信息系統(tǒng)數(shù)據(jù)庫(kù)安全現(xiàn)狀與防護(hù)措施

【摘要】在我國(guó)電網(wǎng)維護(hù)的工作中，信息安全問題是個(gè)不容忽視的問題，這關(guān)系到電力企業(yè)信息系統(tǒng)能否正常穩(wěn)定運(yùn)行。不過當(dāng)前地方很多電力企業(yè)的安全防護(hù)工作并不到位，有很多企業(yè)存在不同程度的安全漏洞，本文針對(duì)以上情況，對(duì)這些安全風(fēng)險(xiǎn)進(jìn)行分析，并同時(shí)給出相應(yīng)的防范措施，將安全風(fēng)險(xiǎn)降到最低。

【關(guān)鍵詞】信息系統(tǒng);數(shù)據(jù)庫(kù);安全風(fēng)險(xiǎn)

1.引言

當(dāng)前我國(guó)各地的電力企業(yè)都加快了數(shù)字化進(jìn)程，各地都在使用各種信息系統(tǒng)，這些系統(tǒng)的數(shù)據(jù)庫(kù)主要以SQL server、Oracle為主。但是很多企業(yè)的信息系統(tǒng)主要注重功能性和性能，對(duì)于安全防護(hù)的重要性缺乏足夠的重視，這也使得系統(tǒng)存在較大的安全隱患。

2.數(shù)據(jù)庫(kù)系統(tǒng)使用情況

當(dāng)前大多數(shù)電力企業(yè)使用的系統(tǒng)主要分成生產(chǎn)控制和信息管理兩大種類。生產(chǎn)控制系統(tǒng)主要由調(diào)度自動(dòng)化系統(tǒng)和繼電保護(hù)及故障記錄管理系統(tǒng)、電量計(jì)量系統(tǒng)、運(yùn)營(yíng)系統(tǒng)構(gòu)成;信息管理系統(tǒng)主要由管理系統(tǒng)、信息管理系統(tǒng)和網(wǎng)站系統(tǒng)構(gòu)成。而信息管理系統(tǒng)由財(cái)務(wù)管理、營(yíng)銷管理、人力管理、物流管理等模塊構(gòu)成。本文對(duì)這些企業(yè)的數(shù)據(jù)庫(kù)使用情況作了一份調(diào)查，如表1所示。

表1 信息系統(tǒng)數(shù)據(jù)庫(kù)系統(tǒng)使用情況統(tǒng)計(jì)表

序號(hào) 業(yè)務(wù)系統(tǒng) Oracle SQL server 其他數(shù)據(jù)庫(kù)

1 調(diào)度自動(dòng)化 很高 很低 很低

2 繼電保護(hù) 很高 適中 很低

3 電量計(jì)量 很高 適中 很低

4 電力運(yùn)營(yíng) 很高 適中 很低

5 各類專業(yè)應(yīng)用 適中 很高 很低

6 運(yùn)行管理 很高 很低 很低

7 各類企業(yè)管理 很高 適中 低

8 網(wǎng)站系統(tǒng) 適中 較高 低

由表中可見，Oracle使用范圍很廣，其次是SQL，其他類數(shù)據(jù)庫(kù)應(yīng)用范圍較窄。因此本文主要以這兩種數(shù)據(jù)庫(kù)中遇到的安全問題進(jìn)行分析，并給出相應(yīng)的解決方案。

3.信息系統(tǒng)數(shù)據(jù)庫(kù)現(xiàn)狀

本文在對(duì)信息系統(tǒng)的數(shù)據(jù)庫(kù)進(jìn)行模塊化分析，發(fā)現(xiàn)這些數(shù)據(jù)庫(kù)存在了很多安全風(fēng)險(xiǎn)，例如系統(tǒng)權(quán)限設(shè)置問題、系統(tǒng)口令強(qiáng)度問題、補(bǔ)丁沒能按時(shí)升級(jí)、安全策略沒有針對(duì)實(shí)際應(yīng)用來設(shè)置、審計(jì)策略漠視、綜合防范措施較差，本文也具體對(duì)這些風(fēng)險(xiǎn)隱患進(jìn)行分析。

3.1 權(quán)限設(shè)置問題

廠家在系統(tǒng)交付使用時(shí)，通常為了安裝快捷，會(huì)采用系統(tǒng)管理員賬號(hào)進(jìn)行安裝，雖然會(huì)減小大量調(diào)試時(shí)間，但是就造成了嚴(yán)重的安全隱患，很多黑客就利用默認(rèn)管理員賬號(hào)登陸，往往成功率不低。一旦被黑客登陸，那么數(shù)據(jù)庫(kù)信息就完全被黑酷控制，后果就不堪設(shè)想。

3.2 系統(tǒng)口令強(qiáng)度問題

在很多Oracle數(shù)據(jù)庫(kù)中，存在著很多數(shù)量的默認(rèn)賬號(hào)，而客戶通常對(duì)這些默認(rèn)賬號(hào)不進(jìn)行任何安全防護(hù)，這就很容易被黑客利用。

