某一用户非法获取用户名和口令，或者绕过操作系统缄DBMs)的控制入侵到系统中，可以访问和修改数据库中的信息。

另外，数据存储介质(如磁盘、光盘、磁带等)丢失也会导致数据库中的数据泄漏。如果我们对数据库中的数据(明文)进行加密处理，那么上述问题就可以得到解决。即使某一用户非法入侵到系统中或者盗取了数据存储介质，没有相应的解密密钥，他仍然不能得到所需数据。所以，数据库的加密处理对于保证数据的安全性具有十分重要的意义。

根据数据库数据的特点，一个数据库表是由x条记录组成的，而每一条记录又由Y个字段(属性)组成，一共有x€譟个数据。第i个记录中的字段(属性)j的明文可以表示这样：Dij，其中0≤i≤x，0≤j≤Y;第i个记录中第i个字段的密文可以这样表示：xij：E(K，D 其中0≤i≤x，0≤j≤Y;E为某种对称密码算法，K为该算法所使用密钥。其中对同一个数据库表而言，加密算法是相同的。如果使用的加密密钥K也相同，又会很容易受到密文分析与密文替代的攻击。如果使用不同的加密密钥对全部的字段值进行加密，则密钥K的个数：记录个数(x)，很显然会生成数量过于庞大的密钥。那么密钥的安全管理也就成了一个很棘手的问题。如果能够找出一种管理加密密钥的方案，就能够解决加密密钥过于庞大的问题。如果对数据库表中的数据采用二级密钥管理机制，即一个主密钥，一个工作密钥。主密钥的作用是用来生成工作密钥。工作密钥对数据库数据的加密。主密钥用来保护工作密钥的安全，工作密钥用来保护敏感的数据信息，那么整个数据库表的安全就依赖于主密钥的安全。一般情况下，主密钥经过加密后存放在系统的安全区域内，需要时由系统自动获取并解密。另外也可以把主密钥注入加密卡中保存。在这种情况下，只是主密钥的更换比较麻烦，主密钥一旦更换，工作密钥就需要全部随之发生变化。所以，从安全的角度考虑，密钥在经行更改前，需要对数据库系统全库备份。

事实上，在数据库生存期内，只要我们的系统管理不出现漏洞，密钥系统只是需数年更换一次，或者不必更换。总体来说，为保证数据的安全，对数据库表进行加密是一种很有效的方法。

虽然通过数据加密对数据进行加密操作，以密文形式把数据存储起来，使得攻击者即使入侵到系统中，或者获得了存储介质也无法直接得到明文，从而在存储上保证了数据的安全性。但是，数据加密后，也会产生一些问题：数据操作时其性能会变低、索引字段的加密问题、加密后数据库的完整性问题、关于加密存储空间增大问题。

显而易见，数据库的安全性对当今社会有很大影响，计算机安全性问题也得到越来越多的人的重视。因此，只有建立了完善的可信或安全标准，才能规范和指导安全计算机系统部件的生产，比较准确地测定产品的安全性能指标，满足社会的需要。

参考文献

[1] 戴维森(澳)，著，朱理，译.数据库的法律保护.北京大学出版社，2007，1.

[2] 王珊，萨师煊.数据库系统概论.高等教育出版社，2006，5.

作者：张海飞

第三篇：SQL网络数据库的安全性研究

【摘 要】SQL网络数据库是目前我国很多政府机关和大中型企事业单位普遍采用的一种用于关系数据库管理的系统。本文首先分析了SQL网络数据库的特点，其次，就SQL网络数据库的安全性进行了深入的研究，提出了自己的建议和看法，具有一定的参考价值。

【关键词】SQL网络数据库 特点 安全性

一、前言

SQL网络数据库是目前我国很多政府机关和大中型企事业单位普遍采用的一种用于关系数据库管理的系统。我们一般总是忽略SQL网络数据库本身的安全性，而把更加多的注意力放在应用软件和操作系统的漏洞中，这样往往因小失大。这是因为SQL网络数据库存储着大量的关键数据，它的安全与否是极为重要的，一旦有黑客非法窃取、破坏、侵入到SQL网络数据库，那么必然会给相应单位带来不可估量的损失。本文就SQL网络数据库的安全性进行研究。

