嚴守七道關 保證Web數據庫安全性

 關於網絡數據庫裏一些商業數據被盜竊後公佈於網上；公司商業網站的產品價格數據又被惡意修改……類似這樣的案例，在網上搜索了一下，實在不少。其原因只有一個，就是來自網絡上對Web數據庫***。那麼，在Web環境下的數據庫是否能有足夠的安全爲企業服務呢？答案是肯定的。 

　　Web數據庫是基於Internet/Intranet的應用系統，由於互連網開放性和通信協議的安全缺陷，以及在網絡環境中數據存儲和對其訪問與處理的分佈性特點，網上傳輸的數據容易受到破壞、竊取、篡改、轉移和丟失。這些危害通常是對網絡的***引起的。到現在，針對Web數據庫的應用級***已經變得越來越猖獗，如SQL注入、跨站點腳本***和未經授權的用戶訪問等。所有這些***都有可能繞過前臺安全系統並對數據庫系統***。如何保證Web數據庫的安全性已成爲新的課題。 

　　第一關、對用戶安全管理 

　　Web數據庫是個極爲複雜的系統，因此很難進行正確的配置和安全維護，當然，必須首先要保證的就是數據庫用戶的權限的安全性。當用戶通過Web方式要對數據庫中的對象(表、視圖、觸發器、存儲過程等)進行操作時，必須通過數據庫訪問的身份認證。多數數據庫系統還有衆所周知的默認賬號和密碼，可支持對數據庫資源的各級訪問。因此，很多重要的數據庫系統很可能受到威協。用戶存取權限是指不同的用戶對於不同的數據對象有不同的操作權限。存取權限由兩個要素組成：數據對象和操作類型。定義一個用戶的存取權限就是要定義這個用戶可以在哪些數據對象上進行哪些類型的操作。權限分系統權限和對象權限兩種。系統權限由DBA授予某些數據庫用戶，只有得到系統權限，才能成爲數據庫用戶。對象權限是授予數據庫用戶對某些數據對象進行某些操作的權限，它既可由DBA授權，也可由數據對象的創建者授予。 

　　第二關、定義視圖 

　　爲不同的用戶定義不同的視圖，可以限制用戶的訪問範圍。通過視圖機制把需要保密的數據對無權存取這些數據的用戶隱藏起來，可以對數據庫提供一定程度的安全保護。實際應用中常將視圖機制與授權機制結合起來使用，首先用視圖機制屏蔽一部分保密數據，然後在視圖上進一步進行授權。 

　　第三關、數據加密 

　　數據安全隱患無處不在。一些機密數據庫、商業數據等必須防止它人非法訪問、修改、拷貝。如何保證數據安全？數據加密是應用最廣、成本最低廉而相對最可靠的方法。數據加密是保護數據在存儲和傳遞過程中不被竊取或修改的有效手段。數據加密系統包括對系統的不同部分要選擇何種加密算法、需要多高的安全級別、各算法之間如何協作等因素。在系統的不同部分要綜合考慮執行效率與安全性之間的平衡。因爲一般來講安全性總是以犧牲系統效率爲代價的。如果要在Internet上的兩個客戶端傳遞安全數據，這就要求客戶端之間可以彼此判斷對方的身份，傳遞的數據必須加密，當數據在傳輸中被更改時可以被發覺。