羅登昌，韓 旭

(1.長(zhǎng)江勘測(cè)規(guī)劃設(shè)計(jì)有限研究責(zé)任公司，湖北 武漢 430010；2.長(zhǎng)江巖土工程有限公司，湖北 武漢 430071)

1 概述

隨著現(xiàn)代科技的日新月異，帶動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算以及物聯(lián)網(wǎng)等技術(shù)的飛速發(fā)展，數(shù)據(jù)也呈現(xiàn)海量增長(zhǎng)態(tài)勢(shì)，與之相生的數(shù)據(jù)庫(kù)管理系統(tǒng)也大量涌現(xiàn)，然而數(shù)據(jù)庫(kù)的安全是保護(hù)數(shù)據(jù)信息的關(guān)鍵，也是學(xué)者始終關(guān)心的問(wèn)題。

許多學(xué)者在大數(shù)據(jù)的背景下，從數(shù)據(jù)庫(kù)本身出發(fā)，闡述了數(shù)據(jù)庫(kù)安全體系建立的方法和措施。徐綺彬[1]提出數(shù)據(jù)庫(kù)安全應(yīng)以預(yù)防和控制為主；李紅蘭[2]從大數(shù)據(jù)背景特征入手，分析了目前出現(xiàn)的安全問(wèn)題，然后從網(wǎng)絡(luò)環(huán)境、數(shù)據(jù)庫(kù)建設(shè)、管理體系以及審計(jì)措施等方面提出了意見(jiàn)；劉夢(mèng)飛[3]探討了網(wǎng)絡(luò)安全定義，分析了網(wǎng)絡(luò)安全的重要性，研究了提高網(wǎng)絡(luò)安全保障性能的方法；程一芳[4]從專(zhuān)業(yè)人員角度進(jìn)行分析與探索，并提出了一系列數(shù)據(jù)庫(kù)安全保障措施；葛耀武[5]等從大數(shù)據(jù)概念出發(fā)，分析影響數(shù)據(jù)安全的主要因素，從而構(gòu)建安全防御體系；喬龍[6]從數(shù)據(jù)信息安全現(xiàn)狀出發(fā)，分析影響數(shù)據(jù)安全的主要因素，從而構(gòu)建安全防御體系；張曉[7]通過(guò)將數(shù)據(jù)庫(kù)的建立、管理以及應(yīng)用與數(shù)據(jù)庫(kù)技術(shù)的發(fā)展走向相結(jié)合進(jìn)行分析，思考怎樣才能在如今的大數(shù)據(jù)時(shí)代更加完善地建立數(shù)據(jù)庫(kù)；譚鶴毅[8]針對(duì)大數(shù)據(jù)背景下，數(shù)據(jù)庫(kù)安全保障體系的建立進(jìn)行分析，探究我國(guó)數(shù)據(jù)庫(kù)安全保障體系的建設(shè)工作，從而促進(jìn)我國(guó)數(shù)據(jù)信息的安全與保密。

也有不少學(xué)者從專(zhuān)業(yè)的數(shù)據(jù)庫(kù)角度出發(fā)，針對(duì)不同數(shù)據(jù)的特點(diǎn)以及存在的問(wèn)題進(jìn)行研究，提出相應(yīng)的安全防護(hù)措施。汪思鑫[9]根據(jù)醫(yī)院數(shù)據(jù)庫(kù)特點(diǎn)提出安全問(wèn)題的改善措施；鄭輝[10]先簡(jiǎn)要分析辦公局域網(wǎng)數(shù)據(jù)庫(kù)系統(tǒng)存在的應(yīng)用風(fēng)險(xiǎn)，然后進(jìn)一步探究系統(tǒng)中包含的安全訪問(wèn)技術(shù)；李曉明[11]對(duì)大數(shù)據(jù)環(huán)境下一卡通安全問(wèn)題展開(kāi)分析，并提出大數(shù)據(jù)環(huán)境下一卡通系統(tǒng)數(shù)據(jù)庫(kù)的安全策略；陳杰華[12]針對(duì)高校教務(wù)管理系統(tǒng)中數(shù)據(jù)庫(kù)存在的一系列問(wèn)題展開(kāi)討論，并提出一些參考意見(jiàn)；羅俊才[13]等首先從不同層次、不同方面分析政務(wù)網(wǎng)站建設(shè)中數(shù)據(jù)庫(kù)存在的安全隱患，其次提出解決問(wèn)題的思路；肖智[14]從當(dāng)前的大數(shù)據(jù)概念意義入手，深入進(jìn)行分析，明確基于大數(shù)據(jù)的公積金數(shù)據(jù)庫(kù)安全保障體系建設(shè)內(nèi)容；馬汝禎[15]從企業(yè)信息管理系統(tǒng)數(shù)據(jù)庫(kù)的重要性出發(fā)，深入分析了數(shù)據(jù)庫(kù)所面臨的問(wèn)題，明確提出了數(shù)據(jù)庫(kù)安全保障措施；黃曉鑫[16]針對(duì)當(dāng)前高校教務(wù)管理系統(tǒng)中數(shù)據(jù)庫(kù)的安全問(wèn)題展開(kāi)分析，并結(jié)合實(shí)際的管理辦法以及工作經(jīng)驗(yàn)尋找提升數(shù)據(jù)安全的措施。

