從廣義上講,數據庫的安全首先倚賴於網絡係統。隨着internet的發展普及,越來越多的公司將其核心業務嚮互聯網轉移,各種基於網絡的數據庫應用係統如雨後春筍般涌現出來,面嚮網絡用戶提供各種信息服務。可以說網絡係統是數據庫應用的外部環境和基礎,數據庫係統要發揮其強大作用離不開網絡係統的支持,數據庫係統的用戶(如異地用戶、分佈式用戶)也要通過網絡才能訪問數據庫的數據。網絡係統的安全是數據庫安全的第一道屏障,外部入侵首先就是從入侵網絡係統開始的。網絡入侵試圖破壞信息係統的完整性、機密性或可信任的任何網絡活動的集合,具有以下特點:
a)沒有地域和時間的限製,跨越國界的攻擊就如同在現場一樣方便;
b)通過網絡的攻擊往往混雜在大量正常的網絡活動之中,隱蔽性強;
c)入侵手段更加隱蔽和復雜。
計算機網絡係統開放式環境面臨的威脅主要有以下幾種類型:a)欺騙(masquerade);b)重發(replay);c)報文修改(modification of message);d)拒絶服務(deny of service);e)陷阱門(trapdoor);f)特洛伊木馬(trojan horse);g)攻擊如透納攻擊(tunneling attack)、應用軟件攻擊等。這些安全威脅是無時、無處不在的,因此必須采取有效的措施來保障係統的安全。
從技術角度講,網絡係統層次的安全防範技術有很多種,大致可以分為防火墻、入侵檢測、協作式入侵檢測技術等。
⑴防火墻。防火墻是應用最廣的一種防範技術。作為係統的第一道防綫,其主要作用是監控可信任網絡和不可信任網絡之間的訪問通道,可在內部與外部網絡之間形成一道防護屏障,攔截來自外部的非法訪問並阻止內部信息的外泄,但它無法阻攔來自網絡內部的非法操作。它根據事先設定的規則來確定是否攔截信息流的進出,但無法動態識別或自適應地調整規則,因而其智能化程度很有限。防火墻技術主要有三種:數據包過濾器(packet filter)、代理(proxy)和狀態分析(stateful inspection)。現代防火墻産品通常混合使用這幾種技術。
⑵入侵檢測。入侵檢測(ids-- instrusion detection system)是近年來發展起來的一種防範技術,綜合采用了統計技術、規則方法、網絡通信技術、人工智能、密碼學、推理等技術和方法,其作用是監控網絡和計算機係統是否出現被入侵或濫用的徵兆。1987年,derothy denning首次提出了一種檢測入侵的思想,經過不斷發展和完善,作為監控和識別攻擊的標準解决方案,ids係統已經成為安全防禦係統的重要組成部分。
入侵檢測采用的分析技術可分為三大類:簽名、統計和數據完整性分析法。
①簽名分析法。主要用來監測對係統的已知弱點進行攻擊的行為。人們從攻擊模式中歸納出它的簽名,編寫到ids係統的代碼裏。簽名分析實際上是一種模板匹配操作。
②統計分析法。以統計學為理論基礎,以係統正常使用情況下觀察到的動作模式為依據來判別某個動作是否偏離了正常軌道。
③數據完整性分析法。以密碼學為理論基礎,可以查證文件或者對象是否被別人修改過。
ids的種類包括基於網絡和基於主機的入侵監測係統、基於特徵的和基於非正常的入侵監測係統、實時和非實時的入侵監測係統等。
⑶協作式入侵監測技術
獨立的入侵監測係統不能夠對廣泛發生的各種入侵活動都做出有效的監測和反應,為了彌補獨立運作的不足,人們提出了協作式入侵監測係統的想法。在協作式入侵監測係統中,ids基於一種統一的規範,入侵監測組件之間自動地交換信息,並且通過信息的交換得到了對入侵的有效監測,可以應用於不同的網絡環境。 |
|
|