Web數(shù)據(jù)庫系統(tǒng)的安全性分析 計算機(jī)專業(yè) 開題報告

PAGE課題名稱：Web數(shù)據(jù)庫系統(tǒng)的安全性分析本課題所涉及的問題在國內(nèi)(外)的研究現(xiàn)狀綜述本課題所涉及的問題在國內(nèi)(外)的研究現(xiàn)狀綜述1.1．課題背景簡介隨著WWW應(yīng)用領(lǐng)域的不斷拓展,人們已不滿足于只用Web服務(wù)器瀏覽和發(fā)布靜態(tài)的信息,人們需要通過它發(fā)表意見、查詢數(shù)據(jù)甚至進(jìn)行網(wǎng)上購物。原來的靜態(tài)Web頁面已經(jīng)滿足不了用戶對信息服務(wù)的動態(tài)性、交互性的要求。這就迫切需要實現(xiàn)Web與數(shù)據(jù)庫的交互。Web與數(shù)據(jù)庫這兩者結(jié)合意味Web數(shù)據(jù)庫將存儲和管理大量重要數(shù)據(jù)，然兒一但它們被盜用或篡改，可能會帶來巨大的政治和經(jīng)濟(jì)損失?；趶V域網(wǎng)的Web數(shù)據(jù)庫訪問會帶來很大的安全問題。首先是數(shù)據(jù)庫的非法訪問；另一方面數(shù)據(jù)通過網(wǎng)絡(luò)傳輸，可能被截取、篡改。還有黑客的攻擊可能使系統(tǒng)癱瘓。在動態(tài)Web不斷發(fā)展的今天，人們對其依賴性也越來越強(qiáng)，但由于其開放性，在設(shè)計時對與信息的保密和系統(tǒng)的安全考慮不完備，及人們對保護(hù)數(shù)據(jù)庫的安全意識薄弱，造成現(xiàn)在數(shù)據(jù)庫攻擊與破壞事件層出不窮，給人們的日常生活和經(jīng)濟(jì)活動造成了很大麻煩。因此，研究網(wǎng)絡(luò)環(huán)境下的Web數(shù)據(jù)庫系統(tǒng)的安全保障已經(jīng)成為了重要的課題。1.2．課題發(fā)展現(xiàn)狀目前Web技術(shù)與數(shù)據(jù)庫管理系統(tǒng)(DBMS)相互融合的研究已成為熱點研究方向之一。但是由于Internet本身并沒有提供任何安全機(jī)制，所以Web數(shù)據(jù)庫系統(tǒng)對于外界攻擊的防衛(wèi)能力顯得十分脆弱，以至Web數(shù)據(jù)庫被攻擊事件屢有發(fā)生。1.2.1．Web數(shù)據(jù)庫系統(tǒng)的產(chǎn)生與發(fā)展隨著互聯(lián)網(wǎng)Internet的不斷發(fā)展，以及網(wǎng)上信息呈幾何級數(shù)的增加，同時由于傳統(tǒng)的數(shù)據(jù)庫管理系統(tǒng)中的數(shù)據(jù)庫資源不能被Web直接訪問，影響了數(shù)據(jù)庫資源的共享。如何將分布在Internet上的大量信息有效的管理起來，如何使現(xiàn)有的數(shù)據(jù)庫中的信息發(fā)布到Internet上，而且使發(fā)布的信息具有交互性、動態(tài)性和實時性，也就是將Web技術(shù)和數(shù)據(jù)庫技術(shù)想結(jié)合，開發(fā)動態(tài)的Web數(shù)據(jù)庫應(yīng)用，成為當(dāng)今Web技術(shù)研究的熱點所在。數(shù)據(jù)庫技術(shù)適于對大量的數(shù)據(jù)進(jìn)行組織管理，Web技術(shù)擁有較好的信息發(fā)布途徑，這兩種技術(shù)天然的互補性決定其相互融合成為技術(shù)發(fā)展的必然趨勢。1.2.2．Web數(shù)據(jù)庫應(yīng)用系統(tǒng)安全威脅分析為了讓數(shù)據(jù)庫能為處于網(wǎng)絡(luò)上的用戶服務(wù)而暴露在網(wǎng)絡(luò)中，網(wǎng)絡(luò)上的任何用戶都可以訪問這個數(shù)據(jù)庫，這種情況下對數(shù)據(jù)庫訪問的控制只能通過用戶控制既用戶名/密碼來進(jìn)行。任何知道密碼的擁護(hù)都可以訪問，這增加了密碼保護(hù)管理的難度，同時用戶名/密碼通過Internet傳輸很容易被人竊取。其次，數(shù)據(jù)應(yīng)用放讀取的數(shù)據(jù)是通過Web傳輸，而這些數(shù)據(jù)缺乏有效的安全措施保護(hù)，從而可能被截取、篡改。