綜上所述，雖有不少學(xué)者對(duì)數(shù)據(jù)庫(kù)的安全設(shè)計(jì)提供了很多思路，但有關(guān)堤防工程數(shù)據(jù)庫(kù)系統(tǒng)安全的研究卻是鮮見(jiàn)。

2 堤防工程數(shù)據(jù)庫(kù)特點(diǎn)

堤防工程數(shù)據(jù)庫(kù)特點(diǎn)的研究是制定數(shù)據(jù)庫(kù)安全策略的基礎(chǔ)。通過(guò)分析堤防工程數(shù)據(jù)庫(kù)與數(shù)據(jù)安全相關(guān)的特點(diǎn)，并進(jìn)行歸納總結(jié)，最終得出堤防工程數(shù)據(jù)庫(kù)特點(diǎn)主要包含以下6方面內(nèi)容：

(1)堤防工程數(shù)據(jù)庫(kù)的重要性。堤防工程數(shù)據(jù)庫(kù)主要包含對(duì)數(shù)據(jù)進(jìn)行管理和存儲(chǔ)的軟件系統(tǒng)和硬件設(shè)施，而數(shù)據(jù)庫(kù)中的數(shù)據(jù)主要來(lái)源于堤防工程建設(shè)和運(yùn)維過(guò)程中產(chǎn)生的信息，因此其對(duì)堤防工程的應(yīng)急搶險(xiǎn)、規(guī)劃、加固等有著重要的意義。

(2)堤防數(shù)據(jù)庫(kù)的依賴(lài)性。堤防數(shù)據(jù)庫(kù)對(duì)數(shù)據(jù)的管理和存儲(chǔ)都必須依靠計(jì)算機(jī)軟件和硬件設(shè)備來(lái)完成，而隨著電子科技的高速發(fā)展，軟硬件的更新?lián)Q代異常迅猛，為此堤防數(shù)據(jù)庫(kù)應(yīng)及時(shí)更新，保證堤防數(shù)據(jù)庫(kù)系統(tǒng)與新軟硬件的兼容。

(3)堤防工程數(shù)據(jù)的流動(dòng)性。相對(duì)于傳統(tǒng)堤防數(shù)據(jù)多以紙張為載體，被存儲(chǔ)在本地檔案室，現(xiàn)如今的堤防數(shù)據(jù)庫(kù)的數(shù)據(jù)不僅可以存在于不同的物理介質(zhì)上，還可以通過(guò)網(wǎng)絡(luò)流傳到異地，數(shù)據(jù)的流動(dòng)性增強(qiáng)，實(shí)現(xiàn)了多單位、多企業(yè)的數(shù)據(jù)共享，將堤防工程數(shù)據(jù)的利用率大大提高。

(4)堤防工程數(shù)據(jù)的可變性。傳統(tǒng)堤防工程數(shù)據(jù)多以紙張為載體，初次成稿之后，他人就很難再對(duì)數(shù)據(jù)進(jìn)行修改，而用數(shù)據(jù)庫(kù)來(lái)存儲(chǔ)數(shù)據(jù)時(shí)，庫(kù)中的數(shù)據(jù)多為電子文件，只要是擁有權(quán)限的人都可對(duì)數(shù)據(jù)進(jìn)行修改，數(shù)據(jù)的可變性大。

(5)堤防工程數(shù)據(jù)的多樣性。堤防工程數(shù)據(jù)的類(lèi)型主要包含結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)及非結(jié)構(gòu)化數(shù)據(jù)3部分，其主要形式有文字、照片、DWG格式圖件和視頻等，數(shù)據(jù)的表現(xiàn)形式多樣化。

