第八章数据库的网络安全控制.ppt

数据库应用——电子商务 第八章 数据库的网络安全控制 第一节 数据库的网络安全问题 第二节 数据库的网络安全模型 第三节 数据库的网络安全控制技术 第四节 数据库网络安全模型和安全策略举例 第五节 SQL Server数据库的安全 第六节 几种常见的安全性问题 数据库的网络安全问题 随着网络技术的广泛应用，计算机系统的安全问题越来越引起人们的高度重视，数据库在网络上的安全性问题已经成为大型网络信息系统建设的一个十分重要的问题。 数据库的网络安全问题 一、 网络安全基础 网络面临的安全威胁 计算机网络所面临的威胁是指对网络中的信息和设备的威胁，这可能是有意的，也可能是无意的；可以是人为的，也可以不是人为的。计算机网络面临的最大威胁就是人为的恶意攻击，比如计算机犯罪等。 威胁网络安全的种类 计算机网络面临的安全威胁很多，可以简单地分为物理威胁、系统漏洞威胁、身份 1）物理威胁 2）系统漏洞威胁 3）身份鉴别威胁 4）通信及线缆连接威胁 5）有害程序 威协网络安全的因素 一般认为，威胁网络安全的因素如下： 1）计算机系统的脆弱性 2）协议安全的脆弱性 3）数据库管理系统安全的脆弱性 4）人为因素及管理的缺陷 5）各种外部威胁这主要包括对硬件设备的物理威胁等。 6）攻击变得越来越容易。技术的进步，各种免费工具及代码的出现，使得攻击者并不需要太多的知识就可以实施其攻击行为，这使得我们的网络变得越来越危险。 简单的防范措施 安全形式的种类很多。可以是物理形式的，如建立报警系统等；也可以是通过管理措施等来实现，还可以通过技术手段来实现。有一点应该引起注意，就是在安全设置中，各种形式和类型是相互补充加强的。具体的说，可以通过用备份和镜像技术提高数据完整性，通过防毒来减少病毒的侵害，通过安装补丁程序使系统更安全，也可以提高物理安全，构筑防火墙和加密。在管理方面。可以制定废品处理守则，并仔细阅读日志文件等。 网络安全的含义、特征及等级标准 前面我们探讨了网络所面临的安全威胁，实际上，自从这种安全威胁出现以来，全世界一直在不懈地进行努力，时至今日，网络安全已经成为一个重要的、发展异常迅速的学科。 网络安全的含义 网络安全是指网络系统的软、硬件及系统中的数据受到保护，不会因为偶然的或者恶意的原因而遭到破坏、更改、泄露，系统持续可靠正常地运行，网络服务不中断。 网络安全的含义 运行系统安全，即保证信息处理和传输系统的安全，多数是指操作系统安全。 网络上系统信息的安全，包括口令鉴别、用户存取权限控制、安全审计、计算机病毒防治和数据加密等。 网络上信息传播的安全，即信息传播后的安全。 网络上信息内容的安全，即我们讨论的狭义的“信息安全”。其侧重于保护信息的必威体育官网网址性、真实性和完整性。 物理安全。即网络中各种物理设备的安全，主要是指防盗、肪火、防静电、防雷击以及防电磁泄漏。 网络安全的特征 网络安全有必威体育官网网址性、完整性、可用性和可控性四个特征。 必威体育官网网址性：信息不泄露给非授权的用户、实体或过程，或供其利用的特性。 完整性：数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 可用性：可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。 可控性：对信息的传播及内容具有控制能力。 网络安全等级标准 不同的国家有不同的安全等级标准，如美国的TCSEC(橘皮书)，欧洲的ITSEC，加拿大的CTCPEC，ISO的安全体系结构标准：IS07498—2—1989《信息处理系统开放系统互连基本参考模型第2部分安全体系结构》，我国也有自己的等级标准。 美国的“可信计算机系统评估标准(TCSEC)” 橘皮书(正式名为“可信任计算机系统评估标准”)为计算机的安全级别进行了分类，分为D、C、B、A级，由低到高。D级暂时不分子级。C分为Cl和C2两个子级，C2比 C1提供更多的保护。B级分为B1、B2和B3三个子级，由低到高。A级暂时不分子级。 中国国家标准《计算机信息系统安全保护等级划分准则》 从2001年1月1日开始，我国实施强制性国家标准《计算机信息系统安全保护等级划分准则》，该准则将计算机信息系统安全保护等级划分为五个级别： 中国国家标准《计算机信息系统安全保护等级划分准则》 用户自主保护级。本级的安全保护机制使用户具备自主安全保护能力，