数据库信息系统安全风险及防范措施分析
作者:黄楠
来源:《信息安全与技术》2012年第11期
作者:黄楠
来源:《信息安全与技术》2012年第11期
【摘要】 现代信息系统的迅猛发展是以计算机网络系统为主要标志的,而信息系统的安全也将日益成为关系成败的关键点。文章对数据库信息系统的安全现状进行了分析,并且提出了数据库信息系统安全技术以及安全策略,以此来促进数据库系统的安全。
【关键词】 数据库;信息系统;安全风险;防范
0 引言
近些年来,随着计算机的应用普及以及深入,以数据库为主要核心的应用信息系统在各个企业和单位当中也受到了强烈的追捧。但是,由于目前应用系统数据库安全技术保证得不到完全的支持,引起诸多内部数据泄露的现象。数据库系统肩负着管理以及存储计算机数据信息的重要任务,如今怎样加强和保证数据库系统安全已经成为当前迫切需要解决的问题了。
1 数据库信息系统的安全现状
1.1 信息系统安全管理水平低下
目前,随着信息化进程的逐步深入,信息安全越来越受到人们的重视。但是,还存在不少的问题。①应急反应系统没有制度化和经常化;②安全技术保障体系还不够完善,诸多单位和企业花大量金钱所购买的信息安全设备得不到相应的技术保障,没有达到预期的目标;③单位和企业信息安全制度建设滞后而且信息安全标准也较为滞后。网络安全事件发生的主要原因是安全防范意识较为薄弱且安全管理制度没有得到充分落实。
此外,还有一些安全管理员缺乏相应的培训,且安全产品不能够得到相应的要求以及安全经费投入不足等等问题。还有一些用户的安全观念薄弱也容易导致安全事件的发生,这些情况的发生都说明社会化服务程度和安全管理水平都比较低。
1.2 信息系统安全范畴
信息安全管理指的是信息的所有者所建立的安全组织,在行业和国家现有的法律法规所要求之内制定出合适的组织安全管理政策,并且通过学习和培训等一系列的方式组织内部人员的安全素质和安全意识,使能够严格的执行所设定的安全政策,而且还要建立相应的安全
审计制度,用来监督和评价安全政策的具体实施,对安全政策所实施的效果给予相应的评价。
另外,信息安全技术指的是通过高超的技术手段保证信息所在系统和信息的安全。如入侵检测、加密技术以及安全技术和访问控制技术、病毒检测等,通过这些安全技术手段的应用来提高组织的信息系统安全性。因为信息安全是一个相对整体的概念,而单一的技术或者是管理的应用都不能够对信息提供相应的保障。只有针对现有的技术条件来实施相应的管理,并且通过利用现有的技术来实现管理目标,把技术和管理有机的结合在一起才能够对信息提供最大的安全保障。
1.3 信息安全面临的安全威胁不容小觑
针对管理方面的威胁主要有四个方面。
一是来自人员的威胁。随着信息系统的迅猛发展,自动化设备逐步提高,导致人员在进行信息处理的过程当中参与也慢慢的减少。由于人员的安全意识不高,导致蓄意破坏和误操作等一些行为对信息安全所造成的威胁具有不可评估的影响。
二是技术威胁。系统面临的威胁,信息处理和存储以及传输设备当中所使用的任何操作系统,因为受到技术的约束,都存在有各种各样的漏洞,容易被木马和病毒以及黑客攻击。物理方面的威胁,所谓的物理安全指的是信息在存储和产生以及处理、传输、使用的过程当中涉及到物理设备这些设备所在的环境安全。物理环境是信息的主要载体,一旦离开的物理环境信息也必将不符存在,也就无从谈起安全问题了。应用程序方面的威胁,当用户滥用、误用以及使用不适当的应用程序都将使应用程序受到一定的威胁。数据方面的威胁,违法的篡改、窃取以及伪造等等各种各样的攻击手段都会造成信息系统当中数据的失效和泄漏。
三是信息安全组织不完善。信息安全组织负责管理系统的制定以及规划和部署、维护等,推动和领导组织的信息建设。一旦信息安全组织不够完善,将会致使在安全保障过程当中缺乏具有统一的领导,不能够有效地协调各个方面的资源,也不能够建立有效的管理体系,同时也不能够使管理体系实行有效的维护和监督,这些漏洞的存在都会给信息安全造成一定的危险和危害。
四是措施、政策不完善。信息安全组织,虽说有高素质的人才但是还需要制度相应的信息安全策略和政策,以此来指导管理人员进行相应的日常工作。一旦缺乏安全政策将会导致
信息系统的维护和使用缺乏合理的控制和指导,容易导致信息处理设备误用和滥用等情况的发生,对信息安全也极其容易造成相应的危害。
2 数据库信息系统安全技术以及安全策略
2.1 数据库信息系统安全技术
2.1.1 用户鉴别和认证
