Web数据库系统安全性分析开题报告

时间：2022-03-01 14:16:12 浏览次数：

：Web数据库系统的安全性分析 1．本课题所涉及的问题在国内(外)的研究现状综述 1.1．课题背景简介随着WWW应用领域的不断拓展,人们已不满足于只用Web服务器浏览和发布静态的信息,人们需要通过它发表意见、查询数据甚至进行网上购物。原来的静态Web页面已经满足不了用户对信息服务的动态性、交互性的要求。这就迫切需要实现Web与数据库的交互。

Web与数据库这两者结合意味Web数据库将存储和管理大量重要数据，然儿一但它们被盗用或篡改，可能会带来巨大的政治和经济损失。基于广域网的Web数据库访问会带来很大的安全问题。首先是数据库的非法访问；
另一方面数据通过网络传输，可能被截取、篡改。还有黑客的攻击可能使系统瘫痪。

在动态Web不断发展的今天，人们对其依赖性也越来越强，但由于其开放性，在设计时对与信息的保密和系统的安全考虑不完备，及人们对保护数据库的安全意识薄弱，造成现在数据库攻击与破坏事件层出不穷，给人们的日常生活和经济活动造成了很大麻烦。因此，研究网络环境下的Web数据库系统的安全保障已经成为了重要的课题。

1.2．课题发展现状目前Web技术与数据库管理系统(DBMS)相互融合的研究已成为热点研究方向之一。但是由于Internet本身并没有提供任何安全机制，所以Web数据库系统对于外界攻击的防卫能力显得十分脆弱，以至Web数据库被攻击事件屡有发生。

1.2.1．Web数据库系统的产生与发展随着互联网Internet的不断发展，以及网上信息呈几何级数的增加，同时由于传统的数据库管理系统中的数据库资源不能被Web直接访问，影响了数据库资源的共享。如何将分布在Internet上的大量信息有效的管理起来，如何使现有的数据库中的信息发布到Internet上，而且使发布的信息具有交互性、动态性和实时性，也就是将Web技术和数据库技术想结合，开发动态的Web数据库应用，成为当今Web技术研究的热点所在。数据库技术适于对大量的数据进行组织管理，Web技术拥有较好的信息发布途径，这两种技术天然的互补性决定其相互融合成为技术发展的必然趋势。

1.2.2．Web数据库应用系统安全威胁分析为了让数据库能为处于网络上的用户服务而暴露在网络中，网络上的任何用户都可以访问这个数据库，这种情况下对数据库访问的控制只能通过用户控制既用户名/密码来进行。任何知道密码的拥护都可以访问，这增加了密码保护管理的难度，同时用户名/密码通过Internet传输很容易被人窃取。

其次，数据应用放读取的数据是通过Web传输，而这些数据缺乏有效的安全措施保护，从而可能被截取、篡改。

另外，Web数据库中存储着大量的数据信息，往往成为信息系统的关键，这就需要数据库及数据库所在的计算机能够安全运行。数据库放在Internet中很容易受到黑客的各种攻击。

随着网络信息系统的应用，数据库远程访问的安全问题日益突出。这个问题可采用网络传输加密，用户身份认证等安全措施解决。但由于日前的主审计防认数访用户火证据问墙服加控 Web数据库服务器务密制备份图1数据库安全模型流数据的网络传输部分都由数据库厂家来完成，恰恰缺少这些安全措施，因此上述安全技术在普通的数据库系统中难以直接应用。另外利用操作系统和数据库管理系统提供的安全保护功能是常用的数据库安全解决方案。但是Internet本身并没有提供任何安全机制，只要Web站点和Internet连通，就可能被任何人访问。

Web数据库受到的威胁大致包括泄漏、窃取、窜改、冒充、延迟、重传、遗失、越权存取数据、否认已收送数据及侵犯隐私权等。

1.2.3．数据库安全结构模型 Web数据库安全威胁涉及许多方面，我们认为安全措施应综合考虑，具体可以采用下列技术措施：(1)安装防火墙；
(2)身份认证和数据完整性认证服务；
(3)对机密敏感的数据进行加密存储和传输；
(4)访问控制机制；
(5)安全审计和监视追踪技术；
(6)数据库备份与故障恢复。Web数据库安全模型见图5。

