数据库系统安全性测试技术的应用

开篇：润墨网以专业的文秘视角，为您筛选了一篇数据库系统安全性测试技术的应用范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘 要

研究数据库系统安全性测试技术的目的在于了解不同技术的特点和应用对象。本文通过分析引发安全性问题的原因及测试技术适用范围，阐释了数据库系统安全性测试中几个核心技术的应用情况。

【关键词】数据库 系统 安全性测试 技术

信息时代的到来让网络与信息技术成为当下服务于各行业最为普遍、前沿的现代技术之一，在不断提高劳动生产率、减轻大量人工劳动强度的同时，让经济效益和社会效益出现了前所未有、几何级增长的态势。然而，当人类享受着计算机、信息技术等高科技带来的各种便捷与利益的同时，也面临着日渐增加的网络与电脑遭受恶意攻击、出现难以预料的安全性问题的烦扰。网络与计算机技术便利和问题的并存充分证明了“科技是一柄‘双刃剑’”的说法，也让越来越多业内外人士认识到了加强数据库系统安全性测试的重要性。

1 引发数据库系统安全性问题的原因

当前引发数据库系统安全性问题的主要原因概括起来主要有权限与帐户管理不当的问题，身份认证管理不当的问题，数据库日志审计方面的问题。

权限与帐户管理不当产生的安全性问题主要是对高级权限或帐户管理上的不当。尤其是对系统管理员的监督管理缺乏应有的强度与频率。由于系统管理员掌握着所有权限与帐户的特殊性，其不仅有通过后门进入数据库开展日常管理工作的现实性，也同时具有利用职务之便监守自盗的风险性。

当前众多数据库都具有用户身份认证的管理机制，只有用户提供正确的帐号与密码才能进入目标数据库系统进行相应的操作。但这一机制却对通过不法渠道获取的帐号与密码缺乏防范手段。

许多数据库系统内置了日志审计功能，也就是每出现一次系统数据变更（修改）或权限应用时，就会自动生成一条日志内容被系统捕捉并记录下来。然而当前这样的日志记录却没有对出现安全性问题进行实时监控与即时报警的功能。也就是说，虽然数据库系统能够自行记录下任何一条安全性问题，但若管理员没有及时查阅，则同样不能针对安全性问题采取措施进行处理或规避。

2 数据库系统安全性测试范畴

数据库系统安全性测试一般涉及到测试对象、潜在风险、方案设置等。所谓测试对象就是数据与系统功能。即那些需要得到安全保护的数据与系统功能都需要被陈列出来并衡量其对于合法用户与非法用户都有怎样不同的价值，此外还应寻找非法利用测试对象的各类手段。

潜在风险是指潜藏的可能造成数据损毁、丢失或损害系统功能的事件，需要找到这些潜在风险并且将其分为自然风险、意外风险、人为风险三类。同时，需要对这些潜在风险的出现进行概率预计，并就这些风险一旦转化为事实会造成的后果进行评估，再对其中程度最为严重的一部分进行重点关注。

方案设置是指对上面提到的潜在性风险进行的安全性方案的预设。特别是对其中人为风险进行重点安全性方案预设。与此同时，方案设置还包括对数据库系统安全性进行策略性测试。此环节包括正向与反向两大类。正向策略性测试是指从需要出发，将系统中设计、编码过程中可能存在的安全隐患一一找寻出来并进行针对性测试；而反向策略测试则是从当前系统中已经存在的漏洞与缺陷等出发，继续找寻其他潜在的漏洞与缺陷。在根据既有和后续发展的漏洞与缺陷建立相应的问题模型并由模型推演找寻发现可能遭受恶意攻击的端口或节点，继而对这些端口或节点进行安全性扫描。

3 数据库系统安全性测试中几个核心技术的应用

3.1 扫描

数据库系统安全性测试扫描技术主要针对的是数据库系统安全性强度问题的核心技术。特点是便捷、迅速、较容易操作，对数据库系统安全性测试具有一定的目标性，尤其是在认证用户身份、系统权限设置、安全缺陷与系统完整性等方面进行扫描测试。其过程是事先设置一定的安全性测试方案，再根据既定方案对预期中的潜在系统缺陷进行逐一测试，根据测试结果描述漏洞或缺陷的详情，再据此制定相应的解决措施。由此形成数据库系统安全性测试报告，实现对数据库安全的持续完善。这一核心技术具体内容包括对数据的安全性扫描、对用户权限设置的安全强度的扫描及对用户身份认证安全强度的扫描等。

3.2 渗透

这一技术简而言之类似于模拟外部入侵的试错技术。也就是最大限度模仿“黑客”等非法入侵数据库的对手的系统缺陷找寻手段与策略，通过主动对已方系统进行安全性测试发现其中潜藏的漏洞与问题所在。在信息与网络的实践应用中，数据库具有多层使用的特性。因此在同一个网络系统中，出于不同测试目的比如对象或阶段的差异等，使用渗透进行安全性测试的具体内容也不尽相同。比如既有对网络或端口进行扫描的渗透测试技术；也有通过对密码进行解密的破解渗透测试技术；还有“SQL”技术，也就是入侵者用自己设计的脚本渗透入目标数据库系统所在服务器的CGI脚本中，由此实现对入侵指令的实施或者是取得目标数据的目的。此外缓冲溢出也是渗透技术中较常见的一种。是指利用远程控制技术，在目标系统的缓冲区填充超过其预设容量的内容引发数据溢出，导致系统放弃该指令而执行入侵者的指令。

3.3 Fuzzing

此技术又称为模糊处理技术，也叫“黑箱”测试技术。该技术主要特点是测试者对目标数据库系统没有任何事先了解，仅通过对目标系统注入错误数据的手法开展测试，通过系统对此注入行为的反应发现其中潜藏的缺陷或漏洞。该技术主要针对的是互联网上最常用的协议如HTTP、FTP、SMTP、POP3等。而利用此技术能够发现的缺陷漏洞可以涵盖SQL、缓冲溢出、脚本攻击、字符串格式化漏洞与泄露在内的各类安全性缺陷问题。

4 结束语

数据库系统安全性测试技术是随着互联网与计算机应用的普及和深入而伴随出现并不断提升的前沿技术。这一技术不仅在于维护数据与信息安全及使用人的切身利益，更有助于促进整个网络与信息技术的不断完善与进步。数据库系统安全性测试技术的应用需要区分目标与对象的性质差异，选择最具针对性的内容与形式开展测试，并在不断提高技术适应性的基础上实现系统安全性的进一步完善。

参考文献

[1]白雪.试论Web应用系统的安全性测试技术[J].网络安全技术与应用，2013（04）.

[2]张勇.基于规格说明的组件安全性测试技术研究和实现（硕士学位论文）[D].信息工程大学，2012（07）.

作者介

庞丽英（1986-），女，山西省朔州市人。硕士学历。现为中北大学朔州校区助教。研究方向为数据库。

作者单位

中北大学朔州校区 山西省朔州市 036000