关于企业管理信息系统数据库使用及安全的探讨

发布时间：2022-10-05 21:44 热度：

　　关于企业管理信息系统数据库使用及安全的探讨
　　袁海涛广州市
　　摘要：随着计算机科学技术的发展与普及,特别是计算机在企业的广泛应用,计算机安全已是当前信息社会非常关注的突出问题。而数据库系统担负着存储和管理信息的任务,泄漏或破坏这些信息将会带来巨大的损失,可能造成企业瘫痪。有人说,信息是财富,这话不完全正确。应该说,只有安全的信息才是财富,不安全的信息则可能是灾难。因此,如何保证数据库系统的安全性,已是目前迫切需要解决的课题。
　　关键词：信息系统；数据库；使用与安全；探讨；
　　数据库的安全主要是指保护数据库以防止非法存取,保证数据库中数据的完整性,一致性以及数据库备份与恢复,数据库安全的目标是:进不来,拿不走,看不懂。即:攻击者很难进入数据库系统,即使进入系统也无法获取对其有用的信息,即使获取了信息,也无法辨识。
　　业务系统建设开发厂商往往偏重于系统功能和性能两大指标，而忽略了系统的安全指标，尤其是数据库系统，往往采用一些默认安全策略，也很少采用综合的防护措施，存在较大的安全风险。
　　1、数据库系统使用现状
　　企业的相关系统主要包括调度自动化系统（SCADA/EMS，即数据采集和监控系统/能量管理系统）、继电保护及故障录波信息管理系统、营销管理系统、财务管理系统、办公自动化系统、人力资源系统、物资管理系统、网站系统等。从这些系统来看，使用最多的是Oracle和SQLServer2种数据库系统。
　　2、企业信息系统数据库安全现状
　　数据库安全主要来自以下几方面的威胁：(1)硬件:包括火灾,洪水,地震等自然灾害,媒体损坏,电磁辐射,通信暴露等。(2)软件:操作系统,网络,数据库管理系统的故障,应用程序错误,误操作等。(3)安全技术研究没有达到相应水平。(4)管理上的漏洞;管理制度,组织机构,防范措施不健全。(5)人为攻击:这是最主要的威胁,其次是内部人员的失职和违反安全规定等。(6)其它:Trojanhorse(特洛伊木马)Virus(计算机病毒)的攻击。
　　而企业信息系统中数据库主要存在８类安全问题：权限设置不当、口令强度不足、补丁升级迟滞、默认安全策略、危险存储过程、敏感信息泄漏、审计策略不严、综合防护措施薄弱等。
　　2.1权限设置不当
　　在建设业务系统时，厂商通常直接使用操作系统管理员账户来安装和运行数据库，虽然减少了安装、调试的工作量，但也导致了较大的安全风险。一方面，数据库服务拥有很高的权限，可能对其他应用构成威胁；另一方面，一旦数据库被黑客攻破，将直接导致运行数据库的服务器被黑客完全控制。
　　在UNIX环境中部署的数据库系统情况略好，一般均创建了专门的账户来安装、运行数据库系统，但这些账户往往被赋予了系统组权限，同时一些关键的可执行脚本程序和配置文件被设置为任何用户可读写执行的权限，严重威胁系统的安全。
　　2.2补丁升级迟滞
　　通常企业信息系统一旦正式上线运行，则极少对数据库进行升级，主要担心升级可能造成数据库故障，甚至崩溃或丢失数据。然而，各版本的数据库系统均存在一些公开的安全漏洞，其中一些为高危漏洞，可导致病毒爆发或数据库被黑客完全控制。例如Oracle8i/9i存在多个缓冲区溢出漏洞，远程攻击者可以触发基于栈的溢出，以Oralce进程权限在系统上执行任意指令；SQLServer6/7/2000
　　存在多个安全漏洞，远程攻击者可能利用这些漏洞导致拒绝服务、绕过数据库策略、泄漏敏感信息或执行任意代码。2003年导致Internet大规模崩溃并造成巨额经济损失的SQLSlammer蠕虫病毒，就是利用了其中一个漏洞。
　　2.3默认安全策略
　　默认安全策略一般包括默认的口令策略（如最大错误登录次数、口令失效后锁定时间、口令有效时间和口令复杂度等均未设定）、默认安装的组件（其中一些是非必需的）、默认的远程访问控