管理信息系统数据库安全设置探讨

摘要：随着信息技术的发展进步，信息系统数据库的重要性逐渐地被人们所接受，如何确保数据库的安全性，也成为人们比较关注的问题之一。本文从管理信息数据库的安全现状入手，就实现数据库的安全问题，进行了分析、研究。

关键词：数据库；安全；安全现状；设置

中图分类号：TP311 文献标识码：A 文章编号：1007-9599 (2011) 18-0000-01

Management Information System Database Security Settings

Feng Xinghua

(Xi'an International University,Computer Science and Technology 0801 Class,Xi'an 710077,China)

Abstract:As information technology advances,the importance of information system database has been gradually accepted by people,how to ensure the security of the database,but also become more concerned about the problems.In this paper,the security status of the management information database to start,on the realization of database security issues,the analysis and research.

Keywords:Database;Security;Security status;Set

一、管理信息系统数据库安全现状

一般来说，数据库的安全威胁，主要来自以下几方面：（1）硬件方面，容易受到洪水，火灾，地震等自然灾害的影响与破坏。（2）软件方面，比如说，操作系统与管理系统易出现故障，也会发生网络以及应用程序错误，或者误操作等。（3）数据库安全技术方面的研究，还没能够达到相应的水平。（4）由于管理制度不规范，防范的措施不到位，在管理上很容易出现漏洞。（5）人为攻击，作为最主要的威胁来源，然后是其内部工作人员的疏忽以及失职等。（6）其它因素：如遭受到各种计算机病毒的攻击。通常，管理信息系统中数据库，存在这几类安全问题：危险存储过程、权限设置不当、补丁升级迟滞、口令强度不足、敏感信息泄漏、默认安全策略等。

（一）权限设置不当。厂商等在建设业务系统之时，习惯性使用操作系统管理员账户，进行安装以及数据库运行工作，尽管在一定程度上减少了调试与安装的工作量，但是会促使出现比较大的一些安全风险。其一，数据库服务若是拥有很高权限的话，则有可能对其他的应用造成威胁；其二，万一数据库被黑客攻击，运行数据库的服务器，很有可能被黑客完全控制，造成无法弥补的损失。在UNIX环境中，进行数据库系统的部署，往往都有着专门的账户，进行安装以及运行数据库系统，由于这些账户，通常被给予了系统组的权限，也因为一些重要的可执行脚本程序，以及配置文件等权限，被设置成任何用户都可读写、执行，者将严重地威胁到系统的安全。

（二）危险存储过程。在大型的管理数据库系统里，为了能提供更高级与复杂的系统功能，往往都内置了很多专用的存储过程，简易地利用这些存储过程，就能够通过数据库系统，来发送邮件、下载文件、访问网络、访问操作系统文件以及执行操作系统命令等。如此以来，在提供了强大功能的同时，也潜伏着巨大的安全隐患，而一些黑客，在对管理信息系统进行攻击时，往往借助这些存储过程，来获得主机权限。

（三）敏感信息泄漏。敏感信息泄漏通常包括：数据库服务banner信息泄漏与用户敏感数据泄漏，潜在攻击者，通过这些敏感的信息，在前者的泄漏信息里，获取到了数据库的相关版本、服务名称以及运行情况等，而因为攻击者泄露了大量的有价值的信息，而后者通常指指数据库中存储的各项敏感数据，由于未经加密或者加密强度不够，导致了扩大敏感数据的知情范围，因而会给企业带来较大的损失，或造成一些社会不安定因素。

二、管理信息系统数据库安全设置

（一）身份鉴别。在用户进入MIS时，系统一定要对用户的身份，进行合法的鉴别与认证。最常用的方法，就是设置一些运行口令。但口令值最好不要嵌入程序，要“伪装”或者隐蔽于某一指定的数据库中，不然，一经修改口令，就得修改程序。口令的设置则按用户操作的子系统来设置，比如，放置口令的表结构应包括用户名、子系统名以及口令等，来确保整个系统安全。鉴于口令设置的可靠性程度不高，很容易就会被他人获得。所以，在使用口令时，必须对口令的长度以及期限等，都要做出及时的调整。存放口令的数据库文件，也需要进行加密处理。

（二）存取控制。存取控制，这是从计算机系统的处理功能方面，来对数据进行保护。数据库安全性的一般原则，就是要控制好用户访问数据库。有且仅有经被识别、被允许访问的用户，才能有查询、修改、删除和输入等权利。一般采用以下两种方法，来进行存取控制：第一，按功能模块对用户授权。每一个功能模块，对某一用户，都有着如下权限：（1）全部功能可使用；（2）可输入，可查询；（3）可查询，可修改；（4）可删除，可查询；（5）无权进入本模块。而用户名、功能模块名，以及权限编码，都能够用一数据库保存。第二，将数据库系统权限赋予用户。现在，很多流行的数据库系统，都有着创建用户、角色以及给予了用户、角色多种系统权限的功能。比如：ORACLE就有80多个系统权限，可把它分成两个部分：（1）system权限，指使用户能够执行以下语句，ALTERINDEX、CREATEUSER、CREATETABLE的权限。其（2）object权限，指在一个已指定的数据库对象中，和一个特定的操作进行联系的权限。

（三）记录追踪功能的设置。在MIS中，最为重要，也最为敏感，同时可能产生疑问的部分，通常是有关资金的数据。所以，它要求，在疑问产生之时，需要对资金的记录情况，进行追踪，弄清楚疑问的来龙去脉，通过在客户端程序以及数据库触发器中，设置控制程序追踪记录，进行分析，并对用户操作进行日志查询，以此来解决有关疑问数据的问题。而记录的内容，通常包以下三个方面：操作所涉及到的相关数据和数据库操作日期以及时间、操作者标识和操作终端标识以及操作类型等。

三、结束语

管理信息系统数据库在现实生活中的重要性，不言而喻，但有关其安全性更是牵动着许多人的神经。确保数据库的安全，就是要保护数据库的完整性、一致性，为数据库备份与恢复，同时要防止非法存取。对数据库进行安全设置，要做到有的放矢，尽量地要达到用户的要求。

参考文献：

[1]林志斌.数据库安全性若干问题的探讨[J].微型机与应用,2008,3

[2]David Lockman.轻松掌握Oracle 8数据库开发[M].健莲工作室.电子工业出版社,2009

[作者简介]冯兴华（1988.9-），男，陕西省延安市人，本科，西安外事学院。