数据库安全设计与分析

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

井冈山大学

《网络安全课程设计报告》

选题名称数据库的安全与分析

学院电子与信息工程

专业网络工程

班级网络工程13本(1)

姓名何依

学号*********

日期2016.10.08

目录

一、背景与目的 (3)

二、实施方案概要 (3)

1、用户权限 (3)

2、访问权限 (3)

3、再次校对 (4)

4、登录 (4)

三、技术与理论 (4)

1、三层式数据访问机制 (4)

2、数据加密处理机制 (4)

3、数据库系统的安全策略: (5)

四、课程设计实施 (6)

1、第一步 (6)

2、第二步 (8)

3、第三步 (9)

4、第四步 (10)

5、第五步 (11)

五、课程设计结果分析 (11)

六、总结 (12)

一、背景与目的

无论是从十大酒店泄露大量开房信息,到工商银行的快捷支付漏洞导致用户存款消失,这一种种触目惊心的事件表明数据库的安全性能对于整个社会来说是十分重要的,数据库安全是对顾客的权益的安全保障,也是国家、企业以及更多的人的安全保障,从而数据库的安全性非常值得重视。

对于数据库的安全我将进行以下分析,旨在了解更多的数据库安全技术和对常见的数据库攻击的一些防范措施,并借鉴到今后的实际开发项目中去,更好的保护客户的权益。

二、实施方案概要

本次的数据库主要基于我们比较熟悉的SQLSever进行。

为了保障用户的数据的存储安全,保障数据的访问安全,我们应该对拘束看的用户采取监控的机制,分布式的处理各种应用类型的数据即采取三层式数据库连接的机制。

1、用户权限

当一个数据库被建立后,它将被指定给一个所有者,即运行建立数据库语句的用户。通常,只有所有者(或者超级用户)才能对该数据库中的对象进行任何操作,为了能让其它用户使用该数据库,需要进行权限设置。应用程序不能使用所有者或者超级用户的账号来连接到数据库,因为这些用户可以执行任何查询,例如,修改数据结构(如删除表格)或者删除所有的内容,一旦发生黑客事件数据库的安全将会岌岌可危。

2、访问权限

可以为应用程序不同的部分建立不同的数据库账号,使得它们职能对数据库对象行使非常有限的权限。对这些账号应该只赋予最需要的权限,同时应该防止相同的用户能够在不同的使用情况与数据库进行交流。这也就是说,如果某一个入侵者利用这些账号中的某一个获得了访问数据库的权限,他们也仅仅能够影响

到的应用程序力所能及的范围。对于一般的系统而言,基本上采用统一的用户名称、用户密码进行登陆。这个阶段的登陆主要用于获取数据库的对应访问用户、密码及其对应访问权限

3、再次校对

登陆成功后,读取用户本地机的注册信息、密码校验信息,然后到通用用户对应的数据表中去读取对应的记录。该记录主要为新的用户名和密码。获取对应权限、用户和密码后,断开数据库连接,然后按新的数据库用户和密码进行连接。

4、登录

连接成功后,开始个人用户的登陆

三、技术与理论

主要的技术为:三层式数据访问机制、数据加密处理机制、数据库系统安全策略

1、三层式数据访问机制

(1)通用用户方式登陆。对于通用用户而言,所有用户均只有一个表的访问权限,并且对该表只能读取和修改。

(2)本地注册(或安装)信息的读取和专用数据库用户密码的对应获取。根据安装类型,获取对应的(数据库)用户和密码,此用户一般有多个表的操作权限。

(3)断开通用连接,以新的用户和密码进行登陆。登陆成功后,再用个人用户帐号和密码进行登陆处理。

2、数据加密处理机制

(1)数据加密处理机制主要对数据库的访问密码和个人密码进行加密处理。(2)基数数据加密主要方式为:

采用数据基数数组方式进行加密与解密。变动加解密机制时,只需修改对应的基数位置或基数值即可。实现方式简单方便,而解密则极为困难数据库系统提供的上述措施难以完全保证数据安全性,某些用户仍可能非法获取用户名、口令字,或利用其他方法越权使用数据库,甚至直接窃取或篡改数据库信息。因此,有必要对数据库中存储的重要数据进行加密处理,安全保护存

储数据。数据加密就是将明文数据M经过一定的交换变成密文数据C,解密是加密的逆过程。数据库密码系统要求将M加密成C,C存储到数据库中,查询时将C取出解密得到NI。数据库数据加/解密处理过程,基于密钥的算法通常有两类:对称加密算法和公开密钥算法(又称非对称加密算法)。

3、数据库系统的安全策略:

(1)在数据库系统中,存取控制是实施安全策略常用的手段,为了保证用户只能存取有权存取的数据,系统要求对每个用户定义存取权限(即授权)。存取权限包括两个方面的内容,即要存取的数据对象和对此数据对象进行哪些类型的操作(读、写、删、改等)。在非关系数据库中,用户只能对数据进行操作,存取控制的数据对象也只限于数据本身。而关系数据库系统中,数据库管理员可以把建立和修改基本表的权限授予用户,用户可利用权限建立和修改基本表、索引、视图。因此,关系系统中存取控制的数据对象不仅有数据本身,还有存储模式、概念模式、子模式等内容。

(2)存取控制对系统中的对象进行了两种划分:一个是主体,一个是客体。主体是系统中的活动实体,包括DBMS所管理的实际用户、代表用户的各进程。客体是系统中受主体操纵的被动实体,包括文件、基本表、索引、视图等。存取控制就是在主体欲对客体进行存取时,检查主体的合法性(即权限),确保数据不被非法查询和修改。存取控制模型分为自主存取控制、强制存取控制和基于角色的存取控制。无论哪种控制都是有关不同权限的用户对不同数据进行不同操作权限的控制问题。

(3)日志记录是十分重要的,管理员可以通过对日志的维护了解用户所进行的操作,另外日志记录也是进行安全入侵检测的必须数据。审计主要是跟踪记录某些保密数据的访问活动。为了使日志记录的消息不丢失,可将存放日志的数据库置于与主机分离的机器上,允许添加和读取数据库,但不允许修改。

相关文档
最新文档