浅析电力信息系统数据库的现状与安全对策
来源:用户上传
作者:
摘要:电力信息系统是由众多复杂异构的子系统组成的超大规模、广域分布和分级递阶的大系统,它的安全是多因素和多维的。为此,需要一种系统化和结构化的设计方法以及相应的辅助工具设计电力信息系统的安全体系。文章阐述了电力信息系统安全体系设计方法的研究现状,并从安全需求的小确定性和系统的动态、分布特征等方而深入分析了信息系统安全体系设计中可能存在的问题,最后明确提出了对电力信息系统安全体系设计方法的要求。
关键词:电力信息数据库 系统安全
中图分类号:TP392文献标识码: A
前言;
随着计算机和网络技术在电力系统中的广泛应用,信息技术的负面影响也波及了电力系统。例如,2000年10月13日二滩电厂由于控制系统死机造成机组甩负荷890MW,导致川渝电网发生大范围的停电事故。事故分析认为,控制系统网络与办公白动化系统网络的直接互联是其中的不安全因素之一。而且,随着公网上黑客和病毒的日益盛行,国内电力信息系统中也已经发现黑客活动的踪迹。可见,如何有效保障电力调度控制系统及其网络的信息安全已成为一项非常紧迫的任务。根据国家经贸委30号令的要求,国家863项目开展了电网调度中心及网络安全防护策略的研究,为电力信息系统设计合理的安全体系。
一、数据库系统使用现状
电力公司典型系统一般分为生产控制类系统和管理信息类系统。
生产控制类系统主要包括调度自动化系统(SCADA/FM S,即电力数据采集和监控系统/能量管理系统)、继电保护及故障录波信息管理系统、电能量计量系统(T M R)、电力市场运营系统、各类专业应用系统;管理信息类系统主要包括运行管理系统(OM S)、各类企业管理信息系统(如:营销管理系统、则务管理系统、安全生产管理系统、协同办公系统、人力资源系统、物资管理系统、项目管理系统、综合管理系统)、网站系统。对这些系统中数据库系统的使用情况进行了抽样统计分析,具体的使用情况如表1所示。
可见,使用最多的是0 racle和SQLServer 2种数据库系统。木文主要分析这2种数据库在电力信息系统使用中存在的安全风险以及相应的防护措施。
表1电力信息系统数据库系统使用情况统计表
二、电力信息系统数据库安全 现状
通过对电力信息系统中数据库系统的实际运行、管理情况进行分析,发现电力信息系统中数据库主要存在8类安全问题:权限设置不当、口令强度不足、补丁升级迟滞、默认安全策略、危险存储过程、敏感信息泄漏、审计策略不严、综合防护措施薄弱等。
1、权限设置不当
在建设业务系统时,厂商通常直接使用操作系统管理员账户来安装和运行数据库,虽然减少了安装、调试的工作量,但也导致了较大的安全风险。一方面,数据库服务拥有很高的权限,可能对其他应用构成威胁;另一方面,一旦数据库被黑客攻破,将直接导致运行数据库的服务器被黑客完全控制。
在U N TX环境中部署的数据库系统情况略好,一般均创建了专门的账户来安装、运行数据库系统,但这些帐户往往被赋予了系统组权限,同时一些关键的可执行脚木程序和配置文件被设置为任何用户可读写执行的权限,严重威胁系统的安全。
2、口令强度不足
早期版木的数据库系统在安装时均存在默认账户和默认口令的现象,例如0 racle就有600多个默认账户/口令,而这些默认账户/口令在安装后往往未做任何加固措施,严重威胁到电力信息系统的安全运行。常见默认账户/口令情况如表2所示。
口令是系统最重要、最基础的一层防护措施,但这些默认账户/口令在电力信息系统中还大量存在,甚至部分账户/口令信息被硬编码在应用程序中或明文存储在客户端配置文件中,导致系统面临很高的安全风险。
3、补丁升级迟滞
通常电力信息系统一旦正式上线运行,则极少对数据库进行升级,主要担心升级可能造成数据库故障,甚至崩溃或丢失数据。然而,各版本的数据库系统均存在一些公开的的安全漏洞,其中一些为高危漏洞,可导致病毒爆发或数据库被黑客完全控制。例如0 racle 8 i/9 i存在多个缓冲区溢出漏洞,远程攻击者可以触发基于栈的溢出,以0 ralce进程权限在系统上执行任意指令;SQ I,Server 6/7/2000存在多个安全漏洞,远程攻击者可能利用这些漏洞导致拒绝服务、绕过数据库策略、泄漏敏感信息或执行任意代码。2003年导致Tn tern e t大规模崩溃并造成巨额经济损失的SQLS lam m er蠕虫病毒,就是利用了其中一个漏洞。
4、默认安全策略
默认安全策略一般包括默认的口令策略(如最大错误登录次数、口令失效后锁定时间、口令有效时间和口令复杂度等均未设定)、默认安装的组件(其中一些是非必需的)、默认的远程访问控制策略等。默认的口令策略可导致口令薄弱、长时间不更改口令,使系统面临暴力破解风险;默认安装的组件提供了不必要的服务,开放的服务越多,系统面临的风险也就越大。