(6)堤防工程數(shù)據(jù)高度集中。傳統(tǒng)數(shù)據(jù)多以紙張為載體，存儲(chǔ)所需空間較大，且較零散，而數(shù)據(jù)庫(kù)中的數(shù)據(jù)存儲(chǔ)在服務(wù)器上，一臺(tái)服務(wù)器可存儲(chǔ)海量數(shù)據(jù)，數(shù)據(jù)高度集中。

3 威脅堤防工程數(shù)據(jù)庫(kù)安全因素

堤防工程數(shù)據(jù)庫(kù)安全主要包含2方面內(nèi)容：一是堤防工程數(shù)據(jù)的安全，二是堤防工程數(shù)據(jù)庫(kù)運(yùn)行安全，因此威脅堤防工程數(shù)據(jù)庫(kù)安全因素的分析應(yīng)從這2方面入手，主要包含以下5部分內(nèi)容：

(1)硬件設(shè)施的影響。硬件是數(shù)據(jù)存儲(chǔ)的載體，對(duì)堤防工程數(shù)據(jù)庫(kù)管理系統(tǒng)至關(guān)重要，一旦發(fā)生故障，將直接影響數(shù)據(jù)庫(kù)的運(yùn)行和安全。威脅硬件設(shè)施安全因素主要包含3方面：一是不可抗力的外界因素，如地震、泥石流等災(zāi)害導(dǎo)致硬件設(shè)備的毀壞；二是人為因素，如硬件檢查或維修時(shí)的操作失誤導(dǎo)致硬件的損壞；三是電子產(chǎn)品的老損，數(shù)據(jù)庫(kù)硬件的運(yùn)行是24h進(jìn)行，對(duì)硬件設(shè)施的損耗較大，在使用過(guò)程中可能導(dǎo)致硬件的老化和損壞。

(2)軟件影響。軟件是堤防工程數(shù)據(jù)庫(kù)管理數(shù)據(jù)的重要支撐，是數(shù)據(jù)庫(kù)必不可少的組成部分，但是一旦軟件存在漏洞，就會(huì)給不法分子可乘之機(jī)，通過(guò)系統(tǒng)漏洞或是數(shù)據(jù)庫(kù)軟件漏洞侵入到數(shù)據(jù)庫(kù)系統(tǒng)中去，非法獲取數(shù)據(jù)信息或給數(shù)據(jù)庫(kù)完整性帶來(lái)破壞。

(3)計(jì)算機(jī)病毒影響。隨著互聯(lián)網(wǎng)技術(shù)的飛快發(fā)展，各式各樣的計(jì)算機(jī)病毒也隨之而生，有些病毒作用明顯，直接刪除數(shù)據(jù)庫(kù)全部數(shù)據(jù)，破壞數(shù)據(jù)庫(kù)的運(yùn)行；有些病毒作用一開(kāi)始并不明顯，只是在慢慢盜取數(shù)據(jù)，造成數(shù)據(jù)持續(xù)泄露，但不管何種計(jì)算機(jī)病毒，其對(duì)數(shù)據(jù)庫(kù)的危害是巨大的。

(4)人為因素的影響。人為因素主要是數(shù)據(jù)庫(kù)運(yùn)維相關(guān)人員專(zhuān)業(yè)知識(shí)不夠、培訓(xùn)不到位、馬虎大意等因素造成工作的失誤，導(dǎo)致數(shù)據(jù)庫(kù)中信息的泄露或損壞，甚至影響數(shù)據(jù)庫(kù)的正常運(yùn)行。

(5)管理制度的影響。管理制度不健全容易造成數(shù)據(jù)庫(kù)管理人員職責(zé)的混亂，日常管理工作和安全管理工作不能按照計(jì)劃執(zhí)行，這樣勢(shì)必會(huì)給數(shù)據(jù)庫(kù)帶來(lái)安全隱患。

4 安全保障體系構(gòu)建

針對(duì)上述影響堤防工程數(shù)據(jù)庫(kù)安全的5方面因素，提出全面、細(xì)致的防護(hù)措施，從而最大程度上消除或避免這些因素對(duì)數(shù)據(jù)庫(kù)安全的影響，構(gòu)建堤防工程數(shù)據(jù)庫(kù)的安全保障體系。防護(hù)措施主要包括硬件設(shè)備防護(hù)措施、網(wǎng)絡(luò)安全措施、數(shù)據(jù)庫(kù)內(nèi)部安全措施、數(shù)據(jù)安全備份以及健全管理制度。

