真实的国产乱ⅩXXX66竹夫人,五月香六月婷婷激情综合,亚洲日本VA一区二区三区,亚洲精品一区二区三区麻豆

成都創(chuàng)新互聯(lián)網(wǎng)站制作重慶分公司

db服務器安全 什么是db服務器

請簡述一個具體的DBMS安全措施

數(shù)據(jù)庫系統(tǒng)的安全除依賴自身內(nèi)部的安全機制外,還與外部網(wǎng)絡環(huán)境、應用環(huán)境、從業(yè)人員素質(zhì)等因素息息相關(guān),因此,從廣義上講,數(shù)據(jù)庫系統(tǒng)的安全框架可以劃分為三個層次:

創(chuàng)新互聯(lián)公司堅持“要么做到,要么別承諾”的工作理念,服務領域包括:網(wǎng)站建設、成都網(wǎng)站設計、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣等服務,滿足客戶于互聯(lián)網(wǎng)時代的鄂爾多斯網(wǎng)站設計、移動媒體設計的需求,幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡建設合作伙伴!

⑴ 網(wǎng)絡系統(tǒng)層次;

⑵ 宿主操作系統(tǒng)層次;

⑶ 數(shù)據(jù)庫管理系統(tǒng)層次。

這三個層次構(gòu)筑成數(shù)據(jù)庫系統(tǒng)的安全體系,與數(shù)據(jù)安全的關(guān)系是逐步緊密的,防范的重要性也逐層加強,從外到內(nèi)、由表及里保證數(shù)據(jù)的安全。下面就安全框架的三個層次展開論述。

2. 網(wǎng)絡系統(tǒng)層次安全技術(shù)

從廣義上講,數(shù)據(jù)庫的安全首先倚賴于網(wǎng)絡系統(tǒng)。隨著Internet的發(fā)展普及,越來越多的公司將其核心業(yè)務向互聯(lián)網(wǎng)轉(zhuǎn)移,各種基于網(wǎng)絡的數(shù)據(jù)庫應用系統(tǒng)如雨后春筍般涌現(xiàn)出來,面向網(wǎng)絡用戶提供各種信息服務??梢哉f網(wǎng)絡系統(tǒng)是數(shù)據(jù)庫應用的外部環(huán)境和基礎,數(shù)據(jù)庫系統(tǒng)要發(fā)揮其強大作用離不開網(wǎng)絡系統(tǒng)的支持,數(shù)據(jù)庫系統(tǒng)的用戶(如異地用戶、分布式用戶)也要通過網(wǎng)絡才能訪問數(shù)據(jù)庫的數(shù)據(jù)。網(wǎng)絡系統(tǒng)的安全是數(shù)據(jù)庫安全的第一道屏障,外部入侵首先就是從入侵網(wǎng)絡系統(tǒng)開始的。網(wǎng)絡入侵試圖破壞信息系統(tǒng)的完整性、機密性或可信任的任何網(wǎng)絡活動的集合,具有以下特點:

a)沒有地域和時間的限制,跨越國界的攻擊就如同在現(xiàn)場一樣方便;

b)通過網(wǎng)絡的攻擊往往混雜在大量正常的網(wǎng)絡活動之中,隱蔽性強;

c)入侵手段更加隱蔽和復雜。

計算機網(wǎng)絡系統(tǒng)開放式環(huán)境面臨的威脅主要有以下幾種類型:a)欺騙(Masquerade);b)重發(fā)(Replay);c)報文修改(Modification of message);d)拒絕服務(Deny of service);e)陷阱門(Trapdoor);f)特洛伊木馬(Trojan horse);g)攻擊如透納攻擊(Tunneling Attack)、應用軟件攻擊等。這些安全威脅是無時、無處不在的,因此必須采取有效的措施來保障系統(tǒng)的安全。

從技術(shù)角度講,網(wǎng)絡系統(tǒng)層次的安全防范技術(shù)有很多種,大致可以分為防火墻、入侵檢測、協(xié)作式入侵檢測技術(shù)等。

⑴防火墻。防火墻是應用最廣的一種防范技術(shù)。作為系統(tǒng)的第一道防線,其主要作用是監(jiān)控可信任網(wǎng)絡和不可信任網(wǎng)絡之間的訪問通道,可在內(nèi)部與外部網(wǎng)絡之間形成一道防護屏障,攔截來自外部的非法訪問并阻止內(nèi)部信息的外泄,但它無法阻攔來自網(wǎng)絡內(nèi)部的非法操作。它根據(jù)事先設定的規(guī)則來確定是否攔截信息流的進出,但無法動態(tài)識別或自適應地調(diào)整規(guī)則,因而其智能化程度很有限。防火墻技術(shù)主要有三種:數(shù)據(jù)包過濾器(packet filter)、代理(proxy)和狀態(tài)分析(stateful inspection)?,F(xiàn)代防火墻產(chǎn)品通?;旌鲜褂眠@幾種技術(shù)。

