网络数据库安全研究与应用
摘要
随着互联网的发展,网络环境下的数据库系统面临着黑客攻击、病毒感染等一系列威胁,如何保证数据的保密性、完整性、可靠性和可用性是个复杂问题。目前数据库管理系统所提供的安全保护措施虽然能够对其安全起一定的保护作用,如:访问控制机制、备份恢复策略、基于角色管理等,但仍然存在漏洞,如:sa帐号的空密码、固定IP访问端口等,黑客能够利用这些漏洞进行攻击,获取管理员权限进而控制整个数据库系统。
本文研究了现今数据库管理系统所采取的安全保护措施,通过分析其存在的不足,提出一种新的保护数据库的方法,并应用于网页监控与保护系统中。这是在数据库系统安全保护基础上进行二次开发应用的系统,利用数据库系统所提供的触发和审计功能,通过对审计信息进行自动分析,从而发现越权使用数据库的行为,达到自动监测、报警、恢复的保护功能。
本文的研究成果给网站数据库的保护提供了新的思路和方法,具有重要的实用价值。
With the development of Internet, database system in network is threatened by the attack of hackers and viruses. How can we guarantee the confidentiality, integrity, reliability and availability of data? Though the existing database management systems can provide some protection measures such as access control, backup recover, and role-based management, there are still many vulnerabilities such as null password of username "sa", fixed IP access port. Hackers can get the administrator's right and control all the system using these vulnerabilities.
This dissertation mainly discusses the security of the database management systems and points out their disadvantages. A new method of protecting database is proposed, which has been used in webpage detection and protection systems. This method makes use of trigger and audit functions based on the database management system. It can detect the illegal behavior by the analysis of audit information and complete the functions of automatic detection, automatic alarm and recover data.
The research done in this dissertation provides a new method for web database protection and has important practical values.
本文研究了现今数据库管理系统所采取的安全保护措施,通过分析其存在的不足,提出一种新的保护数据库的方法,并应用于网页监控与保护系统中。这是在数据库系统安全保护基础上进行二次开发应用的系统,利用数据库系统所提供的触发和审计功能,通过对审计信息进行自动分析,从而发现越权使用数据库的行为,达到自动监测、报警、恢复的保护功能。
本文的研究成果给网站数据库的保护提供了新的思路和方法,具有重要的实用价值。
With the development of Internet, database system in network is threatened by the attack of hackers and viruses. How can we guarantee the confidentiality, integrity, reliability and availability of data? Though the existing database management systems can provide some protection measures such as access control, backup recover, and role-based management, there are still many vulnerabilities such as null password of username "sa", fixed IP access port. Hackers can get the administrator's right and control all the system using these vulnerabilities.
This dissertation mainly discusses the security of the database management systems and points out their disadvantages. A new method of protecting database is proposed, which has been used in webpage detection and protection systems. This method makes use of trigger and audit functions based on the database management system. It can detect the illegal behavior by the analysis of audit information and complete the functions of automatic detection, automatic alarm and recover data.
The research done in this dissertation provides a new method for web database protection and has important practical values.
