林 森

（北京国信宏大科技有限公司，北京 100053）

0 引言

随着信息技术的快速发展和广泛应用，当前我国已经进入信息化时代，信息技术在各行各业中都发挥着十分重要的作用，成为企业在经济发展新常态下转型升级的重要手段。在这样的背景下，2015 年，国家大力倡导“互联网+”行动，旨在推进各行各业与互联网信息技术的结合，从而进一步深化供给侧结构性改革，促进我国社会经济的高质量发展。在“互联网+”时代背景下，我国很多企业纷纷建设了自身的信息管理系统，构建了信息数据库。

1 相关概念界定

1.1 数据库

数据库，顾名思义，就是存放数据的仓库，一般也被称为“电子化的文件柜”，是一种长期存储在计算机内部的有组织、统一管理且可共享的大量数据的集合，是按照数据结构进行数据组织、存储和管理的“仓库”。在网络信息化时代，随着信息技术的广泛应用，人们对于信息的存储和管理工作一般是借助网络数据库来实现的。在实际生活中，很多重要的网络服务都离不开数据库的支持。对于企业而言，数据库的重要性更是显而易见。因为企业的资金管理、与合作伙伴的网络信息以及其他的数据信息都保存在数据库当中。因此，企业的网络数据库安全问题十分重要，直接影响到企业整体运行的安全。一旦企业的网络数据库遭到攻击破坏，其中存储的诸多信息数据就会被泄露、篡改或破坏，后果十分严重。因此，企业必须确保网络数据库中数据信息的安全。

1.2 企业信息管理系统

企业信息管理系统，是专门为中小企业量身定制的网络化管理系统（Information Management System for Enterprise）。其主要功能大致可分为客户管理、合同管理、项目管理、库存管理、人事管理、财务管理、公共资源和系统管理等多个方面。在实际运用中，企业构建自身的信息管理系统，能优化企业的结构，改善企业生产作业与运营，从而有效提高运营的效率。同时，运用该系统还能提高企业管理层智能决策的能力，并提高企业员工的综合素质，实现高效率的企业运营管理，从而提高企业在市场中的竞争力。

2 影响企业信息管理系统数据库安全的因素

数据库自开始应用起，就一直面临着各种各样的安全问题。近年来，随着数据库技术、数据库产品的日益广泛应用，人们越来越重视数据库的安全问题。就目前而言，影响企业信息管理系统数据库安全的因素主要包括以下几种。

2.1 外界入侵

企业信息管理系统数据库中存放着大量的企业机密信息，由于当前大多数管理系统都是直接发布在局域网中的，相关用户在访问时必须通过特定的应用程序来读取相关的信息，这样就会导致数据库遭到各种各样的外部入侵，如受到非法用户的查询、修改和删除等操作，造成企业信息管理系统数据库中的数据信息被泄露、更改或丢失，从而导致企业遭受严重的损失。一般来讲，外界入侵的形式主要分为以下3 种。首先是计算机病毒。计算机病毒入侵是网络兴起以来最常见的网络安全问题之一，也是全球公认的威胁数据安全的头号大敌。在网络世界中，计算机病毒能够自我复制，永久地或是通常不可恢复地破坏自我复制的现场，达到破坏信息系统、取得信息的目的。从破坏结果上看，某些计算机病毒会导致计算机储存的数据信息被删除，某些病毒则会导致计算机硬件系统因超负荷运转而烧毁。其次是木马程序。木马程序也是威胁计算机网络信息安全的重要因素，相比于计算机病毒，木马程序更具隐秘性，常常隐藏在公开的程序中，大肆收集环境信息，利用合法用户的权限攻击数据信息。一般来说，木马程序主要是利用网络中的漏洞，在防火墙中开“后门”，然后将木马程序植入到计算机当中，在悄无声息中窃取信息。最后是天窗或隐秘通道。在实际生活中，几乎所有的管理系统都会在内部程序中预留“天窗”或隐秘通道。在特定情况，黑客会利用这些内部程序代码预留的天窗或隐秘通道，直接跳过系统防火墙进入企业信息管理系统内部，攻击数据库，窃取其中的数据信息。

2.2 SQL 注入

应用层在后台数据库传递SQL 查询时，这种查询行为会为攻击者提供攻击的机会，这样就会引发SQL 注入。而攻击者则会通过影响传递给数据库的内容，对SQL 自身的语法和功能进行修改，从而影响到SQL 所支持数据库的功能和安全。在实际工作中，SQL 注入是影响企业信息管理系统数据库安全运行且破坏性最大的漏洞之一。

