1. 信息資料庫用戶管理規范規定了哪些原則
(一)完善管理制度,強化監管力度。資料庫系統的安全與企業自身內部的安全機制、內外網路環境、從業人員素質等密切相關。因此,企業應該完善網路系統安全規章制度,防範因制度缺陷帶來的風險;企業應該規范操作流程和故障處理流程,減少人為失誤與故障,提高故障處理速度,縮短故障處理時間;企業應該通過建立科學合理的責任追究機制,防止出現由於工作態度、工作作風等各種人為因素導致的資料庫安全事故。
(二)採取措施,確保資料庫數據的安全。保證資料庫數據的安全是資料庫日常管理與維護工作的首要任務,企業需要採取的安全措施主要有:
(1)網路及操作系統安全。網路系統是資料庫應用的外部環境和基礎,網路系統安全是資料庫安全的第一道屏障。從技術角度講,網路系統層次的安全防範技術有很多種,大致可以分為防火牆、數字簽名與認證、入侵檢測等。操作系統是資料庫系統的運行平台,能夠為資料庫系統提供一定程度的安全保護。
(2)操作系統的安全控制方法主要是採用隔離控制、訪問控制、信息加密和審計跟蹤。主要安全技術有操作系統安全策略、安全管理策略等。
(3)加強用戶身份驗證。用戶身份驗證是資料庫系統的重要防線。利用窗體身份驗證資料庫程序的漏洞,進而獲取存儲在資料庫中的用戶身份驗證密碼,這是目前對網路資料庫攻擊最常見的方式。對此,企業信息部門通常使用帶有salt值的單向密碼哈希值,以避免用戶密碼在資料庫中以明文形式存儲,減輕字典攻擊帶來的威脅。
(4)對重要數據加密。數據加密交換又稱密碼學,是計算機系統對信息進行保護的一種最可靠的辦法。它利用密碼技術對信息進行交換,實現信息隱蔽,從而有效保護信息的安全不受侵犯。資料庫加密要求加解密的粒度是每個記錄的欄位數據。採用庫外口加密的方式,對密鑰的管理較為簡單,只需借用文件加密的密鑰管理方法,將加密後的數據塊納入資料庫,在演算法或資料庫系統中做些必要的改動就行。這樣有利於公共數據字典的使用和維護系統的完整性。
(5)做好資料庫備份與恢復。數據備份是備份資料庫某個時刻的數據狀態,當系統出現意外時用來恢復系統。依靠網路辦公的企業,其信息系統很可能隨時被破壞而丟失數據。因此,資料庫管理系統必須具備把資料庫從錯誤狀態恢復到某一已知的正確狀態的功能,這就是資料庫的恢復技術。
(三)開展資料庫健康檢查。為及時發現資料庫系統存在的問題,在日常管理與維護中,數據管理員要對資料庫開展健康檢查。檢查內容主要包括以下六個方面
(1)系統環境:操作系統版本、文件系統容量、內存交換區使用率、系統性能。
(2)資料庫環境:資料庫和補丁版本、是否有僵屍資料庫進程、資料庫節點數、是否有其他資料庫產品及版本。
(3)日誌記錄:db2diag.log報錯、db2inst1.nfy報錯、是否有需要處理的DUMP文件。
(4)資料庫健康狀況:表空間利用率和狀態、表空間容器利用率和狀態、排序溢出、是否需要收集統計信息、是否需要數據重組、活動日誌和日誌所在文件系統利用率、死鎖發生率、鎖升級發生率、鎖等待的百分比、編目Cache命中率、包Cache命中率、監視堆利用率、資料庫堆利用率、資料庫緩沖池命中率。
(5)資料庫維護內容:最近一次統計信息收集時間、最近一次表數據重組時間、最近一次綁定包時間、最近一次資料庫備份時間。
(6)資料庫基本信息記錄:資料庫內存使用、環境變數。
資料庫的管理日常工作
(1) 每天對資料庫的運行狀態 , 日誌文件 , 備份情況 , 資料庫的空間使用情況 , 系統資源的使用情況進行檢查 , 發現並解決問題。
(2)每周對資料庫對象的空間擴展情況 , 數據的增長情況進行監控 , 對資料庫做健康檢查 , 對資料庫對象的狀態做檢查。
(3) 每月對表和索引等進行 Analyze, 檢查表空間碎片 , 尋找資料庫性能調整的機會 , 進行資料庫性能調整 , 提出下一步空間管理
計劃。對 ORACLE 資料庫狀態進行一次全面檢查。
資料庫管理的意義重大,關繫到企業信息系統的正常運作,仍至整個企業的生死存亡。要做好資料庫的日常管理與維護,不僅要求資料庫管理員熟悉掌握專業技術知識,還要有足夠的細心和高度的責任心。
2. 信息資源管理的標准與規范
