前言:想要寫出一篇引人入勝的文章?我們特意為您整理了數(shù)據(jù)庫直連授權(quán)準(zhǔn)入管理系統(tǒng)設(shè)計實現(xiàn)范文,希望能給你帶來靈感和參考,敬請閱讀。
一、引言
如今,數(shù)字化建設(shè)正緊跟時代潮流而大步加速發(fā)展,數(shù)據(jù)量呈現(xiàn)爆發(fā)式增長,且數(shù)據(jù)應(yīng)用擴展面不斷擴大。歷史數(shù)據(jù)不僅是資產(chǎn),更是未來進行數(shù)據(jù)分析,發(fā)掘更多可能性的基礎(chǔ)。而網(wǎng)絡(luò)攻擊在逐漸形成體系化態(tài)勢的過程中,呈現(xiàn)出范圍廣、高命中、隱蔽性強的特點,攻擊的辨識難度在不斷加大。與之相對應(yīng)的防御技術(shù)也在更新,不斷帶來新的挑戰(zhàn)。種種因素已成為了數(shù)據(jù)深入應(yīng)用的主要制約。由于數(shù)據(jù)庫資源進行了重新整合,部分用戶的權(quán)限對應(yīng)關(guān)系隨之發(fā)生變化,其訪問行為難以辨別,會給數(shù)據(jù)庫的運行安全造成影響。因此,應(yīng)轉(zhuǎn)變思想,采取主動預(yù)警戰(zhàn)略,識別潛在風(fēng)險,開發(fā)數(shù)據(jù)庫直連授權(quán)準(zhǔn)入管理系統(tǒng)。該系統(tǒng)將用戶的登錄權(quán)限、訪問痕跡、關(guān)鍵行為等納入統(tǒng)一管理,對各套數(shù)據(jù)庫運行狀況進行安全監(jiān)測預(yù)警,實現(xiàn)計算機用戶訪問權(quán)限受控、阻止用戶未授權(quán)登錄的風(fēng)險行為,以及數(shù)據(jù)庫的監(jiān)測預(yù)警。這對于建立良好的數(shù)據(jù)庫訪問秩序,保障企業(yè)的各種軟件和系統(tǒng)正常應(yīng)用,保持數(shù)據(jù)庫的平穩(wěn)安全運行起到了重要作用。
二、系統(tǒng)的構(gòu)建思路及設(shè)計
本系統(tǒng)通過構(gòu)建專用雙向數(shù)據(jù)鏈路,在某一用于生產(chǎn)管理的數(shù)據(jù)庫中新建一個專門的用戶,對其他所有在用數(shù)據(jù)庫的運行狀況及各數(shù)據(jù)庫的用戶訪問情況進行集約化管理,并根據(jù)用戶反饋及時做出后續(xù)分析和管理策略的調(diào)整。該系統(tǒng)利用Oracle概要文件技術(shù)實現(xiàn)資源的分配限定,聯(lián)合數(shù)據(jù)庫級觸發(fā)器技術(shù)實現(xiàn)對數(shù)據(jù)庫的監(jiān)測預(yù)警、對各級用戶的直連授權(quán)及訪問痕跡管理;通過數(shù)據(jù)多級鉆取技術(shù)和參數(shù)控件聯(lián)動技術(shù),在異常出現(xiàn)的第一時間,鏈接到詳情頁,精準(zhǔn)定位責(zé)任人,依此進行情況的核實和處理,做到“登錄需授權(quán)”、“訪問必留痕”、“行為全受控”、“違規(guī)有預(yù)警”。
三、實施過程中的應(yīng)用技術(shù)研究
(一)Oracle概要文件在數(shù)據(jù)庫的多種防護策略中,概要文件起到十分重要的作用。根據(jù)用戶的角色和任務(wù),PROFILE被相應(yīng)的創(chuàng)建并分配,不同用戶采用與之匹配的PROFILE可以使系統(tǒng)資源得到更合理的分配和使用。其主要作用包括:1.限制會話資源用戶嘗試訪問數(shù)據(jù)庫時,Oracle會自動創(chuàng)建一個消耗CPU時間和內(nèi)存資源的進程,叫做會話(session)。會話級資源不是無限的,且對于不用的用戶限制不同,如果用戶超過了限制,當(dāng)前執(zhí)行的語句將被Oracle中斷,并對用戶發(fā)出警告,但不會影響當(dāng)前會話內(nèi)已執(zhí)行完成的句子。之后用戶只能使用提交或者回滾語句,或切斷連接,一切其他命令都會報錯無法執(zhí)行。2.限制調(diào)用資源每次運行SQL語句時,Oracle在不同的執(zhí)行階段需要向數(shù)據(jù)庫發(fā)起不同的調(diào)用,這需要一定的CPU時間來處理此調(diào)用。調(diào)用級資源同樣不是無限的,若在使用過程中超過了限制,語句將被Oracle停止執(zhí)行,ROLLBACK后報錯給用戶,此舉不會影響當(dāng)前會話內(nèi)已經(jīng)執(zhí)行的語句,用戶會話不會被切斷。3.鎖定帳戶用戶在限定的登錄次數(shù)內(nèi)多次嘗試并失敗后,根據(jù)參數(shù)配置,帳戶會自動鎖定,待一段時間后自動或者由管理員手動解鎖,防止暴力破解。
(二)數(shù)據(jù)庫級觸發(fā)器客戶端的大量會話記錄都保存在Oracle自帶的v$session中,如訪問機器名等連接信息,但是通過機器名不能確定到具體的機器,無法自行追蹤登入用戶的IP地址。此時可以創(chuàng)建一個數(shù)據(jù)庫級的觸發(fā)器,當(dāng)每一個新的用戶連接開啟的時候自動觸發(fā)該觸發(fā)器。
