凃云杰TUYun-jie
(呼伦贝尔学院计算机学院,呼伦贝尔021008)
(ComputerDepartment,HulunbeierCollege,Hulunbeier021008,China)
摘要:随着云技术飞速发展,云安全体系也要相应地发展,使得我们可以更快更好地进入云的世界。云计算带来的数据安全问题值得世界各国关注。本文从云背景下的数据库安全性出发,探讨了实现数据库安全的技术与方法。
Abstract:Withtherapiddevelopmentofcloudtechnology,thesecuritysystemneedscorrespondingdevelopment,causingustoenterthecloudworldbetterandfaster.Thesecurityproblemsofcloudcomputingdeservestheconcernsofallthecountries.Thethesisdiscussesthetechnologyandmethodsthatcanrealizethedatabasesecuritybasedonthebackgroundofcloud.
教育期刊网 http://www.jyqkw.com
关键词 :云背景;数据库安全;访问控制;视图
Keywords:cloudbackground;databasesecurity;accesscontrol;view
中图分类号:TP309.2文献标识码:A文章编号:1006-4311(2015)21-0243-02
0引言
目前,国内外一系列的泄密事件将安全问题推到了世界各国人民的面前,这一现象越来越突出,越来越急切。所以,数据永远是网络环境下用户最需要保护的东西,未来的数据安全将要求以高度集成化和标准化为趋势,立体全面地对企业甚至国家的安全提供服务与保障[1]。云计算在国内的发展还处于初级阶段,云安全问题需要特别重视,安全性问题在云计算发展过程中需要逐步予以解决。
安全性问题不仅仅是数据库系统所独有的问题,所有计算机系统都有这个问题。只是在数据库系统中大量数据集中存放,而且为许多最终用户直接共享,从而使安全性问题更为突出。各国都投入大量的人力、物力和财力研究实现数据库安全性的方法与技术。
1用户身份认证
身份认证是验证某人或某事身份的一种过程[2,3]。身份认证是安全控制的基础,它使用提供给认证者的信息以便确定是否某人或某物实际上就是它或者就是所声称的。根据被认证方赖以证明身份的认证信息不同,身份认证技术可以分为基于秘密信息的身份认证技术(密码认证)、基于信物的身份认证技术(证物认证)、基于生物特征的身份认证技术(生物认证)等。
2访问控制
访问控制即存取控制,是按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用。访问控制是为保证安全需求而制定的对用户行为进行约束的一整套严谨的规则,通常用于SA控制用户对服务器、目录、文件等网络资源的访问。根据实现的基本原理不同,访问控制可分为自主访问控制、强制访问控制和基于角色的访问控制等[2]。
3视图技术
透过视图能够看到数据库中自己感兴趣的数据及其变化,它就像一个窗口一样。用户可以通过定义视图只看到指定表中的某些行,某些列,也可以将多个表中的列组合起来,使得这些列看起来就像一个简单的数据库表,另外,也可以通过定义视图,只提供用户所需的数据,而不是所有的信息[4,5]。
假定在某一单位的数据库中,有如下的关系模式:
employee(eno,name,sex,age,position,duty,depno,phone)
employee中各个属性含义如下:eno——职工号,name姓名,sex——性别,age——年龄,position——职称,duty——职务,depno——部门号,phone——电话。
当该表中的某个职工或者某几个职工的信息是敏感数据,需要保护时,可以通过视图机制来实现,例如职务为“院长”的职工的信息需要保护,不想为一般用户看到或访问,我们就可以这样来建立视图:
CREATEVIEWemp_notdeanAS
SELECT*
FROMemployee
WHEREduty!=‘院长’
这样加工处理后,职务为“院长”的职工的基本信息将不会出现,从而起到保密的作用。
4数据加密