口令是所有系統(tǒng)中最基本的安全防護(hù)措施，默認(rèn)口令通常是開發(fā)者為了方便修改預(yù)留的，在數(shù)據(jù)庫(kù)系統(tǒng)中，默認(rèn)口令有很多個(gè)，這些口令通常存儲(chǔ)在數(shù)據(jù)庫(kù)客戶端的配置文件中，一旦黑客進(jìn)入到客戶端對(duì)這些配置文件進(jìn)行查看，那么數(shù)據(jù)庫(kù)對(duì)于黑客而言，就毫無安全防護(hù)。

3.3 補(bǔ)丁升級(jí)滯后

很多信息軟件在運(yùn)行后，很多公司對(duì)于補(bǔ)丁升級(jí)的工作不是很重視，甚至是當(dāng)系統(tǒng)出現(xiàn)病毒或者發(fā)生故障，才想起進(jìn)行補(bǔ)丁升級(jí)。其實(shí)很多數(shù)據(jù)庫(kù)都有一些非常嚴(yán)重的漏洞和后門，開發(fā)者在客戶使用中反饋的信息對(duì)這些系統(tǒng)缺陷進(jìn)行修復(fù)，然后發(fā)布升級(jí)補(bǔ)丁。而如果使用者不及時(shí)更新這些補(bǔ)丁，就很容易被黑客或病毒進(jìn)行攻擊。例如在2008年全球就發(fā)生了規(guī)模很大的SQL 蠕蟲病毒，對(duì)全球很多用戶造成了不可估計(jì)的損失，這就是利用系統(tǒng)中的漏洞，而其實(shí)該漏洞開發(fā)者早就發(fā)布了補(bǔ)丁，那些病毒感染者幾乎全都是未及時(shí)升級(jí)的用戶。

3.4 默認(rèn)安全策略

默認(rèn)安全策略主要包括口令策略、口令有效時(shí)間、默認(rèn)組件以及默認(rèn)的遠(yuǎn)程訪問安全策略等。不過在實(shí)際使用過程中，因?yàn)椴僮鳝h(huán)境和使用功能不同，使用者應(yīng)結(jié)合自身的實(shí)際情況進(jìn)行安全策略的修改。但是在大多數(shù)使用者中，都完全按照是默認(rèn)的安全策略。而默認(rèn)的安全策略往往都被黑客熟知，并且那些默認(rèn)的組件有很多客戶并不需要的服務(wù)和模塊，黑客和病毒就是利用這些服務(wù)對(duì)用戶的系統(tǒng)造成很大的威脅。

3.5 危險(xiǎn)存儲(chǔ)過程

在很多數(shù)據(jù)庫(kù)設(shè)計(jì)時(shí)，有很多復(fù)雜的功能，這些功能都很多存儲(chǔ)過程，用戶利用存儲(chǔ)過程就可以對(duì)數(shù)據(jù)庫(kù)進(jìn)行快速訪問和操作。不過在這種快捷的辦公環(huán)境背后，是巨大的安全隱患。黑客在對(duì)系統(tǒng)進(jìn)行入侵時(shí)，往往會(huì)借助存儲(chǔ)過程來實(shí)現(xiàn)對(duì)客戶系統(tǒng)的入侵。

3.6 信息泄露

信息泄露主要指數(shù)據(jù)庫(kù)的banner信息和用戶數(shù)據(jù)泄露。banner包括了數(shù)據(jù)庫(kù)的版本、服務(wù)名、運(yùn)行狀況，這對(duì)黑客而言是相當(dāng)有價(jià)值的信息;而用戶數(shù)據(jù)包括了用戶名和密碼以及企業(yè)內(nèi)部資料，這些信息如果不進(jìn)行加密和有效的安全防護(hù)，很容易被黑客入侵，對(duì)于企業(yè)造成致命性的打擊。

3.7 設(shè)計(jì)策略問題

雖然很多數(shù)據(jù)庫(kù)都有日志審核功能，但大多數(shù)用戶為了提高運(yùn)行速度，選擇關(guān)閉這項(xiàng)安全防護(hù)，而很多信息系統(tǒng)的數(shù)據(jù)庫(kù)日志審計(jì)功能從安全那天就從未使用過，這就無法在有問題時(shí)進(jìn)行問題跟蹤查看。

3.8 綜合防護(hù)程度較低

目前，很多系統(tǒng)的數(shù)據(jù)庫(kù)的綜合防護(hù)措施程度較低，很多用戶對(duì)于數(shù)據(jù)庫(kù)訪問沒有設(shè)定訪問策略，而很多用戶則是嚴(yán)重違反安全條例，將數(shù)據(jù)庫(kù)主機(jī)和應(yīng)用服務(wù)主機(jī)設(shè)定成一臺(tái)，還有用戶是防火墻沒有有效的安全設(shè)定，防火墻幾乎等于擺設(shè)，這些安全問題就造成了黑客或病毒的異?；钴S，對(duì)用戶的系統(tǒng)造成了極大的威脅。

