引論:我們為您整理了13篇數據庫安全性論文范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
1.1系統安全性策略
1.1.1管理數據庫用戶
按照數據庫系統的大小和管理數據庫用戶所需的工作量,數據庫安全性管理者可能只是擁有create,alter、或delete權限的數據庫的一個特殊用戶,或者是擁有這此權限的一組用戶。應注意的是,只有那些值得信任的用戶才應該具有管理數據庫用戶的權限。
1.1.2用戶身份確認
數據庫用戶可以通過操作系統、網絡服務以及數據庫系統進行身份確認,通過主機操作系統進行用戶身份認證。
1.1.3操作系統安全性
數據庫管理員必須有create和delete文件的操作系統權限;一般數據庫用戶不應該有create或delete與數據庫相關文件的操作系統權限;如果操作系統能為數據庫用戶分配角色,那么必須具有修改操作系統賬戶安全性區域的權限。
1.2用戶安全性策略
一般用戶通過密碼和權限管理實現系統的安全性保障;必須針對終端用戶制定安全性策略。例如,對于一個有很多用戶的人規模數據庫,管理員可以決定用戶組分類,您可以使用“角色”對終端用戶進行權限管理。
1.3管理員安全性策略
保護作為服務器和用戶的連接;保護管理者與數據庫的連接;使用角色對管理者權限進行管理。
1.4應用程序開發者的安全性策略
明確應用程序開發者和他們的權限;指定應用程序開發者的環境;授權free和controlled應用程序開發。
2網絡數據庫安全技術分析
本文以比較常用的Access、數據庫為例進行分析,其他數據庫可以作為參考。
2.1Access數據庫地址、路徑過于簡單
Access數據庫被下載,主要是存放數據庫的路徑和數據庫名稱,容易被獲知,例如:用戶建立的xuesheng.mdb(學生信息庫)放在虛擬目錄/student下,如果沒有事先對xuesheng.mdb進行安全加密處理,那么在瀏覽器的地址欄鍵入“http//用戶網站主IP地址/student/xuesheng.mdb”,xuesheng.mdb整個文件就會被輕易下載,文件中所有的重要數據信息就會被別人輕易竊取。操作流程如圖1所示。即使對Access.mdb的文件夾作了變動,文件路徑也會暴露無疑。
獲知源代碼獲得路徑竊取文件名下載文件
圖1網絡環境下數據庫下載流程
2.2使用下載ASP文件所導致的數據安全問題
各單位的網絡服務器一般都存有大量的應用系統賬號及密碼,如電子郵件、聊天室、BBS、留言簿、新聞系統等。由于網絡管理員沒有足夠的時間與精力開發這些應用程序,所以多是采用直接從網上下載的方法來滿足急用。這此程序的源代碼是公開的,所使用的數據庫名,存放路徑沒有任何秘密,如果安全措施不力,會給AccessDB的安全帶來非常大的危險。如從網上下載了一個ASP應用程序,且Access.mdb的連接文件是conn.inc,在ASP程序中,Access.mdb連接的代碼是:2.3服務器操作系統的安全隱患
現在使用WindowsNT/2000Sever作為服務器操作系統的用戶非常主流,由于Win2000Sever目錄權限的默認設置安全性較差,很多網管只知適讓Web服務器運行起來,很少對NTFS進行權限設置。有的服務器甚至未禁止對文件目錄的訪問控制。因此,必然會帶來很大的安全漏洞。
篇2
一、數據庫安全的主要內容
(一)用戶組和安全性
在操作系統下建立用戶組是保證數據庫安全性的一種有效方法。Oracle程序為了安全性目的一般分為兩類:一類是所有的用戶都可執行,另一類只有DBA可執行。在Unix環境下組設置的配置文件是/etc/group,關于這個文件如何配置,可以參閱Unix的有關手冊,以下是保證Oracle數據庫安全性的兩種方法:
1.在安裝Oracle Server前,創建數據庫管理員組(DBA)而且分配root和Oracle軟件擁有者的用戶ID給這個組。DBA能執行的程序只有710權限。在安裝過程中SQL*DBA系統權限命令被自動分配給DBA組。
2.允許一部分Unix用戶有限制地訪問Oracle服務器系統,增加一個由授權用戶組成的Oracle組,確保給Oracle服務器實用例程Oracle組ID,公用的可執行程序,比如SQL*Plus、SQL*Forms等,應該可被這組執行,然后這個實用例程的權限為710,它將允許同組的用戶執行,而其他用戶不能。
(二)數據庫文件的安全性
Oracle軟件的擁有者應該設置這些數據庫文件($ORACLE_HOME/dbs/*.
dbf)的使用權限為0600,即文件的擁有者可讀可寫,同組的和其他組的用戶沒有寫的權限。
Oracle軟件的擁有者應該擁有包含數據庫文件的目錄,為了增加安全性,建議收回同組和其他組用戶對這些文件的可讀權限。
(三)網絡安全性
當處理網絡安全性時,以下是額外要考慮的幾個問題:一是在網絡上使用密碼,在網上的遠端用戶可以通過加密或不加密方式鍵入密碼,當使用不加密方式鍵入密碼時,密碼很有可能被非法用戶截獲,破壞了系統的安全性。二是網絡上的DBA權限控制,可以通過下列兩種方式對網絡上的DBA權限進行控制:一是設置成拒絕遠程DBA訪問;二是通過orapwd給DBA設置特殊的密碼。
二、制定完整的數據庫監控方案,維護數據庫安全
一般來說,一個Oracle數據庫管理員應該做的Oracle數據庫系統監控方案是這樣的。一是每天對Oracle數據庫的運行狀態、日志文件、備份情況、數據庫的空間使用情況、系統資源的使用情況進行檢查,發現并解決問題。二是每周對數據庫對象的空間擴展情況、數據的增長情況進行監控,對數據庫做健康檢查,對數據庫對象的狀態做檢查。三是每月對表和索引等進行Analyze,檢查表空間碎片,尋找數據庫性能調整的機會,進行數據庫性能調整,提出下一步空間管理計劃。對Oracle數據庫狀態進行一次全面檢查。
制定監控方案的具體步驟如下:
在本地建立一個數據庫sid,然后使用Net Configuration Assistant
工具配置參數,實現與遠程數據庫的連接。
(一)計算Oracle數據庫的會話連接數其算法描述如下
Count();While not eof(v$Sesslon)If(Username="compiere")/*use
Rname(用戶名)為compiere*/{if(machine="yinglong")/*machine(機器名)為yinglong*/
{If(Schemaname="compiere")/*schem-aname(模式名)為Compiere*/
Count++;/*統計連接數*/ endif}endif}endif}
訪問系統的用戶數量和數據庫的會話連接情況明確為監控對象。
(二)計算Oracle數據庫的會話死連接數
If(username='complere'){If(machine='yinlong'){If(status='inactive'){/*連接狀態為死*/If(scnemaname='compiere'){Count++;}}}}
(三)計算Oracle數據庫的會話活連接數
If(username='comptere'){
If(machine='yinglong'){
If(status='active')/*連接狀態*/{
if(Schemaname='compiere')Count++;}}}
(四)系統當前訪問用戶數量
If(t:on_line=1){/*表示用戶在線;*/If(t.log_time
在線時間*/If(t.log_lp="){/*用戶ip不為空*/Count++}}}
三、啟用備份保證數據安全
對于數據庫數據的安全問題,數據庫管理員可以參考有關系統雙機熱備份功能以及數據庫的備份和恢復的資料。
當我們使用一個數據庫時,總希望數據庫的內容是可靠的、正確的,但由于計算機系統的故障(包括機器故障、介質故障、誤操作等),數據庫有時也可能遭到破壞,這時如何盡快恢復數據就成為當務之急。如果平時對數據庫做了備份,那么此時恢復數據就顯得很容易。由此可見,做好數據庫的備份是多么的重要,下面筆者就以ORACLE7為例,來講述一下數據庫的備份和恢復。ORACLE 數據庫有三種標準的備份方法,它們分別為導出/導入(EXPORT/IMPORT)、冷備份、熱備份。導出備份是一種邏輯備份,冷備份和熱備份是物理備份。
隨著網絡的普及,基于網絡的應用也越來越多。網絡數據庫就是其中之一。通過一臺或幾臺服務器可以為很多客戶提供服務,這種方式給人們帶來了很多方便,但也給不法分子造成了可乘之機。數據庫安全就顯得十分重要。數據庫安全是數據庫的生命,作為數據庫安全性管理者,應該特別地為每個應用程序首先要保證數據庫的安全。
參考文獻
[1]楊勇,數據庫服務模型及其加密方法的研究與實現[D].四川大學,2005.
