数据库安全
一直以来都是人们关注的热门话题,数据库的安全是一个非常重要的工作,要实现数据库的安全就得对数据库进行
加密
,数据库加密保证了数据库中数据的安全。信息安全的核心就是数据库的安全,也就是说数据库加密是信息安全的核心问题。数据库数据的安全问题越来越受到重视,数据库加密技术的应用极大的解决了数据库中数据的安全问题,但实现方法各有侧重。
随着电子商务逐渐越来越多的应用,数据的安全问题越来越受到重视。一是企业本身需要对自己的关键数据进行有效的保护;二是企业从应用服务提供商(Application Service Provider,ASP)处获得应用支持和服务,在这种情况下,企业的业务数据存放在ASP处,其安全性无法得到有效的保障。因为传统的数据库保护方式是通过设定口令字和访问权限等方法实现的,数据库管理员可以不加限制地访问和更改数据库中的所有数据。解决这一问题的关键是要对数据本身加密,即使数据不幸泄露或丢失,也难以被人破译,关于这一点现基本数据库产品都支持对数据库中的所有数据加密存储。
对数据进行加密,主要有三种方式:系统中加密、客户端(DBMS外层)加密、 服务器 端(DBMS内核层)加密。客户端加密的好处是不会加重数据库服务器的负载,并且可实现网上的传输加密,这种加密方式通常利用数据库外层工具实现。而服务器端的加密需要对数据库管理系统本身进行操作,属核心层加密,如果没有数据库开发商的配合,其实现难度相对较大。此外,对那些希望通过ASP获得服务的企业来说,只有在客户端实现加解密,才能保证其数据的安全可靠。
1. 常用数据库加密技术
信息安全主要指三个方面。一是数据安全,二是系统安全,三是电子商务的安全。核心是数据库的安全,将数据库的数据加密就抓住了信息安全的核心问题。
对数据库中数据加密是为增强普通关系数据库管理系统的安全性,提供一个安全适用的数据库加密平台,对数据库存储的内容实施有效保护。它通过数据库存储加密等安全方法实现了数据库数据存储保密和完整性要求,使得数据库以密文方式存储并在密态方式下工作,确保了数据安全。
1.1 数据库加密技术的功能和特性
经过近几年的研究,我国数据库加密技术已经比较成熟。
一般而言,一个行之有效的数据库加密技术主要有以下6个方面的功能和特性。
(1)身份认证:
用户除提供用户名、口令外,还必须按照系统安全要求提供其它相关安全凭证。如使用终端密钥。
(2) 通信加密与完整性保护:
有关数据库的访问在网络传输中都被加密,通信一次一密的意义在于防重放、防篡改。
(3) 数据库数据存储加密与完整性保护:
数据库系统采用数据项级存储加密,即数据库中不同的记录、每条记录的不同字段都采用不同的密钥加密,辅以校验措施来保证数据库数据存储的保密性和完整性,防止数据的非授权访问和修改。
(4) 数据库加密设置:
系统中可以选择需要加密的数据库列,以便于用户选择那些敏感信息进行加密而不是全部数据都加密。只对用户的敏感数据加密可以提高数据库访问速度。这样有利于用户在效率与安全性之间进行自主选择。
(5)多级密钥管理模式:
主密钥和主密钥变量保存在安全区域,二级密钥受主密钥变量加密保护,数据加密的密钥存储或传输时利用二级密钥加密保护,使用时受主密钥保护。
(6) 安全备份:
系统提供数据库明文备份功能和密钥备份功能。
1.2 对数据库加密系统基本要求
(1) 字段加密;
(2) 密钥动态管理;
(3) 合理处理数据;
(4) 不影响合法用户的操作;
(5) 防止非法拷贝;
数据库安全是人们一直都为之奋斗的工作,上文中简单介绍了数据库加密技术的功能特性和实现方法,希望对大家能够有所帮助。
