泄露事故统计数字正在逐步下降,但数据仍然面临着由数据库、应用以及终端保护不当所引发的严重风险。
从多个角度来看,2013年的数据泄露趋势已经得到有效扼制,这对于安全行业来说当然是个好消息。不同于过去四到五年,今年的记录当中不再充斥着大型数据库泄露所导致的数以千万计个人身份信息的外流。根据隐私权信息交流中心的调查,本年度公开报道的泄露事故数量及记录在案的泄露事故数量双双呈下降趋势。去年同期,得到确切统计的记录泄露数量已经达到约278万条,漏洞报告则为637份。而在今年,目前为止记录在案的泄露事故约为107万条,漏洞报告则为483份。这充分证明整个安全行业在合规性与安全最佳实践方面所迎来的进步——然而这样的战绩与理想目标相比仍然相去甚远。
在对年初至今的数字进行比较时,我们发现记录在案的泄露事故数量大幅降低了617%,然而报告提及的泄露事故数量则仅降低了242%。这表明泄露事故仍然快速发生——只不过如今的犯罪活动及违规事件开始逐步扩散而非集中于一点。泄露事件影响范围更小,而且根据安全业内人士的说法,此类恶意活动的目标也更为广泛。现在犯罪分子开始更多地窃取IP或者其它数字资产,由此引发的损失可能比客户记录本身更为严重——同时这也更加难以量化,无法提供头条新闻所必需的统计结果。
通过对今年发生的泄露事故的深入钻研,我们发现安全行业明显仍有大量工作要做。2013年的追踪记录证明,有价值数据库仍然没有受到严格保护与加密、应用程序仍然存在大量安全漏洞、用户们则仍然能够从敏感数据库中下载大量信息并将其保存在缺乏保护的终端当中。为了帮助大家更好地理解当前安全形势,我们选取了几项最具代表意义的实例,希望各位能够从中吸取可资借鉴的教训。
当事企业: CorporateCarOnlinecom
泄露统计: 850,000份记录被盗
事故细节:作为全美最具知名度的专业体育、娱乐外加五百强企业,CorporateCarOnlinecom拥有大量用户个人资料、xyk号码以及其它个人身份信息,然而由于其开发出的全球豪车租赁SaaS数据库解决方案将全部信息以纯文本形式储存,最终导致这一切成为犯罪分子的囊中之物。名单中涉及不少大牌,包括汤姆·汉克斯、汤姆·达施勒以及唐纳德·特朗普等。
经验教训:最重要的教训在于认清这样一个现实:面对极具价值的财务与社会工程信息,攻击者们会爆发出极为可怕的技术能量。根据KrebsOnSecuritycom网站的调查,目前遭遇过违规活动的美国运通卡当中有四分之一为高额度甚至无限额度卡片,而且企业间谍分子或者娱乐小报记者也希望通过这类个人信息挖掘到有价值结论。与此同时,该公司在管理收支账目时完全没有考虑过信息安全性,甚至从未尝试采取任何最基本的加密措施。
当事企业: Adobe
泄露统计: 约三百万个人身份信息、超过15亿用户名/密码组合以及来自Adobe Acrobat、ColdFusion、ColdFusion Builder外加其它未说明产品的源代码惨遭窃取。
事故细节: 自最初的违规事件发生之后,接踵而来的更多攻击活动持续了一个多月之久,并最终导致了此次重大事故的发生。目前情况已经明确,Adobe正在努力恢复其失窃的大量登录凭证信息——更令人惊讶的是,连其产品源代码也一并泄露。
经验教训: 通过Adobe遭遇的这一轮震惊世界的攻击活动,我们不仅切身感受到攻击者在企业网络中建立根据地并夺取了整套业务储备控制权后所能带来的损害,同时也应学会在考虑将供应商引入软件供应链之前、考察对方在安全领域营造出了怎样的企业生态。作为此次泄露事故的后续影响,其潜在后果恐怕在很长一段时间内都无法彻底消除。
当事企业: 美国能源部
泄露统计: 53000位前任及现任能源部员工的个人身份信息遭到窃取
事故细节: 攻击者将矛头指向了DOEInfo——该机构利用ColdFusion所打造的、已经弃之不用的CFO办公室公开访问系统。能源部官员表示,此次泄露事故只限于内部员工的个人身份信息。
经验教训: 我们从中应该吸取两大教训。首先,安装补丁过去是、现在是、未来也将一直是最为重要的安全任务。其次,各机构必须通过重新审视与敏感数据库相对接的系统最大程度减少攻击面,保证只向公众开放必要的网站。
当事企业: Advocate Medical Group
泄露统计: 四百万病人记录遭到窃取
事故细节: 仅仅由于犯罪分子从办公室里偷走了四台由该公司拥有的计算机,最终导致了这起四百万病人记录丢失的事故——公司官方将此称为自2009年卫生部强制要求通告安全事故以来、美国发生过的第二大医疗信息泄露案件。
经验教训: 医疗行业的数据泄露事故在2013年的违规披露名单当中一直占据主导,但这一次的案件造成的影响显然特别恶劣。仅仅由于一台物理计算设备失窃就最终导致从上世纪九十年代至今的病人记录泄露,这充分暴露了该公司在物理安全、终端安全、加密以及数据保护等各个方面的全线失误。需要强调的是,终端设备被盗与丢失在医疗行业中已经屡见不鲜。现在这些机构可能需要尽快思考终端设备到底能够下载并保存多少来自中央数据库的信息。
您有秘密吗?
