禹韜 張謙 郭偉濤 李宵行

摘要：隨著網(wǎng)絡(luò)信息化技術(shù)的發(fā)展，社會發(fā)展已全面步入大數(shù)據(jù)時代，海量數(shù)據(jù)存儲的安全性成為了備受關(guān)注的重要問題。數(shù)據(jù)庫和信息系統(tǒng)的安全一直是重要研究課題，各方面的防護(hù)技術(shù)都在不斷提高。但隨著科學(xué)技術(shù)的不斷發(fā)展，各種應(yīng)用軟件和數(shù)據(jù)類型越來越多元化，使影響數(shù)據(jù)庫和信息系統(tǒng)安全的因素不斷增加，風(fēng)險系數(shù)提高，同時風(fēng)險類型也越來越多樣化，甚至已趨向于智能化，因此需要對數(shù)據(jù)庫和信息系統(tǒng)的安全風(fēng)險加強(qiáng)研究，使全方面、系統(tǒng)化的安全保障得以實(shí)現(xiàn)。本文就數(shù)據(jù)庫和信息系統(tǒng)的安全風(fēng)險進(jìn)行分析，并對提出相應(yīng)的解決對策供參考。

關(guān)鍵詞：數(shù)據(jù)庫;信息系統(tǒng);安全

1 數(shù)據(jù)庫及信息安全管理概述

對數(shù)據(jù)庫中各類數(shù)據(jù)加強(qiáng)保護(hù)措施，使數(shù)據(jù)破壞、泄漏等情況發(fā)生幾率得到有效杜絕和減少，使數(shù)據(jù)庫數(shù)據(jù)安全得到有效保護(hù)，從而使數(shù)據(jù)的安全性、獨(dú)立性、完整性、可用性、真實(shí)性、可審計性得以實(shí)現(xiàn)。針對數(shù)據(jù)庫的安全性保護(hù)包含主計算機(jī)系統(tǒng)的安全性保護(hù)和數(shù)據(jù)庫本身的安全性兩方面，為了確保系統(tǒng)的安全性，需要采用有效手段，避免因攻擊計算機(jī)而造成對系統(tǒng)的嚴(yán)重破壞;同時加強(qiáng)保護(hù)信息系統(tǒng)的安全性，避免數(shù)據(jù)庫數(shù)據(jù)信息因非法程序的入侵而被竊取或破壞[1]。另外在對計算操作系統(tǒng)的安全性進(jìn)行有效保護(hù)的同時，還需要對數(shù)據(jù)庫服務(wù)器等外圍設(shè)備的安全性進(jìn)行充分考慮。

根據(jù)國家的相關(guān)法律法規(guī)，針對數(shù)據(jù)庫信息系統(tǒng)的安全制定有效、合理、科學(xué)的措施，同時還需要從內(nèi)部組織管理人員以及操作人員入手，對相關(guān)人員加強(qiáng)安全管理培訓(xùn)，一方面使相關(guān)人員的安全意識和安全素質(zhì)得到提高，確保安全管理政策能夠有效實(shí)施和貫徹落實(shí)，另一方面加強(qiáng)對實(shí)施效果的有效監(jiān)督、管理和評價，對數(shù)據(jù)庫和信息系統(tǒng)的安全予以有效保障。另外目前較常用的入侵檢測技術(shù)、病毒檢測技術(shù)、數(shù)據(jù)加密技術(shù)等各種安全防護(hù)技術(shù)，在保證系統(tǒng)和數(shù)據(jù)信息不受外界環(huán)影和不良因的影響和破壞方面發(fā)揮著重要作用，使信息系統(tǒng)的安全性得到有效提高，因此數(shù)據(jù)庫和信息系統(tǒng)的安全性管理需要將技術(shù)應(yīng)用與管理實(shí)施相結(jié)合，使信息系統(tǒng)安全保障得到進(jìn)一步改善和提高。

2 數(shù)據(jù)庫信息系統(tǒng)的安全風(fēng)險分析

（1）攻擊多樣化趨勢

目前針對數(shù)據(jù)庫和信息系統(tǒng)的各種攻擊行為日趨多樣化。在大數(shù)據(jù)技術(shù)發(fā)展的背景下，各行業(yè)領(lǐng)域的信息化程度都得到了較大的提高，因此也為信息系統(tǒng)帶來了日益嚴(yán)峻的安全問題。隨著大數(shù)據(jù)技術(shù)的應(yīng)用，各種先進(jìn)技術(shù)在各領(lǐng)域的發(fā)展中起著重要的推動作用，同時大數(shù)據(jù)的應(yīng)用也為攻擊行為提供了更多樣化的渠道和形式?，F(xiàn)在除了以往的木馬病毒、黑客攻擊等，還出現(xiàn)了斷網(wǎng)攻擊以及服務(wù)拒絕等攻擊形式，并且利用郵件傳輸端、數(shù)據(jù)采集端等端口作為攻擊渠道，嚴(yán)重威脅信息系統(tǒng)的安全。

