1、淺談數(shù)據(jù)庫(kù)信息系統(tǒng)安全風(fēng)險(xiǎn)及防范何成；遵義職業(yè)技術(shù)學(xué)院；530000摘要：計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)為主要標(biāo)志的現(xiàn)代信息系統(tǒng)的迅猛發(fā)展， 這時(shí)信息系統(tǒng)的安全也成為個(gè)人信息安全的重點(diǎn)。 本文對(duì)數(shù)據(jù)庫(kù)信息系統(tǒng)的安全現(xiàn)狀進(jìn)行了分析， 提出了筆者自己關(guān)于數(shù)據(jù)庫(kù)信息系統(tǒng)安全技術(shù)以及安全策略，保證計(jì)算機(jī)數(shù)據(jù)庫(kù)系統(tǒng)的安全。關(guān)鍵詞：數(shù)據(jù)庫(kù)；信息系統(tǒng)；安全風(fēng)險(xiǎn)；防范一、引言近年來(lái)，隨著信息產(chǎn)業(yè)快速發(fā)展以及計(jì)算機(jī)的普及、應(yīng)用，很多單位企業(yè)紛紛建立自己的數(shù)據(jù)庫(kù)來(lái)存儲(chǔ)、管理各類信息。 但由于數(shù)據(jù)庫(kù)的系統(tǒng)安全技術(shù)還不完善，系統(tǒng)可能隨時(shí)面臨遭受病毒、 黑客的侵害，導(dǎo)致出現(xiàn)數(shù)據(jù)泄露現(xiàn)象，造成巨大損失。人們?cè)絹?lái)越深刻地認(rèn)識(shí)到信息安全的重

2、要性。為了確保、提升數(shù)據(jù)庫(kù)系統(tǒng)的安全性，有必要深刻地分析數(shù)據(jù)庫(kù)信息系統(tǒng)的安全風(fēng)險(xiǎn)內(nèi)容，并采取具體、有效的防范措施。二、數(shù)據(jù)庫(kù)信息系統(tǒng)安全現(xiàn)狀（一）、信息系統(tǒng)安全范圍實(shí)行信息管理，信息的所有者在國(guó)家和行業(yè)法律規(guī)定之內(nèi)建立安全組織，并制定符合組織的管理政策。 提高內(nèi)部人員的素質(zhì)及安全意識(shí)，通過(guò)培訓(xùn)使其執(zhí)行安全政策。建立審計(jì)制度來(lái)監(jiān)督實(shí)施。保證信息所在的信息系統(tǒng)的安全必須通過(guò)技術(shù)的手段得以實(shí)施。 如加密技術(shù)、訪問(wèn)控制技術(shù)、病毒檢測(cè)、入侵檢測(cè)等。只有通過(guò)技術(shù)才能實(shí)現(xiàn)對(duì)目標(biāo)的管理。將管理和技術(shù)有機(jī)結(jié)合才能最大程度保障安全。（二）、信息系統(tǒng)安全管理水平差信息安全還存在一些問(wèn)題， 很多企業(yè)和單位的信息安全設(shè)

3、備達(dá)不到預(yù)期的效果，沒(méi)有相應(yīng)技術(shù)保障，安全技術(shù)保障體系還不完善；企業(yè)和單位的相關(guān)信息安全制度和信息安全的標(biāo)準(zhǔn)還比較滯后，原因是沒(méi)有充分落實(shí)安全管理制度，且安全防范意識(shí)也比較薄弱；另外，安全產(chǎn)品達(dá)不到相應(yīng)要求、 安全管理人員缺乏培訓(xùn)、 安全經(jīng)費(fèi)不足等都導(dǎo)致了問(wèn)題的發(fā)生。（三）、信息安全所面臨的威脅1. 人員的威脅計(jì)算機(jī)系統(tǒng)的發(fā)展， 自動(dòng)化設(shè)備的提高， 使人們對(duì)信息處理過(guò)程的參與越來(lái)越少，人員降低安全意識(shí)、蓄意破壞、誤操作等行為嚴(yán)重影響了信息的安全。2. 信息安全組織的不完善信息的安全組織不完善不能建立有效管理體系， 不能有效地協(xié)調(diào)資源，也就不能夠?qū)芾眢w系實(shí)施有效地監(jiān)督和維護(hù)，就會(huì)給信息的安全造