您担心电脑数据的安全吗?
您可曾想过,计算机失窃、遗失,也会造成数据泄密?
您可曾想过,电脑维护人员维修你的电脑时也能窃取机密信息?
您可曾想过,企业内部职员可以通过移动存储设备(如U盘),或者邮件、文件传输、上载等方式轻松地泄密?
隐私信息或技术资料以电子形式储存在计算机中,通过网络或可移动介质传递,安全难以得到保障。一旦信息遭到泄露,有可能对个人或企业造成难以估计的损失,因此对数据进行加密是目前解决信息泄密的最有效方法。
K/3数据安全平台是以自动防护为理念的信息安全系列软件产品,实现自动、动态、透明地对存储在计算机上的数据进行加密处理,加密强度大、安全级别高,能有效提高内网的安全保密性。
一、应用背景
1现状分析
随着信息技术的发展,企业为了提高信息处理的效率,越来越多地把文档转化为电子文档形式,甚至把90%以上的企业机密信息以电子文档的形式存储在企业内网中。同时,企业也大量使用ERP、CRM、OA等与数据库相关的电子信息管理方案。这些新型管理手段的使用,在给企业带来更高的生产效率的同时也给企业的信息安全管理带来了新的挑战。虽然企业采用了反病毒软件、防火墙、入侵检测、身份认证等手段,但依然无法阻止电子形式的信息通以各种方式从企业中泄漏出去。而当前的大部分网络安全技术出发点是解决对外防护的问题,对内防护十分薄弱。面对日益严重的信息安全威胁,企业原有的安全方案渐渐显得力不从心。
1 几乎每个企业都会遇到“合理”避税的问题;一旦泄密,企业将进入非常被动的状态;
2 几乎每个高新企业都要保护技术秘密;一旦泄密,企业将失去核心竞争力,丧失行业领导地位;
3 几乎每个企业都要保护标书、合同、报价单等商业私密,一但泄密,企业将失去客户。
2信息安全威胁
21 据波莱蒙研究所表示,企业在数据入侵时的平均损失呈逐年递增趋势。数据入侵给企业带来的平均损失是660万美元,有的公司的损失甚至高达3200万美元。企业因数据入侵而遭受的最大损失是丢失业务。据其表示,在去年的每条记录平均损失202美元中,有139美元(占69%)是指丢失业务。
22 根据FBI和CSI对484家公司进行的网络安全专项调查结果显示:超过70%的安全威胁来自公司内部,在损失金额上,由于内部人员泄密导致的损失,是黑客造成损失的16倍,是病毒造成损失的12倍。
23 据中国国家信息安全测评中心调查,信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪,而非病毒和外来黑客引起。
……
3常见的泄密途径
31 黑客通过安装恶意软件(如木马程序)把信息复制出去而泄密。
32 计算机感染病毒自动向外发送的泄密。
33 计算机失窃、遗失造成的数据泄密。
34 内部人员通过移动存储设备复制信息,或者以邮件、文件上传等形式泄密。
35 第三方维护人员利用工作之便窃取信息造成泄密。
4加密机密资料,彻底解决安全隐患
41 所有机密资料不能随便流出企业;
42 所有机密资料在企业内部透明流通,消除安全隐患的同时,又不影响正常业务 *** 作;
43 所有机密资料可设置各种安全等级,根据授权使用;
44 机密资料只有一个可控且唯一的安全出口。
二、产品概述
1平台简介
金蝶K/3数据安全平台能有效保护您的数据安全!
