仓酷云
标题:
MSSQL教程之数据库体系防黑客进侵手艺综述
[打印本页]
作者:
冷月葬花魂
时间:
2015-1-16 22:40
标题:
MSSQL教程之数据库体系防黑客进侵手艺综述
两个到底是哪一个给出了MySQL这个名字至今依然是个迷,包括开发者在内也不知道。数据|数据库
1.媒介
跟着盘算机手艺的飞速开展,数据库的使用非常普遍,深切到各个范畴,但随之而来发生了数据的平安成绩。各类使用体系的数据库中大批数据的平安成绩、敏感数据的防夺取和防改动成绩,愈来愈引发人们的高度器重。数据库体系作为信息的会萃体,是盘算机信息体系的中心部件,其平安性相当主要,干系到企业兴衰、国度平安。因而,怎样无效地包管数据库体系的平安,完成数据的保密性、完全性和无效性,已成为业界人士探究研讨的主要课题之一,本文就平安防进侵手艺做扼要的会商。
数据库体系的平安除依附本身外部的平安机制外,还与内部收集情况、使用情况、从业职员本质等要素互相关注,因而,从狭义上讲,数据库体系的平安框架能够分别为三个条理:
⑴收集体系条理;
⑵宿主操纵体系条理;
⑶数据库办理体系条理。
这三个条理修建成数据库体系的平安系统,与数据平安的干系是慢慢严密的,提防的主要性也逐层增强,从外到内、由表及里包管数据的平安。上面就平安框架的三个条理睁开叙述。
2.收集体系条理平安手艺
从狭义上讲,数据库的平安起首倚赖于收集体系。跟着Internet的开展提高,愈来愈多的公司将其中心营业向互联网转移,各类基于收集的数据库使用体系如雨后春笋般出现出来,面向收集用户供应各类信息服务。能够说收集体系是数据库使用的内部情况和基本,数据库体系要发扬其壮大感化离不开收集体系的撑持,数据库体系的用户(如异地用户、散布式用户)也要经由过程收集才干会见数据库的数据。收集体系的平安是数据库平安的第一道屏蔽,内部进侵起首就是从进侵收集体系入手下手的。收集进侵试图损坏信息体系的完全性、秘密性或可托任的任何收集举动的汇合,具有以下特性[1]:
a)没有地区和工夫的限定,超过版图的打击就好像在现场一样便利;
b)经由过程收集的打击常常混同在大批一般的收集举动当中,潜伏性强;
c)进侵手腕加倍潜伏和庞大。
盘算机收集体系开放式情况面对的威逼次要有以下几品种型[2]:a)棍骗(Masquerade);b)重发(Replay);c)报文修正(Modificationofmessage);d)回绝服务(Denyofservice);e)圈套门(Trapdoor);f)特洛伊木马(Trojanhorse);g)打击如透纳打击(TunnelingAttack)、使用软件打击等。这些平安威逼是无时、无处不在的,因而必需接纳无效的措施来保证体系的平安。
从手艺角度讲,收集体系条理的平安提防手艺有良多种,大抵能够分为防火墙、进侵检测、合作式进侵检测手艺等。
⑴防火墙。防火墙是使用最广的一种提防手艺。作为体系的第一道防地,其次要感化是监控可托任收集和不成信托收集之间的会见通道,可在外部与内部收集之间构成一道防护屏蔽,拦阻来自内部的不法会见并制止外部信息的外泄,但它没法拦阻来自收集外部的不法操纵。它依据事前设定的划定规矩来断定是不是拦阻信息流的收支,但没法静态辨认或自顺应地调剂划定规矩,因此其智能化水平很无限。防火墙手艺次要有三种:数据包过滤器(packetfilter)、代办署理(proxy)和形态剖析(statefulinspection)。古代防火墙产物一般夹杂利用这几种手艺。
⑵进侵检测。进侵检测(IDS--InstrusionDetectionSystem)是最近几年来开展起来的一种提防手艺,综合接纳了统计手艺、划定规矩办法、收集通讯手艺、野生智能、暗码学、推理等手艺和办法,其感化是监控收集和盘算机体系是不是呈现被进侵或滥用的征象。1987年,DerothyDenning初次提出了一种检测进侵的头脑,经由不休开展和完美,作为监控和辨认打击的尺度办理计划,IDS体系已成为平安进攻体系的主要构成部分。
进侵检测接纳的剖析手艺可分为三年夜类:署名、统计和数据完全性剖析法。
①署名剖析法。次要用来监测对体系的已知缺点举行打击的举动。人们从打击形式中归结出它的署名,编写到IDS体系的代码里。署名剖析实践上是一种模板婚配操纵。
②统计剖析法。以统计学为实际基本,以体系一般利用情形下察看到的举措形式为根据来辨别某个举措是不是偏离了一般轨道。
③数据完全性剖析法。以暗码学为实际基本,能够查证文件大概工具是不是被他人修正过。
IDS的品种包含基于收集和基于主机的进侵监测体系、基于特性的和基于非一般的进侵监测体系、及时和非及时的进侵监测体系等[1]。
⑶合作式进侵监测手艺
自力的进侵监测体系不克不及够对普遍产生的各类进侵举动都做出无效的监测和反响,为了填补自力运作的不敷,人们提出了合作式进侵监测体系的设法。在合作式进侵监测体系中,IDS基于一种一致的标准,进侵监测组件之间主动地互换信息,而且经由过程信息的互换失掉了对进侵的无效监测,能够使用于分歧的收集情况[3]。
3.宿主操纵体系条理平安手艺
操纵体系是年夜型数据库体系的运转平台,为数据库体系供应必定水平的平安回护。今朝操纵体系平台年夜多半会合在WindowsNT和Unix,平安级别一般为C1、C2级。次要平安手艺有操纵体系平安战略、平安办理战略、数据平安等方面。
操纵体系平安战略用于设置当地盘算机的平安设置,包含暗码战略、账户锁定战略、考核战略、IP平安战略、用户权力指派、加密数据的恢复代办署理和别的平安选项[7]。详细能够表现在用户账户、口令、会见权限、审计等方面。
用户账户:用户会见体系的"身份证",只要正当用户才有账户。
口令:用户的口令为用户会见体系供应一道考证。
会见权限:划定用户的权限。
审计:对用户的举动举行跟踪和纪录,便于体系办理员剖析体系的会见情形和过后的清查利用。
平安办理战略是指收集办理员对体系实行平安办理所接纳的办法及战略。针对分歧的操纵体系、收集情况必要接纳的平安办理战略一样平常也不尽不异,其中心是包管服务器的平安和分派好各种用户的权限。