另外，Web數(shù)據(jù)庫中存儲著大量的數(shù)據(jù)信息，往往成為信息系統(tǒng)的關(guān)鍵，這就需要數(shù)據(jù)庫及數(shù)據(jù)庫所在的計算機(jī)能夠安全運行。數(shù)據(jù)庫放在Internet中很容易受到黑客的各種攻擊。隨著網(wǎng)絡(luò)信息系統(tǒng)的應(yīng)用，數(shù)據(jù)庫遠(yuǎn)程訪問的安全問題日益突出。這個問題可采用網(wǎng)絡(luò)傳輸加密，用戶身份認(rèn)證等安全措施解決。但由于日前的主

審計防認(rèn)數(shù)訪用戶火證據(jù)問墻服加控Web數(shù)據(jù)庫服務(wù)器務(wù)密制備份圖1數(shù)據(jù)庫安全模型流數(shù)據(jù)的網(wǎng)絡(luò)傳輸部分都由數(shù)據(jù)庫廠家來完成，恰恰缺少這些安全措施，因此上述安全技術(shù)在普通的數(shù)據(jù)庫系統(tǒng)中難以直接應(yīng)用。另外利用操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)提供的安全保護(hù)功能是常用的數(shù)據(jù)庫安全解決方案。但是Internet本身并沒有提供任何安全機(jī)制，只要Web站點和Internet連通，就可能被任何人訪問。Web數(shù)據(jù)庫受到的威脅大致包括泄漏、竊取、竄改、冒充、延遲、重傳、遺失、越權(quán)存取數(shù)據(jù)、否認(rèn)已收送數(shù)據(jù)及侵犯隱私權(quán)等。1.2.3．?dāng)?shù)據(jù)庫安全結(jié)構(gòu)模型Web數(shù)據(jù)庫安全威脅涉及許多方面，我們認(rèn)為安全措施應(yīng)綜合考慮，具體可以采用下列技術(shù)措施：(1)安裝防火墻；(2)身份認(rèn)證和數(shù)據(jù)完整性認(rèn)證服務(wù)；(3)對機(jī)密敏感的數(shù)據(jù)進(jìn)行加密存儲和傳輸；(4)訪問控制機(jī)制；(5)安全審計和監(jiān)視追蹤技術(shù)；(6)數(shù)據(jù)庫備份與故障恢復(fù)。Web數(shù)據(jù)庫安全模型見圖5。1.3．文獻(xiàn)綜述文獻(xiàn)一：竇麗華，蔣慶華，等.基于Web的信息系統(tǒng)安全研究.北京理工大學(xué)學(xué)報.2002.6，22(3)：361-363.摘要：研究基于Web的信息系統(tǒng)的安全問題及如何充分并合理地利用操作系統(tǒng)、Web服務(wù)器和數(shù)據(jù)庫管理系統(tǒng)所提供的安全設(shè)置，以有效地保證信息系統(tǒng)的安全性.利用應(yīng)用程序所具有的靈活性，可以彌補操作系統(tǒng)、Web服務(wù)器和數(shù)據(jù)庫管理系統(tǒng)的安全漏洞，結(jié)合某單位業(yè)務(wù)信息系統(tǒng)的案例，分別從操作系統(tǒng)、Web服務(wù)器、數(shù)據(jù)庫管理系統(tǒng)、應(yīng)用程序4個方面對安全問題進(jìn)行分析，同時給出了建議.文獻(xiàn)二：曾愛林.基于Web的網(wǎng)絡(luò)數(shù)據(jù)安全體系的建立與完善.湘潭師范學(xué)院學(xué)報.2004.6，26(2)：69-72.摘要：隨著Web數(shù)據(jù)庫的應(yīng)用越來越廣泛，Web數(shù)據(jù)庫的安全問題日益突出.本文從介紹幾種流行的Web數(shù)據(jù)庫訪問技術(shù)出發(fā)，針對Web數(shù)據(jù)庫的安全問題，建立一個Web數(shù)據(jù)庫安全體系的初步模型，并指出安全問題應(yīng)以預(yù)防為主,應(yīng)該在構(gòu)建Web數(shù)據(jù)庫服務(wù)器時，及時進(jìn)行漏洞檢測、風(fēng)險評估,根據(jù)檢測結(jié)果，有意識地加強(qiáng)數(shù)據(jù)庫服務(wù)器某方面的防范措施.文獻(xiàn)三：王惠琴，李明，王燕.