5、危险存储过程
大型关系数据库系统在设计时为提供更多高级、复杂的功能,一般都内置了许多有用的存储过程,利用这些存储过程可以通过数据库系统访问操作系统文件、执行操作系统命令、访问网络、下载文件、发送邮件等。在提供强大功能的同时,也带来了巨大的安全风险,黑客在对电力信息系统进行渗透攻击时常常借助这些存储过程,以获取主机权限。部分常见危险存储过程见表3。
6、敏感信息泄漏
敏感信息泄漏包括数据库服务banner信息泄漏和用户敏感数据泄漏,前者向潜在攻击者泄漏了数据库的版本、服务名称、运行情况等内容,从而为攻击者提供了大量有价值的信息;后者是指数据库中存储的各种敏感数据(如:用户名/口令、企业敏感数据等)未经加密或加密强度不足,从而扩大了敏感数据的知情范围,给企业带来损失或造成社会不安定因索。
7、审计策略不严
大型关系数据库都提供了强大的日志审计功能,但一般默认关闭。电力信息系统中的数据库系统日志审计几乎都未启用,从而无法跟踪重要数据库事件,尤其不利于在攻击事件发生后的事故分析和追踪。
8、综合防护措施薄弱
数据库系统都是运行在一个特定的环境之下,因此综合防护措施同样非常重要。然而,电力信息系统对数据库系统的综合防护措施不足,还存在未对数据库设置严格访问控制策略、一些应用服务或网站与数据库服务共用一台服务器、边界防火墙未关闭数据库服务相关的端口等现象,从而使系统面临更多的风险。
三、数据库系统安全防护措施
1、严格控制权限
以最小权限原则创建专门的账户,以该账户运行数据库服务,即使数据库系统被攻破,攻击者也只能得到有限的权限。对于已经在线运行的电力信息系统来说,这项防护措施的实施需要厂商调整系统结构、修改程序代码,影响系统正常运行,存在一定的风险。
对于运行在U N LX环境中的数据库服务,应加强数据库服务运行账户的权限审查和监控,同时合理规划并严格控制数据库系统文件、数据文件、关键脚木程序和配置文件的权限,禁止设置任何人可读写执行权限。
2、增强口令强度
业务系统或数据库管理员应及时检查系统中存在的无用账户、薄弱口令,锁定或删除无用账户、设置强度合适的口令,对于具备系统权限的账户,应设置足够复杂的口令,并定期更改。同时,禁止厂商把用户名/口令信息硬编码在程序代码中或明文存储在客户端配置文件中。
3、及时升级补丁
数据库管理员应关注数据库系统厂商定期发表的安全公告,由具备资质的公司评估其风险,制定补丁升级方案,在确保不影响系统正常运行的情况下,审慎实施。
4、优化安全策略
设置合理口令策略,特别是最大错误登录次数、口令失效后锁定时间.口令有效时间和口令复杂度等。在安装时只选择那些需要的组件或在安装后关闭不必要的服务等。
5、卸载危险存储过程
数据库管理员应与系统厂商密切配合,限制普通账户对存储过程的访问,卸载不必要的存储过程,并删除相关联的文件。
6、加密敏感信息
修改数据库系统的banner信息,对于0 racle数据库,可通过设置监听器服务的口令来防止数据库基木信息的泄漏。要求业务系统厂商对数据库系统中存储的敏感信息进行加密,并使用较强壮的加密算法,同时对客户端与服务端间的通信数据进行加密传输。
7、设置审计策略
应开启数据库系统的日志审计功能,至少应审计登录事件、数据库结构操作事件、敏感信息操作事件等。
8、入侵防范及网络数据安全传输
如同大部分网络服务器一样.在装有数据库的服务器上需要部署入侵防范措施。在电力信息系统中,通常在网络边界上部署防火墙或者其他IDS设备实现服务器的保护。在实际应用中,可以结介网络SSL协议、IPSec协议和HTTPS协议等保护数据的安全传输。还可以使用在数据库表中加入校验字段的方式实
现数据加密,客户端在对服务器数据库数据进行操作之前,使用加密算法,将需要传输的数据山明文转化为密文;在服务器端,使用特定的程序将密文转化为明
文,并通过校验字段的检查来判断通信的数据是否被修改。此外,对于特别重要的数据还可以采用硬件加密的形式对其加密等.
结语:
本文主要讨论了电力信息系统中数据库安全防护的具体措施,总结了电力信息系统中使用的数据库安全技术,并给出了解决措施。在实际的工作中,需根据实际情况采取相应的防护措施,及时形成电力信息系统数据库安全防护规范,以便在实际应用中开展安全防护工作。
参考文献
[1]王珊,萨师煊.数据库系统概论[M].北京:高等教育出版社2010
[2]马鲜艳.数据库安全技术探析[J]西安邮电学院学报2008,13(3):99一102.
[3]胡志奇.数据库安全与加密技术研究[J]计算机与现代化,2003(11):58一61.
转载注明来源:https://www.xzbu.com/2/view-6104661.htm