数据平安次要表现在以下几个方面:数据加密手艺、数据备份、数据存储的平安性、数据传输的平安性等。能够接纳的手艺良多,次要有Kerberos认证、IPSec、SSL、TLS、VPN(PPTP、L2TP)等手艺。
4.数据库办理体系条理平安手艺
数据库体系的平安性很年夜水平上依附于数据库办理体系。假如数据库办理体系平安机制十分壮大,则数据库体系的平安功能就较好。今朝市场下流行的是干系式数据库办理体系,其平安性功效很弱,这就招致数据库体系的平安性存在必定的威逼。
因为数据库体系在操纵体系下都是以文件情势举行办理的,因而进侵者能够间接使用操纵体系的毛病夺取数据库文件,大概间接使用OS工具来不法假造、改动数据库文件内容。这类隐患一样平常数据库用户难以发觉,剖析和梗塞这类毛病被以为是B2级的平安手艺措施[4]。
数据库办理体系条理平安手艺次要是用来办理这一成绩,即以后面两个条理已被冲破的情形下仍能保证数据库数据的平安,这就请求数据库办理体系必需有一套强无力的平安机制。办理这一成绩的无效办法之一是数据库办理体系对数据库文件举行加密处置,使得即便数据不幸保守大概丧失,也难以被人破译和浏览。
我们能够思索在三个分歧条理完成对数据库数据的加密,这三个条理分离是OS层、DBMS内核层和DBMS外层。
⑴在OS层加密。在OS层没法识别数据库文件中的数据干系,从而没法发生公道的密钥,对密钥公道的办理和利用也很难。以是,对年夜型数据库来讲,在OS层对数据库文件举行加密很难完成。
⑵在DBMS内核层完成加密。这类加密是指数据在物理存取之前完成加/脱密事情。这类加密体例的长处是加密功效强,而且加密功效几近不会影响DBMS的功效,能够完成加密功效与数据库办理体系之间的无缝耦合。其弱点是加密运算在服务器端举行,减轻了服务器的负载,并且DBMS和加密器之间的接口必要DBMS开辟商的撑持。
界说加密请求工具
DBMS
数据库使用体系
加密器
(软件或硬件)
⑶在DBMS外层完成加密。对照实践的做法是将数据库加密体系做成DBMS的一个外层工具,依据加密请求主动完成对数据库数据的加/脱密处置:
界说加密请求工具加密器
(软件或硬件)
DBMS
数据库使用体系
接纳这类加密体例举行加密,加/脱密运算可在客户端举行,它的长处是不会减轻数据库服务器的负载而且能够完成网上传输的加密,弱点是加密功效会遭到一些限定,与数据库办理体系之间的耦合性稍差。
上面我们进一步注释在DBMS外层完成加密功效的道理:
数据库加密体系分红两个功效自力的次要部件:一个是加密字典办理程序,另外一个是数据库加/脱密引擎。数据库加密体系将用户对数据库信息详细的加密请求和基本信息保留在加密字典中,经由过程挪用数据加/脱密引擎完成对数据库表的加密、脱密及数据转换等功效。数据库信息的加/脱密处置是在背景完成的,对数据库服务器是通明的。
加密字典办理程序
加密体系
使用程序
数据库加脱密引擎
数据库服务器
加密字典
用户数据
按以上体例完成的数据库加密体系具有良多长处:起首,体系对数据库的终极用户是完整通明的,办理员能够依据必要举行明文和密文的转换事情;其次,加密体系完整自力于数据库使用体系,不必修改数据库使用体系就可以完成数据加密功效;第三,加解密处置在客户端举行,不会影响数据库服务器的效力。
数据库加/脱密引擎是数据库加密体系的中心部件,它位于使用程序与数据库服务器之间,卖力在背景完成数据库信息的加/脱密处置,对使用开辟职员和操纵职员来讲是通明的。数据加/脱密引擎没有操纵界面,在必要时由操纵体系主动加载并驻留在内存中,经由过程外部接口与加密字典办理程序和用户使用程序通信。数据库加/脱密引擎由三年夜模块构成:加/脱密处置模块、用户接口模块和数据库接口模块,如所示。个中,"数据库接口模块"的次要事情是承受用户的操纵哀求,并传送给"加/脱密处置模块",别的还要取代"加/脱密处置模块"往会见数据库服务器,并完成内部接口参数与加/脱密引擎外部数据布局之间的转换。"加/脱密处置模块"完成数据库加/脱密引擎的初始化、外部公用命令的处置、加密字典信息的检索、加密字典缓冲区的办理、SQL命令的加密变更、查询了局的脱密处置和加脱密算法完成等功效,别的还包含一些公用的帮助函数。
数据加/脱密处置的次要流程以下:
1)对SQL命令举行语法剖析,假如语法准确,转下一步;如不准确,则转6),间接将SQL命令交数据库服务器处置。
2)是不是为数据库加/脱密引擎的外部把持命令?假如是,则处置外部把持命令,然后转7);假如不是则转下一步。
3)反省数据库加/脱密引擎是不是处于封闭形态或SQL命令是不是只必要编译?假如是则转6),不然转下一步。
4)检索加密字典,依据加密界说对SQL命令举行加脱私语义剖析。
5)SQL命令是不是必要加密处置?假如是,则将SQL命令举行加密变更,交换原SQL命令,然后转下一步;不然间接转下一步。
6)将SQL命令转送数据库服务器处置。
7)SQL命令实行终了,扫除SQL命令缓冲区。
以上以一个例子申明了在DBMS外层完成加密功效的道理。
5.停止语
本文对数据库体系平安防进侵手艺举行综述,提出了数据库体系的平安系统三个条理框架,并对三个条理的手艺手腕睁开形貌。文中还以在DBMS外层完成加密功效的道理为例,具体申明了怎样使用数据库办理体系条理的平安手艺。
数据库体系平安框架的三个条理是相辅相承的,各条理的提防重点和所接纳的手艺手腕也不尽不异,一个好的平安体系必需综合思索核使用这些手艺,以包管数据的平安。
加密字典办理程序
加密体系
使用程序
数据库加脱密引擎
数据库服务器
加密字典
用户数据
按以上体例完成的数据库加密体系具有良多长处:起首,体系对数据库的终极用户是完整通明的,办理员能够依据必要举行明文和密文的转换事情;其次,加密体系完整自力于数据库使用体系,不必修改数据库使用体系就可以完成数据加密功效;第三,加解密处置在客户端举行,不会影响数据库服务器的效力。
