摘? 要：隨著國民經(jīng)濟(jì)的飛速發(fā)展，信息管理系統(tǒng)在各行各業(yè)的應(yīng)用不斷融合深化，但伴隨而來的安全風(fēng)險(xiǎn)也在持續(xù)增加。數(shù)據(jù)庫系統(tǒng)作為信息管理系統(tǒng)的核心部分，它的安全直接關(guān)系到整個(gè)信息管理系統(tǒng)的安全。因此，對(duì)于數(shù)據(jù)庫系統(tǒng)的安全防護(hù)就顯得特別重要。

關(guān)鍵詞：數(shù)據(jù)庫系統(tǒng);安全防護(hù);信息管理系統(tǒng)

中圖分類號(hào)：TP309.5? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2096-4706（2019）10-0164-02

Abstract：With the rapid development of the national economy，the application of information management system in all walks of life continues to integrate and deepen，but the security risks associated with it have also continued to increase. As the core part of the information management system，the security of the database system is directly related to the security of the whole information management system. Therefore，the security protection of database system is particularly important.

Keywords：database system;security protection;information management system

0? 引? 言

隨著國民經(jīng)濟(jì)的飛速發(fā)展，信息管理系統(tǒng)在各行各業(yè)的應(yīng)用不斷融合深化，但伴隨而來的安全風(fēng)險(xiǎn)也在持續(xù)增加。黑客攻擊、系統(tǒng)漏洞等行為造成信息泄露而產(chǎn)生經(jīng)濟(jì)損失的案例比比皆是。因此對(duì)信息管理系統(tǒng)，特別是其核心組成部分?jǐn)?shù)據(jù)庫系統(tǒng)的安全防護(hù)就顯得特別重要。根據(jù)Gartner公司發(fā)布的《2017全球數(shù)據(jù)庫安全市場(chǎng)趨勢(shì)報(bào)告》顯示，當(dāng)今用戶面臨最常見的數(shù)據(jù)庫安全威脅主要有：SQL注入攻擊、緩沖區(qū)溢出、默認(rèn)口令或弱口令、配置錯(cuò)誤、用戶賬戶泄露、數(shù)據(jù)駐留等。對(duì)于以上的安全威脅，用戶應(yīng)采取相應(yīng)的措施對(duì)數(shù)據(jù)庫系統(tǒng)各部分進(jìn)行安全防護(hù)。

1? 物理設(shè)備安全

物理設(shè)備是數(shù)據(jù)庫系統(tǒng)運(yùn)行的物理平臺(tái)，對(duì)物理設(shè)備的安全防護(hù)主要是為了盡量避免因不可抗因素導(dǎo)致的數(shù)據(jù)信息損壞或丟失，其防護(hù)手段主要有：

（1）對(duì)物理設(shè)備所處的運(yùn)行環(huán)境要進(jìn)行防水、防火、防雷擊、防靜電等處理;供電線路要配備UPS、過電壓防護(hù)裝置等，確保數(shù)據(jù)庫服務(wù)器不會(huì)因?yàn)槟承┎豢深A(yù)測(cè)因素造成物理主機(jī)損毀。

（2）根據(jù)所存數(shù)據(jù)的重要程度，對(duì)數(shù)據(jù)庫服務(wù)器設(shè)置好對(duì)應(yīng)級(jí)別的磁盤陣列;并對(duì)數(shù)據(jù)進(jìn)行異地備份，防止因?yàn)榇疟P物理損壞或主機(jī)損毀造成的數(shù)據(jù)丟失。

2? 操作系統(tǒng)安全

操作系統(tǒng)是整個(gè)數(shù)據(jù)庫系統(tǒng)運(yùn)行的軟件平臺(tái)，它作為系統(tǒng)軟件，管理數(shù)據(jù)庫服務(wù)器的所有軟硬件資源，提供其他軟件程序與硬件環(huán)境交互的通道。因此，對(duì)操作系統(tǒng)的安全防護(hù)直接關(guān)系到整個(gè)數(shù)據(jù)庫系統(tǒng)的穩(wěn)固，其防護(hù)手段主要有：

