论文部分内容阅读
摘 要:目前,绝大多数企业的信息系统都只是采取了一些比较简单的安全防护措施来保护数据库信息的安全性,对于一些网络病毒、电脑黑客来说这些防护很容易就会被攻破。然而我们要确定数据的安全性,应当在发生攻击后,我们要了解系统是怎样遭到攻击的,更要有回复数据的能力;另外要了解我们的信息系统存在的漏洞在哪里;怎么能够使系统受到攻击就有所回应,并将攻击者的信息保存下来等。数据库安全审计技术就是在这样的需求下被提出的。本文首先阐述了数据库存在的风险,然后提出企业对合规性的要求,提出针对数据库的防护手段。
关键词:数据库安全;数据库安全审计技术;安全防护措施
中图分类号:TP311.13
目前,绝大多数行业的用户业务都是建立在信息系统基础之上。业务的信息化使企业效率提升和持续竞争力,任何的事情都存在两面性,信息系统在给企业带来利益的同时,存在着企业核心信息泄露、系统出现问题的风险,信息系统如若出现任何变故,都可能会使相关业务流程完全失效,信息系统给我们带来便捷和高效的优越性的同时也给企业外部和企业内部人员利用信息系统犯罪带来了极大的容易性和隐蔽性。
数据库系统的出现使信息系统从以加工数据的程序为中心转向围绕共享的数据库为中心,既便于数据的集中管理,又有利于应用程序的研制和维护,提高了数据的利用率和相容率,提高了决策的可靠性。数据库系统更应该作为信息系统安全性中最重要的重点予以保护。数据库系统承载着企业单位、企业部门的各种人员信息、业务信息等数据,诸如业务报表数据、员工信息数据、销售产品数据、产品类型数据等等,这些数据企业的核心数据,我们在信息时代最主要的就是要确保这些重要信息的完整性、真实性和安全性。
信息安全管理体系ISMS明确的组织体系,是安全管理的一个重要组成部分的基本安全措施。内部的组织管理,职责分离是有效地减少意外或故意非法访问、误用和滥用的有效方法,但极少数的企业现实真正分离。信息化建设衍生的计算机操作员、数据录入员、应用程序员、系统程序员、系统分析员、安全管理员、数据库管理员、网络管理员、系统管理员等岗位的不断发展,但企业的行列信息化建设和扩张计划都难以涵盖所有的位置,企业信息员身兼数职也司空见惯。
为了避免没有完全实现职责分离的企业信息系统带来的潜在风险,信息审计作为补偿责任分工已成为一个重要的基本措施,提高内部控制和数据库审计数据大大降低了现有的企业信息风险。
1 数据库存在的风险
企业最具有价值、最具有重要、最具有核心,同时也是最敏感的信息资源库存——数据库,很容易受到攻击者利用Web应用程序实现用更直接地访问违规操作外部攻击和内部员工,从而直接或间接地导致了企业的核心业务、客户资料、财务报表、人事档案、以及生产数据等有安全性有一定风险的。因此,对于操作风险和数据安全管理已经引起了政府、行业和企业高层管理人员的重视。
在安全性方面的风险管理,与企业和政府信息化建设的不断发展提示信息价值不断提升。随着业务与IT不断融合和数据共享扩展的需求,数据库安全面临着管理、技术、以及审计风险的许多方面。在考虑这些风险,企业需要一个数据可以删除漏洞、定位、确认用户访问,监控、安全数据库活动的策略,而且还可以减少在数据库级别的风险。
2 企业合规性需求
在中国,由于治理机构清晰和到位,作为企业管理的基础提升公司治理已成为一个现实问题。在推进企业管理、建立规范、高效的现代企业制度,使规范各个环节的企业经营处于受控状态,实现“透明、控制和效率”,从而实现中国国有企业改革和上市公司所期望的方向发展。
