堤防工程數據庫安全保障體系構建研究

羅登昌，韓 旭

(1.長江勘測規劃設計有限研究責任公司，湖北 武漢 430010；2.長江巖土工程有限公司，湖北 武漢 430071)

1 概述

隨著現代科技的日新月異，帶動互聯網、大數據、云計算以及物聯網等技術的飛速發展，數據也呈現海量增長態勢，與之相生的數據庫管理系統也大量涌現，然而數據庫的安全是保護數據信息的關鍵，也是學者始終關心的問題。

許多學者在大數據的背景下，從數據庫本身出發，闡述了數據庫安全體系建立的方法和措施。徐綺彬[1]提出數據庫安全應以預防和控制為主；李紅蘭[2]從大數據背景特征入手，分析了目前出現的安全問題，然后從網絡環境、數據庫建設、管理體系以及審計措施等方面提出了意見；劉夢飛[3]探討了網絡安全定義，分析了網絡安全的重要性，研究了提高網絡安全保障性能的方法；程一芳[4]從專業人員角度進行分析與探索，并提出了一系列數據庫安全保障措施；葛耀武[5]等從大數據概念出發，分析影響數據安全的主要因素，從而構建安全防御體系；喬龍[6]從數據信息安全現狀出發，分析影響數據安全的主要因素，從而構建安全防御體系；張曉[7]通過將數據庫的建立、管理以及應用與數據庫技術的發展走向相結合進行分析，思考怎樣才能在如今的大數據時代更加完善地建立數據庫；譚鶴毅[8]針對大數據背景下，數據庫安全保障體系的建立進行分析，探究我國數據庫安全保障體系的建設工作，從而促進我國數據信息的安全與保密。

也有不少學者從專業的數據庫角度出發，針對不同數據的特點以及存在的問題進行研究，提出相應的安全防護措施。汪思鑫[9]根據醫院數據庫特點提出安全問題的改善措施；鄭輝[10]先簡要分析辦公局域網數據庫系統存在的應用風險，然后進一步探究系統中包含的安全訪問技術；李曉明[11]對大數據環境下一卡通安全問題展開分析，并提出大數據環境下一卡通系統數據庫的安全策略；陳杰華[12]針對高校教務管理系統中數據庫存在的一系列問題展開討論，并提出一些參考意見；羅俊才[13]等首先從不同層次、不同方面分析政務網站建設中數據庫存在的安全隱患，其次提出解決問題的思路；肖智[14]從當前的大數據概念意義入手，深入進行分析，明確基于大數據的公積金數據庫安全保障體系建設內容；馬汝禎[15]從企業信息管理系統數據庫的重要性出發，深入分析了數據庫所面臨的問題，明確提出了數據庫安全保障措施；黃曉鑫[16]針對當前高校教務管理系統中數據庫的安全問題展開分析，并結合實際的管理辦法以及工作經驗尋找提升數據安全的措施。

綜上所述，雖有不少學者對數據庫的安全設計提供了很多思路，但有關堤防工程數據庫系統安全的研究卻是鮮見。

2 堤防工程數據庫特點

堤防工程數據庫特點的研究是制定數據庫安全策略的基礎。通過分析堤防工程數據庫與數據安全相關的特點，并進行歸納總結，最終得出堤防工程數據庫特點主要包含以下6方面內容：

(1)堤防工程數據庫的重要性。堤防工程數據庫主要包含對數據進行管理和存儲的軟件系統和硬件設施，而數據庫中的數據主要來源于堤防工程建設和運維過程中產生的信息，因此其對堤防工程的應急搶險、規劃、加固等有著重要的意義。

(2)堤防數據庫的依賴性。堤防數據庫對數據的管理和存儲都必須依靠計算機軟件和硬件設備來完成，而隨著電子科技的高速發展，軟硬件的更新換代異常迅猛，為此堤防數據庫應及時更新，保證堤防數據庫系統與新軟硬件的兼容。

