《《信息安全作业》word版》由会员分享,可在线阅读,更多相关《《信息安全作业》word版(15页珍藏版)》请在金锄头文库上搜索。
1、1 / 15 本科本科课课程程设计设计 题目:数据库信息安全题目:数据库信息安全 姓姓 名:名: 刘刘 方方 学学 号:号: 0821215212908212152129 专专 业:业: 信息管理与信息系统信息管理与信息系统 院院 系:系: 信息工程学院信息工程学院 实习单位:实习单位: 安徽新华学院安徽新华学院 完成时间:完成时间: 20112011 年年 1111 月月 1 1 日日 安徽新华学院教务处制 目 录 摘 要.IIII 1 数据库信息安全概述.1 1 1.1 数据库信息安全的定义.1 1.2 数据库信息安全的特征.1 1.3 数据库信息不安全的因素.2 2 数据库加密技术.2
2、2 2.1 数据库加密的重要性.2 2.2 数据库加密的范围.3 2.2.1 数据库不能加密的范围.3 2.2.2 数据库能加密的范围.3 2.3 数据库加密的方式.3 2.4 数据库加密层次.4 2.4.1 OS 中加密.4 2.4.2 DBMS 内核层加密.5 2.4.3 DBMS 外层加密.5 3 3 SQL SERVER 数据库加密技术的应用.6 3.1 SQL SERVER 数据库系统安全访问控制.6 3.2 BLP 模型.6 3.3 SQL SERVER 2005 中加密/脱密技术的举例.7 总 结.8 参考文献.8 摘摘 要要 随着IT行业的迅速发展,数据库的应用已经深入到各个领
3、域以及企业,特 别是在国防、金融、军事等方面得到了广泛应用,但随之而来产生的数据库信 息安全问题一直是数据库管理的一个重要问题,数据库数据的丢失以及数据库 被非法用户的侵入使得数据库管理员身心疲惫不堪。因此,如何有效的运用数据 库加密技术,保证数据库系统的安全, 实现数据的保密性、完整性和有效性等 数据库安全技术便成为了一个必须重视的问题。 关键词:数据库;信息安全;加密技术; AbstractAbstract Along with the IT industrys rapid development, database application already penetrated into
4、all fields and enterprises, especially in the defense, financial, military and other areas has been widely used, but the resulting database information security is always an important problem in database management, database of data loss, and unauthorized users of the intrusion database is the datab
5、ase administrator and terribly fatigued.Therefore,how to effectively use the database encryption technology,ensure the database system security,data confidentiality,integrity and availability of database security technology has become a problem that must take seriously. Key words: database; informat
