摘要:隨著經濟活動中資訊的價值提升,企業的運營狀況等一系列資料的安全性成為企業資訊化建設程序中一個不容忽視的問題,現在的企業越來越多的應用到內部的應用系統,其資料庫的後臺安全、防護、維護等措施必須高度重視,而通常情況下非IT行業的企業內部,通常不具備較多數量的資料庫管理人才,因此企業的資料庫安全防護和維護問題相對困難。因此該文就針對企業的資料庫應用,闡述企業資料庫維護的重要性,分析目前企業資料庫安全防護和日常維護中常見的一些風險和問題,從而制定出適應於企業資料庫安全維護的具體策略。
關鍵詞:企業資料庫;安全;維護;應用策略
1企業資料庫安全防護及維護的重要性企業的資料庫包含了企業眾多的使用者資訊、產品資訊、有價值的產品研發內容等一系列的商業機密和企業常規運營資訊(與企業競爭力形成相關),這些資訊的價值遠遠超過了應用系統本省的重要性,而通常來說企業(非IT行業)的企業內部資訊系統和資料庫都會選取用專業的製作公司來幫助架設和安裝,而後期的執行維護過程中,製作公司通常之擔當故障維護的角色,雖然在其系統的整體設計當中會有相關的安全性考慮,但是基於資料庫安全的防護上,通常只存在與常規的資料安全和維護方面。
在這種情況下,資料庫一旦被認為侵入,那麼資料資訊很有可能面臨被竊取、篡改、刪除等危險,而其中重要的商業資訊就有可能丟失或被盜用,通常這些問題如果只是在常規的資料庫中之會帶來一定的修復問題,而對於商業企業的資料庫來說,資訊的篡改和刪除往往會給企業的重要資訊造成損失,這其中的修復也會相對困難,但是最為重要的還是資訊竊取上的問題,這種竊取行為的危險性不亞於商業競爭當中的商業機密的竊取。
2企業資料庫安全防護中的具體問題企業的資料庫有其資訊整合上的特色,一般企業的資料庫通常只會收集企業執行相關的一些較常用到的資料資訊,深入來看,容易影響到企業資料庫安全的方面就無非三個層次:一是資料庫本身構架上的安全問題;二是用於連線資料庫伺服器和企業內部的應用終端之間的網路系統的安全問題;三是應用於企業各個終端上的企業資訊化管理系統的安全問題。
瞭解了企業資料庫資訊保安問題的所在之處,也就不難找出威脅企業資料庫安全的一些直觀原因:一是與資料庫本身的安全相關的安全風險,例如資料庫本身的安全防護手段較弱、資料庫的操作許可權開放性過高、對於無許可的資料庫操作行為的限制能力低下、在異常資料庫操作執行時的驗證和檢測方式補足等等;二是網路系統的安全性,例如當相關的資料包在網路傳送過程中被可以的擷取和解密;三是客戶端的安全性問題,這類問題通常表現為公司內部使用者的資料安全意識較差。
再從資料庫、網路媒介、應用系統這三個方面先關的技術內容上看,威脅其應用的還有更為具體也是解決起來更為困難的問題。在資料庫安全的角度來看,公司規模如果較大(例如跨地區經營的情況)的`話,資料庫就必須進行較為廣泛的網路連線,而這其中的使用者數量也會相對較多,資料庫本身對於異常操作的處理方式以及協作式入侵的檢測手段等等都是資料庫本身對於安全問題的保障側重。在網路媒介方面,由於大範圍的網路架設將提供給他人更為方面的網路接入手段,那麼提升資料訪問中的網路埠認證、IP訪問許可權、虛假IP的MAC地址檢測、危險地址的地址池驗證等等問題都會存在網路傳輸媒介上的漏洞,這種漏洞也是更為明顯的漏洞。在應用系統的方面來看,通常企業的資訊系統本身會採用實際的PC系統和內部應用的訪問埠系統兩種方式,系統本身對於訪問的隔離效果、限制效果、資訊加密效果都相對有限,很容易出現先關的漏洞侵入狀況,而對於自行開發的應用客戶端系統通常只會考慮訪問上的便利性和常規的賬戶許可權問題,其漏洞則更容易出現。