4.1 硬件設(shè)備防護(hù)措施

硬件設(shè)備所處的環(huán)境是設(shè)備安全的先決條件，因此設(shè)備放置的場(chǎng)所應(yīng)選擇無(wú)地質(zhì)災(zāi)害的場(chǎng)地，并設(shè)置專(zhuān)門(mén)的機(jī)房，機(jī)房的溫度、濕度、通風(fēng)、防雷、防水、防塵等均要滿(mǎn)足要求，避免外圍環(huán)境對(duì)硬件設(shè)備造成毀滅性的損害，與此同時(shí)還應(yīng)設(shè)置專(zhuān)職人員負(fù)責(zé)硬件設(shè)備的日常維護(hù)和檢查工作。

4.2 網(wǎng)絡(luò)安全措施

(1)優(yōu)化網(wǎng)絡(luò)資源。網(wǎng)絡(luò)資源分配不合理，會(huì)導(dǎo)致數(shù)據(jù)庫(kù)的訪問(wèn)效率低下，甚至是無(wú)法正常訪問(wèn)，因此優(yōu)化網(wǎng)絡(luò)資源是數(shù)據(jù)庫(kù)安全、高效訪問(wèn)的必要條件。優(yōu)化網(wǎng)絡(luò)資源可以通過(guò)對(duì)網(wǎng)絡(luò)資源進(jìn)行集中管理的方式，合理調(diào)配資源，使得數(shù)據(jù)庫(kù)高峰期訪問(wèn)時(shí)段的網(wǎng)絡(luò)環(huán)境安全、高效。

(2)設(shè)置防火墻。防火墻作為數(shù)據(jù)庫(kù)安全的第一道保障，起到至關(guān)重要的作用，它可對(duì)網(wǎng)絡(luò)端口進(jìn)行限制，能抵擋大部分的非法攻擊，保護(hù)數(shù)據(jù)庫(kù)安全。因此，應(yīng)根據(jù)堤防工程數(shù)據(jù)庫(kù)使用人員的特點(diǎn)，合理設(shè)置權(quán)限，避免越權(quán)限訪問(wèn)數(shù)據(jù)庫(kù)。

(3)增設(shè)入侵檢測(cè)技術(shù)。雖然防火墻能抵擋大部分非法入侵，但仍然有少部分非法入侵會(huì)逃過(guò)檢測(cè)，通過(guò)在防火墻之后增設(shè)完備的入侵檢測(cè)技術(shù)，及時(shí)檢查出混入的非法訪問(wèn)，加以阻止，能有效確保數(shù)據(jù)庫(kù)安全。

(4)安裝殺毒軟件。數(shù)據(jù)庫(kù)中的系統(tǒng)軟件往往存在漏洞，會(huì)給計(jì)算機(jī)病毒可乘之機(jī)，給數(shù)據(jù)庫(kù)帶來(lái)嚴(yán)重?fù)p壞，而殺毒軟件可以保護(hù)數(shù)據(jù)庫(kù)，避免其遭受病毒和木馬的攻擊，但由于計(jì)算機(jī)病毒和木馬總在推新，所以殺毒軟件也要及時(shí)更新殺毒引擎和病毒庫(kù)，以此保證殺毒軟件的鮮活力。

(5)云安全技術(shù)。通過(guò)大量數(shù)據(jù)庫(kù)的客戶(hù)端(云探針)將探測(cè)到的網(wǎng)絡(luò)異常行為進(jìn)行分析與處理，并將解決方案共享，使得每一個(gè)用戶(hù)都具備識(shí)別和處理已探測(cè)到的異常行為的能力，以此大幅度提高數(shù)據(jù)庫(kù)的安全。

4.3 數(shù)據(jù)庫(kù)內(nèi)部安全措施

(1)軟件安全。主要包含系統(tǒng)軟件安全和應(yīng)用軟件安全，數(shù)據(jù)庫(kù)系統(tǒng)軟件應(yīng)安全、穩(wěn)定、高效，一般可選用Unix操作系統(tǒng)，它不僅能保證系統(tǒng)的安全，還可以使數(shù)據(jù)庫(kù)的訪問(wèn)性能得到保證，并開(kāi)啟系統(tǒng)補(bǔ)丁自動(dòng)更新，確保軟件系統(tǒng)的先進(jìn)性；應(yīng)用軟件應(yīng)選擇主流、成熟的軟件，并及時(shí)更新軟件。