数据库加/脱密引擎是数据库加密体系的中心部件,它位于使用程序与数据库服务器之间,卖力在背景完成数据库信息的加/脱密处置,对使用开辟职员和操纵职员来讲是通明的。数据加/脱密引擎没有操纵界面,在必要时由操纵体系主动加载并驻留在内存中,经由过程外部接口与加密字典办理程序和用户使用程序通信。数据库加/脱密引擎由三年夜模块构成:加/脱密处置模块、用户接口模块和数据库接口模块,如所示。个中,"数据库接口模块"的次要事情是承受用户的操纵哀求,并传送给"加/脱密处置模块",别的还要取代"加/脱密处置模块"往会见数据库服务器,并完成内部接口参数与加/脱密引擎外部数据布局之间的转换。"加/脱密处置模块"完成数据库加/脱密引擎的初始化、外部公用命令的处置、加密字典信息的检索、加密字典缓冲区的办理、SQL命令的加密变更、查询了局的脱密处置和加脱密算法完成等功效,别的还包含一些公用的帮助函数。
数据加/脱密处置的次要流程以下:
1)对SQL命令举行语法剖析,假如语法准确,转下一步;如不准确,则转6),间接将SQL命令交数据库服务器处置。
2)是不是为数据库加/脱密引擎的外部把持命令?假如是,则处置外部把持命令,然后转7);假如不是则转下一步。
3)反省数据库加/脱密引擎是不是处于封闭形态或SQL命令是不是只必要编译?假如是则转6),不然转下一步。
4)检索加密字典,依据加密界说对SQL命令举行加脱私语义剖析。
5)SQL命令是不是必要加密处置?假如是,则将SQL命令举行加密变更,交换原SQL命令,然后转下一步;不然间接转下一步。
6)将SQL命令转送数据库服务器处置。
7)SQL命令实行终了,扫除SQL命令缓冲区。
以上以一个例子申明了在DBMS外层完成加密功效的道理。
5.停止语
本文对数据库体系平安防进侵手艺举行综述,提出了数据库体系的平安系统三个条理框架,并对三个条理的手艺手腕睁开形貌。文中还以在DBMS外层完成加密功效的道理为例,具体申明了怎样使用数据库办理体系条理的平安手艺。
数据库体系平安框架的三个条理是相辅相承的,各条理的提防重点和所接纳的手艺手腕也不尽不异,一个好的平安体系必需综合思索核使用这些手艺,以包管数据的平安。
⑶合作式进侵监测手艺
自力的进侵监测体系不克不及够对普遍产生的各类进侵举动都做出无效的监测和反响,为了填补自力运作的不敷,人们提出了合作式进侵监测体系的设法。在合作式进侵监测体系中,IDS基于一种一致的标准,进侵监测组件之间主动地互换信息,而且经由过程信息的互换失掉了对进侵的无效监测,能够使用于分歧的收集情况[3]。
3.宿主操纵体系条理平安手艺
操纵体系是年夜型数据库体系的运转平台,为数据库体系供应必定水平的平安回护。今朝操纵体系平台年夜多半会合在WindowsNT和Unix,平安级别一般为C1、C2级。次要平安手艺有操纵体系平安战略、平安办理战略、数据平安等方面。
操纵体系平安战略用于设置当地盘算机的平安设置,包含暗码战略、账户锁定战略、考核战略、IP平安战略、用户权力指派、加密数据的恢复代办署理和别的平安选项[7]。详细能够表现在用户账户、口令、会见权限、审计等方面。
用户账户:用户会见体系的"身份证",只要正当用户才有账户。
口令:用户的口令为用户会见体系供应一道考证。
会见权限:划定用户的权限。
审计:对用户的举动举行跟踪和纪录,便于体系办理员剖析体系的会见情形和过后的清查利用。
平安办理战略是指收集办理员对体系实行平安办理所接纳的办法及战略。针对分歧的操纵体系、收集情况必要接纳的平安办理战略一样平常也不尽不异,其中心是包管服务器的平安和分派好各种用户的权限。
数据平安次要表现在以下几个方面:数据加密手艺、数据备份、数据存储的平安性、数据传输的平安性等。能够接纳的手艺良多,次要有Kerberos认证、IPSec、SSL、TLS、VPN(PPTP、L2TP)等手艺。
4.数据库办理体系条理平安手艺
数据库体系的平安性很年夜水平上依附于数据库办理体系。假如数据库办理体系平安机制十分壮大,则数据库体系的平安功能就较好。今朝市场下流行的是干系式数据库办理体系,其平安性功效很弱,这就招致数据库体系的平安性存在必定的威逼。
因为数据库体系在操纵体系下都是以文件情势举行办理的,因而进侵者能够间接使用操纵体系的毛病夺取数据库文件,大概间接使用OS工具来不法假造、改动数据库文件内容。这类隐患一样平常数据库用户难以发觉,剖析和梗塞这类毛病被以为是B2级的平安手艺措施[4]。
数据库办理体系条理平安手艺次要是用来办理这一成绩,即以后面两个条理已被冲破的情形下仍能保证数据库数据的平安,这就请求数据库办理体系必需有一套强无力的平安机制。办理这一成绩的无效办法之一是数据库办理体系对数据库文件举行加密处置,使得即便数据不幸保守大概丧失,也难以被人破译和浏览。
我们能够思索在三个分歧条理完成对数据库数据的加密,这三个条理分离是OS层、DBMS内核层和DBMS外层。
⑴在OS层加密。在OS层没法识别数据库文件中的数据干系,从而没法发生公道的密钥,对密钥公道的办理和利用也很难。以是,对年夜型数据库来讲,在OS层对数据库文件举行加密很难完成。
⑵在DBMS内核层完成加密。这类加密是指数据在物理存取之前完成加/脱密事情。这类加密体例的长处是加密功效强,而且加密功效几近不会影响DBMS的功效,能够完成加密功效与数据库办理体系之间的无缝耦合。其弱点是加密运算在服务器端举行,减轻了服务器的负载,并且DBMS和加密器之间的接口必要DBMS开辟商的撑持。
界说加密请求工具
DBMS
数据库使用体系
加密器
(软件或硬件)
⑶在DBMS外层完成加密。对照实践的做法是将数据库加密体系做成DBMS的一个外层工具,依据加密请求主动完成对数据库数据的加/脱密处置:
界说加密请求工具加密器
(软件或硬件)
DBMS
数据库使用体系
接纳这类加密体例举行加密,加/脱密运算可在客户端举行,它的长处是不会减轻数据库服务器的负载而且能够完成网上传输的加密,弱点是加密功效会遭到一些限定,与数据库办理体系之间的耦合性稍差。
上面我们进一步注释在DBMS外层完成加密功效的道理:
数据库加密体系分红两个功效自力的次要部件:一个是加密字典办理程序,另外一个是数据库加/脱密引擎。数据库加密体系将用户对数据库信息详细的加密请求和基本信息保留在加密字典中,经由过程挪用数据加/脱密引擎完成对数据库表的加密、脱密及数据转换等功效。数据库信息的加/脱密处置是在背景完成的,对数据库服务器是通明的。
加密字典办理程序
加密体系
使用程序
数据库加脱密引擎
数据库服务器
加密字典
用户数据