（2）系統(tǒng)漏洞快速增長

在安全風(fēng)險中，主要容易引發(fā)數(shù)據(jù)庫和信息系統(tǒng)不安全因素，并使攻擊行為增加的原因主要來自于數(shù)據(jù)庫中存在的漏洞，并且種類較多。隨著信息技術(shù)不斷進(jìn)步，數(shù)據(jù)庫中的漏洞也在不斷增加;軟件供應(yīng)商不斷開發(fā)和推出各種應(yīng)用軟件，為人們的生活、學(xué)習(xí)以及娛樂帶來了極大的便利，但缺乏統(tǒng)一的系統(tǒng)框架、技術(shù)規(guī)范和數(shù)據(jù)交換模式，造成數(shù)據(jù)存取、傳輸中數(shù)據(jù)信息風(fēng)險增加，系統(tǒng)安全漏洞增多，對數(shù)據(jù)和信息系統(tǒng)的安全性造成不利影響[2]。

（3）系統(tǒng)安全威脅智能化趨勢

隨著計算機(jī)技術(shù)的不斷飛速發(fā)展，攻擊技術(shù)也同時得到發(fā)展和提高。在攻擊技術(shù)的研發(fā)方面，通常表現(xiàn)出更有創(chuàng)新性和技巧性，善于研究數(shù)據(jù)庫系統(tǒng)存在的漏洞，同時在智能化方面也日益發(fā)展，能夠快速的發(fā)現(xiàn)系統(tǒng)中存在的漏洞及迅速加以利用，甚至還具備一定的反偵察能力，能夠有效滲透防火墻，躲避防御技術(shù)和防護(hù)軟件的搜索，并在系統(tǒng)中長期隱藏，并能夠快速傳播，而爆發(fā)時所造成的系統(tǒng)損失也極為慘重的。

3 風(fēng)險評估技術(shù)

在目前信息技術(shù)高速發(fā)達(dá)的時代，各行業(yè)數(shù)據(jù)信用應(yīng)用實(shí)現(xiàn)都離不開數(shù)據(jù)庫信息系統(tǒng)的有力支持，因此為了保證數(shù)據(jù)庫信息系統(tǒng)的安全性，需要加強(qiáng)對安全風(fēng)險的因素、風(fēng)險等級等的相關(guān)評估技術(shù)的研究和應(yīng)用，使信息系統(tǒng)安全防范措施得到有效提高，從而對數(shù)據(jù)庫信息系統(tǒng)的安全性予以有效保障[3]。對數(shù)據(jù)庫信息系統(tǒng)安全風(fēng)險進(jìn)行評估時，目前具有一定可行性的評價技術(shù)主要包括：安全檢查表法、專家評估法、事故分析法等，根據(jù)相關(guān)評估人員的風(fēng)險評估經(jīng)驗(yàn)，在相應(yīng)的評估標(biāo)準(zhǔn)下，與類似的安全風(fēng)險案例相結(jié)合，對風(fēng)險等級進(jìn)行詳細(xì)劃分，對系統(tǒng)中存在的風(fēng)險進(jìn)行分析和判斷，使數(shù)據(jù)庫信息安全得到有效保證。

4 信息系統(tǒng)安全管理有效對策

（1）信息系統(tǒng)結(jié)構(gòu)合理設(shè)計

在進(jìn)行數(shù)據(jù)庫信息系統(tǒng)的安全防護(hù)時，首先要從安全角度，對計算機(jī)信息系統(tǒng)結(jié)構(gòu)進(jìn)行設(shè)計和規(guī)劃，與信息系統(tǒng)安全管理現(xiàn)狀相結(jié)合，確保防護(hù)實(shí)施方案的可行性和有效性，還需要借取有效方式，對其進(jìn)行論證，使設(shè)計結(jié)構(gòu)的合理性得到有效保證[4]。另外需要特點(diǎn)關(guān)注系統(tǒng)中各安全細(xì)節(jié)設(shè)計;還應(yīng)根據(jù)整個信息系統(tǒng)網(wǎng)絡(luò)加強(qiáng)硬件系統(tǒng)的安全防護(hù)，對防火墻進(jìn)行合理科學(xué)的安裝和設(shè)置，通過硬件方面的安全防護(hù)，使信息系統(tǒng)的安全得到有效提高。

