1. 信息数据库用户管理规范规定了哪些原则
(一)完善管理制度,强化监管力度。数据库系统的安全与企业自身内部的安全机制、内外网络环境、从业人员素质等密切相关。因此,企业应该完善网络系统安全规章制度,防范因制度缺陷带来的风险;企业应该规范操作流程和故障处理流程,减少人为失误与故障,提高故障处理速度,缩短故障处理时间;企业应该通过建立科学合理的责任追究机制,防止出现由于工作态度、工作作风等各种人为因素导致的数据库安全事故。
(二)采取措施,确保数据库数据的安全。保证数据库数据的安全是数据库日常管理与维护工作的首要任务,企业需要采取的安全措施主要有:
(1)网络及操作系统安全。网络系统是数据库应用的外部环境和基础,网络系统安全是数据库安全的第一道屏障。从技术角度讲,网络系统层次的安全防范技术有很多种,大致可以分为防火墙、数字签名与认证、入侵检测等。操作系统是数据库系统的运行平台,能够为数据库系统提供一定程度的安全保护。
(2)操作系统的安全控制方法主要是采用隔离控制、访问控制、信息加密和审计跟踪。主要安全技术有操作系统安全策略、安全管理策略等。
(3)加强用户身份验证。用户身份验证是数据库系统的重要防线。利用窗体身份验证数据库程序的漏洞,进而获取存储在数据库中的用户身份验证密码,这是目前对网络数据库攻击最常见的方式。对此,企业信息部门通常使用带有salt值的单向密码哈希值,以避免用户密码在数据库中以明文形式存储,减轻字典攻击带来的威胁。
(4)对重要数据加密。数据加密交换又称密码学,是计算机系统对信息进行保护的一种最可靠的办法。它利用密码技术对信息进行交换,实现信息隐蔽,从而有效保护信息的安全不受侵犯。数据库加密要求加解密的粒度是每个记录的字段数据。采用库外口加密的方式,对密钥的管理较为简单,只需借用文件加密的密钥管理方法,将加密后的数据块纳入数据库,在算法或数据库系统中做些必要的改动就行。这样有利于公共数据字典的使用和维护系统的完整性。
(5)做好数据库备份与恢复。数据备份是备份数据库某个时刻的数据状态,当系统出现意外时用来恢复系统。依靠网络办公的企业,其信息系统很可能随时被破坏而丢失数据。因此,数据库管理系统必须具备把数据库从错误状态恢复到某一已知的正确状态的功能,这就是数据库的恢复技术。
(三)开展数据库健康检查。为及时发现数据库系统存在的问题,在日常管理与维护中,数据管理员要对数据库开展健康检查。检查内容主要包括以下六个方面
(1)系统环境:操作系统版本、文件系统容量、内存交换区使用率、系统性能。
(2)数据库环境:数据库和补丁版本、是否有僵尸数据库进程、数据库节点数、是否有其他数据库产品及版本。
(3)日志记录:db2diag.log报错、db2inst1.nfy报错、是否有需要处理的DUMP文件。
(4)数据库健康状况:表空间利用率和状态、表空间容器利用率和状态、排序溢出、是否需要收集统计信息、是否需要数据重组、活动日志和日志所在文件系统利用率、死锁发生率、锁升级发生率、锁等待的百分比、编目Cache命中率、包Cache命中率、监视堆利用率、数据库堆利用率、数据库缓冲池命中率。
(5)数据库维护内容:最近一次统计信息收集时间、最近一次表数据重组时间、最近一次绑定包时间、最近一次数据库备份时间。
(6)数据库基本信息记录:数据库内存使用、环境变量。
数据库的管理日常工作
(1) 每天对数据库的运行状态 , 日志文件 , 备份情况 , 数据库的空间使用情况 , 系统资源的使用情况进行检查 , 发现并解决问题。
(2)每周对数据库对象的空间扩展情况 , 数据的增长情况进行监控 , 对数据库做健康检查 , 对数据库对象的状态做检查。
(3) 每月对表和索引等进行 Analyze, 检查表空间碎片 , 寻找数据库性能调整的机会 , 进行数据库性能调整 , 提出下一步空间管理
计划。对 ORACLE 数据库状态进行一次全面检查。
数据库管理的意义重大,关系到企业信息系统的正常运作,仍至整个企业的生死存亡。要做好数据库的日常管理与维护,不仅要求数据库管理员熟悉掌握专业技术知识,还要有足够的细心和高度的责任心。
2. 信息资源管理的标准与规范
