信息系统数据安全防范策略
开篇:润墨网以专业的文秘视角,为您筛选了一篇信息系统数据安全防范策略范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:在信息化社会中,通过IT技术的运用,不断的提高办公效率,降低管理成本,可以说信息在整个信息化过程中起着及其重要的作用。随着信息技术的发展,传统MIS信息系统与Internet/Intranet紧密联系在一起,改变了传统的信息使用方式。这种基于互联网的现代信息管理系统在提高办公效率、管理水平的同时,也带来了比以往更多的安全隐患,在各种安全威胁中,数据的安全尤为重要。
关键词:信息安全;加密;数据安全;数据存储
中图分类号:TP391文献标识码:A文章编号:1009-3044(2011)12-2763-01
Data Security Defending Strategy of Information System
QIAN Lin-hong, DENG jia-rong
(Wenshan University, Wenshan 663000, China)
Abstract: In the information society, office efficiency can be improved and management cost can be cut by using information technology, it's important in the entire process of informatization. As technology progresses, traditional MIS and Internet/Intranet are intricately linked, which has changed the way we use information. This information management system based on Internet brings more security risk while improves the efficiency and management, data security is of vital importance among all kinds of threatens.
Key words: information security; encryption; data security; data storage
信息系统与人们的工作生活关系密切,日常办公几乎已经无法离开信息系统,而数据是整个信息系统的核心和关键所在。在信息系统面临的威胁中,数据是攻击者攻击的首要目标,数据的有效性和完整性极易受到破坏。这其中最严重的是数据被篡改,一旦数据被篡改将会带来不可挽回的后果,甚至造成不良影响。使用数据加密和数据过滤等方法来保障信息系统数据的安全。
1 信息系统数据面临的威胁
数据安全是为了防止数据被偶然的或故意的非法泄露、变更、破坏,或是被非法识别和控制,以确保数据完整、保密、可用。数据的安全包括了存储的安全和使用过程中的安全。
存储在数据库中的数据会被非法窃取、篡改。使用加密方案可以有效防止数据被篡改,配合信息系统使用消息摘要可以保障数据库中的数据的合法有效性,从而避免数据被篡改之后带来不良后果。
2 数据库及数据库中的数据安全
数据库中存放着整个信息系统的数据,其中的数据可能会遇到威胁。另外,数据库文件本身也可能会受到威胁。数据库中的数据和数据库文件可能遇到的威胁来自两方面。
一方面是攻击者假冒合法用户,使用合法的数据库帐号和密码登录,在获得了数据库的使用权限后就能对数据库进行操作,直接添加数据,删除数据或者修改数据。那些被修改的数据一但在Internet上公开,将会造成严重的后果,因此必须要保障数据不被篡改,使用数据一致性校验可以验证数据的完整性,有效防止数据被篡改,即使用户获得合法用户身份也必须知道数据校验机制才能添加合法数据。在数据库表中增加一列数据字段,用来存放数据校验码。首先把数据表中重要字段按照一定的顺序做连接运算,把运算的结果用单向散列函数加密,得到一个消息摘要,取某字段的一部分数据与该消息摘要做连接运算,把得到的结果存入校验字段。之所以要用消息摘要与某字段的一部分相连接是为了迷惑攻击者。因为消息摘要都有其固定的长度,一眼就能看出来,用其他数据与之相连接,这样就可以得到不同长度的数据,有利于消息摘要的安全。
另一方面是数据库文件受到的威胁,攻击者利用系统漏洞,或者计算机被病毒感染都可能造成数据库文件损坏或者被非法删除。预防此类威胁可以采用数据异地容灾备份方法实现数据的安全备份。
3 数据使用过程中的安全
传统MIS与Internet/Intranet的有机结合,使得数据库的访问方式从传统的本地访问变成远程访问。由于系统使用的是开放模式,带来了不少安全威胁。主要遇到的威胁如SQL注入。可以从两方面来防止sql注入带来的威胁。一方面使用数据过滤方法,即sql关键字过滤方法可以防止sql注入。正则表达式通常被用来检索/或替换那些符合某个模式的文本内容。使用正则表达式可以检索出sql语句中的关键字,这样可以防止SQL注入。对于一个信息系统来说除了使用关键字进行过滤,还可以对数据类型作相关规定,避免sql注入。比如很多信息的显示都是通过对序号的索引来显示一个完整的信息,序号都是数字类型的,在信息系统中可以对收到的数据进行强制类型转换,转换成数字类型后再到数据库中查询相关信息,这样就能有效避免sql攻击。除了限制数据类型来对接收到的数据进行规范,还可以限制数据长度来防止sql注入。
另一方面,为了防止非法篡改的数据显示在Internet上,需要结合数据库中的数据校验字段来对输出的信息进行校验。对将要显示到Internet上的数据使用据库中的校验字段进行数据一致性校验,通过校验就显示,否则不显示,这样能有效避免篡改信息带来不良影响。
4 结束语
综上所述,在数据库中加入一致性校验字段,能有效保障信息系统中数据的安全,攻击者要通过一致性验证必须知道连接字段的连接顺序和加密方式。数据一致性校验和信息系统同时使用能更好的防止信息被非法篡改,给信息系统带来不良后果。最后,配合数据一致性校验使用数据异地容灾备份方法实现数据的安全备份。
参考文献:
[1] 胡铮.网络与信息安全[M].北京:清华大学出版社,2006:16-21
[2] 孙静,曾红卫.网络安全检测与预警[J].计算机工程,2001(12):109-110.
[3] 矫健,韩芳溪,毛忠东.网络攻击手段及防御系统设计[J].计算机工程与应用,2003(33):168-170.