前言:想要寫出一篇引人入勝的文章?我們特意為您整理了數(shù)據庫直連授權準入管理系統(tǒng)設計實現(xiàn)范文,希望能給你帶來靈感和參考,敬請閱讀。
一、引言
如今,數(shù)字化建設正緊跟時代潮流而大步加速發(fā)展,數(shù)據量呈現(xiàn)爆發(fā)式增長,且數(shù)據應用擴展面不斷擴大。歷史數(shù)據不僅是資產,更是未來進行數(shù)據分析,發(fā)掘更多可能性的基礎。而網絡攻擊在逐漸形成體系化態(tài)勢的過程中,呈現(xiàn)出范圍廣、高命中、隱蔽性強的特點,攻擊的辨識難度在不斷加大。與之相對應的防御技術也在更新,不斷帶來新的挑戰(zhàn)。種種因素已成為了數(shù)據深入應用的主要制約。由于數(shù)據庫資源進行了重新整合,部分用戶的權限對應關系隨之發(fā)生變化,其訪問行為難以辨別,會給數(shù)據庫的運行安全造成影響。因此,應轉變思想,采取主動預警戰(zhàn)略,識別潛在風險,開發(fā)數(shù)據庫直連授權準入管理系統(tǒng)。該系統(tǒng)將用戶的登錄權限、訪問痕跡、關鍵行為等納入統(tǒng)一管理,對各套數(shù)據庫運行狀況進行安全監(jiān)測預警,實現(xiàn)計算機用戶訪問權限受控、阻止用戶未授權登錄的風險行為,以及數(shù)據庫的監(jiān)測預警。這對于建立良好的數(shù)據庫訪問秩序,保障企業(yè)的各種軟件和系統(tǒng)正常應用,保持數(shù)據庫的平穩(wěn)安全運行起到了重要作用。
二、系統(tǒng)的構建思路及設計
本系統(tǒng)通過構建專用雙向數(shù)據鏈路,在某一用于生產管理的數(shù)據庫中新建一個專門的用戶,對其他所有在用數(shù)據庫的運行狀況及各數(shù)據庫的用戶訪問情況進行集約化管理,并根據用戶反饋及時做出后續(xù)分析和管理策略的調整。該系統(tǒng)利用Oracle概要文件技術實現(xiàn)資源的分配限定,聯(lián)合數(shù)據庫級觸發(fā)器技術實現(xiàn)對數(shù)據庫的監(jiān)測預警、對各級用戶的直連授權及訪問痕跡管理;通過數(shù)據多級鉆取技術和參數(shù)控件聯(lián)動技術,在異常出現(xiàn)的第一時間,鏈接到詳情頁,精準定位責任人,依此進行情況的核實和處理,做到“登錄需授權”、“訪問必留痕”、“行為全受控”、“違規(guī)有預警”。
三、實施過程中的應用技術研究
(一)Oracle概要文件在數(shù)據庫的多種防護策略中,概要文件起到十分重要的作用。根據用戶的角色和任務,PROFILE被相應的創(chuàng)建并分配,不同用戶采用與之匹配的PROFILE可以使系統(tǒng)資源得到更合理的分配和使用。其主要作用包括:1.限制會話資源用戶嘗試訪問數(shù)據庫時,Oracle會自動創(chuàng)建一個消耗CPU時間和內存資源的進程,叫做會話(session)。會話級資源不是無限的,且對于不用的用戶限制不同,如果用戶超過了限制,當前執(zhí)行的語句將被Oracle中斷,并對用戶發(fā)出警告,但不會影響當前會話內已執(zhí)行完成的句子。之后用戶只能使用提交或者回滾語句,或切斷連接,一切其他命令都會報錯無法執(zhí)行。2.限制調用資源每次運行SQL語句時,Oracle在不同的執(zhí)行階段需要向數(shù)據庫發(fā)起不同的調用,這需要一定的CPU時間來處理此調用。調用級資源同樣不是無限的,若在使用過程中超過了限制,語句將被Oracle停止執(zhí)行,ROLLBACK后報錯給用戶,此舉不會影響當前會話內已經執(zhí)行的語句,用戶會話不會被切斷。3.鎖定帳戶用戶在限定的登錄次數(shù)內多次嘗試并失敗后,根據參數(shù)配置,帳戶會自動鎖定,待一段時間后自動或者由管理員手動解鎖,防止暴力破解。
(二)數(shù)據庫級觸發(fā)器客戶端的大量會話記錄都保存在Oracle自帶的v$session中,如訪問機器名等連接信息,但是通過機器名不能確定到具體的機器,無法自行追蹤登入用戶的IP地址。此時可以創(chuàng)建一個數(shù)據庫級的觸發(fā)器,當每一個新的用戶連接開啟的時候自動觸發(fā)該觸發(fā)器。
