公務(wù)員期刊網(wǎng) 論文中心 正文

數(shù)據(jù)庫直連授權(quán)準(zhǔn)入管理系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了數(shù)據(jù)庫直連授權(quán)準(zhǔn)入管理系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)范文,希望能給你帶來靈感和參考,敬請閱讀。

數(shù)據(jù)庫直連授權(quán)準(zhǔn)入管理系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)

一、引言

如今,數(shù)字化建設(shè)正緊跟時(shí)代潮流而大步加速發(fā)展,數(shù)據(jù)量呈現(xiàn)爆發(fā)式增長,且數(shù)據(jù)應(yīng)用擴(kuò)展面不斷擴(kuò)大。歷史數(shù)據(jù)不僅是資產(chǎn),更是未來進(jìn)行數(shù)據(jù)分析,發(fā)掘更多可能性的基礎(chǔ)。而網(wǎng)絡(luò)攻擊在逐漸形成體系化態(tài)勢的過程中,呈現(xiàn)出范圍廣、高命中、隱蔽性強(qiáng)的特點(diǎn),攻擊的辨識(shí)難度在不斷加大。與之相對應(yīng)的防御技術(shù)也在更新,不斷帶來新的挑戰(zhàn)。種種因素已成為了數(shù)據(jù)深入應(yīng)用的主要制約。由于數(shù)據(jù)庫資源進(jìn)行了重新整合,部分用戶的權(quán)限對應(yīng)關(guān)系隨之發(fā)生變化,其訪問行為難以辨別,會(huì)給數(shù)據(jù)庫的運(yùn)行安全造成影響。因此,應(yīng)轉(zhuǎn)變思想,采取主動(dòng)預(yù)警戰(zhàn)略,識(shí)別潛在風(fēng)險(xiǎn),開發(fā)數(shù)據(jù)庫直連授權(quán)準(zhǔn)入管理系統(tǒng)。該系統(tǒng)將用戶的登錄權(quán)限、訪問痕跡、關(guān)鍵行為等納入統(tǒng)一管理,對各套數(shù)據(jù)庫運(yùn)行狀況進(jìn)行安全監(jiān)測預(yù)警,實(shí)現(xiàn)計(jì)算機(jī)用戶訪問權(quán)限受控、阻止用戶未授權(quán)登錄的風(fēng)險(xiǎn)行為,以及數(shù)據(jù)庫的監(jiān)測預(yù)警。這對于建立良好的數(shù)據(jù)庫訪問秩序,保障企業(yè)的各種軟件和系統(tǒng)正常應(yīng)用,保持?jǐn)?shù)據(jù)庫的平穩(wěn)安全運(yùn)行起到了重要作用。

二、系統(tǒng)的構(gòu)建思路及設(shè)計(jì)

本系統(tǒng)通過構(gòu)建專用雙向數(shù)據(jù)鏈路,在某一用于生產(chǎn)管理的數(shù)據(jù)庫中新建一個(gè)專門的用戶,對其他所有在用數(shù)據(jù)庫的運(yùn)行狀況及各數(shù)據(jù)庫的用戶訪問情況進(jìn)行集約化管理,并根據(jù)用戶反饋及時(shí)做出后續(xù)分析和管理策略的調(diào)整。該系統(tǒng)利用Oracle概要文件技術(shù)實(shí)現(xiàn)資源的分配限定,聯(lián)合數(shù)據(jù)庫級觸發(fā)器技術(shù)實(shí)現(xiàn)對數(shù)據(jù)庫的監(jiān)測預(yù)警、對各級用戶的直連授權(quán)及訪問痕跡管理;通過數(shù)據(jù)多級鉆取技術(shù)和參數(shù)控件聯(lián)動(dòng)技術(shù),在異常出現(xiàn)的第一時(shí)間,鏈接到詳情頁,精準(zhǔn)定位責(zé)任人,依此進(jìn)行情況的核實(shí)和處理,做到“登錄需授權(quán)”、“訪問必留痕”、“行為全受控”、“違規(guī)有預(yù)警”。

