企業(yè)信息管理系統(tǒng)數(shù)據(jù)庫(kù)安全控制策略分析

林 森

（北京國(guó)信宏大科技有限公司，北京 100053）

0 引言

隨著信息技術(shù)的快速發(fā)展和廣泛應(yīng)用，當(dāng)前我國(guó)已經(jīng)進(jìn)入信息化時(shí)代，信息技術(shù)在各行各業(yè)中都發(fā)揮著十分重要的作用，成為企業(yè)在經(jīng)濟(jì)發(fā)展新常態(tài)下轉(zhuǎn)型升級(jí)的重要手段。在這樣的背景下，2015 年，國(guó)家大力倡導(dǎo)“互聯(lián)網(wǎng)+”行動(dòng)，旨在推進(jìn)各行各業(yè)與互聯(lián)網(wǎng)信息技術(shù)的結(jié)合，從而進(jìn)一步深化供給側(cè)結(jié)構(gòu)性改革，促進(jìn)我國(guó)社會(huì)經(jīng)濟(jì)的高質(zhì)量發(fā)展。在“互聯(lián)網(wǎng)+”時(shí)代背景下，我國(guó)很多企業(yè)紛紛建設(shè)了自身的信息管理系統(tǒng)，構(gòu)建了信息數(shù)據(jù)庫(kù)。

1 相關(guān)概念界定

1.1 數(shù)據(jù)庫(kù)

數(shù)據(jù)庫(kù)，顧名思義，就是存放數(shù)據(jù)的倉(cāng)庫(kù)，一般也被稱為“電子化的文件柜”，是一種長(zhǎng)期存儲(chǔ)在計(jì)算機(jī)內(nèi)部的有組織、統(tǒng)一管理且可共享的大量數(shù)據(jù)的集合，是按照數(shù)據(jù)結(jié)構(gòu)進(jìn)行數(shù)據(jù)組織、存儲(chǔ)和管理的“倉(cāng)庫(kù)”。在網(wǎng)絡(luò)信息化時(shí)代，隨著信息技術(shù)的廣泛應(yīng)用，人們對(duì)于信息的存儲(chǔ)和管理工作一般是借助網(wǎng)絡(luò)數(shù)據(jù)庫(kù)來(lái)實(shí)現(xiàn)的。在實(shí)際生活中，很多重要的網(wǎng)絡(luò)服務(wù)都離不開(kāi)數(shù)據(jù)庫(kù)的支持。對(duì)于企業(yè)而言，數(shù)據(jù)庫(kù)的重要性更是顯而易見(jiàn)。因?yàn)槠髽I(yè)的資金管理、與合作伙伴的網(wǎng)絡(luò)信息以及其他的數(shù)據(jù)信息都保存在數(shù)據(jù)庫(kù)當(dāng)中。因此，企業(yè)的網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全問(wèn)題十分重要，直接影響到企業(yè)整體運(yùn)行的安全。一旦企業(yè)的網(wǎng)絡(luò)數(shù)據(jù)庫(kù)遭到攻擊破壞，其中存儲(chǔ)的諸多信息數(shù)據(jù)就會(huì)被泄露、篡改或破壞，后果十分嚴(yán)重。因此，企業(yè)必須確保網(wǎng)絡(luò)數(shù)據(jù)庫(kù)中數(shù)據(jù)信息的安全。

1.2 企業(yè)信息管理系統(tǒng)

企業(yè)信息管理系統(tǒng)，是專門(mén)為中小企業(yè)量身定制的網(wǎng)絡(luò)化管理系統(tǒng)（Information Management System for Enterprise）。其主要功能大致可分為客戶管理、合同管理、項(xiàng)目管理、庫(kù)存管理、人事管理、財(cái)務(wù)管理、公共資源和系統(tǒng)管理等多個(gè)方面。在實(shí)際運(yùn)用中，企業(yè)構(gòu)建自身的信息管理系統(tǒng)，能優(yōu)化企業(yè)的結(jié)構(gòu)，改善企業(yè)生產(chǎn)作業(yè)與運(yùn)營(yíng)，從而有效提高運(yùn)營(yíng)的效率。同時(shí)，運(yùn)用該系統(tǒng)還能提高企業(yè)管理層智能決策的能力，并提高企業(yè)員工的綜合素質(zhì)，實(shí)現(xiàn)高效率的企業(yè)運(yùn)營(yíng)管理，從而提高企業(yè)在市場(chǎng)中的競(jìng)爭(zhēng)力。