平台采用“驱动层”底层透明加密技术,结合世界先进加密算法,提供完全自动化、动态化、透明化数字文件加密保护。
金蝶K/3数据安全平台解决方案
2平台特性
21 采用驱动层动态透明加解密技术;
22 唯一的企业密钥,密钥长度最高可达到8192位;
23 采用高强度加密算法,可多种加密算法混合使用及多次加密;
24 可加密任何类型的文件或数据库;
25 可加密在任何储存介质上的文件;
26 严格的身份认证体系;
27 完善的、可无限扩充文件密级控制;
28 加密文件只有被授权解密才能转成明文外向传送;
29 加解密策略库、日志审计报表均可自由定制;
210 平台简单易用,无需第三方软件配合,基本上不改变现有 *** 作模式。
3系统拓扑结构图
金蝶K/3数据安全平台解决方案
4功能概览:
金蝶K/3数据安全平台解决方案
5技术优势:
51 数据库加密
数据库在运行、备份过程中均为密文,通过应用软件导出报表,无论是C/S或B/S应用模式,报表均被自动加密;并配备“数据库锁定热键”,可在网内任一计算机按预设键,即时锁死已加密的数据库,企业可从容应对各种突发事件。
金蝶K/3数据安全平台解决方案
52 文件加密
安全平台客户端创建文件时,文件即被自动加密,并自动根据文件创建者权限在文件内添加相应的“部门”、“密级”属性。加密后的文件可在企业内部自由流通,安全平台通过严格的文件访问机制,确定文件不被非授权用户使用。
金蝶K/3数据安全平台解决方案
支持的应用列表:
金蝶K/3数据安全平台解决方案
53 可无限扩展的密级管理机制
灵活的“部门”+“密级”管理机制,全面掌控机密资料流向,真正实现任意细粒度控制。
安全平台根据人员“部门”、“密级”授权和文件的“部门”、“密级”属性进行比对,在部门相符,人员“密级”授权大于或等于文件“密级”属性的情况下,才允许正常打开加密文件。
当企业行政架构发生变化时,“部门”、“密级”均可任意增加或插入,无需特殊处理已加密文件,即可自动继承相关授权,可轻松应对未来的扩展。
当文件临时需要交由企业内部其他部门使用时,可通过OA的审批流程或在安全平台客户端直接把文件内含的“部门”、“密级”属性变更到为新的“部门”、“密级”。
当企业内部某些人员需要跨部门工作时,可通过安全平台控制台,对特定人员授与相应的“部门”、“密级” *** 作权限。
金蝶K/3数据安全平台解决方案
54 灵活的解密机制
多种灵活的解密方式,可结合OA或PLM使用,实现工作程审批解密或邮件白名单自动解密,减少领导手工解密的工作量,提高企业效率。
金蝶K/3数据安全平台解决方案
55 打印限制功能
可根据不同用户权限,限制相应进程的打印功能。减少机密文件通过纸质形式泄密的机会。
56 进程限制功能
可根据不同用户权限,限制相应进程的运行功能。禁用与工作无关的应用,提高工作效率。
57 网址访问控制功能
可根据不同用户权限,设定网址访问权限,分别使用黑白名单管理,禁止用户访问与工作无关的网页,提高工作效率。
58 远程监控
根据不同用户权限,可随时监控任一安全平台客户端的计算机屏幕,安全终端所有 *** 作行为无所遁形。
59 工作时间排程
可根据实际情况,任意设定数据库服务器及平台各用户的工作时间,在非工作时间内,无法登录平台,无法使用已加密的文件,确保机密资料安全。
510 支持多种登录模式
包括“用户名+密码”、“用户名+智能卡数字证书(CA)”、用户名捆绑IP、Mac地址、开机自动登录等。
511 多种隐蔽机制
隐蔽安全平台运行界面、未登录平台前隐藏已加密的文件,使用企业机密更加安全。隐藏后,在资源管理器看不到已加密文件,在SQL企业管理器中看不到已加密的数据库,在金蝶账套管理也看不到已加密账套。
512 支持离线应用
安全平台根据离线后有效时间、离线后登录次数等进行离线控制,即使计算机离开公司环境,仍受到实时监控,加密效果与在公司内部使用一样。
513 完善的日志记录
详细记录安全终端的各项关键 *** 作,根据客户需要输出相应报表。
内存泄漏:
举例:
请注意以下的例子是虚构的
内存抖动
源自Android文档中的 Memory churn 一词,中文翻译为内存抖动。
指快速频繁的创建对象从而产生的性能问题。
引用Android文档原文:
Java内存泄漏的根本原因是 长生命周期 的对象持有 短生命周期 对象的引用就很可能发生内存泄漏。