基于Web的數(shù)據(jù)庫安全管理技術(shù)與實現(xiàn).2001.4.27(3)：61-67.摘要：隨著Internet/Intranet技術(shù)的發(fā)展和普及,Web數(shù)據(jù)庫已逐步取代基于傳統(tǒng)的Client/Server模式的數(shù)據(jù)庫系統(tǒng),因此對于基于Web的數(shù)據(jù)庫安全管理技術(shù)的研究具有實際意義.介紹了目前常用的幾種Web數(shù)據(jù)庫的連接技術(shù)，并結(jié)合ASP技術(shù)對如何利用防火墻、身份認(rèn)證、授權(quán)控制、監(jiān)視跟蹤、存儲過程、審計、備份與故障恢復(fù)等技術(shù)來實現(xiàn)數(shù)據(jù)庫的安全管理進(jìn)行了詳細(xì)的闡述.文獻(xiàn)四：王燕，李明，王惠琴.Web數(shù)據(jù)庫的連接技術(shù)及安全控制.計算機(jī)工程與應(yīng)用.2001.2，P126-128.摘要：隨著Internet/Intranet技術(shù)的發(fā)展和普及，Web數(shù)據(jù)庫必將逐步取代基于傳統(tǒng)的Client/Server模式的數(shù)據(jù)庫系統(tǒng).對于數(shù)據(jù)庫與Web技術(shù)融合的研究具有實際意義.文章就目前常用的幾種Web數(shù)據(jù)庫的連接技術(shù)進(jìn)行對比分析，并對利用ASP技術(shù)實現(xiàn)Web與數(shù)據(jù)庫的連接和Web數(shù)據(jù)庫系統(tǒng)的安全控制進(jìn)行了詳細(xì)闡述.文獻(xiàn)五：吳春明，鄭志強(qiáng).基于Web數(shù)據(jù)庫加密研究.西南農(nóng)業(yè)大學(xué)學(xué)報.2004.4，26(2)：121-126.摘要：計算機(jī)和網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用，給信息安全提出了更高的要求,在信息系統(tǒng)開發(fā)設(shè)計過程中，安全性能總是被放在首要的位置，成為信息系統(tǒng)生存的關(guān)鍵.數(shù)據(jù)庫是基于WEB信息系統(tǒng)的核心組成部分,面臨來自外部和內(nèi)部的雙重威脅，對其進(jìn)行加密處理，是進(jìn)行數(shù)據(jù)保護(hù)的有效手段.文章提出了一種基于JCE的WEB數(shù)據(jù)庫加密模型，并對模型進(jìn)行了行為分析及安全性分析.文獻(xiàn)六：帥兵.Web數(shù)據(jù)庫系統(tǒng)開發(fā)技術(shù)研究.安徽機(jī)電學(xué)院學(xué)報.2001.6，16(2)：29-32.摘要：利用Web服務(wù)器的信息服務(wù)能力和數(shù)據(jù)庫服務(wù)器的數(shù)據(jù)管理能力來構(gòu)造信息服務(wù)系統(tǒng)已成為人們關(guān)注的熱點，其開發(fā)技術(shù)的關(guān)鍵是數(shù)據(jù)庫網(wǎng)關(guān)的實現(xiàn).介紹了目前采用的傳統(tǒng)Web數(shù)據(jù)庫解決方案中數(shù)據(jù)庫網(wǎng)關(guān)實現(xiàn)幾種技術(shù)：CGI、IDC、ASP、JDBC，并分析了其缺點，提出了一種的新的Web數(shù)據(jù)庫解決方案.文獻(xiàn)七：徐鋒，呂建.Web安全中的信任管理研究與進(jìn)展.軟件學(xué)報.2002.13.(11)：2058-2064.摘要：信任管理是當(dāng)前Web安全研究的熱點.介紹了信任管理思想的出現(xiàn),給出了信任管理的概念和模型，并概述了幾個典型的信任管理系統(tǒng)和信任度評估模型.討論了當(dāng)前研究存在的問題以及今后的研究方向.文獻(xiàn)八：韓效鵬，官法明，等.關(guān)于Web數(shù)據(jù)庫安全性問題探討.勝利油田師范專科學(xué)校學(xué)報.2004.12.18(4)83-85.