⑵入侵檢測。入侵檢測(IDS-- Instrusion Detection System)是近年來發(fā)展起來的一種防范技術(shù),綜合采用了統(tǒng)計技術(shù)、規(guī)則方法、網(wǎng)絡通信技術(shù)、人工智能、密碼學、推理等技術(shù)和方法,其作用是監(jiān)控網(wǎng)絡和計算機系統(tǒng)是否出現(xiàn)被入侵或濫用的征兆。1987年,Derothy Denning首次提出了一種檢測入侵的思想,經(jīng)過不斷發(fā)展和完善,作為監(jiān)控和識別攻擊的標準解決方案,IDS系統(tǒng)已經(jīng)成為安全防御系統(tǒng)的重要組成部分。

入侵檢測采用的分析技術(shù)可分為三大類:簽名、統(tǒng)計和數(shù)據(jù)完整性分析法。

①簽名分析法。主要用來監(jiān)測對系統(tǒng)的已知弱點進行攻擊的行為。人們從攻擊模式中歸納出它的簽名,編寫到IDS系統(tǒng)的代碼里。簽名分析實際上是一種模板匹配操作。

②統(tǒng)計分析法。以統(tǒng)計學為理論基礎,以系統(tǒng)正常使用情況下觀察到的動作模式為依據(jù)來判別某個動作是否偏離了正常軌道。

③數(shù)據(jù)完整性分析法。以密碼學為理論基礎,可以查證文件或者對象是否被別人修改過。

IDS的種類包括基于網(wǎng)絡和基于主機的入侵監(jiān)測系統(tǒng)、基于特征的和基于非正常的入侵監(jiān)測系統(tǒng)、實時和非實時的入侵監(jiān)測系統(tǒng)等。

⑶協(xié)作式入侵監(jiān)測技術(shù)

獨立的入侵監(jiān)測系統(tǒng)不能夠?qū)V泛發(fā)生的各種入侵活動都做出有效的監(jiān)測和反應,為了彌補獨立運作的不足,人們提出了協(xié)作式入侵監(jiān)測系統(tǒng)的想法。在協(xié)作式入侵監(jiān)測系統(tǒng)中,IDS基于一種統(tǒng)一的規(guī)范,入侵監(jiān)測組件之間自動地交換信息,并且通過信息的交換得到了對入侵的有效監(jiān)測,可以應用于不同的網(wǎng)絡環(huán)境。

3. 宿主操作系統(tǒng)層次安全技術(shù)

操作系統(tǒng)是大型數(shù)據(jù)庫系統(tǒng)的運行平臺,為數(shù)據(jù)庫系統(tǒng)提供一定程度的安全保護。目前操作系統(tǒng)平臺大多數(shù)集中在Windows NT 和Unix,安全級別通常為C1、C2級。主要安全技術(shù)有操作系統(tǒng)安全策略、安全管理策略、數(shù)據(jù)安全等方面。

操作系統(tǒng)安全策略用于配置本地計算機的安全設置,包括密碼策略、賬戶鎖定策略、審核策略、IP安全策略、用戶權(quán)利指派、加密數(shù)據(jù)的恢復代理以及其它安全選項[7]。具體可以體現(xiàn)在用戶賬戶、口令、訪問權(quán)限、審計等方面。

用戶賬戶:用戶訪問系統(tǒng)的"身份證",只有合法用戶才有賬戶。

口令:用戶的口令為用戶訪問系統(tǒng)提供一道驗證。

訪問權(quán)限:規(guī)定用戶的權(quán)限。

審計:對用戶的行為進行跟蹤和記錄,便于系統(tǒng)管理員分析系統(tǒng)的訪問情況以及事后的追查使用。

安全管理策略是指網(wǎng)絡管理員對系統(tǒng)實施安全管理所采取的方法及策略。針對不同的操作系統(tǒng)、網(wǎng)絡環(huán)境需要采取的安全管理策略一般也不盡相同,其核心是保證服務器的安全和分配好各類用戶的權(quán)限。

數(shù)據(jù)安全主要體現(xiàn)在以下幾個方面:數(shù)據(jù)加密技術(shù)、數(shù)據(jù)備份、數(shù)據(jù)存儲的安全性、數(shù)據(jù)傳輸?shù)陌踩缘?。可以采用的技術(shù)很多,主要有Kerberos認證、IPSec、SSL、TLS、VPN(PPTP、L2TP)等技術(shù)。

4. 數(shù)據(jù)庫管理系統(tǒng)層次安全技術(shù)

