|
信息系統(tǒng)與人們的工作生活關(guān)系密切,日常辦公幾乎已經(jīng)無法離開信息系統(tǒng)���, 而數(shù)據(jù)是整個信息系統(tǒng)的核心和關(guān)鍵所在�。在信息系統(tǒng)面臨的威脅中�,數(shù)據(jù)是攻擊者攻擊的首要目標,數(shù)據(jù)的有效性和完整性極易受到破壞����。這其中最嚴重的是數(shù)據(jù) 被篡改。一旦數(shù)據(jù)被篡改將會帶來不可挽回的后果�����,甚至造成不良影響�����。使用數(shù)據(jù)加密和數(shù)據(jù)過濾等方法來保障信息系統(tǒng)數(shù)據(jù)的安全。
1 信息系統(tǒng)數(shù)據(jù)面臨的威脅
數(shù)據(jù)安全是為了防止數(shù)據(jù)被偶然的或故意的非法泄露��、變更�����、破壞�����,或是被非法識別和控制���,以確保數(shù)據(jù)完整���、保密、可用���。數(shù)據(jù)的安全包括了存儲的安全和使用過程中的安全�。
存儲在數(shù)據(jù)庫中的數(shù)據(jù)會被非法竊取�����、篡改�。使用加密方案可以有效防止數(shù)據(jù)被篡改.配合信息系統(tǒng)使用消息摘要可以保障數(shù)據(jù)庫中的數(shù)據(jù)的合法有效性。從而避免數(shù)據(jù)被篡改之后帶來不良后果�。
2 數(shù)據(jù)庫安全及數(shù)據(jù)庫中的數(shù)據(jù)安全
數(shù)據(jù)庫中存放著整個信息系統(tǒng)的數(shù)據(jù),其中的數(shù)據(jù)可能會遇到威脅��。另外��,數(shù)據(jù)庫文件本身也可能會受到威脅��。數(shù)據(jù)庫中的數(shù)據(jù)和數(shù)據(jù)庫文件可能遇到的威脅來自兩方面���。
一方面是攻擊者假冒合法用戶�����,使用合法的數(shù)據(jù)庫帳號和密碼登錄�����,在獲得了數(shù)據(jù)庫的使用權(quán)限后就能對數(shù)據(jù)庫進行操作����,直接添加數(shù)據(jù).刪除數(shù)據(jù)或者修 改數(shù)據(jù)���。那些被修改的數(shù)據(jù)一但在Intemet上公開��,將會造成嚴重的后果����,因此必須要保障數(shù)據(jù)不被篡改,使用數(shù)據(jù)一致性校驗可以驗證數(shù)據(jù)的完整性�����,有效 防止數(shù)據(jù)被篡改����,即使用戶獲得合法用戶身份也必須知道數(shù)據(jù)校驗機制才能添加合法數(shù)據(jù)。在數(shù)據(jù)庫表中增加一列數(shù)據(jù)字段�����,用來存放數(shù)據(jù)校驗碼����。首先把數(shù)據(jù)表中 重要字段按照一定的順序做連接運算,把運算的結(jié)果用單向散列甬數(shù)加密���,得到一個消息摘要�,取某字段的一部分數(shù)據(jù)與該消息摘要做連接運算���,把得到的結(jié)果存人 校驗字段�����。之所以要用消息摘要與某字段的一部分相連接是為了迷惑攻擊者���。因為消息摘要都有其固定的長度,一眼就能看出來����,用其他數(shù)據(jù)與之相連接,這樣就可 以得到不同長度的數(shù)據(jù)�����,有利于消息摘要的安全����。
另一方面是數(shù)據(jù)庫文件受到的威脅.攻擊者利用系統(tǒng)漏洞�;蛘哂嬎銠C被病毒感染都可能造成數(shù)據(jù)庫文件損壞或者被非法刪除。預防此類威脅可以采用數(shù)據(jù)異地容災備份方法實現(xiàn)數(shù)據(jù)的安全備份���。
3 數(shù)據(jù)使用過程中的安全
傳統(tǒng)MIS與Internet/Intranet的有機結(jié)合����,使得數(shù)據(jù)庫的訪問方式從傳統(tǒng)的本地訪問變成遠程訪問。由于系統(tǒng)使用的是開放模式�,帶來了不少安全威脅。主要遇到的威脅如SQL注入������?梢詮膬煞矫鎭矸乐箂ql注入帶來的威脅。
一方面使用數(shù)據(jù)過濾方法��,即sql關(guān)鍵字過濾方法可以防止sql注入�����。正則表達式通常被用來檢索���,或替換那些符合某個模式的文本內(nèi)容����。使用正則表 達式可以檢索出sql語句中的關(guān)鍵字,這樣可以防止SQL注人��。對于一個信息系統(tǒng)來說除了使用關(guān)鍵字進行過濾���,還可以對數(shù)據(jù)類型作相關(guān)規(guī)定�����,避免sql注 入。比如很多信息的顯示都是通過對序號的索引來顯示一個完整的信息�,序號都是數(shù)字類型的,在信息系統(tǒng)中可以對收到的數(shù)據(jù)進行強制類型轉(zhuǎn)換�,轉(zhuǎn)換成數(shù)字類型 后再到數(shù)據(jù)庫中查詢相關(guān)信息,這樣就能有效避免sql攻擊����。除了限制數(shù)據(jù)類型來對接收到的數(shù)據(jù)進行規(guī)范,還可以限制數(shù)據(jù)長度來防止sql注入���。
另一方面��,為了防止非法篡改的數(shù)據(jù)顯示在Internet上��,需要結(jié)合數(shù)據(jù)庫中的數(shù)據(jù)校驗字段來對輸出的信息進行校驗�����。對將要顯示到Internet上的數(shù)據(jù)使用據(jù)庫中的校驗字段進行數(shù)據(jù)一致性校驗�,通過校驗就顯示,否則不顯示����,這樣能有效避免篡改信息帶來不良影響。
4 結(jié)束語
綜上所述��,在數(shù)據(jù)庫中加入一致性校驗字段�,能有效保障信息系統(tǒng)中數(shù)據(jù)的安全,攻擊者要通過一致性驗證必須知道連接字段的連接順序和加密方式���。數(shù)據(jù) 一致性校驗和信息系統(tǒng)同時使用能更好的防止信息被非法篡改���,給信息系統(tǒng)帶來不良后果。最后�,配合數(shù)據(jù)一致性校驗使用數(shù)據(jù)異地容災備份方法實現(xiàn)數(shù)據(jù)的安全備 份。
本文出自:億恩科技【mszdt.com】
服務器租用/服務器托管中國五強����!虛擬主機域名注冊頂級提供商�!15年品質(zhì)保障��!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
