數(shù)據(jù)庫(kù)安全包含兩層含義：第一層是指系統(tǒng)運(yùn)行安全，系統(tǒng)運(yùn)行安全通常受到的威脅如下，一些網(wǎng)絡(luò)不法分子通過(guò)網(wǎng)絡(luò)，局域網(wǎng)等途徑通過(guò)入侵電腦使系統(tǒng)無(wú)法正常啟動(dòng)，或超負(fù)荷讓機(jī)子運(yùn)行大量算法，并關(guān)閉cpu風(fēng)扇，使cpu過(guò)熱燒壞等破壞性活動(dòng)。

　　摘要：數(shù)據(jù)庫(kù)安全就是指保護(hù)數(shù)據(jù)庫(kù)以防止非法使用所造成的信息泄露、更改或破壞。數(shù)據(jù)庫(kù)已經(jīng)在社會(huì)上和人們?nèi)粘Ｉ�活中占�?jù)了十分重要的地位。該文首先簡(jiǎn)要介紹了數(shù)據(jù)庫(kù)安全的重要性及安全需求，然后對(duì)數(shù)據(jù)庫(kù)的安全策略和安全技術(shù)進(jìn)行了探討。

　　關(guān)鍵詞：數(shù)據(jù)庫(kù) 安全需求 安全技術(shù)

　　數(shù)據(jù)庫(kù)是存儲(chǔ)在一起的相關(guān)數(shù)據(jù)的集合，這些數(shù)據(jù)可以為多種應(yīng)用服務(wù)。使用數(shù)據(jù)庫(kù)可以帶來(lái)許多好處：如減少了數(shù)據(jù)的冗余度，節(jié)省數(shù)據(jù)的存儲(chǔ)空間;實(shí)現(xiàn)數(shù)據(jù)資源的充分共享等等。由于數(shù)據(jù)庫(kù)的重要地位，其安全性也備受關(guān)注。

　　1 數(shù)據(jù)庫(kù)安全的重要性

　　數(shù)據(jù)庫(kù)系統(tǒng)也屬于一種系統(tǒng)軟件，實(shí)際使用中它和其他軟件一樣也需要保護(hù)。數(shù)據(jù)庫(kù)的安全之所以重要，主要是原因下面一些原因。首先，在數(shù)據(jù)庫(kù)中存放大量的數(shù)據(jù)，在重要程度及保密級(jí)別上可以分為幾類(lèi)，這些數(shù)據(jù)為許多用戶所共享，而各用戶的訪問(wèn)權(quán)限是不同。因此，數(shù)據(jù)庫(kù)系統(tǒng)必須根據(jù)不同客戶的職責(zé)和權(quán)限，使各用戶得到的只是他們所必需的、與他們的權(quán)限相對(duì)應(yīng)的部分?jǐn)?shù)據(jù)，并不是每個(gè)用戶都可以訪問(wèn)全部數(shù)據(jù)。這樣對(duì)用戶進(jìn)行分類(lèi)限制，嚴(yán)格控制用戶修改數(shù)據(jù)庫(kù)數(shù)據(jù)的權(quán)限，可以最大限度的避免因一個(gè)用戶在未經(jīng)許可的情況下修改了數(shù)據(jù)，而對(duì)其他用戶的工作造成不良的影響。

　　其次，在數(shù)據(jù)庫(kù)中，由于數(shù)據(jù)冗余度小，一旦數(shù)據(jù)庫(kù)的數(shù)據(jù)被修改了，原來(lái)的數(shù)據(jù)就不存在了。因此，必須有一套數(shù)據(jù)庫(kù)恢復(fù)技術(shù)，保證在系統(tǒng)或程序出現(xiàn)故障后，幫助迅速恢復(fù)數(shù)據(jù)庫(kù)。最后，由于數(shù)據(jù)庫(kù)是聯(lián)機(jī)工作的，一般允許多用戶同時(shí)進(jìn)行存取操作，因此必須采取有效措施防止由此引起的破壞數(shù)據(jù)庫(kù)完整性的問(wèn)題。數(shù)據(jù)庫(kù)涉及其他應(yīng)用軟件，因而數(shù)據(jù)庫(kù)的安全還涉及應(yīng)用軟件的安全與數(shù)據(jù)的安全，因此，有必要把數(shù)據(jù)庫(kù)的安全問(wèn)題和相關(guān)的應(yīng)用軟件安全問(wèn)題進(jìn)行綜合考慮，制定有效的全面的安全防范措施。

　　總之，數(shù)據(jù)庫(kù)系統(tǒng)在給人們帶來(lái)好處的同時(shí)，也對(duì)用戶提出了更高的安全方面的要求。所以說(shuō)，數(shù)據(jù)庫(kù)的安全問(wèn)題是非常重要的，必須引起最夠的重視。

