|
|
摘要:基于此迫切需要就即时通信软件的数据库的安全问题做进一步的研究工作。本文主要探讨了即时通信软件数据库系统方面所面临的安全问题,并据此提出了建议。
关键词:即时通信;数据库安全;数据库加密
中图分类号:TP393.08 文献标识码:A 文章编号:1001-9599(2011)23-0000-01
Study on Instant-messaging Software Database Security Technology
Yu Hongyu,Chen Tiezhu,Xu Yanbing
(Jinzhou Teacher's Training College,Jinzhou 121000,China)
Abstract:This urgent need for instant-messaging software based on database security issues for further research work.This article mainly discusses IM facing security problems with database systems,and makes recommendations accordingly.
Keywords:Instant Messaging;Database security;Database encryption
一、即时通信软件数据库安全现状
随着即时通信软件迅猛发展,其功能呈现出多样化、复杂化的趋势。与此同时对数据库系统也提出了更多、更高的要求。要求数据库在提供数据共享的同时,可以集中统一管理数据;简化应用程序对数据的访问;解决数据有效性问题,保证数据的逻辑一致性;保证数据独立性问题,降低程序对数据及数据结构的依赖;保证数据的安全性,在共享环境下保证数据所有者的利益等。以上要求中最重要的问题就是数据的安全问题,目前大多数即时通信软件在设计的时候都考虑了可扩展性,但却没有充分地考虑安全问题。对数据都缺乏加密功能,存在绕过防火墙访问数据等现象。所以说在为用户提供充分的服务同时,保证信息不被泄漏,保护用户的合法利益,是即时通信软件数据库安全要考虑的首要任务,因此整个系统的安全构架及数据库自身的安全在这里显得尤为重要。
二、即时通信软件数据库系统面临的威胁
(一)欺骗
蠕虫病毒是一种常见的计算机病毒,传染途径是通过网络和电子邮件。此病毒通常采用VB语言编写,运行后可以把自己复制到多个系统文件夹的任意一个中,病毒文件名随机产生,文件类型不定。向外可以大量发送带毒邮件,标题可能为“系统消息”、“中奖消息”、“发送失败”等,邮件附件就是病毒。当用户从即时通信软件看到这些带有欺骗性质的标题时,情不自禁打开邮件,就会不知不觉的中毒。
(二)特洛伊木马
可以秘密潜伏在对方计算机,帮助控制者能够通过远程网络进行控制的恶意程序。控制者可以控制被秘密植入木马的计算机上的一切资源。特洛伊木马没有复制能力,它的特点是伪装成一个实用工具或者一个可爱的游戏,诱使用户将其安装在计算机上。在即时通信软件使用中,往往由被控制的计算机用户发送给好友用户,达到恶意控制目的。
(三)窃听威胁
大部分即时通信软件对通信的消息不加密,第三方窃听者可借助报文嗅探器窃听用户的会话。
(四)拒绝服务
通过向服务器发送大量垃圾信息或干扰信息的方式,导致服务器无法向正常用户提供服务。
(五)账号假冒和口令破解
攻击者可以假冒一个用户的账号和另一个用户即时通信,现在有许多网站有这种假冒工具。在许多即时通信系统中,口令的保护也很有限。
三、即时通信软件数据库安全对策
安全对策是指导信息安全的高级准则。实现数据库安全可以从以下几个方面进行分析。
(一)数据库加密
数据加密就是将称为明文的敏感信息,通过算法和密钥,转换为一种难于直接辨认的密文。解密是加密的逆向过程,即将密文转换成可识别的明文。数据库密码系统要求把明文数据加密成密文,数据库存储密文,查询时将密文取出解密后得到明文。数据库加密系统能够有效地保证数据的安全,即使黑客窃取了关键数据,他依旧难以得到所需的信息。
(二)身份认证
身份的标志和鉴别是DBMS对访问者授权的前提,通过审计机制使DBMS保留追究用户行为责任的能力。在一个开放的多用户系统的网络环境中,识别授权用户是构筑DBMS安全防线的第一个重要环节。近年来身份认证技术发展迅速,主要有口令验证、智能验证、指纹识别、手型几何验证、声音识别验证、虹膜识别验证等技术。但在即时通信软件的数据库身份认证中多采用口令验证,数字签名认证正在验证推广中。
(三)消息认证
消息认证是指通过对消息或者消息有关的信息进行加密或签名变换进行的认证,目的是为了防止传输和存储的消息被有意无意的篡改,包括消息内容认证(即消息完整性认证)、消息的源和宿认证(即身份认证)、及消息的序号和操作时间认证等。消息认证所用的摘要算法与一般的对称或非对称加密算法不同,它并不用于防止信息被窃取,而是用于证明原文的完整性和准确性,也就是说,消息认证主要用于防止信息被篡改。
(四)信息流量控制
采用非选择的存取控制的方式,控制合法程序使用数据,防止信息从一个授权的合法程序向一个未授权的程序泄漏,即规定数据属于某类别或某部门,不能由用户随便传递到其他类别去。这种方法的扩充,即分散控制,除数据信息本身的类别划分之外,还要按其信息的敏感程度划分等级,如0级为一般级;1级为秘密级;2级为机密级;3级为绝密级;而各等级之间具有一定的顺序,例如:绝密级>机密级>秘密级>一般级,即时通信软件根据这些也划分一定的安全级,这样写数据的时候就不会引起信息从安全级高到安全级别低的地方去。
四、总结
随着计算机和通信技术快速发展,即时通信将提供的服务会更加丰富,即时通信将更加凸显个人信息处理的能力。数据库系统作为即时通信软件信息系统的重要组成部分,担负着存储和管理数据信息的任务,在安全方面,随着技术手段的不断突破,即时通信软件的安全性会进一步提高,稳定性会日趋成熟。
参考文献:
[1]刘启原,刘怡.数据库与信息系统的安全[M].科学出版社,2000年第1版
[2]代印唐,张世永.即时通信安全研究[J].电信科学,200 年第 期
转载注明来源:http://www.ybaotk.com |
上一篇:软件测试的策略与测试方法应用探析下一篇:机械制图课程中CAD软件的应用
|
发表于 2020-5-30 04:21:30
中发现Ni:
中发现Ni:
中发现Ni:
中发现Ni:
中发现Ni:
中发现Ni:
QQ登录
