劉自方

摘要：隨著科學(xué)技術(shù)與信息化技術(shù)日新月異的發(fā)展，各個(gè)企業(yè)都已經(jīng)建立自己的數(shù)據(jù)中心與數(shù)據(jù)庫服務(wù)器。但數(shù)據(jù)庫在不斷發(fā)展的同時(shí)，面臨的風(fēng)險(xiǎn)也就越來越多。怎么有效保障企業(yè)數(shù)據(jù)庫不被入侵，使得企業(yè)數(shù)據(jù)庫系統(tǒng)保持完整性與機(jī)密性，這是當(dāng)前各個(gè)企業(yè)急需解決的重要問題。鑒于此，該文主要討論了企業(yè)數(shù)據(jù)庫系統(tǒng)當(dāng)中常見的安全機(jī)制與缺陷，在此基礎(chǔ)上提出了及點(diǎn)企業(yè)數(shù)據(jù)庫系統(tǒng)防入侵的建議，僅供參考與借鑒。

關(guān)鍵詞：企業(yè)；數(shù)據(jù)庫系統(tǒng)；安全；防入侵

中圖分類號：TP311 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2014）21-4959-02

隨著信息化技術(shù)的不斷拓展，特別是信息化技術(shù)在企業(yè)生產(chǎn)與科研方面的大范圍普及，企業(yè)當(dāng)中越來越多的數(shù)據(jù)與資料以各式各樣的方式保存在電腦中。作為數(shù)據(jù)管理與存儲主要模式的數(shù)據(jù)庫在企業(yè)當(dāng)中的應(yīng)用也就越來越廣泛。企業(yè)數(shù)據(jù)庫系統(tǒng)當(dāng)中不僅保存著個(gè)人資料，比如員工個(gè)人資料、員工薪酬、員工醫(yī)療信息等，同時(shí)其還掌控這整個(gè)企業(yè)中的金融資料，這個(gè)資料囊括了企業(yè)戰(zhàn)略方面的信息、帳號資料、商業(yè)信息以及交易記錄等，并且其還儲存著企業(yè)合作伙伴的信息[1]?？梢哉f，企業(yè)數(shù)據(jù)庫系統(tǒng)當(dāng)中的這些信息資料在一定程度上決定這企業(yè)的生死存亡，因此，做好企業(yè)數(shù)據(jù)庫系統(tǒng)安全防入侵工作是每個(gè)企業(yè)必須要高度重視的工作內(nèi)容。

1 企業(yè)的數(shù)據(jù)庫系統(tǒng)常見的安全機(jī)制及缺陷

現(xiàn)階段，企業(yè)數(shù)據(jù)庫系統(tǒng)常見的安全機(jī)制包含下面幾種：①依靠操作系統(tǒng)當(dāng)中的訪問控制功能進(jìn)行安全管理。當(dāng)前，各種主流的操作系統(tǒng)都具有較為健全的用戶認(rèn)證體系。針對系統(tǒng)中的用戶，系統(tǒng)中都有一個(gè)與之對應(yīng)的訪問控制列表（ACL），在這個(gè)訪問控制列表當(dāng)中針對用戶具體的訪問權(quán)限進(jìn)行了設(shè)定。每一個(gè)登錄系統(tǒng)的用戶都必須在其對應(yīng)的權(quán)限當(dāng)中進(jìn)行訪問。如此一來，數(shù)據(jù)庫的管理層就能夠通過對每一個(gè)用戶的訪問權(quán)限進(jìn)行控制，從而有效控制用戶針對數(shù)據(jù)庫當(dāng)中信息資料的刪除、復(fù)制、寫入以及讀取等各個(gè)方面的操作進(jìn)行限制。②應(yīng)用用戶身份認(rèn)證來進(jìn)行安全管理。一般來說，通常使用的十分認(rèn)證都是用戶在進(jìn)行數(shù)據(jù)庫登錄的時(shí)候必須要輸入對應(yīng)的用戶密碼，通過密碼驗(yàn)證的形式來針對企業(yè)不同的數(shù)據(jù)資料進(jìn)行保護(hù)。一般都是在一個(gè)對應(yīng)的配置文件當(dāng)中來進(jìn)行用戶名與密碼保存，而這個(gè)密碼通常是運(yùn)用某類加密模式進(jìn)行存儲的，從而有效避免因?yàn)榕渲梦募环欠ㄔL問的時(shí)候?qū)е旅艽a外泄。③針對數(shù)據(jù)庫進(jìn)行加密來實(shí)現(xiàn)安全管理。采用這種安全體系的設(shè)計(jì)理念在于應(yīng)用密碼學(xué)的模式來針對儲存在數(shù)據(jù)庫當(dāng)中的數(shù)據(jù)資料實(shí)施加密保護(hù)，以此來提升數(shù)據(jù)庫當(dāng)中儲存的原始數(shù)據(jù)的安全性。