尽管短生命周期对象已经不再需要,但因为长生命周期依旧持有它的引用,故不能被回收而导致内存泄漏。
静态集合类引起的内存泄漏
如果仅仅释放引用本身(tO = null), ArrayList 依然在引用该对象,GC无法回收。
监听器
在Java应用中,通常会用到很多监听器,一般通过 addXXXXListener() 实现。但释放对象时通常会忘记删除监听器,从而增加内存泄漏的风险。
各种连接
如数据库连接、网络连接(Socket)和I/O连接。忘记显式调用 close() 方法引起的内存泄漏。
内部类和外部模块的引用
内部类的引用是很容易被遗忘的一种,一旦没有释放可能会导致一系列后续对象无法释放。此外还要小心外部模块不经意的引用,内部类是否提供相应的 *** 作去除外部引用。
单例模式
由于单例的静态特性,使其生命周期与应用的生命周期一样长,一旦使用不恰当极易造成内存泄漏。如果单利持有外部引用,需要注意提供释放方式,否则当外部对象无法被正常回收时,会进而导致内存泄漏。
集合类泄漏
如集合的使用范围超过逻辑代码的范围,需要格外注意删除机制是否完善可靠。比如由静态属性 static 指向的集合。
单利泄漏
以下为简单逻辑代码,只为举例说明内存泄漏问题,不保证单利模式的可靠性。
AppManager 创建时需要传入一个 Context ,这个 Context 的生命周期长短至关重要。
1 如果传入的是 Application 的 Context ,因为 Application 的生命周期等同于应用的生命周期,所以没有任何问题。
2 如果传入的是 Activity 的 Context ,则需要考虑这个 Activity 是否在整个生命周期都不会被回收了,如果不是,则会造成内存泄漏。
非静态内部类创建静态实例造成的内存泄漏
应该将该内部类单独封装为一个单例来使用。
匿名内部类/异步线程
Runnable都使用了匿名内部类,将持有MyActivity的引用。如果任务在Activity销毁前未完成,将导致Activity的内存无法被回收,从而造成内存泄漏。
解决方法:将Runnable独立出来或使用静态内部类,可以避免因持有外部对象导致的内存泄漏。
Handler造成的内存泄漏
Handler属于TLS(Thread Local Storage)变量,生命周期与Activity是不一致的,容易导致持有的对象无法正确被释放
当Android应用程序启动时,该应用程序的主线程会自动创建一个Looper对象和与之关联的MessageQueue。
当主线程中实例化一个Handler对象后,它就会自动与主线程Looper的MessageQueue关联起来。所有发送到MessageQueue的Messag都会持有Handler的引用,所以Looper会据此回调Handle的handleMessage()方法来处理消息。只要MessageQueue中有未处理的Message,Looper就会不断的从中取出并交给Handler处理。
另外,主线程的Looper对象会伴随该应用程序的整个生命周期。
在Java中,非静态内部类和匿名类内部类都会潜在持有它们所属的外部类的引用,但是静态内部类却不会。
当该 Activity 被 finish() 掉时,延迟执行任务的 Message 还会继续存在于主线程中,它持有该 Activity 的 Handler 引用,所以此时 finish() 掉的 Activity 就不会被回收了从而造成内存泄漏(因 Handler 为非静态内部类,它会持有外部类的引用,在这里就是指 SampleActivity)。
避免不必要的静态成员变量
对于BroadcastReceiver、ContentObserver、File、Cursor、Stream、Bitmap等资源的使用,应在Activity销毁前及时关闭或注销。
不使用WebView对象时,应调用`destroy()`方法销毁。
这次我们采取技术演进的方式来谈谈数据库连接池的技术出现过程及其原理,以及当下最流行的开源数据库连接池jar包。
1、原理
一般来说,Java应用程序访问数据库的过程是 :
①装载数据库驱动程序;
②通过jdbc建立数据库连接;
③访问数据库,执行sql语句;
④断开数据库连接。
2、代码
3、分析
