MSSQL数据库系统安全框架与其各层安全技术

　　随着计算机技术的飞速进展，数据库的 利用非常 宽泛， 深刻到各个领域，但随之而来产生了数据的安全问题 。各种 利用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防窜改问题，越来越引起人们的高度 重视 。数据库系统作为信息的聚 群体，是计算机信息系统的核心部件，其安全性至关主要，关系到企业兴衰、成败 。 因此，如何有效地 保障数据库系统的安全，实现数据的保密性、 完全性和有效性，已经成为业界人士探究探究的主要课题之一，本文就安全防入侵技术做简要的 探讨 。

　　数据库系统的安全除依赖 本身内部的安全机制外，还与外部网络环境、 利用环境、从业人员素养等因素息息 有关， 因此，从广义上讲，数据库系统的安全框架 可以划分为三个 品位：

　　(1)网络系统 品位;

　　(2)宿主操作系统 品位;

　　(3)数据库治理系统 品位 。

　　这三个 品位构筑成数据库系统的安 整体系，与数据安全的关系是逐渐密切的， 提防的主要性也逐层 加强，从外到内、由表及里 保障数据的安全 。下面就安全框架的三个 品位铺开 阐述 。

　　1.网络系统 品位安全技术

　　从广义上讲，数据库的安全首先依赖于网络系统 。随着Internet的进展和 遍及，越来越多的公司将其核心业务向互联网转移，各种基于网络的数据库 利用系统如雨后春笋般涌现出来，面向网络消费者提供各种信息服务 。 可以说网络系统是数据库 利用的外部环境和 根底，数据库系统要 施展其 壮大作用离不开网络系统的 支撑，数据库系统的消费者(如异地消费者、 分布式消费者)也要通过网络 威力 拜访数据库的数据 。网络系统的安全是数据库安全的第一道屏障，外部入侵首先便是从入侵网络系统开始的 。网络入侵试图 毁坏信息系统的 完全性、 机密性或可信赖的任何网络 运动的 集中， 存在以下特色：

　　a)没有地区和 工夫的 制约， 跨越国界的 突击就如同在现场一样容易;

　　b)通过网络的 突击一般 混淆在大量 畸形的网络 运动之中， 隐秘性强;

　　c)入侵 目的更加 隐秘和复杂 。

　　计算机网络系统开放式环境面临的 挟制主要有以下几 品种型：

　　a) 诱骗(Masquerade);

　　b)重发(Replay);

　　c)报文 批改(Modification of message);

　　d) 回绝服务(Deny of service);

　　e)陷阱门(Trapdoor);

　　f)特洛伊木马(Trojan horse);

　　g) 突击，如透纳 突击(Tunneling Attack)、 利用软件 突击等 。这些安全 挟制是无时、无处不在的， 因此必须采取有效的措施来保障系统的安全 。

从技术角度讲，网络系统 品位的安全 提防技术有众多种， 大体 可以分为防火墙、入侵检测、 合作式入侵检测技术等 。

　　(1)防火墙是 利用最广的一种 提防技术:

　　作为系统的第一道防线，其主要作用是监控可信赖网络和不可信赖网络中间的 拜访通道，可在内部与外部网络中间 构成一道防护屏障， 拦挡来自外部的非法 拜访并阻挠内部信息的外泄，但它 无奈 阻遏来自网络内部的非法操作 。它依据事先设定的 规定来确定是不是 拦挡信息流的进出，但 无奈动态 鉴别或自适应地调整 规定， 因此其智能化程度很有限 。防火墙技术主要有三种：数据包过滤器(packet filter)、代理(proxy)和状态 综合(stateful inspection) 。现代防火墙产品通常混合 使用这几种技术 。

　　(2)入侵检测(IDS—Instrusion Detection System)是近年来进展起来的一种 提防技术:

　　综合采纳了统计技术、 规定 步骤、网络通讯技术、人工智能、密码学、推理等技术和 步骤，其作用是监控网络和计算机系统是不是浮现被入侵或滥用的征兆 。1987年，Derothy Denning首次提出了一种检测入侵的 思维， 通过不停进展和完善，作为监控和 鉴别 突击的 标准解决 方案，IDS系统已经成为安全防备系统的主要构成 部分 。

入侵检测采纳的 综合技术可分为三大类：签名、统计和数据 完全性 综合法 。

　　①签名 综合法:

　　主要用来监测对系统的已知弱点进行 突击的行为 。人们从 突击模式中概括出它的签名，编写到IDS系统的代码里 。签名 综合实际上是一种模板匹配操作 。

　　②统计 综合法:

　　以统计学为 实际 根底，以系统 畸形 使用状况下 视察到的动作模式为依据来 推断某个动作是不是偏离了 畸形轨道 。

　　③数据 完全性 综合法:

　　以密码学为 实际 根底， 可以查证文件或者对象是不是被别人 批改过 。

　　IDS的 品种包含基于网络和基于主机的入侵监测系统、基于 特色的和基于非 畸形的入侵监测系统、实时和非实时的入侵监测系统等 。

　　(3) 合作式入侵监测技术:

　　独立的入侵监测系统不 可以对 宽泛 产生的各种入侵 运动都做出有效的监测和 反响，为了 补偿独立运作的缺乏，人们提出了 合作式入侵监测系统的想法 。在 合作式入侵监测系统中，IDS基于一种统一的 标准，入侵监测组件中间自动地 交换信息，而且通过信息的 交换得到了对入侵的有效监测， 可以 利用于不同的网络环境 。

　　2.宿主操作系统 品位安全技术

　　操作系统是大型数据库系统的运行平台，为数据库系统提供 定然程度的安全 掩护 。当前操作系统平台大多数集中在Windows NT和Unix，安全级别通常为C1、C2级 。主要安全技术有操作系统安全策略、安全治理策略、数据安全等方面 。

　　操作系统安全策略用于配置当地计算机的安全设置，包含密码策略、账户锁定策略、审核策略、IP安全策略、消费者 权力指派、加密数据的 复原代理以及其它安全选项 。具体 可以体现在消费者账户、口令、 拜访权限、审计等方面 。

　　◆消费者账户：消费者 拜访系统的“身份证”，惟独合法消费者才有账户 。

　　◆口令：消费者的口令为消费者 拜访系统提供一道验证 。

　　◆ 拜访权限：规定消费者的权限 。

　　◆审计：对消费者的行为进行跟踪和记录，便于系统治理员 综合系统的 拜访状况以及事后的 查究 使用 。