1.3．文献综述文献一：窦丽华，蒋庆华，等.基于Web的信息系统安全研究.北京理工大学学报.2002.6，22(3)：361-363. 摘要：研究基于Web的信息系统的安全问题及如何充分并合理地利用操作系统、Web服务器和数据库管理系统所提供的安全设置，以有效地保证信息系统的安全性.利用应用程序所具有的灵活性，可以弥补操作系统、Web服务器和数据库管理系统的安全漏洞，结合某单位业务信息系统的案例，分别从操作系统、Web服务器、数据库管理系统、应用程序4个方面对安全问题进行分析，同时给出了建议. 文献二：曾爱林.基于Web的网络数据安全体系的建立与完善.湘潭师范学院学报.2004.6，26(2)：69-72. 摘要：随着Web数据库的应用越来越广泛，Web数据库的安全问题日益突出.本文从介绍几种流行的Web数据库访问技术出发，针对Web数据库的安全问题，建立一个Web数据库安全体系的初步模型，并指出安全问题应以预防为主,应该在构建Web数据库服务器时，及时进行漏洞检测、风险评估,根据检测结果，有意识地加强数据库服务器某方面的防范措施. 文献三：王惠琴，李明，王燕.基于Web的数据库安全管理技术与实现.2001.4.27 (3)：61-67. 摘要：随着 Internet/Intranet 技术的发展和普及,Web数据库已逐步取代基于传统的 Client/Server 模式的数据库系统,因此对于基于Web的数据库安全管理技术的研究具有实际意义.介绍了目前常用的几种Web数据库的连接技术，并结合ASP技术对如何利用防火墙、身份认证、授权控制、监视跟踪、存储过程、审计、备份与故障恢复等技术来实现数据库的安全管理进行了详细的阐述. 文献四：王燕，李明，王惠琴.Web数据库的连接技术及安全控制.计算机工程与应用.2001.2，P126-128. 摘要：随着 Internet/Intranet 技术的发展和普及，Web 数据库必将逐步取代基于传统的 Client/Server 模式的数据库系统.对于数据库与Web技术融合的研究具有实际意义.文章就目前常用的几种Web数据库的连接技术进行对比分析，并对利用ASP技术实现Web与数据库的连接和Web数据库系统的安全控制进行了详细阐述. 文献五：吴春明，郑志强.基于Web数据库加密研究.西南农业大学学报.2004.4，26(2)：121-126. 摘要：计算机和网络技术的广泛应用，给信息安全提出了更高的要求,在信息系统开发设计过程中，安全性能总是被放在首要的位置，成为信息系统生存的关键.数据库是基于WEB信息系统的核心组成部分,面临来自外部和内部的双重威胁，对其进行加密处理，是进行数据保护的有效手段.文章提出了一种基于JCE的WEB数据库加密模型，并对模型进行了行为分析及安全性分析. 文献六：帅兵.Web数据库系统开发技术研究.安徽机电学院学报.2001.6，16(2)：29-32. 摘要：利用Web服务器的信息服务能力和数据库服务器的数据管理能力来构造信息服务系统已成为人们关注的热点，其开发技术的关键是数据库网关的实现.介绍了目前采用的传统Web数据库解决方案中数据库网关实现几种技术：CGI、IDC、ASP、JDBC，并分析了其缺点，提出了一种的新的Web数据库解决方案. 文献七：徐锋，吕建.Web安全中的信任管理研究与进展.软件学报.2002.13.(11)：2058-2064. 摘要：信任管理是当前 Web 安全研究的热点.介绍了信任管理思想的出现,给出了信任管理的概念和模型，并概述了几个典型的信任管理系统和信任度评估模型.讨论了当前研究存在的问题以及今后的研究方向. 文献八：韩效鹏，官法明，等.关于Web数据库安全性问题探讨.胜利油田师范专科学校学报.2004.12.18(4)83-85. 摘要：按照DBMS对数据库安全管理的思想，在基于Windows环境的Web数据库应用中，安全控制问题主要包括如何有效地对通过页面访问的数据库中的数据进行保护，实现数据库级别的分权限访问等.在实施过程中，可使用用户身份认证、授权控制、使用日志监视数据库、参数化存储过程等安全管理技术来构筑管理信息系统的安全体系. 文献九：杨成，王恒山，张乾宇.Web数据库在线维护方法研究. 上海理工大学学报.2003.6.27(4)：40-43. 摘要：本文讨论了结合互联网数据中心(IDC)的服务器托管形式下对网站Web数据库在线维护的形式和内容.并以上海理工大学管理学院学院网站为例，介绍了如何利用JSP动态网页编程语言和JavaBeans来方便、快捷地实现对学院网站Web数据库在线维护功能. 文献十：贺红，徐宝文.Web信息系统的安全隐患与网络管理员对策.计算机工程与应用.2005.18，P151-153. 摘要：基于Web的信息系统安全性体系大致分为网络系统、操作系统、Web服务器及应用程序和Web数据库等多个层次，该文分别阐述了造成各层次安全隐患的主要原因，以及从网络管理员的角度出发，在各安全层次上消除和减少安全隐患的实用性安全对策. 2．设计(论文)要解决的问题和拟采用的研究方法（论文框架）
2.1．Web数据库应用系统要解决的问题 2.1.1．用户身份认证基于Web的数据库应用系统中包含大量的敏感数据和机密数据，为保证系统数据在存储时和网络传输时不被未经授权的用户访问或解读，可以利用用户名来标明用户身份，经系统鉴别用户的合法性后，再利用口令进一步核实用户身份。为保证口令的安全性，在口令的提交过程中，可以利用安全套接字协议（SSL），通过使用公共密钥和对称性加密提供非公开通信、身份验证和消息集成。