由于信息资源管理领域日益受到社会各界的重视,其活动内容愈来愈频繁,技术水平越来越高,因此,信息资源管理标准化的重要性逐步提高。首先,信息资源已渗透到社会生活的各个领域,为了简化和满足人类日常工作、学习和生活的需要,必须进行信息资源管理的标准化工作;其次,为了发挥信息资源的巨大能量,使之进一步为社会生产服务,消除其流通障碍和交易壁垒,同国际标准接轨,必须开展信息资源管理的标准化工作;最后,为了进行科学有效的管理,也必须推广信息资源管理标准化工作。
4.3.1信息资源管理标准化的内容与分类
信息资源管理是一个跨学科、结构复杂、覆盖面广的多元化学科领域。因此,信息资源管理标准化的内容十分丰富,大体上可分为标准化设施、标准化技术、标准化术语以及标准化管理过程等四部分内容,其中,标准化技术是最重要的部分,国内外都在致力于信息技术的标准化工作。
4.3.1.1标准化技术
信息技术标准化是整个信息资源管理的重点,同时也是信息资源开发和利用的基础和保证。由于信息技术具有技术密集、高增值和高渗透性,它正成为科技发展和工业化社会向信息化社会过渡的先导技术,相应地,这一领域的标准化也尤为重要。信息技术的标准化,是围绕着信息技术开发、研制和信息系统的建设与管理等一系列活动而进行的,主要包括信息资源的生产、识别、提取、检测和分类编码、交换或传输、处理、存储、显示、打印、控制以及信息资源的利用等技术的标准化。信息技术标准化是信息资源开发和利用的基础和保证,同时也是整个信息资源管理的重点。
4.3.1.2标准化设施
信息资源管理设施是信息资源活动的物质基础。信息设施的标准化是为保证提供高效、稳定的信息服务目的而设立的。同时搞好设施的标准化工作,提高设施效率,保证信息资源产品与服务的质量,不同单位之间交流、共享和集成信息具有重要的意义。所以,信息资源管理设施标准化是信息资源管理活动中不容忽视的环节。
4.3.1.3标准化术语
信息资源管理的术语标准化是指对信息资源活动中某一事物或过程的称谓或代号的标准化,其目的是为了使国际和国内统一,同一术语表达统一概念,避免二义性,保证一致性。
术语标准化有四条原则:
(1)优先原则:术语标准化先于技术标准化;
(2)简化原则:进行术语标准化应使用简练的语言;
(3)灵活性原则:在术语标准化过程中,应采用灵活方针;
(4)广义性原则:术语标准化要以集体方式进行。
4.3.1.4标准化管理过程
标准化的信息资源管理过程是要使信息资源管理工作的全过程按规范化的程序来进行,它包括学习和贯彻标准,制定标准以及制定工作流程、管理制度等。信息资源管理标准化的本质、指导原则和基本方法是相互联系的、不可分割的整体,是信息资源管理标准制定和实施的理论基础和行为准则。其指导原则包括:
(1)效益原则:效益原则使得信息资源管理标准化的实施始终坚持以实用为目的;
(2)系统原则:以整体观念、层次观念、互相联系的观念来分析和解决问题;
(3)动态原则:要注意时间因素和阶段性,研究标准化发展的趋势,随时修订和重订有关标准与规范;
(4)优化原则:为达到最佳的标准化效益,运用最优化的方法(系统工程方法)实施标准化;
(5)协商原则:注意共同协商,取得一致,不仅标准化内容一致,还包括时机的选择、贯彻实施步骤的安排等。
4.3.2信息资源管理标准化的一般方法
信息资源管理标准化的方法是为了达到标准化的目的,以系统工程的方法为指导,按照标准化的原则形成标准的特有方法,主要包括:
4.3.2.1简化
简化是在一定的范围内,缩减事物的类型,以充分满足在一定时期和一定领域需要的标准化方法,它是标准化的最基本方法。
系列化和通用化是简化的基本形式。系列化是指通过对同一类产品发展规律的分析研究、国内外产品发展趋势的预测,结合本国的生产技术条件,经过全面的技术经济比较,将产品的主要参数、型式、尺寸、基本结构等做出的合理安排与规划;通用化是指统一某些零件和部件的种类、规格,使其能在类似产品中通用互换的技术措施。经过统一后,可通用于某些产品中的零件和部件,称为“通用件”,通用化是标准化的初步阶段。
4.3.2.2统一
统一是指在一定的范围内,按照信息资源的管理过程,对需要标准化的信息资源的事物和概念,以及处理过程,进行归一的标准方法。它强调归一,形成一种共同遵守的准则,以建立正常的秩序。
4.3.2.3组合