数据加密是确保计算机网络安全的一种重要机制,可以避免因为雇员失误造成的损失,或者区域法律造成的麻烦。加密的基本功能包括防止不速之客查看机密的数据文件;防止机密数据被泄露或篡改;防止特权用户(如系统管理员)查看私人数据文件;使入侵者不能轻易地查找一个系统的文件。如果只有你自己有密钥,那么只有你有资格访问你的文件[6]。加密防护作用于数据本身,对存储和传输的数据进行加密处理,从而使得不知道解密算法的人无法知道数据的内容。数据加密是指将明文信息(Plaintext)采取数学方法进行函数转换成密文。明文(Plaintext)是加密前的原始信息。密文(Ciphertext)是明文被加密后的信息。密钥(Key)是控制加密算法和解密算法得以实现的关键信息,分为加密密钥和解密密钥[5,9]。
将密文还原为原始明文的过程称为解密,它是加密的反向处理,但解密者必须利用相同类型的加密设备和密钥对密文进行解密[3]。由于算法正趋向多样化、个人化,使得那些想要通过加密算法来控制全球数据流的想法很难得以实现,通过这样的途径,可以达到保护数据不被非法用户窃取、访问的目的[1]。
5安全审计
作为数据库安全的重要的补充手段,审计方式是安全的数据库系统不可缺少的一部分,按照TDI/TCSEC标准中安全策略的要求,审计就是DBMS达到C2以上安全级别必不可少的一项指标。安全审计技术是入侵检测技术的前身,通过分析事件记录检测并调查试图或已突破系统安全屏障的非法行为和事件。审计功能把用户对数据库的所有操作自动记录下来放入审计日志中。安全审计可以为SA提供系统运行的统计日志,并根据日志记录的数据分析网络或系统的安全隐患,输出安全性分析报告,安全审计可以帮助SA发现系统性能上的不足或需要改进与加强的地方。安全审计系统是防范、发现和追查网络与计算机犯罪活动的强大而有力的工具,从而对潜在的外部入侵以及内部人员的恶意行为产生巨大的震慑以及警示作用[3]。DBA可以利用审计跟踪得到的日志记录,重现导致数据库现有状况的一系列事件,并可以寻找到非法存取数据的人、时间和内容等[4]。
6防火墙
近年来内联网发展非常迅速,它是采用因特网技术建立的支持企业或机关内部业务流程和信息交流的一种综合信息系统。为了确保内联网的安全,通常采用把企业或机关的内联网与外部的因特网“隔离”开的技术,这种技术称为防火墙。防火墙主要是一种用来加强网络之间控制、避免不法分子通过网络进入计算机内部的保护技术,对计算机网络起了基础保护作用[7]。防火墙具有“阻止”和“允许”两个功能。“阻止”是防火墙的主要功能,意即阻止某种类型的通信量通过防火墙。“允许”的功能恰好与“阻止”相反。因此,防火墙必须具有识别通信量的各种类型的本领。不过,要绝对阻止不希望的通信是很难做到的,但只要正确地使用防火墙就可将风险降低到可接受的程度。想要构筑网络系统的安全体系,必须将防火墙和其他技术手段以及网络管理等综合起来进行考虑。如何增强网络安全性是一个需要综合考虑各种因素的极其复杂的问题。
7数字水印
数字水印是一种将可识别的数据嵌入到数字作品中的技术,用人类感觉器官(如眼、耳)无法识别,而使用专门的检测软件则可以方便地识别。数字水印是数字内容的唯一标识,即使数字内容经过拷贝、编辑处理、压缩/解压缩、加密/解密或广播等操作,数字水印仍能保持不变,同时数字水印的存在对数字作品质量没有影响。正是由于数字水印的这些特点,它已经成为数字媒体版权保护的重要手段之一[1,8]。
如何增强数据库安全性是一个需要综合考虑各种因素的极其复杂的问题,它的涉及面广、问题复杂,需要大量学者投入大量的时间、精力为之不懈努力。该问题的研究对于解决云用户和云服务商之间的矛盾与纠纷以及防止重大泄密事故的发生等方面将发挥重大作用。在云技术飞速发展的今天,云安全机制也迫切地需要大力发展,只有这样,人们才可以更快更好地进入云端,更好地保护数据、保护机密与隐私[1,9]。
教育期刊网 http://www.jyqkw.com
参考文献:
[1]凃云杰.云背景下数据库安全性与数据库完整性研究[M].中国水利水电出版社,2014,10.
[2]凃云杰.云背景下的数据库安全性分析与策略研究[J].软件导刊,2014(8).
[3]周世杰,陈伟,罗绪成.计算机系统与网络安全技术[M].高等教育出版社,2011,8.
[4]王珊,萨师煊.数据库系统概论[M].北京:高等教育出版社,2014.
[5]王晓英.数据加密基本方法[J].赤峰学院学报,2010,7.
[6]武新华,周义德.深入剖析加密解密[M].西安电子科技大学出版社,2004,7.
[7]程皓.计算机网络信息安全及防护策略研究[J].信息与电脑,2013,11.
[8]王颖俊,王蕴红.数字水印原理与技术[M].科学出版社,2007,3.
[9]凃云杰.基于Hadoop和双密钥的云计算数据安全存储策略设计[J].计算机测量与控制,2014,8.