摘要：按照DBMS對數(shù)據(jù)庫安全管理的思想，在基于Windows環(huán)境的Web數(shù)據(jù)庫應(yīng)用中，安全控制問題主要包括如何有效地對通過頁面訪問的數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行保護(hù)，實現(xiàn)數(shù)據(jù)庫級別的分權(quán)限訪問等.在實施過程中，可使用用戶身份認(rèn)證、授權(quán)控制、使用日志監(jiān)視數(shù)據(jù)庫、參數(shù)化存儲過程等安全管理技術(shù)來構(gòu)筑管理信息系統(tǒng)的安全體系.文獻(xiàn)九：楊成，王恒山，張乾宇.Web數(shù)據(jù)庫在線維護(hù)方法研究.上海理工大學(xué)學(xué)報.2003.6.27(4)：40-43.摘要：本文討論了結(jié)合互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)的服務(wù)器托管形式下對網(wǎng)站W(wǎng)eb數(shù)據(jù)庫在線維護(hù)的形式和內(nèi)容.并以上海理工大學(xué)管理學(xué)院學(xué)院網(wǎng)站為例，介紹了如何利用JSP動態(tài)網(wǎng)頁編程語言和JavaBeans來方便、快捷地實現(xiàn)對學(xué)院網(wǎng)站W(wǎng)eb數(shù)據(jù)庫在線維護(hù)功能.文獻(xiàn)十：賀紅，徐寶文.Web信息系統(tǒng)的安全隱患與網(wǎng)絡(luò)管理員對策.計算機(jī)工程與應(yīng)用.2005.18，P151-153.摘要：基于Web的信息系統(tǒng)安全性體系大致分為網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)、Web服務(wù)器及應(yīng)用程序和Web數(shù)據(jù)庫等多個層次，該文分別闡述了造成各層次安全隱患的主要原因，以及從網(wǎng)絡(luò)管理員的角度出發(fā)，在各安全層次上消除和減少安全隱患的實用性安全對策.2．設(shè)計(論文)要解決的問題和擬采用的研究方法（論文框架）2.1．Web數(shù)據(jù)庫應(yīng)用系統(tǒng)要解決的問題2.1.1．用戶身份認(rèn)證基于Web的數(shù)據(jù)庫應(yīng)用系統(tǒng)中包含大量的敏感數(shù)據(jù)和機(jī)密數(shù)據(jù)，為保證系統(tǒng)數(shù)據(jù)在存儲時和網(wǎng)絡(luò)傳輸時不被未經(jīng)授權(quán)的用戶訪問或解讀，可以利用用戶名來標(biāo)明用戶身份，經(jīng)系統(tǒng)鑒別用戶的合法性后，再利用口令進(jìn)一步核實用戶身份。為保證口令的安全性，在口令的提交過程中，可以利用安全套接字協(xié)議（SSL），通過使用公共密鑰和對稱性加密提供非公開通信、身份驗證和消息集成。2.1.2．授權(quán)控制經(jīng)身份認(rèn)證的合法用戶根據(jù)自己的權(quán)限來訪問系統(tǒng)，因此用戶的授權(quán)管理機(jī)制甚為重要，其嚴(yán)密性將直接影響整個系統(tǒng)的安全性。在該安全體系中，可以利用WindowsNT的NTFS和DBMS的用戶角色在不同層次分別對用戶權(quán)限進(jìn)行限制。2.1.3．監(jiān)視跟蹤日志系統(tǒng)具有綜合數(shù)據(jù)記錄功能和自動分類檢索能力。完整的日志不僅要包括用戶的各項操作，而且還要包括網(wǎng)絡(luò)中數(shù)據(jù)接受的正確性、有效性及合法性的檢查結(jié)果，為日后網(wǎng)絡(luò)安全分析提供可靠的依據(jù)。2.1.4．存儲過程在基于Web的數(shù)據(jù)庫應(yīng)用系統(tǒng)中，可通過建立參數(shù)化的存儲過程實現(xiàn)數(shù)據(jù)庫的訪問，這通常是增強(qiáng)Web安全的一個最佳方案。2.1.5．輸出數(shù)據(jù)HTML編碼輸出數(shù)據(jù)HTML編碼是指在將任何數(shù)據(jù)返回給用戶前應(yīng)采用HTML編碼，以防止跨站點的腳本攻擊。因為攻擊一旦破壞了數(shù)據(jù)庫，便可向記錄中輸入腳本，次腳本隨后返回給用戶并在瀏覽器中執(zhí)行。