2 影響企業(yè)信息管理系統(tǒng)數(shù)據(jù)庫(kù)安全的因素

數(shù)據(jù)庫(kù)自開(kāi)始應(yīng)用起，就一直面臨著各種各樣的安全問(wèn)題。近年來(lái)，隨著數(shù)據(jù)庫(kù)技術(shù)、數(shù)據(jù)庫(kù)產(chǎn)品的日益廣泛應(yīng)用，人們?cè)絹?lái)越重視數(shù)據(jù)庫(kù)的安全問(wèn)題。就目前而言，影響企業(yè)信息管理系統(tǒng)數(shù)據(jù)庫(kù)安全的因素主要包括以下幾種。

2.1 外界入侵

企業(yè)信息管理系統(tǒng)數(shù)據(jù)庫(kù)中存放著大量的企業(yè)機(jī)密信息，由于當(dāng)前大多數(shù)管理系統(tǒng)都是直接發(fā)布在局域網(wǎng)中的，相關(guān)用戶在訪問(wèn)時(shí)必須通過(guò)特定的應(yīng)用程序來(lái)讀取相關(guān)的信息，這樣就會(huì)導(dǎo)致數(shù)據(jù)庫(kù)遭到各種各樣的外部入侵，如受到非法用戶的查詢、修改和刪除等操作，造成企業(yè)信息管理系統(tǒng)數(shù)據(jù)庫(kù)中的數(shù)據(jù)信息被泄露、更改或丟失，從而導(dǎo)致企業(yè)遭受嚴(yán)重的損失。一般來(lái)講，外界入侵的形式主要分為以下3 種。首先是計(jì)算機(jī)病毒。計(jì)算機(jī)病毒入侵是網(wǎng)絡(luò)興起以來(lái)最常見(jiàn)的網(wǎng)絡(luò)安全問(wèn)題之一，也是全球公認(rèn)的威脅數(shù)據(jù)安全的頭號(hào)大敵。在網(wǎng)絡(luò)世界中，計(jì)算機(jī)病毒能夠自我復(fù)制，永久地或是通常不可恢復(fù)地破壞自我復(fù)制的現(xiàn)場(chǎng)，達(dá)到破壞信息系統(tǒng)、取得信息的目的。從破壞結(jié)果上看，某些計(jì)算機(jī)病毒會(huì)導(dǎo)致計(jì)算機(jī)儲(chǔ)存的數(shù)據(jù)信息被刪除，某些病毒則會(huì)導(dǎo)致計(jì)算機(jī)硬件系統(tǒng)因超負(fù)荷運(yùn)轉(zhuǎn)而燒毀。其次是木馬程序。木馬程序也是威脅計(jì)算機(jī)網(wǎng)絡(luò)信息安全的重要因素，相比于計(jì)算機(jī)病毒，木馬程序更具隱秘性，常常隱藏在公開(kāi)的程序中，大肆收集環(huán)境信息，利用合法用戶的權(quán)限攻擊數(shù)據(jù)信息。一般來(lái)說(shuō)，木馬程序主要是利用網(wǎng)絡(luò)中的漏洞，在防火墻中開(kāi)“后門(mén)”，然后將木馬程序植入到計(jì)算機(jī)當(dāng)中，在悄無(wú)聲息中竊取信息。最后是天窗或隱秘通道。在實(shí)際生活中，幾乎所有的管理系統(tǒng)都會(huì)在內(nèi)部程序中預(yù)留“天窗”或隱秘通道。在特定情況，黑客會(huì)利用這些內(nèi)部程序代碼預(yù)留的天窗或隱秘通道，直接跳過(guò)系統(tǒng)防火墻進(jìn)入企業(yè)信息管理系統(tǒng)內(nèi)部，攻擊數(shù)據(jù)庫(kù)，竊取其中的數(shù)據(jù)信息。

2.2 SQL 注入

應(yīng)用層在后臺(tái)數(shù)據(jù)庫(kù)傳遞SQL 查詢時(shí)，這種查詢行為會(huì)為攻擊者提供攻擊的機(jī)會(huì)，這樣就會(huì)引發(fā)SQL 注入。而攻擊者則會(huì)通過(guò)影響傳遞給數(shù)據(jù)庫(kù)的內(nèi)容，對(duì)SQL 自身的語(yǔ)法和功能進(jìn)行修改，從而影響到SQL 所支持?jǐn)?shù)據(jù)庫(kù)的功能和安全。在實(shí)際工作中，SQL 注入是影響企業(yè)信息管理系統(tǒng)數(shù)據(jù)庫(kù)安全運(yùn)行且破壞性最大的漏洞之一。

