数据库安全设计与分析

井冈山大学 网络安全课程设计报告 选题名称选题名称 数据库的安全与分析数据库的安全与分析 学学 院院 电子与信息工程电子与信息工程 专专 业业 网络工程网络工程 班班 级级 网络工程网络工程 13 本本 1 姓姓 名名 何依何依 学学 号号 日日 期期 2016 10 08 目录目录 一 背景与目的 3 二 实施方案概要 3 1 用户权限 3 2 访问权限 3 3 再次校对 4 4 登录 4 三 技术与理论 4 1 三层式数据访问机制 4 2 数据加密处理机制 4 3 数据库系统的安全策略 5 四 课程设计实施 5 1 第一步 5 2 第二步 7 3 第三步 8 4 第四步 9 5 第五步 10 五 课程设计结果分析 10 六 总结 11 一 背景与目的一 背景与目的 无论是从十大酒店泄露大量开房信息 到工商银行的快捷支付漏洞导致用 户存款消失 这一种种触目惊心的事件表明数据库的安全性能对于整个社会来 说是十分重要的 数据库安全是对顾客的权益的安全保障 也是国家 企业以 及更多的人的安全保障 从而数据库的安全性非常值得重视 对于数据库的安全我将进行以下分析 旨在了解更多的数据库安全技术和 对常见的数据库攻击的一些防范措施 并借鉴到今后的实际开发项目中去 更 好的保护客户的权益 二 实施方案概要二 实施方案概要 本次的数据库主要基于我们比较熟悉的 SQLSever 进行 为了保障用户的数据的存储安全 保障数据的访问安全 我们应该对拘束 看的用户采取监控的机制 分布式的处理各种应用类型的数据即采取三层式数 据库连接的机制 1 1 用户权限 用户权限 当一个数据库被建立后 它将被指定给一个所有者 即运行建立数据库语 句的用户 通常 只有所有者 或者超级用户 才能对该数据库中的对象进行 任何操作 为了能让其它用户使用该数据库 需要进行权限设置 应用程序不 能使用所有者或者超级用户的账号来连接到数据库 因为这些用户可以执行任 何查询 例如 修改数据结构 如删除表格 或者删除所有的内容 一旦发生 黑客事件数据库的安全将会岌岌可危 2 2 访问权限 访问权限 可以为应用程序不同的部分建立不同的数据库账号 使得它们职能对数据 库对象行使非常有限的权限 对这些账号应该只赋予最需要的权限 同时应该 防止相同的用户能够在不同的使用情况与数据库进行交流 这也就是说 如果 某一个入侵者利用这些账号中的某一个获得了访问数据库的权限 他们也仅仅 能够影响到的应用程序力所能及的范围 对于一般的系统而言 基本上采用统 一的用户名称 用户密码进行登陆 这个阶段的登陆主要用于获取数据库的对 应访问用户 密码及其对应访问权限 3 3 再次校对 再次校对 登陆成功后 读取用户本地机的注册信息 密码校验信息 然后到通用用 户对应的数据表中去读取对应的记录 该记录主要为新的用户名和密码 获取 对应权限 用户和密码后 断开数据库连接 然后按新的数据库用户和密码进 行连接 4 4 登录 登录 连接成功后 开始个人用户的登陆 三 技术与理论三 技术与理论 主要的技术为 三层式数据访问机制 数据加密处理机制 数据库系统安全策 略 1 1 三层式数据访问机制 三层式数据访问机制 1 通用用户方式登陆 对于通用用户而言 所有用户均只有一个表的访问权 限 并且对该表只能读取和修改 2 本地注册 或安装 信息的读取和专用数据库用户密码的对应获取 根据安装类型 获取对应的 数据库 用户和密码 此用户一般有多个表的操作权限 3 断开通用连接 以新的用户和密码进行登陆 登陆成功后 再用个人用户 帐号和密码进行登陆处理 2 2 数据加密处理机制 数据加密处理机制 1 数据加密处理机制主要对数据库的访问密码和个人密码进行加密处理 2 基数数据加密主要方式为 采用数据基数数组方式进行加密与解密 变动加解密机制时 只需修改对应 的基数位置或基数值即可 实现方式简单方便 而解密则极为困难 数据库系统提供的上述措施难以完全保证数据安全性 某些用户仍可能非 法获取用户名 口令字 或利用其他方法越权使用数据库 甚至直接窃取或篡 改数据库信息 因此 有必要对数据库中存储的重要数据进行加密处理 安全 保护存储数据 数据加密就是将明文数据 M 经过一定的交换变成密文数据 C 解密是加密的逆过程 数据库密码系统要求将 M 加密成 C C 存储到数据库中 查询时将 C 取出解密得到 NI 数据库数据加 解密处理过程 