通過HTML編碼，可將大數(shù)腳本命令自動轉(zhuǎn)換為無害文本。2.1.6．中間件技術(shù)隨著網(wǎng)絡(luò)數(shù)據(jù)庫朝分布式方向的深入發(fā)展，加上Internet上異構(gòu)數(shù)據(jù)庫的普遍存在，上述單獨的數(shù)據(jù)庫管理系統(tǒng)的安全管理能力越發(fā)顯示出它的局限性。因此需要有在邏輯層次位于DBMS之上能覆蓋具體差異、邏輯功能上能同意管理、同時可與用戶進(jìn)行交互的中間件部分。最基本的中間件技術(shù)有通用網(wǎng)關(guān)接口(CGI)、Internet數(shù)據(jù)庫連接器(IDC)，Microsoft最近開發(fā)的ActiveXDataObject技術(shù)(ADO)，它提供了高效率的ODBC數(shù)據(jù)庫或OLE-DB數(shù)據(jù)庫來源的鏈接功能。審計防認(rèn)數(shù)訪用戶火證據(jù)問墻服加控Web數(shù)據(jù)庫服務(wù)器務(wù)密制備份圖1數(shù)據(jù)庫安全模型流數(shù)據(jù)的網(wǎng)絡(luò)傳輸部分都由數(shù)據(jù)庫廠家來完成，恰恰缺少這些安全措施，因此上述安全技術(shù)在普通的數(shù)據(jù)庫系統(tǒng)中難以直接應(yīng)用。另外利用操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)提供的安全保護(hù)功能是常用的數(shù)據(jù)庫安全解決方案。但是Internet本身并沒有提供任何安全機(jī)制，只要Web站點和Internet連通，就可能被任何人訪問。Web數(shù)據(jù)庫受到的威脅大致包括泄漏、竊取、竄改、冒充、延遲、重傳、遺失、越權(quán)存取數(shù)據(jù)、否認(rèn)已收送數(shù)據(jù)及侵犯隱私權(quán)等。1.2.3．?dāng)?shù)據(jù)庫安全結(jié)構(gòu)模型Web數(shù)據(jù)庫安全威脅涉及許多方面，我們認(rèn)為安全措施應(yīng)綜合考慮，具體可以采用下列技術(shù)措施：(1)安裝防火墻；(2)身份認(rèn)證和數(shù)據(jù)完整性認(rèn)證服務(wù)；(3)對機(jī)密敏感的數(shù)據(jù)進(jìn)行加密存儲和傳輸；(4)訪問控制機(jī)制；(5)安全審計和監(jiān)視追蹤技術(shù)；(6)數(shù)據(jù)庫備份與故障恢復(fù)。Web數(shù)據(jù)庫安全模型見圖5。1.3．文獻(xiàn)綜述文獻(xiàn)一：竇麗華，蔣慶華，等.基于Web的信息系統(tǒng)安全研究.北京理工大學(xué)學(xué)報.2002.6，22(3)：361-363.摘要：研究基于Web的信息系統(tǒng)的安全問題及如何充分并合理地利用操作系統(tǒng)、Web服務(wù)器和數(shù)據(jù)庫管理系統(tǒng)所提供的安全設(shè)置，以有效地保證信息系統(tǒng)的安全性.利用應(yīng)用程序所具有的靈活性，可以彌補操作系統(tǒng)、Web服務(wù)器和數(shù)據(jù)庫管理系統(tǒng)的安全漏洞，結(jié)合某單位業(yè)務(wù)信息系統(tǒng)的案例，分別從操作系統(tǒng)、Web服務(wù)器、數(shù)據(jù)庫管理系統(tǒng)、應(yīng)用程序4個方面對安全問題進(jìn)行分析，同時給出了建議.文獻(xiàn)二：曾愛林.基于Web的網(wǎng)絡(luò)數(shù)據(jù)安全體系的建立與完善.湘潭師范學(xué)院學(xué)報.2004.6，26(2)：69-72.摘要：隨著Web數(shù)據(jù)庫的應(yīng)用越來越廣泛，Web數(shù)據(jù)庫的安全問題日益突出.本文從介紹幾種流行的Web數(shù)據(jù)庫訪問技術(shù)出發(fā)，針對Web數(shù)據(jù)庫的安全問題，建立一個Web數(shù)據(jù)庫安全體系的初步模型，并指出安全問題應(yīng)以預(yù)防為主,應(yīng)該在構(gòu)建Web數(shù)據(jù)庫服務(wù)器時，及時進(jìn)行漏洞檢測、風(fēng)險評估,根據(jù)檢測結(jié)果，有意識地加強(qiáng)數(shù)據(jù)庫服務(wù)器某方面的防范措施.