如何有效保護(hù)數(shù)據(jù)庫安全？

作者：網(wǎng)絡(luò)轉(zhuǎn)載發(fā)布時(shí)間：[ 2010/11/3 11:24:24 ] 推薦標(biāo)簽：

　　從一則案例說起

　　小冷在一個(gè)單位部門里擔(dān)任網(wǎng)絡(luò)安全主管，維護(hù)著單位重要的信息系統(tǒng)。近，小冷十分郁悶，因?yàn)橛腥税l(fā)現(xiàn)他們單位的上萬筆重要數(shù)據(jù)在網(wǎng)上被人叫賣。小冷的領(lǐng)導(dǎo)很重視這個(gè)事情，讓小冷查清原委。小冷仔細(xì)查對(duì)了存放重要數(shù)據(jù)的數(shù)據(jù)庫，沒有發(fā)現(xiàn)異常，而保護(hù)數(shù)據(jù)庫的IPS和防火墻也沒有什么重要的攻擊警告。小冷又與部門中所有可能接觸到數(shù)據(jù)庫的管理員談話，也一無所獲。小冷又找到使用這些重要數(shù)據(jù)的相關(guān)業(yè)務(wù)部門，可以業(yè)務(wù)部門主管把皮球踢了回來，說信息部門應(yīng)該首先提供相關(guān)證據(jù)，才能在業(yè)務(wù)部門進(jìn)行自查。

　　小冷的調(diào)查工作陷入困境，而領(lǐng)導(dǎo)那邊給他壓力也很大。如何才能杜絕以后發(fā)生類似事件呢？

　　數(shù)據(jù)安全日趨重要

　　隨著信息化、網(wǎng)絡(luò)化水平的不斷提升，重要的數(shù)據(jù)信息越來越受到安全威脅，而大量的重要數(shù)據(jù)往往都存放在數(shù)據(jù)庫系統(tǒng)中，如何保護(hù)數(shù)據(jù)庫，有效防范信息泄漏和篡改成為一個(gè)重要的安全保障目標(biāo)。

　　近幾年，信息泄露、信息篡改等信息安全問題屢見不鮮，所有存在數(shù)據(jù)的地方，只要數(shù)據(jù)是有價(jià)值的，存在風(fēng)險(xiǎn)，有人會(huì)去想法子竊取、篡改、販賣，從中牟利：北京市教育考試院信息篡改事件、教育學(xué)籍信息泄漏事件、深圳孕婦信息的“泄密光盤”、車主股民信息泄露、福彩中獎(jiǎng)信息篡改、“力拓門”事件，從個(gè)人隱私，到企業(yè)的商業(yè)秘密，甚至到政府的核心機(jī)密，都出現(xiàn)了不同程度的信息安全問題。

　　這些案例都告訴我們，數(shù)據(jù)安全保護(hù)十分重要。由于目前大部分重要數(shù)據(jù)都是通過數(shù)據(jù)庫系統(tǒng)來存儲(chǔ)的，因此，數(shù)據(jù)庫安全保護(hù)尤其重要。

　　為了防范信息泄漏和篡改，我國去年頒布實(shí)施的《刑法》（七）修正案修訂了第253條和285條，明確了信息泄漏及篡改將面臨的刑事指控和量刑依據(jù)。其中，第253條指出“機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反規(guī)定，將本單位在履行職責(zé)或者提供服務(wù)過程中獲得的公民個(gè)人信息，出售或者非法提供給他人，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。”

　　在前不久，《南方都市報(bào)》報(bào)道了珠海的一起在《刑法修正案(七)》頒布后的首例侵犯?jìng)€(gè)人信息安全刑事宣判。

　　有了法律依據(jù)后，企事業(yè)單位更應(yīng)該抓緊加固數(shù)據(jù)庫系統(tǒng)，保護(hù)其安全，這既是對(duì)于防范攻擊和違法犯罪的需要，也是盡責(zé)盡職的體現(xiàn)，是對(duì)法律的捍衛(wèi)。

　　此外，根據(jù)等級(jí)保護(hù)相關(guān)要求，《信息系統(tǒng)等級(jí)保護(hù)基本要求》中對(duì)于信息系統(tǒng)在主機(jī)和數(shù)據(jù)庫安全方面明確要求進(jìn)行安全審計(jì)，其中，第三級(jí)要求“審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等�！�

　　防范措施

　　那么，如何才能更加有效地保護(hù)數(shù)據(jù)庫安全，防范信息泄漏和篡改呢？

　　首先，需要加強(qiáng)對(duì)數(shù)據(jù)庫的訪問控制，明確數(shù)據(jù)庫管理和使用職責(zé)分工，小化數(shù)據(jù)庫帳號(hào)使用權(quán)限，防止權(quán)利濫用。同時(shí)，要加強(qiáng)口令管理，使用高強(qiáng)度口令，刪除系統(tǒng)默認(rèn)帳號(hào)口令等。

　　其次，要對(duì)數(shù)據(jù)庫及其核心業(yè)務(wù)系統(tǒng)進(jìn)行安全加固，保護(hù)在系統(tǒng)邊界部署防火墻、IDS/IPS、防病毒系統(tǒng)等，并及時(shí)地進(jìn)行系統(tǒng)補(bǔ)丁檢測(cè)、安全加固。