信息系統數據庫安全現狀與防護措施

【摘要】在我國電網維護的工作中，信息安全問題是個不容忽視的問題，這關系到電力企業信息系統能否正常穩定運行。不過當前地方很多電力企業的安全防護工作并不到位，有很多企業存在不同程度的安全漏洞，本文針對以上情況，對這些安全風險進行分析，并同時給出相應的防范措施，將安全風險降到最低。

【關鍵詞】信息系統;數據庫;安全風險

1.引言

當前我國各地的電力企業都加快了數字化進程，各地都在使用各種信息系統，這些系統的數據庫主要以SQL server、Oracle為主。但是很多企業的信息系統主要注重功能性和性能，對于安全防護的重要性缺乏足夠的重視，這也使得系統存在較大的安全隱患。

2.數據庫系統使用情況

當前大多數電力企業使用的系統主要分成生產控制和信息管理兩大種類。生產控制系統主要由調度自動化系統和繼電保護及故障記錄管理系統、電量計量系統、運營系統構成;信息管理系統主要由管理系統、信息管理系統和網站系統構成。而信息管理系統由財務管理、營銷管理、人力管理、物流管理等模塊構成。本文對這些企業的數據庫使用情況作了一份調查，如表1所示。

表1 信息系統數據庫系統使用情況統計表

序號 業務系統 Oracle SQL server 其他數據庫

1 調度自動化 很高 很低 很低

2 繼電保護 很高 適中 很低

3 電量計量 很高 適中 很低

4 電力運營 很高 適中 很低

5 各類專業應用 適中 很高 很低

6 運行管理 很高 很低 很低

7 各類企業管理 很高 適中 低

8 網站系統 適中 較高 低

由表中可見，Oracle使用范圍很廣，其次是SQL，其他類數據庫應用范圍較窄。因此本文主要以這兩種數據庫中遇到的安全問題進行分析，并給出相應的解決方案。

3.信息系統數據庫現狀

本文在對信息系統的數據庫進行模塊化分析，發現這些數據庫存在了很多安全風險，例如系統權限設置問題、系統口令強度問題、補丁沒能按時升級、安全策略沒有針對實際應用來設置、審計策略漠視、綜合防范措施較差，本文也具體對這些風險隱患進行分析。

3.1 權限設置問題

廠家在系統交付使用時，通常為了安裝快捷，會采用系統管理員賬號進行安裝，雖然會減小大量調試時間，但是就造成了嚴重的安全隱患，很多黑客就利用默認管理員賬號登陸，往往成功率不低。一旦被黑客登陸，那么數據庫信息就完全被黑酷控制，后果就不堪設想。

3.2 系統口令強度問題

在很多Oracle數據庫中，存在著很多數量的默認賬號，而客戶通常對這些默認賬號不進行任何安全防護，這就很容易被黑客利用。

口令是所有系統中最基本的安全防護措施，默認口令通常是開發者為了方便修改預留的，在數據庫系統中，默認口令有很多個，這些口令通常存儲在數據庫客戶端的配置文件中，一旦黑客進入到客戶端對這些配置文件進行查看，那么數據庫對于黑客而言，就毫無安全防護。

3.3 補丁升級滯后

很多信息軟件在運行后，很多公司對于補丁升級的工作不是很重視，甚至是當系統出現病毒或者發生故障，才想起進行補丁升級。其實很多數據庫都有一些非常嚴重的漏洞和后門，開發者在客戶使用中反饋的信息對這些系統缺陷進行修復，然后發布升級補丁。而如果使用者不及時更新這些補丁，就很容易被黑客或病毒進行攻擊。例如在2008年全球就發生了規模很大的SQL 蠕蟲病毒，對全球很多用戶造成了不可估計的損失，這就是利用系統中的漏洞，而其實該漏洞開發者早就發布了補丁，那些病毒感染者幾乎全都是未及時升級的用戶。

3.4 默認安全策略

默認安全策略主要包括口令策略、口令有效時間、默認組件以及默認的遠程訪問安全策略等。不過在實際使用過程中，因為操作環境和使用功能不同，使用者應結合自身的實際情況進行安全策略的修改。但是在大多數使用者中，都完全按照是默認的安全策略。而默認的安全策略往往都被黑客熟知，并且那些默認的組件有很多客戶并不需要的服務和模塊，黑客和病毒就是利用這些服務對用戶的系統造成很大的威脅。