文獻(xiàn)三：王惠琴，李明，王燕.基于Web的數(shù)據(jù)庫安全管理技術(shù)與實現(xiàn).2001.4.27(3)：61-67.摘要：隨著Internet/Intranet技術(shù)的發(fā)展和普及,Web數(shù)據(jù)庫已逐步取代基于傳統(tǒng)的Client/Server模式的數(shù)據(jù)庫系統(tǒng),因此對于基于Web的數(shù)據(jù)庫安全管理技術(shù)的研究具有實際意義.介紹了目前常用的幾種Web數(shù)據(jù)庫的連接技術(shù)，并結(jié)合ASP技術(shù)對如何利用防火墻、身份認(rèn)證、授權(quán)控制、監(jiān)視跟蹤、存儲過程、審計、備份與故障恢復(fù)等技術(shù)來實現(xiàn)數(shù)據(jù)庫的安全管理進(jìn)行了詳細(xì)的闡述.文獻(xiàn)四：王燕，李明，王惠琴.Web數(shù)據(jù)庫的連接技術(shù)及安全控制.計算機(jī)工程與應(yīng)用.2001.2，P126-128.摘要：隨著Internet/Intranet技術(shù)的發(fā)展和普及，Web數(shù)據(jù)庫必將逐步取代基于傳統(tǒng)的Client/Server模式的數(shù)據(jù)庫系統(tǒng).對于數(shù)據(jù)庫與Web技術(shù)融合的研究具有實際意義.文章就目前常用的幾種Web數(shù)據(jù)庫的連接技術(shù)進(jìn)行對比分析，并對利用ASP技術(shù)實現(xiàn)Web與數(shù)據(jù)庫的連接和Web數(shù)據(jù)庫系統(tǒng)的安全控制進(jìn)行了詳細(xì)闡述.文獻(xiàn)五：吳春明，鄭志強(qiáng).基于Web數(shù)據(jù)庫加密研究.西南農(nóng)業(yè)大學(xué)學(xué)報.2004.4，26(2)：121-126.摘要：計算機(jī)和網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用，給信息安全提出了更高的要求,在信息系統(tǒng)開發(fā)設(shè)計過程中，安全性能總是被放在首要的位置，成為信息系統(tǒng)生存的關(guān)鍵.數(shù)據(jù)庫是基于WEB信息系統(tǒng)的核心組成部分,面臨來自外部和內(nèi)部的雙重威脅，對其進(jìn)行加密處理，是進(jìn)行數(shù)據(jù)保護(hù)的有效手段.文章提出了一種基于JCE的WEB數(shù)據(jù)庫加密模型，并對模型進(jìn)行了行為分析及安全性分析.文獻(xiàn)六：帥兵.Web數(shù)據(jù)庫系統(tǒng)開發(fā)技術(shù)研究.安徽機(jī)電學(xué)院學(xué)報.2001.6，16(2)：29-32.摘要：利用Web服務(wù)器的信息服務(wù)能力和數(shù)據(jù)庫服務(wù)器的數(shù)據(jù)管理能力來構(gòu)造信息服務(wù)系統(tǒng)已成為人們關(guān)注的熱點，其開發(fā)技術(shù)的關(guān)鍵是數(shù)據(jù)庫網(wǎng)關(guān)的實現(xiàn).介紹了目前采用的傳統(tǒng)Web數(shù)據(jù)庫解決方案中數(shù)據(jù)庫網(wǎng)關(guān)實現(xiàn)幾種技術(shù)：CGI、IDC、ASP、JDBC，并分析了其缺點，提出了一種的新的Web數(shù)據(jù)庫解決方案.文獻(xiàn)七：徐鋒，呂建.Web安全中的信任管理研究與進(jìn)展.軟件學(xué)報.2002.13.(11)：2058-2064.摘要：信任管理是當(dāng)前Web安全研究的熱點.介紹了信任管理思想的出現(xiàn),給出了信任管理的概念和模型，并概述了幾個典型的信任管理系統(tǒng)和信任度評估模型.討論了當(dāng)前研究存在的問題以及今后的研究方向.文獻(xiàn)八：韓效鵬，官法明，等.