4、成危害。應(yīng)該規(guī)劃維護(hù)、部署，建立信息安全組織管理系統(tǒng)。3. 政策和措施的不完善信息安全組織需要制度相應(yīng)的政策、信息安全策略和高素質(zhì)人才。政策指導(dǎo)人員按照制度進(jìn)行相應(yīng)的日常工作。如果缺少了安全政策就會(huì)導(dǎo)致濫用或誤用信息處理設(shè)備，缺乏合理的使用控制和對(duì)信息系統(tǒng)的維護(hù)，信息的安全性也極容易受到相應(yīng)危害。4. 技術(shù)上的威脅對(duì)系統(tǒng)的威脅。 由于技術(shù)有限，傳輸設(shè)備、處理和信息存儲(chǔ)系統(tǒng)中的漏洞很容易被木馬、 病毒、黑客侵入，造成損失。對(duì)應(yīng)用的威脅。不適當(dāng)?shù)膽?yīng)用程序本身就存在安全隱患， 誤用、濫用都會(huì)是信息的安全受到威脅。對(duì)數(shù)據(jù)的威脅。篡改、偽造、竊取等手段造成數(shù)據(jù)泄露和失效，其損失也是不言而喻的。5. 物理

5、面造成威脅信息的存儲(chǔ)、傳輸、產(chǎn)生、使用、處理等的環(huán)節(jié)離不開物理環(huán)境。物理環(huán)境就是信息的載體，沒(méi)有物理環(huán)境信息也將蕩然無(wú)存。三、數(shù)據(jù)庫(kù)信息系統(tǒng)安全策略（一）、數(shù)據(jù)庫(kù)信息系統(tǒng)安全技術(shù)1. 用戶鑒別和認(rèn)證這種安全機(jī)制是對(duì)于所訪問(wèn)的主體進(jìn)行的， 用戶認(rèn)證主要指的是通過(guò)訪問(wèn)時(shí)所必須向系統(tǒng)提供的身份證明。 它主要是由和它相對(duì)應(yīng)的密碼以及用戶標(biāo)識(shí) ID 所構(gòu)成，且用戶標(biāo)識(shí)必須是唯一的。而用戶鑒別指的是具有能夠檢查用戶身份的功能， 通過(guò)它來(lái)對(duì)用戶的身份是否合法進(jìn)行鑒別。2. 數(shù)據(jù)加密通常所說(shuō)的數(shù)據(jù)加密指的是為了使數(shù)據(jù)泄露而設(shè)計(jì)的手段， 它是把明文數(shù)據(jù)通過(guò)一定的交換轉(zhuǎn)換為密文數(shù)據(jù)的形式。和傳統(tǒng)的數(shù)據(jù)加密技術(shù)比較

6、起來(lái)， 數(shù)據(jù)庫(kù)具有自身獨(dú)特的要求。傳統(tǒng)的加密主要是以報(bào)文為單位進(jìn)行的脫密和加密， 而大型的數(shù)據(jù)庫(kù)管理系統(tǒng)運(yùn)行平臺(tái)使用的都是 Unix 和 WindowsNT，這些操作系統(tǒng)的安全級(jí)別通常都被分為 C1級(jí)和 C2級(jí)。他們都具有識(shí)別用戶、用戶注冊(cè)以及任意存取控制等功能。雖說(shuō) DBMS在 OS的基礎(chǔ)上增加了不少安全措施，但是對(duì)數(shù)據(jù)庫(kù)文件本身仍然缺乏相應(yīng)的保護(hù)措施。黑客和病毒往往會(huì)通過(guò)細(xì)微的漏洞進(jìn)行數(shù)據(jù)庫(kù)文件的篡改，使用戶難以察覺(jué)。堵塞和分析“隱秘通道”被認(rèn)為是B2級(jí)的安全技術(shù)措施，然而對(duì)敏感數(shù)據(jù)進(jìn)行加密是使數(shù)據(jù)安全的有效方式。3. 操作審計(jì)對(duì)數(shù)據(jù)庫(kù)系統(tǒng)系統(tǒng)進(jìn)行操作審計(jì)就是檢查、記錄以及回顧所有相關(guān)的操