篇3
1、網絡數據庫簡介
所謂網絡數據庫是指在普通后臺建立起來的數據庫基礎之上,利用瀏覽器等各種軟件實現數據存儲、查詢等操作。其主要特征是能夠作為儲存大量數據信息的載體,同時可以保障數據的完整性和一致性。此外,瀏覽器/服務器(B/C)和客戶機/服務器模式是當前網絡數據庫部署情況下最常見的兩種形式,簡單方便。
2、網絡數據庫安全威脅
由于Internet是一個高度自治、自由開放、復雜多樣的網絡環境,因此網絡數據庫不可避免地會存在數據丟失、數據庫非法入侵、數據被篡改等安全性問題。此外,網絡數據庫具有多用戶、高可靠性、頻繁地更新和大文件存儲等基本特性,同時還存放有大量重要的敏感數據資源信息。因而,在如此安全性存在極大威脅的背景下,如何采取措施保障網絡數據庫免受安全威脅變得非常重要。
網絡上的非法用戶通常都是直接通過網絡系統來實現入侵網絡數據庫,以此來達到攻擊網絡數據庫的目的,所以網絡數據庫的安全性基本決定于網絡系統的安全情況。一般情況下,我們將網絡數據庫面臨的安全威脅歸納為以下幾個方面:(1)因用戶操作不當而導致的網絡數據庫數據錯誤;(2)非法訪問非權限范圍內的數據信息:(3)攻擊數據庫的正常訪問;(4)非法竊取或篡改連接中數據庫內的數據資源信息。
3、網絡數據庫安全技術方案探討
在開放的網絡環境中,網絡數據庫是非常容易遭受到各種安全威脅的,所以我們必須要采取實際有效的技術方案來不斷提高網絡數據庫自身的安全性,以保證數據的完整性和一致性。一般來說,網絡數據庫的安全問題可歸結為保證數據庫中各種對象存取權的合法性和數據庫內容本身的安全兩個方面,具體安全技術方案有如下幾方面:
3.1 用戶身份認證
由于計算機網絡環境是一個面向多用戶的開放式環境,所以對每一個網絡數據庫訪問用戶都必須要進行統一的身份認證,這也是防止網絡數據庫被用戶非法訪問的一個最有效的手段。因而,用戶身份認證功能在當前網絡數據庫都是必須具備的功能,是通過采用系統登錄、數據庫連接和數據庫對象使用三級機制來實現身份認證功能。其中,系統登錄是驗證訪問用戶輸入的用戶名和密碼正確與否;而數據庫連接是要求數據庫管理系統驗證用戶身份;數據庫對象是采用分配不同的權限機制來為不同使用用戶設置相應的數據庫對象權限來保障數據庫內數據的安全性。
3.2 數據庫加密
數據庫加密是指通過對數據庫的加密設置來保證數據庫內數據的安全性。所謂加密是以某種特殊的算法改變原有的數據信息,使得未授權的用戶即使獲得了已加密的信息,但因不知解密的方法,則仍然無法了解獲取的信息數據的原始內容。因此,數據庫加密系統是加密和解密兩個過程的統一,包括可辨數據信息轉換成非可變信息、算法、利用密鑰解密讀取數據等三方面內容。
3.3 數據備份與恢復
數據備份與恢復是網絡數據庫保障數據完整性和一致性的一種有效機制,也是最常見的一種技術方案。在此機制下,一旦網絡數據庫系統發生故障,管理人員可以根據先前的數據備份文件,在最短的時間內實現恢復數據,進而讓網絡數據庫回到故障發生之前的數據狀態。目前,網絡數據庫中的數據備份機制有靜態備份、動態備份和邏輯備份等幾種技術方案,而數據恢復技術有磁盤鏡像、備份文件,以及在線日志等幾種方式。
3.4 審計追蹤和攻擊檢測
審計追蹤是指當用戶在操作網絡數據庫時,可以自動跟蹤用戶做的所有操作,并將其操作的內容都記錄在相應的審計日志文件中,以供管理員查閱并提供相關參考依據。根據審計日志文件,管理員可以非常清楚地重現網絡數據庫中出現的任何狀況,一旦出現安全問題,管理員可以十分快速地找出存在非法存取數據的操作人員,進而追查相關人的責任。此外,通過利用審計追蹤和攻擊檢測技術對發現網絡數據庫安全方面的弱點和漏洞也有十分明顯的效果。
4、結語
綜上所述,如何構建有效地網絡數據庫安全技術方案是保障計算機網絡健康發展的核心內容,同時隨著安全威脅因素日益增多且越來越復雜,網絡數據庫安全技術也要不斷更新、改進。以應對不斷出現的新情況、新問題,只有這樣才能在最大程度上保障網絡數據庫的完整性和一致性。
參考文獻
[1]陳黎.我國網絡數據庫發展現狀[J].中國信息導報,2004.
[2]周世忠.淺談網絡數據庫安全研究與應用[J].電腦知識與技術.2010(05).
[3]汪新建,羅緋,李明.網絡數據庫的應用與安全認識[J].西南軍醫.2009(01).
篇4
[2]孫鐘安.大型數據庫ORACLE數據庫的優化設計思考[J].電腦知識與技術,2014,10(20):4644-4645.
[3]于淑云,馬繼軍.ORACLE數據庫安全問題探析與應對策略[J].軟件導刊,2010(12):147-149.
[4]肖飛,黃正東,王光華,郭雪清.JAVA存儲過程在Oracle數據庫中的應用研究[J].中國數字醫學,2014,9(03):18.
[5]魏亞楠,宋義秋.Oracle數據庫應用系統的性能優化[J].制造業自動化,2010,32(8):204-206、222.
[6]曹新志,沈君姝,郭輝,等.Oracle數據庫在PACS/RIS系統中的應用[J].中國醫療設備,2013(07):35-37.
[7]彭小斌,張文峰,林根深.ORACLE數據庫并發訪問控制機制及訪問沖突的解決方法[J].中國醫療設備,2013,28(01):44-45、14.
[8]付強,王春平.基于半實物仿真的半自動跟蹤技術開發平臺[J]四川兵工學報,2012,33(08):69-70、80.
[9]孔銀昌,夏躍偉,劉蘭蘭,等.Oracle數據庫安全策略和方法[J].煤炭技術,2012,31(03):190-192.
[10]梁樹杰,黃旭彬.Oracle數據庫維護中自動跟蹤技術的應用分析[J].電子科技,2014,27(10):61-63.
[11]劉哲.基于Oracle數據庫系統的優化與性能調整研究[J].綠色科技,2015,05:283-284+287.
[12]胡鐵峰.淺議如何調整優化Oracle9i數據庫的性能[J].黑龍江科技信息,2014,22:86.
oracle論文參考文獻:
[1]段桂芹.基于DBA崗位需求的高職Oracle數據庫課程教學改革[J].計算機教育,2014(2).
[2]李秀芳.應用型人才培養模式Oracle數據庫課程教學研究[J].中國電力教育,2013(35).
[3]周溢輝.項目導向任務驅動的數據庫應用課程改革探討[J].軟件,2012(4).
[4]任淑美.《大型數據庫系統Oracle應用開發》課程實訓教學的研究[J].計算機光盤軟件與應用,2013(2).
[5]龔曉君.基于行動導向的Oracle課程教學實踐[J].計算機時代,2011(6).
oracle論文參考文獻:
[1]魏永豐,劉立月.異構數據庫系統中的Oracle與SQLServer數據共享技術[J].華東交通大學學報,2005,22(1):92?94.
[2]郭東恩,沈燕.Oracle透明網關技術實現異構數據庫互連[J].電腦開發與應用,2008,21(9):58?59.
[3]藍永健.利用Oracle透明網關技術進行系統整合的研究[J].廣東第二師范學院學報,2008,28(5):92?96.
[4]OracleCorporation.Oracle11gdatabasedocumentation:gatewayforSQLserveruser’sguide,11grelease2[R].California,USA:OracleCorporation,2009.
[5]OracleCorporation.Oracle11gdatabasedocumentation:textapplicationdeveloper’sguide11gRelease2[R].California,USA:OracleCorporation,2009.
[6]OracleCorporation.Oracle11gadocumentation:textreference[R].California,USA:OracleCorporation,2009.
[7]熊志輝,王德鑫,王煒,等.基于Oracle的多權限多格式文檔組織與檢索系統[J].計算機應用,2008,28(9):2407?2409.
[8]朱松巖,葉華平,李生林,等.基于多層授權體制的檔案全文檢索系統設計與實現[J].后勤工程學院學報,2005,21(1):57?60.
[9]李瑞麗,錢皓,黃以凱.基于Oracle大數據的全文檢索技術研究與實現[J].微型電腦應用,2013,29(1):18?21.
[10]李尚初.Oracle的全文檢索技術[J].哈爾濱師范大學自然科學學報,2009,25(4):92?95.