引文
[1] 解玲,数据库安全性研究,南京理工大学硕士学位论文,2001.12
[2] 浅谈等级保护制度,计算机世界,2003.07
[3] 中华人民共和国国家标准—计算机信息系统安全保护等级划分准则
[4] 计算机信息系统安全等级保护数据库管理技术要求—安全等级划分技术要求,2002.07.18
[5] DB Audit Expert 2.0 User's guide,http://www.softtreetech.com/dbaudit/db_audit.pdf
[6] 数据库服务器安全,http://www.yesky.com/SoftChannel/72356686970486784/20030919/1730023.shtml 2003.09.19
[7] 孙修东,基于网络环境的数据库系统模式的研究,河南机电高等专科学校学报,2001.09,9(3),38-40
[8] 邵佩英,数据库安全应用服务器的研究与实现,软件学报,2001.12,12(01),154-158
[9] 数据库安全与保密,http://www.bmj.hd.gov.cn/anquan.files/13.htm
[10] 宋志敏、南湘浩、唐礼勇等,数据库安全的研究与进展,计算机工程与应用,2001.01,85-87
[11] 张文,Microsoft SQL Server的安全性控制策略,2003.04.01
[12] 陈万米、何智伟,Microsoft SQL Server数据库安全备份和恢复策略,微型电脑应用,2000,16(1),55-56
[13] 林果园、张永平,利用作业备份和恢复数据库,http://www.powerba.com/develop/pb/article/20010601001.htm
[14]“磐石”网站监控与恢复系统技术白皮书,http://www.netpower.com.cn/JIEJUE/chanpin/baipishu/web.pdf
[15] 诺方网页卫士GrandGuard, http://www.netfront.com.cn/products/guard.htm
[16] Best Web Site Protect solution--Webpage Protector,http://www.share2s.com/protect.html
[17] WebAgain, Automatic Web Site Protection,http://www.loekstep.com/produets/webagain/wa-produet.html
[18] WebAlarm, http://www.eloek.com.my/pdetail_webalarm.htm
[19] WaveBreaker 管理员指南, http://www.victory-idea.com/wavebreaker.htm
[20] 保护政府Web网站—伟思博士谈电子政务安全五,
http://www2.ccw.com.cn/02/0224/d/0224d08_3.asp
[21] 安泰科创推出核心内嵌式网页防篡改系统,http://www.ctiin.com.cn/hydt/dz/dz0209/dz0910-1.htm
[22] 赵君辉、徐琨,网页监控与恢复系统设计,北方交通大学学报,2002.02,26(1),35-39
[23] 文东戈、郭际坤、赵艳芹,Web页的口令设置技术及其网络安全,黑龙江科技学院学报,2001.03,11(1),34-37
[24] 一次性口令技术简介,http://www.gisecur.com/secure%20subject_dynamic%20password.htm
[25] 李家国、李建华、章程,一种Web站点网页资源保护设计方案,计算机工程,2002.04,28(4),143-144
[26] 刘彦明、李兵兵、荣政,计算机软件技术基础教程,西安地图出版社
[27] 陈波、于泠,多线程技术在网页监控与恢复系统中的应用,计算机工程,2002.02,28(2),76-78
[28] The MD5 Message-Digest Algorithm, http://www.faqs.org/rfcs/rfc1321.html,RFC1321, 1992.04
[29] 王育民、李建伟,通信网的安全—理论与技术,西安电子科技大学出版社
[30] 如何保护您的网站?http://chengdu.ccw.com.cn/net/200210/1014_01.asp
[31] 刘刀桂、孟繁晶,Visual C++实践与提高数据库篇,中国铁道出版社
[32] 罗娟、方锐、朱秋萍,Web与数据库技术,计算机工程,1998.08,24(8),42-44
[33] 陈品德,基于Web的信息系统的开发,计算机工程,1998.03,24(3),7-9
[34] 刘美兰、姚京松,审计跟踪与入侵检测,计算机工程与应用,1999.07,12-15
[35] 李代平、张信一,SQL Server 2000数据库系统管理,冶金工业出版社,2002.06
[36] 创建存储过程,http://61.171.253.117/netbook/sqlserver2000/creat
[37] 李展,DAT 370:SQL Server 2000-安全性最佳实践,2002
[38] 傅勇,DBMS权限管理和滥用侦测的设计和实现,计算机工程与设计,2001.04,22(2),31-35
[39] 周绪、管丽娜等,SQL Server 2000入门与提高,清华大学出版社
[40] 触发器介绍,http://www.156ok.com/article/article_list.asp?account_id=478
[41] 设计触发器, http://61.171.253.117/netbook/sqlserver2000/creat
[42] 触发器的设计经验,http://www.it-soho.net/anicle/AnicleShow.asp?Ar
