【摘要】在我國電網(wǎng)維護的工作中，信息安全問題是個不容忽視的問題，這關系到電力企業(yè)信息系統(tǒng)能否正常穩(wěn)定運行。不過當前地方很多電力企業(yè)的安全防護工作并不到位，有很多企業(yè)存在不同程度的安全漏洞，本文針對以上情況，對這些安全風險進行分析，并同時給出相應的防范措施，將安全風險降到最低。

【關鍵詞】信息系統(tǒng);數(shù)據(jù)庫;安全風險

1.引言

當前我國各地的電力企業(yè)都加快了數(shù)字化進程，各地都在使用各種信息系統(tǒng)，這些系統(tǒng)的數(shù)據(jù)庫主要以SQL server、Oracle為主。但是很多企業(yè)的信息系統(tǒng)主要注重功能性和性能，對于安全防護的重要性缺乏足夠的重視，這也使得系統(tǒng)存在較大的安全隱患。

2.數(shù)據(jù)庫系統(tǒng)使用情況

當前大多數(shù)電力企業(yè)使用的系統(tǒng)主要分成生產(chǎn)控制和信息管理兩大種類。生產(chǎn)控制系統(tǒng)主要由調(diào)度自動化系統(tǒng)和繼電保護及故障記錄管理系統(tǒng)、電量計量系統(tǒng)、運營系統(tǒng)構成;信息管理系統(tǒng)主要由管理系統(tǒng)、信息管理系統(tǒng)和網(wǎng)站系統(tǒng)構成。而信息管理系統(tǒng)由財務管理、營銷管理、人力管理、物流管理等模塊構成。本文對這些企業(yè)的數(shù)據(jù)庫使用情況作了一份調(diào)查，如表1所示。

表1 信息系統(tǒng)數(shù)據(jù)庫系統(tǒng)使用情況統(tǒng)計表

序號 業(yè)務系統(tǒng) Oracle SQL server 其他數(shù)據(jù)庫

1 調(diào)度自動化 很高 很低 很低

2 繼電保護 很高 適中 很低

3 電量計量 很高 適中 很低

4 電力運營 很高 適中 很低

5 各類專業(yè)應用 適中 很高 很低

6 運行管理 很高 很低 很低

7 各類企業(yè)管理 很高 適中 低

8 網(wǎng)站系統(tǒng) 適中 較高 低

由表中可見，Oracle使用范圍很廣，其次是SQL，其他類數(shù)據(jù)庫應用范圍較窄。因此本文主要以這兩種數(shù)據(jù)庫中遇到的安全問題進行分析，并給出相應的解決方案。

3.信息系統(tǒng)數(shù)據(jù)庫現(xiàn)狀

本文在對信息系統(tǒng)的數(shù)據(jù)庫進行模塊化分析，發(fā)現(xiàn)這些數(shù)據(jù)庫存在了很多安全風險，例如系統(tǒng)權限設置問題、系統(tǒng)口令強度問題、補丁沒能按時升級、安全策略沒有針對實際應用來設置、審計策略漠視、綜合防范措施較差，本文也具體對這些風險隱患進行分析。

3.1 權限設置問題

廠家在系統(tǒng)交付使用時，通常為了安裝快捷，會采用系統(tǒng)管理員賬號進行安裝，雖然會減小大量調(diào)試時間，但是就造成了嚴重的安全隱患，很多黑客就利用默認管理員賬號登陸，往往成功率不低。一旦被黑客登陸，那么數(shù)據(jù)庫信息就完全被黑酷控制，后果就不堪設想。

3.2 系統(tǒng)口令強度問題

在很多Oracle數(shù)據(jù)庫中，存在著很多數(shù)量的默認賬號，而客戶通常對這些默認賬號不進行任何安全防護，這就很容易被黑客利用。

口令是所有系統(tǒng)中最基本的安全防護措施，默認口令通常是開發(fā)者為了方便修改預留的，在數(shù)據(jù)庫系統(tǒng)中，默認口令有很多個，這些口令通常存儲在數(shù)據(jù)庫客戶端的配置文件中，一旦黑客進入到客戶端對這些配置文件進行查看，那么數(shù)據(jù)庫對于黑客而言，就毫無安全防護。

3.3 補丁升級滯后

很多信息軟件在運行后，很多公司對于補丁升級的工作不是很重視，甚至是當系統(tǒng)出現(xiàn)病毒或者發(fā)生故障，才想起進行補丁升級。其實很多數(shù)據(jù)庫都有一些非常嚴重的漏洞和后門，開發(fā)者在客戶使用中反饋的信息對這些系統(tǒng)缺陷進行修復，然后發(fā)布升級補丁。而如果使用者不及時更新這些補丁，就很容易被黑客或病毒進行攻擊。例如在2008年全球就發(fā)生了規(guī)模很大的SQL 蠕蟲病毒，對全球很多用戶造成了不可估計的損失，這就是利用系統(tǒng)中的漏洞，而其實該漏洞開發(fā)者早就發(fā)布了補丁，那些病毒感染者幾乎全都是未及時升級的用戶。

3.4 默認安全策略

默認安全策略主要包括口令策略、口令有效時間、默認組件以及默認的遠程訪問安全策略等。不過在實際使用過程中，因為操作環(huán)境和使用功能不同，使用者應結合自身的實際情況進行安全策略的修改。但是在大多數(shù)使用者中，都完全按照是默認的安全策略。而默認的安全策略往往都被黑客熟知，并且那些默認的組件有很多客戶并不需要的服務和模塊，黑客和病毒就是利用這些服務對用戶的系統(tǒng)造成很大的威脅。