按以上体例完成的数据库加密体系具有良多长处:起首,体系对数据库的终极用户是完整通明的,办理员能够依据必要举行明文和密文的转换事情;其次,加密体系完整自力于数据库使用体系,不必修改数据库使用体系就可以完成数据加密功效;第三,加解密处置在客户端举行,不会影响数据库服务器的效力。
数据库加/脱密引擎是数据库加密体系的中心部件,它位于使用程序与数据库服务器之间,卖力在背景完成数据库信息的加/脱密处置,对使用开辟职员和操纵职员来讲是通明的。数据加/脱密引擎没有操纵界面,在必要时由操纵体系主动加载并驻留在内存中,经由过程外部接口与加密字典办理程序和用户使用程序通信。数据库加/脱密引擎由三年夜模块构成:加/脱密处置模块、用户接口模块和数据库接口模块,如所示。个中,"数据库接口模块"的次要事情是承受用户的操纵哀求,并传送给"加/脱密处置模块",别的还要取代"加/脱密处置模块"往会见数据库服务器,并完成内部接口参数与加/脱密引擎外部数据布局之间的转换。"加/脱密处置模块"完成数据库加/脱密引擎的初始化、外部公用命令的处置、加密字典信息的检索、加密字典缓冲区的办理、SQL命令的加密变更、查询了局的脱密处置和加脱密算法完成等功效,别的还包含一些公用的帮助函数。
数据加/脱密处置的次要流程以下:
1)对SQL命令举行语法剖析,假如语法准确,转下一步;如不准确,则转6),间接将SQL命令交数据库服务器处置。
2)是不是为数据库加/脱密引擎的外部把持命令?假如是,则处置外部把持命令,然后转7);假如不是则转下一步。
3)反省数据库加/脱密引擎是不是处于封闭形态或SQL命令是不是只必要编译?假如是则转6),不然转下一步。
4)检索加密字典,依据加密界说对SQL命令举行加脱私语义剖析。
5)SQL命令是不是必要加密处置?假如是,则将SQL命令举行加密变更,交换原SQL命令,然后转下一步;不然间接转下一步。
6)将SQL命令转送数据库服务器处置。
7)SQL命令实行终了,扫除SQL命令缓冲区。
以上以一个例子申明了在DBMS外层完成加密功效的道理。
5.停止语
本文对数据库体系平安防进侵手艺举行综述,提出了数据库体系的平安系统三个条理框架,并对三个条理的手艺手腕睁开形貌。文中还以在DBMS外层完成加密功效的道理为例,具体申明了怎样使用数据库办理体系条理的平安手艺。
数据库体系平安框架的三个条理是相辅相承的,各条理的提防重点和所接纳的手艺手腕也不尽不异,一个好的平安体系必需综合思索核使用这些手艺,以包管数据的平安。
加密字典办理程序
加密体系
使用程序
数据库加脱密引擎
数据库服务器
加密字典
用户数据
按以上体例完成的数据库加密体系具有良多长处:起首,体系对数据库的终极用户是完整通明的,办理员能够依据必要举行明文和密文的转换事情;其次,加密体系完整自力于数据库使用体系,不必修改数据库使用体系就可以完成数据加密功效;第三,加解密处置在客户端举行,不会影响数据库服务器的效力。
数据库加/脱密引擎是数据库加密体系的中心部件,它位于使用程序与数据库服务器之间,卖力在背景完成数据库信息的加/脱密处置,对使用开辟职员和操纵职员来讲是通明的。数据加/脱密引擎没有操纵界面,在必要时由操纵体系主动加载并驻留在内存中,经由过程外部接口与加密字典办理程序和用户使用程序通信。数据库加/脱密引擎由三年夜模块构成:加/脱密处置模块、用户接口模块和数据库接口模块,如所示。个中,"数据库接口模块"的次要事情是承受用户的操纵哀求,并传送给"加/脱密处置模块",别的还要取代"加/脱密处置模块"往会见数据库服务器,并完成内部接口参数与加/脱密引擎外部数据布局之间的转换。"加/脱密处置模块"完成数据库加/脱密引擎的初始化、外部公用命令的处置、加密字典信息的检索、加密字典缓冲区的办理、SQL命令的加密变更、查询了局的脱密处置和加脱密算法完成等功效,别的还包含一些公用的帮助函数。
数据加/脱密处置的次要流程以下:
1)对SQL命令举行语法剖析,假如语法准确,转下一步;如不准确,则转6),间接将SQL命令交数据库服务器处置。
2)是不是为数据库加/脱密引擎的外部把持命令?假如是,则处置外部把持命令,然后转7);假如不是则转下一步。
3)反省数据库加/脱密引擎是不是处于封闭形态或SQL命令是不是只必要编译?假如是则转6),不然转下一步。
4)检索加密字典,依据加密界说对SQL命令举行加脱私语义剖析。
5)SQL命令是不是必要加密处置?假如是,则将SQL命令举行加密变更,交换原SQL命令,然后转下一步;不然间接转下一步。
6)将SQL命令转送数据库服务器处置。
7)SQL命令实行终了,扫除SQL命令缓冲区。
以上以一个例子申明了在DBMS外层完成加密功效的道理。
5.停止语
本文对数据库体系平安防进侵手艺举行综述,提出了数据库体系的平安系统三个条理框架,并对三个条理的手艺手腕睁开形貌。文中还以在DBMS外层完成加密功效的道理为例,具体申明了怎样使用数据库办理体系条理的平安手艺。
数据库体系平安框架的三个条理是相辅相承的,各条理的提防重点和所接纳的手艺手腕也不尽不异,一个好的平安体系必需综合思索核使用这些手艺,以包管数据的平安。
1.媒介
跟着盘算机手艺的飞速开展,数据库的使用非常普遍,深切到各个范畴,但随之而来发生了数据的平安成绩。各类使用体系的数据库中大批数据的平安成绩、敏感数据的防夺取和防改动成绩,愈来愈引发人们的高度器重。数据库体系作为信息的会萃体,是盘算机信息体系的中心部件,其平安性相当主要,干系到企业兴衰、国度平安。因而,怎样无效地包管数据库体系的平安,完成数据的保密性、完全性和无效性,已成为业界人士探究研讨的主要课题之一,本文就平安防进侵手艺做扼要的会商。
数据库体系的平安除依附本身外部的平安机制外,还与内部收集情况、使用情况、从业职员本质等要素互相关注,因而,从狭义上讲,数据库体系的平安框架能够分别为三个条理:
⑴收集体系条理;
⑵宿主操纵体系条理;
⑶数据库办理体系条理。
这三个条理修建成数据库体系的平安系统,与数据平安的干系是慢慢严密的,提防的主要性也逐层增强,从外到内、由表及里包管数据的平安。上面就平安框架的三个条理睁开叙述。
2.收集体系条理平安手艺