[2] 浅谈等级保护制度,计算机世界,2003.07
[3] 中华人民共和国国家标准—计算机信息系统安全保护等级划分准则
[4] 计算机信息系统安全等级保护数据库管理技术要求—安全等级划分技术要求,2002.07.18
[5] DB Audit Expert 2.0 User's guide,http://www.softtreetech.com/dbaudit/db_audit.pdf
[6] 数据库服务器安全,http://www.yesky.com/SoftChannel/72356686970486784/20030919/1730023.shtml 2003.09.19
[7] 孙修东,基于网络环境的数据库系统模式的研究,河南机电高等专科学校学报,2001.09,9(3),38-40
[8] 邵佩英,数据库安全应用服务器的研究与实现,软件学报,2001.12,12(01),154-158
[9] 数据库安全与保密,http://www.bmj.hd.gov.cn/anquan.files/13.htm
[10] 宋志敏、南湘浩、唐礼勇等,数据库安全的研究与进展,计算机工程与应用,2001.01,85-87
[11] 张文,Microsoft SQL Server的安全性控制策略,2003.04.01
[12] 陈万米、何智伟,Microsoft SQL Server数据库安全备份和恢复策略,微型电脑应用,2000,16(1),55-56
[13] 林果园、张永平,利用作业备份和恢复数据库,http://www.powerba.com/develop/pb/article/20010601001.htm
[14]“磐石”网站监控与恢复系统技术白皮书,http://www.netpower.com.cn/JIEJUE/chanpin/baipishu/web.pdf
[15] 诺方网页卫士GrandGuard, http://www.netfront.com.cn/products/guard.htm
[16] Best Web Site Protect solution--Webpage Protector,http://www.share2s.com/protect.html
[17] WebAgain, Automatic Web Site Protection,http://www.loekstep.com/produets/webagain/wa-produet.html
[18] WebAlarm, http://www.eloek.com.my/pdetail_webalarm.htm
[19] WaveBreaker 管理员指南, http://www.victory-idea.com/wavebreaker.htm
[20] 保护政府Web网站—伟思博士谈电子政务安全五,
http://www2.ccw.com.cn/02/0224/d/0224d08_3.asp
[21] 安泰科创推出核心内嵌式网页防篡改系统,http://www.ctiin.com.cn/hydt/dz/dz0209/dz0910-1.htm
[22] 赵君辉、徐琨,网页监控与恢复系统设计,北方交通大学学报,2002.02,26(1),35-39
[23] 文东戈、郭际坤、赵艳芹,Web页的口令设置技术及其网络安全,黑龙江科技学院学报,2001.03,11(1),34-37
[24] 一次性口令技术简介,http://www.gisecur.com/secure%20subject_dynamic%20password.htm
[25] 李家国、李建华、章程,一种Web站点网页资源保护设计方案,计算机工程,2002.04,28(4),143-144
[26] 刘彦明、李兵兵、荣政,计算机软件技术基础教程,西安地图出版社
[27] 陈波、于泠,多线程技术在网页监控与恢复系统中的应用,计算机工程,2002.02,28(2),76-78
[28] The MD5 Message-Digest Algorithm, http://www.faqs.org/rfcs/rfc1321.html,RFC1321, 1992.04
[29] 王育民、李建伟,通信网的安全—理论与技术,西安电子科技大学出版社
[30] 如何保护您的网站?http://chengdu.ccw.com.cn/net/200210/1014_01.asp
[31] 刘刀桂、孟繁晶,Visual C++实践与提高数据库篇,中国铁道出版社
[32] 罗娟、方锐、朱秋萍,Web与数据库技术,计算机工程,1998.08,24(8),42-44
[33] 陈品德,基于Web的信息系统的开发,计算机工程,1998.03,24(3),7-9
[34] 刘美兰、姚京松,审计跟踪与入侵检测,计算机工程与应用,1999.07,12-15
[35] 李代平、张信一,SQL Server 2000数据库系统管理,冶金工业出版社,2002.06
[36] 创建存储过程,http://61.171.253.117/netbook/sqlserver2000/creat
[37] 李展,DAT 370:SQL Server 2000-安全性最佳实践,2002
[38] 傅勇,DBMS权限管理和滥用侦测的设计和实现,计算机工程与设计,2001.04,22(2),31-35
[39] 周绪、管丽娜等,SQL Server 2000入门与提高,清华大学出版社
[40] 触发器介绍,http://www.156ok.com/article/article_list.asp?account_id=478
[41] 设计触发器, http://61.171.253.117/netbook/sqlserver2000/creat
[42] 触发器的设计经验,http://www.it-soho.net/anicle/AnicleShow.asp?Ar