資源描述:
《專家講解數(shù)據(jù)庫安全防范黑客入侵技術(shù)綜述》由會員上傳分享����,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在工程資料-天天文庫���。
1、專家講解數(shù)據(jù)庫安全防范黑客入侵技術(shù)綜述~教育資源庫 隨著計算機(jī)技術(shù)的飛速發(fā)展�,數(shù)據(jù)庫的應(yīng)用十分廣泛�����,深入到各個領(lǐng)域,但隨之而來產(chǎn)生了數(shù)據(jù)的安全問題�。各種應(yīng)用系統(tǒng)的數(shù)據(jù)庫中大量數(shù)據(jù)的安全問題�����、敏感數(shù)據(jù)的防竊取和防篡改問題����,越來越引起人們的高度重視���。 數(shù)據(jù)庫系統(tǒng)的安全除依賴自身內(nèi)部的安全機(jī)制外��,還與外部網(wǎng)絡(luò)環(huán)境、應(yīng)用環(huán)境�、從業(yè)人員素質(zhì)等因素息息相關(guān),因此,從廣義上講����,數(shù)據(jù)庫系統(tǒng)的安全框架可以劃分為三個層次: ⑴網(wǎng)絡(luò)系統(tǒng)層次��; ?、扑拗鞑僮飨到y(tǒng)層次��; ?�、菙?shù)據(jù)庫管理系統(tǒng)層次����?���! ∵@三個層次構(gòu)筑成數(shù)據(jù)庫系統(tǒng)的安全體系,與數(shù)據(jù)安全的關(guān)系是逐步緊密的����,
2、防范的重要性也逐層加強(qiáng)�����,從外到內(nèi)�、由表及里保證數(shù)據(jù)的安全。下面就安全框架的三個層次展開論述���?���! ?.網(wǎng)絡(luò)系統(tǒng)層次安全技術(shù) 從廣義上講,數(shù)據(jù)庫的安全首先依賴于網(wǎng)絡(luò)系統(tǒng)���。隨著Inter的發(fā)展和普及���,越來越多的公司將其核心業(yè)務(wù)向互聯(lián)網(wǎng)轉(zhuǎn)移�����,各種基于網(wǎng)絡(luò)的數(shù)據(jù)庫應(yīng)用系統(tǒng)如雨后春筍般涌現(xiàn)出來�,面向網(wǎng)絡(luò)用戶提供各種信息服務(wù)��。可以說網(wǎng)絡(luò)系統(tǒng)是數(shù)據(jù)庫應(yīng)用的外部環(huán)境和基礎(chǔ)��,數(shù)據(jù)庫系統(tǒng)要發(fā)揮其強(qiáng)大作用離不開網(wǎng)絡(luò)系統(tǒng)的支持���,數(shù)據(jù)庫系統(tǒng)的用戶(如異地用戶���、分布式用戶)也要通過網(wǎng)絡(luò)才能訪問數(shù)據(jù)庫的數(shù)據(jù)。網(wǎng)絡(luò)系統(tǒng)的安全是數(shù)據(jù)庫安全的第一道屏障�,外部入侵首先就是從入侵網(wǎng)絡(luò)系
3、統(tǒng)開始的�����。網(wǎng)絡(luò)入侵試圖破壞信息系統(tǒng)的完整性��、機(jī)密性或可信任的任何網(wǎng)絡(luò)活動的集合���,具有以下特點(diǎn): a)沒有地域和時間的限制�,跨越國界的攻擊就如同在現(xiàn)場一樣方便�; b)通過網(wǎng)絡(luò)的攻擊往往混雜在大量正常的網(wǎng)絡(luò)活動之中,隱蔽性強(qiáng)����; c)入侵手段更加隱蔽和復(fù)雜����?��! ∮嬎銠C(jī)網(wǎng)絡(luò)系統(tǒng)開放式環(huán)境面臨的威脅主要有以下幾種類型: a)欺騙(Masquerade); b)重發(fā)(Replay)���; c)報文修改(Modificationofmessage)��; d)拒絕服務(wù)(Denyofservice)�; e)陷阱門(Trapdoor)���; f)特洛伊木馬(