2.3 人為錯(cuò)誤與傳輸威脅

在實(shí)際運(yùn)用中，不論是系統(tǒng)管理員還是系統(tǒng)用戶，在實(shí)際操作時(shí)都可能不小心輸入錯(cuò)誤的命令，或者是不正確地使用應(yīng)用程序，這些行為都會(huì)導(dǎo)致企業(yè)信息管理系統(tǒng)內(nèi)部安全機(jī)制失去應(yīng)有的效用，進(jìn)而導(dǎo)致不法分子利用非法手段訪問(wèn)企業(yè)的機(jī)密信息數(shù)據(jù)，也有可能導(dǎo)致系統(tǒng)拒絕為用戶提供服務(wù)。此外，在應(yīng)用數(shù)據(jù)庫(kù)中的數(shù)據(jù)信息時(shí)，無(wú)論是調(diào)用命令，還是用戶進(jìn)行的信息反饋，都是借助網(wǎng)絡(luò)傳輸行為進(jìn)行的。在數(shù)據(jù)傳輸?shù)倪^(guò)程中，企業(yè)信息管理系統(tǒng)數(shù)據(jù)庫(kù)也會(huì)受到一定的安全威脅。

2.4 物理環(huán)境及硬件故障

數(shù)據(jù)庫(kù)是建立在計(jì)算機(jī)當(dāng)中的，在實(shí)際生活中，如果發(fā)生地震、火災(zāi)或洪災(zāi)等非人力可抗的災(zāi)害都會(huì)導(dǎo)致計(jì)算機(jī)硬件的損害，從而導(dǎo)致數(shù)據(jù)庫(kù)中數(shù)據(jù)信息的丟失或破壞。此外，在數(shù)據(jù)庫(kù)運(yùn)行中，計(jì)算機(jī)還可能出現(xiàn)磁盤(pán)故障、控制器故障、電源故障、存儲(chǔ)器故障、芯片故障及主板故障等硬件故障問(wèn)題，一旦發(fā)生這些硬件故障，也會(huì)導(dǎo)致數(shù)據(jù)庫(kù)中的數(shù)據(jù)出現(xiàn)損毀或丟失的現(xiàn)象，但這樣的損毀或丟失現(xiàn)象不會(huì)導(dǎo)致企業(yè)數(shù)據(jù)信息泄露。

3 企業(yè)信息管理系統(tǒng)數(shù)據(jù)庫(kù)安全控制策略

3.1 進(jìn)行數(shù)據(jù)備份

企業(yè)要想安全控制信息管理系統(tǒng)數(shù)據(jù)庫(kù)，首先應(yīng)對(duì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行備份。在實(shí)際操作中，數(shù)據(jù)的備份處理大致可分為3 種，分別是物理備份、邏輯備份和異地備份。

首先，物理備份是指將數(shù)據(jù)庫(kù)文件進(jìn)行全盤(pán)拷貝作為備份。在實(shí)際操作中，物理備份大致分為兩種：一種是冷備份，是在正常關(guān)閉數(shù)據(jù)庫(kù)后，對(duì)數(shù)據(jù)庫(kù)中所有的數(shù)據(jù)文件及其功能進(jìn)行備份；另一種是熱備份，是數(shù)據(jù)庫(kù)在運(yùn)行的狀態(tài)下，將聯(lián)機(jī)日志的轉(zhuǎn)儲(chǔ)文件進(jìn)行歸檔，然后在數(shù)據(jù)庫(kù)內(nèi)部建立所有進(jìn)程和行為的記錄備份。其次，邏輯備份是利用SQL，將數(shù)據(jù)庫(kù)中的某個(gè)記錄集讀取出來(lái)，并將其錄入轉(zhuǎn)儲(chǔ)文件中進(jìn)行保存。在實(shí)際運(yùn)用中，這種備份方式與其物理位置無(wú)關(guān)，備份的效果較好，是當(dāng)前常用的一種備份方式。最后，異地備份是為了有效預(yù)防物理環(huán)境及計(jì)算機(jī)硬件損壞而導(dǎo)致數(shù)據(jù)信息出現(xiàn)丟失或損壞問(wèn)題而進(jìn)行的備份，通過(guò)異地備份，企業(yè)信息管理系統(tǒng)數(shù)據(jù)庫(kù)中的數(shù)據(jù)信息在另外的地方實(shí)時(shí)產(chǎn)生可用的副本。在實(shí)際運(yùn)用中，異地備份常用的方式就是云備份。