而上述這三種安全機(jī)制都存在著不同的缺陷。①依靠操作系統(tǒng)當(dāng)中的訪問控制功能進(jìn)行安全管理，這種模式的缺陷在于：一方面，數(shù)據(jù)庫當(dāng)中的資料安全基本都是依靠系統(tǒng)進(jìn)行保護(hù)，當(dāng)系統(tǒng)配置不當(dāng)?shù)臅r(shí)候，安全無法得到保障；另一方面，當(dāng)數(shù)據(jù)庫當(dāng)中的信息資料在電腦間或者目錄間進(jìn)行移動(dòng)的時(shí)候，這種保護(hù)模式就完全失去作用。因此，該種模式的最大弊端在于必須要依靠外部環(huán)境來進(jìn)行保護(hù)，倘若外部環(huán)境出現(xiàn)變化，數(shù)據(jù)庫中的信息資料就非常容易遭受入侵。②應(yīng)用用戶身份認(rèn)證來進(jìn)行安全管理，而這種模式的最大弊端在于完全依靠密碼驗(yàn)證的身份認(rèn)證。倘若是內(nèi)部用戶采用正常模式（應(yīng)用數(shù)據(jù)庫管理軟件）來打開對應(yīng)的數(shù)據(jù)庫資料，這種模式自然非常適用。然而，倘若外部入侵者采用二進(jìn)制文件模式來打開數(shù)據(jù)庫資料的時(shí)候，就能夠輕易的避開身份認(rèn)證。因此，該模式的最大弊端在于其主要依靠數(shù)據(jù)庫管理軟件來進(jìn)行保護(hù)，無法避免入侵者采用其他模式進(jìn)行查看。③針對數(shù)據(jù)庫進(jìn)行加密來實(shí)現(xiàn)安全管理，由于企業(yè)數(shù)據(jù)庫當(dāng)中的資料較大，采用該種模式進(jìn)行加密與解密所需要的時(shí)間也非常久，用戶每一次打開與關(guān)閉通常都需要耗費(fèi)幾分鐘的時(shí)間來進(jìn)行加密與解密，實(shí)用性不高[2]。

2 企業(yè)數(shù)據(jù)庫系統(tǒng)安全防入侵策略

2.1 保障硬件安全

硬件是保障企業(yè)數(shù)據(jù)庫安全的先決條件，硬件設(shè)施是否安全直接涉及到企業(yè)數(shù)據(jù)庫系統(tǒng)是否能夠安全、正常的運(yùn)轉(zhuǎn)，其同時(shí)也是企業(yè)數(shù)據(jù)庫進(jìn)行日常安全維護(hù)的前提條件。所以，企業(yè)在選擇自身數(shù)據(jù)庫系統(tǒng)硬件的時(shí)候，除了考慮經(jīng)濟(jì)方面的因素意外，還必須要綜合考慮硬件技術(shù)的便捷性與優(yōu)越性。企業(yè)數(shù)據(jù)庫系統(tǒng)是整個(gè)企業(yè)網(wǎng)絡(luò)運(yùn)轉(zhuǎn)的關(guān)鍵，這個(gè)數(shù)據(jù)庫的硬件設(shè)施性能直接關(guān)系到整個(gè)企業(yè)各種系統(tǒng)的運(yùn)轉(zhuǎn)效率，所以，企業(yè)必須要高度重視硬件設(shè)施的選擇工作。除此之外，企業(yè)還必須要重視UPS設(shè)施與服務(wù)器環(huán)境的監(jiān)管工作，企業(yè)要想保障自身數(shù)據(jù)庫能夠穩(wěn)定、安全的運(yùn)轉(zhuǎn)，服務(wù)器工作的環(huán)境（溫度、濕度）也是至關(guān)重要的因素。一般來說，數(shù)據(jù)庫系統(tǒng)服務(wù)器所處環(huán)境的濕度應(yīng)當(dāng)保持在50%～70%左右，溫度應(yīng)當(dāng)控制在18℃～24℃之間，并且要盡可能保證這個(gè)環(huán)境無塵，要盡可能讓每一項(xiàng)指標(biāo)都達(dá)到相應(yīng)的標(biāo)準(zhǔn)，以此來保障數(shù)據(jù)庫系統(tǒng)的正常運(yùn)轉(zhuǎn)[3]。

