数据库信息系统安全风险及防范措施研究.docxVIP

数据库信息系统安全风险及防范措施研究 【摘要】 现代信息系统的迅猛发展是以计算机网络系统 为主要标志的，而信息系统的安全也将日益成为关系成败的 关键点。文章对数据库信息系统的安全现状进行了分析，并 且提出了数据库信息系统安全技术以及安全策略，以此来促 进数据库系统的安全。 【关键词】 数据库；信息系统；安全风险；防范 0引言 近些年来，随着计算机的应用普及以及深入，以数据库 为主要核心的应用信息系统在各个企业和单位当中也受到 了强烈的追捧。但是，由于目前应用系统数据库安全技术保 证得不到完全的支持，引起诸多内部数据泄露的现象。数据 库系统肩负着管理以及存储计算机数据信息的重要任务，如 今怎样加强和保证数据库系统安全已经成为当前迫切需要 解决的问题了。 1数据库信息系统的安全现状 1.1信息系统安全管理水平低下 目前，随着信息化进程的逐步深入，信息安全越来越受 到人们的重视。但是，还存在不少的问题。①应急反应系统 没有制度化和经常化；②安全技术保障体系还不够完善，诸 多单位和企业花大量金钱所购买的信息安全设备得不到相 应的技术保障，没有达到预期的目标；③单位和企业信息安 全制度建设滞后而且信息安全标准也较为滞后。网络安全事 件发生的主要原因是安全防范意识较为薄弱且安全管理制 度没有得到充分落实。 此外，还有一些安全管理员缺乏相应的培训，且安全产 品不能够得到相应的要求以及安全经费投入不足等等问题。 还有一些用户的安全观念薄弱也容易导致安全事件的发生， 这些情况的发生都说明社会化服务程度和安全管理水平都 比较低。 1.2信息系统安全范畴 信息安全管理指的是信息的所有者所建立的安全组织， 在行业和国家现有的法律法规所要求之内制定出合适的组 织安全管理政策，并且通过学习和培训等一系列的方式组织 内部人员的安全素质和安全意识，使能够严格的执行所设定 的安全政策，而且还要建立相应的安全审计制度，用来监督 和评价安全政策的具体实施，对安全政策所实施的效果给予 相应的评价。 另外，信息安全技术指的是通过高超的技术手段保证信 息所在系统和信息的安全。如入侵检测、加密技术以及安全 技术和访问控制技术、病毒检测等，通过这些安全技术手段 的应用来提高组织的信息系统安全性。因为信息安全是一个 相对整体的概念，而单一的技术或者是管理的应用都不能够 对信息提供相应的保障。只有针对现有的技术条件来实施相 应的管理，并且通过利用现有的技术来实现管理目标，把技 术和管理有机的结合在一起才能够对信息提供最大的安全 保障。 1.3信息安全面临的安全威胁不容小觑 针对管理方面的威胁主要有四个方面。 一是来自人员的威胁。随着信息系统的迅猛发展，自动 化设备逐步提高，导致人员在进行信息处理的过程当中参与 也慢慢的减少。由于人员的安全意识不髙，导致蓄意破坏和 误操作等一些行为对信息安全所造成的威胁具有不可评估 的影响。 二是技术威胁。系统面临的威胁，信息处理和存储以及 传输设备当中所使用的任何操作系统，因为受到技术的约 束，都存在有各种各样的漏洞，容易被木马和病毒以及黑客 攻击。物理方面的威胁，所谓的物理安全指的是信息在存储 和产生以及处理、传输、使用的过程当中涉及到物理设备这 些设备所在的环境安全。物理环境是信息的主要载体，一旦 离开的物理环境信息也必将不符存在，也就无从谈起安全问 题了。应用程序方面的威胁，当用户滥用、误用以及使用不 适当的应用程序都将使应用程序受到一定的威胁。数据方面 的威胁，违法的篡改、窃取以及伪造等等各种各样的攻击手 段都会造成信息系统当中数据的失效和泄漏。 三是信息安全组织不完善。信息安全组织负责管理系统 的制定以及规划和部署、维护等，推动和领导组织的信息建 设。一旦信息安全组织不够完善，将会致使在安全保障过程 当中缺乏具有统一的领导，不能够有效地协调各个方面的资 源，也不能够建立有效的管理体系，同时也不能够使管理体 系实行有效的维护和监督，这些漏洞的存在都会给信息安全 造成一定的危险和危害。 四是措施、政策不完善。信息安全组织，虽说有高素质 的人才但是还需要制度相应的信息安全策略和政策，以此来 指导管理人员进行相应的日常工作。一旦缺乏安全政策将会 导致信息系统的维护和使用缺乏合理的控制和指导，容易导 致信息处理设备误用和滥用等情况的发生，对信息安全也极 其容易造成相应的危害。 2数据库信息系统安全技术以及安全策略 2.1数据库信息系统安全技术 2. 1. 1用户鉴别和认证 这种安全机制是对于所访问的主体进行的，用户认证主 要指的是通过访问时所必须向系统提供的身份证明。它主要 是由和它相对应的密码以及用户标识ID所构成，且用户标 识必须是唯一的。而用户鉴别指的是具有能够检查用户身份 的功能，通过它来对用户的身份是否合法进行鉴别。用户鉴 别和认证