系统数据安全

浅谈数据安全防护措施

余长江雷武龙王红艳

【摘要】随着信息技术的发展和广泛应用，经济、政治、科技等各方面的电子信息化程度越

来越高，越来越多的关键业务系统运行在数据库平台上。随着高级网络攻击日益猖獗，由于

员工使用便携式存储设备而带来的数据窃取和数据意外泄露情况屡见不鲜，信息泄露事件频

繁发生，企业、个人数据安全遭遇了较为严重的安全威胁。数据一旦泄露或丢失，就可能造

成重大损失，甚至造成一定的社会影响。因此，人们对数据安全的关注程度越来越高，对数

据安全防护措施的研究探索也越来越重视。

【关键词】数据库;安全防护;黑客;网络通道

一、做好数据库系统用户认证

口令认证方式是鉴别数据库系统用户身份最基本的方式。严格的账号和密码管理机制是实现

数据库系统安全的首要问题。

一是合理规划用户账号。在新的数据库系统安装时，通常会要求安装若干默认账号，而这些

账号、密码以及权限都是公开的，恰恰为攻击者提供了目标和机会。不再使用或不再需要的

账号，也会增加安全风险。因此，为确保账号的安全，应避免因安装或删除不需要的账号而

带来不必要的危险。

二是强化密码安全防护意识。一个随意选择又长期未变更的密码对于数据库系统来说，是致

命隐患。由于新信息技术的发展，一般性密码设置方式设置的密码，很容易被破解。因此，

在制定数据库系统密码规范时，应该尽可能增加其复杂性和科学性，包括密码生存周期、宽

限时间、密码重复使用（最大）时间、登录失效、账号锁定和密码验证功能。

二、严格数据库系统的访问控制

访问控制是允许或禁止访问资源的过程。基于角色的访问控制是一种数据库权限管理机制，

它根据不同的职能岗位划分角色，资源访问权限被封装在角色中，而用户被赋予角色，通过

角色来间接访问资源。在给角色或用户授权时，必须遵循最小权限和特权分离的基本安全原

则。

一是最小权限原则。只需授予列级权限的不授予表级权限，只需授予表级权限的不授予库级

权限，只需授予对象权限的不授予系统权限。此外，在确定不需要使用某种权限时要及时收

回角色和权限。最小权限原则有效地限制、分割了用户对数据资源进行访问时的权限，降低

了非法用户或非法操作可能给系统及数据带来的损失。

二是特权分离原则。利用角色間约束能力实现权力之间的制约，即数据库管理员、系统安全

员和系统审计员三个角色是互斥的，一个用户最多拥有这三个角色之一。特权分离原则有利

于保证权力之间的制衡和监督，能减少未经授权访问和欺诈行为发生的概率。

三、加密重要数据

数据加密是保证数据库系统中数据保密性和完整性的有效手段。数据库系统的加密措施是指

对数据库系统中的重要数据进行加密处理，确保只有当系统的合法用户访问有权限的数据

时，系统才把相应的数据进行解密操作。否则，数据库系统应当保持重要数据的加密状态，

以防止非法用户利用窃取到的明文信息对系统进行攻击。

四、做好数据容灾备份与故障恢复

备份与恢复是实现数据库系统安全运行，确保数据库系统因各种原因发生系统故障时，能尽

快投入再使用的重要保证。按照数据库系统所遭受破坏程度的不同，备份与恢复措施可分为

灾难性备份和非灾难性备份。灾难性备份措施是通过设置主数据库系统的远程异地备份，以

备数据库系统遭受突发陛、灾难性事故时启用。非灾难性备份措施是采用数据库标准备份、

专用备份设备等方式进行全系统备份、差异备份和增量备份，以确保在数据库系统无法正常

工作时，利用已有的数据备份能尽快有效地把数据库还原到事发前的状态，同时保持数据的

完整性和一致性。

五、保护数据访问网络通道

防病毒软件和防火墙虽然提供了一定级别的安全防护，但并不能因此认为网络通信就是安全

的。数据库监听程序作为连接数据库服务端的网络进程，正经受着巨大的攻击风险。首要的

任务是对监听过程进行密码保护，而改变默认端口也是确保数据库监听器安全的一种好办

法。通过配置数据库监听，可以使其允许或不允许客户IP地址的访问。这也是保护数据库

不受非预期用户访问的简单而有效的方法。

六、做好终端防护加密

大量数据往往会在终端使用，防火墙和网关中的简单模式数据泄露防护（DLP）控制并不能

对其进行有效的保护。DLP终端则可以保护在线和离线网络设备，以控制复制、打印或传送

的数据（包括传送到便携式媒体驱动器上的数据）。当数据必须离开网络或终端时，用户可

以通过实施加密措施来加强对信息的控制。

七、提防恶意软件和黑客攻击

由于互联网技术的快速发展，恶意软件和黑客攻击活动也日益增多，杀毒软件、防火墙、

URL过滤等传统防御措施正在日渐失效。终端用户的安全意识应该越来越强，企业应积极开

展网络钓鱼测试，并且选择相关人员进行训练，使他们可以了解如何检测网络钓鱼企图。电

子邮件防御系统也应该能够提供沙盒，在用户点击链接时实时分析URL。

本文从数据库系统的身份验证、访问控制、数据加密以及数据备份与恢复、终端防护加密、

提防恶意软件和黑客攻击等方面提出了具体的安全保护措施，这些措施在实际运用中还应该

根据具体应用环境的安全需要，紧密结合网络安全、操作系统安全进行分析，并制定统一的

安全管理策略。虽然我们防护的是数据库系统、终端、网络等，但是防护的主题依然是那些

网络中的价值数据。保护数据源仍是我们最需要关注的，而不管环境和防护策略如何变化，

贴近数据核心的防护总是最有效的。出于这种考虑，个人、企业甚至国家采用灵活且具有针

对性的加密软件进行数据安全防护就是最好的选择。

-全文完-