1 企业信息化管理中数据库管理面临的安全威胁
1.1我国企业信息化管理的现状
随着我国信息安全技术和产品的发展,具备了较好的技术基础与一定的环境条件。进行了系统安全、网络安全、终端安全、信息等级保护、信息保障与安全评估等内容的应用与研究,安全设施逐步从外网向内网深入,从网络的互联互通安全向局域网应用安全深入,推出了许多新的信息安全产品。不过最近网传知名程序员社区CSDN的数据库账号信息泄露,数百万账号的用户名密码在网络上流传,由此可见,其他同类型网站的数据库资料安全状况也不容乐观。同时数据库的安全防护也一直被列为企业IT部门的重要工作之一,但是防范措施和安全投人却参差不齐。据网上流传信息称,遭到泄露的CSDN用户数据库资料、用户名和密码竟然采用了明文,并非加密保存。虽然这一消息尚未得到官方的证实,但是从侧面获悉,也可知晓当前多数企业面对可能会遇到的骇客攻击的安全防范并不十分的严谨。数据库、服务器等一经被骇客攻击,里面的资料便会被骇客盗用。企业数据库被骇客攻陷后,所窃取到的资料在黑市转手的价值不菲。这也是骇客对企业数据库钟爱的原因之一。
1.2我国企业信息化管理中数据库管理存在的安全问题
数据库在企业信息化管理系统中的核心地位使得数据库面临着更加严重的安全威胁。凡是可能造成数据库中存储数据错误、数据的非法获取、拒绝正常服务等行为都属于对数据库的安全造成了威胁。数据库的安全威胁主要来自人为恶意攻击、设备故障或管理失误等方面。
1.2.1人为恶意攻击
对数据库安全威胁最大的是人为恶意攻击,当前黑客盗取网站用户信息已经形成了1套相关产业链,由于国内部分网站信息安全意识薄弱,未将用户的名文信息进行加密,并且保护措施不力,最终酿成恶果。以前有公司要给网民发垃圾邮件,还要去购买有效用户的信息,现在他们完全不用买了,估计在未来一段时间内,中国网民将会接收到大量的垃圾邮件。此外,也会有部门用户存在银行密码被盗用的危险。同时,如果有商业公司在知道竞争对手相关负责人的网络惯用ID情况下,通过数据库查询到了他的密码,那么还将有一些商业机密外泄的可能。
1.2.2设备故障
目前流行的许多操作系统均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC。防火墙产品自身是否安全,是否设置错误,需要经过检验。采用的TCP/IP协议族软件,本身缺乏安全性。比如在2010年11月Gawker遭受的重创中,部分原因就是密码信息惨遭泄露,这些密码被几十年未更新过的陈旧加密技术保护着。而这一情况并非特例。许多企业都需要对数据进行加密,但使用的却是超级老旧的加密方式,这简直像是在用纸做的盔甲来保护自己的身体。
1.2.3管理失误
(1)企业数据在网络传递过程中,有可能被竞争对手非法截取;
(2)网络系统的合法用户被非法人侵者仿冒;
(3)网络数据库服务器被攻击者攻击得手;
(4)网络信息系统的处理程序被黑客或病毒非法修改。
2 网络环境下数据库加密技术概况
加密系统是互联网安全保护的核心,任何1个加密系统至少包括下面4个组成部分:
(1)未加密的报文;
(2)加密后的报文;
(3功口密解密设备或算法;
(4)加密解密的密钥。
其安全体系结构见图1。为了保护数据在传递过程中不被别人窃听修改,必须对数据进行加密。这样,即使别人窃取了密文,由于没有密钥而无法将之还原成明文,从而保证了数据的安全性,加密方法有常规密钥加密和公开密钥加密。常规密钥密码体制即加密密钥与解密密钥是相同的。公开密钥主要的特点就是加密和解密使用不同的密钥。
图1 互联网安全技术的体系结构
3 数据库加密技术在企业信息化管理中的应用措施
3.1实行身份认证与授权
对于一般的数据库系统,可以采用访问控制、用户身份认证、授权控制、监视跟踪、安全审计、备份与恢复、反病毒等安全管理技术来构筑其安全体系,以保证数据的安全性和可靠性。由于电子商务系统中的网络数据库保存着重要的商业信息,但某些用户尤其是一些内部用户仍可能非法获取用户名、口令字或利用其他方法越权使用数据库,甚至可以直接打开数据库文件来窃取或篡改信息,所以仅靠上述的安全措施难以完全保证其数据的安全性,因此有必要对数据库中存储的重要数据进行加密处理。
3.2实行数据输入加密控制