7、作行為。審計(jì)的主要任務(wù)就是對(duì)應(yīng)用程序和用戶使用系統(tǒng)資源進(jìn)行審查和記錄。一旦發(fā)現(xiàn)問(wèn)題設(shè)計(jì)人員就可以直接通過(guò)審計(jì)進(jìn)行跟蹤，追究相關(guān)負(fù)責(zé)任的責(zé)任，防止問(wèn)題再次發(fā)生。這個(gè)過(guò)程是不可繞過(guò)的，設(shè)計(jì)記錄也應(yīng)該得到相應(yīng)的保護(hù)使其不輕易的進(jìn)行更改。（二）、數(shù)據(jù)庫(kù)系統(tǒng)安全策略1. 數(shù)據(jù)加密在數(shù)據(jù)庫(kù)信息系統(tǒng)當(dāng)中為了能夠不使非授權(quán)和非法用戶越權(quán)操作數(shù)據(jù)和竊取機(jī)密，可以對(duì)信息系統(tǒng)當(dāng)中的重要數(shù)據(jù)進(jìn)行相應(yīng)的加密處理。數(shù)據(jù)庫(kù)加密處理有三種方式。字段加密：這種加密模式是直接對(duì)數(shù)據(jù)庫(kù)當(dāng)中的最小單位進(jìn)行加密。文件加密：把重要的信息和文件進(jìn)行加密，使用的時(shí)候解密，不用的時(shí)候再進(jìn)行加密。記錄加密：這種加密模式和文件加密相似，但是加密的

8、單位主要是記錄不是文件。2. 數(shù)據(jù)庫(kù)備份和恢復(fù)數(shù)據(jù)庫(kù)的備份和恢復(fù)是整個(gè)安全的基礎(chǔ)之一， 是信息系統(tǒng)當(dāng)中的重要內(nèi)容。數(shù)據(jù)庫(kù)的備份和恢復(fù)能夠有效對(duì)系統(tǒng)的可靠性進(jìn)行增強(qiáng)，最大限度的對(duì)硬件和軟件故障進(jìn)行減少，以防止丟失所造成不必要的麻煩。3. 資源管理實(shí)施資源管理的內(nèi)容較多， 其中最為重要的一部分就是控制用戶的資源開銷。另外，還包括的有磁盤鏡像和用戶對(duì)段的使用。把數(shù)據(jù)段和日志段區(qū)分開來(lái)建立磁盤鏡像恢復(fù)數(shù)據(jù)庫(kù)， 也可以使用特殊的段來(lái)保存敏感的數(shù)據(jù)，這也是一種安全措施。四、結(jié)束語(yǔ)當(dāng)今社會(huì)計(jì)算機(jī)作為重要信息交換手段，數(shù)據(jù)庫(kù)信息系統(tǒng)被企業(yè)者廣泛采用。這需要不斷加強(qiáng)應(yīng)用新技術(shù)，及時(shí)升級(jí)自身防御系統(tǒng)，日益完善數(shù)據(jù)庫(kù)信息系統(tǒng)的安全防范。但是，只有在充分了解信息系統(tǒng)的潛在威脅和脆弱性時(shí)， 才能有效地保障信息系統(tǒng)的安全性，采取必要的安全策略。參考文獻(xiàn)：1 史震宇，李剛，吳九天，謝小榮，辛耀中，張志磊，羅擁軍 . 基于嵌入式數(shù)據(jù)庫(kù) SQLite 的電力直流監(jiān)控系統(tǒng) J. 河南科技大學(xué)學(xué)報(bào)（自然科學(xué)版） 2010，28（ 02）：1256-1258.2 張華桁，宋立群，柯科峰，王虹菲，宋志成 .B/S 構(gòu)架信