隨著計算機技術的進步使得關系型數(shù)據庫管理系統(tǒng)軟件得到了快速發(fā)展，尤其是微軟公司的SQL Server數(shù)據庫系統(tǒng)的功能越來越強大。下面是學習啦小編給大家推薦的數(shù)據庫安全管理論文，希望大家喜歡!

　　數(shù)據庫安全管理論文篇一

　　《淺談SQL Server數(shù)據庫安全管理》

　　摘 要：本文通過對數(shù)據庫所受威脅的研究，建立數(shù)據庫威脅知識庫，可以了解數(shù)據庫攻擊手段、攻擊特征、檢測信息源，進而制定監(jiān)控信息獲取策略，保證數(shù)據庫監(jiān)控信息獲取的完整性與可靠性。

　　關鍵字：橫向結構;縱向結構;切向結構

　　隨著計算機技術的進步使得關系型數(shù)據庫管理系統(tǒng)軟件得到了快速發(fā)展，尤其是微軟公司的SQL Server數(shù)據庫系統(tǒng)的功能越來越強大?？梢暬瘮?shù)據庫設計與管理是當前的技術熱點，SQL Server數(shù)據庫依舊是研究的重點課題。下面本文將分別從橫向、縱向以及切向對數(shù)據庫安全監(jiān)控系統(tǒng)進行了結構上的再設計，改善了原有系統(tǒng)結構設計上的不足之處，并對其不同的劃分結果進行分析。

　　一、橫向結構

　　從橫向看，該系統(tǒng)按照信息獲取系統(tǒng)、分析機系統(tǒng)、控制臺系統(tǒng)按照功能不同進行了重新的系統(tǒng)模塊結構的劃分，并補充了實時狀態(tài)查詢模塊，增加了數(shù)據庫安全監(jiān)控系統(tǒng)安全威脅分析的數(shù)據來源。

　　1.信息獲取子系統(tǒng)

　　信息獲取子系統(tǒng)位于整個系統(tǒng)的底層，是系統(tǒng)運行的基礎所在。它采用主機獲取的方式，對數(shù)據庫服務器進行實時的數(shù)據信息獲取，獲取主機以及網絡通訊會話軌跡，并對獲取的數(shù)據進行二次過濾，以減少模塊之間傳輸?shù)臄?shù)據總量，減輕上層模塊的數(shù)據分析時間，再將數(shù)據通過指定數(shù)據傳送通道發(fā)送到上層分析機子系統(tǒng)，做進一步的處理。

　　2.分析機子系統(tǒng)

　　分析機子系統(tǒng)作為整個系統(tǒng)的中間層，其作用在于對從底層接收到的原始數(shù)據記錄進行進一步的處理。主要是通過該層所包含的分析模塊對采集到的原始數(shù)據，按照既存于規(guī)則庫中的規(guī)則，進行模式匹配分析，將正常授權訪問與非法入侵行為區(qū)分開，并把分析的結果存儲到日志數(shù)據庫中，對于危害操作進行報警。

　　3.控制臺子系統(tǒng)

　　控制臺子系統(tǒng)作為人機交互的接口，為用戶管理、控制、配置系統(tǒng)并查詢入侵記錄提供操作界面。它負責控制、管理信息獲取子系統(tǒng)和分析機子系統(tǒng)，生成安全規(guī)則，接收、存儲報警和日志信息;對報警及日志信息進行查詢統(tǒng)計;對報警事件做進一步分析處理，并且有開放的報警接口支持更高層次的安全管理平臺。

　　二、縱向結構

　　從縱向看，與原有系統(tǒng)不同之處在于，新的數(shù)據庫安全監(jiān)控系統(tǒng)在采用獲取――分析――響應的體系結構，構建面向對象開發(fā)和面向構件開發(fā)的技術基礎上，新引入了面向服務框架思想，實現(xiàn)了獲取與分析的分離，通信與業(yè)務的分離。

　　在整個系統(tǒng)中TCP/IP層，即物理網絡層，作為底層存在于系統(tǒng)中，在其上構筑的通信托管層則總攬了系統(tǒng)的全部通信工作，是整個系統(tǒng)的總線，支持異步通訊和斷忘映傳。在這之上的業(yè)務托管層可視做所有業(yè)務的容器和管理平臺，其中最重要的功能則是提供信息注冊，以實現(xiàn)信息生產者和信息消費者之間的溝通。在業(yè)務托管層的邊緣是信息網關，負責將業(yè)務數(shù)據按照標準協(xié)議轉化成其他格式數(shù)據，以實現(xiàn)和其他系統(tǒng)(包括安全設備)之間的互聯(lián)、級聯(lián)。最上層的是具體的業(yè)務模塊，它們的角色分別為信息生產者和信息消費者，其中信息獲取可視做信息生產者，而分析則是信息消費者，響應是信息的二次消費者，也是最終消費者。