　　2 數(shù)據(jù)庫(kù)的安全威脅與安全策略

　　數(shù)據(jù)庫(kù)運(yùn)行于操作系統(tǒng)之上，依賴于計(jì)算機(jī)硬件，所以數(shù)據(jù)庫(kù)的安全依賴于操作系統(tǒng)安全和計(jì)算機(jī)硬件的安全。同時(shí)數(shù)據(jù)庫(kù)操作人員的非法操作和不法分子的蓄意攻擊也對(duì)數(shù)據(jù)庫(kù)的安全構(gòu)成重大威脅。綜合以上兩方面，可以看到數(shù)據(jù)庫(kù)受到的安全威脅主要有：1)硬件故障引起的信息破壞或丟失。如存儲(chǔ)設(shè)備的損壞、系統(tǒng)掉電等造成信息的丟失或破壞;2)軟件保護(hù)失效造成的信息泄露。如操作系統(tǒng)漏洞、缺少存儲(chǔ)控制機(jī)制或破壞了存儲(chǔ)控制機(jī)制，造成信息泄露;3)應(yīng)用程序設(shè)計(jì)出現(xiàn)漏洞。如被黑客利用安裝了木馬;4)病毒入侵系統(tǒng)，造成信息丟失、泄露或破壞;5)計(jì)算機(jī)放置在不安全的地方被竊聽(tīng);6)授權(quán)者制定了不正確或不安全的防護(hù)策略。7)數(shù)據(jù)錯(cuò)誤輸入或處理錯(cuò)誤。如，準(zhǔn)備輸入的數(shù)據(jù)在輸入前被修改，機(jī)密數(shù)據(jù)在輸入前泄密;8)非授權(quán)用戶的非法存取，或授權(quán)用戶的越權(quán)存取，或授權(quán)用戶的越權(quán)存取。數(shù)據(jù)庫(kù)受到各方面的安全威脅，要保證數(shù)據(jù)庫(kù)的安全，必須制訂合適的安全策略，采取一定的安全技術(shù)措施，才能保證數(shù)據(jù)庫(kù)信息的不泄露，不破壞和不被刪除和修改。

　　數(shù)據(jù)庫(kù)的安全策略是指導(dǎo)數(shù)據(jù)庫(kù)操作人員合理地設(shè)置數(shù)據(jù)庫(kù)的指導(dǎo)思想。它包括以下幾方面。

　　1) 最小特權(quán)策略

　　最小特權(quán)策略是讓用戶可以合法的存取或修改數(shù)據(jù)庫(kù)的前提下，分配最小的特權(quán)，使得這些信息恰好能夠完成用戶的工作，其余的權(quán)利一律不給。因?yàn)閷?duì)用戶的權(quán)限進(jìn)行適當(dāng)?shù)目刂疲�可以減少泄密的機(jī)會(huì)和破壞數(shù)據(jù)庫(kù)完整性的可能性。

　　2) 最大共享策略

　　最大共享策略就是在保證數(shù)據(jù)庫(kù)的完整性、保密性和可用性的前提下，最大程度地共享數(shù)據(jù)庫(kù)中的信息。

　　3) 粒度適當(dāng)策略

　　在數(shù)據(jù)庫(kù)中，將數(shù)據(jù)庫(kù)中不同的項(xiàng)分成不同的顆粒，顆粒越小，安全級(jí)別越高。通常要根據(jù)實(shí)際決定粒度的大小。

　　4) 按內(nèi)容存取控制策略

　　根據(jù)數(shù)據(jù)庫(kù)的內(nèi)容，不同權(quán)限的用戶訪問(wèn)數(shù)據(jù)庫(kù)的不同的部分。

　　5) 開(kāi)系統(tǒng)和閉系統(tǒng)策略

　　數(shù)據(jù)庫(kù)在開(kāi)放的系統(tǒng)中采取的策略為開(kāi)系統(tǒng)策略。開(kāi)系統(tǒng)策略即除了明確禁止的項(xiàng)目，數(shù)據(jù)庫(kù)的其他的項(xiàng)均可被用戶訪問(wèn)。數(shù)據(jù)庫(kù)在封閉系統(tǒng)中采取的策略稱閉系統(tǒng)策略。閉系統(tǒng)策略即在封閉的系統(tǒng)中，除了明確授權(quán)的內(nèi)容可以訪問(wèn)，其余均不可以訪問(wèn)。

　　6) 按上下文存取控制策略

　　這種策略包括兩方面：一方面限制用戶在其一次請(qǐng)求中或特定的一組相鄰的請(qǐng)求中不能對(duì)不同屬性的數(shù)據(jù)進(jìn)行存取;另一方面可以規(guī)定用戶對(duì)某些不同屬性的數(shù)據(jù)必須一組存取。這種策略是根據(jù)上下文的內(nèi)容嚴(yán)格控制用戶的存取區(qū)域。

