1 企業(yè)信息化管理中數(shù)據(jù)庫管理面臨的安全威脅
1.1我國企業(yè)信息化管理的現(xiàn)狀
隨著我國信息安全技術(shù)和產(chǎn)品的發(fā)展,具備了較好的技術(shù)基礎(chǔ)與一定的環(huán)境條件。進(jìn)行了系統(tǒng)安全、網(wǎng)絡(luò)安全、終端安全、信息等級保護(hù)、信息保障與安全評估等內(nèi)容的應(yīng)用與研究,安全設(shè)施逐步從外網(wǎng)向內(nèi)網(wǎng)深入,從網(wǎng)絡(luò)的互聯(lián)互通安全向局域網(wǎng)應(yīng)用安全深入,推出了許多新的信息安全產(chǎn)品。不過最近網(wǎng)傳知名程序員社區(qū)CSDN的數(shù)據(jù)庫賬號信息泄露,數(shù)百萬賬號的用戶名密碼在網(wǎng)絡(luò)上流傳,由此可見,其他同類型網(wǎng)站的數(shù)據(jù)庫資料安全狀況也不容樂觀。同時數(shù)據(jù)庫的安全防護(hù)也一直被列為企業(yè)IT部門的重要工作之一,但是防范措施和安全投人卻參差不齊。據(jù)網(wǎng)上流傳信息稱,遭到泄露的CSDN用戶數(shù)據(jù)庫資料、用戶名和密碼竟然采用了明文,并非加密保存。雖然這一消息尚未得到官方的證實,但是從側(cè)面獲悉,也可知曉當(dāng)前多數(shù)企業(yè)面對可能會遇到的駭客攻擊的安全防范并不十分的嚴(yán)謹(jǐn)。數(shù)據(jù)庫、服務(wù)器等一經(jīng)被駭客攻擊,里面的資料便會被駭客盜用。企業(yè)數(shù)據(jù)庫被駭客攻陷后,所竊取到的資料在黑市轉(zhuǎn)手的價值不菲。這也是駭客對企業(yè)數(shù)據(jù)庫鐘愛的原因之一。
1.2我國企業(yè)信息化管理中數(shù)據(jù)庫管理存在的安全問題
數(shù)據(jù)庫在企業(yè)信息化管理系統(tǒng)中的核心地位使得數(shù)據(jù)庫面臨著更加嚴(yán)重的安全威脅。凡是可能造成數(shù)據(jù)庫中存儲數(shù)據(jù)錯誤、數(shù)據(jù)的非法獲取、拒絕正常服務(wù)等行為都屬于對數(shù)據(jù)庫的安全造成了威脅。數(shù)據(jù)庫的安全威脅主要來自人為惡意攻擊、設(shè)備故障或管理失誤等方面。
1.2.1人為惡意攻擊
對數(shù)據(jù)庫安全威脅最大的是人為惡意攻擊,當(dāng)前黑客盜取網(wǎng)站用戶信息已經(jīng)形成了1套相關(guān)產(chǎn)業(yè)鏈,由于國內(nèi)部分網(wǎng)站信息安全意識薄弱,未將用戶的名文信息進(jìn)行加密,并且保護(hù)措施不力,最終釀成惡果。以前有公司要給網(wǎng)民發(fā)垃圾郵件,還要去購買有效用戶的信息,現(xiàn)在他們完全不用買了,估計在未來一段時間內(nèi),中國網(wǎng)民將會接收到大量的垃圾郵件。此外,也會有部門用戶存在銀行密碼被盜用的危險。同時,如果有商業(yè)公司在知道競爭對手相關(guān)負(fù)責(zé)人的網(wǎng)絡(luò)慣用ID情況下,通過數(shù)據(jù)庫查詢到了他的密碼,那么還將有一些商業(yè)機(jī)密外泄的可能。
1.2.2設(shè)備故障
目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞,如UNIX服務(wù)器,NT服務(wù)器及Windows桌面PC。防火墻產(chǎn)品自身是否安全,是否設(shè)置錯誤,需要經(jīng)過檢驗。采用的TCP/IP協(xié)議族軟件,本身缺乏安全性。比如在2010年11月Gawker遭受的重創(chuàng)中,部分原因就是密碼信息慘遭泄露,這些密碼被幾十年未更新過的陳舊加密技術(shù)保護(hù)著。而這一情況并非特例。許多企業(yè)都需要對數(shù)據(jù)進(jìn)行加密,但使用的卻是超級老舊的加密方式,這簡直像是在用紙做的盔甲來保護(hù)自己的身體。
1.2.3管理失誤
(1)企業(yè)數(shù)據(jù)在網(wǎng)絡(luò)傳遞過程中,有可能被競爭對手非法截取;
(2)網(wǎng)絡(luò)系統(tǒng)的合法用戶被非法人侵者仿冒;
(3)網(wǎng)絡(luò)數(shù)據(jù)庫服務(wù)器被攻擊者攻擊得手;
(4)網(wǎng)絡(luò)信息系統(tǒng)的處理程序被黑客或病毒非法修改。