3.5 危險存儲過程

在很多數據庫設計時，有很多復雜的功能，這些功能都很多存儲過程，用戶利用存儲過程就可以對數據庫進行快速訪問和操作。不過在這種快捷的辦公環境背后，是巨大的安全隱患。黑客在對系統進行入侵時，往往會借助存儲過程來實現對客戶系統的入侵。

3.6 信息泄露

信息泄露主要指數據庫的banner信息和用戶數據泄露。banner包括了數據庫的版本、服務名、運行狀況，這對黑客而言是相當有價值的信息;而用戶數據包括了用戶名和密碼以及企業內部資料，這些信息如果不進行加密和有效的安全防護，很容易被黑客入侵，對于企業造成致命性的打擊。

3.7 設計策略問題

雖然很多數據庫都有日志審核功能，但大多數用戶為了提高運行速度，選擇關閉這項安全防護，而很多信息系統的數據庫日志審計功能從安全那天就從未使用過，這就無法在有問題時進行問題跟蹤查看。

3.8 綜合防護程度較低

目前，很多系統的數據庫的綜合防護措施程度較低，很多用戶對于數據庫訪問沒有設定訪問策略，而很多用戶則是嚴重違反安全條例，將數據庫主機和應用服務主機設定成一臺，還有用戶是防火墻沒有有效的安全設定，防火墻幾乎等于擺設，這些安全問題就造成了黑客或病毒的異常活躍，對用戶的系統造成了極大的威脅。

4.數據庫系統安全防護措施

4.1 嚴格控制權限

建議用戶使用最小權限創建用戶，這樣的好處是哪怕該賬號被黑客攻擊，黑客也僅僅得到相當有限的權限。

此外，在很多在線運行的信息系統，嚴格控制權限需要開發廠商對系統進行整改，雖然會對系統正常運行造成一些影響，但卻在很大程度上提高了安全等級。

對于應用在UNIX環境的數據庫，還需要對賬戶權限進行嚴格的監控，此外，還需要對于數據庫的系統文件和數據文件、配置文件進行權限設置，防治被認為的進行修改或刪除。

4.2 加強口令強度

數據庫管理員在安全防護工作中需要將沒用的賬戶進行刪除，并對常用賬號進行口令管理，設置足夠復雜的口令，并定期進行修改。最后，審核配置文件，將開發廠商預留的默認賬戶進行刪除。

4.3 及時升級補丁

數據庫管理員要每天關注開發廠商發布的升級公告，在不影響系統正常使用的前提下，及時下載升級補丁并安裝。

4.4 優化安全策略

對安全策略進行有針對性的設置，例如設置最大錯誤登陸次數、口令解鎖時間、口令復雜度。同時在安裝數據庫，針對實際使用情況，關閉不需要的服務和模塊。

4.5 卸載危險的存儲過程

數據庫管理員要和開發廠商有限溝通，對于等級較低的賬戶進行限制存儲過程的訪問，同時卸載不需要的存儲過程，刪除與之相連的文件。這樣就能在很大程度上杜絕黑客利用存儲過程控制服務器。

4.6 加強信息加密管理

數據庫管理員要經常修改系統中的banner信息，對Oracle數據庫而言，可以通過設置服務口令來防治信息泄露。此外，還可以要求開發廠商對于數據庫的敏感信息進行加密設置，使用較為強壯的加密算法，保證關鍵信息不被外泄。

4.7 設置審計策略

建議用戶開啟數據庫日志審核模塊，開放審計登錄事件、數據庫操作事件、敏感信息操作事件等、

4.8 合理使用綜合防護措施

設置數據庫訪問控制策略，并限制訪問數據庫的IP，此外，對于防火墻也需要進行有效的設置，防治黑客利用防火墻漏洞進行攻擊。

5.結語

信息系統的正常運行和數據安全離不開數據庫系統的有效保護。本文結合信息系統的特點，分析了種種數據庫的安全問題，并給出了相應的解決方案。目前，大部分防護措施都應用在了信息系統中，極大的提高了數據庫系統的安全性。

參考文獻

[1]李宗濤.內蒙古超高壓供電局武川500 kV變電站成功投運[L].內蒙古電力信息通信中心，2014（04）：11-19.

[2]余鋼.應用上下文技術在高安全級數據庫中的應用研究[J].計算機與數字工程，2009（08）.

[3]朱世順，郭其秀，程章濱.電力生產控制系統信息安全等級保護研究[J].電力信息化，2012，（01）.