2.2 加大網(wǎng)絡(luò)安全防范力度

隨著信息化網(wǎng)絡(luò)的不斷的普及，數(shù)據(jù)的共享范圍也在不斷拓展，信息資料的傳播速度也獲得了較大的提升。這在一定程度上也提升了數(shù)據(jù)的安全隱患，許多黑客或者不法分子利用網(wǎng)絡(luò)當(dāng)中的這些漏洞入侵企業(yè)數(shù)據(jù)庫的新聞事件屢見不鮮。所以，加強(qiáng)企業(yè)數(shù)據(jù)庫網(wǎng)絡(luò)安全監(jiān)管工作也是企業(yè)數(shù)據(jù)庫系統(tǒng)防入侵的重要環(huán)節(jié)。對于網(wǎng)絡(luò)當(dāng)中不法分子經(jīng)常使用的“偽造、修改、截獲、中斷”等入侵模式，企業(yè)應(yīng)當(dāng)采用下面幾點(diǎn)措施進(jìn)行防控。首先，正確配置企業(yè)數(shù)據(jù)庫系統(tǒng)與網(wǎng)絡(luò)，同時(shí)要定期進(jìn)行檢查，保障配置遭到非法修改。其次，在數(shù)據(jù)庫網(wǎng)絡(luò)當(dāng)中設(shè)置防火墻，要在第一時(shí)間更新病毒庫，加大漏洞掃描與安全審計(jì)工作的力度。再者，采用訪問控制、身份認(rèn)證、加密相結(jié)合的模式，以此來提升入侵的難度。最后，采用物理措施，在企業(yè)內(nèi)部采用雙網(wǎng)的模式，企業(yè)數(shù)據(jù)庫必須要實(shí)施內(nèi)網(wǎng)管理，從而有效減少數(shù)據(jù)之間的交叉。

