數(shù)據(jù)庫(kù)信息安全風(fēng)險(xiǎn)和風(fēng)險(xiǎn)評(píng)估

[摘 要] 數(shù)據(jù)庫(kù)信息系統(tǒng)的安全管理要求相關(guān)組織在國(guó)家法律法規(guī)依據(jù)下制定合理、有效的安全管理政策，并對(duì)管理組織內(nèi)部人員進(jìn)行各方面培訓(xùn)，提高管理人員的安全意識(shí)和安全素質(zhì)，保證安全管理政策的有效實(shí)施，同時(shí)還要建立健全的安全審計(jì)制度，以便對(duì)安全政策的實(shí)施和效果進(jìn)行監(jiān)督、評(píng)價(jià)。

[關(guān) 鍵 詞] 數(shù)據(jù)庫(kù)；信息；安全風(fēng)險(xiǎn)；風(fēng)險(xiǎn)評(píng)估

[中圖分類(lèi)號(hào)] TP309 [文獻(xiàn)標(biāo)志碼] A [文章編號(hào)] 2096-0603（2016）15-0175-01

數(shù)據(jù)庫(kù)信息系統(tǒng)安全技術(shù)比較常用的有數(shù)據(jù)加密技術(shù)、病毒檢測(cè)技術(shù)、入侵檢測(cè)技術(shù)等，各種安全技術(shù)的應(yīng)用目的是保證系統(tǒng)和信息不受外界干擾，提高組織的信息系統(tǒng)安全性。數(shù)據(jù)信息系統(tǒng)的安全性管理是一個(gè)整體性的概念，不是依靠單一的技術(shù)就能提高相應(yīng)保障的，而是需要技術(shù)與管理相結(jié)合，這樣才能為信息系統(tǒng)提供最大的安全保障。

一、數(shù)據(jù)庫(kù)信息系統(tǒng)的安全風(fēng)險(xiǎn)分析

1.安全攻擊的多樣化趨勢(shì)。大數(shù)據(jù)時(shí)代的到來(lái)意味著社會(huì)的信息化程度又提升了一個(gè)新的高度，作為大數(shù)據(jù)應(yīng)用的支撐，數(shù)據(jù)庫(kù)信息系統(tǒng)的安全問(wèn)題顯得更加重要。在大數(shù)據(jù)的應(yīng)用過(guò)程中，云計(jì)算技術(shù)、分布式計(jì)算技術(shù)以及移動(dòng)計(jì)算等技術(shù)發(fā)揮了至關(guān)重要的作用，然而這些技術(shù)在實(shí)現(xiàn)大數(shù)據(jù)資源應(yīng)用的同時(shí)也帶來(lái)了極大的潛在風(fēng)險(xiǎn)，為攻擊者提供了攻擊形式和攻擊渠道多樣化的條件。如今安全攻擊形式不僅局限于黑客、木馬、病毒，斷網(wǎng)攻擊形式和拒絕服務(wù)攻擊形式也頻繁發(fā)生，而且數(shù)據(jù)采集端口、郵件傳輸端口也成為安全攻擊的重要渠道，對(duì)信息系統(tǒng)安全造成極大的威脅。

2.系統(tǒng)漏洞快速增長(zhǎng)化趨勢(shì)。數(shù)據(jù)庫(kù)漏洞的種類(lèi)繁多和危害性嚴(yán)重是數(shù)據(jù)庫(kù)系統(tǒng)受到攻擊的主要原因，據(jù)CVE的數(shù)據(jù)安全漏洞統(tǒng)計(jì)，Oracle、SQL Server、MySQL等主流數(shù)據(jù)庫(kù)的漏洞逐年上升（如下圖所示）。大數(shù)據(jù)時(shí)代環(huán)境下，為了滿(mǎn)足人們對(duì)數(shù)據(jù)資源的有效利用，很多軟件開(kāi)發(fā)商根據(jù)人們的需求開(kāi)發(fā)了各種應(yīng)用程序，以便滿(mǎn)足人們的數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)應(yīng)用需求，多數(shù)情況下，各種軟件產(chǎn)品的生產(chǎn)沒(méi)有統(tǒng)一技術(shù)規(guī)格，其采用的系統(tǒng)架構(gòu)、數(shù)據(jù)接入端口不同，數(shù)據(jù)的存儲(chǔ)和數(shù)據(jù)提取模式也有不同，斷點(diǎn)續(xù)傳、離線(xiàn)存取等多種存取方式都會(huì)給信息系統(tǒng)帶來(lái)更多風(fēng)險(xiǎn)，導(dǎo)致數(shù)據(jù)庫(kù)信息系統(tǒng)出現(xiàn)更多的安全漏洞，嚴(yán)重威脅數(shù)據(jù)庫(kù)信息系統(tǒng)的安全性。