關(guān)于Web數(shù)據(jù)庫安全性問題探討.勝利油田師范?？茖W(xué)校學(xué)報.2004.12.18(4)83-85.摘要：按照DBMS對數(shù)據(jù)庫安全管理的思想，在基于Windows環(huán)境的Web數(shù)據(jù)庫應(yīng)用中，安全控制問題主要包括如何有效地對通過頁面訪問的數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行保護(hù)，實現(xiàn)數(shù)據(jù)庫級別的分權(quán)限訪問等.在實施過程中，可使用用戶身份認(rèn)證、授權(quán)控制、使用日志監(jiān)視數(shù)據(jù)庫、參數(shù)化存儲過程等安全管理技術(shù)來構(gòu)筑管理信息系統(tǒng)的安全體系.文獻(xiàn)九：楊成，王恒山，張乾宇.Web數(shù)據(jù)庫在線維護(hù)方法研究.上海理工大學(xué)學(xué)報.2003.6.27(4)：40-43.摘要：本文討論了結(jié)合互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)的服務(wù)器托管形式下對網(wǎng)站W(wǎng)eb數(shù)據(jù)庫在線維護(hù)的形式和內(nèi)容.并以上海理工大學(xué)管理學(xué)院學(xué)院網(wǎng)站為例，介紹了如何利用JSP動態(tài)網(wǎng)頁編程語言和JavaBeans來方便、快捷地實現(xiàn)對學(xué)院網(wǎng)站W(wǎng)eb數(shù)據(jù)庫在線維護(hù)功能.文獻(xiàn)十：賀紅，徐寶文.Web信息系統(tǒng)的安全隱患與網(wǎng)絡(luò)管理員對策.計算機(jī)工程與應(yīng)用.2005.18，P151-153.摘要：基于Web的信息系統(tǒng)安全性體系大致分為網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)、Web服務(wù)器及應(yīng)用程序和Web數(shù)據(jù)庫等多個層次，該文分別闡述了造成各層次安全隱患的主要原因，以及從網(wǎng)絡(luò)管理員的角度出發(fā)，在各安全層次上消除和減少安全隱患的實用性安全對策.2．設(shè)計(論文)要解決的問題和擬采用的研究方法（論文框架）2.1．Web數(shù)據(jù)庫應(yīng)用系統(tǒng)要解決的問題2.1.1．用戶身份認(rèn)證基于Web的數(shù)據(jù)庫應(yīng)用系統(tǒng)中包含大量的敏感數(shù)據(jù)和機(jī)密數(shù)據(jù)，為保證系統(tǒng)數(shù)據(jù)在存儲時和網(wǎng)絡(luò)傳輸時不被未經(jīng)授權(quán)的用戶訪問或解讀，可以利用用戶名來標(biāo)明用戶身份，經(jīng)系統(tǒng)鑒別用戶的合法性后，再利用口令進(jìn)一步核實用戶身份。為保證口令的安全性，在口令的提交過程中，可以利用安全套接字協(xié)議（SSL），通過使用公共密鑰和對稱性加密提供非公開通信、身份驗證和消息集成。2.1.2．授權(quán)控制經(jīng)身份認(rèn)證的合法用戶根據(jù)自己的權(quán)限來訪問系統(tǒng)，因此用戶的授權(quán)管理機(jī)制甚為重要，其嚴(yán)密性將直接影響整個系統(tǒng)的安全性。在該安全體系中，可以利用WindowsNT的NTFS和DBMS的用戶角色在不同層次分別對用戶權(quán)限進(jìn)行限制。2.1.3．監(jiān)視跟蹤日志系統(tǒng)具有綜合數(shù)據(jù)記錄功能和自動分類檢索能力。完整的日志不僅要包括用戶的各項操作，而且還要包括網(wǎng)絡(luò)中數(shù)據(jù)接受的正確性、有效性及合法性的檢查結(jié)果，為日后網(wǎng)絡(luò)安全分析提供可靠的依據(jù)。2.1.4．存儲過程在基于Web的數(shù)據(jù)庫應(yīng)用系統(tǒng)中，可通過建立參數(shù)化的存儲過程實現(xiàn)數(shù)據(jù)庫的訪問，這通常是增強(qiáng)Web安全的一個最佳方案。