从狭义上讲,数据库的平安起首倚赖于收集体系。跟着Internet的开展提高,愈来愈多的公司将其中心营业向互联网转移,各类基于收集的数据库使用体系如雨后春笋般出现出来,面向收集用户供应各类信息服务。能够说收集体系是数据库使用的内部情况和基本,数据库体系要发扬其壮大感化离不开收集体系的撑持,数据库体系的用户(如异地用户、散布式用户)也要经由过程收集才干会见数据库的数据。收集体系的平安是数据库平安的第一道屏蔽,内部进侵起首就是从进侵收集体系入手下手的。收集进侵试图损坏信息体系的完全性、秘密性或可托任的任何收集举动的汇合,具有以下特性[1]:
a)没有地区和工夫的限定,超过版图的打击就好像在现场一样便利;
b)经由过程收集的打击常常混同在大批一般的收集举动当中,潜伏性强;
c)进侵手腕加倍潜伏和庞大。
盘算机收集体系开放式情况面对的威逼次要有以下几品种型[2]:a)棍骗(Masquerade);b)重发(Replay);c)报文修正(Modificationofmessage);d)回绝服务(Denyofservice);e)圈套门(Trapdoor);f)特洛伊木马(Trojanhorse);g)打击如透纳打击(TunnelingAttack)、使用软件打击等。这些平安威逼是无时、无处不在的,因而必需接纳无效的措施来保证体系的平安。
从手艺角度讲,收集体系条理的平安提防手艺有良多种,大抵能够分为防火墙、进侵检测、合作式进侵检测手艺等。
⑴防火墙。防火墙是使用最广的一种提防手艺。作为体系的第一道防地,其次要感化是监控可托任收集和不成信托收集之间的会见通道,可在外部与内部收集之间构成一道防护屏蔽,拦阻来自内部的不法会见并制止外部信息的外泄,但它没法拦阻来自收集外部的不法操纵。它依据事前设定的划定规矩来断定是不是拦阻信息流的收支,但没法静态辨认或自顺应地调剂划定规矩,因此其智能化水平很无限。防火墙手艺次要有三种:数据包过滤器(packetfilter)、代办署理(proxy)和形态剖析(statefulinspection)。古代防火墙产物一般夹杂利用这几种手艺。
⑵进侵检测。进侵检测(IDS--InstrusionDetectionSystem)是最近几年来开展起来的一种提防手艺,综合接纳了统计手艺、划定规矩办法、收集通讯手艺、野生智能、暗码学、推理等手艺和办法,其感化是监控收集和盘算机体系是不是呈现被进侵或滥用的征象。1987年,DerothyDenning初次提出了一种检测进侵的头脑,经由不休开展和完美,作为监控和辨认打击的尺度办理计划,IDS体系已成为平安进攻体系的主要构成部分。
进侵检测接纳的剖析手艺可分为三年夜类:署名、统计和数据完全性剖析法。
①署名剖析法。次要用来监测对体系的已知缺点举行打击的举动。人们从打击形式中归结出它的署名,编写到IDS体系的代码里。署名剖析实践上是一种模板婚配操纵。
②统计剖析法。以统计学为实际基本,以体系一般利用情形下察看到的举措形式为根据来辨别某个举措是不是偏离了一般轨道。
③数据完全性剖析法。以暗码学为实际基本,能够查证文件大概工具是不是被他人修正过。
IDS的品种包含基于收集和基于主机的进侵监测体系、基于特性的和基于非一般的进侵监测体系、及时和非及时的进侵监测体系等[1]。
⑶合作式进侵监测手艺
自力的进侵监测体系不克不及够对普遍产生的各类进侵举动都做出无效的监测和反响,为了填补自力运作的不敷,人们提出了合作式进侵监测体系的设法。在合作式进侵监测体系中,IDS基于一种一致的标准,进侵监测组件之间主动地互换信息,而且经由过程信息的互换失掉了对进侵的无效监测,能够使用于分歧的收集情况[3]。
3.宿主操纵体系条理平安手艺
操纵体系是年夜型数据库体系的运转平台,为数据库体系供应必定水平的平安回护。今朝操纵体系平台年夜多半会合在WindowsNT和Unix,平安级别一般为C1、C2级。次要平安手艺有操纵体系平安战略、平安办理战略、数据平安等方面。
操纵体系平安战略用于设置当地盘算机的平安设置,包含暗码战略、账户锁定战略、考核战略、IP平安战略、用户权力指派、加密数据的恢复代办署理和别的平安选项[7]。详细能够表现在用户账户、口令、会见权限、审计等方面。
用户账户:用户会见体系的"身份证",只要正当用户才有账户。
口令:用户的口令为用户会见体系供应一道考证。
会见权限:划定用户的权限。
审计:对用户的举动举行跟踪和纪录,便于体系办理员剖析体系的会见情形和过后的清查利用。
平安办理战略是指收集办理员对体系实行平安办理所接纳的办法及战略。针对分歧的操纵体系、收集情况必要接纳的平安办理战略一样平常也不尽不异,其中心是包管服务器的平安和分派好各种用户的权限。
数据平安次要表现在以下几个方面:数据加密手艺、数据备份、数据存储的平安性、数据传输的平安性等。能够接纳的手艺良多,次要有Kerberos认证、IPSec、SSL、TLS、VPN(PPTP、L2TP)等手艺。
4.数据库办理体系条理平安手艺
数据库体系的平安性很年夜水平上依附于数据库办理体系。假如数据库办理体系平安机制十分壮大,则数据库体系的平安功能就较好。今朝市场下流行的是干系式数据库办理体系,其平安性功效很弱,这就招致数据库体系的平安性存在必定的威逼。
因为数据库体系在操纵体系下都是以文件情势举行办理的,因而进侵者能够间接使用操纵体系的毛病夺取数据库文件,大概间接使用OS工具来不法假造、改动数据库文件内容。这类隐患一样平常数据库用户难以发觉,剖析和梗塞这类毛病被以为是B2级的平安手艺措施[4]。
数据库办理体系条理平安手艺次要是用来办理这一成绩,即以后面两个条理已被冲破的情形下仍能保证数据库数据的平安,这就请求数据库办理体系必需有一套强无力的平安机制。办理这一成绩的无效办法之一是数据库办理体系对数据库文件举行加密处置,使得即便数据不幸保守大概丧失,也难以被人破译和浏览。
我们能够思索在三个分歧条理完成对数据库数据的加密,这三个条理分离是OS层、DBMS内核层和DBMS外层。
⑴在OS层加密。在OS层没法识别数据库文件中的数据干系,从而没法发生公道的密钥,对密钥公道的办理和利用也很难。以是,对年夜型数据库来讲,在OS层对数据库文件举行加密很难完成。