由于很多企业信息化数据属于敏感性数据,因此,在数据输人过程中需要有1套合理的安全方案。主要有公开密钥密码系统、DES加密算法等1系列环节。DES加密算法是美国国家标准局(NBS)颁布的1种分组加密算法,由56 bits长度的密钥对64bits分组进行加密,变换成64 bits的输出。公开密钥密码系统是由Diffie, Hellman和Merkle基于数论中的欧拉定理提出的,基本原理是每个用户保存1对密钥一公钥PK和私钥SK,2者不能相互推导。DES算法具有加密效率高的优点,但加密和解密使用同一算法和密钥,密钥和密文必须一同传输,密钥很容易中间被截获。
3.3采用总量数据控制技术
总量数据控制技术可适用于信息处理过程中的任何阶段,其作用是确保数据总量的完整和准确。在信息系统数据的输人、处理和输出过程中,某些位置可以通过不同的手段对信息字段中可计算的数据进行统计,走不同的统计路径统计出来的数据总量应该是完全一致的,如果出现不同,说明某个环节出现问题。统计过程可以是手工操作也可以是计算机计算。如,对订货数量的统计可以采用总量控制技术。
3.4建立透明加密体系结构
透明加密体系结构为3个级别,第1个级别是windows级别:主要使用的是Windows的DPAPI(数据保护API)使用的是用户的凭据,也就是使用用户的密码来对需要保护的对象进行加密的1种方法。在这里主要是使用WINVDOWS级别的用户凭据对第2个级别也就是SQL SERVER服务器级别进行加密,二第2个级别:SQL SERVER的服务器实例级别:这1个层次有1个服务主密钥,但是这个服务主密钥必须使用DPAPI(也就是第1个级别的用户凭据)进行加密而这个服务主密钥又用于对第3个级别:数据库主密钥进行加密。也就是说仁层必须为下层服务。第3个级别:数据库级别:存在1个数据库主密钥:它可以加密数据库中的其他对象位叫卜对称,证书进行保护,但不保护对称密钥),对称密钥不使用数据库主密钥加密,对称密钥使用证书,非对称密钥或是指定的密码加密同时又被第2级别服务主密钥所保护。当数据库中有了数据库主密钥后就可以使用数据库主密钥来保护数据库中的证书和非对称密钥,再使用对称密钥来保护其他对称密钥和数据,当然也可以直接使用证书和非对称密钥来保护数据。
4 数据库加密技术在企业信息化管理中的应用配套措施
4.1检查明显的加密失误
尽管数据库加密工作在部署方面可谓蒸蒸日上,但其中仍然存在着大量失误。例如将数据库加密密钥存储在同1台服务器中以及使用过时的加密算法等。如果大家对自己数据库中的敏感数据进行加密的话,有1种严重的违规行为需要当心,即将用于加密数据的密钥或者用干获取密钥的身份验证资格同加密数据存储在同1套数据库系统内。尽管表面上看来整套体系似乎相当坚固,但事实上它基本没能提供什么有效的保护机制。同时如果让数据库安全专家给出1条能够对未来1年起到广泛辅助作用的提示,那就是提醒我们对数据库的现有疏漏进行修补。在这方面,更新默认登录、系统削减过多的执行特权以及自动检测流程,以找出存在隐患的流氓数据库都是降低安全风险的有效手段。
4.2利用统一安全运维管理平台
建立安全运维管理平台是建立1个覆盖信息中心日常所有业务的管理平台以及覆盖所有信息资产的监控平台,为业务系统的正常运行保障提供信息化的预警支持手段。建立网络集中运行监控体系和运行指标体系,实现人、技术、操作等方面的集中、分级管理和监控,并通过运行分析和安全分析,及时调整运行、安全策略,实时掌握网络与系统的运行情况,及时发现人侵、病毒、异常、故障等安全问题及安全隐患,迅速定位,并尽快解决,成为日常管理、维护的主要技术支撑工具。
4.3建立安全事故应急恢复措施
当数据库安全事故发生之后可以用如下典型的应急恢复计划:找出信息系统中最关键最甭要的需要保护的业务数据及其易损原因;列出恢复系统运行所需要的最基本的硬件、软件和系统管理者性名清单,联系方法;列出灾难性事故发生后一步步处理的具体步骤。
5 结语
随着信息产业的加快开展,企业越来越认识到数据库信息安全的重要性。数据安全问题涉及到企业的切身利益,发展数据安全技术是月前面临的迫切需求,数据加密技术是数据保护最为重要的I道防线随着计算机技术与通信技术的飞速发展,数据加密技术必将不断地得到完善,企业信息系统也必将变得更加安全。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:数据库加密技术在企业信息化管理中的应用