（1）安裝正版操作系統(tǒng)，并及時(shí)進(jìn)行補(bǔ)丁程序的升級(jí)，確保系統(tǒng)處于最新的版本。

（2）要對(duì)操作系統(tǒng)用戶賬戶進(jìn)行合理管理，停用來賓賬戶，刪除多余不用的用戶賬戶;對(duì)默認(rèn)系統(tǒng)管理員賬戶進(jìn)行改名，不要經(jīng)常使用系統(tǒng)管理員賬戶登錄系統(tǒng)。

（3）對(duì)所有用戶啟用密碼策略，并設(shè)置好密碼策略的相關(guān)功能;要對(duì)系統(tǒng)管理員賬戶設(shè)置復(fù)雜密碼，并定期更換密碼;設(shè)置好賬戶鎖定策略，當(dāng)用戶多次登錄系統(tǒng)失敗后，系統(tǒng)能進(jìn)行登錄失敗處理。

（4）設(shè)置共享文件的訪問權(quán)限，避免任何用戶都能訪問共享文件;根據(jù)用戶角色進(jìn)行權(quán)限分配，并且僅授予用戶所需的最小權(quán)限。

（5）操作系統(tǒng)中僅安裝提供服務(wù)所需要的必要軟件，禁止安裝不必要的軟件，堅(jiān)持最少應(yīng)用程序安裝原則。

（6）設(shè)置安全策略，保證系統(tǒng)用戶的鑒別信息、系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)等資源所在的存儲(chǔ)空間在被釋放或重新分配給其他用戶前得到完全清除。

（7）開啟系統(tǒng)安全審計(jì)功能，安裝殺毒軟件、啟用系統(tǒng)自帶防火墻或安裝第三方專業(yè)防火墻。

3? 數(shù)據(jù)庫管理系統(tǒng)安全

數(shù)據(jù)庫管理系統(tǒng)是數(shù)據(jù)庫系統(tǒng)的核心組成部分，主要完成對(duì)數(shù)據(jù)庫的操縱與管理功能，實(shí)現(xiàn)數(shù)據(jù)庫對(duì)象的創(chuàng)建、數(shù)據(jù)庫存儲(chǔ)數(shù)據(jù)的查詢、添加、修改與刪除操作和數(shù)據(jù)庫的用戶管理、權(quán)限管理等。它的安全直接關(guān)系到整個(gè)數(shù)據(jù)庫系統(tǒng)的安全，其防護(hù)手段主要有：

（1）使用正版數(shù)據(jù)庫管理系統(tǒng)并及時(shí)安裝相關(guān)補(bǔ)丁。

（2）做好用戶賬戶管理，禁用默認(rèn)超級(jí)管理員賬戶或者為超級(jí)管理員賬戶設(shè)置復(fù)雜密碼;為應(yīng)用程序分別分配專用賬戶進(jìn)行訪問;設(shè)置用戶登錄時(shí)間及登錄失敗次數(shù)限制，防止暴力破解用戶密碼。

（3）分配用戶訪問權(quán)限時(shí)，堅(jiān)持最小權(quán)限分配原則，并限制用戶只能訪問特定數(shù)據(jù)庫，不能同時(shí)訪問其他數(shù)據(jù)庫。

（4）修改數(shù)據(jù)庫默認(rèn)訪問端口，使用防火墻屏蔽掉對(duì)外開放的其他端口，禁止一切外部的端口探測(cè)行為。

（5）對(duì)數(shù)據(jù)庫內(nèi)存儲(chǔ)的重要數(shù)據(jù)、敏感數(shù)據(jù)進(jìn)行加密存儲(chǔ)，防止數(shù)據(jù)庫備份或數(shù)據(jù)文件被盜而造成數(shù)據(jù)泄露。

（6）設(shè)置好數(shù)據(jù)庫的備份策略，保證數(shù)據(jù)庫被破壞后能迅速恢復(fù)。

（7）對(duì)數(shù)據(jù)庫內(nèi)的系統(tǒng)存儲(chǔ)過程進(jìn)行合理管理，禁用掉不必要的存儲(chǔ)過程，防止利用存儲(chǔ)過程進(jìn)行數(shù)據(jù)庫探測(cè)與攻擊。

