浅谈数据库的四大安全控制

摘 要：本文首先分析了现代化进程高速发展给数据库使用所带来的威胁，指出了数据库中数据安全性的重要，然后针对数据库四大安全控制分别进行了阐述，并指出了它们在安全控制中的具体作用。

关键词：数据库；数据安全性；身份认证 访问控制；加密；审计

DOI：10.16640/j.cnki.37-1222/t.2016.07.113

1 引言

现代化进程的加速，促进了数据库技术的发展，而网络的开放给数据库的安全性带来了许多的威胁，这些威胁体现在合法用户访问数据库被拒绝服务；数据被非法获取；数据库中数据出现丢失、被修改、被删除等方面，这充分说明了数据库的安全性遭到破坏，一旦出现这种情况，就会给个人、单位甚至国家造成不可估量的损失，因此尽可能地保护数据库安全极为重要。

保护数据库主要通过数据独立性、数据安全性、并发控制和故障恢复这四个维度来实现，而我在此所探讨的数据库安全主要是针对其中的一个维度，即数据的安全性。

为了保护数据的安全性，所有商品化的数据库管理系统（DBMS）都构建了相应的安全控制，主要包括四个方面：身份认证、访问控制、加密和审计。不同的数据库管理系统，其安全控制的侧重点也会有所不同，但这四大安全控制基本上能够保证数据库中数据的安全性。

2 数据库的四大安全控制

数据库的四大安全控制是随着数据库技术的不断应用和发展而逐次产生的，通过这四大安全控制，实现对数据库访问层层把关、随时监控，从而极大地确保数据库中数据的安全性。

2.1 身份认证

数据安全性控制的第一步就是进行身份认证。所谓的身份认证就是将用户输入的真实身份信息与数据库中已有的身份信息进行比较，只有配对成功，才能访问数据库系统，这样可以避免非法用户通过正常渠道的入侵。

身份认证一般采用三种方法：（1）使用只有用户本人才知道的信息进行认证，如密码、私有密钥等；（2）使用只有用户本人才拥有的私人物品进行认证，如钥匙、IC卡、身份证等；（3）使用用户本人才具有的生理特征或者行为特征来进行认证，如指纹、视网膜、 笔迹等。

2.2 访问控制

用户的身份一旦被明确为合法后，用户就拥有了可以访问数据库中数据的权利，但是能访问哪些数据？做什么样的访问操作？是数据库库安全接下来要注重的问题。即数据访问控制问题。数据访问控制的目的是确保只有授权的用户才能在授权范围内进行授权的操作[1]。

访问控制机制主要包括两部分：（1）用户权限的定义。用户权限是指用户对于相应的数据对象所允许执行的操作权限。一旦权限定义成功，系统会将用户的该权限登记到数据字典中，同时将这些定义经过编译后也存放在数据字典中；（2）权限检查。当用户发出存取数据库中数据的操作请求后，数据库管理系统会自动查找数据字典，并根据用户的权限定义进行检查，若用户的操作请求超出了定义的权限，系统就会拒绝执行此操作。

访问控制策略目前主要有三种：（1）自主存取控制（DAC）。在自主存取控制策略中，拥有数据对象的用户即拥有对数据对象的相应存取权限，而且当某一个用户具有对某些数据对象进行访问的权限时，他还可以把对这些数据对象的操作权限部分或者全部的转移给其他用户，这样其他的用户也获得了对这些数据的访问权限。自主存取控制很灵活，但安全级别太低；（2）强制存取控制（MAC）。在强制存取控制策略中，每一个数据对象（客体）被强制地标以一定的密级，每一个用户（主体）也被强制地授予某一个级别的许可证。仅当用户（主体）的许可证级别大于或等于数据对象（客体）的密级时，该用户（主体）才能读取对应的数据对象（客体）；仅当用户（主体）的许可证级别等于数据对象（客体）的密级时，该用户（主体）才能写相应的数据对象（客体）。强制存取控制安全级别较高，但工作量太大，不便于管理；（3）基于角色的访问控制（RBAC）。在基于角色的访问控制策略中，对数据对象操作的各种权限不是直接授予具体的用户，而是在用户集与权限集之间建立一个角色集[2]。每种角色对应一组相应的权限。一旦用户被分配了适当的角色后，该用户就拥有该角色的所有操作权限。其安全级别远远高于自主存取控制，而且系统开销较少。

2.3 加密

最好的安全保护就是进行加密。为了尽可能地保证数据库的共享性以及并发度的提高，在实施加密的过程中，通常采用加密粒度，即根据应用的需要分别对数据库、数据表、记录、字段进行加密。只有对特别重要的数据项，才单独进行数据加密。加密的方法多种多样，而算法加密是最为常见的加密方法，它有两个组成部分：（1） 数据加密。数据加密是通过加密算法对数据对象或加密信息进行加密，将明文转为密文，实现数据或信息隐藏，使得非法用户即使获得了已加密的数据或信息，但因不知解密的方法，仍无法得知所获取数据或信息的真实内容，从而起到保护数据安全的作用；（2）数据解密。数据解密则是通过解密算法和解密密钥将密文恢复为明文，便于用户操作使用。

2.4 审计

随着黑客入侵数据库技术的不断提升、合法用户在各种钓鱼攻击下使操作在无意识状态下上当受骗情况的频频发生以及内部人员管理的缺失，仅仅依赖于前面的三种方法进行数据安全性保护已显得力不从心，此时数据审计技术应运而生。通过审计把用户对数据库所作的所有数据库操作都记录在审计数据库中，数据库管理员通过阅读审计数据库，可以发现所有访问过数据库的用户名、时间、地点以及所访问的数据库对象和所实施的操作。

数据审计并不能保护数据库的安全性，但审计有利于对数据库的各种操作行为进行监控、有利于控制用户对数据库的访问。通过数据审计可以对相关的攻击者进行追踪处罚、并还原当时的攻击现场，从而增加数据库的安全性。

3 结束语

高度的信息化使人们已经离不开数据库技术，但网络技术的高速发展以及数据库共享性给数据库的安全带来了高风险，采用身份认证、访问控制、加密和审计这四大安全控制，可以有效地规避风险，为用户使用数据库创建一个安全的环境保障。

参考文献：

[1]王珊.数据库系统概论[M].北京：高等教育出版社，2011.

[2]张敏，徐震，冯登国等.数据库安全[M].北京：科学技术出版社，2005.

作者简介：王端理（1965-），女，湖南双峰人，本科，副教授，研究方向：数据库理论及引用。