4����、Trojanhorse)��; g)攻擊����,如透納攻擊(TunnelingAttack)、應(yīng)用軟件攻擊等�。這些安全威脅是無時�����、無處不在的����,因此必須采取有效的措施來保障系統(tǒng)的安全���?��! 募夹g(shù)角度講,網(wǎng)絡(luò)系統(tǒng)層次的安全防范技術(shù)有很多種�����,大致可以分為防火墻�、入侵檢測、協(xié)作式入侵檢測技術(shù)等����。 ?、欧阑饓Α 》阑饓κ菓?yīng)用最廣的一種防范技術(shù)。作為系統(tǒng)的第一道防線���,其主要作用是監(jiān)控可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間的訪問通道��,可在內(nèi)部與外部網(wǎng)絡(luò)之間形成一道防護(hù)屏障,攔截來自外部的非法訪問并阻止內(nèi)部信息的外泄����,但它無法阻攔來自網(wǎng)絡(luò)內(nèi)部的非法操作。它根據(jù)事先設(shè)定的規(guī)則來確定
5����、是否攔截信息流的進(jìn)出,但無法動態(tài)識別或自適應(yīng)地調(diào)整規(guī)則����,因而其智能化程度很有限。防火墻技術(shù)主要有三種:數(shù)據(jù)包過濾器(packetfilter)����、代理(proxy)和狀態(tài)分析(statefulinspection)?��,F(xiàn)代防火墻產(chǎn)品通?���;旌鲜褂眠@幾種技術(shù)?�! 、迫肭謾z測 入侵檢測(IDSInstrusionDetectionSystem)是近年來發(fā)展起來的一種防范技術(shù)���,綜合采用了統(tǒng)計技術(shù)����、規(guī)則方法���、網(wǎng)絡(luò)通信技術(shù)、人工智能��、密碼學(xué)��、推理等技術(shù)和方法��,其作用是監(jiān)控網(wǎng)絡(luò)和計算機(jī)系統(tǒng)是否出現(xiàn)被入侵或濫用的征兆����。1987年�����,DerothyDenning首次提
6、出了一種檢測入侵的思想,經(jīng)過不斷發(fā)展和完善��,作為監(jiān)控和識別攻擊的標(biāo)準(zhǔn)解決方案���,IDS系統(tǒng)已經(jīng)成為安全防御系統(tǒng)的重要組成部分��。 入侵檢測采用的分析技術(shù)可分為三大類:簽名��、統(tǒng)計和數(shù)據(jù)完整性分析法����?��! ���、菂f(xié)作式入侵監(jiān)測技術(shù) 獨(dú)立的入侵監(jiān)測系統(tǒng)不能夠?qū)V泛發(fā)生的各種入侵活動都做出有效的監(jiān)測和反應(yīng)��,為了彌補(bǔ)獨(dú)立運(yùn)作的不足�����,人們提出了協(xié)作式入侵監(jiān)測系統(tǒng)的想法�。在協(xié)作式入侵監(jiān)測系統(tǒng)中���,IDS基于一種統(tǒng)一的規(guī)范����,入侵監(jiān)測組件之間自動地交換信息,并且通過信息的交換得到了對入侵的有效監(jiān)測�,可以應(yīng)用于不同的網(wǎng)絡(luò)環(huán)境����?! ?.宿主操作系統(tǒng)層次安全技術(shù) 操作系統(tǒng)是大
7�����、型數(shù)據(jù)庫系統(tǒng)的運(yùn)行平臺���,為數(shù)據(jù)庫系統(tǒng)提供一定程度的安全保護(hù)��。目前操作系統(tǒng)平臺大多數(shù)集中在WindowsNT和Unix���,安全級別通常為C1��、C2級����。主要安全技術(shù)有操作系統(tǒng)安全策略����、安全管理策略���、數(shù)據(jù)安全等方面?! 〔僮飨到y(tǒng)安全策略用于配置本地計算機(jī)的安全設(shè)置��,包括密碼策略�、賬戶鎖定策略�����、審核策略�����、IP安全策略���、用戶權(quán)利指派����、加密數(shù)據(jù)的恢復(fù)代理以及其它安全選項。具體可以體現(xiàn)在用戶賬戶、口令�、訪問權(quán)限���、審計等方面���?�! ∮脩糍~戶:用戶訪問系統(tǒng)的身份證�����,只有合法用戶才有賬戶��。 口令:用戶的口令為用戶訪問系統(tǒng)提供一道驗證��?�! ≡L問權(quán)限:規(guī)定用戶的權(quán)限���。
8�、審計:對用戶的行為進(jìn)行跟蹤和記錄����,便于系統(tǒng)管理員分析系統(tǒng)的訪問情況以及事后的追查使用?! “踩芾聿呗允侵妇W(wǎng)絡(luò)管理員對系統(tǒng)實(shí)施安全管理所