（8）啟用數(shù)據(jù)庫審核功能，對(duì)數(shù)據(jù)庫進(jìn)行全面的事件跟蹤和日志記錄。

4? 應(yīng)用程序安全

應(yīng)用程序是訪問數(shù)據(jù)庫的主要途徑，也是數(shù)據(jù)庫安全風(fēng)險(xiǎn)的直接來源。因此在應(yīng)用程序的開發(fā)過程中，就應(yīng)該加入對(duì)數(shù)據(jù)庫訪問的安全措施，其主要防護(hù)手段有：

（1）對(duì)應(yīng)用程序連接數(shù)據(jù)庫的連接字段或連接文件進(jìn)行加密訪問，防止因代碼泄露而產(chǎn)生的數(shù)據(jù)庫安全風(fēng)險(xiǎn)。

（2）應(yīng)用程序?qū)?shù)據(jù)庫內(nèi)的重要數(shù)據(jù)和敏感數(shù)據(jù)進(jìn)行讀寫時(shí)，應(yīng)進(jìn)行加密處理，防止這些數(shù)據(jù)因網(wǎng)絡(luò)攻擊而造成泄漏。

（3）應(yīng)用程序上線前，利用第三方工具對(duì)應(yīng)用程序進(jìn)行漏洞掃描，并及時(shí)通過修改代碼來防止類似SQL注入攻擊等安全攻擊的破壞。

5? 數(shù)據(jù)庫管理員安全

數(shù)據(jù)庫管理員是數(shù)據(jù)庫系統(tǒng)的管理人員，他的主要目標(biāo)是保證數(shù)據(jù)庫系統(tǒng)穩(wěn)定、安全、高效的運(yùn)行。數(shù)據(jù)庫管理員是整個(gè)數(shù)據(jù)庫系統(tǒng)安全的第一責(zé)任人，因此對(duì)他的防護(hù)手段主要體現(xiàn)在：

（1）對(duì)數(shù)據(jù)庫管理員應(yīng)定期進(jìn)行職業(yè)道德和專業(yè)技能的培訓(xùn)，使他們能遵守相關(guān)法律、愛崗敬業(yè)、技術(shù)過硬并嚴(yán)格保守所管理系統(tǒng)的秘密。

（2）制定全面嚴(yán)格的數(shù)據(jù)庫系統(tǒng)管理規(guī)定，從制度上規(guī)范數(shù)據(jù)庫管理員的行為，防止因?yàn)閮?nèi)部人為因素導(dǎo)致的數(shù)據(jù)庫系統(tǒng)安全風(fēng)險(xiǎn)的產(chǎn)生。

（3）數(shù)據(jù)庫管理員離任后，應(yīng)及時(shí)禁用相關(guān)訪問用戶，修改其能涉及到的系統(tǒng)訪問密碼、取消其訪問權(quán)限，最大限度地降低數(shù)據(jù)庫管理員離任后帶來的安全風(fēng)險(xiǎn)。

6? 網(wǎng)絡(luò)訪問安全

數(shù)據(jù)庫的主要特點(diǎn)是數(shù)據(jù)訪問共享。而要實(shí)現(xiàn)真正的共享，則必須通過網(wǎng)絡(luò)提供訪問服務(wù)來實(shí)現(xiàn)。網(wǎng)絡(luò)訪問的安全對(duì)于數(shù)據(jù)庫系統(tǒng)安全來講是一個(gè)需要著重關(guān)注的問題。網(wǎng)絡(luò)訪問安全的防護(hù)手段主要有：

（1）全面規(guī)劃網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，合理劃分內(nèi)外網(wǎng)區(qū)域。在網(wǎng)絡(luò)邊界部署網(wǎng)絡(luò)安全設(shè)備，將數(shù)據(jù)庫服務(wù)器放置在內(nèi)網(wǎng)安全區(qū)內(nèi)，避免數(shù)據(jù)庫服務(wù)器直接與外部網(wǎng)絡(luò)連接;對(duì)于數(shù)據(jù)庫服務(wù)器的訪問要進(jìn)行路由控制，建立安全訪問路徑。

