信息系统数据库安全分析.docVIP

信息系统数据库安全分析 　　摘要：数据库从被开始应用的那天起，就面临安全问题。数据库系统在与各种安全威胁的彼消此长的矛盾较量中，形成了既借鉴于一般意义的信息安全，而又独具特点的安全理论和控制技术。虽然人们不能一劳永逸地解决数据库安全问题，但依然能从数据库设计、管理、运行等若干关键环节入手，探索出一套行之有效的解决方法。该文以信息系统为框架，对数据库安全问题进行分析，并寻求和探讨解决之道。 　　关键词： 数据库；安全；控制；信息系统 　　中图分类号：TP309 文献标识码：A 文章编号：1009-3044（2014）15-3468-03 　　Analysis and Resolution of Database Security in Information System 　　ZHANG Yan 　　（Suzhou Secrecy Technology and Management Service Center， Suzhou 215002，China） 　　Abstract： The database from the day began to be applied， is facing security problems. The database system with various security threats that the contradiction of contest， the formation of both the borrowing information security in the general sense， security theory and control technology and its characteristics. Although people can not put things right once and for all solution to database security problems， but still can obtain from the key link of database design， management， operation， to explore a set of effective solution. In this paper， the information system framework， the database security problems are analyzed， and to seek and explore solutions. 　　Key words： database； security； control； information system 　　1 概述 　　随着数据库技术、数据库产品日益广泛的使用，及其在应用的广度和深度方面的飞跃式发展，数据库安全同时正在成为现今信息系统安全的关注焦点和基础核心问题，亟待跟进探究和寻求解决。数据库安全不是一个孤立的问题，必须置于整个信息系统背景下，从设计、管理、运行及与应用的关联性等方面，加以统筹考虑和综合分析。 　　计算机等数字化信息设备中存储、处理的信息均可认为是数据或数据的集合（库），那么数据（库）安全是否就等同于信息安全呢？本文讨论的数据（库）有其专指性，是指依照某种数据模型组织起来的有效数据集合，其特点是：以一定的优化方式进行存储，具有尽可能小的冗余，与应用程序彼此独立，其增、删、改、检索均由专用软件进行管理和控制。在经历了人工管理阶段、文件系统管理阶段后，数据管理进入数据库形式的高级管理阶段，数据库安全成为既属于信息安全、又区别于一般信息安全的独特的安全领域。 　　2 数据库系统结构及安全解析 　　机密性、完整性、可用性是信息安全的核心三要素，它们也构成了数据库安全的核心三要素。对于一个实际的信息系统，三要素体现在各个构成部分。信息系统的功能核心在应用，而数据服务于应用，其自身依赖于相应管理系统及计算机操作系统，如图1所示，一个完整的数据库系统的安全问题贯穿于多个环节：数据库自身存储的安全，管理系统对数据库的控制安全，数据库设计的逻辑安全，上层应用系统的安全，等。 　　2.1关于数据库安全的主机及网络安全 　　目前，主流的数据库系统（本文讨论的数据库系统默认为关系型数据库系统，相关产品以SQL Server、Oracle为例）包括数据库和数据库管理系统，运行于计算机及网络之上，它们既是一个有机整体，也是相对独立的组成部分。 　　数据库以文件的形式，由数据库管理系统通过主机操作系统进行存储和管理，因此，数据库文件自身的安全依托于主机及网络的安全。如果数据库文件及其数据备份文件可轻易地被非授权获取或破坏，则构建在其