(2)數(shù)據(jù)加密。應(yīng)對(duì)堤防數(shù)據(jù)庫(kù)中的數(shù)據(jù)信息進(jìn)行加密處理，防止數(shù)據(jù)外泄，保證數(shù)據(jù)庫(kù)的安全性。常用的數(shù)據(jù)加密方式有兩種：庫(kù)外加密和庫(kù)內(nèi)加密，應(yīng)根據(jù)實(shí)際的應(yīng)用情況進(jìn)行選擇合適的加密方式。

(3)內(nèi)部審計(jì)。通過(guò)記錄數(shù)據(jù)庫(kù)運(yùn)行時(shí)對(duì)系統(tǒng)和數(shù)據(jù)的每次異常操作，如非法登錄、系統(tǒng)斷電、斷網(wǎng)或是數(shù)據(jù)刪除，可讓管理人員有效的監(jiān)控系統(tǒng)，并以此來(lái)檢查數(shù)據(jù)庫(kù)系統(tǒng)是否在運(yùn)行正常，當(dāng)檢測(cè)到數(shù)據(jù)庫(kù)有不安全的行為時(shí)，能及時(shí)將這些不安全因素阻止，可結(jié)合侵入檢測(cè)技術(shù)共同提高數(shù)據(jù)庫(kù)的安全性。

(4)視圖機(jī)制。通過(guò)視圖機(jī)制來(lái)限定不同用戶(hù)的不同訪問(wèn)權(quán)限，將數(shù)據(jù)庫(kù)中的數(shù)據(jù)對(duì)于無(wú)訪問(wèn)權(quán)限的用戶(hù)隱藏起來(lái)，自動(dòng)保護(hù)數(shù)據(jù)的安全。

4.4 數(shù)據(jù)安全備份

(1)本地備份。通過(guò)內(nèi)網(wǎng)傳輸將數(shù)據(jù)庫(kù)的全部數(shù)據(jù)備份到本地其他設(shè)備上，備份速度快、且操作簡(jiǎn)單，但由于設(shè)備在同一地方，整體抗風(fēng)險(xiǎn)能力稍低。

(2)異地備份。通過(guò)外網(wǎng)傳輸將數(shù)據(jù)庫(kù)的全部數(shù)據(jù)備份到異地設(shè)備上，整體抗風(fēng)險(xiǎn)能力較高，一地發(fā)生破壞，還可以通過(guò)另一處備份數(shù)據(jù)恢復(fù)數(shù)據(jù)庫(kù)，但對(duì)網(wǎng)絡(luò)環(huán)境的要求較高，成本較大。

(3)節(jié)點(diǎn)備份。首先將數(shù)據(jù)庫(kù)的全部數(shù)據(jù)分為多個(gè)不同的節(jié)點(diǎn)，節(jié)點(diǎn)之間相互獨(dú)立，然后利用2臺(tái)及以上的服務(wù)器將全部數(shù)據(jù)按節(jié)點(diǎn)存儲(chǔ)，當(dāng)主服務(wù)器上的某個(gè)節(jié)點(diǎn)出現(xiàn)問(wèn)題時(shí)，系統(tǒng)可以及時(shí)調(diào)用另外1臺(tái)服務(wù)器上的相應(yīng)節(jié)點(diǎn)來(lái)恢復(fù)主服務(wù)器上的數(shù)據(jù)，保證主服務(wù)器數(shù)據(jù)的完整性，提高數(shù)據(jù)庫(kù)數(shù)據(jù)的安全性。

4.5 健全管理制度

(1)職責(zé)明確。管理人員的分工必須明確，各司其職，共同維護(hù)數(shù)據(jù)庫(kù)的安全運(yùn)行。

(2)日常管理。包含日志檢查、警告文件檢查、磁盤(pán)使用情況檢查、網(wǎng)絡(luò)環(huán)境檢查以及內(nèi)存、CPU等的檢查。

(3)安全管理。包含機(jī)房環(huán)境管理、用戶(hù)權(quán)限管理、系統(tǒng)登錄口令管理等。

5 結(jié)語(yǔ)

針對(duì)威脅數(shù)據(jù)庫(kù)安全的4方面因素，從硬件設(shè)備防護(hù)措施、網(wǎng)絡(luò)安全措施、數(shù)據(jù)庫(kù)內(nèi)部安全措施、數(shù)據(jù)安全備份以及健全管理制度等5方面系統(tǒng)、全面地提出了數(shù)據(jù)庫(kù)安全的防護(hù)措施，可為今后其他數(shù)據(jù)庫(kù)安全提供參考和借鑒。