　　7) 根據(jù)歷史的存取控制策略

　　有些數(shù)據(jù)本身不會(huì)泄密，但當(dāng)和其他的數(shù)據(jù)或以前的數(shù)據(jù)聯(lián)系在一起時(shí)可能會(huì)泄露保密的信息。為防止這種推理的攻擊，必須記錄主數(shù)據(jù)庫(kù)用戶過(guò)去的存取歷史。根據(jù)其以往執(zhí)行的操作，來(lái)控制其現(xiàn)在提出的請(qǐng)求。

　　數(shù)據(jù)庫(kù)的安全本身很復(fù)雜，并不是簡(jiǎn)單的哪一種策略就可以涵蓋的，所以制訂數(shù)據(jù)庫(kù)的安全策略時(shí)應(yīng)根據(jù)實(shí)際情況，遵循一種或幾種安全策略才可以更好的保護(hù)數(shù)據(jù)庫(kù)的安全。

　　3 數(shù)據(jù)庫(kù)安全技術(shù)

　　1) 數(shù)據(jù)庫(kù)的完整性與可靠性

　　數(shù)據(jù)庫(kù)的完整性是關(guān)系到客戶/服務(wù)器應(yīng)用系統(tǒng)正常工作的關(guān)鍵。維護(hù)數(shù)據(jù)庫(kù)的完整性即需要數(shù)據(jù)庫(kù)設(shè)計(jì)人員的周密設(shè)計(jì)，也需要客戶端開(kāi)發(fā)人員的積極配合。數(shù)據(jù)庫(kù)完整性約束是用于維護(hù)數(shù)據(jù)庫(kù)完整性的一種機(jī)制，這種約束是一系列預(yù)先定義好的數(shù)據(jù)完整性規(guī)劃和業(yè)務(wù)規(guī)則，這些數(shù)據(jù)規(guī)則存放于數(shù)據(jù)庫(kù)中，防止用戶輸入錯(cuò)誤的數(shù)據(jù)，以保證數(shù)據(jù)庫(kù)中所有的數(shù)據(jù)是合法的、完整的。

　　2) 存取控制

　　訪問(wèn)控制是信息安全保障機(jī)制的核心內(nèi)容，它是實(shí)現(xiàn)數(shù)據(jù)保密性和完整性機(jī)制的主要手段。訪問(wèn)控制是為了限制訪問(wèn)主體對(duì)訪問(wèn)客體的訪問(wèn)權(quán)限，從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用;訪問(wèn)控制機(jī)制決定用戶及代表一定用戶利益的程序能做什么，能做到什么程度。訪問(wèn)控制，作為提供信息安全保障的主要手段，被廣泛用于防火墻、文件訪問(wèn)、VPN及物理安全等多個(gè)方面。訪問(wèn)控制也是數(shù)據(jù)庫(kù)系統(tǒng)的基本安全需求之一。為了使用訪問(wèn)控制來(lái)保證數(shù)據(jù)庫(kù)安全，必須使用相應(yīng)的安全策略和安全機(jī)制保證其實(shí)施。

　　在數(shù)據(jù)庫(kù)中，記錄、字段、元素是相互聯(lián)系的，用戶可能通過(guò)讀取其他元素來(lái)得到某一元素，這種現(xiàn)象稱為“推理”，要想防止推理的發(fā)生，必須采取與歷史相關(guān)的控制，它不僅要求考慮請(qǐng)求當(dāng)時(shí)的上下文，還要考慮過(guò)去請(qǐng)求的上下文，來(lái)限制存取。簡(jiǎn)單的來(lái)說(shuō)，存取控制是用來(lái)保護(hù)電腦的信息或資源免于被非法者故意刪除、破壞或更改的一項(xiàng)重要措施。此外，基于角色的存取控制機(jī)制可以為用戶提供強(qiáng)大而靈活的安全機(jī)制，使管理員能以接近部門(mén)組織的自然形式來(lái)進(jìn)行用戶權(quán)限劃分。

　　小編推薦優(yōu)秀電子期刊　《鐵路計(jì)算機(jī)應(yīng)用》

　　創(chuàng)刊于1992年，由中華人民共和國(guó)鐵道部主管，中國(guó)鐵道科學(xué)研究院、中國(guó)鐵道學(xué)會(huì)計(jì)算機(jī)委員會(huì)主辦，中國(guó)鐵道科學(xué)研究院電子計(jì)算技術(shù)研究所承辦。是鐵路系統(tǒng)可以在國(guó)內(nèi)外公開(kāi)發(fā)行的行業(yè)計(jì)算機(jī)與信息技術(shù)專(zhuān)業(yè)技術(shù)性期刊。