3企業資料庫維護管理中存在的困難在常規企業的資料庫應用當中,企業資料庫的維護工作一般都限於資訊更新、備份等內容上,由於非IT行業的企業本身的員工在網路技術方面的專業能力不足,所以在具體的維護中也存在著幾類較為明顯的問題:3.1資訊內容有限企業的資料資訊維護的工作重點在於保障資料庫的基本執行和為企業的網路資訊系統提供更為充足的資訊資源,而就目前大部分企業的實際應用來看,資料庫資訊不足的情況十分明顯,其具體變現主要有三類:一是隻有簡單的商品資訊、客戶資訊等,這就是的資訊資料庫只起到了簡單的資訊備案功能,無法起到先關的關聯性或者統計、分派管理的功能;二是企業管理資料庫的欄目設定以靜態備案資訊內容為主,缺乏企業資產增減及分佈情況、銀行信貸及信用等級、年度經營及稅利情況等動態資信欄目內容,難以準確、全面地反映企業資信情況;三是企業的實際的資訊備案狀況不足,許多企業在資料庫的整理和資訊收集中只注意到直觀的資訊收集。
3.2資料庫維護工作的投入與實際效果差異就如上面所提到的資料庫的資訊問題,應用效果的不足時許多企業的資訊資料庫應用中普遍存在的問題,而就企業執行的實際狀況來看,企業的資料業務增長是很快的,例如2011年1月底全國通緝的企業資訊化資料佔比來看,已經增長到了60%以上,這說明了資料資訊在企業整體資訊中的明顯差異所在。而企業在具體的執行中充分認識到了資訊應用實際效果,所以又存在有大量的投入,這些投入和產出不能均衡時就形成了企業資料庫維護工作的困難,企業逐漸信心不足等等都是其中較為明顯的表現。
3.3資訊化技術人員的匱乏
其表現主要有直觀的管理難題和衍生的系列性問題,較為直觀的,專業技術人員的匱乏導致企業的資訊系統維護工作的人員不足,工作效率低下、維護工作落實不到位等等情況,而其衍生出的其他問題則更為嚴重,例如由於人員匱乏導致的資訊管理工作不足,最終使得資料庫工作不到位,最終影響到實際的應用;工作能力低下使得資料庫安全等問題較為突出,影響到企業的執行;技術人員不足導致對企業其他應用到資訊系統的員工指導不足,許多誤操作等問題導致資料庫的故障等等。
4企業資料庫安全防護和維護管理的具體應用策略4.1資料庫的安全防護策略通過上文中對於資料庫安全問題的分析來看,其問題主要集中在資料庫相關的資料庫、網路系統、應用系統這三個層次上的問題,那麼具體的解決方式也需要圍繞著這三個方面來進行。
首先在資料庫自身方面,採用雙層資料加密的方式來進行訪問限制等方面的維護,通過採用加密字典的方式最大程度的擴充加密的金鑰列表,產生一個活動的加密引擎,實現動態加密和訪問許可權的處理。其次在網路系統方面,通過防火牆等類似功能的設計,對於具有訪問許可權的終端進行MAC地址繫結的IP處理,只允許由經過真實的IP來進行訪問,對於資料包的處理過程中,採用驗證與伺服器資料加密的金鑰先關的驗證方式來進行處理,雙重性的提升資料包和資料庫資訊本身的安全資訊。最後是OS方面的問題,如果是內部的專門性應用系統,則需要針對系統的功能,進行有區別的客戶端開發。
4.2資料庫的常規維護策略
企業的資料庫維護問題通常在於維護能力和資訊整合上的問題,就目前的IT市場來看,存在著許多的代維公司和軟體、資料庫開發公司,所以企業的保證資料庫維護方面可以採用購買開源資料庫或者購買整合的系統來使用,依靠開發公司的後期維護工作來保障基本的日常資料庫維護功能。企業也需要注重專業技術人才的引進,保障公司的長期執行過程中中,資訊系統有足夠的公司內部員工來進行相關的維護和處理,一方面保障維護工作的順暢,另一方面還可以降低外部人員在資料庫操作過程中可能對於資料庫造成的安全性威脅。
參考文獻:
[1]王理.基於自編儲存過程的高效資料庫維護[J].電信技術,2009(3).
[2]曾朝輝.珠三角中小型包裝印刷企業發展狀況研究[J].包裝世界,2009(2).
[3]王俐.基於網路環境下的資料庫安全分析[J].才智,2009(12).
[4]焦巖.關於資料庫系統安全現狀的研究[J].電腦保安,2010(5).
[5]張華.企業資料庫安全的模糊綜合評估[J].西安文理學院學報:自然科學版,2010(2).
[6]陳效軍,楊章瓊.資料庫安全概述[J].科技創新導報,2008(9).