篇5
一、計算機數據庫安全管理方面存在的問題
1、計算機操作系統方面的問題
一般來說,操作系統方面的問題主要就是病毒、后門以及數據庫系統和操作系統的關聯性引起的。
病毒方面:在操作系統中很可能有特洛伊木馬程序的存在,這對操作系統來說是一個極大的威脅,這種木馬程序可以將入駐的程序的密碼加以修改,一旦密碼更新,入侵者就會獲得信息的密碼,使信息內容被竊取、破壞等。
后門方面:雖然數據庫系統的特征參數讓數據庫的管理員操作起來更加方便,可是與此同時,這些參數也為數據庫服務器的主機操作系統留下了后門,所以后門也成了訪問數據庫的通道。
數據庫系統和操作系統的關聯性方面:數據庫和操作系統之間的關聯性非常強,操作系統中文件管理這個功能可以通過存取控制對各種文件進行續寫和執行等操作,所以數據庫文件也存在這方面的威脅;同時,操作系統中的監控程序也能夠對數據庫中的用戶登錄和口令鑒別進行控制。所以,數據庫的安全與操作系統和硬件設備所組成的環境有很大的關系。
2、管理方面的問題
很多用戶都沒有真正意義上認識到網絡信息安全的重要性,重視程度不夠就使得實施的管理措施強度不夠,就使得數據庫的安全事件經常發生。因為限制數據庫服務器的訪問權可以減少數據庫遭到攻擊,所以很多用戶都懶得進行補丁的修復,這就在數據庫的管理上造成了嚴重的失誤。想要數據庫絕對的安全,就必須進行補丁的修復,因為經常修復補丁可以不因為很久以前沒有經過修復的漏洞而遭到攻擊。這類問題的主要原因就是存在沒有進行修補的系統安全漏洞和所設的登錄密碼太過簡單或者沒有進行修改,所以,用戶應該建立一個測試環境,進行補丁修復,然后確認補丁修復,再修復生產環境的補丁,提高網絡信息安全的防范意識,加強管理措施。
3、數據庫系統本身存在的問題
關系數據庫這個系統已經使用了很多年了,擁有自身強大的特性,產品也非常成熟,但是在實際的應用中,其應該具有的某些特征,在操作系統和數據庫系統中并沒有被提供,特別是一些比較關鍵的安全特征。所以,很多關系數據庫系統都不是很成熟,還有待改進。
二、強化計算機數據庫安全管理技術的有效措施
計算機數據庫的安全性是數據庫發展的根本,所以,做好數據庫的安全管理工作是數據庫發展的需要。強化計算機數據庫安全管理不僅要提高用戶的網絡信息安全意識,也要從管理技術方面出發,以下介紹幾種常見的數據庫安全管理技術:
1、安全模型
給數據庫建立安全模型的主要作用就是提高對成功實現關鍵安全需求的理解層次,安全模型有兩種:多級安全模型和多邊安全模型。
⑴多級安全模型:此模型最早是用以支持軍用系統以及數據庫的安全保密的。一般來說密級從高到低可以分為絕密級、機密級和秘密級,這樣分級的意義在于使各級的秘密只能讓各級的有權限的人知道,這樣可以防止高級的信息流入低級,信息所傳遞的范圍始終在控制之內。
⑵多邊安全模型:這也是保護數據庫安全的重要措施之一,其主要作用是防止信息的橫向泄露,盡可能的確保數據庫信息的安全。
2、訪問控制
訪問控制主要是在計算機系統的處理功能的方面對數據庫加以保護,其訪問控制的對象主要是數據庫內部已經進入系統的用戶,對數據的安全保護形成一個自訂屏障。計算機系統進行活動的對象主要就是主體進程、用戶以及客體(資源和數據),而確保主體對客體的訪問的合法性就是計算機安全的關鍵問題,通過管理數據的讀出、寫入以及修改、刪除和執行來保證主體訪問客體是被允許的,沒有被允許的訪問將被拒絕,這樣可以確保信息的機密性以及完整和可用性。
訪問控制又主要分為兩種:自由訪問控制和強制訪問控制。
⑴自由訪問控制:這種控制方法又叫做任選訪問控制,被廣泛得到應用。運用這種控制方式,資源的擁有者就是創建者,有權利選擇可以訪問其資源的用戶,所以這樣就使得用戶和用戶進程之間可以有選擇的與其他的用戶進行資源共享。這是對單個的用戶所執行的訪問控制的過程及措施,而每個用戶的權限則是根據系統來確定的。
⑵強制訪問控制:在這種控制方式中,系統分配給了主體和客體不一樣的安全屬性,而用戶是不能對自身或其他的客體的安全屬性進行更改的,就是不允許單個客戶來確定訪問權限,用戶與用戶組的訪問權限只能是通過系統管理員來確定,系統是通過對主客體的安全屬性進行比較來確定主體能否對客體進行訪問。數據管理員應該提前將數據進行備份處理,在發生故障數據遭到破壞或丟失時就可以使用備份的數據使其恢復到以前的狀態,這樣就保證了數據的完整性與一致性。
3、安全審計
安全設計功能就是監控和記錄指定用戶在數據庫中的操作行為,其實就是對安全方案中的功能提供持續的評估。在安全審計過程中,管理員應該掌握一組可以進行分析的數據,用來發現合適何處出現的違反安全方案的一些操作行為。通過分析安全審計的結果,及時對安全政策進行調整,修補出現的漏洞。所以,安全審計可以記錄關鍵事件、提供容易操作的軟件工具和可進行集中處理審計日志的數據形式、發現威脅時進行安全報警等多方面的功能。
三、結束語
當今社會,數據庫已經是社會中各企業所發展的重要的組成部分,很大程度上促進了企業的發展,給社會帶了了非常可觀的價值利益,所以其安全問題應該引起高度的重視,在強化數據庫安全管理技術措施的同時,企業的各方面都應該積極配合,這樣才能真正意義上提高數據庫的安全性。
參考文獻:
[1] 馬濤,秦軼翠,吳寶珠等.試論計算機數據庫安全管理[J].計算機光盤軟件與應用,2011,(14):153-153.
篇6
何少林,李佐唐,姚子文.2006.甘肅省地震應急基礎數據庫管理服務軟件系統研制[J].西北地震學報,28(2):149-153.
吉雍慧.2008.數字圖書館中的檢索結果聚類和關聯推薦研究[J].情報分析與研究, (2):69-75.
雷秋霞,陳維鋒,黃丁發等.2011.地震現場搜救力量部署輔助決策系統研究[J].地震研究,34(3):385-388.
李東平,姚遠,2009.浙江省地震應急基礎數據庫建設研究[J].科學技術與工程,9(9):2474-2479.
劉紅桂,王建宇,徐桂明.2005.基于GIS的江蘇省地震應急基礎數據庫與震害快速評估技術[C]// 江蘇省測繪協會.2005數字江蘇論壇――電子政務與地理信息技術論文專輯.江蘇:《現代測繪》編輯部,10-12.
聶高眾,陳建英,李志強等.2002.地震應急基礎數據庫建設[J].地震,22(3):105-112.
王東明.2008.地震災場模擬及救援虛擬仿真訓練系統研究[D].哈爾濱:中國地震局工程力學研究所.
