企業(yè)信息系統(tǒng)中數(shù)據(jù)庫(kù)安全探討

羅國(guó)楷 中石油燃料油有限責(zé)任公司

企業(yè)信息系統(tǒng)中數(shù)據(jù)庫(kù)安全探討

羅國(guó)楷 中石油燃料油有限責(zé)任公司

信息技術(shù)的飛速創(chuàng)新與發(fā)展，推動(dòng)了企業(yè)加快信息化的腳步。在此形勢(shì)下，各類數(shù)據(jù)信息已關(guān)系到企業(yè)的正常運(yùn)營(yíng)秩序，因此，數(shù)據(jù)的安全問(wèn)題受到了越來(lái)越多的關(guān)注的和重視，本研究就圍繞企業(yè)信息系統(tǒng)中數(shù)據(jù)庫(kù)安全進(jìn)行探析。

企業(yè)信息管理 數(shù)據(jù)庫(kù)安全 加密技術(shù)

數(shù)據(jù)庫(kù)是企業(yè)信息化進(jìn)程的重要載體，如果企業(yè)重要信息受損、泄露，將會(huì)造成不可估量的損失。因此企業(yè)應(yīng)著力于為所用數(shù)據(jù)庫(kù)提供更安全、良好的環(huán)境，保障數(shù)據(jù)安全。

1 企業(yè)信息數(shù)據(jù)庫(kù)的特點(diǎn)、要求

企業(yè)信息系統(tǒng)中的數(shù)據(jù)庫(kù)通常具有數(shù)據(jù)庫(kù)中信息存儲(chǔ)量較大、信息用戶數(shù)量較多的特點(diǎn)。且每種信息所需求的安全保護(hù)程度又有所差異，尤其是在開放自由的網(wǎng)絡(luò)環(huán)境下，進(jìn)一步加大了數(shù)據(jù)安全管理工作的難度，因此，需要企業(yè)數(shù)據(jù)管理人員能夠?qū)γ舾袛?shù)據(jù)推理分析，找出存在數(shù)據(jù)安全問(wèn)題的可能性。

要確保企業(yè)數(shù)據(jù)庫(kù)的安全，應(yīng)當(dāng)符合以下幾點(diǎn)要求：一是完整性，數(shù)據(jù)庫(kù)的完整性是指數(shù)據(jù)在輸入和傳輸?shù)倪^(guò)程中，不被非法授權(quán)修改和破壞，保證數(shù)據(jù)的一致性。二是實(shí)用性，實(shí)現(xiàn)數(shù)據(jù)庫(kù)的實(shí)用性，是企業(yè)各項(xiàng)安全措施的基本宗旨。三是保密性，對(duì)于數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)，要避免這些信息被泄露，確保其保密性。

2 加強(qiáng)企業(yè)信息系統(tǒng)信息庫(kù)安全的對(duì)策

2.1 嚴(yán)控用戶登入環(huán)節(jié)

用戶需要登入企業(yè)信息系統(tǒng)的數(shù)據(jù)庫(kù)，第一步操作就是進(jìn)行身份驗(yàn)證，而在此環(huán)節(jié)中，數(shù)據(jù)庫(kù)外侵者往往會(huì)通過(guò)登入窗口中，驗(yàn)證程序的漏洞盜取數(shù)據(jù)庫(kù)合法用戶的身份信息及密碼，進(jìn)而入侵到企業(yè)信息系統(tǒng)數(shù)據(jù)庫(kù)中。應(yīng)對(duì)這一問(wèn)題，就需要企業(yè)運(yùn)用單向密碼，避免用戶在登入時(shí)使用明文密碼，從而加強(qiáng)用戶登入時(shí)的保密性。另外，由于企業(yè)信息數(shù)據(jù)庫(kù)的用戶數(shù)量較多，系統(tǒng)所面臨的環(huán)境多樣，應(yīng)用程序的種類和訪問(wèn)用戶的類型也比較復(fù)雜，因此，企業(yè)應(yīng)當(dāng)通過(guò)嚴(yán)格控制用戶登入權(quán)限，為每名系統(tǒng)用戶建立一個(gè)用戶角色，具體區(qū)分不同類型的用戶，賦予其不同的權(quán)限，從而提高企業(yè)信息系統(tǒng)的安全性和保密性，并加強(qiáng)企業(yè)對(duì)于信息系統(tǒng)數(shù)據(jù)庫(kù)的有效管理。

2.2 對(duì)重要數(shù)據(jù)應(yīng)用加密技術(shù)

加密技術(shù)就是將明文類信息，加以密匙轉(zhuǎn)換，形成辨識(shí)難度更高的密文，從而加大企業(yè)信息數(shù)據(jù)庫(kù)的保密性。對(duì)于企業(yè)信息庫(kù)中的財(cái)務(wù)數(shù)據(jù)、商業(yè)決策信息、用戶保密信息等重要數(shù)據(jù)，應(yīng)當(dāng)嚴(yán)格防范被外部人員盜取，而當(dāng)不法分子通過(guò)非法途徑進(jìn)入到企業(yè)數(shù)據(jù)庫(kù)中，對(duì)信息、文件加以加密處理后，還能夠?yàn)槠髽I(yè)數(shù)據(jù)提供另一層保護(hù)。