程序开发过程中,存在很多问题:首先,每一次web请求都要建立一次数据库连接。建立连接是一个费时的活动,每次都得花费005s~1s的时间,而且系统还要分配内存资源。这个时间对于一次或几次数据库 *** 作,或许感觉不出系统有多大的开销。可是对于现在的web应用,尤其是大型电子商务网站,同时有几百人甚至几千人在线是很正常的事。在这种情况下,频繁的进行数据库连接 *** 作势必占用很多的系统资源,网站的响应速度必定下降,严重的甚至会造成服务器的崩溃。不是危言耸听,这就是制约某些电子商务网站发展的技术瓶颈问题。其次,对于每一次数据库连接,使用完后都得断开。否则,如果程序出现异常而未能关闭,将会导致数据库系统中的内存泄漏,最终将不得不重启数据库。还有,这种开发不能控制被创建的连接对象数,系统资源会被毫无顾及的分配出去,如连接过多,也可能导致内存泄漏,服务器崩溃。
上述的用户查询案例,如果同时有1000人访问,就会不断的有数据库连接、断开 *** 作:
通过上面的分析,我们可以看出来,“数据库连接”是一种稀缺的资源,为了保障网站的正常使用,应该对其进行妥善管理。其实我们查询完数据库后,如果不关闭连接,而是暂时存放起来,当别人使用时,把这个连接给他们使用。就避免了一次建立数据库连接和断开的 *** 作时间消耗。原理如下:
由上面的分析可以看出,问题的根源就在于对数据库连接资源的低效管理。我们知道,对于共享资源,有一个很著名的设计模式:资源池(resource pool)。该模式正是为了解决资源的频繁分配﹑释放所造成的问题。为解决上述问题,可以采用数据库连接池技术。数据库连接池的基本思想就是为数据库连接建立一个“缓冲池”。预先在缓冲池中放入一定数量的连接,当需要建立数据库连接时,只需从“缓冲池”中取出一个,使用完毕之后再放回去。我们可以通过设定连接池最大连接数来防止系统无尽的与数据库连接。更为重要的是我们可以通过连接池的管理机制监视数据库的连接的数量﹑使用情况,为系统开发﹑测试及性能调整提供依据。
我们自己尝试开发一个连接池,来为上面的查询业务提供数据库连接服务:
① 编写class 实现DataSource 接口
② 在class构造器一次性创建10个连接,将连接保存LinkedList中
③ 实现getConnection 从 LinkedList中返回一个连接
④ 提供将连接放回连接池中方法
1、连接池代码
2、使用连接池重构我们的用户查询函数
这就是数据库连接池的原理,它大大提供了数据库连接的利用率,减小了内存吞吐的开销。我们在开发过程中,就不需要再关心数据库连接的问题,自然有数据库连接池帮助我们处理,这回放心了吧。但连接池需要考虑的问题不仅仅如此,下面我们就看看还有哪些问题需要考虑。
1、并发问题
为了使连接管理服务具有最大的通用性,必须考虑多线程环境,即并发问题。这个问题相对比较好解决,因为java语言自身提供了对并发管理的支持,使用synchronized关键字即可确保线程是同步的。使用方法为直接在类方法前面加上synchronized关键字,如:
2、多数据库服务器和多用户
对于大型的企业级应用,常常需要同时连接不同的数据库(如连接oracle和sybase)。如何连接不同的数据库呢?我们采用的策略是:设计一个符合单例模式的连接池管理类,在连接池管理类的唯一实例被创建时读取一个资源文件,其中资源文件中存放着多个数据库的url地址等信息。根据资源文件提供的信息,创建多个连接池类的实例,每一个实例都是一个特定数据库的连接池。连接池管理类实例为每个连接池实例取一个名字,通过不同的名字来管理不同的连接池。
对于同一个数据库有多个用户使用不同的名称和密码访问的情况,也可以通过资源文件处理,即在资源文件中设置多个具有相同url地址,但具有不同用户名和密码的数据库连接信息。
3、事务处理
我们知道,事务具有原子性,此时要求对数据库的 *** 作符合“all-all-nothing”原则即对于一组sql语句要么全做,要么全不做。
在java语言中,connection类本身提供了对事务的支持,可以通过设置connection的autocommit属性为false 然后显式的调用commit或rollback方法来实现。但要高效的进行connection复用,就必须提供相应的事务支持机制。可采用每一个事务独占一个连接来实现,这种方法可以大大降低事务管理的复杂性。