(三)超級鏈接傳遞參數(shù)實現(xiàn)數(shù)據(jù)多級鉆取在定義超級鏈接時,要分別在主表和目標(biāo)表設(shè)置可以用于傳遞的參數(shù),主表設(shè)置的參數(shù)名一定要和目標(biāo)表的參數(shù)名相匹配,才能通過鏈接跳轉(zhuǎn),查詢不同層級的報表內(nèi)容。實現(xiàn)方法:首先,為了打通主子表的連接關(guān)系,在子表中新建一個參數(shù)。然后,在主表中滿足條件的單元格,添加超級鏈接,設(shè)置網(wǎng)絡(luò)報表地址、鏈接打開方式、參數(shù)傳遞方式和具體參數(shù)。
(四)參數(shù)控件聯(lián)動實現(xiàn)單位分權(quán)查詢$fine_username這個參數(shù)代表登錄用戶的用戶名,與人員組織結(jié)構(gòu)關(guān)聯(lián)后,可通過該參數(shù)精確定位到該用戶的所屬單位。通過控件間的參數(shù)傳遞,實現(xiàn)不同層級管理員對各單位的分權(quán)查詢,該技術(shù)可通用于各系統(tǒng)。步驟1:新建dw數(shù)據(jù)集selectsubcompanynamefrom*_RJZYKwhereloginid='${fine_username}'其中$fine_username為登錄用戶名,*_RJZYK為整合了人員組織結(jié)構(gòu)和機器信息的視圖。將該數(shù)據(jù)集綁定至dw控件,輸出實際值subcompanyname(單位名稱)傳遞給下一個kdd數(shù)據(jù)集作為過濾條件。步驟2:新建kdd數(shù)據(jù)集通過IF條件進行條件過濾查詢,若管理員來自一級管理單位則可查詢本單位所有下屬各單位名稱,不進行過濾,而二級單位的管理員用戶登陸后只能查詢到本單位名稱。將過濾后的數(shù)據(jù)集綁定到kdd控件中,設(shè)置實際值為subcompanyname(單位名稱),將參數(shù)值傳遞給bwl數(shù)據(jù)集作為新的參數(shù)進行數(shù)據(jù)查詢。步驟3:新建bwl數(shù)據(jù)集Select*from*_login_bwlajoin*_rjzykbona.ip=b.ipwheresubcompanyname=’${kdd}’接收kdd控件傳遞的subcompanyname值,充入sql語句后進行數(shù)據(jù)查詢。注:由于功能模塊名屬于系統(tǒng)級敏感信息,出于安全考慮,在文中并沒有提供完整的名稱,省略部分以*代替。
四、系統(tǒng)應(yīng)用效果及展望
(一)系統(tǒng)功能模塊系統(tǒng)開發(fā)了監(jiān)測預(yù)警、直連授權(quán)、痕跡管理及統(tǒng)計分析等4大類、10小項主要功能。痕跡管理:追蹤用戶訪問痕跡,將其分為正常的登入、登出、及異常的登入阻止共三大類,重點監(jiān)管未授權(quán)IP試圖訪問數(shù)據(jù)庫的登入阻止行為,痕跡可精準(zhǔn)定位,在警情的第一時間,通過數(shù)據(jù)鉆取獲得該時段用戶嘗試訪問被攔截的具體行為,聯(lián)系管理人員進行現(xiàn)場確認,排除可疑因素。直連授權(quán):將通過權(quán)限審批流程的IP通過命令語句添加到系統(tǒng)白名單中,僅允許該名單中的用戶通過自己的電腦對相應(yīng)數(shù)據(jù)庫進行登錄訪問。同時,與痕跡管理聯(lián)動,若被授權(quán)用戶長時間無訪問數(shù)據(jù)庫痕跡,則將其權(quán)限收回,在下次申請授權(quán)時必須提交說明方可再次授權(quán)。管理過程中,將各數(shù)據(jù)庫的白名單權(quán)限分別以數(shù)據(jù)庫和單位為類別進行統(tǒng)計和排名,采取最小化原則嚴格限制授權(quán)數(shù)量,減少侵入風(fēng)險。監(jiān)測預(yù)警:密切監(jiān)控各服務(wù)器的實時訪問壓力,分析是否出現(xiàn)異常峰值并進行源頭追溯,保障生產(chǎn)數(shù)據(jù)庫運行平穩(wěn)安全。統(tǒng)計分析:將以上三個模塊以數(shù)據(jù)表、餅狀圖、折線圖等方式進行展現(xiàn),便于更加直觀、高效對生產(chǎn)數(shù)據(jù)庫進行安全管理。
(二)應(yīng)用現(xiàn)狀及前景展望目前該系統(tǒng)已全面覆蓋相關(guān)生產(chǎn)單位和技術(shù)單位。經(jīng)持續(xù)監(jiān)測管理,當(dāng)前各數(shù)據(jù)庫運行狀態(tài)保持平穩(wěn),用戶權(quán)限得到有效控制,有效抵御了外部入侵檢測。
五、總結(jié)
本文詳細闡述了數(shù)據(jù)庫直連授權(quán)準(zhǔn)入管理系統(tǒng)的構(gòu)建思路和具體做法,以單個IP為基點,線狀管理用戶級權(quán)限和訪問行為,全面覆蓋所有的生產(chǎn)數(shù)據(jù)庫,“點-線-面”相結(jié)合,多管齊下,提高了管理效率,提升了管理水平,通過該系統(tǒng)促進數(shù)據(jù)庫安全管理向更加集約化、專業(yè)化、精細化的方向發(fā)展,構(gòu)建更加良好的數(shù)據(jù)庫訪問秩序。
作者:范琪 單位:大慶油田第一采油廠信息中心