數(shù)據(jù)庫信息安全風險和風險評估

[摘 要] 數(shù)據(jù)庫信息系統(tǒng)的安全管理要求相關組織在國家法律法規(guī)依據(jù)下制定合理、有效的安全管理政策，并對管理組織內部人員進行各方面培訓，提高管理人員的安全意識和安全素質，保證安全管理政策的有效實施，同時還要建立健全的安全審計制度，以便對安全政策的實施和效果進行監(jiān)督、評價。

[關 鍵 詞] 數(shù)據(jù)庫；信息；安全風險；風險評估

[中圖分類號] TP309 [文獻標志碼] A [文章編號] 2096-0603（2016）15-0175-01

數(shù)據(jù)庫信息系統(tǒng)安全技術比較常用的有數(shù)據(jù)加密技術、病毒檢測技術、入侵檢測技術等，各種安全技術的應用目的是保證系統(tǒng)和信息不受外界干擾，提高組織的信息系統(tǒng)安全性。數(shù)據(jù)信息系統(tǒng)的安全性管理是一個整體性的概念，不是依靠單一的技術就能提高相應保障的，而是需要技術與管理相結合，這樣才能為信息系統(tǒng)提供最大的安全保障。

一、數(shù)據(jù)庫信息系統(tǒng)的安全風險分析

1.安全攻擊的多樣化趨勢。大數(shù)據(jù)時代的到來意味著社會的信息化程度又提升了一個新的高度，作為大數(shù)據(jù)應用的支撐，數(shù)據(jù)庫信息系統(tǒng)的安全問題顯得更加重要。在大數(shù)據(jù)的應用過程中，云計算技術、分布式計算技術以及移動計算等技術發(fā)揮了至關重要的作用，然而這些技術在實現(xiàn)大數(shù)據(jù)資源應用的同時也帶來了極大的潛在風險，為攻擊者提供了攻擊形式和攻擊渠道多樣化的條件。如今安全攻擊形式不僅局限于黑客、木馬、病毒，斷網攻擊形式和拒絕服務攻擊形式也頻繁發(fā)生，而且數(shù)據(jù)采集端口、郵件傳輸端口也成為安全攻擊的重要渠道，對信息系統(tǒng)安全造成極大的威脅。

2.系統(tǒng)漏洞快速增長化趨勢。數(shù)據(jù)庫漏洞的種類繁多和危害性嚴重是數(shù)據(jù)庫系統(tǒng)受到攻擊的主要原因，據(jù)CVE的數(shù)據(jù)安全漏洞統(tǒng)計，Oracle、SQL Server、MySQL等主流數(shù)據(jù)庫的漏洞逐年上升（如下圖所示）。大數(shù)據(jù)時代環(huán)境下，為了滿足人們對數(shù)據(jù)資源的有效利用，很多軟件開發(fā)商根據(jù)人們的需求開發(fā)了各種應用程序，以便滿足人們的數(shù)據(jù)存儲和數(shù)據(jù)應用需求，多數(shù)情況下，各種軟件產品的生產沒有統(tǒng)一技術規(guī)格，其采用的系統(tǒng)架構、數(shù)據(jù)接入端口不同，數(shù)據(jù)的存儲和數(shù)據(jù)提取模式也有不同，斷點續(xù)傳、離線存取等多種存取方式都會給信息系統(tǒng)帶來更多風險，導致數(shù)據(jù)庫信息系統(tǒng)出現(xiàn)更多的安全漏洞，嚴重威脅數(shù)據(jù)庫信息系統(tǒng)的安全性。

3.系統(tǒng)安全威脅智能化趨勢。計算機技術的快速發(fā)展同時也促進了安全攻擊技術的迅速提升，安全攻擊技術開發(fā)者正采用更加先進的思想和技巧提高安全攻擊工具的性能，如今的攻擊工具具有極強的變異特征，不僅具有智能化功能，還具備反偵察能力，其漏洞的發(fā)現(xiàn)和利用速度大幅度提升，對防火墻的滲透性越來越高，安全威脅的不對稱性越來越強，對網絡根基設施的破壞程度越來越嚴重，并能夠在不被風險評估技術、安全防御技術發(fā)現(xiàn)的情況下長時間潛伏在系統(tǒng)中，其傳播速度極快，可導致系統(tǒng)大范圍感染，一旦爆發(fā)將會給信息系統(tǒng)帶來極大的損失。

二、數(shù)據(jù)信息系統(tǒng)的風險評估探討

目前，具有一定可行性的數(shù)據(jù)庫信息系統(tǒng)安全風險評價技術主要有安全檢查表法、專家評估法等，另外還有比較常用的事故樹分析法，都在數(shù)據(jù)庫信息安全風險評估中發(fā)揮了重要作用。不論是哪種風險評價技術，其應用價值的發(fā)揮關鍵在于系統(tǒng)安全評估人員的風險分析經驗，需要評估人員在風險評估標準依據(jù)下結合類似安全風險案例進行風險等級劃分，同時也能對風險評估結果提出主觀性意見。

1.安全檢查表法在數(shù)據(jù)信息系統(tǒng)風險評估中的應用。該方法的應用主要是制定詳細的數(shù)據(jù)信息系統(tǒng)風險評估內容以及風險評估規(guī)范，完成制定后的安全檢查還需要通過安全風險評估專家的逐項評估，然后應用于數(shù)據(jù)庫信息系統(tǒng)中，并及時發(fā)現(xiàn)數(shù)據(jù)庫信息系統(tǒng)存在的風險。

2.專家評估法在數(shù)據(jù)信息系統(tǒng)風險評估中的應用。數(shù)據(jù)庫信息系統(tǒng)的風險評估在一定程度上可以是根據(jù)系統(tǒng)的運行狀況來判斷，在信息風險評價相關標準的依據(jù)下，通過對系統(tǒng)以往運行狀況和當前運行狀況的分析可以對數(shù)據(jù)庫信息系統(tǒng)未來的安全趨勢進行預測。在安全風險的專家評估過程中，通常采用的方法有質疑法和審議法，兩種方法均具有較好的應用效果。

3.事故樹分析法在數(shù)據(jù)信息系統(tǒng)風險評估中的應用。事故樹是一種演繹的安全系統(tǒng)分析方法，廣泛應用于安全系統(tǒng)工程中。該方法的特點是進行層層分析，對系統(tǒng)的軟硬件資源進行層次劃分，通過對風險概率的優(yōu)化和組織找到最有可能發(fā)生風險的資源。事故樹分析法從要分析的特定事故開始，然后通過層層分析找出故障原因。事故樹分析法可以對系統(tǒng)的不安全因素進行準確預測，并對風險造成的可能后果進行評估。

數(shù)據(jù)庫信息系統(tǒng)安全風險評估是發(fā)現(xiàn)系統(tǒng)漏洞和安全隱患的重要手段，在信息系統(tǒng)的安全防范中發(fā)揮著舉足輕重的作用。所以，加強對信息系統(tǒng)安全風險評估技術的開發(fā)和應用是目前一個非常重要的問題。

參考文獻：

[1]李永，周冰心.數(shù)據(jù)庫信息系統(tǒng)安全風險及防范措施分析[J].中國校外教育（下旬刊），2013（3）：187.

[2]方玲，仲偉俊，梅姝娥，等.脆弱性水平對信息系統(tǒng)安全技術策略影響研究[J].大連理工大學學報，2015，55（3）：332-338.