论文部分内容阅读
【摘 要】随着互联网的发展,计算机给人们带来了很大方便,但是通过数据库在传输过程中,也有很大风险,受到多种威胁,本文简单介绍几种主要威胁以及应对办法。
【关键词】数据库 威胁 办法
一、计算机网络数据库安全概述
对数据库进行安全保护,可以有效避免用户非法越权使用、窃取、更改甚至破坏数据。数据库安全包括以下几点。
1. 逻辑完整性。保护数据库的整体结构,如对某个字段进行修改时,其他字段没有遭到破坏。
2. 物理完整性。数据不会受到自然及物理问题的破坏,如电力和设备故障等问题。
3. 元素安全性。数据库中存储的所有元素均正确。
4. 访问控制。明确只有通过授权的用户才可以访问数据库,可以通过不同方式限制不同用户的访问。
5. 可审计性。能够对数据库元素进行追踪存取与修改。
6. 可用性。授权用户可以对数据库进行自由访问。
7. 身份验证。审计追踪、访问数据库必须进行严格的身份验证。
二、计算机网络数据库存在的主要威胁
1. 数据库的下载。多数用户在使用 ASP 编写连接文件中,大都用语句“(conn.asp):<% ......db =“/admin/database/bxzcvmqhjwkry21ahfqweir.mdb”数据库文件具体位置 ......%>”对数据库进行保护。单从语句的连接上看是正确的,而且名称长度也很保险,下载者对数据库难以识别破解。但是如果通过暴库技术与相关工具,就可以快速定位具体数据库的各种情况,一般是用“% 5c”命令,虽然不能百分百成功暴库,但是出现暴库的几率非常高。在获取地址后通过IE输入,再下载到本地,就能够获得用户名及密码。
2. 注入 SQL。
互联网中,大多数是在设立防火墙后才布置WEB 服务器,只开放 80 端口,非法者无法入侵其他端口,因此,80 端口是他们入侵的目标,而常用方式是注入 SQL。有少数程序编制者在编写程序的代码时,忽略了对用户输入的数据正确性的辨别,使得应用程序面临很多威胁。在客户端对代码进行传输,收集处理程序与服务器数据信息,得到所需资料,这种操作被称为注入 SQL。注入 SQL 可以常规访问 80 端口,相当于普通 Web 页面进行访问,防火墙对注入 SQL 无法获取报警信息,如果管理员不能及时进行审核检查,几乎很难发现被入侵。
三、维护计算机网络数据库安全的主要解决办法
1. 严格查堵 URL 端漏洞。在审核用户使用数据库的情况时,若发现用户端在 URL 提交参数时,存在 exec,insert,delete,from,count,user,xp_cmdshell,add,asc(,char(,
drop,able,mid" 等用在注入 SQL 中的字符以及字符串,就必须立即禁止ASP的运行,而且会显示出如“出错提示”等报警信号,对于有接收的用户端在 URL 提交参数程序时用 <!--#includefile =“../*****.asp”--> 即可写入程序,该方法能够有效防止多数入侵者的入侵,同时还不会影响程序执行的速度;也可以在 if 语句中对注入 SQL 常用的字符、字符串进行设置,在特定的时间里拒绝 IP 访问,增强数据库安全,防止黑客非法入侵。
2. 严格查堵 form 和 cookies 漏洞。有些袭击者通过 form、cookies 提交含有“or”、“=”等字符入侵,为防止入侵,应该在编写程序时添加特殊字符,确保程序安全执行。可通过
paraname = Request.form()即 paraname = Request.Cookies()获取用户名与密码,再加入代码,如果在用户参数 paraname中发现空格、=、or 等字符时,应该终止 then 后面的执行情况,不再运行 ASP,以拦截入侵者入侵。
3. 增强自身安全。暴库是因为 IIS 服务器具体显示各执行错误的情况并中断执行时,把错误信息发送给了用户。为防止暴库,应该调整 IIS 默认设置。通常的防范措施是把数据库后缀名由 MDB 变为 ASP、ASA。虽然该方式可以防暴库,但随着计算机技术的发展,该方法已经无法满足最新防范的要求。后缀修改的 ASP、ASA 的数据库文件,黑客能够进行查找并确定具体存储位置,可以通过迅雷等下载获得。
4. 数据库名的前面加“#”。现在大部分的管理员在数据库名的前面加 # 号,可以有效防止数据库被非法下载,这是因为 IE 不能下载带 # 号文件。但是网页不仅可以通过常规方式
进行访问,还能够通过 IE 编码技术进行访问。IE 里的不同字符都存在相应编码,编码符号“%23”可以取代 # 号,以此种方式进行处理后,数据库文件后缀加# 号是无法被下载和使用。
5. 加密用户密码。加密用户密码也是一项有效的应对措施,一般是采取MD5进行加密。MD5没有反向算法,因此很难解密,黑客们即使获得加密情况,但还是无法找出正确的原始密码。虽然可通过 UPDATE 方式以其他密码替代,但是这种操作难以实行。需要注意的是,信息数据进行 MD5 加密后很难解密,因此用户必须防止密码丢失、忘记。这种加密方法必须改变前用户的所有资料,用户要对资料进行重新设置,还要把数据库中经过 MD5 加密放入相关字段进行计算后才能再次存储。
四、结论
数据库的安全直接影响到整个计算机网络系统的安全,因此,应该采取全方位的保护措施,保证计算机网络系统的安全,为广大用户营造安全且稳定的网络运行环境,以防止计算机网络数据库被非法入侵和袭击。
【参考文献】
[1]吴溥峰,张玉清.数据库安全综述 【]J.计算机工程,2 0 0 6(12).