加密技術(shù)又大致可分為兩部分，分別是算法處理和密匙處理。算法處理指的是，應(yīng)用一些數(shù)學(xué)范圍內(nèi)的算法，從而確定數(shù)據(jù)庫(kù)明文與密文之間的轉(zhuǎn)化規(guī)律。加密算法主要包括：對(duì)稱算法和非對(duì)稱算法，其中對(duì)稱算法的加密環(huán)節(jié)和解密換機(jī)階段，所使用的的密匙一致；而非對(duì)稱算法中，加密和解密所運(yùn)用的密匙區(qū)分開來(lái)。由此可見，僅憑算法保密并不能切實(shí)保障數(shù)據(jù)信息安全，還需要具體以每個(gè)字段數(shù)據(jù)為單位，細(xì)分加密粒度，從而加快數(shù)據(jù)檢索效率和效果，需要注意的是，在索引部分和表間部分不應(yīng)當(dāng)加密。

2.3 對(duì)存儲(chǔ)過(guò)程應(yīng)用加密技術(shù)

存儲(chǔ)過(guò)程也是加強(qiáng)數(shù)據(jù)庫(kù)安全性的重要環(huán)節(jié)之一，存儲(chǔ)過(guò)程的應(yīng)用，能夠在無(wú)需提供基本視圖與圖表的前提下，在存儲(chǔ)環(huán)節(jié)授予用戶權(quán)限，這樣能夠確保用戶無(wú)法通過(guò)查詢工具的途徑直接訪問(wèn)數(shù)據(jù)庫(kù)。需要注意的是，在存儲(chǔ)過(guò)程中，也存在一定安全隱患，如果存儲(chǔ)過(guò)程應(yīng)用不合理，將會(huì)給數(shù)據(jù)庫(kù)的外來(lái)入侵者提供機(jī)會(huì)。因此企業(yè)數(shù)據(jù)管理部門應(yīng)當(dāng)嚴(yán)禁重要存儲(chǔ)過(guò)程被普通用戶隨意調(diào)用，另外，還應(yīng)當(dāng)通過(guò)對(duì)關(guān)鍵的存儲(chǔ)過(guò)程加以自定義加密，進(jìn)而增強(qiáng)數(shù)據(jù)庫(kù)信息的安全性。

2.4 數(shù)據(jù)備份及數(shù)據(jù)恢復(fù)

隨著業(yè)務(wù)發(fā)展規(guī)模的不斷擴(kuò)大，企業(yè)數(shù)據(jù)庫(kù)中的存儲(chǔ)量也在飛速上升，加大了數(shù)據(jù)管理難度。因此，為了應(yīng)對(duì)越來(lái)越多的數(shù)據(jù)量，避免數(shù)據(jù)丟失，企業(yè)信息管理人員應(yīng)當(dāng)做好數(shù)據(jù)備份工作，將硬盤或其它數(shù)據(jù)存儲(chǔ)設(shè)備中的數(shù)據(jù)，及時(shí)地拷貝到媒體上，并記錄好數(shù)據(jù)相關(guān)信息。而數(shù)據(jù)備份方式，根據(jù)時(shí)間、內(nèi)容以及方式的不同，可以劃分為完全備份、正將備份以及差分備份三種，企業(yè)應(yīng)當(dāng)結(jié)合自身?xiàng)l件，來(lái)選擇適合本企業(yè)應(yīng)用的數(shù)據(jù)備份方式。

本研究闡述了企業(yè)信息系統(tǒng)中數(shù)據(jù)庫(kù)的特點(diǎn)與要求，并從數(shù)據(jù)庫(kù)運(yùn)行與應(yīng)用的各環(huán)節(jié)著手，提出了嚴(yán)控用戶登入環(huán)節(jié)、對(duì)重要數(shù)據(jù)應(yīng)用加密技術(shù)、對(duì)存儲(chǔ)過(guò)程應(yīng)用加密技術(shù)、數(shù)據(jù)備份及數(shù)據(jù)恢復(fù)等可行性建議，希望能對(duì)加強(qiáng)企業(yè)數(shù)據(jù)庫(kù)安全管理提供理論依據(jù)。

[1]蔡岳良.管理信息系統(tǒng)中數(shù)據(jù)庫(kù)安全的實(shí)現(xiàn)方法探析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2017,03:91+93

[2]張瑩瑩.網(wǎng)絡(luò)環(huán)境下中小企業(yè)會(huì)計(jì)信息系統(tǒng)存在的安全問(wèn)題及對(duì)策探討[J].商業(yè)經(jīng)濟(jì),2017,02:125-127

[3]侯梅芳,馮梅.企業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)管理的實(shí)踐探索[J].信息系統(tǒng)工程,2017,01:60-61