⑵在DBMS内核层完成加密。这类加密是指数据在物理存取之前完成加/脱密事情。这类加密体例的长处是加密功效强,而且加密功效几近不会影响DBMS的功效,能够完成加密功效与数据库办理体系之间的无缝耦合。其弱点是加密运算在服务器端举行,减轻了服务器的负载,并且DBMS和加密器之间的接口必要DBMS开辟商的撑持。
界说加密请求工具
DBMS
数据库使用体系
加密器
(软件或硬件)
⑶在DBMS外层完成加密。对照实践的做法是将数据库加密体系做成DBMS的一个外层工具,依据加密请求主动完成对数据库数据的加/脱密处置:
界说加密请求工具加密器
(软件或硬件)
DBMS
数据库使用体系
接纳这类加密体例举行加密,加/脱密运算可在客户端举行,它的长处是不会减轻数据库服务器的负载而且能够完成网上传输的加密,弱点是加密功效会遭到一些限定,与数据库办理体系之间的耦合性稍差。
上面我们进一步注释在DBMS外层完成加密功效的道理:
数据库加密体系分红两个功效自力的次要部件:一个是加密字典办理程序,另外一个是数据库加/脱密引擎。数据库加密体系将用户对数据库信息详细的加密请求和基本信息保留在加密字典中,经由过程挪用数据加/脱密引擎完成对数据库表的加密、脱密及数据转换等功效。数据库信息的加/脱密处置是在背景完成的,对数据库服务器是通明的。
加密字典办理程序
加密体系
使用程序
数据库加脱密引擎
数据库服务器
加密字典
用户数据
按以上体例完成的数据库加密体系具有良多长处:起首,体系对数据库的终极用户是完整通明的,办理员能够依据必要举行明文和密文的转换事情;其次,加密体系完整自力于数据库使用体系,不必修改数据库使用体系就可以完成数据加密功效;第三,加解密处置在客户端举行,不会影响数据库服务器的效力。
数据库加/脱密引擎是数据库加密体系的中心部件,它位于使用程序与数据库服务器之间,卖力在背景完成数据库信息的加/脱密处置,对使用开辟职员和操纵职员来讲是通明的。数据加/脱密引擎没有操纵界面,在必要时由操纵体系主动加载并驻留在内存中,经由过程外部接口与加密字典办理程序和用户使用程序通信。数据库加/脱密引擎由三年夜模块构成:加/脱密处置模块、用户接口模块和数据库接口模块,如所示。个中,"数据库接口模块"的次要事情是承受用户的操纵哀求,并传送给"加/脱密处置模块",别的还要取代"加/脱密处置模块"往会见数据库服务器,并完成内部接口参数与加/脱密引擎外部数据布局之间的转换。"加/脱密处置模块"完成数据库加/脱密引擎的初始化、外部公用命令的处置、加密字典信息的检索、加密字典缓冲区的办理、SQL命令的加密变更、查询了局的脱密处置和加脱密算法完成等功效,别的还包含一些公用的帮助函数。
数据加/脱密处置的次要流程以下:
1)对SQL命令举行语法剖析,假如语法准确,转下一步;如不准确,则转6),间接将SQL命令交数据库服务器处置。
2)是不是为数据库加/脱密引擎的外部把持命令?假如是,则处置外部把持命令,然后转7);假如不是则转下一步。
3)反省数据库加/脱密引擎是不是处于封闭形态或SQL命令是不是只必要编译?假如是则转6),不然转下一步。
4)检索加密字典,依据加密界说对SQL命令举行加脱私语义剖析。
5)SQL命令是不是必要加密处置?假如是,则将SQL命令举行加密变更,交换原SQL命令,然后转下一步;不然间接转下一步。
6)将SQL命令转送数据库服务器处置。
7)SQL命令实行终了,扫除SQL命令缓冲区。
以上以一个例子申明了在DBMS外层完成加密功效的道理。
5.停止语
本文对数据库体系平安防进侵手艺举行综述,提出了数据库体系的平安系统三个条理框架,并对三个条理的手艺手腕睁开形貌。文中还以在DBMS外层完成加密功效的道理为例,具体申明了怎样使用数据库办理体系条理的平安手艺。
数据库体系平安框架的三个条理是相辅相承的,各条理的提防重点和所接纳的手艺手腕也不尽不异,一个好的平安体系必需综合思索核使用这些手艺,以包管数据的平安。
加密字典办理程序
加密体系
使用程序
数据库加脱密引擎
数据库服务器
加密字典
用户数据
按以上体例完成的数据库加密体系具有良多长处:起首,体系对数据库的终极用户是完整通明的,办理员能够依据必要举行明文和密文的转换事情;其次,加密体系完整自力于数据库使用体系,不必修改数据库使用体系就可以完成数据加密功效;第三,加解密处置在客户端举行,不会影响数据库服务器的效力。
数据库加/脱密引擎是数据库加密体系的中心部件,它位于使用程序与数据库服务器之间,卖力在背景完成数据库信息的加/脱密处置,对使用开辟职员和操纵职员来讲是通明的。数据加/脱密引擎没有操纵界面,在必要时由操纵体系主动加载并驻留在内存中,经由过程外部接口与加密字典办理程序和用户使用程序通信。数据库加/脱密引擎由三年夜模块构成:加/脱密处置模块、用户接口模块和数据库接口模块,如所示。个中,"数据库接口模块"的次要事情是承受用户的操纵哀求,并传送给"加/脱密处置模块",别的还要取代"加/脱密处置模块"往会见数据库服务器,并完成内部接口参数与加/脱密引擎外部数据布局之间的转换。"加/脱密处置模块"完成数据库加/脱密引擎的初始化、外部公用命令的处置、加密字典信息的检索、加密字典缓冲区的办理、SQL命令的加密变更、查询了局的脱密处置和加脱密算法完成等功效,别的还包含一些公用的帮助函数。
数据加/脱密处置的次要流程以下:
1)对SQL命令举行语法剖析,假如语法准确,转下一步;如不准确,则转6),间接将SQL命令交数据库服务器处置。
2)是不是为数据库加/脱密引擎的外部把持命令?假如是,则处置外部把持命令,然后转7);假如不是则转下一步。
3)反省数据库加/脱密引擎是不是处于封闭形态或SQL命令是不是只必要编译?假如是则转6),不然转下一步。
4)检索加密字典,依据加密界说对SQL命令举行加脱私语义剖析。
5)SQL命令是不是必要加密处置?假如是,则将SQL命令举行加密变更,交换原SQL命令,然后转下一步;不然间接转下一步。
6)将SQL命令转送数据库服务器处置。
7)SQL命令实行终了,扫除SQL命令缓冲区。
以上以一个例子申明了在DBMS外层完成加密功效的道理。
5.停止语
