计算机毕业论文|计算机论文|计算机毕业设计|计算机网络论文  
设为首页 加入收藏 联系站长
论文无忧网|专业的计算机论文、计算机毕业论文服务网站
计算机毕业设计 计算机毕业论文 计算机论文 管理系统 工资 在线选课 图书
当前位置:计算机毕业论文网 >> 计算机网络 >> 浏览文章
数据库系统的安全性分析

【说明】本站所列作品的内容只是论文的部分介绍,如果想了解此作品的详细资料,请联系在线客服。
全套设计作品包括系统+源程序+论文+开题报告+使用手册,可以直接作为毕业设计/论文使用.
本站作品全部经过技术员测试,完整无错,大家可以放心参考使用。包调试,包指导,售后全部免费,直到您通过答辩为止。
现成作品的购买流程请参照:购买现成作品流程 网站介绍 常见问题解答

近年来,人们对于Web数据库安全问题的关注呈上升趋势,但由于其专业性、复杂性,Web数据库的安全防护并未达到理想的成果。而对于其防范措施也是仁者见仁,智者见智。如对身份认证机制的研究最方便的方法是设置口令法。在设置口令的方法中,系统给每个合法用户分配一个唯一的UserID和Password。但是,由于Password的先天不足,其可靠程度极差,容易被他人猜出或测得。因此,设置口令法对安全强度要求比较高的系统不适用。近年来,一些人提出更加有效的身份认证技术。例如智能卡技术,物理特征(指纹,声纹,手图等)认证技术等具有高强度的身份认证技术日益成熟,并取得了不少应用成果。但由于其技术,经济等方面的原因并不能普遍推广。只有一些对安全强度要求比较高的系统,并在一定技术,经济条件下才会用到。同时,一些文章也有很多值得我们借鉴的地方。如曾爱林在《基于Web的网络数据安全体系的建立与完善》中明了的介绍Web数据库的几种访问技术,并针对Web数据库的安全问题,建立了一个Web数据库安全体系的初步模型,指出安全问题应以预防为主,应该在构建Web数据库服务器时,及时进行漏洞检测、风险评估,根据检测结果,有意识地加强数据库服务器某方面的防范措施。窦丽华,蒋庆华,等人在《基于Web的信息系统安全研究》中研究了基于Web的信息系统的安全问题及如何充分并合理地利用操作系统、Web服务器和数据库管理系统所提供的安全设置,以有效地保证信息系统的安全性。利用应用程序所具有的灵活性,可以弥补操作系统、Web服务器和数据库管理系统的安全漏洞,结合某单位业务信息系统的案例,分别从操作系统、Web服务器、数据库管理系统、应用程序4个方面对安全问题进行分析,同时给出了建议。
   Web数据库的安全防护是一条长远的路,只有通过不断地改进和完善,不断地实践,才能有效的防范入侵。

2.2 现行研究存在的问题及解决办法

Web数据库的安全是一个系统性,综合性的问题,而且其涉及的范围很广,因此,在进行系统设计时不能将它孤立考虑,只有结合实际层层设防,这个问题才能得到有效的解决。实际上,任何一层的安全仅利用一种安全技术都不可能提供所有安全服务和抵抗所有可能攻击,任何一个实际的系统也不可能采用过多的安全策略。任何安全措施都是相对的,只能根据具体的应用对象,权衡安全要求与所需花费的代价来进行选择适当的安全策略。还应看到,和其它技术一样,入侵者的手段也在不断提高。安全防范是一个永久性的问题,只有通过不断地改进和完善安全手段,才能保证系统的正常运行,才能提高系统的可靠性。