基于密钥的算法 通常有两类 对称加密算法和公开密钥算法 又称非对称加密算法 3 3 数据库系统的安全策略 数据库系统的安全策略 1 在数据库系统中 存取控制是实施安全策略常用的手段 为了保证用户只 能存取有权存取的数据 系统要求对每个用户定义存取权限 即授权 存取权 限包括两个方面的内容 即要存取的数据对象和对此数据对象进行哪些类型的 操作 读 写 删 改等 在非关系数据库中 用户只能对数据进行操作 存 取控制的数据对象也只限于数据本身 而关系数据库系统中 数据库管理员可 以把建立和修改基本表的权限授予用户 用户可利用权限建立和修改基本表 索引 视图 因此 关系系统中存取控制的数据对象不仅有数据本身 还有存 储模式 概念模式 子模式等内容 2 存取控制对系统中的对象进行了两种划分 一个是主体 一个是客体 主 体是系统中的活动实体 包括 DBMS 所管理的实际用户 代表用户的各进程 客体是系统中受主体操纵的被动实体 包括文件 基本表 索引 视图等 存 取控制就是在主体欲对客体进行存取时 检查主体的合法性 即权限 确保数 据不被非法查询和修改 存取控制模型分为自主存取控制 强制存取控制和基 于角色的存取控制 无论哪种控制都是有关不同权限的用户对不同数据进行不 同操作权限的控制问题 3 日志记录是十分重要的 管理员可以通过对日志的维护了解用户所进行的 操作 另外日志记录也是进行安全入侵检测的必须数据 审计主要是跟踪记录 某些保密数据的访问活动 为了使日志记录的消息不丢失 可将存放日志的数 据库置于与主机分离的机器上 允许添加和读取数据库 但不允许修改 四 课程设计实施四 课程设计实施 1 1 第一步 第一步 使用 SQLServer2008 建立新的数据库 当一个数据库被建立后 指定给一 个所有者 即运行建立数据库语句的用户 只有所有者 或者超级用户 才能 对该数据库中的对象进行任何操作 用户可以执行任何查询 例如 修改数据结构 如删除表格 或者删除所有的内容 可以为应用程 序不同的部分建立不同的数据库账号 使得它们职能对数据库对象行使非常有 限的权限 对这些账号应该只赋予最需要的权限 同时应该防止相同的用户能 够在不同的使用情况与数据库进行交流 2 2 第二步 第二步 将事物事件分类 使用视图 view 触发器 trigger 或者规则 rule 对每一个独立的数据库客户重新设置权限 使用触发器可以来透明地和自动地 处理字段 因为该特性可以在调试应用程序地问题或者追踪后台事物时提供便 利信息 3 3 第三步 第三步 在数据库里使用 PWDENCRYPT 算法进行数据加密 因为 PWDENCRYPT 是一种 单向的加密技术 没法对其加密的数据进行解密 所以这些数据一般都是用于 数据验证的的功能 4 4 第四步 第四步 最高权限将被指定给一个所有者 设计不同的访问权限 以便不同类型的 用户使用的功能不同所以对其访问的限制 这也就是说 如果某一个入侵者利 用这些账号中的某一个获得了访问数据库的权限 他们也仅仅能够影响到的应 用程序力所能及的范围 5 5 第五步 第五步 在每一次操作数据库之后进行日志的记录 并且在一定时间内对日记进行 备份 以防丢失 五 课程设计结果分析五 课程设计结果分析 在 SQLServer 数据库安全设计的过程中 除了可以设置身份认证 加密程 序 还可以设置 SQLServer 数据库的访问控制 将不同的用户给予不同的权限 在 SQLServer 的安全设计中 进行数据库的访问 可以对用户的数据库的图标 目录 应用 进行限制 可以针对增删查改等权限进行控制 在 SQLServer 数据库安全设计中 数据库访问控制的设计是核心 事物事件的分类是关键 数据的加密是手段 这些都是 SQLServer 数据库安全管理的有效手段 SQLServer 数据库的安全还可以通过网络连接加强安全设计 将计算机系统的 安全机制加强后对 SQLServer 的接入 IP 进行限制 对 SQLServer 数据可进行安 全设计 在数据库被访问的过程中 只有自己的 IP 在可以接入等 六 总结六 总结 通过这一次的课程设计 我在网上进行的多方面的资料查找 查看的了大 量关于数据库安全设计的文章和博文 开阔了自己的眼界 同时我也学到了许 多的再数据库安全方面的知识 比如我们在自己做项目经常会图方便直接在界 面层进行 SQL 数据库访问代码的书写 现在看起来这种做法实为不