2 網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)庫加密技術(shù)概況
加密系統(tǒng)是互聯(lián)網(wǎng)安全保護(hù)的核心,任何1個加密系統(tǒng)至少包括下面4個組成部分:
(1)未加密的報文;
(2)加密后的報文;
(3功口密解密設(shè)備或算法;
(4)加密解密的密鑰。
其安全體系結(jié)構(gòu)見圖1。為了保護(hù)數(shù)據(jù)在傳遞過程中不被別人竊聽修改,必須對數(shù)據(jù)進(jìn)行加密。這樣,即使別人竊取了密文,由于沒有密鑰而無法將之還原成明文,從而保證了數(shù)據(jù)的安全性,加密方法有常規(guī)密鑰加密和公開密鑰加密。常規(guī)密鑰密碼體制即加密密鑰與解密密鑰是相同的。公開密鑰主要的特點就是加密和解密使用不同的密鑰。
圖1 互聯(lián)網(wǎng)安全技術(shù)的體系結(jié)構(gòu)
3 數(shù)據(jù)庫加密技術(shù)在企業(yè)信息化管理中的應(yīng)用措施
3.1實行身份認(rèn)證與授權(quán)
對于一般的數(shù)據(jù)庫系統(tǒng),可以采用訪問控制、用戶身份認(rèn)證、授權(quán)控制、監(jiān)視跟蹤、安全審計、備份與恢復(fù)、反病毒等安全管理技術(shù)來構(gòu)筑其安全體系,以保證數(shù)據(jù)的安全性和可靠性。由于電子商務(wù)系統(tǒng)中的網(wǎng)絡(luò)數(shù)據(jù)庫保存著重要的商業(yè)信息,但某些用戶尤其是一些內(nèi)部用戶仍可能非法獲取用戶名、口令字或利用其他方法越權(quán)使用數(shù)據(jù)庫,甚至可以直接打開數(shù)據(jù)庫文件來竊取或篡改信息,所以僅靠上述的安全措施難以完全保證其數(shù)據(jù)的安全性,因此有必要對數(shù)據(jù)庫中存儲的重要數(shù)據(jù)進(jìn)行加密處理。
3.2實行數(shù)據(jù)輸入加密控制
由于很多企業(yè)信息化數(shù)據(jù)屬于敏感性數(shù)據(jù),因此,在數(shù)據(jù)輸人過程中需要有1套合理的安全方案。主要有公開密鑰密碼系統(tǒng)、DES加密算法等1系列環(huán)節(jié)。DES加密算法是美國國家標(biāo)準(zhǔn)局(NBS)頒布的1種分組加密算法,由56 bits長度的密鑰對64bits分組進(jìn)行加密,變換成64 bits的輸出。公開密鑰密碼系統(tǒng)是由Diffie, Hellman和Merkle基于數(shù)論中的歐拉定理提出的,基本原理是每個用戶保存1對密鑰一公鑰PK和私鑰SK,2者不能相互推導(dǎo)。DES算法具有加密效率高的優(yōu)點,但加密和解密使用同一算法和密鑰,密鑰和密文必須一同傳輸,密鑰很容易中間被截獲。
3.3采用總量數(shù)據(jù)控制技術(shù)
總量數(shù)據(jù)控制技術(shù)可適用于信息處理過程中的任何階段,其作用是確保數(shù)據(jù)總量的完整和準(zhǔn)確。在信息系統(tǒng)數(shù)據(jù)的輸人、處理和輸出過程中,某些位置可以通過不同的手段對信息字段中可計算的數(shù)據(jù)進(jìn)行統(tǒng)計,走不同的統(tǒng)計路徑統(tǒng)計出來的數(shù)據(jù)總量應(yīng)該是完全一致的,如果出現(xiàn)不同,說明某個環(huán)節(jié)出現(xiàn)問題。統(tǒng)計過程可以是手工操作也可以是計算機(jī)計算。如,對訂貨數(shù)量的統(tǒng)計可以采用總量控制技術(shù)。
3.4建立透明加密體系結(jié)構(gòu)
透明加密體系結(jié)構(gòu)為3個級別,第1個級別是windows級別:主要使用的是Windows的DPAPI(數(shù)據(jù)保護(hù)API)使用的是用戶的憑據(jù),也就是使用用戶的密碼來對需要保護(hù)的對象進(jìn)行加密的1種方法。在這里主要是使用WINVDOWS級別的用戶憑據(jù)對第2個級別也就是SQL SERVER服務(wù)器級別進(jìn)行加密,二第2個級別:SQL SERVER的服務(wù)器實例級別:這1個層次有1個服務(wù)主密鑰,但是這個服務(wù)主密鑰必須使用DPAPI(也就是第1個級別的用戶憑據(jù))進(jìn)行加密而這個服務(wù)主密鑰又用于對第3個級別:數(shù)據(jù)庫主密鑰進(jìn)行加密。