数据库系统的安全性分析
作者:孙岩
来源:《商场现代化》2012年第36期
[摘要]数据库安全越来越受到重视,大到数据库备份,小到数据项加密,都离不开安全问题。数据库的安全问题与计算机主机及网络安全息息相关。而数据库安全保护是指数据库设计者时刻保护数据,防止未经授权的操作者对数据进行非法修改,本文试从数据加密要求和实现方式方面进行了论述。 [关键词]数据库 安全 加密
随着计算机网络的快速发展,各个企、事业单位及各组织机构等都逐渐开始大量使用各种信息系统并且通过开放的网络来进行信息交换,这大大地提高了各类数据库的利用率。目前主流网站后台管理系统大多是依靠数据库,随着各种加密算法以及密文存储形式的应用,数据库的安全性将逐步提高,要想获得一种能够较好适应数据库系统的加密方案,必须对系统的安全性进行全面分析。
一、数据库系统的安全需求
数据库安全是信息安全的一个子集,也是信息安全中最重要的部分之一。与信息安全的整体需求相似,数据库系统的安全要求主要包括数据的保密性、可用性和完整性三个方面。 1.数据的保密性数据的保密性是指禁止任何没有权限的用户非法访问数据。
2.数据的可用性 数据的可用性指任何授权用户的正常操作必须接受,同时又能保证人机交互友好、系统高效正常运行。
3.数据的完整性 数据库系统的完整性是指数据要具备正确性、一致性和相容性等特点。 二、数据库加密的要求
数据库加密的目的就是要确保数据库的安全,但是加解密操作过程必然会影响操作的效率,一个好的加密系统就是要在安全性和效率之间取得一个平衡。即:稳定的数据库加密系统必须满足以下几点要求:
1.加解密速度要求足够快,这样减少影响数据操作响应时间。
2.加密强度要足够大,保证长时间而且大量数据不被破译。但是在实际应用中加密算法不一定在理论上无法破解,但在实际应用中能保证破解的代价大于获得其中数据的意义。
龙源期刊网 http://www.qikan.com.cn
3.对数据库的合法用户来说加解密操作是透明的,它不会影响用户的合理操作。用户在明文数据库系统中能够进行更新、增加、删除数据,在密文数据库中也可以用相同的方法增加、更新和删除数据,而且感觉不到加解密过程的存在。 4.对加密后的数据库存储量并没有明显的增加。
5.密钥管理机制灵活,加解密密钥存储安全,使用方便可靠。 三、数据库加密的粒度
数据库加密的粒度可以分为文件级、表级、字段级、记录级和数据元素级等五个层次。 文件级加密。把数据库文件作为一个整体,对整个数据库文件用加密算法和加密密钥加密,形成密文的形式来确保数据的机密性。
2.表级加密。表级加密的对象是整个表格,与文件级加密类似,表级加密中每个表格与其他不同的表密钥经过一定的加密算法运算后形成密文存储。
3.字段级加密。字段加密又称为域加密或属性级加密,一般而言属性的个数少于相应表格中的记录数量,按字段加密需要保存的密钥数相对较少。并且字段级加密是一种选择性加密,并不是对所有数据都加密,而是选择需要保密的字段加密,其余字段仍以明文形式存储。 4.记录级加密。所谓记录级加密是指在数据库中,每条记录在相应密钥的作用下,被加密成密文数据保存起来。在数据库加密方法中记录级加密技术是较为常见的加密方式。 四、数据库加密的实现方式
数据库加密的实现方式主要体现在在数据库系统中执行加密的部件所处的位置和层次。按照数据库系统与加密部件的不同关系,加密的实现方式可以大致分为两类:库内加密和库外加密。
1.库内加密。所谓库内加密是指在DBMS内核层中实现加密过程,加/解密过程是透明的,数据完成加解密工作之后才在库里进行存取操作。优点是在DBMS内完成加密功能,实现DBMS与加密功能的无缝衔接,因此加密功能强。
2.库外加密。所谓库外加密是指在DBMS之外进行加/解密操作,DBMS负责密文管理。一般在客户端实现加/解密操作过程。与库内加密相比,库外加密有其自身的特点:首先,加解密过程是在专门的加解密服务器中实现。其次,加密的数据与加密密钥分开存放。 库外加密也有其缺点:如数据库一旦加密某些功能可能会受限制,比如数据库的数据完整性受到破坏。
龙源期刊网 http://www.qikan.com.cn
3.加密算法的选择。加密算法分为非对称加密和对称加密,对称式加密就是加密和解密使用同一个密钥,通常称之为“Session Key ”这种加密技术目前被广泛采用,如美国政府所采用的DES加密标准就是一种典型的“对称式”加密法,它的Session Key长度为56Bits。 非对称式加密就是加密和解密所使用的不是同一个密钥,通常有两个密钥,称为“公钥”和“私钥”,它们两个必需配对使用,否则不能打开加密文件。它的优越性就在这里,因为对称式的加密方法如果是在网络上传输加密文件就很难把密钥告诉对方,不管用什么方法都有可能被别窃听到。而非对称式的加密方法有两个密钥,且其中的“公钥”是可以公开的,也就不怕别人知道,收件人解密时只要用自己的私钥即可以,这样就很好地避免了密钥的传输安全性问题。 在加密实施过程中,无论选择什么加密算法都应当基于下述原则: (1)算法的安全强度需满足数据保密性的要求;
(2)与明文数据相比,密文数据量(存储空间)经加密处理后不应过量增长; (3)加解密足够快,并且加解密时延应当是用户可以接受的。
无论是基于对称密钥加密的算法,还是基于非对称密钥加密的算法,它们都达到了一个很高的强度,同时加密算法在理论上也已经相当的成熟,形成了一门独立的学科,而从应用方式上,一般分成软件加密和硬件加密。前者成本低而且实用灵活,更换也方便;而后者加密效率高,本身安全性高,在应用中,可以根据不同的需要来进行选择。 参考文献:
[1]李桂来,刘海涛.网络数据库安全的探讨[J].中国现代教育装备,2006 [2]郑向军.无线局域网安全技术探讨.福建电脑,2009年第25卷第10期
因篇幅问题不能全部显示,请点此查看更多更全内容