3.5 危險存儲過程

在很多數(shù)據(jù)庫設計時，有很多復雜的功能，這些功能都很多存儲過程，用戶利用存儲過程就可以對數(shù)據(jù)庫進行快速訪問和操作。不過在這種快捷的辦公環(huán)境背后，是巨大的安全隱患。黑客在對系統(tǒng)進行入侵時，往往會借助存儲過程來實現(xiàn)對客戶系統(tǒng)的入侵。

3.6 信息泄露

信息泄露主要指數(shù)據(jù)庫的banner信息和用戶數(shù)據(jù)泄露。banner包括了數(shù)據(jù)庫的版本、服務名、運行狀況，這對黑客而言是相當有價值的信息;而用戶數(shù)據(jù)包括了用戶名和密碼以及企業(yè)內(nèi)部資料，這些信息如果不進行加密和有效的安全防護，很容易被黑客入侵，對于企業(yè)造成致命性的打擊。

3.7 設計策略問題

雖然很多數(shù)據(jù)庫都有日志審核功能，但大多數(shù)用戶為了提高運行速度，選擇關閉這項安全防護，而很多信息系統(tǒng)的數(shù)據(jù)庫日志審計功能從安全那天就從未使用過，這就無法在有問題時進行問題跟蹤查看。

3.8 綜合防護程度較低

目前，很多系統(tǒng)的數(shù)據(jù)庫的綜合防護措施程度較低，很多用戶對于數(shù)據(jù)庫訪問沒有設定訪問策略，而很多用戶則是嚴重違反安全條例，將數(shù)據(jù)庫主機和應用服務主機設定成一臺，還有用戶是防火墻沒有有效的安全設定，防火墻幾乎等于擺設，這些安全問題就造成了黑客或病毒的異?；钴S，對用戶的系統(tǒng)造成了極大的威脅。

4.數(shù)據(jù)庫系統(tǒng)安全防護措施

4.1 嚴格控制權限

建議用戶使用最小權限創(chuàng)建用戶，這樣的好處是哪怕該賬號被黑客攻擊，黑客也僅僅得到相當有限的權限。

此外，在很多在線運行的信息系統(tǒng)，嚴格控制權限需要開發(fā)廠商對系統(tǒng)進行整改，雖然會對系統(tǒng)正常運行造成一些影響，但卻在很大程度上提高了安全等級。

對于應用在UNIX環(huán)境的數(shù)據(jù)庫，還需要對賬戶權限進行嚴格的監(jiān)控，此外，還需要對于數(shù)據(jù)庫的系統(tǒng)文件和數(shù)據(jù)文件、配置文件進行權限設置，防治被認為的進行修改或刪除。

4.2 加強口令強度

數(shù)據(jù)庫管理員在安全防護工作中需要將沒用的賬戶進行刪除，并對常用賬號進行口令管理，設置足夠復雜的口令，并定期進行修改。最后，審核配置文件，將開發(fā)廠商預留的默認賬戶進行刪除。

4.3 及時升級補丁

數(shù)據(jù)庫管理員要每天關注開發(fā)廠商發(fā)布的升級公告，在不影響系統(tǒng)正常使用的前提下，及時下載升級補丁并安裝。

4.4 優(yōu)化安全策略

對安全策略進行有針對性的設置，例如設置最大錯誤登陸次數(shù)、口令解鎖時間、口令復雜度。同時在安裝數(shù)據(jù)庫，針對實際使用情況，關閉不需要的服務和模塊。

4.5 卸載危險的存儲過程

數(shù)據(jù)庫管理員要和開發(fā)廠商有限溝通，對于等級較低的賬戶進行限制存儲過程的訪問，同時卸載不需要的存儲過程，刪除與之相連的文件。這樣就能在很大程度上杜絕黑客利用存儲過程控制服務器。

4.6 加強信息加密管理

數(shù)據(jù)庫管理員要經(jīng)常修改系統(tǒng)中的banner信息，對Oracle數(shù)據(jù)庫而言，可以通過設置服務口令來防治信息泄露。此外，還可以要求開發(fā)廠商對于數(shù)據(jù)庫的敏感信息進行加密設置，使用較為強壯的加密算法，保證關鍵信息不被外泄。

4.7 設置審計策略

建議用戶開啟數(shù)據(jù)庫日志審核模塊，開放審計登錄事件、數(shù)據(jù)庫操作事件、敏感信息操作事件等、

4.8 合理使用綜合防護措施

設置數(shù)據(jù)庫訪問控制策略，并限制訪問數(shù)據(jù)庫的IP，此外，對于防火墻也需要進行有效的設置，防治黑客利用防火墻漏洞進行攻擊。

5.結語

信息系統(tǒng)的正常運行和數(shù)據(jù)安全離不開數(shù)據(jù)庫系統(tǒng)的有效保護。本文結合信息系統(tǒng)的特點，分析了種種數(shù)據(jù)庫的安全問題，并給出了相應的解決方案。目前，大部分防護措施都應用在了信息系統(tǒng)中，極大的提高了數(shù)據(jù)庫系統(tǒng)的安全性。

參考文獻

[1]李宗濤.內(nèi)蒙古超高壓供電局武川500 kV變電站成功投運[L].內(nèi)蒙古電力信息通信中心，2014（04）：11-19.

[2]余鋼.應用上下文技術在高安全級數(shù)據(jù)庫中的應用研究[J].計算機與數(shù)字工程，2009（08）.

[3]朱世順，郭其秀，程章濱.電力生產(chǎn)控制系統(tǒng)信息安全等級保護研究[J].電力信息化，2012，（01）.