[2]汪新建,罗排,李明.网络数据库的应用与安全认 识【]J.西南军医,2 0 0 9( )1.
【关键词】数据库 威胁 办法
一、计算机网络数据库安全概述
对数据库进行安全保护,可以有效避免用户非法越权使用、窃取、更改甚至破坏数据。数据库安全包括以下几点。
1. 逻辑完整性。保护数据库的整体结构,如对某个字段进行修改时,其他字段没有遭到破坏。
2. 物理完整性。数据不会受到自然及物理问题的破坏,如电力和设备故障等问题。
3. 元素安全性。数据库中存储的所有元素均正确。
4. 访问控制。明确只有通过授权的用户才可以访问数据库,可以通过不同方式限制不同用户的访问。
5. 可审计性。能够对数据库元素进行追踪存取与修改。
6. 可用性。授权用户可以对数据库进行自由访问。
7. 身份验证。审计追踪、访问数据库必须进行严格的身份验证。
二、计算机网络数据库存在的主要威胁
1. 数据库的下载。多数用户在使用 ASP 编写连接文件中,大都用语句“(conn.asp):<% ......db =“/admin/database/bxzcvmqhjwkry21ahfqweir.mdb”数据库文件具体位置 ......%>”对数据库进行保护。单从语句的连接上看是正确的,而且名称长度也很保险,下载者对数据库难以识别破解。但是如果通过暴库技术与相关工具,就可以快速定位具体数据库的各种情况,一般是用“% 5c”命令,虽然不能百分百成功暴库,但是出现暴库的几率非常高。在获取地址后通过IE输入,再下载到本地,就能够获得用户名及密码。
2. 注入 SQL。
互联网中,大多数是在设立防火墙后才布置WEB 服务器,只开放 80 端口,非法者无法入侵其他端口,因此,80 端口是他们入侵的目标,而常用方式是注入 SQL。有少数程序编制者在编写程序的代码时,忽略了对用户输入的数据正确性的辨别,使得应用程序面临很多威胁。在客户端对代码进行传输,收集处理程序与服务器数据信息,得到所需资料,这种操作被称为注入 SQL。注入 SQL 可以常规访问 80 端口,相当于普通 Web 页面进行访问,防火墙对注入 SQL 无法获取报警信息,如果管理员不能及时进行审核检查,几乎很难发现被入侵。
三、维护计算机网络数据库安全的主要解决办法
1. 严格查堵 URL 端漏洞。在审核用户使用数据库的情况时,若发现用户端在 URL 提交参数时,存在 exec,insert,delete,from,count,user,xp_cmdshell,add,asc(,char(,
drop,able,mid" 等用在注入 SQL 中的字符以及字符串,就必须立即禁止ASP的运行,而且会显示出如“出错提示”等报警信号,对于有接收的用户端在 URL 提交参数程序时用 <!--#includefile =“../*****.asp”--> 即可写入程序,该方法能够有效防止多数入侵者的入侵,同时还不会影响程序执行的速度;也可以在 if 语句中对注入 SQL 常用的字符、字符串进行设置,在特定的时间里拒绝 IP 访问,增强数据库安全,防止黑客非法入侵。
2. 严格查堵 form 和 cookies 漏洞。有些袭击者通过 form、cookies 提交含有“or”、“=”等字符入侵,为防止入侵,应该在编写程序时添加特殊字符,确保程序安全执行。可通过
paraname = Request.form()即 paraname = Request.Cookies()获取用户名与密码,再加入代码,如果在用户参数 paraname中发现空格、=、or 等字符时,应该终止 then 后面的执行情况,不再运行 ASP,以拦截入侵者入侵。
3. 增强自身安全。暴库是因为 IIS 服务器具体显示各执行错误的情况并中断执行时,把错误信息发送给了用户。为防止暴库,应该调整 IIS 默认设置。通常的防范措施是把数据库后缀名由 MDB 变为 ASP、ASA。虽然该方式可以防暴库,但随着计算机技术的发展,该方法已经无法满足最新防范的要求。后缀修改的 ASP、ASA 的数据库文件,黑客能够进行查找并确定具体存储位置,可以通过迅雷等下载获得。
4. 数据库名的前面加“#”。现在大部分的管理员在数据库名的前面加 # 号,可以有效防止数据库被非法下载,这是因为 IE 不能下载带 # 号文件。但是网页不仅可以通过常规方式
进行访问,还能够通过 IE 编码技术进行访问。IE 里的不同字符都存在相应编码,编码符号“%23”可以取代 # 号,以此种方式进行处理后,数据库文件后缀加# 号是无法被下载和使用。
5. 加密用户密码。加密用户密码也是一项有效的应对措施,一般是采取MD5进行加密。MD5没有反向算法,因此很难解密,黑客们即使获得加密情况,但还是无法找出正确的原始密码。虽然可通过 UPDATE 方式以其他密码替代,但是这种操作难以实行。需要注意的是,信息数据进行 MD5 加密后很难解密,因此用户必须防止密码丢失、忘记。这种加密方法必须改变前用户的所有资料,用户要对资料进行重新设置,还要把数据库中经过 MD5 加密放入相关字段进行计算后才能再次存储。
四、结论
数据库的安全直接影响到整个计算机网络系统的安全,因此,应该采取全方位的保护措施,保证计算机网络系统的安全,为广大用户营造安全且稳定的网络运行环境,以防止计算机网络数据库被非法入侵和袭击。
【参考文献】
[1]吴溥峰,张玉清.数据库安全综述 【]J.计算机工程,2 0 0 6(12).
[2]汪新建,罗排,李明.网络数据库的应用与安全认 识【]J.西南军医,2 0 0 9( )1.