4、连接池的分配与释放
连接池的分配与释放,对系统的性能有很大的影响。合理的分配与释放,可以提高连接的复用度,从而降低建立新连接的开销,同时还可以加快用户的访问速度。
对于连接的管理可使用空闲池。即把已经创建但尚未分配出去的连接按创建时间存放到一个空闲池中。每当用户请求一个连接时,系统首先检查空闲池内有没有空闲连接。如果有就把建立时间最长(通过容器的顺序存放实现)的那个连接分配给他(实际是先做连接是否有效的判断,如果可用就分配给用户,如不可用就把这个连接从空闲池删掉,重新检测空闲池是否还有连接);如果没有则检查当前所开连接池是否达到连接池所允许的最大连接数(maxconn)如果没有达到,就新建一个连接,如果已经达到,就等待一定的时间(timeout)。如果在等待的时间内有连接被释放出来就可以把这个连接分配给等待的用户,如果等待时间超过预定时间timeout 则返回空值(null)。系统对已经分配出去正在使用的连接只做计数,当使用完后再返还给空闲池。对于空闲连接的状态,可开辟专门的线程定时检测,这样会花费一定的系统开销,但可以保证较快的响应速度。也可采取不开辟专门线程,只是在分配前检测的方法。
5、连接池的配置与维护
连接池中到底应该放置多少连接,才能使系统的性能最佳?系统可采取设置最小连接数(minconn)和最大连接数(maxconn)来控制连接池中的连接。最小连接数是系统启动时连接池所创建的连接数。如果创建过多,则系统启动就慢,但创建后系统的响应速度会很快;如果创建过少,则系统启动的很快,响应起来却慢。这样,可以在开发时,设置较小的最小连接数,开发起来会快,而在系统实际使用时设置较大的,因为这样对访问客户来说速度会快些。最大连接数是连接池中允许连接的最大数目,具体设置多少,要看系统的访问量,可通过反复测试,找到最佳点。
如何确保连接池中的最小连接数呢?有动态和静态两种策略。动态即每隔一定时间就对连接池进行检测,如果发现连接数量小于最小连接数,则补充相应数量的新连接以保证连接池的正常运转。静态是发现空闲连接不够时再去检查。
理解了连接池的原理就可以了,没有必要什么都从头写一遍,那样会花费很多时间,并且性能及稳定性也不一定满足要求。事实上,已经存在很多流行的性能优良的第三方数据库连接池jar包供我们使用。如:
其中c3p0已经很久没有更新了。DBCP更新速度很慢,基本处于不活跃状态,而Druid和HikariCP处于活跃状态的更新中。
中图分类号:TN91508 文献标识码:A摘 要:随着信息技术的飞速发展,网络技术和数据库技术日渐成熟,21世纪计算机网络的运行速度越来越快,高速的网络也逐渐走向商业、家庭。由于信息在当今人类的经济、军事、生活等方面越来越重要,信息的安全也渐渐被人们所重视。因此网络数据库的安全问题是目前网络信息安全的重点之一,网络环境下数据库数据被盗、丢失使得网络环境下数据库安全性研究极为重要。本文详细论述网络环境下数据库将面临的安全威胁,从数据库安全的基础概念着手,让大家知道提高数据库的安全策略是什么,做好哪些防范才能使数据库安全。
关键词:网络环境 数据库安全 威胁 策略
一、网络数据库的含义
将海量数据汇集,且按照规格有组织的整理好,存储在计算机的硬盘上面,方便人们查找使用数据集合称为“数据库”。我们所说的数据有数字、文字、图形、图像、声音、符号、文件、档案等一切描述事物的符号记录。而在开放式的网络中数据具有共享性,我们需要把数据与资源共享两种方式融合在一起那就是我们所说的“网络数据库”,它是需要后台数据库加上前台程序,然后通过浏览器将数据储存、查询等一系列 *** 作的系统。网络数据库的设计是根据数据棋型来设计的数据库,它在关系数据库的基础上面集合网络技术、存储技术、检索技术为一体的新型数据库,它使web数据库的应用成为网络信息时代的一大亮点。目前网络数据库在信息检索、电子商务、网上医疗、网络数字图书馆等多个领域得到了广泛的使用。其重要性也被越来越多的人所重视。
二、网络数据库的安全知识与安全机制
数据库的安全简单说是指保证数据库的正常运作,不被非授权用户非法使用、**、修改以及破坏数据。在现实 *** 作中网络管理员一般会忽略服务器端的安全设置,而是把问题抛给程序开发者来处理。数据库安全主要包括三个方面:互联网系统安全、 *** 作系统安全、数据库管理系统安全等三个方面。