二、SQL网络数据库的特点

2012年3月初，微软在官方又公布最新版SQL Server 2012 RTM评估(Evaluation)试用版本的下载。此次，微软当前面向所有消费者和合作伙伴公开的SQL Server 2012 RTM，包括了简体中文、繁体中文、俄语、德语、意大利语、日语、法语、英语、葡萄牙语、西班牙语、韩语11种语言包。SQL Server 2012将包括三大主要版本：企业版、标准版以及新增的商业智能版。其中，SQL Server 2012企业版是全功能版本，而其他两个版本则分别面向工作组和中小企业，所支持的机器规模和扩展数据库功能都不一样，价格方面是根据处理器核心数量而定。SQL网络数据库出现在微软数据平台愿景上是因为它使得公司可以运行他们最关键任务的应用程序，同时降低了管理数据基础设施和发送观察和信息给所有用户的成本。这个平台有以下特点，使得公司可以以很高的安全性、可靠性和可扩展性来运行他们最关键任务的应用程序。

三、如何有效加强SQL网络数据库的安全性策略

(一)应该针对业务要求来有效制定SQL网络数据库的恢复和备份策略

SQL网络数据库应该具有自我恢复和备份的功能，一旦出现故障性破坏的问题，能够根据利用SQL网络数据库的备份功能来快速有效地恢复系统。同时，为了有效保障SQL网络数据库系统的安全，还应该结合单位的具体情况来制订严格、详细的数据库系统恢复策略和数据库备份策略。

管理员在进行备份数据的同时，为了避免破坏系统数据库的完整性，保证备份数据的完整性，应该建立详细的备份数据档案。一般而言，数据备份包括了软件级的备份和硬件级的备份这两个层次级。数据库恢复技术主要包括基于多备份的恢复技术、基于运行日志和备份的恢复技术、基于备份的恢复技术。

(二)完善防火墙技术

防火墙的英文名为“FireWall”，它是目前一种最重要的网络防护设备。从专业角度讲，防火墙是位于两个(或多个)网络间，实施网络之间访问控制的一组组件集合。从防火墙的防护实现中，主要应用以下技术：

1.网络地址转换技术(NAT)

目前网络地址转换技术现在已成为了防火墙的主要技术之一。通过NAT技术能够很好地保护内部网络用户，屏蔽内部网络的IP地址。NAT就是改变转发数据包的源地址，对外部网络是屏蔽的，只是对内部网络地址进行转换，这样一来，外部非法用户对内部主机的攻击就更加困难。

2.多级的过滤技术

防火墙技术主要采用三级过滤措施来实现它的功能，分别是电路网关、应用网关和分组。分组过滤一级可以有效过滤掉所有假冒的IP源地址和假冒的源路由分组;在应用网关一级可以监测和控制Internet提供的所有通用服务，它采用的是SMTP等各种网关;而在电路网关一级，严格控制服务的执行，实现外部站点和内部主机的透明连接。

(三)防病毒技术

随着互联网技术和信息技术的不断发展，计算机病毒对SQL网络数据库构成了极大的威胁，同时，病毒也变得越来越高级、越来越复杂。目前市面上普遍使用的防病毒软件一般可以分为单机防病毒软件和网络防病毒软件两大类。单机防病毒软件一般是分析扫描本地和本地工作站链接的资源，通过快速检测来达到清除计算机病毒的目的。而网络防病毒软件则不是侧重于单台电脑的防病毒处理，而是主要注重于网络防病毒，一旦病毒从网络向其他资源传染，那么该软件就会立即检测，并及时加以删除。例如金山毒霸网络版V7.0具备提前被系统加载特性，可以在病毒模块还没有加载或被保护的时候删除被保护的病毒文件或拦截禁止病毒的保护模块;精确打击，定点清除顽固恶意软件和木马，解决能查不能杀的难题从而完成正常杀毒任务。网络管理员可以通过逻辑分组的方式管理客户端和服务器的反病毒相关工作，并可以创建、部署和锁定安全策略和设置，从而使得网络系统保持最新状态和良好的配置。金山毒霸网络版V7.0采用分布式的漏洞扫描及修复技术。管理员通过管理节点获取客户机主动智能上报的漏洞信息，再精确部署漏洞修复程序;其通过Proxy(代理)下载修复程序的方式，极大地降低了网络对外带宽的占用。全网漏洞扫描及修复过程无需人工参与，且能够在客户机用户未登录或以受限用户登录情况下进行。

作者：陈继延 刘完芳