信息系統與人們的工作生活關系密切,日常辦公幾乎已經無法離開信息系統,而數據是整個信息系統的核心和關鍵所在。在信息系統面臨的威脅中,數據是攻擊者攻擊的首要目標,數據的有效性和完整性極易受到破壞。這其中最嚴重的是數據被篡改。一旦數據被篡改將會帶來不可挽回的后果,甚至造成不良影響。使用數據加密和數據過濾等方法來保障信息系統數據的安全。
1 信息系統數據面臨的威脅
數據安全是為了防止數據被偶然的或故意的非法泄露、變更、破壞,或是被非法識別和控制,以確保數據完整、保密、可用。數據的安全包括了存儲的安全和使用過程中的安全。
存儲在數據庫中的數據會被非法竊取、篡改。使用加密方案可以有效防止數據被篡改.配合信息系統使用消息摘要可以保障數據庫中的數據的合法有效性。從而避免數據被篡改之后帶來不良后果。
2 數據庫安全及數據庫中的數據安全
數據庫中存放著整個信息系統的數據,其中的數據可能會遇到威脅。另外,數據庫文件本身也可能會受到威脅。數據庫中的數據和數據庫文件可能遇到的威脅來自兩方面。
一方面是攻擊者假冒合法用戶,使用合法的數據庫帳號和密碼登錄,在獲得了數據庫的使用權限后就能對數據庫進行操作,直接添加數據.刪除數據或者修改數據。那些被修改的數據一但在Intemet上公開,將會造成嚴重的后果,因此必須要保障數據不被篡改,使用數據一致性校驗可以驗證數據的完整性,有效防止數據被篡改,即使用戶獲得合法用戶身份也必須知道數據校驗機制才能添加合法數據。在數據庫表中增加一列數據字段,用來存放數據校驗碼。首先把數據表中重要字段按照一定的順序做連接運算,把運算的結果用單向散列甬數加密,得到一個消息摘要,取某字段的一部分數據與該消息摘要做連接運算,把得到的結果存人校驗字段。之所以要用消息摘要與某字段的一部分相連接是為了迷惑攻擊者。因為消息摘要都有其固定的長度,一眼就能看出來,用其他數據與之相連接,這樣就可以得到不同長度的數據,有利于消息摘要的安全。
另一方面是數據庫文件受到的威脅.攻擊者利用系統漏洞。或者計算機被病毒感染都可能造成數據庫文件損壞或者被非法刪除。預防此類威脅可以采用數據異地容災備份方法實現數據的安全備份。
3 數據使用過程中的安全
傳統MIS與Internet/Intranet的有機結合,使得數據庫的訪問方式從傳統的本地訪問變成遠程訪問。由于系統使用的是開放模式,帶來了不少安全威脅。主要遇到的威脅如SQL注入。可以從兩方面來防止sql注入帶來的威脅。
一方面使用數據過濾方法,即sql關鍵字過濾方法可以防止sql注入。正則表達式通常被用來檢索,或替換那些符合某個模式的文本內容。使用正則表達式可以檢索出sql語句中的關鍵字,這樣可以防止SQL注人。對于一個信息系統來說除了使用關鍵字進行過濾,還可以對數據類型作相關規定,避免sql注入。比如很多信息的顯示都是通過對序號的索引來顯示一個完整的信息,序號都是數字類型的,在信息系統中可以對收到的數據進行強制類型轉換,轉換成數字類型后再到數據庫中查詢相關信息,這樣就能有效避免sql攻擊。除了限制數據類型來對接收到的數據進行規范,還可以限制數據長度來防止sql注入。
另一方面,為了防止非法篡改的數據顯示在Internet上,需要結合數據庫中的數據校驗字段來對輸出的信息進行校驗。對將要顯示到Internet上的數據使用據庫中的校驗字段進行數據一致性校驗,通過校驗就顯示,否則不顯示,這樣能有效避免篡改信息帶來不良影響。
4 結束語
綜上所述,在數據庫中加入一致性校驗字段,能有效保障信息系統中數據的安全,攻擊者要通過一致性驗證必須知道連接字段的連接順序和加密方式。數據一致性校驗和信息系統同時使用能更好的防止信息被非法篡改,給信息系統帶來不良后果。最后,配合數據一致性校驗使用數據異地容災備份方法實現數據的安全備份。