本文对数据库体系平安防进侵手艺举行综述,提出了数据库体系的平安系统三个条理框架,并对三个条理的手艺手腕睁开形貌。文中还以在DBMS外层完成加密功效的道理为例,具体申明了怎样使用数据库办理体系条理的平安手艺。
数据库体系平安框架的三个条理是相辅相承的,各条理的提防重点和所接纳的手艺手腕也不尽不异,一个好的平安体系必需综合思索核使用这些手艺,以包管数据的平安。
⑶合作式进侵监测手艺
自力的进侵监测体系不克不及够对普遍产生的各类进侵举动都做出无效的监测和反响,为了填补自力运作的不敷,人们提出了合作式进侵监测体系的设法。在合作式进侵监测体系中,IDS基于一种一致的标准,进侵监测组件之间主动地互换信息,而且经由过程信息的互换失掉了对进侵的无效监测,能够使用于分歧的收集情况[3]。
3.宿主操纵体系条理平安手艺
操纵体系是年夜型数据库体系的运转平台,为数据库体系供应必定水平的平安回护。今朝操纵体系平台年夜多半会合在WindowsNT和Unix,平安级别一般为C1、C2级。次要平安手艺有操纵体系平安战略、平安办理战略、数据平安等方面。
操纵体系平安战略用于设置当地盘算机的平安设置,包含暗码战略、账户锁定战略、考核战略、IP平安战略、用户权力指派、加密数据的恢复代办署理和别的平安选项[7]。详细能够表现在用户账户、口令、会见权限、审计等方面。
用户账户:用户会见体系的"身份证",只要正当用户才有账户。
口令:用户的口令为用户会见体系供应一道考证。
会见权限:划定用户的权限。
审计:对用户的举动举行跟踪和纪录,便于体系办理员剖析体系的会见情形和过后的清查利用。
平安办理战略是指收集办理员对体系实行平安办理所接纳的办法及战略。针对分歧的操纵体系、收集情况必要接纳的平安办理战略一样平常也不尽不异,其中心是包管服务器的平安和分派好各种用户的权限。
数据平安次要表现在以下几个方面:数据加密手艺、数据备份、数据存储的平安性、数据传输的平安性等。能够接纳的手艺良多,次要有Kerberos认证、IPSec、SSL、TLS、VPN(PPTP、L2TP)等手艺。
4.数据库办理体系条理平安手艺
数据库体系的平安性很年夜水平上依附于数据库办理体系。假如数据库办理体系平安机制十分壮大,则数据库体系的平安功能就较好。今朝市场下流行的是干系式数据库办理体系,其平安性功效很弱,这就招致数据库体系的平安性存在必定的威逼。
因为数据库体系在操纵体系下都是以文件情势举行办理的,因而进侵者能够间接使用操纵体系的毛病夺取数据库文件,大概间接使用OS工具来不法假造、改动数据库文件内容。这类隐患一样平常数据库用户难以发觉,剖析和梗塞这类毛病被以为是B2级的平安手艺措施[4]。
数据库办理体系条理平安手艺次要是用来办理这一成绩,即以后面两个条理已被冲破的情形下仍能保证数据库数据的平安,这就请求数据库办理体系必需有一套强无力的平安机制。办理这一成绩的无效办法之一是数据库办理体系对数据库文件举行加密处置,使得即便数据不幸保守大概丧失,也难以被人破译和浏览。
我们能够思索在三个分歧条理完成对数据库数据的加密,这三个条理分离是OS层、DBMS内核层和DBMS外层。
⑴在OS层加密。在OS层没法识别数据库文件中的数据干系,从而没法发生公道的密钥,对密钥公道的办理和利用也很难。以是,对年夜型数据库来讲,在OS层对数据库文件举行加密很难完成。
⑵在DBMS内核层完成加密。这类加密是指数据在物理存取之前完成加/脱密事情。这类加密体例的长处是加密功效强,而且加密功效几近不会影响DBMS的功效,能够完成加密功效与数据库办理体系之间的无缝耦合。其弱点是加密运算在服务器端举行,减轻了服务器的负载,并且DBMS和加密器之间的接口必要DBMS开辟商的撑持。
界说加密请求工具
DBMS
数据库使用体系
加密器
(软件或硬件)
⑶在DBMS外层完成加密。对照实践的做法是将数据库加密体系做成DBMS的一个外层工具,依据加密请求主动完成对数据库数据的加/脱密处置:
界说加密请求工具加密器
(软件或硬件)
DBMS
数据库使用体系
接纳这类加密体例举行加密,加/脱密运算可在客户端举行,它的长处是不会减轻数据库服务器的负载而且能够完成网上传输的加密,弱点是加密功效会遭到一些限定,与数据库办理体系之间的耦合性稍差。
上面我们进一步注释在DBMS外层完成加密功效的道理:
数据库加密体系分红两个功效自力的次要部件:一个是加密字典办理程序,另外一个是数据库加/脱密引擎。数据库加密体系将用户对数据库信息详细的加密请求和基本信息保留在加密字典中,经由过程挪用数据加/脱密引擎完成对数据库表的加密、脱密及数据转换等功效。数据库信息的加/脱密处置是在背景完成的,对数据库服务器是通明的。
加密字典办理程序
加密体系
使用程序
数据库加脱密引擎
数据库服务器
加密字典
用户数据
按以上体例完成的数据库加密体系具有良多长处:起首,体系对数据库的终极用户是完整通明的,办理员能够依据必要举行明文和密文的转换事情;其次,加密体系完整自力于数据库使用体系,不必修改数据库使用体系就可以完成数据加密功效;第三,加解密处置在客户端举行,不会影响数据库服务器的效力。
数据库加/脱密引擎是数据库加密体系的中心部件,它位于使用程序与数据库服务器之间,卖力在背景完成数据库信息的加/脱密处置,对使用开辟职员和操纵职员来讲是通明的。数据加/脱密引擎没有操纵界面,在必要时由操纵体系主动加载并驻留在内存中,经由过程外部接口与加密字典办理程序和用户使用程序通信。数据库加/脱密引擎由三年夜模块构成:加/脱密处置模块、用户接口模块和数据库接口模块,如所示。个中,"数据库接口模块"的次要事情是承受用户的操纵哀求,并传送给"加/脱密处置模块",别的还要取代"加/脱密处置模块"往会见数据库服务器,并完成内部接口参数与加/脱密引擎外部数据布局之间的转换。"加/脱密处置模块"完成数据库加/脱密引擎的初始化、外部公用命令的处置、加密字典信息的检索、加密字典缓冲区的办理、SQL命令的加密变更、查询了局的脱密处置和加脱密算法完成等功效,别的还包含一些公用的帮助函数。
数据加/脱密处置的次要流程以下:
1)对SQL命令举行语法剖析,假如语法准确,转下一步;如不准确,则转6),间接将SQL命令交数据库服务器处置。
