数据库信息安全.doc

浅谈数据库信息系统安全风险及防范 摘要：计算机网络系统为主要标志的现代信息系统的迅猛发展，这时信息系统的安全也成为个人信息安全的重点。本文对数据库信息系统的安全现状进行了分析，提出了笔者自己关于数据库信息系统安全技术以及安全策略，保证计算机数据库系统的安全。 关键词：数据库；信息系统；安全风险；防范 一、引言 近年来，随着信息产业快速发展以及计算机的普及、应用，很多单位企业纷纷建立自己的数据库来存储、管理各类信息。但由于数据库的系统安全技术还不完善，系统可能随时面临遭受病毒、黑客的侵害，导致出现数据泄露现象，造成巨大损失。人们越来越深刻地认识到信息安全的重要性。为了确保、提升数据库系统的安全性，有必要深刻地分析数据库信息系统的安全风险内容，并采取具体、有效的防范措施。 二、数据库信息系统安全现状 （一）、信息系统安全范围 实行信息管理，信息的所有者在国家和行业法律规定之内建立安全组织，并制定符合组织的管理政策。提高内部人员的素质及安全意识，通过培训使其执行安全政策。建立审计制度来监督实施。保证信息所在的信息系统的安全必须通过技术的手段得以实施。如加密技术、访问控制技术、病毒检测、入侵检测等。只有通过技术才能实现对目标的管理。将管理和技术有机结合才能最大程度保障安全。 （二）、信息系统安全管理水平差 信息安全还存在一些问题，很多企业和单位的信息安全设备达不到预期的效果，没有相应技术保障，安全技术保障体系还不完善；企业和单位的相关信息安全制度和信息安全的标准还比较滞后，原因是没有充分落实安全管理制度，且安全防范意识也比较薄弱；另外，安全产品达不到相应要求、安全管理人员缺乏培训、安全经费不足等都导致了问题的发生。 （三）、信息安全所面临的威胁 1.人员的威胁 计算机系统的发展，自动化设备的提高，使人们对信息处理过程的参与越来越少，人员降低安全意识、蓄意破坏、误操作等行为严重影响了信息的安全。 信息安全组织的不完善 信息的安全组织不完善不能建立有效管理体系，不能有效地协调资源，也就不能够对管理体系实施有效地监督和维护，就会给信息的安全造成危害。应该规划维护、部署，建立信息安全组织管理系统。 3.政策和措施的不完善 信息安全组织需要制度相应的政策、信息安全策略和高素质人才。政策指导人员按照制度进行相应的日常工作。如果缺少了安全政策就会导致滥用或误用信息处理设备，缺乏合理的使用控制和对信息系统的维护，信息的安全性也极容易受到相应危害。 技术上的威胁 对系统的威胁。由于技术有限，传输设备、处理和信息存储系统中的漏洞很容易被木马、病毒、黑客侵入，造成损失。对应用的威胁。不适当的应用程序本身就存在安全隐患，误用、滥用都会是信息的安全受到威胁。对数据的威胁。篡改、伪造、窃取等手段造成数据泄露和失效，其损失也是不言而喻的。 物理面造成威胁 信息的存储、传输、产生、使用、处理等的环节离不开物理环境。物理环境就是信息的载体，没有物理环境信息也将荡然无存。 三、数据库信息系统安全策略 （一）、数据库信息系统安全技术 1.用户鉴别和认证 这种安全机制是对于所访问的主体进行的，用户认证主要指的是通过访问时所必须向系统提供的身份证明。它主要是由和它相对应的密码以及用户标识ID所构成，且用户标识必须是唯一的。而用户鉴别指的是具有能够检查用户身份的功能，通过它来对用户的身份是否合法进行鉴别。 2.数据加密 通常所说的数据加密指的是为了使数据泄露而设计的手段，它是把明文数据通过一定的交换转换为密文数据的形式。和传统的数据加密技术比较起来，数据库具有自身独特的要求。传统的加密主要是以报文为单位进行的脱密和加密，而大型的数据库管理系统运行平台使用的都是Unix和Windows　NT，这些操作系统的安全级别通常都被分为C1级和C2级。他们都具有识别用户、用户注册以及任意存取控制等功能。虽说DBMS在OS的基础上增加了不少安全措施，但是对数据库文件本身仍然缺乏相应的保护措施。黑客和病毒往往会通过细微的漏洞进行数据库文件的篡改，使用户难以察觉。堵塞和分析“隐秘通道”被认为是B2级的安全技术措施，然而对敏感数据进行加密是使数据安全的有效方式。 3.操作审计 对数据库系统系统进行操作审计就是检查、记录以及回顾所有相关的操作行为。审计的主要任务就是对应用程序和用户使用系统资源进行审查和记录。一旦发现问题设计人员就可以直接通过审计进行跟踪，追究相关负责任的责任，防止问题再次发生。这个过程是不可绕过的，设计记录也应该得到相应的保护使其不轻易的进行更改。 （二）、数据库系统安全策略 1.数据加密 在数据库信息系统当中为了能够不使非授权和非法用户越权操作数据和窃取机密，可以对信息系统当中的重要数据进行相