金融、证券及期货事务监察委员会、审计署、中国银行业监督管理委员会、保险监督管理委员会颁发五部委“企业内部控制基本规范”等要求,以保证信息系统的审计工作,以确保信息系统的安全性控制、权限设置、可审计性、完整性、连贯性、正确性和及时性等。
信息系统中的网络操作及业务系统操作通过数据库审计实现审计记录,便于及时发现违规操作及可疑行为,及时采取相应的措施。通过数据库安全审计,能够对发生的安全事件及时响应,不断跟踪网络操作和安全事件的变化,准确了解信息系统的安全状况,并根据依据变化进行调整,确保保护重要业务数据的安全,满足企事业单位的安全要求。
3 数据库自身日志审计的缺陷及危害
数据库服务器一般都具有自身的日志审计功能,可以分为多种类型,如:SQL语句跟踪,连接审计,C2审计等,可以把修改配置项设置为启动或关闭的状态,但是日志审计功能存在以下自身缺陷和危害:
(1)非智能设计:日志审计功能只是简单的日志记录,而不能灵活的配置,也不能帮助管理人员及时发现相关问题,进行快速定位问题。
(2)无法监测报警:数据库自身的日志审计,没有并监测报警的功能,故无法第一时间将异常信息报告给数据库管理者,只用于问题查证。
(3)删除日志记录:日志审计的记录会存放在一个指定的文件或一个表内,所以如果是故意攻击者或着拥有相应权限的用户有权利删除日志文件,从而将记录消除。
(4)影响数据库服务器的资源和性能:设置开启的日志审计功能,出现日志无法写入的情况时,数据库就会停止;有一部分日志审计功能运行的同时会记录大量信息占用大量的硬盘空间,最终导致数据库服务的性能大大,甚至影响数据库服务的正常运作。
4 针对数据库的防护
数据库审计系统是集动态基线保护技术、访问与反馈结果的双向审计技术、主流数据库与国产数据库的专用协议解析分析技术、非法操作阻断技术、中间件关联审计技术、多报警响应方式的先进数据库审计产品。
数据库安全审计系统主要是对数据库服务器上的各种操作进行旁路监视和记录,根据网络数据的分析,完成智能地、实时地解析对数据库服务器的各种操作、故意攻击事件信息记入数据库审计中方便以后以便对时间的查询与分析,进而完成操作目标数据库系统的监控和审计效果。
提供全面的日志记录、审核数据库的SQL级别的操作、ftp,telnet等维护操作,恢复原来的SQL语句,并记录各种相关的操作信息,如:数据库服务器名、IP地址、MAC地址、端口号、用户名、操作的结果、数据库操作的日期、时间、原来的SQL语句。而网络上的其他系统设备可以发送到接收syslog和SNMP日志信息和查询,可以迅速帮助客户了解网络的运行状况给其它设备。
数据库审计系统提供双向审计功能。双向审计是对数据库客户端的访问行为,以及数据库的返回结果同时审计。相比单向审计,双向审计功能更加全面,注重数据库返回结果的审计。
5 结束语
建立烟草企业数据库审计体系是一个动态的过程,要根据系统构件和应用的变化而循环递进的使用上述方法,完善系统安全,降低企业风险水平。
数据库是许多应用的核心,人们在很早的时候就广泛重视它的安全性。数据库安全审计技术是数据库安全防护的重要手段之一,在国外数据库安全审计技术方面具有相当完整的产品,对于国内来说数据库安全审计技术处于起步阶段,相关技术人员在不断的研究探索,也具有初步的也就成果。由于相关的论文文献相当少,也没有针对数据库安全审计技术进行过深入研究,对于这方面知识的匮乏,使我们更有必要对数据库安全审计技术进行深入的开发与研究,从而为数据库安全性提供保障,降低企事业的风险性。
参考文献:
[1]沈辉,张龙.基于WinPcap的网络数据监测及分析[J].计算机科学,2012(S2).