數(shù)據(jù)庫系統(tǒng)的安全性很大程度上依賴于數(shù)據(jù)庫管理系統(tǒng)。如果數(shù)據(jù)庫管理系統(tǒng)安全機制非常強大,則數(shù)據(jù)庫系統(tǒng)的安全性能就較好。目前市場上流行的是關(guān)系式數(shù)據(jù)庫管理系統(tǒng),其安全性功能很弱,這就導致數(shù)據(jù)庫系統(tǒng)的安全性存在一定的威脅。

由于數(shù)據(jù)庫系統(tǒng)在操作系統(tǒng)下都是以文件形式進行管理的,因此入侵者可以直接利用操作系統(tǒng)的漏洞竊取數(shù)據(jù)庫文件,或者直接利用OS工具來非法偽造、篡改數(shù)據(jù)庫文件內(nèi)容。這種隱患一般數(shù)據(jù)庫用戶難以察覺,分析和堵塞這種漏洞被認為是B2級的安全技術(shù)措施。

數(shù)據(jù)庫管理系統(tǒng)層次安全技術(shù)主要是用來解決這一問題,即當前面兩個層次已經(jīng)被突破的情況下仍能保障數(shù)據(jù)庫數(shù)據(jù)的安全,這就要求數(shù)據(jù)庫管理系統(tǒng)必須有一套強有力的安全機制。解決這一問題的有效方法之一是數(shù)據(jù)庫管理系統(tǒng)對數(shù)據(jù)庫文件進行加密處理,使得即使數(shù)據(jù)不幸泄露或者丟失,也難以被人破譯和閱讀。

我們可以考慮在三個不同層次實現(xiàn)對數(shù)據(jù)庫數(shù)據(jù)的加密,這三個層次分別是OS層、DBMS內(nèi)核層和DBMS外層。

⑴在OS層加密。在OS層無法辨認數(shù)據(jù)庫文件中的數(shù)據(jù)關(guān)系,從而無法產(chǎn)生合理的密鑰,對密鑰合理的管理和使用也很難。所以,對大型數(shù)據(jù)庫來說,在OS層對數(shù)據(jù)庫文件進行加密很難實現(xiàn)。

⑵在DBMS內(nèi)核層實現(xiàn)加密。這種加密是指數(shù)據(jù)在物理存取之前完成加/脫密工作。這種加密方式的優(yōu)點是加密功能強,并且加密功能幾乎不會影響DBMS的功能,可以實現(xiàn)加密功能與數(shù)據(jù)庫管理系統(tǒng)之間的無縫耦合。其缺點是加密運算在服務器端進行,加重了服務器的負載,而且DBMS和加密器之間的接口需要DBMS開發(fā)商的支持。

定義加密要求工具

DBMS

數(shù)據(jù)庫應用系統(tǒng)

加密器

(軟件或硬件)

⑶在DBMS外層實現(xiàn)加密。比較實際的做法是將數(shù)據(jù)庫加密系統(tǒng)做成DBMS的一個外層工具,根據(jù)加密要求自動完成對數(shù)據(jù)庫數(shù)據(jù)的加/脫密處理:

定義加密要求工具加密器

(軟件或硬件)

DBMS

數(shù)據(jù)庫應用系統(tǒng)

采用這種加密方式進行加密,加/脫密運算可在客戶端進行,它的優(yōu)點是不會加重數(shù)據(jù)庫服務器的負載并且可以實現(xiàn)網(wǎng)上傳輸?shù)募用?,缺點是加密功能會受到一些限制,與數(shù)據(jù)庫管理系統(tǒng)之間的耦合性稍差。

下面我們進一步解釋在DBMS外層實現(xiàn)加密功能的原理:

數(shù)據(jù)庫加密系統(tǒng)分成兩個功能獨立的主要部件:一個是加密字典管理程序,另一個是數(shù)據(jù)庫加/脫密引擎。數(shù)據(jù)庫加密系統(tǒng)將用戶對數(shù)據(jù)庫信息具體的加密要求以及基礎信息保存在加密字典中,通過調(diào)用數(shù)據(jù)加/脫密引擎實現(xiàn)對數(shù)據(jù)庫表的加密、脫密及數(shù)據(jù)轉(zhuǎn)換等功能。數(shù)據(jù)庫信息的加/脫密處理是在后臺完成的,對數(shù)據(jù)庫服務器是透明的。

加密字典管理程序

加密系統(tǒng)

應用程序

數(shù)據(jù)庫加脫密引擎

數(shù)據(jù)庫服務器

加密字典

用戶數(shù)據(jù)

