信息系统安全论文

信息系统安全在web数据库中的应用XX（XXXX计算机学院武汉430072）摘要随着计算机技术的发展，基于web的信息系统越来越多，web数据库应用也越来越广泛，而面临的数据库安全也显得日益突出。当然web数据库安全离不开信息安全，所以信息系统安全的重要性也越来越重要。数据库中存储了大量的信息资源，是信息安全的一个重要方面。安全数据库已在各业务领域得到应用。数据库安全是一个广阔的的领域，从传统的备份与还原，认证与访问控制，到数据存储和通讯环节的加密，作为操作系统之上的应用平台，其安全与网络和主机安全息息相关。本文首先讲解了信息安全，然后把信息安全与数据库安全连接起来，突出数据库安全的重要性，在讲到为确保数据库安全的一些防护措施。关键词信息安全；web数据库安全ApplicationoftheinformationsystemsecurityinwebdatabaseWuChao(ComputerCollegeofWuhanUniversity,Wuhan430072)AbstractWiththedevelopmentofcomputertechnology,theinformationsystembasedwebhasincreasing,webdatabaseisbecomingmoreandmorewidelyappliedandfacingthedatabasesecurityalsoappearsinhisprominent.Ofcoursethewebdatabasesecuritydependontheinformationsecurity,sotheimportanceofinformationsystemsecurityisbecomingmoreandmoreimportant.Storedinthedatabaseofinformationresources,itisanimportantaspectofinformationsecurity.Securitydatabasehasbeenappliedinvariousareasofbusiness.Databasesecurityisabroadfield,fromtraditionalbackupandrestore,authenticationandaccesscontrol,totheencryptionofdatastorageandcommunicationlinks,astheapplicationoftheoperatingsystemplatform,itssecurityiscloselyrelatedtonetworkandhostsecurity.Thispaperexplainstheinformationsecurity,andthenconnecttheinformationsecurityanddatabasesecurity,highlightstheimportanceofthedatabasesecurity,theytalkaboutthesomeprotectivemeasurestoensurethedatabasesecurity.Keywordsinformationsecurity;webdatabasesecurity1引言近年来,随着计算机网络技术的不断发展,特别是Internet的发展,使数据库已经广泛的应用到了各个领域，随之而来的数据安全问题也越来越凸显出来。现在网络上的非法入侵方式特别多，可以说每天都是以很大的数据量记录着，Web数据库[1]在面对着来自本地和网络的非法入侵方法，更需要采取一系列的防护措施，来保证数据的完整性。网络在为社会和人们的生活带来极大方便和巨大利益的同时，也由于网络犯罪数量的与日俱增，使许多企业和个人遭受了巨大的经济损失。利用网络进行犯罪的现象，在商业、金融、经济业务等领域尤为突出，例如，在网络银行和电子现金交易等场合，出现了多起由于网络犯罪而引发的个人银行账户现金丢失和电子支付宝被窃取的事件。由于数据库安全是网络安全的一个重要组成部分，所以，数据库安全也由于网络安全的问题理所当然的被提到了的重要位置。本文首先讲述信息安全的定义、必要性和Web数据库的基础知识，并且简单介绍了信息安全与Web数据库安全的关系。然后讲述了密码学的相关知识，包括密码学的概念、工作原理和数据库加密的概述，同时，在数据加密方法的选择中，介绍了DES和RSA等加密算法以及对子密钥算法的研究术对信息安全领域产生巨大的影响。2信息安全计算机信息安全[2]是一个涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的边缘性综合学科。计算机信息安全中的“安全”一词是指将服务与资源的脆弱性降到最低限度。国际标准化组织(ISO)[2]将“计算机安全”定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。”此概念偏重于静态信息保护。也有人将“计算机安全”定义为：“计算机的硬件、软件和数据受到保护，不因偶然和恶意的原因而遭到破坏、更改和泄露，系统连续正常运行。”该定义着重于动态意义描述。在美国国家信息基础设施的文献中，给出了安全的五个属性：可用性、可控性、完整性、保密性和不可抵赖性。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性。信息安全是任何国家、政府、部门、行业都必须十分重视的问题，是一个不容忽视的国家安全战略。2.1信息安全特征保证信息安全，最根本的就是保证信息安全的基本特征发挥作用。因此，下面先介绍信息安全的5大特征[3]。2.1.1完整性指信息在传输、交换、存储和处理过程保持非修改、非破坏和非丢失的特性，即保持信息原样性，使信息能正确生成、存储、传输，这是最基本的安全特征。