隨著Internet的發展普及,越來越多的公司將其核心業務向互聯網轉移,各種基於網絡的數據庫應用系統如雨後春筍般湧現出來,面向網絡用戶提供各種信息服務。可以說網絡系統是數據庫應用的外部環境和基礎,數據庫系統要發揮其強大作用離不開網絡系統的支持,數據庫系統的用戶(如異地用戶、分布式用戶)也要通過網絡才能訪問數據庫的數據。網絡系統的安全是數據庫安全的第一道屏障,外部入侵首先就是從入侵網絡系統開始的。網絡入侵試圖破壞信息系統的完整性、機密性或可信任的任何網絡活動的集合,具有以下特點:
a.地域和時間的限制,跨越國界的攻擊就如同在現場一樣方便;
b.通過網絡的攻擊往往混雜在大量正常的網絡活動之中,隱蔽性強;
c.入侵手段更加隱蔽和復雜。
計算機網絡系統開放式環境面臨的威脅主要有以下幾種類型:a)欺騙(Masquerade);b)重發(Replay);c)報文修改(Modification of message);d)拒絕服務(Deny of service);e)陷阱門(Trapdoor);f)特洛伊木馬(Trojan horse);g)攻擊如透納攻擊(Tunneling Attack)、應用軟件攻擊等。這些安全威脅是無時、無處不在的,因此必須采取有效的措施來保障系統的安全。
從技術角度講,網絡系統層次的安全防范技術有很多種,大致可以分為防火牆、入侵檢測、協作式入侵檢測技術等。
(1)防火牆。防火牆是應用最廣的一種防范技術。作為系統的第一道防線,其主要作用是監控可信任網絡和不可信任網絡之間的訪問通道,可在內部與外部網絡之間形成一道防護屏障,攔截來自外部的非法訪問並阻止內部信息的外洩,但它無法阻攔來自網絡內部的非法操作。它根據事先設定的規則來確定是否攔截信息流的進出,但無法動態識別或自適應地調整規則,因而其智能化程度很有限。防火牆技術主要有三種:數據包過濾器(packet filter)、代理(proxy)和狀態分析(stateful inspection)。現代防火牆產品通常混合使用這幾種技術。
(2)入侵檢測。入侵檢測(IDS-- Instrusion Detection System)是近年來發展起來的一種防范技術,綜合采用了統計技術、規則方法、網絡通信技術、人工智能、密碼學、推理等技術和方法,其作用是監控網絡和計算機系統是否出現被入侵或濫用的征兆。1987年,Derothy Denning首次提出了一種檢測入侵的思想,經過不斷發展和完善,作為監控和識別攻擊的標准解決方案,IDS系統已經成為安全防御系統的重要組成部分。
入侵檢測采用的分析技術可分為三大類:簽名、統計和數據完整性分析法。
①簽名分析法。主要用來監測對系統的已知弱點進行攻擊的行為。人們從攻擊模式中歸納出它的簽名,編寫到IDS系統的代碼裡。簽名分析實際上是一種模板匹配操作。
②統計分析法。以統計學為理論基礎,以系統正常使用情況下觀察到的動作模式為依據來判別某個動作是否偏離了正常軌道。
③數據完整性分析法。以密碼學為理論基礎,可以查證文件或者對象是否被別人修改過。
IDS的種類包括基於網絡和基於主機的入侵監測系統、基於特征的和基於非正常的入侵監測系統、實時和非實時的入侵監測系統等。
(3)協作式入侵監測技術
獨立的入侵監測系統不能夠對廣泛發生的各種入侵活動都做出有效的監測和反應,為了彌補獨立運作的不足,人們提出了協作式入侵監測系統的想法。在協作式入侵監測系統中,IDS基於一種統一的規范,入侵監測組件之間自動地交換信息,並且通過信息的交換得到了對入侵的有效監測,可以應用於不同的網絡環境。
