|
|
知识路径: > 信息系统安全 > 信息系统数据的安全 >
|
|
相关知识点:10个
|
|
|
|
|
随着大中型关系数据库的广泛使用,以C/S、B/S和多层应用为主的信息系统架构的共同特征是:用户在终端机上直接或通过中间层的应用服务器来访问数据,而数据则集中存放在数据库中。利用这些信息系统固有的弱点和脆弱性,信息系统中具有重要价值的信息可以被不留痕迹地窃取。非法访问可以造成系统内信息受到侵害,存储介质失控,数据可访问性降低等。保护数据成为一项复杂且成本高昂的任务。
|
|
|
|
|
|
|
|
这主要包括支持数据库系统的硬件环境发生故障;自然灾害引起的系统破坏;系统软硬件,如操作系统、网络系统、数据库系统及计算机等,可能存在的许多不可知因素,如系统的“后门”、未公开的超级用户等。
|
|
|
|
|
|
目前,通过网络对信息系统进行攻击的方法层出不穷,这使得网络环境下的数据库及其所处的软件环境没有安全保障。同时,网络技术的发展与普及带来了计算机病毒的发展,从而使得计算机病毒对系统的威胁日益严重。而非法访问的威胁主要指用户通过各种手段获取授权用户的口令等信息,假冒该用户身份获得对数据库的访问许可,从而可以对数据库进行任何该授权用户权限范围内的操作,对数据进行任意的读取、修改甚至删除。
|
|
|
|
|
|
这主要包括授权用户的失误,如错误地增加、删除或修改数据库中的数据,需要保密的敏感数据在输入数据库时已经泄露等;管理员由于自身能力或责任心问题不能很好地利用数据库的安全保护机制建立合理的安全策略,造成数据库安全管理的混乱;不能按时维护和审核数据库系统,从而不能发现系统受到的危害。
|
|
|
|
|
|
组织所使用的数据库绝大部分都是国外研制的,如Oracle、Sybase和SQL Server等,由于外国政府的种种限制,出口的数据库都只是符合可信计算机系统评估准则和可信数据库管理系统解释中的C类安全标准,其基本特征就是自主访问控制。自主访问控制允许用户将自己拥有的访问权限自主地转让给本来没有该访问权限的人,而系统无法对此进行控制。采用简单的基于用户口令的身份认证方式,用户信息通常以明文形式在网络中存储、传输,数据库系统存在自身的安全缺陷。
|
|
|