6、ion security; encryption technology; 1 1 数据库信息安全概述 1.11.1 数据库信息安全的定义 数据库安全包含两层含义:第一层是指系统运行安全,系统运行安全通常受 到的威胁如下,一些网络不法分子通过网络,局域网等途径通过入侵电脑使系 统无法正常启动,或超负荷让机子运行大量算法,并关闭 cpu 风扇,使 cpu 过 热烧坏等破坏性活动;第二层是指系统信息安全,系统安全通常受到的威胁如 下,黑客对数据库入侵,并盗取想要的资料。目前所指的信息安全的定义大部 分是指第二层的含义。 1.21.2 数据库信息安全的特征 数据库系统的安全特性主要是针对数据而言的,包
7、括数据独立性、数据安 全性、数据完整性、并发控制、故障恢复等几个方面。 、数据的独立性:数据独立性包括物理独立性和逻辑独立性两个方面。 物理独立性是指用户的应用程序与存储在磁盘上的数据库中的数据是相互独立 的;逻辑独立性是指用户的应用程序与数据库的逻辑结构是相互独立的。 、数据的完整性:数据完整性包括数据的正确性、有效性和一致性。正 确性是指数据的输入值与数据表对应域的类型一样;有效性是指数据库中的理 论数值满足现实应用中对该数值 段的约束;一致性是指不同用户使用的同一数 据应该是一样的。保证数据的完整性,需要防止合法用户使用数据库时向数据 库中加入不合语义的数据。 、数据的并发控制:如果数据
8、库应用要实现多用户共享数据,就可能在 同一时刻多个用户要存取数据,这种事件叫做并发事件。当一个用户取出数据 进行修改,在修改存入数据库之前 如有其它用户再取此数据,那么读出的数据 就是不正确的。这时就需要对这种并发操作施行控制,排除和避免这种错误的 发生,保证数据的正确性。 、数据的故障恢复:由数据库管理系统提供一套方法,可及时发现故障 和修复故障,从而防止数据被破坏。数据库系统能尽快恢复数据库系统运行时 出现的故障,可能是物理上或是逻辑上的错误。比如对系统的误操作造成的数 据错误等。 1.31.3 数据库信息不安全的因素 、外部因素:主要是人为造成的,一些公司或企业没有专门的数据库服 务器,
9、就将数据库放在普通计算机里或和其他服务器混用,这样就增加了不安 全因素。还有一些人安全意识淡薄,把数据库服务器当作一般的计算机使用, 在数据库服务器上上网、聊天、打游戏等,或者把优盘、手机、移动硬盘等插 在数据库服务器上使用,这样又给病毒、黑客造了机会,大大增加了数据库信 息的不安全性。 、数据库系统内部因素:虽然绝大多数常用的数据库系统已经存在了十 多年之久,并且功能强大,产品非常成熟,但许多应该具有的特征,在操作系 统和现在普遍使用的数据库系统中,并没有提供,特别是那些重要的安全特征, 绝大多数数据库系统并不够成熟。 、用户因素:用户的风险主要表现在用户帐号安全性和对特定数据库数 据的访问
10、操作权限。主要表现在用户密码长度不够或过于简单、对重要数据的 非法访问以及窃取数据库内容等恶意行动。 2 数据库加密技术 2.12.1 数据库加密的重要性 目前很多公司、企事业单位的计算机网络采用的是Windows NT、linux、Unix操作系统,这些操作系统具有用户授权、任意存取控制、审计 安全等功能。虽然数据库管理系统(DBMS)在操作系统的基础上又增加了权限访 问控制等安全措施,但是数据库中的数据并不安全。首先网络黑客会直接利用 操作系统工具窃取甚至修改数据库系统中的数据;其次数据库的管理员可以利 用自身的权限,任意查询数据库信息。对数据库进行加密,是防范数据遭到窃 取和修改的有效手
11、段。 2.22.2 数据库加密的范围 数据库管理系统要完成对数据库文件的管理和使用,必须对明文进行复杂 的加密操作,也就是说经过加密的数据经得起来自OS和DBMS的攻击。DBMS要完 成对数据库文件的管理和使用,必须能够识别部分数据的条件。因此,只能对 数据库中的数据进行部分加密。 2.2.12.2.1 数据库不能加密的范围 、索引字段不能加密。为了达到迅速查询的目的,数据库文件需要建立 一些索引,索引的建立和应用必须是明文状态,否则将失去索引的作用。 、关系运算的比较字段不能加密。数据库管理系统要组织和完成关系运 算,参加并、差、积、商、选择和连接等操作的数据项必须是明文,否则数据 库管理系
