数据库信息安全

1、浅谈数据库信息系统安全风险及防范何成；遵义职业技术学院；530000摘要：计算机网络系统为主要标志的现代信息系统的迅猛发展， 这时信息系统的安全也成为个人信息安全的重点。 本文对数据库信息系统的安全现状进行了分析， 提出了笔者自己关于数据库信息系统安全技术以及安全策略，保证计算机数据库系统的安全。关键词：数据库；信息系统；安全风险；防范一、引言近年来，随着信息产业快速发展以及计算机的普及、应用，很多单位企业纷纷建立自己的数据库来存储、管理各类信息。 但由于数据库的系统安全技术还不完善，系统可能随时面临遭受病毒、 黑客的侵害，导致出现数据泄露现象，造成巨大损失。人们越来越深刻地认识到信息安全的重

2、要性。为了确保、提升数据库系统的安全性，有必要深刻地分析数据库信息系统的安全风险内容，并采取具体、有效的防范措施。二、数据库信息系统安全现状（一）、信息系统安全范围实行信息管理，信息的所有者在国家和行业法律规定之内建立安全组织，并制定符合组织的管理政策。 提高内部人员的素质及安全意识，通过培训使其执行安全政策。建立审计制度来监督实施。保证信息所在的信息系统的安全必须通过技术的手段得以实施。 如加密技术、访问控制技术、病毒检测、入侵检测等。只有通过技术才能实现对目标的管理。将管理和技术有机结合才能最大程度保障安全。（二）、信息系统安全管理水平差信息安全还存在一些问题， 很多企业和单位的信息安全设

3、备达不到预期的效果，没有相应技术保障，安全技术保障体系还不完善；企业和单位的相关信息安全制度和信息安全的标准还比较滞后，原因是没有充分落实安全管理制度，且安全防范意识也比较薄弱；另外，安全产品达不到相应要求、 安全管理人员缺乏培训、 安全经费不足等都导致了问题的发生。（三）、信息安全所面临的威胁1. 人员的威胁计算机系统的发展， 自动化设备的提高， 使人们对信息处理过程的参与越来越少，人员降低安全意识、蓄意破坏、误操作等行为严重影响了信息的安全。2. 信息安全组织的不完善信息的安全组织不完善不能建立有效管理体系， 不能有效地协调资源，也就不能够对管理体系实施有效地监督和维护，就会给信息的安全造

4、成危害。应该规划维护、部署，建立信息安全组织管理系统。3. 政策和措施的不完善信息安全组织需要制度相应的政策、信息安全策略和高素质人才。政策指导人员按照制度进行相应的日常工作。如果缺少了安全政策就会导致滥用或误用信息处理设备，缺乏合理的使用控制和对信息系统的维护，信息的安全性也极容易受到相应危害。4. 技术上的威胁对系统的威胁。 由于技术有限，传输设备、处理和信息存储系统中的漏洞很容易被木马、 病毒、黑客侵入，造成损失。对应用的威胁。不适当的应用程序本身就存在安全隐患， 误用、滥用都会是信息的安全受到威胁。对数据的威胁。篡改、伪造、窃取等手段造成数据泄露和失效，其损失也是不言而喻的。5. 物理

5、面造成威胁信息的存储、传输、产生、使用、处理等的环节离不开物理环境。物理环境就是信息的载体，没有物理环境信息也将荡然无存。三、数据库信息系统安全策略（一）、数据库信息系统安全技术1. 用户鉴别和认证这种安全机制是对于所访问的主体进行的， 用户认证主要指的是通过访问时所必须向系统提供的身份证明。 它主要是由和它相对应的密码以及用户标识 ID 所构成，且用户标识必须是唯一的。而用户鉴别指的是具有能够检查用户身份的功能， 通过它来对用户的身份是否合法进行鉴别。2. 数据加密通常所说的数据加密指的是为了使数据泄露而设计的手段， 它是把明文数据通过一定的交换转换为密文数据的形式。和传统的数据加密技术比较

6、起来， 数据库具有自身独特的要求。传统的加密主要是以报文为单位进行的脱密和加密， 而大型的数据库管理系统运行平台使用的都是 Unix 和 WindowsNT，这些操作系统的安全级别通常都被分为 C1级和 C2级。他们都具有识别用户、用户注册以及任意存取控制等功能。虽说 DBMS在 OS的基础上增加了不少安全措施，但是对数据库文件本身仍然缺乏相应的保护措施。黑客和病毒往往会通过细微的漏洞进行数据库文件的篡改，使用户难以察觉。堵塞和分析“隐秘通道”被认为是B2级的安全技术措施，然而对敏感数据进行加密是使数据安全的有效方式。3. 操作审计对数据库系统系统进行操作审计就是检查、记录以及回顾所有相关的操

7、作行为。审计的主要任务就是对应用程序和用户使用系统资源进行审查和记录。一旦发现问题设计人员就可以直接通过审计进行跟踪，追究相关负责任的责任，防止问题再次发生。这个过程是不可绕过的，设计记录也应该得到相应的保护使其不轻易的进行更改。（二）、数据库系统安全策略1. 数据加密在数据库信息系统当中为了能够不使非授权和非法用户越权操作数据和窃取机密，可以对信息系统当中的重要数据进行相应的加密处理。数据库加密处理有三种方式。字段加密：这种加密模式是直接对数据库当中的最小单位进行加密。文件加密：把重要的信息和文件进行加密，使用的时候解密，不用的时候再进行加密。记录加密：这种加密模式和文件加密相似，但是加密的

8、单位主要是记录不是文件。2. 数据库备份和恢复数据库的备份和恢复是整个安全的基础之一， 是信息系统当中的重要内容。数据库的备份和恢复能够有效对系统的可靠性进行增强，最大限度的对硬件和软件故障进行减少，以防止丢失所造成不必要的麻烦。3. 资源管理实施资源管理的内容较多， 其中最为重要的一部分就是控制用户的资源开销。另外，还包括的有磁盘镜像和用户对段的使用。把数据段和日志段区分开来建立磁盘镜像恢复数据库， 也可以使用特殊的段来保存敏感的数据，这也是一种安全措施。四、结束语当今社会计算机作为重要信息交换手段，数据库信息系统被企业者广泛采用。这需要不断加强应用新技术，及时升级自身防御系统，日益完善数据库信息系统的安全防范。但是，只有在充分了解信息系统的潜在威胁和脆弱性时， 才能有效地保障信息系统的安全性，采取必要的安全策略。参考文献：1 史震宇，李刚，吴九天，谢小荣，辛耀中，张志磊，罗拥军 . 基于嵌入式数据库 SQLite 的电力直流监控系统 J. 河南科技大学学报（自然科学版） 2010，28（ 02）：1256-1258.2 张华桁，宋立群，柯科峰，王虹菲，宋志成 .B/S 构架信