数据库信息系统安全风险及防范措施剖析.docVIP

数据库信息系统安全风险及防范措施剖析 　　【摘要】　现代信息系统的迅猛发展是以计算机网络系统为主要标志的，而信息系统的安全也将日益成为关系成败的关键点。文章对数据库信息系统的安全现状进行了分析，并且提出了数据库信息系统安全技术以及安全策略，以此来促进数据库系统的安全。 　　【关键词】　数据库；信息系统；安全风险；防范 　　0 引言 　　近些年来，随着计算机的应用普及以及深入，以数据库为主要核心的应用信息系统在各个企业和单位当中也受到了强烈的追捧。但是，由于目前应用系统数据库安全技术保证得不到完全的支持，引起诸多内部数据泄露的现象。数据库系统肩负着管理以及存储计算机数据信息的重要任务，如今怎样加强和保证数据库系统安全已经成为当前迫切需要解决的问题了。 　　1 数据库信息系统的安全现状 　　1.1 信息系统安全管理水平低下 　　目前，随着信息化进程的逐步深入，信息安全越来越受到人们的重视。但是，还存在不少的问题。①应急反应系统没有制度化和经常化；②安全技术保障体系还不够完善，诸多单位和企业花大量金钱所购买的信息安全设备得不到相应的技术保障，没有达到预期的目标；③单位和企业信息安全制度建设滞后而且信息安全标准也较为滞后。网络安全事件发生的主要原因是安全防范意识较为薄弱且安全管理制度没有得到充分落实。 　　此外，还有一些安全管理员缺乏相应的培训，且安全产品不能够得到相应的要求以及安全经费投入不足等等问题。还有一些用户的安全观念薄弱也容易导致安全事件的发生，这些情况的发生都说明社会化服务程度和安全管理水平都比较低。 　　1.2 信息系统安全范畴 　　信息安全管理指的是信息的所有者所建立的安全组织，在行业和国家现有的法律法规所要求之内制定出合适的组织安全管理政策，并且通过学习和培训等一系列的方式组织内部人员的安全素质和安全意识，使能够严格的执行所设定的安全政策，而且还要建立相应的安全审计制度，用来监督和评价安全政策的具体实施，对安全政策所实施的效果给予相应的评价。 　　另外，信息安全技术指的是通过高超的技术手段保证信息所在系统和信息的安全。如入侵检测、加密技术以及安全技术和访问控制技术、病毒检测等，通过这些安全技术手段的应用来提高组织的信息系统安全性。因为信息安全是一个相对整体的概念，而单一的技术或者是管理的应用都不能够对信息提供相应的保障。只有针对现有的技术条件来实施相应的管理，并且通过利用现有的技术来实现管理目标，把技术和管理有机的结合在一起才能够对信息提供最大的安全保障。 　　1.3 信息安全面临的安全威胁不容小觑 　　针对管理方面的威胁主要有四个方面。 　　一是来自人员的威胁。随着信息系统的迅猛发展，自动化设备逐步提高，导致人员在进行信息处理的过程当中参与也慢慢的减少。由于人员的安全意识不高，导致蓄意破坏和误操作等一些行为对信息安全所造成的威胁具有不可评估的影响。 　　二是技术威胁。系统面临的威胁，信息处理和存储以及传输设备当中所使用的任何操作系统，因为受到技术的约束，都存在有各种各样的漏洞，容易被木马和病毒以及黑客攻击。物理方面的威胁，所谓的物理安全指的是信息在存储和产生以及处理、传输、使用的过程当中涉及到物理设备这些设备所在的环境安全。物理环境是信息的主要载体，一旦离开的物理环境信息也必将不符存在，也就无从谈起安全问题了。应用程序方面的威胁，当用户滥用、误用以及使用不适当的应用程序都将使应用程序受到一定的威胁。数据方面的威胁，违法的篡改、窃取以及伪造等等各种各样的攻击手段都会造成信息系统当中数据的失效和泄漏。 　　三是信息安全组织不完善。信息安全组织负责管理系统的制定以及规划和部署、维护等，推动和领导组织的信息建设。一旦信息安全组织不够完善，将会致使在安全保障过程当中缺乏具有统一的领导，不能够有效地协调各个方面的资源，也不能够建立有效的管理体系，同时也不能够使管理体系实行有效的维护和监督，这些漏洞的存在都会给信息安全造成一定的危险和危害。 　　四是措施、政策不完善。信息安全组织，虽说有高素质的人才但是还需要制度相应的信息安全策略和政策，以此来指导管理人员进行相应的日常工作。一旦缺乏安全政策将会导致信息系统的维护和使用缺乏合理的控制和指导，容易导致信息处理设备误用和滥用等情况的发生，对信息安全也极其容易造成相应的危害。 　　2 数据库信息系统安全技术以及安全策略 　　2.1 数据库信息系统安全技术 　　2.1.1　用户鉴别和认证 　　这种安全机制是对于所访问的主体进行的，用户认证主要指的是通过访问时所必须向系统提供的身份证明。它主要是由和它相对应的密码以及用户标识ID所构成，且用户标识必须是唯一的。而用户鉴别指的是具有能够检查用户身份的功能，通过它来对用户的身份是否合法进行鉴别。用户鉴