三网合一形势下的企业数据库安全策略

一、三网合一安全问题简述

    三网合一也称为三网融合，我国最早是在2001年十五计划纲要中明确提出来的，而现在正在为阶段性的试点时期，并已经成为最热门的技术和热门话题之一。

    通俗来说，三网融合就是在电信网、电视网和互联网技术趋于一致的发展趋势下，打破各自界限，在网络层面资源共享、业务层面互相渗透和逐步融合的一种新型的信息服务监管体系。而其权威的官方定义，来自2010年《关于印发国务院关于印发推进三网融合总体方案的通知》，三网融合： “是指电信网、广播电视网、互联网在向宽带通信网、数字电视网、下一代互联网演进过程中，其技术功能趋于一致，业务范围趋于相同，网络互联互通、资源共享，能为用户提供语音、数据和广播电视等多种服务。”三网合一的安全问题大体可以分为网络安全与信息内容安全两个层次：网络安全主要是解决网络系统的可用、稳定及可控，保证网络系统的正常可靠运行， 防护恶意行为、保护合法用户，其威胁主要来自网络系统软硬件非正常状态、恶意攻击、安全漏洞等；信息内容安全主要是解决数据信息的完整、保密、真实和可控，防止信息内容泄露、窃取或篡改，其威胁主要来自隐私信息盗用、不良信息传播、知识产权保护等等。

    三网合一安全问题的两个层次也是互相渗透互相影响的。对于企业数据库来说，在三网合一的形势下，其安全问题的重点主要是信息安全。

二、三网合一形势下企业数据库安全分析

    (一)企业数据安全环境的变化。对于传统的移动通信和广播电视来说，其承载业务单一，参与的主体也较单纯，因此具有相对清晰的安全边界，其所要面临的安全问题也大多是自身领域内的问题。而在三网合一的形势下，高速互联网、移动网络和广播电视网络进行融合，各种业务都会混杂在一起。由于传统互联网络在物理和逻辑上并没有进行很好的隔离，使得三网融合的参与主体呈现复杂性，既包括网络运维人员，也包括社会大众，其安全特点呈现出明显的无网络边界的特征。

    而且在三网合一的背景下，大多数企业也必会顺应科技的发展，在企业战略的选择上可能会倾向于多业务运营。充分利用三网合一的便捷，应用互动电视、网络接入、企业专线、IP语音等多种技术，为企业发展增添新的活力和途径。而企业的各项核心业务都会承载于其核心的数据库系统，一旦企业的数据库系统出现安全问题，后果不可想象。可以说，网络的开放性和无国界性，既给参与其中的企业提供了机遇，但也对其数据信息的安全管理提出了新的要求。

    (二)企业数据库安全威胁。对于企业来说，尤其是一些大企业，其信息网络往往结构庞杂，业务应用也是多种多样。三网融合的背景下，企业的业务应用可能会涉及到业务审批系统、电子报文系统、企业管理系统、网络服务系统、企业数据库的后台管理系统、运营业务管理系统、宽带系统及软硬件系统等等。而这些系统的核心就是企业数据库。

    对于企业管理系统的管理和操作人员来说，他们所面临的最大挑战就是怎样有效的管理和监控企业核心数据库系统，同时要面临如何规范企业员工的网络行为等一系列问题。而一旦在某方面出现漏洞，对于一些关键的应用保障机制，管理措施和管理手段跟不上的话，企业的数据库库可能会得不到有效、合理的运用，造成企业数据库系统效率低下、运维出现问题，甚至会引发一系列安全问题：一是对于企业核心数据库的非法操作。包括对企业数据库的登录、注销，以及对于数据库中的数据表的插入、修改、删除操作。二是对于数据库安全事件反映不及时。对于违反数据库安全策略的事件，做不到及时响应、追踪和取证。三是对于数据库异常事件不能预警和快速定位。四是企业网络异常。而对于这种异常的原因，管理人员却无法分析和判断。

三、三网合一形势下企业数据库安全策略

    (一)网络层面的常规维护策略。三网合一的背景下，企业数据库不可避免会面对网络开放，网络系统的安全是企业数据库安全的第一道屏障。而企业数据库也会面临网络入侵的威胁，企业信息系统的机密性、完整性和可用性都会面临考验。因此，在网络层面的安全策略应该着重于以下几点：一是以防火墙技术作为企业数据库系统的第一道防线，包括数据包过滤器、代理和状态分析等，但因其只是用事先设定的规则来拦截信息流的进出，故此防火墙无法阻拦来自网络内部的非法操作：二是应用入侵检测技术，监控网络系统是否被入侵或滥用，包括网络签名、统计和数据完整性分析，但独立的入侵监测系统存在运作上的不足；三是可采用协作式入侵监测技术，组件见自动交换信息，可用于各种网络环境。

    (二)数据库内部信息安全策略。企业数据库内部信息安全策略主要包括以下几点：一是加密数据库，这是企业数据库安全的关键手段，可以避免被绕过数据库安全机制而直接访问数据库，可不受密钥长度限制，但不能采用一般通用的加密技术，而必须针对企业数据库的特点，使用相应的加密方法和密钥管理方法；二是采用数据分级控制的策略，根据安全要求和数据重要程度定义密级，如公用级、秘密级、机密级、绝密级等，并对不同权限用户设置相应级别，使系统能够实现“信息流控制”，避免非法信息流动；三是当数据库遭到破坏时，要有可靠的数据库备份数据用以恢复，使系统快速恢复系统运行。严格的数据备份与恢复管理，是保障企业数据库系统安全的有效手段。备份可以分为硬件级和软件级，而其恢复可以通过磁盘镜像、备份文件和在线日志等方法。

四、结语

    需要注意的是，三网合一对于企业数据库来说，从单体、独立防御走向整体联合防御已经是安全解决方案的大势所趋。企业必须要能够预见风险和问题，制定出适合自己数据库安全维护的具体策略。

核心关注：拓步ERP系统平台是覆盖了众多的业务领域、行业应用，蕴涵了丰富的ERP管理思想，集成了ERP软件业务管理理念，功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理，全面涵盖了企业关注ERP管理系统的核心领域，是众多中小企业信息化建设首选的ERP管理软件信赖品牌。

转载请注明出处：拓步ERP资讯网http://www.toberp.com/

本文标题：三网合一形势下的企业数据库安全策略

本文网址：http://www.toberp.com/html/consultation/1083954099.html