篇7
1 數據庫安全的重要性
數據庫系統也屬于一種系統軟件,實際使用中它和其他軟件一樣也需要保護。數據庫的安全之所以重要,主要是原因下面一些原因。首先,在數據庫中存放大量的數據,在重要程度及保密級別上可以分為幾類,這些數據為許多用戶所共享,而各用戶的訪問權限是不同。因此,數據庫系統必須根據不同客戶的職責和權限,使各用戶得到的只是他們所必需的、與他們的權限相對應的部分數據,并不是每個用戶都可以訪問全部數據。這樣對用戶進行分類限制,嚴格控制用戶修改數據庫數據的權限,可以最大限度的避免因一個用戶在未經許可的情況下修改了數據,而對其他用戶的工作造成不良的影響。
其次,在數據庫中,由于數據冗余度小,一旦數據庫的數據被修改了,原來的數據就不存在了。因此,必須有一套數據庫恢復技術,保證在系統或程序出現故障后,幫助迅速恢復數據庫。最后,由于數據庫是聯機工作的,一般允許多用戶同時進行存取操作,因此必須采取有效措施防止由此引起的破壞數據庫完整性的問題。數據庫涉及其他應用軟件,因而數據庫的安全還涉及應用軟件的安全與數據的安全,因此,有必要把數據庫的安全問題和相關的應用軟件安全問題進行綜合考慮,制定有效的全面的安全防范措施。
總之,數據庫系統在給人們帶來好處的同時,也對用戶提出了更高的安全方面的要求。所以說,數據庫的安全問題是非常重要的,必須引起最夠的重視。
2 數據庫的安全威脅與安全策略
數據庫運行于操作系統之上,依賴于計算機硬件,所以數據庫的安全依賴于操作系統安全和計算機硬件的安全。同時數據庫操作人員的非法操作和不法分子的蓄意攻擊也對數據庫的安全構成重大威脅。綜合以上兩方面,可以看到數據庫受到的安全威脅主要有:1)硬件故障引起的信息破壞或丟失。如存儲設備的損壞、系統掉電等造成信息的丟失或破壞;2)軟件保護失效造成的信息泄露。如操作系統漏洞、缺少存儲控制機制或破壞了存儲控制機制,造成信息泄露;3)應用程序設計出現漏洞。如被黑客利用安裝了木馬;4)病毒入侵系統,造成信息丟失、泄露或破壞;5)計算機放置在不安全的地方被竊聽;6)授權者制定了不正確或不安全的防護策略。7)數據錯誤輸入或處理錯誤。如,準備輸入的數據在輸入前被修改,機密數據在輸入前泄密;8)非授權用戶的非法存取,或授權用戶的越權存取,或授權用戶的越權存取。數據庫受到各方面的安全威脅,要保證數據庫的安全,必須制訂合適的安全策略,采取一定的安全技術措施,才能保證數據庫信息的不泄露,不破壞和不被刪除和修改。
數據庫的安全策略是指導數據庫操作人員合理地設置數據庫的指導思想。它包括以下幾方面。
1) 最小特權策略
最小特權策略是讓用戶可以合法的存取或修改數據庫的前提下,分配最小的特權,使得這些信息恰好能夠完成用戶的工作,其余的權利一律不給。因為對用戶的權限進行適當的控制,可以減少泄密的機會和破壞數據庫完整性的可能性。
2) 最大共享策略
最大共享策略就是在保證數據庫的完整性、保密性和可用性的前提下,最大程度地共享數據庫中的信息。
3) 粒度適當策略
在數據庫中,將數據庫中不同的項分成不同的顆粒,顆粒越小,安全級別越高。通常要根據實際決定粒度的大小。 轉貼于 4) 按內容存取控制策略
根據數據庫的內容,不同權限的用戶訪問數據庫的不同的部分。
5) 開系統和閉系統策略
數據庫在開放的系統中采取的策略為開系統策略。開系統策略即除了明確禁止的項目,數據庫的其他的項均可被用戶訪問。數據庫在封閉系統中采取的策略稱閉系統策略。閉系統策略即在封閉的系統中,除了明確授權的內容可以訪問,其余均不可以訪問。
6) 按上下文存取控制策略
這種策略包括兩方面:一方面限制用戶在其一次請求中或特定的一組相鄰的請求中不能對不同屬性的數據進行存取;另一方面可以規定用戶對某些不同屬性的數據必須一組存取。這種策略是根據上下文的內容嚴格控制用戶的存取區域。
7) 根據歷史的存取控制策略
有些數據本身不會泄密,但當和其他的數據或以前的數據聯系在一起時可能會泄露保密的信息。為防止這種推理的攻擊,必須記錄主數據庫用戶過去的存取歷史。根據其以往執行的操作,來控制其現在提出的請求。
數據庫的安全本身很復雜,并不是簡單的哪一種策略就可以涵蓋的,所以制訂數據庫的安全策略時應根據實際情況,遵循一種或幾種安全策略才可以更好的保護數據庫的安全。
3 數據庫安全技術
1) 數據庫的完整性與可靠性
數據庫的完整性是關系到客戶/服務器應用系統正常工作的關鍵。維護數據庫的完整性即需要數據庫設計人員的周密設計,也需要客戶端開發人員的積極配合。數據庫完整性約束是用于維護數據庫完整性的一種機制,這種約束是一系列預先定義好的數據完整性規劃和業務規則,這些數據規則存放于數據庫中,防止用戶輸入錯誤的數據,以保證數據庫中所有的數據是合法的、完整的。
2) 存取控制
訪問控制是信息安全保障機制的核心內容,它是實現數據保密性和完整性機制的主要手段。訪問控制是為了限制訪問主體對訪問客體的訪問權限,從而使計算機系統在合法范圍內使用;訪問控制機制決定用戶及代表一定用戶利益的程序能做什么,能做到什么程度。訪問控制,作為提供信息安全保障的主要手段,被廣泛用于防火墻、文件訪問、VPN及物理安全等多個方面。訪問控制也是數據庫系統的基本安全需求之一。為了使用訪問控制來保證數據庫安全,必須使用相應的安全策略和安全機制保證其實施。
在數據庫中,記錄、字段、元素是相互聯系的,用戶可能通過讀取其他元素來得到某一元素,這種現象稱為“推理”,要想防止推理的發生,必須采取與歷史相關的控制,它不僅要求考慮請求當時的上下文,還要考慮過去請求的上下文,來限制存取。簡單的來說,存取控制是用來保護電腦的信息或資源免于被非法者故意刪除、破壞或更改的一項重要措施。此外,基于角色的存取控制機制可以為用戶提供強大而靈活的安全機制,使管理員能以接近部門組織的自然形式來進行用戶權限劃分。
3) 數據庫加密
在實際使用數據庫的過程中,并不是允許所有人都能夠對數據庫進行信息瀏覽和查詢的。因此,為了保證數據庫中的數據能夠不被非法用戶所訪問,就要對其進行安全保護。對數據庫進行加密就是一個很好的安全保護方法。在給數據庫設置密碼或取消密碼之前,必須確定數據庫是以獨占方式打開的。
在數據庫安全和加密技術的研究方面,現在只是作了一些嘗試性的工作,許多細節有待于進一步深入。隨著數據庫系統的進一步發展,對數據庫安全與加密這個方面將變得更加重要和迫切。
參考文獻
篇8
一、引言
隨著數據庫的廣泛運用,數據庫中數據的安全性至關重要。如果數據被破壞,損失將數以萬計。數據如此的重要,如何避免竊取和破壞數據自然就成為我們研究的熱點。數據庫安全涉及的層次和范圍較廣,本文只選取數據庫管理系統SQL Server本身的安全來進行研究,以求最大程度的保證SQL Server數據庫自身的安全。
二、正文
(一)SQL Server基本安全配置
SQL Server是一個數據安全措施相當完善的關系數據庫管理系統,它使用服務器-數據庫-數據庫三層對象來進行安全管理。也就是說從用戶的角度看,要訪問數據庫,首先要能連接上服務器。連接上服務器后并不代表用戶能訪問數據庫了,必須賦予用戶訪問某個數據庫的權限。能訪問某個數據庫了,并不代表能訪問數據庫中的數據了,必須賦予用戶訪問表或列的權限才能訪問表或列……具體的管理通過安全身份認證(服務器)和訪問許可兩個機制實現。
1.安全身份認證
SQL Server有兩種身份驗證模式可用來連接服務器:Windows驗證模式和混合模式。混合認證模式指的是windows認證和SQL Server認證兩種都支持。兩者相比,Windows身份驗證更好一些。因為SQL Server驗證的登錄在一個多服務器的環境中管理比較困難,而Windows安全模式能夠與Windows安全系統集成在一起,從而能夠提供更多的功能,例如安全驗證和密碼加密、審核、密碼過期等。
另外,無論采用哪一種認證方式,都應使用安全的密碼策略,并對系統管理者(sa)帳號進行最強的保護。SA在默認條件下,它可對服務器進行任何的操作,但一般情況下不能將SA從服務器刪除或移走,所以一定要記得給此用戶指定密碼。當然,我們也是有辦法可巧妙去除sa的,操作方法如下:在菜單欄中的“工具”選項卡中選擇”SQL server配置屬性”,選擇“服務器設置”,對“允許對系統目錄直接進行修改”打勾。一定要在master數據庫中有db_owner(數據庫所有者)的權限。可使用的命令如下:
update sysxlogins
set name='你要改成的名字'
where sid=0x01
update sysxlogins
set sid=0xE765555BD44F054F89CD0076A06EA823
where name='你要改成的名字'
最后,刪除修改后的用戶名。
2.訪問控制
使用登錄賬號連接上服務器后,到底能進行哪些操作,主要決定于登錄賬號的權限。SQL Server中的訪問權限分為服務器本身的操作權限和數據庫的訪問權限。兩種訪問權限對應兩種角色:服務器角色和數據庫角色。
不同的登錄用戶訪問服務器的權限不同,是因為賦予它們的服務器角色不同。服務器角色負責整個服務器的訪問權限,將某服務器角色添加至用戶,則用戶就擁有了服務器角色所對應的權限。對某數據庫進行訪問時,有時希望不同的數據庫用戶訪問的權限有所不同,故創建數據庫用戶時應當賦予不同的數據庫角色。
下面舉例說明如何進行訪問控制。例: 給麗麗分配一個登錄用戶名,保證不僅可創建和修改數據庫,還可修改student數據庫中的系別表和課程表。對應的命令如下:
EXEC sp_addlogin 'lili','123'
EXEC sp_addsrvrolemember 'lili','dbcreator'
Use student
EXEC sp_grantdbaccess 'lili'
Exec sp_addrole 'pin'
grant update
on系別表 to pin
grant update
on課程 to pin
Exec sp_addrolemember 'pin', 'lili'
(二)備份與恢復
數據庫備份有四大類型:數據庫完全備份、差異備份、事務日志備份、文件和文件組備份。管理大型數據庫時,為了讓數據庫恢復所用的時間消耗最少,也為了最大可能的降低數據的損失,我們常綜合運用多種備份。常見的備份方案有:
1.有規律進行數據庫完全備份,比如每天一次,下班前備份。
2.以較小的時間間隔進行差異備份,比如二至三個小時備份一次。
3.在相臨的兩次差異備份之間進行事務日志備份,每二十或三十分鐘一次。
篇9
筆者從事電子商務網站建設課程教學工作多年,一直選用ASP+Access方案構建方案。但ASP+Access方案最大的安全隱患在于Access數據庫可以被攻擊者非法下載,而現在互聯網上提供的很多ASP空間都是只支持Access數據庫。這樣一來,防止Access數據庫被非法下載就顯得非常重要了。本文筆者通過分析研究將告訴大家如何打造mdb數據庫文件的安全防范對策。
一、危機起因
(一)Access數據庫的安全問題
1.Access數據庫的存儲隱患
在ASP+Access應用系統中,如果獲得或者猜測到Access數據庫的存儲路徑和數據庫名,則該數據庫就可以被下載到本地。
2.Access數據庫的解密隱患
由于Access數據庫的加密機制非常簡單,所以即使數據庫設置了密碼,解密也很容易。該數據庫系統通過將用戶輸入的密碼與某一固定密鑰進行異或來形成一個加密串,并將其存儲在*.mdb文件中從地址“&H42”開始的區域內。由于異或操作的特點是“經過兩次異或就恢復原值”,因此,用這一密鑰與*.mdb文件中的加密串進行第二次異或操作,就可以輕松地得到Access數據庫的密碼。基于這種原理,很容易編制出解密程序或者在互聯網上下載到破解工具,數據庫文件的內容,企業的資料、隱私和員工的密碼從此不在安全。由此可見,無論是否設置了數據庫密碼,只要數據庫被下載,其信息就沒有任何安全性可言了。
(二)ASP帶來的安全問題
1.ASP程序源代碼的隱患
由于ASP程序采用的是非編譯性語言,這大大降低了程序源代碼的安全性。任何人只要進入站點,就可以獲得源代碼,從而造成ASP應用程序源代碼的泄露。
2.程序設計中的安全隱患
ASP代碼利用表單(form)實現與用戶交互的功能,而相應的內容會反映在瀏覽器的地址欄中,如果不采用適當的安全措施,只要記下這些內容,就可以繞過驗證直接進入某一頁面。例如在瀏覽器中敲入“page.asp?x=1”,即可不經過表單頁面直接進入滿足“x=1”條件的頁面。因此,在設計驗證或注冊頁面時,必須采取特殊措施來避免此類問題的發生。
二、防范對策
我們可以采用迷惑法、隱藏法、加密法、ODBC數據源法和注冊驗證法等技術手段防止數據庫文件被非法下載。
(一)非常規命名法
1.把數據庫的主文件名進行修改,并且放到很深的目錄下面
防止數據庫被找到的簡便方法是為Access數據庫文件起一個復雜的非常規名字,并把它存放在多層目錄下。例如,對于網上花店的數據庫文件,不要簡單地命名為“flower.mdb”或“bloom.mdb”,而是要起個非常規的名字,例如:halower123.mdb,再把它放在如/wh123/wd123d/hoo9/dh123/abc之類的深層目錄下。這樣攻擊者想簡單地猜測數據庫的位置就很困難了。
2.把mdb擴展名修改為ASP或ASA等不影響數據查詢的名字
但是有時候修改為ASP或者ASA以后仍然可以被下載,如將mdb修改為ASP以后,直接在IE的地址欄里輸入網絡地址,雖然沒有提示下載但是卻在瀏覽器里出現了一大片亂碼。如果使用FlashGet等專業的下載工具就可以直接把數據庫文件下載下來,因此需要找到一種FlashGet無法下載的方法。根據網站在處理包含unicode碼的鏈接的時候將會不予處理的原理。可以利用unicode編碼(比如可以利用“%3C”代替“<”等),來達到目的。而FlashGet在處理包含unicode碼的鏈接的時候卻“自作聰明”地把unicode編碼做了對應的處理,比如自動把“%29”的unicode編碼字符轉化成“(”。即是說如向FlashGet提交一個22.0.1.2/dat/%29amitx.mdb的下載鏈接,它卻解釋成了22.0.1.2/dat/(amitx.mdb,當單擊“確定”按鈕進行下載的時候,FlashGet就去尋找一個名為“(amitx.mdb”的文件,當然找不到。
(二)使用ODBC數據源
在ASP程序設計中,應盡量使用ODBC數據源,不要把數據庫名直接寫在程序中。例如:直接語句
DBPath=ServerMapPath(“/wh123/wd123d/hoo9/dh123/abc/halower123.mdb”)
ODBC數據源語句
ConnOpen“driver={MicrosoftAccessDriver(*.mdb)};dbq=”&DBPath
可見,即使數據庫名字起得再怪異,隱藏的目錄再深,ASP源代碼失密后,數據庫也很容易被下載下來。如果使用ODBC數據源,就不會存在這樣的問題了。
(三)加密ASP頁面
可以使用微軟公司的免費軟件ScriptEncoder對ASP頁面進行加密。它可以對當前目錄中的所有的ASP文件進行加密,并把加密后的文件統一輸出到相應的目錄中。由于ScriptEncoder只加密在HTML頁面中嵌入的ASP代碼,其他部分仍保持不變,這就使得我們仍然可以使用FrontPage等常用網頁編輯工具對HTML部分進行修改、完善,操作起來簡單方便、效果良好。(四)利用Session對象進行注冊驗證
篇10
2用戶需求分析
由于本系統是直接面向網上辦公的,必須適應所服務環境的各類操作人員,主要包括學校科研處、各院系(或部門)、普通教師個人(或其他瀏覽者)。
2.1普通教師個人(或其他瀏覽者)
普通教師個人(或其他瀏覽者)只能按姓名來瀏覽個人的科研信息、進行統計打印,個人的科研信息(論文、著作、項目成果等)必須提交本部門審核入錄。
2.2各院系(或部門)
各院系(或部門)主要職責是對本部門員工的論文、著作、項目、成果、獎勵等信息進行審核后輸入到本系統數據庫中,查詢本部門在某時間內的科研信息、統計科研情況、打印相關資料等,同時對本部門的錯誤錄入信息進行修改和維護。
2.3科研處
主要管理本校的員工信息、論文、著作、各級各類科研項目和成果、科研獎勵等常規工作,同時,管理校級課題的申報、審批、合同、檢查、結題等管理,同時,監控系統運行和各部門的情況。
3數據庫設計及關鍵技術實現
3.1數據庫表創建