12、统将无法进行比较筛选。 、表间的连接码字段不能加密。数据模型规范化以后,数据库表之间存 在着密切的联系,这种相关性往往是通过“外码”联系的,这些外码若加密就 无法进行表与表之间的连接运算。 2.2.22.2.2 数据库能加密的范围 目前条件下,加解密的粒度是每个记录的字段数据。如果以文件或记录为 单位进行加密,必然会形成密钥的反复使用,从而降低加密系统的可靠性或者 因加解密时间过长而无法使用。只有以记录的字段数据为单位进行加解密,才 能适应数据库操作,同时进行有效的密钥管理并完成“一次一密”的密码操作。 2.32.3 数据库加密的方式 数据库的加密方式很多,可以是软件加密,也可以是硬件加密。软
13、件加密 可以采用库外加密,也可以采用库内加密。 、库外加密。库外加密方式即采用文件加密的方法,它把数据库作为一 个文件,把每一个数据块当作文件的一个记录进行加密,文件系统与数据库管 理系统交换的就是块号。库外加密方法比较简单,密钥管理也相对简单。 、库内加密。库内加密按加密的方式,可以进行记录加密,也可以进行 字段加密,还可以对数据元素进行加密。记录加密方式,实质上是把数据库的 每行作为一个文件来进行加密。此时,每一个记录必须有一个密钥与之匹配。 因此,产生和管理记录密钥比较复杂。字段加密方式,就是把一个数据库的每 一列作为一个文件来进行加密。此时,每一个字段必须有一个密钥与之匹配。 它的缺点
14、与记录加密相同,密钥的产生和管理比较复杂。数据元素加密方式即 将每个元素当作一个文件进行加密。数据元素是数据库加密的最小粒度。这种 加密方式具有更好的灵活性和适应性,完全支持数据库的各种功能(如记录、数 据项查询、修改)。它把每个数据元素看作一个文件进行加密,每个被加密的元 素有一个与之对应的加密密钥。由于它的加密粒度小,因此加密效率低,而且 元素密钥的产生和管理比记录加密方式和字段加密方式还要复杂。 、硬件加密。硬件加密是在物理存储器(磁盘)与数据库系统之间加一硬 件装置,使之与实际的数据库系统脱离。这种方式首先要求数据库应保存在专 一磁盘上,并且对控制信息不加密,而只对数据加密。 2.42
15、.4 数据库加密层次 对数据库文件进行加密处理是通过数据库安全保密中间件对数据库进行加 密,可以考虑在三个不同层次实现,这三个层次分别是操作系统层、数据库管 理系统内核层和数据库管理系统外层。 2.4.12.4.1 OS 中加密 在系统中无法辨认数据库文件中的数据关系,将数据先在内存中进行加密, 然后文件系统把每次加密后的内存数据写入到数据库文件中去,读入时再逆方 向进行解密。这种加密方法相对简单,只要妥善管理密钥就可以了;缺点是对 数据库的读写都比较麻烦,每次都要进行加解密的工作,对程序的编写和读写 数据库的速度都会有影响。由于在操作系统层无法辨认数据库文件中的数据关 系,从而无法产生合理的
16、密钥,对密钥合理的管理和使用也很难。所以,对于 大型数据库来说,在操作系统层对数据库文件进行加密很难实现。 2.4.22.4.2 DBMS 内核层加密 在数据库管理系统内核层对数据库文件加密,是指数据在物理存取之前完 成加密、解密工作。这种加密方式的加密功能强且加密功能几乎不影响数据库 管理系统的功能:但其是在服务器端进行加密、解密工作,加重了数据库服务 器的负载。如图3.1所示。 图3.1 DBMS内核层加密关系图 2.4.32.4.3 DBMS 外层加密 在DBMS外层实现加密是将数据库加密系统做成DBMS的一个外层工具,根据 加密要求自动完成对数据库数据的加解密处理。在数据库管理系统外层对数据 库文件加密,是将数据库加密系统做成数据库管理系统的外层工具,根据加密 要求自动完成对数据库数据的加密、解密处理。这种加密方式中加密、解密运 算可以在客户端完成,可以减轻数据库服务器的负载并能实现网上传输加密, 但加密功能会受到一定限制。这样的设计可以有效地防止来自操作系统和DBMS 的攻击。但是,DBMS必须能够识别出部分数据,以便完成数据库文件的管理和 使用,这样加密系统必须有一定的限制