(3)堤防工程數據的流動性。相對于傳統堤防數據多以紙張為載體，被存儲在本地檔案室，現如今的堤防數據庫的數據不僅可以存在于不同的物理介質上，還可以通過網絡流傳到異地，數據的流動性增強，實現了多單位、多企業的數據共享，將堤防工程數據的利用率大大提高。

(4)堤防工程數據的可變性。傳統堤防工程數據多以紙張為載體，初次成稿之后，他人就很難再對數據進行修改，而用數據庫來存儲數據時，庫中的數據多為電子文件，只要是擁有權限的人都可對數據進行修改，數據的可變性大。

(5)堤防工程數據的多樣性。堤防工程數據的類型主要包含結構化數據、半結構化數據及非結構化數據3部分，其主要形式有文字、照片、DWG格式圖件和視頻等，數據的表現形式多樣化。

(6)堤防工程數據高度集中。傳統數據多以紙張為載體，存儲所需空間較大，且較零散，而數據庫中的數據存儲在服務器上，一臺服務器可存儲海量數據，數據高度集中。

3 威脅堤防工程數據庫安全因素

堤防工程數據庫安全主要包含2方面內容：一是堤防工程數據的安全，二是堤防工程數據庫運行安全，因此威脅堤防工程數據庫安全因素的分析應從這2方面入手，主要包含以下5部分內容：

(1)硬件設施的影響。硬件是數據存儲的載體，對堤防工程數據庫管理系統至關重要，一旦發生故障，將直接影響數據庫的運行和安全。威脅硬件設施安全因素主要包含3方面：一是不可抗力的外界因素，如地震、泥石流等災害導致硬件設備的毀壞；二是人為因素，如硬件檢查或維修時的操作失誤導致硬件的損壞；三是電子產品的老損，數據庫硬件的運行是24h進行，對硬件設施的損耗較大，在使用過程中可能導致硬件的老化和損壞。

(2)軟件影響。軟件是堤防工程數據庫管理數據的重要支撐，是數據庫必不可少的組成部分，但是一旦軟件存在漏洞，就會給不法分子可乘之機，通過系統漏洞或是數據庫軟件漏洞侵入到數據庫系統中去，非法獲取數據信息或給數據庫完整性帶來破壞。

(3)計算機病毒影響。隨著互聯網技術的飛快發展，各式各樣的計算機病毒也隨之而生，有些病毒作用明顯，直接刪除數據庫全部數據，破壞數據庫的運行；有些病毒作用一開始并不明顯，只是在慢慢盜取數據，造成數據持續泄露，但不管何種計算機病毒，其對數據庫的危害是巨大的。

(4)人為因素的影響。人為因素主要是數據庫運維相關人員專業知識不夠、培訓不到位、馬虎大意等因素造成工作的失誤，導致數據庫中信息的泄露或損壞，甚至影響數據庫的正常運行。

(5)管理制度的影響。管理制度不健全容易造成數據庫管理人員職責的混亂，日常管理工作和安全管理工作不能按照計劃執行，這樣勢必會給數據庫帶來安全隱患。

4 安全保障體系構建

針對上述影響堤防工程數據庫安全的5方面因素，提出全面、細致的防護措施，從而最大程度上消除或避免這些因素對數據庫安全的影響，構建堤防工程數據庫的安全保障體系。防護措施主要包括硬件設備防護措施、網絡安全措施、數據庫內部安全措施、數據安全備份以及健全管理制度。

4.1 硬件設備防護措施

硬件設備所處的環境是設備安全的先決條件，因此設備放置的場所應選擇無地質災害的場地，并設置專門的機房，機房的溫度、濕度、通風、防雷、防水、防塵等均要滿足要求，避免外圍環境對硬件設備造成毀滅性的損害，與此同時還應設置專職人員負責硬件設備的日常維護和檢查工作。

4.2 網絡安全措施

(1)優化網絡資源。網絡資源分配不合理，會導致數據庫的訪問效率低下，甚至是無法正常訪問，因此優化網絡資源是數據庫安全、高效訪問的必要條件。優化網絡資源可以通過對網絡資源進行集中管理的方式，合理調配資源，使得數據庫高峰期訪問時段的網絡環境安全、高效。