(三)超級鏈接傳遞參數(shù)實現(xiàn)數(shù)據多級鉆取在定義超級鏈接時,要分別在主表和目標表設置可以用于傳遞的參數(shù),主表設置的參數(shù)名一定要和目標表的參數(shù)名相匹配,才能通過鏈接跳轉,查詢不同層級的報表內容。實現(xiàn)方法:首先,為了打通主子表的連接關系,在子表中新建一個參數(shù)。然后,在主表中滿足條件的單元格,添加超級鏈接,設置網絡報表地址、鏈接打開方式、參數(shù)傳遞方式和具體參數(shù)。
(四)參數(shù)控件聯(lián)動實現(xiàn)單位分權查詢$fine_username這個參數(shù)代表登錄用戶的用戶名,與人員組織結構關聯(lián)后,可通過該參數(shù)精確定位到該用戶的所屬單位。通過控件間的參數(shù)傳遞,實現(xiàn)不同層級管理員對各單位的分權查詢,該技術可通用于各系統(tǒng)。步驟1:新建dw數(shù)據集selectsubcompanynamefrom*_RJZYKwhereloginid='${fine_username}'其中$fine_username為登錄用戶名,*_RJZYK為整合了人員組織結構和機器信息的視圖。將該數(shù)據集綁定至dw控件,輸出實際值subcompanyname(單位名稱)傳遞給下一個kdd數(shù)據集作為過濾條件。步驟2:新建kdd數(shù)據集通過IF條件進行條件過濾查詢,若管理員來自一級管理單位則可查詢本單位所有下屬各單位名稱,不進行過濾,而二級單位的管理員用戶登陸后只能查詢到本單位名稱。將過濾后的數(shù)據集綁定到kdd控件中,設置實際值為subcompanyname(單位名稱),將參數(shù)值傳遞給bwl數(shù)據集作為新的參數(shù)進行數(shù)據查詢。步驟3:新建bwl數(shù)據集Select*from*_login_bwlajoin*_rjzykbona.ip=b.ipwheresubcompanyname=’${kdd}’接收kdd控件傳遞的subcompanyname值,充入sql語句后進行數(shù)據查詢。注:由于功能模塊名屬于系統(tǒng)級敏感信息,出于安全考慮,在文中并沒有提供完整的名稱,省略部分以*代替。
四、系統(tǒng)應用效果及展望
(一)系統(tǒng)功能模塊系統(tǒng)開發(fā)了監(jiān)測預警、直連授權、痕跡管理及統(tǒng)計分析等4大類、10小項主要功能。痕跡管理:追蹤用戶訪問痕跡,將其分為正常的登入、登出、及異常的登入阻止共三大類,重點監(jiān)管未授權IP試圖訪問數(shù)據庫的登入阻止行為,痕跡可精準定位,在警情的第一時間,通過數(shù)據鉆取獲得該時段用戶嘗試訪問被攔截的具體行為,聯(lián)系管理人員進行現(xiàn)場確認,排除可疑因素。直連授權:將通過權限審批流程的IP通過命令語句添加到系統(tǒng)白名單中,僅允許該名單中的用戶通過自己的電腦對相應數(shù)據庫進行登錄訪問。同時,與痕跡管理聯(lián)動,若被授權用戶長時間無訪問數(shù)據庫痕跡,則將其權限收回,在下次申請授權時必須提交說明方可再次授權。管理過程中,將各數(shù)據庫的白名單權限分別以數(shù)據庫和單位為類別進行統(tǒng)計和排名,采取最小化原則嚴格限制授權數(shù)量,減少侵入風險。監(jiān)測預警:密切監(jiān)控各服務器的實時訪問壓力,分析是否出現(xiàn)異常峰值并進行源頭追溯,保障生產數(shù)據庫運行平穩(wěn)安全。統(tǒng)計分析:將以上三個模塊以數(shù)據表、餅狀圖、折線圖等方式進行展現(xiàn),便于更加直觀、高效對生產數(shù)據庫進行安全管理。
(二)應用現(xiàn)狀及前景展望目前該系統(tǒng)已全面覆蓋相關生產單位和技術單位。經持續(xù)監(jiān)測管理,當前各數(shù)據庫運行狀態(tài)保持平穩(wěn),用戶權限得到有效控制,有效抵御了外部入侵檢測。
五、總結
本文詳細闡述了數(shù)據庫直連授權準入管理系統(tǒng)的構建思路和具體做法,以單個IP為基點,線狀管理用戶級權限和訪問行為,全面覆蓋所有的生產數(shù)據庫,“點-線-面”相結合,多管齊下,提高了管理效率,提升了管理水平,通過該系統(tǒng)促進數(shù)據庫安全管理向更加集約化、專業(yè)化、精細化的方向發(fā)展,構建更加良好的數(shù)據庫訪問秩序。
作者:范琪 單位:大慶油田第一采油廠信息中心