2.1.5．輸出數(shù)據(jù)HTML編碼輸出數(shù)據(jù)HTML編碼是指在將任何數(shù)據(jù)返回給用戶前應(yīng)采用HTML編碼，以防止跨站點的腳本攻擊。因為攻擊一旦破壞了數(shù)據(jù)庫，便可向記錄中輸入腳本，次腳本隨后返回給用戶并在瀏覽器中執(zhí)行。通過HTML編碼，可將大數(shù)腳本命令自動轉(zhuǎn)換為無害文本。2.1.6．中間件技術(shù)隨著網(wǎng)絡(luò)數(shù)據(jù)庫朝分布式方向的深入發(fā)展，加上Internet上異構(gòu)數(shù)據(jù)庫的普遍存在，上述單獨的數(shù)據(jù)庫管理系統(tǒng)的安全管理能力越發(fā)顯示出它的局限性。因此需要有在邏輯層次位于DBMS之上能覆蓋具體差異、邏輯功能上能同意管理、同時可與用戶進(jìn)行交互的中間件部分。最基本的中間件技術(shù)有通用網(wǎng)關(guān)接口(CGI)、Internet數(shù)據(jù)庫連接器(IDC)，Microsoft最近開發(fā)的ActiveXDataObject技術(shù)(ADO)，它提供了高效率的ODBC數(shù)據(jù)庫或OLE-DB數(shù)據(jù)庫來源的鏈接功能。基于數(shù)據(jù)庫訪問數(shù)據(jù)庫的原理如圖1所示。2.2．研究方法本課題采用以文獻(xiàn)資料法和比較研究法相結(jié)合，以文章的全面性，系統(tǒng)性，專業(yè)性為目標(biāo)，讓讀者清楚的知道Web數(shù)據(jù)庫的含義，發(fā)展現(xiàn)狀，以及如何更好的保證Web數(shù)據(jù)庫的安全。3．本課題需要重點研究的、關(guān)鍵的問題及解決的思路本課題主要討論Web數(shù)據(jù)庫產(chǎn)生與發(fā)展和存在的安全性問題，重點研究Web數(shù)據(jù)庫保護(hù)的具體方法。以縱向且全面的方式分析Web數(shù)據(jù)庫的安全問題。主要涉及內(nèi)容：1對身份認(rèn)證的加密方法2如何安全地設(shè)置Web和數(shù)據(jù)庫權(quán)限3如何更好地對CGI應(yīng)用程序進(jìn)行編程Web瀏覽器Web服務(wù)器中間件Web數(shù)據(jù)庫圖2基于中間件技術(shù)訪問數(shù)據(jù)庫論文研究內(nèi)容確定安全解決方案的研究研究工作總結(jié)，形成論文Web數(shù)據(jù)庫安全性分析文獻(xiàn)檢索課題調(diào)研4．完成本課題所必須的工作條件(如工具書、實驗設(shè)備或?qū)嶒灜h(huán)境條件、某類市場調(diào)研、計算機(jī)輔助設(shè)計條件等等)及解決的辦法4.1．具備一定的實驗設(shè)備和實驗條件：有專業(yè)知識作為基礎(chǔ)，有文獻(xiàn)資源豐富的網(wǎng)站，擁有自己的電腦及為實驗提供的機(jī)房，并有專業(yè)的老師進(jìn)行輔導(dǎo)。4.2．參考文獻(xiàn)：[1].許龍飛.基于Web的數(shù)據(jù)庫技術(shù)與應(yīng)用.現(xiàn)代計算機(jī)，2000（2）：14-15.[2].王國榮，朱琳杰，王偉.ActiveServerPages&數(shù)據(jù)庫.北京：人民郵電出版社，1999：139-269.[3].道焰，朱世挺等.CGI技術(shù)及其安全性研究[J].計算機(jī)系統(tǒng)應(yīng)用，1997(12).[4].周世雄編.IIS4.0超級網(wǎng)站速成.青島：青島出版社，1999：33-299.[5].蔡丹媚利用ASP輕松實現(xiàn)Web的動態(tài)交互訪問.計算機(jī)應(yīng)用研究，1999（2）：62-63.[6].ArmanDanesh，WesTatters著，陳卓，張知一等譯.JavaScript1.1開發(fā)指南.清華大學(xué)出版社，1998.[7].宵金秀，馮沃輝，盧國旺.中文Dreamweaver3網(wǎng)頁設(shè)計大制作.北京：中國民航出版社，2000.5：117-130.[8].PaloAlto.OverviewofControlNetwork.CA94304.[9].張國祥