由於信息資源管理領域日益受到社會各界的重視,其活動內容愈來愈頻繁,技術水平越來越高,因此,信息資源管理標准化的重要性逐步提高。首先,信息資源已滲透到社會生活的各個領域,為了簡化和滿足人類日常工作、學習和生活的需要,必須進行信息資源管理的標准化工作;其次,為了發揮信息資源的巨大能量,使之進一步為社會生產服務,消除其流通障礙和交易壁壘,同國際標准接軌,必須開展信息資源管理的標准化工作;最後,為了進行科學有效的管理,也必須推廣信息資源管理標准化工作。
4.3.1信息資源管理標准化的內容與分類
信息資源管理是一個跨學科、結構復雜、覆蓋面廣的多元化學科領域。因此,信息資源管理標准化的內容十分豐富,大體上可分為標准化設施、標准化技術、標准化術語以及標准化管理過程等四部分內容,其中,標准化技術是最重要的部分,國內外都在致力於信息技術的標准化工作。
4.3.1.1標准化技術
信息技術標准化是整個信息資源管理的重點,同時也是信息資源開發和利用的基礎和保證。由於信息技術具有技術密集、高增值和高滲透性,它正成為科技發展和工業化社會向信息化社會過渡的先導技術,相應地,這一領域的標准化也尤為重要。信息技術的標准化,是圍繞著信息技術開發、研製和信息系統的建設與管理等一系列活動而進行的,主要包括信息資源的生產、識別、提取、檢測和分類編碼、交換或傳輸、處理、存儲、顯示、列印、控制以及信息資源的利用等技術的標准化。信息技術標准化是信息資源開發和利用的基礎和保證,同時也是整個信息資源管理的重點。
4.3.1.2標准化設施
信息資源管理設施是信息資源活動的物質基礎。信息設施的標准化是為保證提供高效、穩定的信息服務目的而設立的。同時搞好設施的標准化工作,提高設施效率,保證信息資源產品與服務的質量,不同單位之間交流、共享和集成信息具有重要的意義。所以,信息資源管理設施標准化是信息資源管理活動中不容忽視的環節。
4.3.1.3標准化術語
信息資源管理的術語標准化是指對信息資源活動中某一事物或過程的稱謂或代號的標准化,其目的是為了使國際和國內統一,同一術語表達統一概念,避免二義性,保證一致性。
術語標准化有四條原則:
(1)優先原則:術語標准化先於技術標准化;
(2)簡化原則:進行術語標准化應使用簡練的語言;
(3)靈活性原則:在術語標准化過程中,應採用靈活方針;
(4)廣義性原則:術語標准化要以集體方式進行。
4.3.1.4標准化管理過程
標准化的信息資源管理過程是要使信息資源管理工作的全過程按規范化的程序來進行,它包括學習和貫徹標准,制定標准以及制定工作流程、管理制度等。信息資源管理標准化的本質、指導原則和基本方法是相互聯系的、不可分割的整體,是信息資源管理標准制定和實施的理論基礎和行為准則。其指導原則包括:
(1)效益原則:效益原則使得信息資源管理標准化的實施始終堅持以實用為目的;
(2)系統原則:以整體觀念、層次觀念、互相聯系的觀念來分析和解決問題;
(3)動態原則:要注意時間因素和階段性,研究標准化發展的趨勢,隨時修訂和重訂有關標准與規范;
(4)優化原則:為達到最佳的標准化效益,運用最優化的方法(系統工程方法)實施標准化;
(5)協商原則:注意共同協商,取得一致,不僅標准化內容一致,還包括時機的選擇、貫徹實施步驟的安排等。
4.3.2信息資源管理標准化的一般方法
信息資源管理標准化的方法是為了達到標准化的目的,以系統工程的方法為指導,按照標准化的原則形成標準的特有方法,主要包括:
4.3.2.1簡化
簡化是在一定的范圍內,縮減事物的類型,以充分滿足在一定時期和一定領域需要的標准化方法,它是標准化的最基本方法。
系列化和通用化是簡化的基本形式。系列化是指通過對同一類產品發展規律的分析研究、國內外產品發展趨勢的預測,結合本國的生產技術條件,經過全面的技術經濟比較,將產品的主要參數、型式、尺寸、基本結構等做出的合理安排與規劃;通用化是指統一某些零件和部件的種類、規格,使其能在類似產品中通用互換的技術措施。經過統一後,可通用於某些產品中的零件和部件,稱為「通用件」,通用化是標准化的初步階段。
4.3.2.2統一
統一是指在一定的范圍內,按照信息資源的管理過程,對需要標准化的信息資源的事物和概念,以及處理過程,進行歸一的標准方法。它強調歸一,形成一種共同遵守的准則,以建立正常的秩序。
4.3.2.3組合