按以上方式實現(xiàn)的數(shù)據(jù)庫加密系統(tǒng)具有很多優(yōu)點:首先,系統(tǒng)對數(shù)據(jù)庫的最終用戶是完全透明的,管理員可以根據(jù)需要進行明文和密文的轉(zhuǎn)換工作;其次,加密系統(tǒng)完全獨立于數(shù)據(jù)庫應用系統(tǒng),無須改動數(shù)據(jù)庫應用系統(tǒng)就能實現(xiàn)數(shù)據(jù)加密功能;第三,加解密處理在客戶端進行,不會影響數(shù)據(jù)庫服務器的效率。

數(shù)據(jù)庫加/脫密引擎是數(shù)據(jù)庫加密系統(tǒng)的核心部件,它位于應用程序與數(shù)據(jù)庫服務器之間,負責在后臺完成數(shù)據(jù)庫信息的加/脫密處理,對應用開發(fā)人員和操作人員來說是透明的。數(shù)據(jù)加/脫密引擎沒有操作界面,在需要時由操作系統(tǒng)自動加載并駐留在內(nèi)存中,通過內(nèi)部接口與加密字典管理程序和用戶應用程序通訊。數(shù)據(jù)庫加/脫密引擎由三大模塊組成:加/脫密處理模塊、用戶接口模塊和數(shù)據(jù)庫接口模塊,如圖4所示。其中,"數(shù)據(jù)庫接口模塊"的主要工作是接受用戶的操作請求,并傳遞給"加/脫密處理模塊",此外還要代替"加/脫密處理模塊"去訪問數(shù)據(jù)庫服務器,并完成外部接口參數(shù)與加/脫密引擎內(nèi)部數(shù)據(jù)結(jié)構(gòu)之間的轉(zhuǎn)換。"加/脫密處理模塊"完成數(shù)據(jù)庫加/脫密引擎的初始化、內(nèi)部專用命令的處理、加密字典信息的檢索、加密字典緩沖區(qū)的管理、SQL命令的加密變換、查詢結(jié)果的脫密處理以及加脫密算法實現(xiàn)等功能,另外還包括一些公用的輔助函數(shù)。

數(shù)據(jù)加/脫密處理的主要流程如下:

1) 對SQL命令進行語法分析,如果語法正確,轉(zhuǎn)下一步;如不正確,則轉(zhuǎn)6),直接將SQL命令交數(shù)據(jù)庫服務器處理。

2) 是否為數(shù)據(jù)庫加/脫密引擎的內(nèi)部控制命令?如果是,則處理內(nèi)部控制命令,然后轉(zhuǎn)7);如果不是則轉(zhuǎn)下一步。

3) 檢查數(shù)據(jù)庫加/脫密引擎是否處于關(guān)閉狀態(tài)或SQL命令是否只需要編譯?如果是則轉(zhuǎn)6),否則轉(zhuǎn)下一步。

4) 檢索加密字典,根據(jù)加密定義對SQL命令進行加脫密語義分析。

5) SQL命令是否需要加密處理?如果是,則將SQL命令進行加密變換,替換原SQL命令,然后轉(zhuǎn)下一步;否則直接轉(zhuǎn)下一步。

6) 將SQL命令轉(zhuǎn)送數(shù)據(jù)庫服務器處理。

7) SQL命令執(zhí)行完畢,清除SQL命令緩沖區(qū)。

以上以一個例子說明了在DBMS外層實現(xiàn)加密功能的原理。

一臺web服務器和一臺db服務器可以兩套系統(tǒng)裝到一臺服務器上嗎?

理論可以,但要考慮一些問題,像是性能問題,服務器的性能要可以承載瞬時高并發(fā)訪問,內(nèi)存充足,像是mysql一類的程序可能會因為內(nèi)存占用過高而停止運行,像是安全問題,web服務通常是要對外開放的,如果沒有web防火墻或者頁面或服務器本身存在漏洞的話使服務遭到入侵,會影響數(shù)據(jù)庫的安全。

其實這個問題最直接的回答就是可以,個人的網(wǎng)站出于資金問題可以放在一起,企業(yè)的話實在沒有條件放在一起也行,但一定要做好安全防護,但如果有條件還是應該做到站庫分離。插一句,站庫分離一定要考慮好兩臺服務器之間的延時問題。

什么叫DB服務器

服務器(Server)指一個管理資源并為用戶提供服務的計算機軟件,通常分為文件服務器、數(shù)據(jù)庫服務器和應用程序服務器。運行以上軟件的計算機或計算機系統(tǒng)也被稱為服務器。相對于普通PC來說,服務器在穩(wěn)定性、安全性、性能等方面都要求更高,因為CPU、芯片組、內(nèi)存、磁盤系統(tǒng)、網(wǎng)絡等硬件和普通PC有所不同。


網(wǎng)站名稱:db服務器安全 什么是db服務器
本文路徑:http://weahome.cn/article/dogjcgo.html

其他資訊

在線咨詢

微信咨詢

電話咨詢

028-86922220(工作日)

18980820575(7×24)

提交需求

返回頂部