2.1.2．授权控制经身份认证的合法用户根据自己的权限来访问系统，因此用户的授权管理机制甚为重要，其严密性将直接影响整个系统的安全性。在该安全体系中，可以利用Windows NT的NTFS和DBMS的用户角色在不同层次分别对用户权限进行限制。

2.1.3．监视跟踪日志系统具有综合数据记录功能和自动分类检索能力。完整的日志不仅要包括用户的各项操作，而且还要包括网络中数据接受的正确性、有效性及合法性的检查结果，为日后网络安全分析提供可靠的依据。

2.1.4．存储过程在基于Web的数据库应用系统中，可通过建立参数化的存储过程实现数据库的访问，这通常是增强Web安全的一个最佳方案。

2.1.5．输出数据HTML编码输出数据HTML编码是指在将任何数据返回给用户前应采用HTML编码，以防止跨站点的脚本攻击。因为攻击一旦破坏了数据库，便可向记录中输入脚本，次脚本随后返回给用户并在浏览器中执行。通过HTML编码，可将大数脚本命令自动转换为无害文本。

2.1.6．中间件技术随着网络数据库朝分布式方向的深入发展，加上Internet上异构数据库的普遍存在，上述单独的数据库管理系统的安全管理能力越发显示出它的局限性。因此需要有在逻辑层次位于DBMS之上能覆盖具体差异、逻辑功能上能同意管理、同时可与用户进行交互的中间件部分。

最基本的中间件技术有通用网关接口(CGI)、Internet数据库连接器(IDC)，Microsoft最近开发的ActiveXDataObject技术(ADO)，它提供了高效率的ODBC数据库或OLE-DB数据库来源的链接功能。

基于数据库访问数据库的原理如图1所示。

2.2．研究方法本课题采用以文献资料法和比较研究法相结合，以文章的全面性，系统性，专业性为目标，让读者清楚的知道Web数据库的含义，发展现状，以及如何更好的保证Web数据库的安全。

3．本课题需要重点研究的、关键的问题及解决的思路本课题主要讨论Web数据库产生与发展和存在的安全性问题，重点研究Web数据库保护的具体方法。以纵向且全面的方式分析Web数据库的安全问题。

