刍议电力信息系统数据库的安全措施.doc

当议电力信息系统数据库的安全措施 （国网甘肃省电力公司经济技术研究院甘肃兰州730050） 摘要:在当今社会，电力信息安全问题已渗透到社会生活的各个方面。电力信息 系统数据库不仅是电力信息资产的存储中心，也是承载电力业务系统运行的平台， 整个电力信息系统是否能够安全运行与其有着必不可分的关系。加之当前各电力 公司信息系统数据库存在着不少安全隐患，因此木文将其所存在的安全风险进行 了归纳分析并提出了相应的解决措施，以改善电力信息系统数据库的安全问题。 关键词:电力；信息系统；数据库；安全 1引言 经济的发展，社会的进步使得人们对电力的需求越来越大，电力企业的 不断增加使得主流数据库得到了广泛应用。然而由于市场经济的局限性，在利益 的驱动下许多数据库的开发运营商将重点放在其他方面而忽略了安全问题，这在 一定程度上增加了电力信息系统数据库的安全隐患。为了有效的避免这一企业造 成的安全问题，相关电力企业需要对自己的数据进行备份，并就可能出现的安全 问题进行有效规避。 2电力信息系统数据库安全现状 2.1敏感信息泄漏 一般情况下，用户敏感数据泄漏和数据库服务banner信息泄漏是敏感 信息泄漏的主要表现形式，前者是指没有对指数据库中存储的各种敏感数据（如： 用户名/ 口令、企业敏感数据等）做好必威体育官网网址措施，从而可能没有权限的人得到了 相关信息从而对企业造成一定的损失，并造成社会恐慌。后者主要是不法份子专 门对数据库进行攻击，从而获得大量有用的信心从事犯罪活动。 2.2 口令强度不足，补丁升级迟滞 在电力系统中，U令是其最重要、最基础的一层防护措施。但是早期版 本的数据库系统在安装吋均存在默认账户和默认U令的现象。如表一所示是一些 常见默认账户/ 口令情况。这必然导致这些U令的必威体育官网网址性不强，加上在安装后再 没做其他巩固措施，因此使得电力信息系统的安全性不能得到保障。这些还人量 存在着的默认账户/ 口令仍在威胁着电力信息系统的安全，还存在有些账户/ 口 令信息被硬编码在应用程序中，甚至是毫无设限的存储在客户端配置文件中，从 而加人了系统面临的安全系数。 一般情况下，电力信息系统在正式运行后很少会对数据库进行升级，因 为对数据库进行升级也许会使数据库发生故障从而导致数据的丢失或损坏。但是 不进行升级处理的话会使得原版本已存在着的安全漏洞进一步扩大从而演变成 高危漏洞，从而容易被黑客攻击，或者病毒爆。2003年的吋候Inter net大规模 崩溃造成了造成巨大的经济损失，究其原因就是由SQLSIammer蠕虫病毒导致 的，就是利用了其系统的一个漏洞。 2.3权限设置不当 在进业务系统的行建设吋，厂商为了减少工作量，降低成本，因此往往 减少了安装、调试的程序，取而代之的是采用操作系统管理员账户来安装和运行 数据库，这一方式虽然使工作量减少了许多，但却也造成了更大的安全风险。由 于数据库服务的权限很高，对其他应用构成威胁的破坏性更大，因此在被黑客攻 破后会直接导致运行数据库的服务器被完全控制。相比之下，在UNIX环境中 部署的数据库系统会收获较好的效果，该环境下的数据库都建立了专门的账户来 进行安装和运行，可是这些账户一般都被赋予了系统组权限，并且某些重要的可 执行脚本程序和配置文件还被设置为任何用户可读写执行的权限，这也极人的威 胁系统的安全。 2.4危险存储过程 为了提供更多更多高级、复杂的功能，一般大型关系数据库系统都会在 设计的吋候内置了不少冇用的存储过程，这些存储过程通常都是通过数据库来访 问网络、下载文件、发送邮件、执行操作系统命令，并对操作系统文件进行访问。 与此同吋，它也存在着不可忽视的安全风险，因为这些提供强大功能的储存过程 恰好是容易受到黑客攻击的薄弱环节在，他们往往借助这些存储过程来对电力信 息系统进行滲透攻击，从而获取主机权限。 2.5缺乏严格的审计策略 人型关系数据库所提供的强大的日志审计功能一般都默认的是关闭状 态。这项功能在平时都未被启用，也就不能对重要数据库事件进行跟踪，特别是 在对击事件发生后的事故分析和追踪。 2.6薄弱的综合防护措施 只有设定一个特定的环境，数据库系统才能正常运行，所以要对其进行 严密的综合性防护措施。而现实情况是0前的电力信息系统在数据库系统的综合 防护上做到并不到位，没冇严格对数据库进行访问控制策略的设置、边界防火墙 未关闭数据库服务相关的端U,还存在某些应用服务或网站与数据库服务共用一 台服务器的现象，这些都会使得系统面临更多的风险。 3增强电力信息系统数据库安全性的对策 3.1增强口令强度，进行补丁升级 业务系统或数据库管理员应该定期对系统进行检查，从而能够及吋发现 系统中存在的薄弱口令，无用账户、锁定或删除无用账户，并及吋采取措施，比 如说对那些具备系统权限的账户加强U令的强度，并定期更改