2.1.2保密性指信息按给定要求不泄漏给非授权的个人、实体或过程，或提供其利用的特性，即杜绝有用信息泄漏给非授权个人或实体，强调有用信息只被授权对象使用的特征。2.1.3可用性指网络信息可被授权实体正确访问，并按要求能正常使用或在非正常情况下能恢复使用的特征，即在系统运行时能正确存取所需信息，当系统遭受攻击或破坏时，能迅速恢复并能投入使用。可用性是衡量网络信息系统面向用户的一种安全性能。2.1.4不可否认性指通信双方在信息交互过程中，确信参与者本身，以及参与者所提供的信息的真实同一性，即所有参与者都不可能否认或抵赖本人的真实身份，以及提供信息的原样性和完成的操作与承诺。2.1.5可控性指对流通在网络系统中的信息传播及具体内容能够实现有效控制的特性，即网络系统中的任何信息要在一定传输范围和存放空间内可控。除了采用常规的传播站点和传播内容监控这种形式外，最典型的如密码的托管政策，当加密算法交由第三方管理时，必须严格按规定可控执行。2.2web安全问题网站安全检测，也称网站安全评估、网站漏洞测试、Web安全检测等。它是通过技术手段对网站进行漏洞扫描，检测网页是否存在漏洞、网页是否挂马、网页有没有被篡改、是否有欺诈网站等，提醒网站管理员及时修复和加固，保障web网站的安全运行。2.2.1注入攻击检测Web网站是否存在诸如SQL注入、SSI注入、Ldap注入、Xpath注入等漏洞，如果存在该漏洞，攻击者对注入点进行注入攻击，可轻易获得网站的后台管理权限，甚至网站服务器的管理权限。2.2.2XSS跨站脚本检测Web网站是否存在XSS跨站脚本漏洞，如果存在该漏洞，网站可能遭受Cookie欺骗、网页挂马等攻击。2.2.3缓冲区溢出检测Web网站服务器和服务器软件，是否存在缓冲区溢出漏洞，如果存在，攻击者可通过此漏洞，获得网站或服务器的管理权限。2.2.4网页挂马检测Web网站是否被黑客或恶意攻击者非法植入了木马程序。2.2.5上传漏洞检测Web网站的上传功能是否存在上传漏洞，如果存在此漏洞，攻击者可直接利用该漏洞上传木马获得WebShell。2.2.6源代码泄露检测Web网络是否存在源代码泄露漏洞，如果存在此漏洞，攻击者可直接下载网站的源代码。2.2.7数据库泄露检测Web网站是否在数据库泄露的漏洞，如果存在此漏洞，攻击者通过暴库等方式，可以非法下载网站数据库。2.2.8管理地址泄露检测Web网站是否存在管理地址泄露功能，如果存在此漏洞，攻击者可轻易获得网站的后台管理地址。3web数据库安全随着因特网的迅速发展和日益普及，促进了人们在网上生产与消费信息的发展。除传统的文本信息外，涌现出了大量的超文本信息，如，图形、图像、声音和文本等。数据的一个很好的载体就是关系型数据库，但是关系数据库由于其的局限性，在这些非结构化的数据面前显得力不从心，于是基于Internet/Web的应用向数据库领域提出了严峻的挑战。Web技术与数据库技术的结合组成了Web数据库技术[4]。Web数据库，即网络数据库，又称为网站数据库。其实质是在传统的关系数据库技术之上，融最新网络技术、数据库技术、存储技术和检索技术为一体，完全基于Internet应用的数据库结构和数据模型的新型数据库。可以简单的认为，它是因特网+数据库。它开辟了一个Web数据库的新时代。无论是电子商务、网络信息检索系统、还有基于才C/S方式的信息管理系统等都离不开Web数据库技术。3.1web数据库的特点Web数据库是在传统数据库的基础上发展而来的，所以二者相比的话，Web数据库一定有很多突破。主要表现在下面几个方面：1）Web数据库包括的信息广泛，既包含结构化的信息资源，又包含非结构化的资源。2）数据库结构灵活，采用表的多维处理，并且可以根据实际情况变长存储。3）Web数据库支持一些新的编程工具如：ActiveX、XML等。4）在传统的数据库的基础上，增加很多数据类型，能够存储图形、声音、视频、大文本、动画等多媒体信息。5）改进了索引机制，提高了查询速度，提高了查准率和查全率。3.2web数据库的安全随着Web技术的广泛应用，基于Web的信息系统越来越多，Web数据库成为容易攻击的对象，特别对持有敏感信息的组织和部门来说更是如此，所以数据库系统应该得到有效的保护，也就是说，增强数据库的安全性已成为数据库研究和工程领域最为迫切的任务之一。这也是我在这里提出重点要讨论的东西。3.2.1数据库安全的定义数据库的安全定义就是保证数据库数据信息的保密性、完整性、一致性和可用性。保密性是指保护数据库中的数据不被泄露和未授权的获取；完整性是指保护数据库中数据不被破坏和删除；一致性是指确保数据库的数据满足实体完整性、参照完整性和用户定义完整性要求；可用性是指确保数据库中的数据不因人为和自然的原因对授权用户不可用。数据库管理系统安全技术要求包括：身份鉴别、标记与访问控制、数据完整性、数据库安全审计、客体重用、可信恢复、隐蔽信道和推理控制等。3.2.2Web数据库安全等级Web数据库的安全等级就是数据库的安全等级。在美国国防部根据军用计算机系统的安全需要，制定的《可信计算机系统安全评估标准》TCSEC中，将系统安全性分为7个级别[5]，建立的安全级别之间具有一种偏序向下兼容的关系，即较高安全性级别提供的安全保护要包含较低级别的所有保护要求，同时提供更多或更完善的保护能力。D级(最小保护级)是最低级别，不满足任何较高安全可信性的系统全部划D级。该级别说明整个系统都是不可信任的，硬件不提供任何保护作用，操作系统容易受到损害，不提供身份验证和访问控制机制以及最低限度的文档要求。MS-DOS、MacintoshSystem7.x可划入此级。C1级(自主安全保护级)只提供了非常初级的自主安全保护。它实际描述了一个典型的UNIX系统上可用的安全评测级别。其功能是能够实现对用户和数据的分离，进行自主存取控制(DAC)，保护或限制用户权限的传播。C2级(受控的存取保护级)实际是安全产品的最低档次，要求支持基于用户的自主访问控制机制，引入审计机制以记录和跟踪安全相关