数据库信息安全

浅谈数据库信息系统安全风险及防范浅谈数据库信息系统安全风险及防范 何成 遵义职业技术学院 何成 遵义职业技术学院 530000 摘要 摘要 计算机网络系统为主要标志的现代信息系统的迅猛发展 这 时信息系统的安全也成为个人信息安全的重点 本文对数据库信息 系统的安全现状进行了分析 提出了笔者自己关于数据库信息系统 安全技术以及安全策略 保证计算机数据库系统的安全 关键词 数据库 信息系统 安全风险 防范关键词 数据库 信息系统 安全风险 防范 一 引言一 引言 近年来 随着信息产业快速发展以及计算机的普及 应用 很多 单位企业纷纷建立自己的数据库来存储 管理各类信息 但由于数 据库的系统安全技术还不完善 系统可能随时面临遭受病毒 黑客 的侵害 导致出现数据泄露现象 造成巨大损失 人们越来越深刻 地认识到信息安全的重要性 为了确保 提升数据库系统的安全性 有必要深刻地分析数据库信息系统的安全风险内容 并采取具体 有效的防范措施 二 数据库信息系统安全现状二 数据库信息系统安全现状 一 信息系统安全范围 实行信息管理 信息的所有者在国家和行业法律规定之内建立 安全组织 并制定符合组织的管理政策 提高内部人员的素质及安 全意识 通过培训使其执行安全政策 建立审计制度来监督实施 保证信息所在的信息系统的安全必须通过技术的手段得以实施 如 加密技术 访问控制技术 病毒检测 入侵检测等 只有通过技术 才能实现对目标的管理 将管理和技术有机结合才能最大程度保障 安全 二 信息系统安全管理水平差 信息安全还存在一些问题 很多企业和单位的信息安全设备达 不到预期的效果 没有相应技术保障 安全技术保障体系还不完善 企业和单位的相关信息安全制度和信息安全的标准还比较滞后 原 因是没有充分落实安全管理制度 且安全防范意识也比较薄弱 另 外 安全产品达不到相应要求 安全管理人员缺乏培训 安全经费 不足等都导致了问题的发生 三 信息安全所面临的威胁 1 人员的威胁 计算机系统的发展 自动化设备的提高 使人们对信息处理过 程的参与越来越少 人员降低安全意识 蓄意破坏 误操作等行为 严重影响了信息的安全 2 信息安全组织的不完善 信息的安全组织不完善不能建立有效管理体系 不能有效地协 调资源 也就不能够对管理体系实施有效地监督和维护 就会给信 息的安全造成危害 应该规划维护 部署 建立信息安全组织管理 系统 3 政策和措施的不完善 信息安全组织需要制度相应的政策 信息安全策略和高素质人 才 政策指导人员按照制度进行相应的日常工作 如果缺少了安全 政策就会导致滥用或误用信息处理设备 缺乏合理的使用控制和对 信息系统的维护 信息的安全性也极容易受到相应危害 4 技术上的威胁 对系统的威胁 由于技术有限 传输设备 处理和信息存储系 统中的漏洞很容易被木马 病毒 黑客侵入 造成损失 对应用的 威胁 不适当的应用程序本身就存在安全隐患 误用 滥用都会是 信息的安全受到威胁 对数据的威胁 篡改 伪造 窃取等手段造 成数据泄露和失效 其损失也是不言而喻的 5 物理面造成威胁 信息的存储 传输 产生 使用 处理等的环节离不开物理环 境 物理环境就是信息的载体 没有物理环境信息也将荡然无存 三 数据库信息系统安全策略三 数据库信息系统安全策略 一 数据库信息系统安全技术 1 用户鉴别和认证 这种安全机制是对于所访问的主体进行的 用户认证主要指的 是通过访问时所必须向系统提供的身份证明 它主要是由和它相对 应的密码以及用户标识 ID 所构成 且用户标识必须是唯一的 而用 户鉴别指的是具有能够检查用户身份的功能 通过它来对用户的身 份是否合法进行鉴别 2 数据加密 通常所说的数据加密指的是为了使数据泄露而设计的手段 它 是把明文数据通过一定的交换转换为密文数据的形式 和传统的数 据加密技术比较起来 数据库具有自身独特的要求 传统的加密主 要是以报文为单位进行的脱密和加密 而大型的数据库管理系统运 行平台使用的都是 Unix 和 Windows NT 这些操作系统的安全级别 通常都被分为 C1级和 C2级 他们都具有识别用户 用户注册以及任 意存取控制等功能 虽说 DBMS 在 OS 的基础上增加了不少安全措施 但是对数据库文件本身仍然缺乏相应的保护措施 黑客和病毒往往 会通过细微的漏洞进行数据库文件的篡改 使用户难以察觉 堵塞 和分析 隐秘通道 被认为是 B2级的安全技术措施 然而对敏感数 据进行加密是使数据安全的有效方式 3 操作审计 对数据库系统系统进行操作审计就是检查 记录以及回顾所有 相关的操作行为 审计的主要任务就是对应用程序和用户使用系统 资源进行审查和记录 一旦发现问题设计人员就可以直接通过审计 进行跟踪 追究相关负责任的责任 防止问题再次发生 这个过程 是不可绕过的 设计记录也应该得到相应的保护使其不轻易的进行 更改 二 数据库系统安全策略 1 数据加密 在数据库信息系统当中为了能够不使非授权和非法用户越权操作 数据和窃取机密 可以对信息系统当中的重要数据进行相应的加密 处理 数据库加密处理有三种方式 字段加密 这种加密模式是直 接对数据库当中的最小单位进行加密 文件加密 把重要的信息和 文件进行加密 使用的时候解密 不用的时候再进行加密 记录加 密 这种加密模式和文件加密相似 但是加密的单位主要是记录不 是文件 2 数据库备份和恢复 数据库的备份和恢复是整个安全的基础之一 是信息系统当中 的重要内容 数据库的备份和恢复能够有效对系统的可靠性进行增 强 最大限度的对硬件和软件故障进行减少 以防止丢失所造成不 必要的麻烦 3 资源管理 实施资源管理的内容较多 其中最为重要的一部分就是控制用 户的资源开销 另外 还包括的有磁盘镜像和用户对段的使用 把 数据段和日志段区分开来建立磁盘镜像恢复数据库 也可以使用特 殊的段来保存敏感的数据 这也是一种安全措施 四 结束语四 结束语 当今社会计算机作为重要信息交换手段 数据库信息系统被企 业者广泛采用 这需要不断加强应用新技术 及时升级自身防御系 统 日益完善数据库信息系统的安全防范 但是 只有在充分了解 信息系统的潜在威胁和脆弱性时 才能有效地保障信息系统的安全 性 采取必要的安全策略 参考文献 参考文献 1 史震宇 李刚 吴九天 谢小荣 辛耀中 张志磊 罗拥军 基于嵌入式数 据库 SQLite 的电力直流监控系统 J 河南科技大学学报 自然科学版 2010 28 02 1256 1258 2 张华桁 宋立群 柯科峰 王虹菲 宋志成 B S 构