【摘要】在我国电网维护的工作中,信息安全问题是个不容忽视的问题,这关系到电力企业信息系统能否正常稳定运行。不过当前地方很多电力企业的安全防护工作并不到位,有很多企业存在不同程度的安全漏洞,本文针对以上情况,对这些安全风险进行分析,并同时给出相应的防范措施,将安全风险降到最低。
【关键词】信息系统;数据库;安全风险
1.引言
当前我国各地的电力企业都加快了数字化进程,各地都在使用各种信息系统,这些系统的数据库主要以SQL server、Oracle为主。但是很多企业的信息系统主要注重功能性和性能,对于安全防护的重要性缺乏足够的重视,这也使得系统存在较大的安全隐患。
2.数据库系统使用情况
当前大多数电力企业使用的系统主要分成生产控制和信息管理两大种类。生产控制系统主要由调度自动化系统和继电保护及故障记录管理系统、电量计量系统、运营系统构成;信息管理系统主要由管理系统、信息管理系统和网站系统构成。而信息管理系统由财务管理、营销管理、人力管理、物流管理等模块构成。本文对这些企业的数据库使用情况作了一份调查,如表1所示。
表1 信息系统数据库系统使用情况统计表
序号 业务系统 Oracle SQL server 其他数据库
1 调度自动化 很高 很低 很低
2 继电保护 很高 适中 很低
3 电量计量 很高 适中 很低
4 电力运营 很高 适中 很低
5 各类专业应用 适中 很高 很低
6 运行管理 很高 很低 很低
7 各类企业管理 很高 适中 低
8 网站系统 适中 较高 低
由表中可见,Oracle使用范围很广,其次是SQL,其他类数据库应用范围较窄。因此本文主要以这两种数据库中遇到的安全问题进行分析,并给出相应的解决方案。
3.信息系统数据库现状
本文在对信息系统的数据库进行模块化分析,发现这些数据库存在了很多安全风险,例如系统权限设置问题、系统口令强度问题、补丁没能按时升级、安全策略没有针对实际应用来设置、审计策略漠视、综合防范措施较差,本文也具体对这些风险隐患进行分析。
3.1 权限设置问题
厂家在系统交付使用时,通常为了安装快捷,会采用系统管理员账号进行安装,虽然会减小大量调试时间,但是就造成了严重的安全隐患,很多黑客就利用默认管理员账号登陆,往往成功率不低。一旦被黑客登陆,那么数据库信息就完全被黑酷控制,后果就不堪设想。
3.2 系统口令强度问题
在很多Oracle数据库中,存在着很多数量的默认账号,而客户通常对这些默认账号不进行任何安全防护,这就很容易被黑客利用。
口令是所有系统中最基本的安全防护措施,默认口令通常是开发者为了方便修改预留的,在数据库系统中,默认口令有很多个,这些口令通常存储在数据库客户端的配置文件中,一旦黑客进入到客户端对这些配置文件进行查看,那么数据库对于黑客而言,就毫无安全防护。
3.3 补丁升级滞后
很多信息软件在运行后,很多公司对于补丁升级的工作不是很重视,甚至是当系统出现病毒或者发生故障,才想起进行补丁升级。其实很多数据库都有一些非常严重的漏洞和后门,开发者在客户使用中反馈的信息对这些系统缺陷进行修复,然后发布升级补丁。而如果使用者不及时更新这些补丁,就很容易被黑客或病毒进行攻击。例如在2008年全球就发生了规模很大的SQL 蠕虫病毒,对全球很多用户造成了不可估计的损失,这就是利用系统中的漏洞,而其实该漏洞开发者早就发布了补丁,那些病毒感染者几乎全都是未及时升级的用户。
3.4 默认安全策略
默认安全策略主要包括口令策略、口令有效时间、默认组件以及默认的远程访问安全策略等。不过在实际使用过程中,因为操作环境和使用功能不同,使用者应结合自身的实际情况进行安全策略的修改。但是在大多数使用者中,都完全按照是默认的安全策略。而默认的安全策略往往都被黑客熟知,并且那些默认的组件有很多客户并不需要的服务和模块,黑客和病毒就是利用这些服务对用户的系统造成很大的威胁。