也就是說仁層必須為下層服務(wù)。第3個級別:數(shù)據(jù)庫級別:存在1個數(shù)據(jù)庫主密鑰:它可以加密數(shù)據(jù)庫中的其他對象位叫卜對稱,證書進(jìn)行保護(hù),但不保護(hù)對稱密鑰),對稱密鑰不使用數(shù)據(jù)庫主密鑰加密,對稱密鑰使用證書,非對稱密鑰或是指定的密碼加密同時又被第2級別服務(wù)主密鑰所保護(hù)。當(dāng)數(shù)據(jù)庫中有了數(shù)據(jù)庫主密鑰后就可以使用數(shù)據(jù)庫主密鑰來保護(hù)數(shù)據(jù)庫中的證書和非對稱密鑰,再使用對稱密鑰來保護(hù)其他對稱密鑰和數(shù)據(jù),當(dāng)然也可以直接使用證書和非對稱密鑰來保護(hù)數(shù)據(jù)。
4 數(shù)據(jù)庫加密技術(shù)在企業(yè)信息化管理中的應(yīng)用配套措施
4.1檢查明顯的加密失誤
盡管數(shù)據(jù)庫加密工作在部署方面可謂蒸蒸日上,但其中仍然存在著大量失誤。例如將數(shù)據(jù)庫加密密鑰存儲在同1臺服務(wù)器中以及使用過時的加密算法等。如果大家對自己數(shù)據(jù)庫中的敏感數(shù)據(jù)進(jìn)行加密的話,有1種嚴(yán)重的違規(guī)行為需要當(dāng)心,即將用于加密數(shù)據(jù)的密鑰或者用干獲取密鑰的身份驗證資格同加密數(shù)據(jù)存儲在同1套數(shù)據(jù)庫系統(tǒng)內(nèi)。盡管表面上看來整套體系似乎相當(dāng)堅固,但事實上它基本沒能提供什么有效的保護(hù)機(jī)制。同時如果讓數(shù)據(jù)庫安全專家給出1條能夠?qū)ξ磥?年起到廣泛輔助作用的提示,那就是提醒我們對數(shù)據(jù)庫的現(xiàn)有疏漏進(jìn)行修補(bǔ)。在這方面,更新默認(rèn)登錄、系統(tǒng)削減過多的執(zhí)行特權(quán)以及自動檢測流程,以找出存在隱患的流氓數(shù)據(jù)庫都是降低安全風(fēng)險的有效手段。
4.2利用統(tǒng)一安全運維管理平臺
建立安全運維管理平臺是建立1個覆蓋信息中心日常所有業(yè)務(wù)的管理平臺以及覆蓋所有信息資產(chǎn)的監(jiān)控平臺,為業(yè)務(wù)系統(tǒng)的正常運行保障提供信息化的預(yù)警支持手段。建立網(wǎng)絡(luò)集中運行監(jiān)控體系和運行指標(biāo)體系,實現(xiàn)人、技術(shù)、操作等方面的集中、分級管理和監(jiān)控,并通過運行分析和安全分析,及時調(diào)整運行、安全策略,實時掌握網(wǎng)絡(luò)與系統(tǒng)的運行情況,及時發(fā)現(xiàn)人侵、病毒、異常、故障等安全問題及安全隱患,迅速定位,并盡快解決,成為日常管理、維護(hù)的主要技術(shù)支撐工具。
4.3建立安全事故應(yīng)急恢復(fù)措施
當(dāng)數(shù)據(jù)庫安全事故發(fā)生之后可以用如下典型的應(yīng)急恢復(fù)計劃:找出信息系統(tǒng)中最關(guān)鍵最甭要的需要保護(hù)的業(yè)務(wù)數(shù)據(jù)及其易損原因;列出恢復(fù)系統(tǒng)運行所需要的最基本的硬件、軟件和系統(tǒng)管理者性名清單,聯(lián)系方法;列出災(zāi)難性事故發(fā)生后一步步處理的具體步驟。
5 結(jié)語
隨著信息產(chǎn)業(yè)的加快開展,企業(yè)越來越認(rèn)識到數(shù)據(jù)庫信息安全的重要性。數(shù)據(jù)安全問題涉及到企業(yè)的切身利益,發(fā)展數(shù)據(jù)安全技術(shù)是月前面臨的迫切需求,數(shù)據(jù)加密技術(shù)是數(shù)據(jù)保護(hù)最為重要的I道防線隨著計算機(jī)技術(shù)與通信技術(shù)的飛速發(fā)展,數(shù)據(jù)加密技術(shù)必將不斷地得到完善,企業(yè)信息系統(tǒng)也必將變得更加安全。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:數(shù)據(jù)庫加密技術(shù)在企業(yè)信息化管理中的應(yīng)用
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112153361.html