　　傳統(tǒng)的AAR框架與面向服務思想的結合，使得這四個層次相對獨立，互相之間實現(xiàn)了松禍合，并且因為托管平臺也己成形，那么基于這一平臺的響應業(yè)務插件的開發(fā)將會變得非常便捷，從而實現(xiàn)了面向服務和面向構件開發(fā)的核心理念隨需而變。

　　同時也實現(xiàn)了系統(tǒng)的分布式結構設計，集中控制與多層管理。整個系統(tǒng)由檢測系統(tǒng)、分析系統(tǒng)、控制系統(tǒng)組成，每個子系統(tǒng)都采用層次化設計，業(yè)務邏輯與通訊管理分層實現(xiàn)。一個控制系統(tǒng)可以管理多個分析系統(tǒng)，一個分析系統(tǒng)還可以同時支持多達五十個不同系統(tǒng)平臺的檢測系統(tǒng)。

　　三、切向結構

　　若從切面來觀察該系統(tǒng)，新系統(tǒng)的關鍵脈絡變得更加清晰明了，兩條關鍵脈絡包括：數(shù)據和命令，而且互相內部之間實現(xiàn)了高聚合、松禍合，提高了模塊的獨立化。這里的數(shù)據為狹義數(shù)據，主要包括了信息生產者向信息消費者提供的信息，而命令則是響應模塊對于獲取和分析模塊進行配置、維護、管理所傳送的信息。數(shù)據始終是自下而上的，從被監(jiān)控數(shù)據庫采集出來，途經IAS，AES，最后到達MTS。而命令始終是自上而下的，其中一部分命令由MTS發(fā)起途經AES，最后到達IAS;另一部分由AE發(fā)起到達IAS。

　　四、實現(xiàn)安全監(jiān)控系統(tǒng)

　　該系統(tǒng)是一種基于主機探測的實時自動攻擊識別和響應系統(tǒng)，運行于有敏感數(shù)據需要保護內部網絡中。通過采取主機監(jiān)控的方式，獲取用戶的數(shù)據庫操作信息。借助于自身內置的攻擊特征數(shù)據庫，識別違反用戶定義的安全規(guī)則，進行應用級攻擊檢查。在尋找到攻擊模式和其他違規(guī)活動時，可以進行如下反應：控制臺告警、記錄攻擊事件、實時阻斷網絡連接，同時還可以根據需要對系統(tǒng)進行擴展，實現(xiàn)與防火墻等其他安全設備的聯(lián)動。

　　信息獲取、分析機以及控制臺三個子系統(tǒng)三者之間的交互主要包括以下幾個方面：

　　(1)主機報警實現(xiàn)。探頭啟動之后，將自動實現(xiàn)對于探頭所在主機數(shù)據庫的監(jiān)控，獲取與數(shù)據庫操作有關的信息，包括數(shù)據庫操作的SQL語句、登陸的用戶名、數(shù)據庫主機名稱、當前系統(tǒng)用戶、操作結果等信息，并將信息格式化發(fā)送到分析機，分析機通過自身的信息規(guī)則分析系統(tǒng)，從這些信息當中分離出對數(shù)據庫安全有危害的操作，并向控制臺發(fā)送報警，控制臺在接受到報警信息之后，由管理員發(fā)出對攻擊源IP地址行阻斷的命令。所發(fā)出的阻斷命令由分析機轉發(fā)給探頭部分，由探頭部分調用系統(tǒng)自身API函數(shù)，實現(xiàn)對于指定IP地址的攔截操作，從而有效的實現(xiàn)了對于數(shù)據庫安全的保護，避免了被進犯的可能。

　　(2)命令的下發(fā)?？刂婆_對分析機以及探頭進行控制，對它們進行維護更新，并通過查詢的方式，獲取探頭以及分析機的運行狀態(tài)。命令由控制臺發(fā)出后，向分析機或者經分析機向信息獲取部分傳達，再分別由分析機以及信息獲取部分的響應模塊對命令加以實現(xiàn)。

　　(3)數(shù)據的傳送。探頭、分析機以及控制臺三者之間通過指定的端口進行數(shù)據的傳送，所有發(fā)送的數(shù)據都進行了統(tǒng)一的格式化處理，以固定的格式進行傳遞。

　　參考文獻：

　　[1]劉奎.SQL Server數(shù)據庫配置與管理指南[M].北京：清華大學出版社，2010.01

　　[2]姚一永，呂峻閩.SQL Server數(shù)據庫管理項目教程[M].北京：化學工業(yè)出版社，2010.02

　　[3]王永樂.SQL Server 2008數(shù)據庫項目教程[M].北京：北京郵電大學出版社，2012.04

點擊下頁還有更多>>>數(shù)據庫安全管理論文