1 企業信息化管理中數據庫管理面臨的安全威脅
1.1我國企業信息化管理的現狀
隨著我國信息安全技術和產品的發展,具備了較好的技術基礎與一定的環境條件。進行了系統安全、網絡安全、終端安全、信息等級保護、信息保障與安全評估等內容的應用與研究,安全設施逐步從外網向內網深入,從網絡的互聯互通安全向局域網應用安全深入,推出了許多新的信息安全產品。不過最近網傳知名程序員社區CSDN的數據庫賬號信息泄露,數百萬賬號的用戶名密碼在網絡上流傳,由此可見,其他同類型網站的數據庫資料安全狀況也不容樂觀。同時數據庫的安全防護也一直被列為企業IT部門的重要工作之一,但是防范措施和安全投人卻參差不齊。據網上流傳信息稱,遭到泄露的CSDN用戶數據庫資料、用戶名和密碼竟然采用了明文,并非加密保存。雖然這一消息尚未得到官方的證實,但是從側面獲悉,也可知曉當前多數企業面對可能會遇到的駭客攻擊的安全防范并不十分的嚴謹。數據庫、服務器等一經被駭客攻擊,里面的資料便會被駭客盜用。企業數據庫被駭客攻陷后,所竊取到的資料在黑市轉手的價值不菲。這也是駭客對企業數據庫鐘愛的原因之一。
1.2我國企業信息化管理中數據庫管理存在的安全問題
數據庫在企業信息化管理系統中的核心地位使得數據庫面臨著更加嚴重的安全威脅。凡是可能造成數據庫中存儲數據錯誤、數據的非法獲取、拒絕正常服務等行為都屬于對數據庫的安全造成了威脅。數據庫的安全威脅主要來自人為惡意攻擊、設備故障或管理失誤等方面。
1.2.1人為惡意攻擊
對數據庫安全威脅最大的是人為惡意攻擊,當前黑客盜取網站用戶信息已經形成了1套相關產業鏈,由于國內部分網站信息安全意識薄弱,未將用戶的名文信息進行加密,并且保護措施不力,最終釀成惡果。以前有公司要給網民發垃圾郵件,還要去購買有效用戶的信息,現在他們完全不用買了,估計在未來一段時間內,中國網民將會接收到大量的垃圾郵件。此外,也會有部門用戶存在銀行密碼被盜用的危險。同時,如果有商業公司在知道競爭對手相關負責人的網絡慣用ID情況下,通過數據庫查詢到了他的密碼,那么還將有一些商業機密外泄的可能。
1.2.2設備故障
目前流行的許多操作系統均存在網絡安全漏洞,如UNIX服務器,NT服務器及Windows桌面PC。防火墻產品自身是否安全,是否設置錯誤,需要經過檢驗。采用的TCP/IP協議族軟件,本身缺乏安全性。比如在2010年11月Gawker遭受的重創中,部分原因就是密碼信息慘遭泄露,這些密碼被幾十年未更新過的陳舊加密技術保護著。而這一情況并非特例。許多企業都需要對數據進行加密,但使用的卻是超級老舊的加密方式,這簡直像是在用紙做的盔甲來保護自己的身體。
1.2.3管理失誤
(1)企業數據在網絡傳遞過程中,有可能被競爭對手非法截取;
(2)網絡系統的合法用戶被非法人侵者仿冒;
(3)網絡數據庫服務器被攻擊者攻擊得手;
(4)網絡信息系統的處理程序被黑客或病毒非法修改。
2 網絡環境下數據庫加密技術概況
加密系統是互聯網安全保護的核心,任何1個加密系統至少包括下面4個組成部分:
(1)未加密的報文;
(2)加密后的報文;
(3功口密解密設備或算法;
(4)加密解密的密鑰。
其安全體系結構見圖1。為了保護數據在傳遞過程中不被別人竊聽修改,必須對數據進行加密。這樣,即使別人竊取了密文,由于沒有密鑰而無法將之還原成明文,從而保證了數據的安全性,加密方法有常規密鑰加密和公開密鑰加密。常規密鑰密碼體制即加密密鑰與解密密鑰是相同的。公開密鑰主要的特點就是加密和解密使用不同的密鑰。
圖1 互聯網安全技術的體系結構
3 數據庫加密技術在企業信息化管理中的應用措施
3.1實行身份認證與授權
對于一般的數據庫系統,可以采用訪問控制、用戶身份認證、授權控制、監視跟蹤、安全審計、備份與恢復、反病毒等安全管理技術來構筑其安全體系,以保證數據的安全性和可靠性。由于電子商務系統中的網絡數據庫保存著重要的商業信息,但某些用戶尤其是一些內部用戶仍可能非法獲取用戶名、口令字或利用其他方法越權使用數據庫,甚至可以直接打開數據庫文件來竊取或篡改信息,所以僅靠上述的安全措施難以完全保證其數據的安全性,因此有必要對數據庫中存儲的重要數據進行加密處理。
3.2實行數據輸入加密控制