組合是指按照用戶需求,把兩個以及兩個以上具有特定信息資源功能的單元,有機地、有選擇地結合起來,形成一個具有新功能單元或系統的標准化方法。
運用組合方法時應注意:①標准單元和通用單元的設計是組合的基礎,也是組合研究的重點;②組合的理論基礎是系統的分解與綜合,應從系統整體的需要出發,不可片面追求單元功能的最佳,應該是整體功能最佳;③應充分利用功能單元的組合來滿足信息化社會需求的多樣化。
4.3.2.4綜合
綜合是指系統標准化對象的整體及其相關要素有目的、有計劃地制定和貫徹一個標准系統的標准化方法。因此,綜合是在系統工程的理論和方法指導下達到整體最優的目的。
綜合的方法在運用過程中應注意:①充分研究並確定綜合標准化對象中哪些項目、要素應制定標准,並確定其指標要求,以取得最優的標准化效果;②充分協調綜合標准化對象各組成部分之間的功能聯系,以確保整體效果最佳;③綜合的對象和內容應與領先的科學技術和管理水平的發展相適應,並保持合理的超前性;④綜合的對象和內容應力求與現行標准及其體系相銜接,以有利於綜合標准化的實現;⑤綜合標准化在實施過程中,應有嚴密計劃,分階段貫徹並確定適當的實施日期。
4.3.2.5程序化
程序化是指在信息資源管理工作的全過程中,應按照嚴格的邏輯關系形成規范化的程序。對於按照工作內在邏輯關系而確定的一系列相互關聯的活動所實施的管理方式。信息的程序化管理要說明進行某種活動或完成某項工作的內容、操作方法及其相應的規則系統和前後銜接遞進關系,甚至也可以包括運營結果的前反饋機制。
4.3.3信息資源管理標準的制定與實施
標準的制定和實施,是信息資源管理整個標准化工作的中心。標準的制定和實施也是整個信息資源管理標准化過程的兩個不同階段,不可分割,前者是前提和依據,後者是結果和效益,其他相關工作和程序,都是圍繞這個中心展開的。
4.3.3.1標準的制定
同其他任何標准一樣,國家對信息資源管理標準的制定採用統一管理和分工管理相結合的管理體制。無論是政府部門,還是民間團體、企業單位,在標准制定過程中都十分注意發揚民主和發揮專家的作用。各政府機構制定標准通常是根據標准化法設立標准調查會或類似標准調查會的機構,動員專家們出謀獻策。較大的民間團體制定標准,也都採取類似做法。企業制定標准則往往要求參與制定標準的各方代表一致通過才最後定案。信息資源標准制定流程如圖4.2所示。
對於標準的制定,《中華人民共和國標准化法》(以下簡稱《標准化法》)有明確的規定:對需要在全國范圍內統一的技術要求,應當制定國家標准。國家標准由國務院標准化行政主管部門制定。對沒有國家標准而又需要在全國某個行業范圍內統一的技術要求,可以制定行業標准。行業標准由國務院有關行政主管部門制定,並報國務院標准化行政主管部門備案,在公布國家標准之後,該項行業標准即行廢止。對沒有國家標准和行業標準的,需要在省、自治區、直轄市標准化行政主管部門規定,並報國務院標准化行政主管部門和國務院有關行政主管部門備案,在公布國家標准或行業標准之後,該項地方標准即行廢止。企業生產的產品沒有國家標准和行業標準的,應當制定企業標准,作為組織生產的依據。企業的產品標准須報當地政府標准化行政主管部門和有關行政主管部門備案。已有國家標准或者行業標準的,國家鼓勵企業制定嚴於國家標准或者行業標準的企業標准,在企業內部適用。
圖4.2 信息資源標准制定流程
4.3.3.2標準的實施
標準的貫徹和實施是信息資源管理標准化的一個重要環節,標准只有經過貫徹實施後才能取得效果。同時,信息資源的管理也只有按標准執行,才能確保技術先進、質量可靠、服務到位,從而最大化信息資源的價值,取得預期的經濟和社會效益。
國家標准和行業標准分為強制性標准和推薦性標准,由法律和行政法規強制執行的標準是強制性標准,強制性標准必須執行。其他標準是推薦性標准,國家鼓勵企業自願採用推薦性標准。《標准化法》規定:企業對有國家標准或者行業標準的產品,可以向國家標准化行政主管部門或者該行政主管部門授權的相關部門申請產品質量認證,認證合格的,由認證部門授予認證證書,准許在其產品或包裝上使用規定的認證標志。
為了有效地保證標準的貫徹實施,在標准化管理的整個過程中必須強化標準的監督與檢驗機制,對於標准化工作的監督、檢驗和管理人員的徇私舞弊、違法失職行為,有關部門除了給予必要的行政處分外,構成犯罪的將依法追究其刑事責任。