（2）安全防范意識提高

為了確保信息系統(tǒng)的安全性，相關(guān)管理人員應(yīng)不斷提高安全防范意識。因此加強(qiáng)數(shù)據(jù)庫和信息系統(tǒng)安全知識宣傳勢在必行。通過各相關(guān)部門對安全宣傳工作的重視，使管理員以及其他人員的防范意識提高。另個通過定期組織相關(guān)管理人員進(jìn)行教育和培訓(xùn)，加深和提高對系統(tǒng)安全重要性的認(rèn)識。另外還需要對相應(yīng)的信息系統(tǒng)安全管理制度進(jìn)行健全和完善，通過管理制度，對日常操作行為進(jìn)行有效監(jiān)督和管理，使安全防范措施的有效落實(shí)得到保證;同時還應(yīng)對管理人員加強(qiáng)監(jiān)督，對管理工作中存在的問題及時發(fā)現(xiàn)并修正。

（3）信息系統(tǒng)安全性能提升

數(shù)據(jù)庫信息系統(tǒng)的安全性能的提升，對于安全性保障的最終實(shí)現(xiàn)起到關(guān)鍵作用。面對目前給信息系統(tǒng)安全帶來嚴(yán)重潛在威脅的各種木馬病毒，需要采取有效手段隔離病毒，使信息系統(tǒng)安全性能提高，使防止各種外界破壞因素入侵系統(tǒng)的目的得以實(shí)現(xiàn)[5]。其中主要內(nèi)容包：信息系統(tǒng)中防病毒軟件的安裝，同時與信息系統(tǒng)的實(shí)際情況相結(jié)合，對許多安全防護(hù)軟件進(jìn)行選擇和安裝，對病毒識別監(jiān)控掃描等功能予以實(shí)現(xiàn);可增加安全系統(tǒng)的還自動備份功能，對重要數(shù)據(jù)信息進(jìn)行備份，使數(shù)據(jù)信息被破壞的損失盡可能減少。另外對信息系統(tǒng)需要定期進(jìn)行定漏洞掃描和病毒檢測，能夠使漏洞及時發(fā)現(xiàn)并修補(bǔ)，避免病毒借機(jī)侵入。另外因此相關(guān)管理員也應(yīng)對信息系統(tǒng)進(jìn)行及時升級，對漏洞進(jìn)行及時修補(bǔ)，減少外部攻擊渠道，使信息系統(tǒng)安全性、可靠性有效提高。

結(jié)束語：

在計算機(jī)技術(shù)以及信息技術(shù)的發(fā)展中，信息安全一直是人們關(guān)注和安全技術(shù)研發(fā)的重要課題，只有通過不斷的提高安全防護(hù)水平，才能使系統(tǒng)安全系數(shù)提升。在目前大數(shù)據(jù)背景下，數(shù)據(jù)庫信息系統(tǒng)的安全問題更加嚴(yán)峻，在提高信息安全防護(hù)技術(shù)的同時，還需要加大對系統(tǒng)安全風(fēng)險的評估以及安全管理力度，通過管理力度加強(qiáng)和防護(hù)技術(shù)水平提高兩者相結(jié)合，使信息系統(tǒng)安全性運(yùn)行得到有效保障。

參考文獻(xiàn)：

[1]?段序.交通信息系統(tǒng)數(shù)據(jù)庫的安全架構(gòu)與安全策略設(shè)計[J].交通世界，2017（28）：11-13.

[2]?蔡岳良.管理信息系統(tǒng)中數(shù)據(jù)庫安全的實(shí)現(xiàn)方法探析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（3）.

[3]?方敏.淺析醫(yī)院信息管理系統(tǒng)與數(shù)據(jù)庫安全管理[J].中國新通信，2018，v.20（12）：235.

[4]?孫巖.關(guān)于實(shí)現(xiàn)數(shù)據(jù)庫系統(tǒng)安全性若干問題研究[J].神州，2017（18）：285-285.

[5]?郭莎軍.網(wǎng)絡(luò)數(shù)據(jù)庫的安全管理與維護(hù)策略[J].信息與電腦（理論版），2018，No.404（10）：206-207+210.

作者簡介：禹韜（1983-）四川綿陽人，現(xiàn)從事測繪導(dǎo)航與氣象水文專業(yè);張謙（1983—），男，四川安岳人，漢族，現(xiàn)從事信息網(wǎng)絡(luò)與態(tài)勢融合工作。郭偉濤（1985—），男，漢族，云南曲靖人，現(xiàn)從事作戰(zhàn)數(shù)據(jù)管理應(yīng)用工作。李宵行（1994-），男，滿族，遼寧阜新人，2016年畢業(yè)于中南大學(xué)，現(xiàn)從事計算機(jī)軟件工作。

（作者單位：31663部隊）