(一)互联网系统安全机制
Intemet系统安全是数据库第一道保障,一般的入侵都是从网络系统开始的。但是现在互联网系统面临着木马程序的攻击、网络犯罪欺骗、网络非法入侵与网络病毒等威胁。这些威胁都有可能使信息系统的完整性、秘密性、可信性遭到破坏。从技术角度来说预防互联网系统安全的技术有很多种:如防火墙它是目前应用广泛的一种防御方式;防病毒软件它可以使网络数据库免受木马病毒的攻击,现在市面上的防病毒软件有瑞星、360、诺顿等;入侵检查它是专门为保护计算机系统安全而配置的以及能及时发现威胁并报告威胁的一种技术,其可以时时监控系统是否有被入侵,并能主动的实施安全防御并且保护系统。
(二) *** 作系统安全机制
现在很多企业家庭大多都用Windows的 *** 作系统,这个系统本身就有缺陷、安全配置、网络病毒等三个方面的威胁。但是这些威胁可以通过人工 *** 作来避免。网络管理员必须定期对 *** 作系统进行升级更新,合理化安全配置以及病毒扫描,这样能及时发现 *** 作系统的漏洞并且能及时制定修补计划。
(三)数据库管理系统安全机制
数据库管理系统它都是采用多个不同的安全设置方法与用户设置做为不同的访问权限,而且可以定期进行数据备份,以防系统出问题造成数据丢失。数据安全可以分为:数据加密、数据备份与恢复、数据存储的安全性、数据传输的安全性、数据存取权限等等。数据库管理系统又分为两部分:一个是数据库,存储数据信息的仓库;另一个是数据库管理系统,它不但可以给用户与应用程序提供数据访问,而且也具有管理数据库、数据库维护等工作的能力。数据库与它的管理系统在整个网络环境中,做为信息数据储存和处理访问的重要工作地必须具有以下能力:数据库的保密性、数据库的完整性、数据库的一致性、数据库的可用性、数据库的跟踪性。
三、数据库的安全威胁
网络数据库的安全意义是保护网络中数据库信息的保密性、完整性、一致性、可用性。保护网络数据库的安全我们需要保护其系统中的数据信息不被恶意破坏、修改、泄漏。一般保护数据库安全的技术有:授权控制、身份辨别、数据库安全审计等等。我们只要做好防范有很多威胁是可以避免的,数据库在网络环境中面临的威胁有以下几点:
1软件环境出现意外,如系统崩溃软件不能运行;硬件环境受损,如电缆接口断裂、硬盘不能启动、磁盘损坏等。
2病毒入侵严重的可以导致系统崩溃,进一步破坏数据。
3数据库被不正确访问,引发数据库中数据的错误。
4未授权访问数据库,**数据库中数据信息。
5未授权修改数据库中数据,使数据真实性丢失。
6通过非正常路径对数据库进行攻击。
7人为的破坏,管理员 *** 作不当使数据丢失。
四、数据库常用安全技术
网络由于其开放性,它绝对没有安全存在,我们可以通过安全管理减少很多不必要的损失。从保护数据库的安全出发,可从数据库管理系统去考虑问题。保证数据库安全的技术主要有:用户身份认证、权限访问控制、信息流控制、数据库加密、数据库安全审计、防火墙等。
(一)数据库的物理安全
物理安全是保证数据库安全的基本。它重点指保护数据库服务器、存放数据库的环境与网络等物理安全。一般指连接服务器的网络电线与放置交换机的环境是否安全,避免自然灾害的侵袭如:雷击、火灾、洪水、电压是否稳定等等物理问题。
(二)用户身份认证
用户身份认证是系统提供的第一道安全保护闸门。每一次用户进入数据库时系统都会提示身份验证,用户只能输入正确的命令才能进入,身份信息如不正确会发出警告。这样可以防止非授权用户进入数据库对数据信息造成破坏、**等行为。目前使用最多的身份验证手段是设置用户名与密码。但是也有更高级别的验证方法正在迅速发展起来如:智能IC卡、指纹、人脸等强度高的认证技术。用户身份的识别只能通过数据库授权与验证才能知道是否为合法的用户。
(三)访问控制技术
所谓的访问控制是指已经进入系统的用户,数据库管理系统内部这些用户进行访问权限的控制,是防止系统安全漏洞的一种保护方法,也是其核心技术。访问控制就是控制数据库可以被哪些用户访问,不被哪些用户访问。只有被授权的用户才能对数据库的数据进行读、写、删、查。一般授权有:按功能模块来授权用户、赋予用户数据库系统权限等两种。用户访问控制是数据库安全技术中最有效的方法,也是目前人们用的最多的一种技术。
(四)数据加密处理
