随着计算机及网络技术的发展和广发应用,越来越多的关键业务系统运行在数据库平台上。数据库中的数据作为一个组织中的数字财产,一旦泄露或丢失就可能让组织经济损失,或者失去客户和的信任。本文将从实际安全经验出发,结合《信息系统安全等级基本要求》提出具体的数据库系统安全措施。
GB/T 22239-2008《信息系统安全等级基本要求》的技术基本要求中,为数据库系统的安全,要求实现包括身份验证、访问控制、数据加密、审计以及数据备份与恢复的安全功能。
口令认证方式是鉴别数据库系统用户身份最基本的方式。因此,实施严格的账号和密码管理机制是实现数据库系统安全的重点。数据库系统用户安全策略包括以下几方面。
(1) 默认的用户账号。在新的数据库系统安装时,通常会安装若干默认账号,而这些账号、密码以及权限在互联网上都是公开的,恰恰为者提供了机会和目标。因此,为确保账号的安全,应避免因安装不需要的账号而带来不必要的。
(2) 管理并确保密码安全。一个未经慎重选择又从未变更过的密码对于数据库系统来说,是巨大的安全隐患之一。根据密码复杂性规则,通常需要验证密码是否和账号一致、密码是否超过一定字符长度、密码是否和过去的密码一致、密码是否很容易被猜测到。因此,在制定数据库系统密码规范时,应该包括密码周期。宽限时间、密码重复使用(最大)时间、登录失效、账号锁定和密码验证功能。以Oracle数据库系统为例,设定用户密码规范的程序如下:
(3) 删除陈旧账号。在确保数据库系统安全的过程中,一个良好的习惯是删除不再使用或不再需要的账号,过期的账号至少应该被锁定或被删除。此外,之前在数据库系统中已经安装但现在需要被删除的数据库应用也会造成安全风险。
访问控制是允许或访问资源的过程。基于角色的访问控制是一种数据库权限管理机制,它根据不同的职能岗位划分角色,资源访问权限被封装在角色中,而用户被赋予角色,通过角色来间接访问资源。在给角色或用户授权时,必须遵循最小权限和分离的基本安全原则。
(1) 最小权限原则是只需授予列级权限的不授予表级权限,只需授予表级权限的不授予库级权限,只需授予对象权限的不授予系统权限。此外,在确定不需要使用某种权限时要及时收回角色和权限。最小权限原则有效地、分割了用户对数据资源进行访问时的权限,降低了非法用户或非法操作可能给系统及数据带来的损失。
(2) 分离原则是利用角色间约束能力实现之间的制约,即数据库管理员、系统安全员和系统审计员三个角色是互斥的,一个用户最多拥有这三个角色之一。分离原则有利于之间的制衡和监督,能减少未经授权访问和欺诈行为发生的概率。
在《信息系统安全等级基本要求》第以上要求中,提出实现强制访问控制功能。强制访问控制机制对数据库系统中的每个存取对象一个密级,对每个用户授予一个存取级,任意一个对象,只有具有存取级的用户才可以存取,可以有效地防止木马类的恶意。目前,实现强制访问控功能要求的方法除采用安全数据库管理系统外,还可以通过部署第三方安全增强产品实现数据库强制存取控制机制。
数据加密是数据库系统中数据保密性和完整性的有效手段。数据库系统的加密措施是指对数据库系统中的重要数据进行加密处理,确保只有当系统的用户访问有权限的数据时,系统才把相应的数据进行解密操作,否则,数据库系统应当保持重要数据的加密状态,以防止非法用户利用窃取到的信息对系统进行。
虽然防病毒软件和防火墙提供了一定级别的安全防护,但并不能因此认为网络通信就是安全的。数据库作为连接数据库服务端得网络进程,正着巨大的风险。首要的任务是对过程进行密码,而改变默认端口也是确保数据库安全的一种好办法。通过配置数据库,可以使其允许或不允许客户IP地址的访问。这也是数据库不受非预期用户访问的简单而有效的方法。
审计就是对指定用户在数据库系统中的操作进行和记录的一种数据库功能。审计功能在数据库系统中运行时,自动将对数据库的所有操作记录在审计日志中,包括用户登录操作、对数据库的操作及系统功能的使用等。审计日志记录可用于事后监督,同时对日志的分析还可用于预防入侵,从而提高数据库系统的安全。
备份与恢复是实现数据库系统安全运行的重要技术之一,是确保数据库系统因各种原因发生系统故障时,能尽快投入再使用的重要。按照数据库系统所遭受程度的不同,备份与恢复措施又分为灾难性备份和非灾难性备份。
(1) 灾难性备份措施是通过设置主数据库系统的远程异地备份,以备数据库系统不能正常运行时启用。
(2) 非灾难性备份措施是采用数据库标准备份、专用备份设备等方式进行全系统备份、差异备份和增量备份,以确保在数据库系统失效时,利用已有的数据备份能尽快有效地把数据库还原到错误发生的前一刻上,同时保持数据的完整性和一致性。
本文依据《信息系统安全等级基本要求》,从数据库系统的身份验证、访问控制、数据加密、审计以及数据备份与恢复等方面提出了具体的安全措施,这些措施在实际运用中还应该根据具体应用的安全需要,紧密结合网络安全、操作系统安全进行分析,并制定统一的安全管理策略。数据库系统安全防范是一个永久性的问题,只有通过不断的改进和完善安全手段,才能系统的正常运行,以及提高系统的可靠性。
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、度的宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加,对信息安全界的动态新闻更新更快。
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的途径。
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、梦见家里被盗技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
本文由 恒宇国际(www.neivn.cn)整理发布