主要涉及内容：
1对身份认证的加密方法 2如何安全地设置Web和数据库权限 3如何更好地对CGI应用程序进行编程 Web浏览器 Web服务器中间件 Web数据库图2基于中间件技术访问数据库论文研究内容确定安全解决方案的研究研究工作总结，形成论文 Web数据库安全性分析文献检索课题调研 4．完成本课题所必须的工作条件(如工具书、实验设备或实验环境条件、某类市场调研、计算机辅助设计条件等等)及解决的办法 4.1．具备一定的实验设备和实验条件：
有专业知识作为基础，有文献资源丰富的网站，拥有自己的电脑及为实验提供的机房，并有专业的老师进行辅导。

4.2．参考文献：
[1]. 许龙飞.基于Web的数据库技术与应用.现代计算机，2000（2）：14-15. [2]. 王国荣，朱琳杰，王伟.Active Server Pages&数据库.北京：人民邮电出版社，1999：139-269. [3]. 道焰，朱世挺等.CGI技术及其安全性研究 [J].计算机系统应用，1997 (12). [4]. 周世雄编.IIS4.0超级网站速成.青岛：青岛出版社，1999：33-299. [5]. 蔡丹媚利用ASP轻松实现Web的动态交互访问.计算机应用研究，1999 （2）：62-63. [6]. Arman Danesh，Wes Tatters著，陈卓，张知一等译.Java Script 1.1开发指南.清华大学出版社，1998. [7]. 宵金秀，冯沃辉，卢国旺.中文Dreamweaver3网页设计大制作.北京：中国民航出版社，2000.5：117-130. [8].Palo Alto.Overview of Control Network.CA 94304. [9].张国祥.基于Apache的Web安全技术的应用研究[J].武汉理工大学学报，2004，(3). [10].Java 2 Platform [M].Enterprise Edition By Anne Thomas. [11].刑春晓，潘泉，张洪才.通用Web数据库系统体系结构研究[J].计算机工程与应用，1999.9：35(9)：90-93. [12]. [美] Curt Jang，Jeff Chow 著，周志英等译.Web网和INTRANET上的信息出版技术.电子工业出版社，1997. [13].Gunnit S.Khunrana等，Web数据库的建立与管理.机械工业出版社，1997. [14].罗明宇，等.计算机网络安全技术[J].计算机科学，2000，(10)：55-58. [15].王英凯.证券交易系统中的数据库安全性[J].兰州大学学报，35：531-533. [16].张少敏，王保义.基于Web的MIS中的数据库安全性策略[J].华北电力技术，2002，P45-90. [17].罗昌隆，李玲娟.基于Web的数据库访问技术[J].南京邮电学院学报，2001.7，P30-32. [18].吕峰，刘晓东等.基于Web的网络数据库安全系统研究[J].武汉工业学院学报，2003.6，P51-54. [19].程万军张霞刘积仁.基于扩展客体层次结构的安全数据库策略模型[J].软件学报，2002.9，P40-42. [20].李建中.日新月异的数据库研究领域——数据库技术的回顾与展望[J].黑龙江大学自然科学学报，2002，19(2)：43-52. 5．设计(论文)完成进度计划第1—3周：课题调研、资料收集，完成开题报告第4—6周：结合课题开展毕业实习第7—11周：实验研究第12—13周：完成论文初稿第14—16周：完成论文终稿并答辩 6．指导教师审阅意见指导教师(签字)：　　　　　　年月日 7．教研室主任意见教研室主任(签字)：　　　　　系(签章) 年月日说明：1.本报告必须由承担毕业设计(论文)课题任务的学生在接到“毕业设计(论文)任务书”、正式开始做毕业设计(论文)的第2周或第3周末之前独立撰写完成，并交指导教师审阅。

2.每个毕业设计(论文)课题撰写本报告一份，作为指导教师、教研室主任审查学生能否承担该毕业设计(论文)课题任务的依据，并接受学校的抽查。