[2]马俊,高建瓴,孙斌.WinPcap网络舱听技术的研究与改进 2007通信理论与技术新发展[A].第十二届全国青年通信学术会议论文集(下册)[C].北京邮电大学通信网络综合技术研究所,2007.
作者单位:河南中烟工业有限责任公司漯河卷烟厂,河南漯河 462000
关键词:数据库安全;数据库安全审计技术;安全防护措施
中图分类号:TP311.13
目前,绝大多数行业的用户业务都是建立在信息系统基础之上。业务的信息化使企业效率提升和持续竞争力,任何的事情都存在两面性,信息系统在给企业带来利益的同时,存在着企业核心信息泄露、系统出现问题的风险,信息系统如若出现任何变故,都可能会使相关业务流程完全失效,信息系统给我们带来便捷和高效的优越性的同时也给企业外部和企业内部人员利用信息系统犯罪带来了极大的容易性和隐蔽性。
数据库系统的出现使信息系统从以加工数据的程序为中心转向围绕共享的数据库为中心,既便于数据的集中管理,又有利于应用程序的研制和维护,提高了数据的利用率和相容率,提高了决策的可靠性。数据库系统更应该作为信息系统安全性中最重要的重点予以保护。数据库系统承载着企业单位、企业部门的各种人员信息、业务信息等数据,诸如业务报表数据、员工信息数据、销售产品数据、产品类型数据等等,这些数据企业的核心数据,我们在信息时代最主要的就是要确保这些重要信息的完整性、真实性和安全性。
信息安全管理体系ISMS明确的组织体系,是安全管理的一个重要组成部分的基本安全措施。内部的组织管理,职责分离是有效地减少意外或故意非法访问、误用和滥用的有效方法,但极少数的企业现实真正分离。信息化建设衍生的计算机操作员、数据录入员、应用程序员、系统程序员、系统分析员、安全管理员、数据库管理员、网络管理员、系统管理员等岗位的不断发展,但企业的行列信息化建设和扩张计划都难以涵盖所有的位置,企业信息员身兼数职也司空见惯。
为了避免没有完全实现职责分离的企业信息系统带来的潜在风险,信息审计作为补偿责任分工已成为一个重要的基本措施,提高内部控制和数据库审计数据大大降低了现有的企业信息风险。
1 数据库存在的风险
企业最具有价值、最具有重要、最具有核心,同时也是最敏感的信息资源库存——数据库,很容易受到攻击者利用Web应用程序实现用更直接地访问违规操作外部攻击和内部员工,从而直接或间接地导致了企业的核心业务、客户资料、财务报表、人事档案、以及生产数据等有安全性有一定风险的。因此,对于操作风险和数据安全管理已经引起了政府、行业和企业高层管理人员的重视。
在安全性方面的风险管理,与企业和政府信息化建设的不断发展提示信息价值不断提升。随着业务与IT不断融合和数据共享扩展的需求,数据库安全面临着管理、技术、以及审计风险的许多方面。在考虑这些风险,企业需要一个数据可以删除漏洞、定位、确认用户访问,监控、安全数据库活动的策略,而且还可以减少在数据库级别的风险。
2 企业合规性需求
在中国,由于治理机构清晰和到位,作为企业管理的基础提升公司治理已成为一个现实问题。在推进企业管理、建立规范、高效的现代企业制度,使规范各个环节的企业经营处于受控状态,实现“透明、控制和效率”,从而实现中国国有企业改革和上市公司所期望的方向发展。
金融、证券及期货事务监察委员会、审计署、中国银行业监督管理委员会、保险监督管理委员会颁发五部委“企业内部控制基本规范”等要求,以保证信息系统的审计工作,以确保信息系统的安全性控制、权限设置、可审计性、完整性、连贯性、正确性和及时性等。