三、實(shí)施過程中的應(yīng)用技術(shù)研究

(一)Oracle概要文件在數(shù)據(jù)庫的多種防護(hù)策略中,概要文件起到十分重要的作用。根據(jù)用戶的角色和任務(wù),PROFILE被相應(yīng)的創(chuàng)建并分配,不同用戶采用與之匹配的PROFILE可以使系統(tǒng)資源得到更合理的分配和使用。其主要作用包括:1.限制會(huì)話資源用戶嘗試訪問數(shù)據(jù)庫時(shí),Oracle會(huì)自動(dòng)創(chuàng)建一個(gè)消耗CPU時(shí)間和內(nèi)存資源的進(jìn)程,叫做會(huì)話(session)。會(huì)話級資源不是無限的,且對于不用的用戶限制不同,如果用戶超過了限制,當(dāng)前執(zhí)行的語句將被Oracle中斷,并對用戶發(fā)出警告,但不會(huì)影響當(dāng)前會(huì)話內(nèi)已執(zhí)行完成的句子。之后用戶只能使用提交或者回滾語句,或切斷連接,一切其他命令都會(huì)報(bào)錯(cuò)無法執(zhí)行。2.限制調(diào)用資源每次運(yùn)行SQL語句時(shí),Oracle在不同的執(zhí)行階段需要向數(shù)據(jù)庫發(fā)起不同的調(diào)用,這需要一定的CPU時(shí)間來處理此調(diào)用。調(diào)用級資源同樣不是無限的,若在使用過程中超過了限制,語句將被Oracle停止執(zhí)行,ROLLBACK后報(bào)錯(cuò)給用戶,此舉不會(huì)影響當(dāng)前會(huì)話內(nèi)已經(jīng)執(zhí)行的語句,用戶會(huì)話不會(huì)被切斷。3.鎖定帳戶用戶在限定的登錄次數(shù)內(nèi)多次嘗試并失敗后,根據(jù)參數(shù)配置,帳戶會(huì)自動(dòng)鎖定,待一段時(shí)間后自動(dòng)或者由管理員手動(dòng)解鎖,防止暴力破解。

(二)數(shù)據(jù)庫級觸發(fā)器客戶端的大量會(huì)話記錄都保存在Oracle自帶的v$session中,如訪問機(jī)器名等連接信息,但是通過機(jī)器名不能確定到具體的機(jī)器,無法自行追蹤登入用戶的IP地址。此時(shí)可以創(chuàng)建一個(gè)數(shù)據(jù)庫級的觸發(fā)器,當(dāng)每一個(gè)新的用戶連接開啟的時(shí)候自動(dòng)觸發(fā)該觸發(fā)器。

(三)超級鏈接傳遞參數(shù)實(shí)現(xiàn)數(shù)據(jù)多級鉆取在定義超級鏈接時(shí),要分別在主表和目標(biāo)表設(shè)置可以用于傳遞的參數(shù),主表設(shè)置的參數(shù)名一定要和目標(biāo)表的參數(shù)名相匹配,才能通過鏈接跳轉(zhuǎn),查詢不同層級的報(bào)表內(nèi)容。實(shí)現(xiàn)方法:首先,為了打通主子表的連接關(guān)系,在子表中新建一個(gè)參數(shù)。然后,在主表中滿足條件的單元格,添加超級鏈接,設(shè)置網(wǎng)絡(luò)報(bào)表地址、鏈接打開方式、參數(shù)傳遞方式和具體參數(shù)。

(四)參數(shù)控件聯(lián)動(dòng)實(shí)現(xiàn)單位分權(quán)查詢$fine_username這個(gè)參數(shù)代表登錄用戶的用戶名,與人員組織結(jié)構(gòu)關(guān)聯(lián)后,可通過該參數(shù)精確定位到該用戶的所屬單位。通過控件間的參數(shù)傳遞,實(shí)現(xiàn)不同層級管理員對各單位的分權(quán)查詢,該技術(shù)可通用于各系統(tǒng)。步驟1:新建dw數(shù)據(jù)集selectsubcompanynamefrom*_RJZYKwhereloginid='${fine_username}'其中$fine_username為登錄用戶名,*_RJZYK為整合了人員組織結(jié)構(gòu)和機(jī)器信息的視圖。將該數(shù)據(jù)集綁定至dw控件,輸出實(shí)際值subcompanyname(單位名稱)傳遞給下一個(gè)kdd數(shù)據(jù)集作為過濾條件。步驟2:新建kdd數(shù)據(jù)集通過IF條件進(jìn)行條件過濾查詢,若管理員來自一級管理單位則可查詢本單位所有下屬各單位名稱,不進(jìn)行過濾,而二級單位的管理員用戶登陸后只能查詢到本單位名稱。將過濾后的數(shù)據(jù)集綁定到kdd控件中,設(shè)置實(shí)際值為subcompanyname(單位名稱),將參數(shù)值傳遞給bwl數(shù)據(jù)集作為新的參數(shù)進(jìn)行數(shù)據(jù)查詢。步驟3:新建bwl數(shù)據(jù)集Select*from*_login_bwlajoin*_rjzykbona.ip=b.ipwheresubcompanyname=’${kdd}’接收kdd控件傳遞的subcompanyname值,充入sql語句后進(jìn)行數(shù)據(jù)查詢。注:由于功能模塊名屬于系統(tǒng)級敏感信息,出于安全考慮,在文中并沒有提供完整的名稱,省略部分以*代替。

