信息系统与人们的工作生活关系密切,日常办公几乎已经无法离开信息系统,而数据是整个信息系统的核心和关键所在。在信息系统面临的威胁中,数据是攻击者攻击的首要目标,数据的有效性和完整性极易受到破坏。这其中最严重的是数据被篡改。一旦数据被篡改将会带来不可挽回的后果,甚至造成不良影响。使用数据加密和数据过滤等方法来保障信息系统数据的安全。
1 信息系统数据面临的威胁
数据安全是为了防止数据被偶然的或故意的非法泄露、变更、破坏,或是被非法识别和控制,以确保数据完整、保密、可用。数据的安全包括了存储的安全和使用过程中的安全。
存储在数据库中的数据会被非法窃取、篡改。使用加密方案可以有效防止数据被篡改.配合信息系统使用消息摘要可以保障数据库中的数据的合法有效性。从而避免数据被篡改之后带来不良后果。
2 数据库安全及数据库中的数据安全
数据库中存放着整个信息系统的数据,其中的数据可能会遇到威胁。另外,数据库文件本身也可能会受到威胁。数据库中的数据和数据库文件可能遇到的威胁来自两方面。
一方面是攻击者假冒合法用户,使用合法的数据库帐号和密码登录,在获得了数据库的使用权限后就能对数据库进行操作,直接添加数据.删除数据或者修改数据。那些被修改的数据一但在Intemet上公开,将会造成严重的后果,因此必须要保障数据不被篡改,使用数据一致性校验可以验证数据的完整性,有效防止数据被篡改,即使用户获得合法用户身份也必须知道数据校验机制才能添加合法数据。在数据库表中增加一列数据字段,用来存放数据校验码。首先把数据表中重要字段按照一定的顺序做连接运算,把运算的结果用单向散列甬数加密,得到一个消息摘要,取某字段的一部分数据与该消息摘要做连接运算,把得到的结果存人校验字段。之所以要用消息摘要与某字段的一部分相连接是为了迷惑攻击者。因为消息摘要都有其固定的长度,一眼就能看出来,用其他数据与之相连接,这样就可以得到不同长度的数据,有利于消息摘要的安全。
另一方面是数据库文件受到的威胁.攻击者利用系统漏洞。或者计算机被病毒感染都可能造成数据库文件损坏或者被非法删除。预防此类威胁可以采用数据异地容灾备份方法实现数据的安全备份。
3 数据使用过程中的安全
传统MIS与Internet/Intranet的有机结合,使得数据库的访问方式从传统的本地访问变成远程访问。由于系统使用的是开放模式,带来了不少安全威胁。主要遇到的威胁如SQL注入。可以从两方面来防止sql注入带来的威胁。
一方面使用数据过滤方法,即sql关键字过滤方法可以防止sql注入。正则表达式通常被用来检索,或替换那些符合某个模式的文本内容。使用正则表达式可以检索出sql语句中的关键字,这样可以防止SQL注人。对于一个信息系统来说除了使用关键字进行过滤,还可以对数据类型作相关规定,避免sql注入。比如很多信息的显示都是通过对序号的索引来显示一个完整的信息,序号都是数字类型的,在信息系统中可以对收到的数据进行强制类型转换,转换成数字类型后再到数据库中查询相关信息,这样就能有效避免sql攻击。除了限制数据类型来对接收到的数据进行规范,还可以限制数据长度来防止sql注入。
另一方面,为了防止非法篡改的数据显示在Internet上,需要结合数据库中的数据校验字段来对输出的信息进行校验。对将要显示到Internet上的数据使用据库中的校验字段进行数据一致性校验,通过校验就显示,否则不显示,这样能有效避免篡改信息带来不良影响。
4 结束语
综上所述,在数据库中加入一致性校验字段,能有效保障信息系统中数据的安全,攻击者要通过一致性验证必须知道连接字段的连接顺序和加密方式。数据一致性校验和信息系统同时使用能更好的防止信息被非法篡改,给信息系统带来不良后果。最后,配合数据一致性校验使用数据异地容灾备份方法实现数据的安全备份。
【编辑推荐】