4.數(shù)據(jù)庫(kù)系統(tǒng)安全防護(hù)措施

4.1 嚴(yán)格控制權(quán)限

建議用戶使用最小權(quán)限創(chuàng)建用戶，這樣的好處是哪怕該賬號(hào)被黑客攻擊，黑客也僅僅得到相當(dāng)有限的權(quán)限。

此外，在很多在線運(yùn)行的信息系統(tǒng)，嚴(yán)格控制權(quán)限需要開發(fā)廠商對(duì)系統(tǒng)進(jìn)行整改，雖然會(huì)對(duì)系統(tǒng)正常運(yùn)行造成一些影響，但卻在很大程度上提高了安全等級(jí)。

對(duì)于應(yīng)用在UNIX環(huán)境的數(shù)據(jù)庫(kù)，還需要對(duì)賬戶權(quán)限進(jìn)行嚴(yán)格的監(jiān)控，此外，還需要對(duì)于數(shù)據(jù)庫(kù)的系統(tǒng)文件和數(shù)據(jù)文件、配置文件進(jìn)行權(quán)限設(shè)置，防治被認(rèn)為的進(jìn)行修改或刪除。

4.2 加強(qiáng)口令強(qiáng)度

數(shù)據(jù)庫(kù)管理員在安全防護(hù)工作中需要將沒用的賬戶進(jìn)行刪除，并對(duì)常用賬號(hào)進(jìn)行口令管理，設(shè)置足夠復(fù)雜的口令，并定期進(jìn)行修改。最后，審核配置文件，將開發(fā)廠商預(yù)留的默認(rèn)賬戶進(jìn)行刪除。

4.3 及時(shí)升級(jí)補(bǔ)丁

數(shù)據(jù)庫(kù)管理員要每天關(guān)注開發(fā)廠商發(fā)布的升級(jí)公告，在不影響系統(tǒng)正常使用的前提下，及時(shí)下載升級(jí)補(bǔ)丁并安裝。

4.4 優(yōu)化安全策略

對(duì)安全策略進(jìn)行有針對(duì)性的設(shè)置，例如設(shè)置最大錯(cuò)誤登陸次數(shù)、口令解鎖時(shí)間、口令復(fù)雜度。同時(shí)在安裝數(shù)據(jù)庫(kù)，針對(duì)實(shí)際使用情況，關(guān)閉不需要的服務(wù)和模塊。

4.5 卸載危險(xiǎn)的存儲(chǔ)過程

數(shù)據(jù)庫(kù)管理員要和開發(fā)廠商有限溝通，對(duì)于等級(jí)較低的賬戶進(jìn)行限制存儲(chǔ)過程的訪問，同時(shí)卸載不需要的存儲(chǔ)過程，刪除與之相連的文件。這樣就能在很大程度上杜絕黑客利用存儲(chǔ)過程控制服務(wù)器。

4.6 加強(qiáng)信息加密管理

數(shù)據(jù)庫(kù)管理員要經(jīng)常修改系統(tǒng)中的banner信息，對(duì)Oracle數(shù)據(jù)庫(kù)而言，可以通過設(shè)置服務(wù)口令來防治信息泄露。此外，還可以要求開發(fā)廠商對(duì)于數(shù)據(jù)庫(kù)的敏感信息進(jìn)行加密設(shè)置，使用較為強(qiáng)壯的加密算法，保證關(guān)鍵信息不被外泄。

4.7 設(shè)置審計(jì)策略

建議用戶開啟數(shù)據(jù)庫(kù)日志審核模塊，開放審計(jì)登錄事件、數(shù)據(jù)庫(kù)操作事件、敏感信息操作事件等、

4.8 合理使用綜合防護(hù)措施

設(shè)置數(shù)據(jù)庫(kù)訪問控制策略，并限制訪問數(shù)據(jù)庫(kù)的IP，此外，對(duì)于防火墻也需要進(jìn)行有效的設(shè)置，防治黑客利用防火墻漏洞進(jìn)行攻擊。

5.結(jié)語

信息系統(tǒng)的正常運(yùn)行和數(shù)據(jù)安全離不開數(shù)據(jù)庫(kù)系統(tǒng)的有效保護(hù)。本文結(jié)合信息系統(tǒng)的特點(diǎn)，分析了種種數(shù)據(jù)庫(kù)的安全問題，并給出了相應(yīng)的解決方案。目前，大部分防護(hù)措施都應(yīng)用在了信息系統(tǒng)中，極大的提高了數(shù)據(jù)庫(kù)系統(tǒng)的安全性。

參考文獻(xiàn)

[1]李宗濤.內(nèi)蒙古超高壓供電局武川500 kV變電站成功投運(yùn)[L].內(nèi)蒙古電力信息通信中心，2014（04）：11-19.

[2]余鋼.應(yīng)用上下文技術(shù)在高安全級(jí)數(shù)據(jù)庫(kù)中的應(yīng)用研究[J].計(jì)算機(jī)與數(shù)字工程，2009（08）.

[3]朱世順，郭其秀，程章濱.電力生產(chǎn)控制系統(tǒng)信息安全等級(jí)保護(hù)研究[J].電力信息化，2012，（01）.