3.2 進(jìn)行數(shù)據(jù)庫(kù)加密

除了對(duì)數(shù)據(jù)庫(kù)進(jìn)行備份外，企業(yè)還可以針對(duì)信息管理系統(tǒng)數(shù)據(jù)庫(kù)進(jìn)行加密處理，以實(shí)現(xiàn)數(shù)據(jù)庫(kù)的安全控制。在實(shí)際操作中，相關(guān)企業(yè)可以針對(duì)信息管理系統(tǒng)數(shù)據(jù)庫(kù)中存儲(chǔ)的不同級(jí)別的數(shù)據(jù)進(jìn)行分層加密存儲(chǔ)，比如，進(jìn)行操作系統(tǒng)加密、數(shù)據(jù)庫(kù)管理系統(tǒng)（Database Management System，DBMS）內(nèi)核層加密和DBMS 外層加密。通過(guò)數(shù)據(jù)加密，數(shù)據(jù)庫(kù)中的數(shù)據(jù)轉(zhuǎn)換成他人無(wú)法識(shí)別的數(shù)據(jù)形式，從而實(shí)現(xiàn)安全控制。

3.3 加數(shù)據(jù)庫(kù)水印

加數(shù)據(jù)庫(kù)水印是一種有效的數(shù)據(jù)庫(kù)安全控制措施，這種操作方式是在不破壞數(shù)據(jù)庫(kù)中數(shù)據(jù)信息的前提下，運(yùn)用加記號(hào)的處理的方法，在數(shù)據(jù)中嵌入不易被人察覺(jué)且難以移除的記號(hào)標(biāo)志，以此保護(hù)數(shù)據(jù)的版權(quán)，或是驗(yàn)證企業(yè)數(shù)據(jù)庫(kù)中數(shù)據(jù)的完整性。例如，百度圖庫(kù)中的圖片均印有百度公司的Logo。目前，數(shù)據(jù)庫(kù)水印已經(jīng)成為數(shù)據(jù)庫(kù)安全控制新的研究方向。

3.4 實(shí)行數(shù)據(jù)庫(kù)訪問(wèn)控制

訪問(wèn)控制是實(shí)現(xiàn)企業(yè)信息管理系統(tǒng)數(shù)據(jù)庫(kù)安全控制的有效策略，同時(shí)也是一種最基本、最核心的控制技術(shù)之一。這種技術(shù)是通過(guò)某種途徑，顯式地準(zhǔn)許或限制用戶的訪問(wèn)。目前，訪問(wèn)控制已經(jīng)成為企業(yè)信息管理系統(tǒng)數(shù)據(jù)庫(kù)安全控制最常用的策略之一。

3.5 SQL 注入防御

SQL 注入防御也是一種有效的數(shù)據(jù)庫(kù)安全控制措施。因?yàn)镾QL 注入攻擊主要是因?yàn)橄到y(tǒng)開(kāi)發(fā)過(guò)程中編程不夠嚴(yán)密，因此，針對(duì)這種問(wèn)題的安全控制，解決的方法只能依靠互聯(lián)網(wǎng)技術(shù)人員在編程時(shí)盡量完善程序，也可以針對(duì)發(fā)現(xiàn)的問(wèn)題通過(guò)代碼編寫(xiě)操作減少或者消除SQL 注入攻擊，從而提高企業(yè)信息管理系統(tǒng)數(shù)據(jù)庫(kù)的安全性。

4 結(jié)語(yǔ)

隨著網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展，數(shù)據(jù)庫(kù)在企業(yè)信息管理系統(tǒng)中的應(yīng)用將會(huì)越來(lái)越廣泛，其安全性也越來(lái)越得到人們的重視。目前，雖然對(duì)企業(yè)信息管理系統(tǒng)數(shù)據(jù)庫(kù)安全控制的措施已經(jīng)取得了很大的進(jìn)展，但仍然存在一定的安全問(wèn)題。因此，相關(guān)人員必須重視企業(yè)信息管理系統(tǒng)數(shù)據(jù)庫(kù)的安全控制問(wèn)題，不斷加強(qiáng)技術(shù)研發(fā)，從而更好地解決問(wèn)題，增強(qiáng)數(shù)據(jù)庫(kù)的使用安全，保障企業(yè)的健康發(fā)展。