3.系統(tǒng)安全威脅智能化趨勢(shì)。計(jì)算機(jī)技術(shù)的快速發(fā)展同時(shí)也促進(jìn)了安全攻擊技術(shù)的迅速提升，安全攻擊技術(shù)開(kāi)發(fā)者正采用更加先進(jìn)的思想和技巧提高安全攻擊工具的性能，如今的攻擊工具具有極強(qiáng)的變異特征，不僅具有智能化功能，還具備反偵察能力，其漏洞的發(fā)現(xiàn)和利用速度大幅度提升，對(duì)防火墻的滲透性越來(lái)越高，安全威脅的不對(duì)稱(chēng)性越來(lái)越強(qiáng)，對(duì)網(wǎng)絡(luò)根基設(shè)施的破壞程度越來(lái)越嚴(yán)重，并能夠在不被風(fēng)險(xiǎn)評(píng)估技術(shù)、安全防御技術(shù)發(fā)現(xiàn)的情況下長(zhǎng)時(shí)間潛伏在系統(tǒng)中，其傳播速度極快，可導(dǎo)致系統(tǒng)大范圍感染，一旦爆發(fā)將會(huì)給信息系統(tǒng)帶來(lái)極大的損失。

二、數(shù)據(jù)信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估探討

目前，具有一定可行性的數(shù)據(jù)庫(kù)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)價(jià)技術(shù)主要有安全檢查表法、專(zhuān)家評(píng)估法等，另外還有比較常用的事故樹(shù)分析法，都在數(shù)據(jù)庫(kù)信息安全風(fēng)險(xiǎn)評(píng)估中發(fā)揮了重要作用。不論是哪種風(fēng)險(xiǎn)評(píng)價(jià)技術(shù)，其應(yīng)用價(jià)值的發(fā)揮關(guān)鍵在于系統(tǒng)安全評(píng)估人員的風(fēng)險(xiǎn)分析經(jīng)驗(yàn)，需要評(píng)估人員在風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)依據(jù)下結(jié)合類(lèi)似安全風(fēng)險(xiǎn)案例進(jìn)行風(fēng)險(xiǎn)等級(jí)劃分，同時(shí)也能對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果提出主觀(guān)性意見(jiàn)。

1.安全檢查表法在數(shù)據(jù)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估中的應(yīng)用。該方法的應(yīng)用主要是制定詳細(xì)的數(shù)據(jù)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估內(nèi)容以及風(fēng)險(xiǎn)評(píng)估規(guī)范，完成制定后的安全檢查還需要通過(guò)安全風(fēng)險(xiǎn)評(píng)估專(zhuān)家的逐項(xiàng)評(píng)估，然后應(yīng)用于數(shù)據(jù)庫(kù)信息系統(tǒng)中，并及時(shí)發(fā)現(xiàn)數(shù)據(jù)庫(kù)信息系統(tǒng)存在的風(fēng)險(xiǎn)。

2.專(zhuān)家評(píng)估法在數(shù)據(jù)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估中的應(yīng)用。數(shù)據(jù)庫(kù)信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估在一定程度上可以是根據(jù)系統(tǒng)的運(yùn)行狀況來(lái)判斷，在信息風(fēng)險(xiǎn)評(píng)價(jià)相關(guān)標(biāo)準(zhǔn)的依據(jù)下，通過(guò)對(duì)系統(tǒng)以往運(yùn)行狀況和當(dāng)前運(yùn)行狀況的分析可以對(duì)數(shù)據(jù)庫(kù)信息系統(tǒng)未來(lái)的安全趨勢(shì)進(jìn)行預(yù)測(cè)。在安全風(fēng)險(xiǎn)的專(zhuān)家評(píng)估過(guò)程中，通常采用的方法有質(zhì)疑法和審議法，兩種方法均具有較好的應(yīng)用效果。

3.事故樹(shù)分析法在數(shù)據(jù)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估中的應(yīng)用。事故樹(shù)是一種演繹的安全系統(tǒng)分析方法，廣泛應(yīng)用于安全系統(tǒng)工程中。該方法的特點(diǎn)是進(jìn)行層層分析，對(duì)系統(tǒng)的軟硬件資源進(jìn)行層次劃分，通過(guò)對(duì)風(fēng)險(xiǎn)概率的優(yōu)化和組織找到最有可能發(fā)生風(fēng)險(xiǎn)的資源。事故樹(shù)分析法從要分析的特定事故開(kāi)始，然后通過(guò)層層分析找出故障原因。事故樹(shù)分析法可以對(duì)系統(tǒng)的不安全因素進(jìn)行準(zhǔn)確預(yù)測(cè)，并對(duì)風(fēng)險(xiǎn)造成的可能后果進(jìn)行評(píng)估。

數(shù)據(jù)庫(kù)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估是發(fā)現(xiàn)系統(tǒng)漏洞和安全隱患的重要手段，在信息系統(tǒng)的安全防范中發(fā)揮著舉足輕重的作用。所以，加強(qiáng)對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估技術(shù)的開(kāi)發(fā)和應(yīng)用是目前一個(gè)非常重要的問(wèn)題。

參考文獻(xiàn)：

[1]李永，周冰心.數(shù)據(jù)庫(kù)信息系統(tǒng)安全風(fēng)險(xiǎn)及防范措施分析[J].中國(guó)校外教育（下旬刊），2013（3）：187.

[2]方玲，仲偉俊，梅姝娥，等.脆弱性水平對(duì)信息系統(tǒng)安全技術(shù)策略影響研究[J].大連理工大學(xué)學(xué)報(bào)，2015，55（3）：332-338.