根據系統需求分析,將系統的實現直接定位在更好的適合各層次人員的需求和操作,系統的所有初始化數據均采用界面錄入的方法,由各類人員分工完成。根據我校的實際情況,筆者將科研人員基本信息、論文信息、科研項目信息、成果信息、獲獎情況信息等作為系統的初始化數據,為個人和院系查詢、統計、打印,科研處操作、加工、管理、集成等工作提供基本的數據平臺。主要數據表格設計如下:
科研人員信息表(職工號,姓名,性別,職稱,出生日期,所學專業,現從事專業,學歷,學位,工作時間,所在部門,備注)。
論文信息表(序號,論文名稱,刊物名稱,刊物類別,刊物級別,主辦單位,作者,職工號,發表時間,刊號,備注)。
論著信息表(序號,著作名稱,圖書編號,著作類別,出版社,學科類別,作者,職工號,出版時間,版次,備注)。
科研項目表(序號,項目編號,項目名稱,項目來源,項目類別,完成單位,負責人,課題組成員,立項時間,擬定期限,經費金額,是否鑒定,鑒定時間,鑒定單位,備注)。
科研成果表(序號,成果名稱,成果類別,成果經費,完成時間,負責人,完成單位,是否投入生產,經濟效益,備注)。
科研獎勵表(序號,獲獎人員,項目名稱,獎勵名稱,授予單位,時間,備注)。
校級項目管理表(項目編號,項目名稱,課題名稱,負責人,所在部門,職務或職稱,聯系電話,申報表,申報時間,申報經費,是否批準,批準日期,批準經費,合同時間,合同內容,是否結題,結題時間,鑒定技術負責人,項目成果效益,備注)。
校級鑒定專家表(序號,姓名,性別,出生日期,工作單位,學歷,學位,所學專業,現從事專業,職稱職務,備注)。
在上述表格中,加下劃線字段代表主鍵,加雙劃線字段代表外鍵。其中科研人員信息表之所以選擇(職工號,姓名)作為主鍵,考慮到姓名經常作為查詢、操作條件,并在相關表中作為科技人員的重要描述和限制;為了避免數據錄入的無序狀況,數據庫表之間建立了嚴格的參照完整性,并且對所有表都分配了操作權限,并將錯誤信息及時反饋給操作人員,科研人員信息表、論文信息表、論著信息表通過“職工號”建立參照完整性關系,在錄入論文、論著時,作者必須是本單位職工,如果科研人員信息表不存在該員工,便給出錯誤提示,提示檢查是否是合法職工,如果是,便可以在科研人員信息表中添加該員工信息后錄入論文、論著信息,否則,拒絕錄入,“職工號”又為組合查詢提供了連接條件支持;同時將科研項目表、科研成果表、校級項目管理表中“負責人”和科研人員信息表中的“姓名”建立主鍵、外鍵參照完整性關系,校級課題的申報負責人也必須是本單位某部門的職工;獲獎人員,必須是科研人員信息表中某一職工;將校級鑒定專家表和校級項目管理表通過“鑒定技術負責人”、“姓名”建立參照完整性管理,限定了鑒定技術負責人必須是本校專家表中的專業人員;所有表的主鍵設置都加上“姓名”字段,目的是為了符合人們的常規習慣,常以某個專業人員姓名作為操作、查詢條件,科研人員信息表與其他相關表格建立參照完整性為了限制科研、論文、論著、成果、獎勵等信息的科學合法性,同時有利于統計和查詢;只有完善的參照完整性,才能使得數據庫中數據具有一致性和互操作性。
3.2存儲過程的設計
存儲過程是Transact-SQL語句的集合,它是實現事務或業務規則的極好途徑,是在數據庫服務器上存儲與執行的。使用它,可以大大減少網絡傳輸流量,提高應用程序性能和安全性,而且由于它只在第一次執行時被優化、編譯。因此,使用存儲過程不僅可以極大地降低應用程序的實現難度,而且還可以極大地提高系統的運行速度、效率。存儲過程的設計一定要符合邏輯業務規則和要求,根據實際,對一些常規、頻繁使用的查詢、插入數據操作使用存儲過程來完成。以下操作可以考慮使用存儲過程來完成:
①對系統的初始化數據時錄入各種基本信息操作。
②查詢個人、部門科研信息時的查詢操作。
③科研處的其他常規操作。
下面以查詢部門科研信息為例介紹存儲過程使用方法,在此查詢某一部門的論文、論著信息。描述代碼:
CREATEPROCEDURE論文論著
@achar(20)
as
select姓名,論文名稱,刊物名稱,刊物類別,刊物級別,發表時間,備注
from科研人員信息表,論文信息表
where科研人員信息表。職工號=論文信息表。職工號and所在部門=@a
select姓名,著作名稱,出版社,出版時間,版次,備注
from科研人員信息表,論著信息表
where科研人員信息表。職工號=論著信息表。職工號and所在部門=@a
其它操作不再做列述。從提高執行效率、提高安全性、共享性方面考慮,盡可能多的使用存儲過程來提高數據庫的整體性能。
3.3觸發器的使用
使用觸發器來實現表間的數據自動操作,提高系統效率,校級鑒定專家表中的信息主要來源于科研人員信息表中具有副高職稱以上的人員,在輸入或修改科研人員信息時,只要是具有副高級職稱以上的人員,就可以自動添加到校級鑒定專家表中,該操作可以使用觸發器來實現,代碼描述如下:
CreateTriggerptz
On科研人員信息表
Forinsert,update
As
Insertinto校級鑒定專家表(姓名,性別,出生日期,工作單位,學歷,學位,所學專業,現從事專業,職稱職務,備注)Select(姓名,性別,出生日期,所在部門,學歷,學位,所學專業,現從事專業,職稱職務,備注)。
From科研人員信息表,其中,校級鑒定專家表中的序號是自動生成的標識列。
同時,可以用觸發器來檢驗校級項目負責人是否在科研人員信息表中,其中,用事務以驗證合法性以控制該項操作是否完成。
代碼描述如下:
CreateTriggercheck1
On校級項目管理表
Forinsert
As
begintran
declare@achar(12)
select@a=負責人fromInserted
If(selectcount(*)from科研人員信息表where姓名=@a)=0
begin
Print''''負責人不合法''''
rollbacktran
end
committran
其它類似操作不做描述。
在設計中,堅持使用觸發器實現盡可能多的實現前臺操作,不僅提高了操作效率、更提高了代碼的安全性和共享性。
3.4數據庫安全設計
網絡的安全非常重要,從數據庫級、服務器級和應用程序級綜合考慮,在科研管理系統中要根據不同用戶,設置不同的權限、不同的初始化菜單。在本系統中,數據庫的安全主要通過數據庫的存取控制機制實現的。首先定義各類管理人員的操作權限即角色,其次定義數據庫登錄,最后依據用戶權限表將登錄分配為相應的角色。由于人員的復雜性,角色分為三個層次:科研處級別、二級部門級別、普通教師級別。用戶屬于某一角色,即使用戶職務調動時,對用戶增刪,不影響其他用戶的操作,只是角色中用戶數量的變化。建立專門的系統使用權限表來記錄用戶和權限,同時也兼容部門設置信息,對不同部門分配相應的權限和賬號,科研處是最高管理級別部門。
篇11
企業自身不斷謀求向現代企業邁進,也更應該對會計信息系統進行主動性革命,包括對系統的構建深入理解,這些都要通過構建信息時代的會計信息系統來解決。針對不同類型和不同層次的企業,本文重點討論的是一批在國內外有影響的大企業。
一、會計信息系統技術構架
企業會計信息系統的構建,在技術構架上,數據庫服務、應用服務及客戶端服務三方面,采用三層架構設計,可以提高效率與安全性、降低硬件投資成本。
通過三層結構服務器方案,保證的數據的安全,達到數據集中控制的目的。三層體系結構既減輕數據庫服務器的連接開銷,又將業務規則從客戶端移到應用服務器達到安全高效的目的。
1、數據庫服務
數據庫服務是三層模式中的最底層,用來定義、維護、訪問和更新數據并管理和滿足應用服務對數據的請求。由一個或者多個數據庫系統組成,其中可能包括由存儲過程組成的和數據存取相關的邏輯模塊。
數據庫也是會計信息系統設計必不可少的,沒有數據庫的會計信息系統程序是不完整的程序。因為只有數據庫才能大量、快速地處理各類信息,實現各種功能系統采用SQLServer做后臺數據庫。它是由微軟Microsoft出品,基于關系型數據庫的大型數據庫系統。它具有獨立于硬件平臺、對稱的多處理器結構、搶占式多任務管理、完善的安全系統和容錯功能,并具有易于維護的特點。
2、應用服務
應用服務位于客戶端和數據庫服務之間,專門為實現企業的業務邏輯提供了一個明確的層次,在這個層次封裝了與系統關聯的應用模型,并把用戶指令和數據庫代碼分開。這個層次提供客戶應用程序和數據服務之間的聯系。主要功能是執行應用策略和封裝應用模式.并將封裝的模式呈現給客戶應用程序。在三層B/S體系結構,它是在數據庫服務器與客戶端之間增加應用服務器。