2.3 人为错误与传输威胁

在实际运用中，不论是系统管理员还是系统用户，在实际操作时都可能不小心输入错误的命令，或者是不正确地使用应用程序，这些行为都会导致企业信息管理系统内部安全机制失去应有的效用，进而导致不法分子利用非法手段访问企业的机密信息数据，也有可能导致系统拒绝为用户提供服务。此外，在应用数据库中的数据信息时，无论是调用命令，还是用户进行的信息反馈，都是借助网络传输行为进行的。在数据传输的过程中，企业信息管理系统数据库也会受到一定的安全威胁。

2.4 物理环境及硬件故障

数据库是建立在计算机当中的，在实际生活中，如果发生地震、火灾或洪灾等非人力可抗的灾害都会导致计算机硬件的损害，从而导致数据库中数据信息的丢失或破坏。此外，在数据库运行中，计算机还可能出现磁盘故障、控制器故障、电源故障、存储器故障、芯片故障及主板故障等硬件故障问题，一旦发生这些硬件故障，也会导致数据库中的数据出现损毁或丢失的现象，但这样的损毁或丢失现象不会导致企业数据信息泄露。

3 企业信息管理系统数据库安全控制策略

3.1 进行数据备份

企业要想安全控制信息管理系统数据库，首先应对数据库中的数据进行备份。在实际操作中，数据的备份处理大致可分为3 种，分别是物理备份、逻辑备份和异地备份。

首先，物理备份是指将数据库文件进行全盘拷贝作为备份。在实际操作中，物理备份大致分为两种：一种是冷备份，是在正常关闭数据库后，对数据库中所有的数据文件及其功能进行备份；另一种是热备份，是数据库在运行的状态下，将联机日志的转储文件进行归档，然后在数据库内部建立所有进程和行为的记录备份。其次，逻辑备份是利用SQL，将数据库中的某个记录集读取出来，并将其录入转储文件中进行保存。在实际运用中，这种备份方式与其物理位置无关，备份的效果较好，是当前常用的一种备份方式。最后，异地备份是为了有效预防物理环境及计算机硬件损坏而导致数据信息出现丢失或损坏问题而进行的备份，通过异地备份，企业信息管理系统数据库中的数据信息在另外的地方实时产生可用的副本。在实际运用中，异地备份常用的方式就是云备份。

3.2 进行数据库加密

除了对数据库进行备份外，企业还可以针对信息管理系统数据库进行加密处理，以实现数据库的安全控制。在实际操作中，相关企业可以针对信息管理系统数据库中存储的不同级别的数据进行分层加密存储，比如，进行操作系统加密、数据库管理系统（Database Management System，DBMS）内核层加密和DBMS 外层加密。通过数据加密，数据库中的数据转换成他人无法识别的数据形式，从而实现安全控制。

3.3 加数据库水印

加数据库水印是一种有效的数据库安全控制措施，这种操作方式是在不破坏数据库中数据信息的前提下，运用加记号的处理的方法，在数据中嵌入不易被人察觉且难以移除的记号标志，以此保护数据的版权，或是验证企业数据库中数据的完整性。例如，百度图库中的图片均印有百度公司的Logo。目前，数据库水印已经成为数据库安全控制新的研究方向。

3.4 实行数据库访问控制

访问控制是实现企业信息管理系统数据库安全控制的有效策略，同时也是一种最基本、最核心的控制技术之一。这种技术是通过某种途径，显式地准许或限制用户的访问。目前，访问控制已经成为企业信息管理系统数据库安全控制最常用的策略之一。

3.5 SQL 注入防御

SQL 注入防御也是一种有效的数据库安全控制措施。因为SQL 注入攻击主要是因为系统开发过程中编程不够严密，因此，针对这种问题的安全控制，解决的方法只能依靠互联网技术人员在编程时尽量完善程序，也可以针对发现的问题通过代码编写操作减少或者消除SQL 注入攻击，从而提高企业信息管理系统数据库的安全性。

4 结语

随着网络信息技术的快速发展，数据库在企业信息管理系统中的应用将会越来越广泛，其安全性也越来越得到人们的重视。目前，虽然对企业信息管理系统数据库安全控制的措施已经取得了很大的进展，但仍然存在一定的安全问题。因此，相关人员必须重视企业信息管理系统数据库的安全控制问题，不断加强技术研发，从而更好地解决问题，增强数据库的使用安全，保障企业的健康发展。