数据库安全性分析概述

8.2.1　数据库安全性分析概述

1.数据库安全性分析的基本原理——风险评估

一般认为，风险就是有害事件发生的可能性。一个有害事件往往由三部分组成：威胁、脆弱性和影响。如果不存在威胁和脆弱性，则不存在有害事件，也就不存在风险。而风险评估（Vulnerability Assessment），又称风险分析，是指用于估计威胁发生的可能性以及由于系统存在易于受到攻击的脆弱性而引起潜在损失的步骤。风险评估的最终目的是帮助选择安全防护并将风险降低到可接受的程度。

风险评估是网络安全防御中的一项重要技术，其实现原理是采用模拟攻击的形式对目标可能存在的安全漏洞进行逐项检查。目标可以是工作站、服务器、交换机、数据库应用等各种对象。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告，为提高网络安全整体水平提供重要依据。在此，漏洞是指系统的弱点。因此我们可以把攻击的概念对应威胁，漏洞的概念对应脆弱性，而威胁、脆弱性和影响都可通过扫描得到的安全分析报告体现出来。

2.数据库系统所受到的威胁和主要安全特点

（1）数据库系统的安全威胁

原则上，凡是造成对数据库内存储数据（包括敏感、非敏感的信息）的非授权访问——读取或非授权的写入（增加、删除、修改等），都属于对数据库的数据安全造成了威胁或破坏。另一方面，凡是正常业务需要访问数据库时，令授权用户不能正常得到数据库的数据服务，也称之为对数据库的安全形成了威胁或破坏。因为很显然，这两种情况都会对数据库的合法用户的权益造成侵犯，或者是信息被窃取，或者是由于信息的破坏而提供错误信息，或者是干脆拒绝提供服务。

根据安全威胁的来源及攻击的性质，可将数据库的安全威胁大致分为以下几类：

（1）逻辑的威胁

●　非授权访问　即用户对未获得访问许可的信息的访问。

●　推理访问数据　是指由授权读取的数据，通过推论得到不应访问的数据。

●　病毒　病毒可以自我复制，永久地或是通常是不可恢复地破坏自我复制的现场，达到破坏信息系统、取得信息的目的。

●　特洛伊木马　隐藏在公开的程序内部的一种程序，它收集环境的信息，可能是由授权用户安装，利用用户的合法的权限对数据安全进行攻击。

●　天窗、隐通道　藏在合法程序内部的一段程序代码。特定的条件下（例如特殊的一段输入数据）将启动这段程序代码，从而许可此时的攻击可以跳过系统设置的安全稽核机制进入系统，以实现对数据防范的攻击和达到窃取数据的目的。

（2）硬件的威胁

●　磁盘故障　在计算机运行过程中最常见的问题就是磁盘故障，它会导致重要数据的丢失。

●　I/O控制器故障　控制器发生故障，会破坏数据的完整性。

●　电源故障　电源故障分为电源输入故障和系统内部电源故障。由于系统停电是不可预料的，因而不论处在哪种情况下都有可能使数据受到毁损。

●　存储器故障

●　介质、设备和其他备份故障　数据存储在可移动介质上以作备份，恢复工作则是包括数据的拷贝。如果服务器出错、被毁，则存储设备或其使用的介质的任何错误都会导致数据的丢失。

●　芯片和主板的故障　芯片和主板的故障会导致严重的数据毁损。

（3）人为错误的威胁

操作人员或系统的直接用户的错误输入以及应用程序的不正确使用，都可能导致系统内部安全机制的失效，导致产生非法访问数据的可能，也可能导致系统拒绝提供数据服务。

（4）传输的威胁

目前，数据库大多是基于网络环境的。在网络系统中，无论是调用任何指令，还是任何信息的反馈，均是通过网络传输实现的，因此对数据库而言，就存在着网络信息传输中的威胁。

●　对网络上信息的监听　对于网上传输的信息，攻击者只需要在网络链路上通过物理或逻辑的手段，就能对数据进行非法的截获与监听，进而得到敏感信息。

●　对用户身份的仿冒　对用户身份仿冒这一常见的网络攻击方式，能对数据库的信息产生严重的威胁。

●　对网络上信息的篡改　攻击者可能对网络上的信息进行截获并且篡改其内容（增加、删去或改写），使用户无法获得准确、有用的信息从而落入攻击者的陷阱。

●　对信息的否认　某些用户可能对自己发出或接收到的信息进行恶意的否认。

●　对信息进行重发　“信息重发”的攻击方式，即攻击者截获网络上的密文信息后，并不将其破译，而是再次转发这些数据包，以实现其恶意目的。

（5）物理环境的威胁

●　自然的或意外的事故　地震、火灾、水灾等会导致硬件的破坏，进而导致数据的丢失和损坏。

●　偷窃　这里的偷窃指偷窃信息和服务。

●　蓄意破坏　主要是指恐怖组织的活动。