Microsoft的分布式COM(DCOM)技術是將組建對象模型技術COM大大進行了擴展。是對在局域網、廣域網甚至是Internet上計算機對象之間的通信提供了完全的支持。通過使用DCOM用戶的應用程序就可以在任何網絡位置上達到真正的分布性,從而滿足客戶應用的需要。
3、WEB客戶端
客戶端是為客戶提供應用服務的圖形界面,有助于用戶理解和高效的定位應用服務。遠程客戶端和本地客戶端通過瀏覽器提交用戶請求,顯示處理結果,通過顯示界面進行數據的輸出等操作
4、總體優勢
總體上看,數據庫服務器負責數據存儲,客戶端只管用戶界面、遞交服務請求,應用服務器負責業務處理,這種結構能更好地應用資源,減輕了客戶端的負擔,從而彌補了兩層結構的不足。
二、會計信息系統數據庫及安全
企業會計信息系統的構建需要強大的數據庫后臺服務和完善的數據安全性,我們從以下四個方面來加強系統的數據庫安全性。
1、完善的網絡安全體系使用訪問服務器對遠程電算工作站進行加密身份驗證、對數據采用密文傳輸方式可以為會計電算化數據提供全面的安全保障;內部局域網電算工作站對電算服務器的訪問通過嚴格的身份驗證體系加以管理。上述措施使得來自因特網和內部局域網的非法操作或入侵被訪問服務器拒絕,從而無法連接電算服務器,并記錄相關信息備查。這樣可以完全隔離內部和外來的非法入侵并記錄其入侵主機的IP地址、入侵時間、入侵頻率等信息,同時系統在切斷非法入侵通道時提供實時告警,提醒管理員及時采取措施。
2、全面的會計電算化信息系統檔案管理
會計電算化信息系統處理業務時所產生的各種賬簿、報表憑證均由專人管理,并有相應的管理制度;所有財務檔案均做好防火、防潮、防塵、防盜等,特別是磁性存儲介質要做好防磁。
3、安全的會計電算化信息系統輸入控制
審核人員對會計電算化信息系統每筆業務進行合法性和準確性審核,從源頭上防止錯誤和舞弊行為的發生。避免因錯誤舞弊導致連環性、重復性錯誤。采用編碼制度,會計科目統一編碼,不僅提高了錄入的速度和準確性,而且規范了行業管理。設置邏輯控制、平衡校驗控制、錯誤更正控制來完善會計電算化信息系統查錯、改錯的功能。
4、穩固的計算機病毒預防措施
為了防止計算機病毒的侵襲,本系統使用正版軟件,拒絕各類盜版或來歷不明的軟件;對外來的移動硬盤、光盤、優盤首先進行病毒檢測;在服務器和工作站中裝入了防病毒軟件,開機時進行時控制,對硬盤進行病毒檢測。及時發現并殺死計算機病毒定時對計算機防病毒軟件進行升級,保證會計電算化信息系統服務器和工作站中病毒特征庫是最新的。
篇12
信息時代的到來讓網絡與信息技術成為當下服務于各行業最為普遍、前沿的現代技術之一,在不斷提高勞動生產率、減輕大量人工勞動強度的同時,讓經濟效益和社會效益出現了前所未有、幾何級增長的態勢。然而,當人類享受著計算機、信息技術等高科技帶來的各種便捷與利益的同時,也面臨著日漸增加的網絡與電腦遭受惡意攻擊、出現難以預料的安全性問題的煩擾。網絡與計算機技術便利和問題的并存充分證明了“科技是一柄‘雙刃劍’”的說法,也讓越來越多業內外人士認識到了加強數據庫系統安全性測試的重要性。
1 引發數據庫系統安全性問題的原因
當前引發數據庫系統安全性問題的主要原因概括起來主要有權限與帳戶管理不當的問題,身份認證管理不當的問題,數據庫日志審計方面的問題。
權限與帳戶管理不當產生的安全性問題主要是對高級權限或帳戶管理上的不當。尤其是對系統管理員的監督管理缺乏應有的強度與頻率。由于系統管理員掌握著所有權限與帳戶的特殊性,其不僅有通過后門進入數據庫開展日常管理工作的現實性,也同時具有利用職務之便監守自盜的風險性。
當前眾多數據庫都具有用戶身份認證的管理機制,只有用戶提供正確的帳號與密碼才能進入目標數據庫系統進行相應的操作。但這一機制卻對通過不法渠道獲取的帳號與密碼缺乏防范手段。
許多數據庫系統內置了日志審計功能,也就是每出現一次系統數據變更(修改)或權限應用時,就會自動生成一條日志內容被系統捕捉并記錄下來。然而當前這樣的日志記錄卻沒有對出現安全性問題進行實時監控與即時報警的功能。也就是說,雖然數據庫系統能夠自行記錄下任何一條安全性問題,但若管理員沒有及時查閱,則同樣不能針對安全性問題采取措施進行處理或規避。
2 數據庫系統安全性測試范疇
數據庫系統安全性測試一般涉及到測試對象、潛在風險、方案設置等。所謂測試對象就是數據與系統功能。即那些需要得到安全保護的數據與系統功能都需要被陳列出來并衡量其對于合法用戶與非法用戶都有怎樣不同的價值,此外還應尋找非法利用測試對象的各類手段。
潛在風險是指潛藏的可能造成數據損毀、丟失或損害系統功能的事件,需要找到這些潛在風險并且將其分為自然風險、意外風險、人為風險三類。同時,需要對這些潛在風險的出現進行概率預計,并就這些風險一旦轉化為事實會造成的后果進行評估,再對其中程度最為嚴重的一部分進行重點關注。
方案設置是指對上面提到的潛在性風險進行的安全性方案的預設。特別是對其中人為風險進行重點安全性方案預設。與此同時,方案設置還包括對數據庫系統安全性進行策略性測試。此環節包括正向與反向兩大類。正向策略性測試是指從需要出發,將系統中設計、編碼過程中可能存在的安全隱患一一找尋出來并進行針對性測試;而反向策略測試則是從當前系統中已經存在的漏洞與缺陷等出發,繼續找尋其他潛在的漏洞與缺陷。在根據既有和后續發展的漏洞與缺陷建立相應的問題模型并由模型推演找尋發現可能遭受惡意攻擊的端口或節點,繼而對這些端口或節點進行安全性掃描。
3 數據庫系統安全性測試中幾個核心技術的應用
3.1 掃描
數據庫系統安全性測試掃描技術主要針對的是數據庫系統安全性強度問題的核心技術。特點是便捷、迅速、較容易操作,對數據庫系統安全性測試具有一定的目標性,尤其是在認證用戶身份、系統權限設置、安全缺陷與系統完整性等方面進行掃描測試。其過程是事先設置一定的安全性測試方案,再根據既定方案對預期中的潛在系統缺陷進行逐一測試,根據測試結果描述漏洞或缺陷的詳情,再據此制定相應的解決措施。由此形成數據庫系統安全性測試報告,實現對數據庫安全的持續完善。這一核心技術具體內容包括對數據的安全性掃描、對用戶權限設置的安全強度的掃描及對用戶身份認證安全強度的掃描等。
3.2 滲透
這一技術簡而言之類似于模擬外部入侵的試錯技術。也就是最大限度模仿“黑客”等非法入侵數據庫的對手的系統缺陷找尋手段與策略,通過主動對已方系統進行安全性測試發現其中潛藏的漏洞與問題所在。在信息與網絡的實踐應用中,數據庫具有多層使用的特性。因此在同一個網絡系統中,出于不同測試目的比如對象或階段的差異等,使用滲透進行安全性測試的具體內容也不盡相同。比如既有對網絡或端口進行掃描的滲透測試技術;也有通過對密碼進行解密的破解滲透測試技術;還有“SQL”技術,也就是入侵者用自己設計的腳本滲透入目標數據庫系統所在服務器的CGI腳本中,由此實現對入侵指令的實施或者是取得目標數據的目的。此外緩沖溢出也是滲透技術中較常見的一種。是指利用遠程控制技術,在目標系統的緩沖區填充超過其預設容量的內容引發數據溢出,導致系統放棄該指令而執行入侵者的指令。
3.3 Fuzzing
此技術又稱為模糊處理技術,也叫“黑箱”測試技術。該技術主要特點是測試者對目標數據庫系統沒有任何事先了解,僅通過對目標系統注入錯誤數據的手法開展測試,通過系統對此注入行為的反應發現其中潛藏的缺陷或漏洞。該技術主要針對的是互聯網上最常用的協議如HTTP、FTP、SMTP、POP3等。而利用此技術能夠發現的缺陷漏洞可以涵蓋SQL、緩沖溢出、腳本攻擊、字符串格式化漏洞與泄露在內的各類安全性缺陷問題。
4 結束語
數據庫系統安全性測試技術是隨著互聯網與計算機應用的普及和深入而伴隨出現并不斷提升的前沿技術。這一技術不僅在于維護數據與信息安全及使用人的切身利益,更有助于促進整個網絡與信息技術的不斷完善與進步。數據庫系統安全性測試技術的應用需要區分目標與對象的性質差異,選擇最具針對性的內容與形式開展測試,并在不斷提高技術適應性的基礎上實現系統安全性的進一步完善。
參考文獻
[1]白雪.試論Web應用系統的安全性測試技術[J].網絡安全技術與應用,2013(04).
[2]張勇.基于規格說明的組件安全性測試技術研究和實現(碩士學位論文)[D].信息工程大學,2012(07).