2.3 加大數(shù)據(jù)軟件的保護(hù)力度

①加大企業(yè)數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)管理力度。其一是定期或者不定期更改管理員口令，通過更改管理員口令防止系統(tǒng)帳號被部分不法分子盜取之后私自入侵系統(tǒng)。其二是第一時(shí)間進(jìn)行數(shù)據(jù)庫版本升級或者進(jìn)行系統(tǒng)漏洞修補(bǔ)，從而有效降低因?yàn)閿?shù)據(jù)庫系統(tǒng)自身的BUG所導(dǎo)致的數(shù)據(jù)庫系統(tǒng)崩潰或者泄漏。其三是采用登陸審計(jì)模式，針對每一個(gè)進(jìn)入到數(shù)據(jù)庫的用戶進(jìn)行監(jiān)管，記錄其進(jìn)行操作的詳細(xì)流程，這種方面不僅有效加大了責(zé)任追蹤力度，并且能夠有效避免因?yàn)檎`操作所導(dǎo)致的損失。其四企業(yè)數(shù)據(jù)庫必須要針對外網(wǎng)的開放進(jìn)行限制。盡管企業(yè)建設(shè)數(shù)據(jù)庫系統(tǒng)的目的在于資源共享，便于企業(yè)內(nèi)部人員進(jìn)行使用，然而企業(yè)數(shù)據(jù)庫當(dāng)中一些重要的“行業(yè)機(jī)密”或者“企業(yè)機(jī)密”，倘若不進(jìn)行限制，則非常容易導(dǎo)致不法分子的入侵[4]。所以，要想保障企業(yè)數(shù)據(jù)庫資料的安全，必須要針對外網(wǎng)訪問進(jìn)行嚴(yán)格的控制，對不同的員工設(shè)置不同的訪問權(quán)限，并且要進(jìn)行身份驗(yàn)證，從而有效保障數(shù)據(jù)庫系統(tǒng)的安全。②加強(qiáng)信息庫信息數(shù)據(jù)的備份工作。數(shù)據(jù)備份是進(jìn)行數(shù)據(jù)保護(hù)、實(shí)現(xiàn)數(shù)據(jù)庫迅速恢復(fù)的主要措施，盡管現(xiàn)階段各個(gè)企業(yè)的數(shù)據(jù)庫備份工作都是應(yīng)用雙機(jī)熱備或者磁盤鏡像的模式，但是利用網(wǎng)絡(luò)設(shè)施來進(jìn)行離線備份也是至關(guān)重要的。鑒于企業(yè)數(shù)據(jù)庫當(dāng)中的信息資料較大，并且這些數(shù)據(jù)的保存周期都非常長，備份設(shè)施可以選擇虛擬帶庫、光盤或者磁帶庫備份等模式，倘若企業(yè)自身?xiàng)l件允許，也可以選擇異地備份的模式，以此來有效避免因?yàn)橐馔馊肭謱?dǎo)致數(shù)據(jù)丟失的情況發(fā)生。

2.4 加大企業(yè)終端電腦管理與員工的電腦安全教育力度

企業(yè)內(nèi)部員工是數(shù)據(jù)庫信息資料使用的直接接觸者，因此，只有針對員工進(jìn)行電腦安全知識與數(shù)據(jù)庫知識的培訓(xùn)教育，才能夠讓廣大員工在使用的過程中有效避免安全事故的發(fā)生。這就需要企業(yè)定期開展對應(yīng)的培訓(xùn)工作，編制詳細(xì)的用戶使用手冊，同時(shí)還必須要重點(diǎn)標(biāo)注使用過程中需要注意的重要事項(xiàng)，使得員工可以科學(xué)合理的利用數(shù)據(jù)庫，防止數(shù)據(jù)庫遭受不必要的破壞[5]。

3 結(jié)束語

綜上述訴，企業(yè)數(shù)據(jù)庫已經(jīng)成為每一個(gè)企業(yè)必不可少的工具，數(shù)據(jù)庫系統(tǒng)的構(gòu)建與防入侵監(jiān)管屬于一項(xiàng)繁雜且漫長的工程，所以，企業(yè)數(shù)據(jù)庫的管理工作必須要堅(jiān)持細(xì)致入微，銜接得當(dāng)，構(gòu)建一個(gè)安全、穩(wěn)定的環(huán)境，保障企業(yè)數(shù)據(jù)庫系統(tǒng)安全、有序的運(yùn)轉(zhuǎn)。

參考文獻(xiàn)：

[1] 王平勤，董付國.asp.net/c#實(shí)現(xiàn)excel與SQL Server數(shù)據(jù)遷移技術(shù)研究[J].福建電腦，2008（3）：549-550.

[2] 劉海燕，楊健康，蔡紅柳，等.嵌入式數(shù)據(jù)庫SQLite的安全機(jī)制分析與設(shè)計(jì)[J].裝甲兵工程學(xué)院學(xué)報(bào)，2009（5）：365-366.

[3] 付曙光.數(shù)據(jù)庫安全防御系統(tǒng)構(gòu)建的策略[J].煤炭技術(shù)，2012（5）：241-242.

[4] 葉碧野.計(jì)算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)探析[J].電腦知識與技術(shù)，2012（5）：167-168.

[5] 楊方燕.數(shù)據(jù)庫系統(tǒng)安全保密技術(shù)探討[J].電子產(chǎn)品可靠性與環(huán)境試驗(yàn)，2006（6）：215-216.