由于很多企業信息化數據屬于敏感性數據,因此,在數據輸人過程中需要有1套合理的安全方案。主要有公開密鑰密碼系統、DES加密算法等1系列環節。DES加密算法是美國國家標準局(NBS)頒布的1種分組加密算法,由56 bits長度的密鑰對64bits分組進行加密,變換成64 bits的輸出。公開密鑰密碼系統是由Diffie, Hellman和Merkle基于數論中的歐拉定理提出的,基本原理是每個用戶保存1對密鑰一公鑰PK和私鑰SK,2者不能相互推導。DES算法具有加密效率高的優點,但加密和解密使用同一算法和密鑰,密鑰和密文必須一同傳輸,密鑰很容易中間被截獲。
3.3采用總量數據控制技術
總量數據控制技術可適用于信息處理過程中的任何階段,其作用是確保數據總量的完整和準確。在信息系統數據的輸人、處理和輸出過程中,某些位置可以通過不同的手段對信息字段中可計算的數據進行統計,走不同的統計路徑統計出來的數據總量應該是完全一致的,如果出現不同,說明某個環節出現問題。統計過程可以是手工操作也可以是計算機計算。如,對訂貨數量的統計可以采用總量控制技術。
3.4建立透明加密體系結構
透明加密體系結構為3個級別,第1個級別是windows級別:主要使用的是Windows的DPAPI(數據保護API)使用的是用戶的憑據,也就是使用用戶的密碼來對需要保護的對象進行加密的1種方法。在這里主要是使用WINVDOWS級別的用戶憑據對第2個級別也就是SQL SERVER服務器級別進行加密,二第2個級別:SQL SERVER的服務器實例級別:這1個層次有1個服務主密鑰,但是這個服務主密鑰必須使用DPAPI(也就是第1個級別的用戶憑據)進行加密而這個服務主密鑰又用于對第3個級別:數據庫主密鑰進行加密。也就是說仁層必須為下層服務。第3個級別:數據庫級別:存在1個數據庫主密鑰:它可以加密數據庫中的其他對象位叫卜對稱,證書進行保護,但不保護對稱密鑰),對稱密鑰不使用數據庫主密鑰加密,對稱密鑰使用證書,非對稱密鑰或是指定的密碼加密同時又被第2級別服務主密鑰所保護。當數據庫中有了數據庫主密鑰后就可以使用數據庫主密鑰來保護數據庫中的證書和非對稱密鑰,再使用對稱密鑰來保護其他對稱密鑰和數據,當然也可以直接使用證書和非對稱密鑰來保護數據。
4 數據庫加密技術在企業信息化管理中的應用配套措施
4.1檢查明顯的加密失誤
盡管數據庫加密工作在部署方面可謂蒸蒸日上,但其中仍然存在著大量失誤。例如將數據庫加密密鑰存儲在同1臺服務器中以及使用過時的加密算法等。如果大家對自己數據庫中的敏感數據進行加密的話,有1種嚴重的違規行為需要當心,即將用于加密數據的密鑰或者用干獲取密鑰的身份驗證資格同加密數據存儲在同1套數據庫系統內。盡管表面上看來整套體系似乎相當堅固,但事實上它基本沒能提供什么有效的保護機制。同時如果讓數據庫安全專家給出1條能夠對未來1年起到廣泛輔助作用的提示,那就是提醒我們對數據庫的現有疏漏進行修補。在這方面,更新默認登錄、系統削減過多的執行特權以及自動檢測流程,以找出存在隱患的流氓數據庫都是降低安全風險的有效手段。
4.2利用統一安全運維管理平臺
建立安全運維管理平臺是建立1個覆蓋信息中心日常所有業務的管理平臺以及覆蓋所有信息資產的監控平臺,為業務系統的正常運行保障提供信息化的預警支持手段。建立網絡集中運行監控體系和運行指標體系,實現人、技術、操作等方面的集中、分級管理和監控,并通過運行分析和安全分析,及時調整運行、安全策略,實時掌握網絡與系統的運行情況,及時發現人侵、病毒、異常、故障等安全問題及安全隱患,迅速定位,并盡快解決,成為日常管理、維護的主要技術支撐工具。
4.3建立安全事故應急恢復措施
當數據庫安全事故發生之后可以用如下典型的應急恢復計劃:找出信息系統中最關鍵最甭要的需要保護的業務數據及其易損原因;列出恢復系統運行所需要的最基本的硬件、軟件和系統管理者性名清單,聯系方法;列出災難性事故發生后一步步處理的具體步驟。
5 結語
隨著信息產業的加快開展,企業越來越認識到數據庫信息安全的重要性。數據安全問題涉及到企業的切身利益,發展數據安全技術是月前面臨的迫切需求,數據加密技術是數據保護最為重要的I道防線隨著計算機技術與通信技術的飛速發展,數據加密技術必將不斷地得到完善,企業信息系統也必將變得更加安全。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:數據庫加密技術在企業信息化管理中的應用
相關文章