(2)設置防火墻。防火墻作為數據庫安全的第一道保障，起到至關重要的作用，它可對網絡端口進行限制，能抵擋大部分的非法攻擊，保護數據庫安全。因此，應根據堤防工程數據庫使用人員的特點，合理設置權限，避免越權限訪問數據庫。

(3)增設入侵檢測技術。雖然防火墻能抵擋大部分非法入侵，但仍然有少部分非法入侵會逃過檢測，通過在防火墻之后增設完備的入侵檢測技術，及時檢查出混入的非法訪問，加以阻止，能有效確保數據庫安全。

(4)安裝殺毒軟件。數據庫中的系統軟件往往存在漏洞，會給計算機病毒可乘之機，給數據庫帶來嚴重損壞，而殺毒軟件可以保護數據庫，避免其遭受病毒和木馬的攻擊，但由于計算機病毒和木馬總在推新，所以殺毒軟件也要及時更新殺毒引擎和病毒庫，以此保證殺毒軟件的鮮活力。

(5)云安全技術。通過大量數據庫的客戶端(云探針)將探測到的網絡異常行為進行分析與處理，并將解決方案共享，使得每一個用戶都具備識別和處理已探測到的異常行為的能力，以此大幅度提高數據庫的安全。

4.3 數據庫內部安全措施

(1)軟件安全。主要包含系統軟件安全和應用軟件安全，數據庫系統軟件應安全、穩定、高效，一般可選用Unix操作系統，它不僅能保證系統的安全，還可以使數據庫的訪問性能得到保證，并開啟系統補丁自動更新，確保軟件系統的先進性；應用軟件應選擇主流、成熟的軟件，并及時更新軟件。

(2)數據加密。應對堤防數據庫中的數據信息進行加密處理，防止數據外泄，保證數據庫的安全性。常用的數據加密方式有兩種：庫外加密和庫內加密，應根據實際的應用情況進行選擇合適的加密方式。

(3)內部審計。通過記錄數據庫運行時對系統和數據的每次異常操作，如非法登錄、系統斷電、斷網或是數據刪除，可讓管理人員有效的監控系統，并以此來檢查數據庫系統是否在運行正常，當檢測到數據庫有不安全的行為時，能及時將這些不安全因素阻止，可結合侵入檢測技術共同提高數據庫的安全性。

(4)視圖機制。通過視圖機制來限定不同用戶的不同訪問權限，將數據庫中的數據對于無訪問權限的用戶隱藏起來，自動保護數據的安全。

4.4 數據安全備份

(1)本地備份。通過內網傳輸將數據庫的全部數據備份到本地其他設備上，備份速度快、且操作簡單，但由于設備在同一地方，整體抗風險能力稍低。

(2)異地備份。通過外網傳輸將數據庫的全部數據備份到異地設備上，整體抗風險能力較高，一地發生破壞，還可以通過另一處備份數據恢復數據庫，但對網絡環境的要求較高，成本較大。

(3)節點備份。首先將數據庫的全部數據分為多個不同的節點，節點之間相互獨立，然后利用2臺及以上的服務器將全部數據按節點存儲，當主服務器上的某個節點出現問題時，系統可以及時調用另外1臺服務器上的相應節點來恢復主服務器上的數據，保證主服務器數據的完整性，提高數據庫數據的安全性。

4.5 健全管理制度

(1)職責明確。管理人員的分工必須明確，各司其職，共同維護數據庫的安全運行。

(2)日常管理。包含日志檢查、警告文件檢查、磁盤使用情況檢查、網絡環境檢查以及內存、CPU等的檢查。

(3)安全管理。包含機房環境管理、用戶權限管理、系統登錄口令管理等。

5 結語

針對威脅數據庫安全的4方面因素，從硬件設備防護措施、網絡安全措施、數據庫內部安全措施、數據安全備份以及健全管理制度等5方面系統、全面地提出了數據庫安全的防護措施，可為今后其他數據庫安全提供參考和借鑒。