这种安全机制是对于所访问的主体进行的,用户认证主要指的是通过访问时所必须向系统提供的身份证明。它主要是由和它相对应的密码以及用户标识ID所构成,且用户标识必须是唯一的。而用户鉴别指的是具有能够检查用户身份的功能,通过它来对用户的身份是否合法进行鉴别。用户鉴别和认证是所有安全机制的重要前提,只有通过它才能够进行相应的跟踪、授权访问以及审计等。
2.1.2 数据加密
通常所说的数据加密指的是为了使数据泄露而设计的手段,它是把明文数据通过一定的
交换转换为密文数据的形式。和传统的数据加密技术比较起来,数据库具有自身独特的要求。传统的加密主要是以报文为单位进行的脱密和加密,而大型的数据库管理系统运行平台使用的都是Unix和Windows NT,这些操作系统的安全级别通常都被分为C1级和C2级。他们都具有识别用户、用户注册以及任意存取控制等功能。
虽说DBMS在OS的基础上增加了不少安全措施,但是对数据库文件本身仍然缺乏相应的保护措施。黑客和病毒往往会通过细微的漏洞进行数据库文件的篡改,使用户难以察觉。堵塞和分析“隐秘通道”被认为是B2级的安全技术措施,然而对敏感数据进行加密是使数据安全的有效方式。
2.1.3 操作审计
对数据库系统系统进行操作审计就是检查、记录以及回顾所有相关的操作行为。审计的主要任务就是对应用程序和用户使用系统资源进行审查和记录。一旦发现问题设计人员就可以直接通过审计进行跟踪,追究相关负责任的责任,防止问题再次发生。这个过程是不可绕过的,设计记录也应该得到相应的保护使其不轻易的进行更改。审计是一种能够保证数据库安全补救措施的技术,它可以用来提高系统的抗否认能力。
审计在数据库系统当中的主要任务是:审查安全保护措施和系统资源安全策略以及故障恢复计划等各种操作,如查询、访问和修改等。特别是针对一些敏感性的操纵,进行审计和检测。审计主要包括有特权审计、语句审计、资源审计以及模式对象审计等。
2.2 数据库系统安全策略
2.2.1 数据加密
在数据库信息系统当中为了能够不使非授权和非法用户越权操作数据和窃取机密,可以对信息系统当中的重要数据进行相应的加密处理。数据库加密处理有三种方式。
字段加密:这种加密模式是直接对数据库当中的最小单位进行加密。
文件加密:把重要的信息和文件进行加密,使用的时候解密,不用的时候再进行加密。
记录加密:这种加密模式和文件加密相似,但是加密的单位主要是记录不是文件。
2.2.2 数据库备份和恢复
数据库的备份和恢复是整个安全的基础之一,是信息系统当中的重要内容。数据库的备份和恢复能够有效对系统的可靠性进行增强,最大限度的对硬件和软件故障进行减少,以防止丢失所造成不必要的麻烦。
2.2.3 资源管理
实施资源管理的内容较多,其中最为重要的一部分就是控制用户的资源开销。另外,还包括的有磁盘镜像和用户对段的使用。把数据段和日志段区分开来建立磁盘镜像恢复数据库,也可以使用特殊的段来保存敏感的数据,这也是一种安全措施。
3 总结
总而言之,随着通信技术和计算机技术的迅猛发展数据库信息系统将成为日后企业和单位之间传递信息的重要手段。所以,对信息系统的潜在威胁和脆弱性认清十分重要。与此同时,对数据库进行信息系统安全防范还要不断的加强新技术的应用,及时的完善和升级自身的防御系统。
参考文献
[1] 史震宇,李刚,吴九天,谢小荣,辛耀中,张志磊,罗拥军.基于嵌入式数据库SQLite的电力直流监控系统[J].河南科技大学学报(自然科学版)2010,28(02):1256-1258.
[2] 张华桁,宋立,柯科峰,王虹菲,宋志成.B/S构架信息系统的安全策略研究与开发[J].计算机工程与应,2009,40(13):2491-2493.
[3] Litchfield D;Anley C;Heasman J The Dstabase Hacker's Kandbook:Defending 微软数据库认证Database Servers 2010.
[4] 郎菁,张国喜,李乃志,张华桁,陈月华.地方特专题数据库建设工作流程——以“西安事变数据库”为实例[J].图书馆学刊,2011,12(04):1480-1482.
[5] 张宁超,张世英,韦素媛,黄铁军,张世英,王小刚.基于VRML 的虚拟试验仿真系统[J].计算机工程与应用,2010,02(38)(增刊):1156~1157.
[6] 王建国,赵霁,宋志敏,张蓓蓓,林耀中,葛秀敏.信息系统中数据库访问安全的实现方法[J].计算机工程与应用,2011,39(35):1762-1764.
作者简介:
黄楠(1967-),女,汉族,河南开封人,硕士,副教授;研究方向:数据库多媒体信息处理、图形图像识别。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论