信息系统中的网络操作及业务系统操作通过数据库审计实现审计记录,便于及时发现违规操作及可疑行为,及时采取相应的措施。通过数据库安全审计,能够对发生的安全事件及时响应,不断跟踪网络操作和安全事件的变化,准确了解信息系统的安全状况,并根据依据变化进行调整,确保保护重要业务数据的安全,满足企事业单位的安全要求。
3 数据库自身日志审计的缺陷及危害
数据库服务器一般都具有自身的日志审计功能,可以分为多种类型,如:SQL语句跟踪,连接审计,C2审计等,可以把修改配置项设置为启动或关闭的状态,但是日志审计功能存在以下自身缺陷和危害:
(1)非智能设计:日志审计功能只是简单的日志记录,而不能灵活的配置,也不能帮助管理人员及时发现相关问题,进行快速定位问题。
(2)无法监测报警:数据库自身的日志审计,没有并监测报警的功能,故无法第一时间将异常信息报告给数据库管理者,只用于问题查证。
(3)删除日志记录:日志审计的记录会存放在一个指定的文件或一个表内,所以如果是故意攻击者或着拥有相应权限的用户有权利删除日志文件,从而将记录消除。
(4)影响数据库服务器的资源和性能:设置开启的日志审计功能,出现日志无法写入的情况时,数据库就会停止;有一部分日志审计功能运行的同时会记录大量信息占用大量的硬盘空间,最终导致数据库服务的性能大大,甚至影响数据库服务的正常运作。
4 针对数据库的防护
数据库审计系统是集动态基线保护技术、访问与反馈结果的双向审计技术、主流数据库与国产数据库的专用协议解析分析技术、非法操作阻断技术、中间件关联审计技术、多报警响应方式的先进数据库审计产品。
数据库安全审计系统主要是对数据库服务器上的各种操作进行旁路监视和记录,根据网络数据的分析,完成智能地、实时地解析对数据库服务器的各种操作、故意攻击事件信息记入数据库审计中方便以后以便对时间的查询与分析,进而完成操作目标数据库系统的监控和审计效果。
提供全面的日志记录、审核数据库的SQL级别的操作、ftp,telnet等维护操作,恢复原来的SQL语句,并记录各种相关的操作信息,如:数据库服务器名、IP地址、MAC地址、端口号、用户名、操作的结果、数据库操作的日期、时间、原来的SQL语句。而网络上的其他系统设备可以发送到接收syslog和SNMP日志信息和查询,可以迅速帮助客户了解网络的运行状况给其它设备。
数据库审计系统提供双向审计功能。双向审计是对数据库客户端的访问行为,以及数据库的返回结果同时审计。相比单向审计,双向审计功能更加全面,注重数据库返回结果的审计。
5 结束语
建立烟草企业数据库审计体系是一个动态的过程,要根据系统构件和应用的变化而循环递进的使用上述方法,完善系统安全,降低企业风险水平。
数据库是许多应用的核心,人们在很早的时候就广泛重视它的安全性。数据库安全审计技术是数据库安全防护的重要手段之一,在国外数据库安全审计技术方面具有相当完整的产品,对于国内来说数据库安全审计技术处于起步阶段,相关技术人员在不断的研究探索,也具有初步的也就成果。由于相关的论文文献相当少,也没有针对数据库安全审计技术进行过深入研究,对于这方面知识的匮乏,使我们更有必要对数据库安全审计技术进行深入的开发与研究,从而为数据库安全性提供保障,降低企事业的风险性。
参考文献:
[1]沈辉,张龙.基于WinPcap的网络数据监测及分析[J].计算机科学,2012(S2).
[2]马俊,高建瓴,孙斌.WinPcap网络舱听技术的研究与改进 2007通信理论与技术新发展[A].第十二届全国青年通信学术会议论文集(下册)[C].北京邮电大学通信网络综合技术研究所,2007.
作者单位:河南中烟工业有限责任公司漯河卷烟厂,河南漯河 462000