2EE技术纵览 J2EE包含了很多核心技术,它们互相作用,互为补充,共同搭建了java企业应用的坚实平台。 RMI(Remote Method Invocation)提供了一种在不同主机上的Java虚拟机(Java Virtual machine,JVM)之间进行通信的方式。 RMI能够调用远程主机上的对象,并且就像这个对象在本地虚拟机上一样使用它,RMI也可以动态的加载类和安全管理器,在网络上安全的传输JAVA类 JNDI(Java Naming and Direcotory Interface)是J2EE中用来给对象 命名的技术,这里所说的对象包括WEB组件,EJB组件,数据库,文件系统,机器等,J2EE提供的命名和目录服务可以将这些名字和具体的对象绑定在一起,然后应用程序就可以通过这些名字定位这些对象,从而访问用户信息,机器信息和各种服务。 JDBC(Java DateBase Connection)是J2EE中用来访问数据库的技术。 利用JDBC API可以在J2EE平台和数据库之间建立连接,在EJB,jsp,Servlets中都可以使用JDBC对数据库进行各种操作,比如查询,修改,存储,管理事务,等。 Java Servletsjava Servlets 技术提供了生成动态WEB内容的基本机制Servlets是一段用来扩展WEB服务器功能的程序,可以看做是服务器端的Java 提供了一种可移植的,独立于平台和WEB服务器的传递动态内容的方法。 它从客户接收请求,动态生成响应, 然后发送一个包含HTML或XML文档响应给客户。 Servlet是使用java语言编写的,一个平台只要有java虚拟机和一个支持Servlet的Web服务器,就可以支持不需要重新编译就可以运行在不同的平台上。 servlet是在传统的CGI脚本的基础上发展起来的,但与CGI脚本相比,它在可移植性,灵活性及编程性的简易性等方面具有明显的优势。 JSPJAVA SERVER PAGES是构建在java Servlets技术之上的,用来简化动态WEB内容的开发,JSP是一种基于文本的文档,它描述了如何处理一个请求以便产生一个响应,利用JSP技术,用户可以将JAVA代码嵌入HTML标记中去。 应用程序可以通过JSP动态生成HTML或XML文档中的动态内容部分。 EJBEnterpris JavaBeans余兴与J2EE服务器中,用来实现商业逻辑和企业计算。 它为构建分布式,面向对象的企业应用程序提供了标准的组件体系结构,EJB组件具有可伸缩性,事务性及多拥护安全性的特点,EJB2.0规范定义了三种EJB:会话Bean(Session Bean),实体(Entity Bean)和消息驱动Bean(Message-driven Bean).他们分别完成不同的功能。 比如利用实体Bean,我们不必编写SQL语句就可以直接访问数据库。 JTA事务是一些不分分割的工作单位,只有该单元内的所有动作全部得到执行时。 它才会被提交,事务可以应用程序组件提供者从错误恢复和多用户编程这些复杂的问题中解脱出来,从而简化应用程序的开发,JTA(java Transaction API)事务能够跨越多个组件和资源管理器。 通过使用接口可以创建和管理JTA事务。 JMS消息是应用程序之间通信的一种方式。 JMS(java Message Service)提供了一组java API,应用程序可以使用这些API创建,发送,接收和读取消息,JMS消息包含了一些定义良好,描述特定的商务行为的信息。 通过消息的交换,应用程序能够跟踪企业的进程。 另一方面它也减少了程序开发人员学习和使用消息服务系统的难度。 并尽量保证不同JMS服务提供商之间的兼容性。 JavaMail在网络应用程序中,经常需要发送E-mail,javaMail就是J2EE中用来发送E-mail的一组API,JavaMail API 提供了一系列组成电子邮件的抽象类和接口,这些抽象类和接口支持消息存储,格式和传输的许多不同的实现,此外,JAVAMAIL还包含实现广泛使用的Internet邮件协议和RFC822,RFC2045标准的具体子类,程序开发人员可以使用这些子类实现IMAP4,POP3,SMTP之类的特定消息收发系统 JAAS基于JAAS(Java Authentication and AUthorization Servic)的安全服务可以保证只有授权的用户才可以访问资源。 这种访问控制包括两步:一是认证(anthentication),典型的做法就是通过登录,即用户提供认证数据来建立其身份;二是授权(authorization),授权是以安全叫色的概念为基础的,仅当通过认证的用户处于相应的安全角色时,它才被允许访问特定的资源。
发表评论