数据库系统提供的一系列安全措施是可以满足数据库的日常应用,但如果数据比较敏感、重要,像公司的财务数据、军事数据、国家机密、以及个人隐私等这些数据,采用以上所述的几种安全措施是不够的,为了数据的保密性一般都会使用数据加密技术,增加数据储存的安全性。根据网络数据的共享性这一特点,我们可以采用公开密钥的加密办法,这种加密办法可以经受住来自 *** 作系统和DBMS的攻击,但是它的缺点是只能加密数据库中的部分数据,但这也足够机密数据进行数据加密保护。
(五)数据备份与恢复
软硬件的故障我们不能百分百的保证,因此数据库备份是很有必要的。如果数据库被入侵、被病毒破坏、以及发生自燃灾害、盗窃等情况数据就会丢失造成损失,但是如果我们做好了数据备份并且在短时间内恢复好数据库,那么造成的影响应该会很小。因此定期做好数据备份、对数据库进行安全管理是保护数据库的手段之一。备份数据库的方法有:静态、动态、逻辑备份三种,还可以采用磁盘镜像、数据备份文件、数据库在线日志来恢复数据库。保证网络环境下数据库安全的前提是要做好防范工作,防御能力提高了才能抵制外来的侵袭
五、结束语
计算机和网络已经成为人类工作和生活的一部分,在计算机 *** 作系统、网络协议、数据库中安全问题是一直备受关注的问题之一。随着网络技术的发展,在网络环境中数据库需求越来越大,然而数据库的安全问题也备受人们关注。在信息技术高速发展的当今社会各个行业都把数据信息储存在数据库系统中,这使得数据库安全显得尤为重要。通过上述文章的详解,有一点大家应该知道,那就是做好防御工作是有备无患的明智之举。在做预防工作之前最好是先了解一下数据库安全性方面的知识,以免进入 *** 作误区。
weblogic连接池泄漏 简单来说也可以看作项目Overloaded。就是程序运行过程中创建一个连接,而在执行之后有可能没有释放该连接,当然,还有其他某些原因。这样的话,不管你项目配置的最大连接是多少,终将会溢出。然后项目始终与数据库连接不上。
首先我们明确一点:Connection用完(打开过后)是必须关闭的,不能不关闭。
为什么要及时关闭呢,是因为系统特殊的处理导致的,与此相类似的还有线程。由于数据库连接是一种昂贵的资源,所以系统对它进行了特殊的处理,启用了池机制,这个池我们叫做连接池(线程类似的就叫线程池)。系统在初始化的时候,会建立连接池,接着初始化一定数目的数据库连接放在里面,需要使用的时候,从池里选出一个空闲的数据库连接,用完后再放回池中,从而实现数据库连接的复用。
因此,数据库连接和普通对象不一样。普通对象用完会从内存中清除,而数据库连接却是要回到连接池的。如果用完后没有关闭它,会导致它无法再回到连接池,也就无法再次被利用,当连接池中的连接全部用完了,就会发生异常,连接池超时就是这么发生的。所以,即使声明为局部变量,只要没有明确地关闭,数据库连接也不会因为“超过了声明范围”而被自动关闭。
一般情况下,连接的打开和关闭是需要成对出现的,有特殊情况,包括:
1使用using来引用连接,using是一个特殊的关键字,当变量离开using声明的区域时,会隐式调用Dispose(和Close是一样的);
2数据库连接的执行返回了一个DataReader并指定了“关闭时一起关闭连接”的选项,则关闭DataReader时就会关闭数据库连接。
通常的数据库连接泄漏,都是这几个方面导致的:
1打开后却忘记关闭
2使用了using,但是却返回了一个DataReader,或者打开了却因为返回DataReader所以不能关闭,而调用程序调用完后忘记关闭DataReader或者忘记关闭
连接(如果没有为DataReader指定同时关闭数据库连接的选项)
因此,你在上个问题 >
右键-》所有任务-》分离数据库,有个清除按钮,另外在sql server属性里可以设置一下并发用户的最大连接数和查询超时设定, 另外可以改 连接字符串代码"Server=(local); database=db;uid=sa;pwd=sa; Max Pool Size=75; Min Pool Size=5;
以上就是关于最近几年数据库泄漏事件全部的内容,包括:最近几年数据库泄漏事件、数据库泄露意味着什么、Android技术分享|Android 中部分内存泄漏示例及解决方案等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)