（2）在網(wǎng)絡(luò)邊界部署物理防火墻，合理設(shè)置訪問策略，關(guān)閉不需要使用的訪問端口，防范諸如SQL注入攻擊、XSS跨站腳本攻擊、拒絕服務(wù)攻擊、網(wǎng)絡(luò)嗅探等惡意攻擊行為。

（3）部署入侵檢測(cè)設(shè)備，通過入侵檢測(cè)設(shè)備自動(dòng)收集和分析網(wǎng)絡(luò)訪問行為、安全訪問日志、審計(jì)數(shù)據(jù)及其他訪問信息等，綜合判斷網(wǎng)絡(luò)中是否存在惡意的攻擊行為，及時(shí)對(duì)入侵進(jìn)行攔截和響應(yīng)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。

（4）部署網(wǎng)絡(luò)防病毒設(shè)備，并及時(shí)升級(jí)病毒庫，保證病毒不在內(nèi)網(wǎng)內(nèi)發(fā)作、感染和傳播。

（5）定期對(duì)網(wǎng)絡(luò)進(jìn)行漏洞掃描，及時(shí)發(fā)現(xiàn)安全漏洞，客觀評(píng)價(jià)網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)，積極修補(bǔ)安全漏洞，提高網(wǎng)絡(luò)系統(tǒng)的安全等級(jí)。

（6）對(duì)安全設(shè)備啟用訪問控制功能，限制網(wǎng)絡(luò)設(shè)備的最大流量及連接數(shù)，對(duì)一定時(shí)間內(nèi)的非活躍會(huì)話應(yīng)終止網(wǎng)絡(luò)連接。

（7）對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行防護(hù)，登錄網(wǎng)絡(luò)設(shè)備要進(jìn)行用戶身份驗(yàn)證;對(duì)登錄網(wǎng)絡(luò)設(shè)備的地址要進(jìn)行限制;設(shè)備登錄口令要滿足復(fù)雜度要求并定期更換;網(wǎng)絡(luò)設(shè)備登錄失敗時(shí)要采取結(jié)束會(huì)話、限制登錄次數(shù)或登錄超時(shí)自動(dòng)退出等手段，防止進(jìn)行密碼試探。

（8）網(wǎng)絡(luò)設(shè)備開啟安全設(shè)計(jì)功能，記錄安全設(shè)備運(yùn)行的狀況、網(wǎng)絡(luò)流量及用戶行為等信息，當(dāng)網(wǎng)絡(luò)設(shè)備出現(xiàn)故障時(shí)，可以利用記錄的日志信息，分析故障原因，定位故障點(diǎn)，及時(shí)恢復(fù)網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行。

7? 結(jié)? 論

數(shù)據(jù)庫系統(tǒng)安全是一個(gè)復(fù)雜的工程，牽涉的范圍很廣，所以必須采用全方位多層次立體的安全防護(hù)手段才能達(dá)到一個(gè)比較好的防護(hù)效果，以維護(hù)數(shù)據(jù)自身的安全和價(jià)值。

參考文獻(xiàn)：

[1] Kish D，Lowans B.2017全球數(shù)據(jù)庫安全市場(chǎng)趨勢(shì)報(bào)告 [R].美國：Gartner，2017.

[2] 賀桂英，周杰，王旅.數(shù)據(jù)庫安全技術(shù) [M].北京：人民郵電出版社，2018.

[3] 公安部信息安全等級(jí)保護(hù)評(píng)估中心.信息安全等級(jí)測(cè)評(píng)培訓(xùn)教程（初級(jí)）[M].北京：電子工業(yè)出版社，2010.

作者簡介：楊豐嘉（1981-），男，侗族，湖南新晃人，講師，本科，研究方向：計(jì)算機(jī)應(yīng)用技術(shù)。