组合是指按照用户需求,把两个以及两个以上具有特定信息资源功能的单元,有机地、有选择地结合起来,形成一个具有新功能单元或系统的标准化方法。
运用组合方法时应注意:①标准单元和通用单元的设计是组合的基础,也是组合研究的重点;②组合的理论基础是系统的分解与综合,应从系统整体的需要出发,不可片面追求单元功能的最佳,应该是整体功能最佳;③应充分利用功能单元的组合来满足信息化社会需求的多样化。
4.3.2.4综合
综合是指系统标准化对象的整体及其相关要素有目的、有计划地制定和贯彻一个标准系统的标准化方法。因此,综合是在系统工程的理论和方法指导下达到整体最优的目的。
综合的方法在运用过程中应注意:①充分研究并确定综合标准化对象中哪些项目、要素应制定标准,并确定其指标要求,以取得最优的标准化效果;②充分协调综合标准化对象各组成部分之间的功能联系,以确保整体效果最佳;③综合的对象和内容应与领先的科学技术和管理水平的发展相适应,并保持合理的超前性;④综合的对象和内容应力求与现行标准及其体系相衔接,以有利于综合标准化的实现;⑤综合标准化在实施过程中,应有严密计划,分阶段贯彻并确定适当的实施日期。
4.3.2.5程序化
程序化是指在信息资源管理工作的全过程中,应按照严格的逻辑关系形成规范化的程序。对于按照工作内在逻辑关系而确定的一系列相互关联的活动所实施的管理方式。信息的程序化管理要说明进行某种活动或完成某项工作的内容、操作方法及其相应的规则系统和前后衔接递进关系,甚至也可以包括运营结果的前反馈机制。
4.3.3信息资源管理标准的制定与实施
标准的制定和实施,是信息资源管理整个标准化工作的中心。标准的制定和实施也是整个信息资源管理标准化过程的两个不同阶段,不可分割,前者是前提和依据,后者是结果和效益,其他相关工作和程序,都是围绕这个中心展开的。
4.3.3.1标准的制定
同其他任何标准一样,国家对信息资源管理标准的制定采用统一管理和分工管理相结合的管理体制。无论是政府部门,还是民间团体、企业单位,在标准制定过程中都十分注意发扬民主和发挥专家的作用。各政府机构制定标准通常是根据标准化法设立标准调查会或类似标准调查会的机构,动员专家们出谋献策。较大的民间团体制定标准,也都采取类似做法。企业制定标准则往往要求参与制定标准的各方代表一致通过才最后定案。信息资源标准制定流程如图4.2所示。
对于标准的制定,《中华人民共和国标准化法》(以下简称《标准化法》)有明确的规定:对需要在全国范围内统一的技术要求,应当制定国家标准。国家标准由国务院标准化行政主管部门制定。对没有国家标准而又需要在全国某个行业范围内统一的技术要求,可以制定行业标准。行业标准由国务院有关行政主管部门制定,并报国务院标准化行政主管部门备案,在公布国家标准之后,该项行业标准即行废止。对没有国家标准和行业标准的,需要在省、自治区、直辖市标准化行政主管部门规定,并报国务院标准化行政主管部门和国务院有关行政主管部门备案,在公布国家标准或行业标准之后,该项地方标准即行废止。企业生产的产品没有国家标准和行业标准的,应当制定企业标准,作为组织生产的依据。企业的产品标准须报当地政府标准化行政主管部门和有关行政主管部门备案。已有国家标准或者行业标准的,国家鼓励企业制定严于国家标准或者行业标准的企业标准,在企业内部适用。
图4.2 信息资源标准制定流程
4.3.3.2标准的实施
标准的贯彻和实施是信息资源管理标准化的一个重要环节,标准只有经过贯彻实施后才能取得效果。同时,信息资源的管理也只有按标准执行,才能确保技术先进、质量可靠、服务到位,从而最大化信息资源的价值,取得预期的经济和社会效益。
国家标准和行业标准分为强制性标准和推荐性标准,由法律和行政法规强制执行的标准是强制性标准,强制性标准必须执行。其他标准是推荐性标准,国家鼓励企业自愿采用推荐性标准。《标准化法》规定:企业对有国家标准或者行业标准的产品,可以向国家标准化行政主管部门或者该行政主管部门授权的相关部门申请产品质量认证,认证合格的,由认证部门授予认证证书,准许在其产品或包装上使用规定的认证标志。
为了有效地保证标准的贯彻实施,在标准化管理的整个过程中必须强化标准的监督与检验机制,对于标准化工作的监督、检验和管理人员的徇私舞弊、违法失职行为,有关部门除了给予必要的行政处分外,构成犯罪的将依法追究其刑事责任。