四、系統(tǒng)應(yīng)用效果及展望

(一)系統(tǒng)功能模塊系統(tǒng)開發(fā)了監(jiān)測預(yù)警、直連授權(quán)、痕跡管理及統(tǒng)計(jì)分析等4大類、10小項(xiàng)主要功能。痕跡管理:追蹤用戶訪問痕跡,將其分為正常的登入、登出、及異常的登入阻止共三大類,重點(diǎn)監(jiān)管未授權(quán)IP試圖訪問數(shù)據(jù)庫的登入阻止行為,痕跡可精準(zhǔn)定位,在警情的第一時(shí)間,通過數(shù)據(jù)鉆取獲得該時(shí)段用戶嘗試訪問被攔截的具體行為,聯(lián)系管理人員進(jìn)行現(xiàn)場確認(rèn),排除可疑因素。直連授權(quán):將通過權(quán)限審批流程的IP通過命令語句添加到系統(tǒng)白名單中,僅允許該名單中的用戶通過自己的電腦對相應(yīng)數(shù)據(jù)庫進(jìn)行登錄訪問。同時(shí),與痕跡管理聯(lián)動(dòng),若被授權(quán)用戶長時(shí)間無訪問數(shù)據(jù)庫痕跡,則將其權(quán)限收回,在下次申請授權(quán)時(shí)必須提交說明方可再次授權(quán)。管理過程中,將各數(shù)據(jù)庫的白名單權(quán)限分別以數(shù)據(jù)庫和單位為類別進(jìn)行統(tǒng)計(jì)和排名,采取最小化原則嚴(yán)格限制授權(quán)數(shù)量,減少侵入風(fēng)險(xiǎn)。監(jiān)測預(yù)警:密切監(jiān)控各服務(wù)器的實(shí)時(shí)訪問壓力,分析是否出現(xiàn)異常峰值并進(jìn)行源頭追溯,保障生產(chǎn)數(shù)據(jù)庫運(yùn)行平穩(wěn)安全。統(tǒng)計(jì)分析:將以上三個(gè)模塊以數(shù)據(jù)表、餅狀圖、折線圖等方式進(jìn)行展現(xiàn),便于更加直觀、高效對生產(chǎn)數(shù)據(jù)庫進(jìn)行安全管理。

(二)應(yīng)用現(xiàn)狀及前景展望目前該系統(tǒng)已全面覆蓋相關(guān)生產(chǎn)單位和技術(shù)單位。經(jīng)持續(xù)監(jiān)測管理,當(dāng)前各數(shù)據(jù)庫運(yùn)行狀態(tài)保持平穩(wěn),用戶權(quán)限得到有效控制,有效抵御了外部入侵檢測。

五、總結(jié)

本文詳細(xì)闡述了數(shù)據(jù)庫直連授權(quán)準(zhǔn)入管理系統(tǒng)的構(gòu)建思路和具體做法,以單個(gè)IP為基點(diǎn),線狀管理用戶級權(quán)限和訪問行為,全面覆蓋所有的生產(chǎn)數(shù)據(jù)庫,“點(diǎn)-線-面”相結(jié)合,多管齊下,提高了管理效率,提升了管理水平,通過該系統(tǒng)促進(jìn)數(shù)據(jù)庫安全管理向更加集約化、專業(yè)化、精細(xì)化的方向發(fā)展,構(gòu)建更加良好的數(shù)據(jù)庫訪問秩序。

作者:范琪 單位:大慶油田第一采油廠信息中心