2.3 本课题要达到的设计目标

数据库系统主要是为用户提供完善方便的信息和数据服务,实现数据信息的共享。设计数据库安全系统的目的,是要合理有效地解决数据库中的数据信息的共享问题。在安全的数据库中,既要保证授权的合法用户对数据的有效存取,又能严格拒绝非法用户的攻击企图。具体地说,数据库安全系统的设计目标主要有以下3个方面:
(1)数据的完整性
数据的完整性指数据的正确性、一致性和相容性。系统只允许授权的合法用户存取数据库中的数据信息,并且以不破坏数据的完整性为前提。同时,系统应该杜绝非法用户对数据信息进行任何存取操作,主要包括窃取和破坏。由于多个程序并发存取同一个数据库中的数据,可能会造成数据的不一致性。因此,安全系统要具有保证数据一致性的功能。
(2)数据的可用性
当系统授权的合法用户申请存取有权存取的数据时,安全系统应该尽量减小对合法操作的影响。换句话说,采用的安全机制不能明显降低数据库系统的操作性能。
(3)数据的保密性
安全系统应该提供一个高强度的加密方案,对数据库中的机敏数据进行加密处理。只(1)ACCESS数据库被下载的漏洞
通常用户可猜到服务器的数据库的名字和路径,那将是一个非常可怕事情,因为很多网站习惯把用户注册的信息和密码放在数据中,一旦补攻击者下载,会给网站造成不可估量的损失。如下即可下载数据库aa.mdb
(2)引号造成的漏洞
很多网站把注册用户名和密码放到数据库中,在登录程序中用以下SQL语句来查询数据库以核对数据。
<%
dim conn,rs
Set conn=Server.CreateObject("ADODB.Connection")
conn.Open"Provider=Microsoft.Jet.OLEDB.4.0;DataSource="& Server.MapPath("test1.mdb")
set rs=server.createobject("adodb.recordset")
rs.locktype=3
rs.cursortype=0
No=Request("password")
Name=Request("userName")
rs.open" Select * From user Where密码='"&No&"' And 姓名='"&Name&"'",conn If rs Is Nothing Then
 ...
 End If
...
 %>
此时,攻击者只要构造一个这样的密:nihao'or'1'=1,那可通过数据验证。为什么呢?请看最后生成的查询语句就知到了。
rs.open" Select * From user Where密码='nihao'or'1'='1'And姓名='"&Name&"'",conn'1'='1'永远为TRUE所以通过了验证。
(3)URL直接请求漏洞
如果攻击者知道了一个ASP页面的路径和文件名,而这个文件又要经过验证才能进入,但是用户直接请求包含ASP文件路径和文件名的URL,则有可能进入到该页面。
甚至攻击者可以伪造一些参数挂靠在URL后面形成一个GET类型的HTTP请求,而服务器端正好是使用Querystring环境变量来采集数据或者根本没有指定接受数据的方式,用户伪造的参数即被服务器端验证。通常攻击的这个文件在网站中并没有提供链接,是系统维护员远程操作的入口。
有当系统的合法用户访问有权访问的数据时,系统才把相应的数据进行解密操作;否则,系统应保持机敏数据的加密状态,以防止非法用户窃取到明文信息,对系统进行攻击。

上一篇: Windows组网技术的研究与发展
下一篇: TCP协议分析器的设计与实现
在线客服  
点击这里给我发消息 点击这里给我发消息
点击这里给我发消息 点击这里给我发消息
QQ:528311109 QQ:528311109
  服务邮箱:Service@paper51.com
热门浏览
论文降价了,2010年毕业的同学你
计算机毕业论文无忧网-公告
计算机毕业论文-论文无忧网至同学
5年信誉服务保证-计算机毕业论文
购买现成作品流程
计算机毕业论文答辩过程中需要注
付款方式
网站介绍
计算机毕业论文答辩前的准备
常见问题
最近更新  
论文降价了,2010年毕业的同学你
计算机毕业论文无忧网-公告
计算机毕业论文-论文无忧网至同学
5年信誉服务保证-计算机毕业论文
购买现成作品流程
计算机毕业论文答辩过程中需要注
付款方式
网站介绍
计算机毕业论文答辩前的准备
常见问题
设为首页 | 加入收藏 | 关于本站 | 联系站长 | 友情链接 | 版权申明 | 在线留言 | 网站地图
Copyright 2006-2008 Powered by Paper51.com,论文无忧网 All Rights Reserved.
声明:《论文无忧网》,根据《信息网络传播权保护条例》,如果我们网站上的的作品侵犯了您的权利,请及时通知我们,我们会及时删除。
《论文无忧网》为您提供优秀的计算机毕业设计|计算机毕业论文|计算机论文|毕业论文等资料,仅供学习参考使用。