作者介
篇13
1.引言
在我國,雖然企業管理已經蓬勃地發展起來了,但是目前仍有部分中小型企業采用紙張錄入的傳統方式,有的只是應用計算機做一些報表系統進行電算化處理,隨著物資種類的不斷增加及倉庫管理要求的不斷提高,企業員工的工作將會越來越大,管理成本高、效率低,易出錯B/S結構,管理水平低。還有部分企業采用傳統的C/S模式的系統, 基于該模式的系統在開放性、信息的與交流的便捷性、可管理性等諸方面存在較大的局限,在一定程度上影響并制約著物流倉儲管理信息化進程。可以說,以上幾種倉庫管理方式已經不能再適應現代企業的需求。而目前國內大型企業使用的倉儲管理信息系統都是從國外購買的企業管理軟件[1],但價格較高。很多中小型企業迫切需要一個符合自己的倉儲管理系統,以減輕企業員工的工作負擔及提高工作效率,與此同時也方便了企業對物資的管理,從而使倉庫管理更處于安全、方便、快捷、經濟、更加激發企業員工的管理熱情。因此,開發出適合國情的中小型企業的倉儲管理系統具有重要的意義。
B/S 模式以其可伸縮性、易管理性、安全性等方面的優勢,為倉儲信息系統的開發提供了新的技術手段。本文針對企業倉儲業務的特點,給出了基于B/S 模式的倉儲管理系統的開發途徑和實現方法。
2.系統框架設計
從系統的安全性、使用的方便性、開發維護簡便性、以及系統擴展性考慮[2], 倉儲管理系統采用B/S結構模式, 分客戶端、業務層和數據層三層實現。數據層采用SQL Server 2008 Enterprise 作為數據庫服務器;業務層基于WindowsServer 2003 Enterprise Edition 和Microsoft.Net 3.5 運行環境,利用vs2008(C#)設計頁面,實現設計的業務功能;客戶層采用任何安裝MicrosoftInternetExplorer 6.0 以上版本或者是與之兼容的版本瀏覽器的操作系統。計算機網絡采用企業內聯網為主、并接入互聯網。B/S 結構模式具有分布式計算、集中式管理的特性,程序和數據庫都集中在服務器上,客戶端只需配置操作系統及瀏覽器即可實現對服務器的訪問使用[3]論文下載。B/S結構的用戶將不用安裝客戶端軟件, 在各地通過使用Internet Explorer 或者其他瀏覽器登陸到企業的Web服務器,通過安全驗證后就可以查詢用戶所需企業業務信息,這樣大大提高了工作效率。系統的體系結構圖如圖1所示:
圖1系統體系結構圖
倉儲管理系統的基本功能是向企業提供貨物庫存及各種報表的動態查詢B/S結構,根據倉儲企業的特點和需求,系統分為六大模塊,系統的功能結構圖如圖2所示:
圖2系統功能結構圖
1)出入庫管理:該模塊針對入庫和出庫信息進行添加、修改和刪除等操作。在入庫的同時自動指定物品存放位置。
2)盤點管理
該模塊顯示品名、規格、批號、前期庫存、本期入庫、本期退庫、本期退貨、現庫存等信息。并提供多種盤點方式,如:按倉庫盤點、按批次盤點、按存貨類別盤點、對保質期臨近多少天的存貨進行盤點等,還可以對各倉庫或批次中的全部或部分存貨進行盤點,盤盈、盤虧的結果自動生成其它出入庫單[4]。
3)基本信息管理
該模塊記錄倉庫中的所有物品信息包括曾經存放過的和現在存放在倉庫中的物品信息。系統對包括物品名稱、物品編碼、規格、生產廠商、產品批號、生產日期、有效期、出入庫時間、物品數量、操作員等基本信息進行設置,而且對所有物品進行編碼并存儲在系統的數據庫中,使系統能有效追蹤物品所處位置,也便于操作員根據貨位號迅速定位到目標貨位在倉庫中的物理位置,便于對倉庫的目前狀態和歷史狀態隨時跟蹤。
為了查詢數據的方便,該模塊可以查詢所有物品信息,本模塊支持按物品名稱查詢、物品編碼、生產廠商名稱查詢,數據動態實時更新。
4)報表統計
根據需求, 系統自動生成出入庫情況的日報表、月報表和年報表。并可通過查詢生成報表,包括對物品的進貨、退貨、物品庫存情況、物品銷售情況(包括物品銷售比重、銷售總額、利潤、利潤比重、銷售排行)等信息進行匯總查詢,并可打印輸出查詢結果。
5)數據挖掘與市場預測
系統可以對數據進行檢索與再利用、數據挖掘分析與統計管理。比如可以根據物品的銷售數量、銷售比重、銷售利潤等,預測市場流行趨勢為高層管理者提供決策依據。
6)系統設置:包括添加用戶、修改用戶密碼、重新登錄及幫助。
3.系統實現
3.1開發環境
該系統采用三層B/S 網絡架構,后臺數據庫服務器采用SQL Server 2008B/S結構,Web 服務器采用Microsoft 公司的InternetInformation Server 6.0(IIS 6.0),使用Microsoft Visual C# .NET 2008、Visio2007等相關工具,在Windows 2003 Server環境下進行開發實現。
3.2數據庫設計
根據系統的功能分析,數據庫由物品的基本信息表、生產廠商表、用戶人員管理表、用戶密碼表、倉庫信息表、入庫表、出庫表、盤存信息表、銷售信息表、收貨單位表等數據表構成。
3.2.1數據庫表格設計
其中物品的基本信息表包括:物品的編號、名稱、生產廠商、種類、規格、產品批號、生產日期、有效期、物品所屬的客戶,其中物品的編號為主鍵。
倉庫信息表中包括存放地點(相當于庫位的標號)、倉庫號、區域、貨架號、層、行、列、是否為空幾個屬性,其中存放地點為主鍵。
入庫表中應該記錄物品的編碼、入庫的時間、經手人和存放地點,其中以物品編碼和入庫時間聯合作為主鍵;出庫表中應該記錄物品的編碼、出庫時間和經手人,其中以物品編碼和出庫時間聯合作為主鍵。其他表的屬性設計略。
3.2.2數據庫訪問技術
ADO.NET 為.NET 框架提供一套統一的數據訪問技術,在應用程序和數據源之間起到橋梁作用。ADO.NET能夠從數據源中返回查詢結果、對數據源執行命令、將 DataSet 中的更改傳播給數據源。
ADO.NET 是一組向 .NET 程序員公開數據訪問服務的類。ADO.NET 為創建分布式數據共享應用程序提供了一組豐富的組件[5]。它提供了對關系數據、XML 和應用程序數據的訪問,因此是 .NET Framework 中不可缺少的一部分。ADO.NET 支持多種開發需求,包括創建由應用程序、工具、語言或 Internet 瀏覽器使用的前端數據庫客戶端和中間層業務對象訪問SQL Server的連接方法圖如下圖3所示論文下載。
圖3 訪問SQLServer數據庫的連接方法
ADO.Net 提供了多種數據提供程序:SQL Server .NET 數據提供程序、ODBC .NET 數據提供程序、Oracle 的 .NET 數據提供程序、自定義 .NET 數據提供程序、SQLXML 托管類等等, 可以根據不同的數據源選擇適合的數據提供程序。
3.3安全性實現
系統的安全與數據安全,關系到系統數據的私密性和完整性,是倉儲管理系統的關鍵。它的實現與數據庫系統、管理系統等方面的安全性是密不可分的,因而,應分別給予考慮[6]。
數據庫系統安全性:數據庫系統安全性涉及到數據庫設計、數據庫安全及數據存儲等方面的安全性。本設計采用SQLServer2008作為數據庫管理平臺,提供了嚴格的權限認證控制,訪問數據庫的用戶必須擁有數據庫帳號和密碼B/S結構,對所有操作者進行自動跟蹤、日志登記等。
系統安全性:系統中對各個模塊提供統一的權限用戶控制機制,以控制對系統的訪問及對數據的使用。對不同的用戶設置不同的訪問權限級別,由系統管理員授權,分為用戶系統和權限系統來保證系統的安全性。用戶系統提供基于角色用戶的安全管理,角色是系統中的一個權限集合,用戶是一個可以登錄到系統;系統提供多種權限控制機制,以保證系統的數據安全和滿足系統不同用戶群體訪問不同數據的控制。
4.結束語
本文針對物中小型企業的現狀和特點,給出了基于B/S模式的倉儲管理系統的開發方案。基于該模式的倉儲管理系統具有的使用簡單、信息共享性高、易于維護、可擴展性好等特點。倉儲企業可利用該系統對倉儲商品進行有效的管理,系統投入運行后可以使倉儲管理實現實時化、網絡化、系統化、規模化、專業化、集成化、智能化[7]等,增強了工作人員倉庫管理能里,提高了工作效率。并為企業決策層進行倉儲決策提供可靠準確的數據分析和依據,提升倉儲企業對靈活多變市場的反應能力,提高企業經濟效益和競爭力。該系統采用的關鍵技術和有效的實施方案可以在各中小型企業中進行推廣,其發展前景必將十分光明。
參考文獻:
[1]李建義,張紅亮.基于B/S方式的企業倉儲物流信息系統的實現[J]. 華北水利水電學院學報,2003(3):66-68.
[2]張偉,吳超華.基于Web的倉儲物流管理系統的設計與實現[J].機電工程技術,2006(1):59-60.
[3]宋恩華.青島卷煙廠的倉儲管理信息系統[J]. 中外物流,2008(3):55-56.
[4]劉超,彭長春.倉儲管理信息系統的設計及實施[J]. 小氮肥,2009(8):18-19.
[5]彭慧然,高志民.基于Web 服裝企業倉儲管理系統研究與實現[J]. 微計算機信息,2006(6):137-139.
[6]王小建.基于B/S模式物流倉儲管理系統開發[J]. 網絡與信息化,2009(3):139-141.