3.5 危险存储过程
在很多数据库设计时,有很多复杂的功能,这些功能都很多存储过程,用户利用存储过程就可以对数据库进行快速访问和操作。不过在这种快捷的办公环境背后,是巨大的安全隐患。黑客在对系统进行入侵时,往往会借助存储过程来实现对客户系统的入侵。
3.6 信息泄露
信息泄露主要指数据库的banner信息和用户数据泄露。banner包括了数据库的版本、服务名、运行状况,这对黑客而言是相当有价值的信息;而用户数据包括了用户名和密码以及企业内部资料,这些信息如果不进行加密和有效的安全防护,很容易被黑客入侵,对于企业造成致命性的打击。
3.7 设计策略问题
虽然很多数据库都有日志审核功能,但大多数用户为了提高运行速度,选择关闭这项安全防护,而很多信息系统的数据库日志审计功能从安全那天就从未使用过,这就无法在有问题时进行问题跟踪查看。
3.8 综合防护程度较低
目前,很多系统的数据库的综合防护措施程度较低,很多用户对于数据库访问没有设定访问策略,而很多用户则是严重违反安全条例,将数据库主机和应用服务主机设定成一台,还有用户是防火墙没有有效的安全设定,防火墙几乎等于摆设,这些安全问题就造成了黑客或病毒的异常活跃,对用户的系统造成了极大的威胁。
4.数据库系统安全防护措施
4.1 严格控制权限
建议用户使用最小权限创建用户,这样的好处是哪怕该账号被黑客攻击,黑客也仅仅得到相当有限的权限。
此外,在很多在线运行的信息系统,严格控制权限需要开发厂商对系统进行整改,虽然会对系统正常运行造成一些影响,但却在很大程度上提高了安全等级。
对于应用在UNIX环境的数据库,还需要对账户权限进行严格的监控,此外,还需要对于数据库的系统文件和数据文件、配置文件进行权限设置,防治被认为的进行修改或删除。
4.2 加强口令强度
数据库管理员在安全防护工作中需要将没用的账户进行删除,并对常用账号进行口令管理,设置足够复杂的口令,并定期进行修改。最后,审核配置文件,将开发厂商预留的默认账户进行删除。
4.3 及时升级补丁
数据库管理员要每天关注开发厂商发布的升级公告,在不影响系统正常使用的前提下,及时下载升级补丁并安装。
4.4 优化安全策略
对安全策略进行有针对性的设置,例如设置最大错误登陆次数、口令解锁时间、口令复杂度。同时在安装数据库,针对实际使用情况,关闭不需要的服务和模块。
4.5 卸载危险的存储过程
数据库管理员要和开发厂商有限沟通,对于等级较低的账户进行限制存储过程的访问,同时卸载不需要的存储过程,删除与之相连的文件。这样就能在很大程度上杜绝黑客利用存储过程控制服务器。
4.6 加强信息加密管理
数据库管理员要经常修改系统中的banner信息,对Oracle数据库而言,可以通过设置服务口令来防治信息泄露。此外,还可以要求开发厂商对于数据库的敏感信息进行加密设置,使用较为强壮的加密算法,保证关键信息不被外泄。
4.7 设置审计策略
建议用户开启数据库日志审核模块,开放审计登录事件、数据库操作事件、敏感信息操作事件等、
4.8 合理使用综合防护措施
设置数据库访问控制策略,并限制访问数据库的IP,此外,对于防火墙也需要进行有效的设置,防治黑客利用防火墙漏洞进行攻击。
5.结语
信息系统的正常运行和数据安全离不开数据库系统的有效保护。本文结合信息系统的特点,分析了种种数据库的安全问题,并给出了相应的解决方案。目前,大部分防护措施都应用在了信息系统中,极大的提高了数据库系统的安全性。
参考文献
[1]李宗涛.内蒙古超高压供电局武川500 kV变电站成功投运[L].内蒙古电力信息通信中心,2014(04):11-19.
[2]余钢.应用上下文技术在高安全级数据库中的应用研究[J].计算机与数字工程,2009(08).
[3]朱世顺,郭其秀,程章滨.电力生产控制系统信息安全等级保护研究[J].电力信息化,2012,(01).