期刊鉴别 论文检测 免费论文 特惠期刊 学术答疑 发表流程

浅谈基于VB与ACCESS的应用程序体系的安全问题(2)

时间:2013-12-21 11:45 文章来源:http://www.lunwenbuluo.com 作者:黄雅琼 点击次数:


  2)服务器操作系统层次:现在的操作系统有很多是服务器版的操作系统,这些操作系统与个人版或者专业版操作系统最大的不同之处就在于它们为数据库系统提供了一些安全技术:如操作系统安全策略、安全管理策略、数据安全等方面。
  3)数据库管理系统层次:这是对数据库系统安全最内层的保护也是最后一道防线。如果数据库管理系统的安全性越好数据库系统安全系数越高。它的关键点在于当第二层服务器操作系统的安全遭到破坏的时候数据库管理系统还能否继续保护数据库中数据信息的安全。显而易见,这个对于数据库管理系统是非常高的安全要求。
  3.2Access数据库自身方面的安全问题
  1)Access数据库加密方式简单,易被破解
  在Access数据库设置访问密码是保护数据控件被非法访问的最简便的方法。本意是设置了访问密码后每次打开数据库时必须要输入正确的密码才能打开数据库。但是这个密码只能提供对从Access窗口界面进入数据库的安全保护,并不能阻止使用第三方软件或其他手段来打开数据库,换句话来说这把锁只能防君子却不能防小人。总所周知Access数据库保存数据库文件的默认扩展名是*.MDB,这就说明数据库是以单个文件的形式存放在服务器上的,若能将数据库文件下载就可以通过第三方软件对数据库进行解密,而数据库中的数据信息就完全没有任何安全性可言了。
  2)Access帐户存在的漏洞
  Access的帐户包括两类一类是组用户,一类是用户。组用户由一个或多个用户组成。再将Access安装到计算机上的时候,它会默认建立两个用户组和一个管理员用户。用户组包括:Admins组和Users组,而管理员用户则是:Admin用户,这两个用户组和一个管理员用户是无法删除的。Admins组是Access的管理员组,这个组中的用户对数据库具有完全的控制权,他们可以新建和管理其他用户组中的用户,或者是新建或管理用户组。Users组是Access的缺省用户组,默认情况下所有新建的用户和Admin用户都属于这个组,所以这个组的用户也是对数据库具有全权的。所以只要拿到Access的数据库文件,任何人都是可以打开数据库的。3)数据库文件存储漏洞
  这个漏洞实际上是由于程序编辑人员和数据库使用人员的习惯造成的,他们在编写程序的时候往往为了以后读写程序对文件的命名做到见名知意,如:一个在线网店的数据库命名为shop.mdb;一个学校数据库命名为:school.mdb。这样使得黑客们可以通过这些文件的名字猜到数据库的存储文件。
  4数据库安全技术研究
  4.1针对数据库安全体系的建议
  针对以上提出关于数据库安全体系的种种问题,我对数据库安全体系提出以下一些个人建议:第一、在外层装上网络防火墙,这个可以是物理上的。第二、尽可能的提高服务器操作系统的安全性,可以采取的措施有很多,如:采用服务器版的操作系统,并时刻保持服务器操作系统是最新的,及时更新补丁、修补漏洞、安装正版的杀毒软件更新病毒库。这些防护可以有效的弥补第一层防护的不足。第三、就是对数据库管理系统Access的具体防护了。
  4.2针对Access数据库自身方面的安全问题的建议
  1)改进Access数据库的加密机制
  Access数据库本身自带的加密算法非常简单,但是我们可以通过编程来改进这个加密算法,如:RSA算法,这个算法是公开密钥密码类别中最好的加密算法。或者是随机加密算法,使用随机加密算法后,不但加密所用的数据是随机数,而且密码不再是通用的了,它是真正意义上的"一次一密"。对加密机制进行改制后,可以大大增强数据库的安全性。
  2)合理分配用户对数据库的所有权限
  我们首先要解决的是Admin用户所引发的漏洞,因为它自动是管理组,所以只要下载了数据库文件后,黑客们往往找的就是这个用户。我们要做的事情是:在管理组新建一个HYQ用户,让它作为管理员,让原本是管理员的Admin用户撤出管理组成为一个普通用户,取消它所有管理组的权限。最后我们要解决的是Users组对数据库默认情况下也是有全权的问题,因为所有新建的用户默认都是进入Users组,而Users组对数据库具有全权就变相成为所有用户都对数据库具有全权。所以我们在分配数据库的权限之前,必须首先将数据库的所有权限屏蔽掉。
  3)修改数据库文件名
  黑客们往往是通过程序员和数据库管理员的编程习惯来猜测数据库文件的存储路径和文件名,那么如果我们将原本简单文件名加一些复杂的符号如:@、#、%等、这样使得这些黑客要多花很多时间去猜测,无形中就增强了数据库的安全。
  参考文献:
  [1]郭丽.Access数据库的安全与防范[M].北京:清华大学出版社,2006.
  [2]彭慧卿、李玮、戴春霞、高晗等.Access数据库技术及应用[M].北京:清华大学出版社,2011.
  [3]余连新.动态网页源码安全性研究及实现[J].网络安全技术与应用,2006(3):12-15.
  [4]王国荣.ASP与WEB数据库[M].北京:人民邮电出版社,1999.
  [5]罗英均,徐兵,冉戎且.浅谈Access数据库安全策略[J].电脑知识与技术,2005(5):16-18.
  [6]廖金辉,李景福.Access数据库中OLE对象的巧妙插入[J].电脑开发与应用,2004,17(4):F002.
  [7]DinoEsposito.ASP数据访问高级编程[M].程永敬,董启雄,等,译.北京:机械工业出版社,2001:163-177.
  [8]杨诚忠.Access2000快速入门教程[M].北京:航空工业出版社,2000:112-138.
  [9]MicrosoftCorp.MicrosoftDeveloperNetworkCD[Z].1999.

  •   论文部落提供核心期刊、国家级期刊、省级期刊、SCI期刊和EI期刊等咨询服务。
  •   论文部落拥有一支经验丰富、高端专业的编辑团队,可帮助您指导各领域学术文章,您只需提出详细的论文写作要求和相关资料。
  •  
  •   论文投稿客服QQ: 论文投稿2863358778 论文投稿2316118108
  •  
  •   论文投稿电话:15380085870
  •  
  •   论文投稿邮箱:lunwenbuluo@126.com

联系方式

  • 论文投稿客服QQ: 论文投稿2863358778
  • 论文投稿客服QQ: 论文投稿2316118108
  • 论文投稿电话:15380085870
  • 论文投稿邮箱:lunwenbuluo@126.com

热门排行

 
QQ在线咨询
咨询热线:
15380085870
微信号咨询:
lunwenbuluoli