2)是不是为数据库加/脱密引擎的外部把持命令?假如是,则处置外部把持命令,然后转7);假如不是则转下一步。
3)反省数据库加/脱密引擎是不是处于封闭形态或SQL命令是不是只必要编译?假如是则转6),不然转下一步。
4)检索加密字典,依据加密界说对SQL命令举行加脱私语义剖析。
5)SQL命令是不是必要加密处置?假如是,则将SQL命令举行加密变更,交换原SQL命令,然后转下一步;不然间接转下一步。
6)将SQL命令转送数据库服务器处置。
7)SQL命令实行终了,扫除SQL命令缓冲区。
以上以一个例子申明了在DBMS外层完成加密功效的道理。
5.停止语
本文对数据库体系平安防进侵手艺举行综述,提出了数据库体系的平安系统三个条理框架,并对三个条理的手艺手腕睁开形貌。文中还以在DBMS外层完成加密功效的道理为例,具体申明了怎样使用数据库办理体系条理的平安手艺。
数据库体系平安框架的三个条理是相辅相承的,各条理的提防重点和所接纳的手艺手腕也不尽不异,一个好的平安体系必需综合思索核使用这些手艺,以包管数据的平安。
加密字典办理程序
加密体系
使用程序
数据库加脱密引擎
数据库服务器
加密字典
用户数据
按以上体例完成的数据库加密体系具有良多长处:起首,体系对数据库的终极用户是完整通明的,办理员能够依据必要举行明文和密文的转换事情;其次,加密体系完整自力于数据库使用体系,不必修改数据库使用体系就可以完成数据加密功效;第三,加解密处置在客户端举行,不会影响数据库服务器的效力。
数据库加/脱密引擎是数据库加密体系的中心部件,它位于使用程序与数据库服务器之间,卖力在背景完成数据库信息的加/脱密处置,对使用开辟职员和操纵职员来讲是通明的。数据加/脱密引擎没有操纵界面,在必要时由操纵体系主动加载并驻留在内存中,经由过程外部接口与加密字典办理程序和用户使用程序通信。数据库加/脱密引擎由三年夜模块构成:加/脱密处置模块、用户接口模块和数据库接口模块,如所示。个中,"数据库接口模块"的次要事情是承受用户的操纵哀求,并传送给"加/脱密处置模块",别的还要取代"加/脱密处置模块"往会见数据库服务器,并完成内部接口参数与加/脱密引擎外部数据布局之间的转换。"加/脱密处置模块"完成数据库加/脱密引擎的初始化、外部公用命令的处置、加密字典信息的检索、加密字典缓冲区的办理、SQL命令的加密变更、查询了局的脱密处置和加脱密算法完成等功效,别的还包含一些公用的帮助函数。
数据加/脱密处置的次要流程以下:
1)对SQL命令举行语法剖析,假如语法准确,转下一步;如不准确,则转6),间接将SQL命令交数据库服务器处置。
2)是不是为数据库加/脱密引擎的外部把持命令?假如是,则处置外部把持命令,然后转7);假如不是则转下一步。
3)反省数据库加/脱密引擎是不是处于封闭形态或SQL命令是不是只必要编译?假如是则转6),不然转下一步。
4)检索加密字典,依据加密界说对SQL命令举行加脱私语义剖析。
5)SQL命令是不是必要加密处置?假如是,则将SQL命令举行加密变更,交换原SQL命令,然后转下一步;不然间接转下一步。
6)将SQL命令转送数据库服务器处置。
7)SQL命令实行终了,扫除SQL命令缓冲区。
以上以一个例子申明了在DBMS外层完成加密功效的道理。
5.停止语
本文对数据库体系平安防进侵手艺举行综述,提出了数据库体系的平安系统三个条理框架,并对三个条理的手艺手腕睁开形貌。文中还以在DBMS外层完成加密功效的道理为例,具体申明了怎样使用数据库办理体系条理的平安手艺。
数据库体系平安框架的三个条理是相辅相承的,各条理的提防重点和所接纳的手艺手腕也不尽不异,一个好的平安体系必需综合思索核使用这些手艺,以包管数据的平安。
也就是说在php本地调用pdoprepare中的mysql_real_escape_string来操作query,使用的是本地单字节字符集,即编码为xbfx5cx27,并带入到mysql中查询,由于使用setnames设置了连接字符集.
作者:
乐观
时间:
2015-1-19 21:09
where子句的作用是在对查询结果进行分组前,将不符合where条件的行去掉,即在分组之前过滤数据,条件中不能包含聚组函数,使用where条件显示特定的行。
作者:
小魔女
时间:
2015-1-25 21:43
所以你总能得到相应的升级版本,来满足你的需求。
作者:
变相怪杰
时间:
2015-2-4 03:59
但换公司用MSSQL2K感觉自己好像根本就不了解MSSQL。什么DTS触发器以前根本没用过。
作者:
柔情似水
时间:
2015-2-9 15:41
其中最有名的应该是row_number了。这个终于解决了用临时表生成序列号的历史,而且SQLServer2005的row_number比Oracle的更先进。因为它把Orderby集成到了一起,不用像Oracle那样还要用子查询进行封装。
作者:
精灵巫婆
时间:
2015-2-27 08:49
需要注意的一点,也是我使用过程中发现的一个问题。在建立function->schema->table后,如果在现有的分区表上建立没有显式声明的聚集索引时,分区表会自动变为非分区表。这一点很让我纳闷。
作者:
飘飘悠悠
时间:
2015-3-9 00:12
分区表是个亮点!从分区表也能看出微软要做大作强SQLServer的信心。资料很多,这里不详细说。但是重点了解的是:现在的SQLServer2005的表,都是默认为分区表的。因为它要支持滑动窗口的这个特性。这种特性对历史数据和实时数据的处理是很有帮助的。
作者:
仓酷云
时间:
2015-3-16 19:15
记得在最开始使用2k的时候就要用到这个功能,可惜2k没有,现在有了作解决方案的朋友会很高兴吧。
作者:
小妖女
时间:
2015-3-23 00:12
始终遗憾SQLServer的登陆无法分配CPU/内存占用等指标数。如果你的SQLServer给别人分配了一个只可以读几个表的权限,而这个家伙疯狂的死循环进行连接查询,会给你的系统带来很大的负担。
欢迎光临 仓酷云 (http://ckuyun.com/)
Powered by Discuz! X3.2