數(shù)據(jù)庫直連授權(quán)準(zhǔn)入管理系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了數(shù)據(jù)庫直連授權(quán)準(zhǔn)入管理系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)范文，希望能給你帶來靈感和參考，敬請(qǐng)閱讀。

一、引言

如今，數(shù)字化建設(shè)正緊跟時(shí)代潮流而大步加速發(fā)展，數(shù)據(jù)量呈現(xiàn)爆發(fā)式增長(zhǎng)，且數(shù)據(jù)應(yīng)用擴(kuò)展面不斷擴(kuò)大。歷史數(shù)據(jù)不僅是資產(chǎn)，更是未來進(jìn)行數(shù)據(jù)分析，發(fā)掘更多可能性的基礎(chǔ)。而網(wǎng)絡(luò)攻擊在逐漸形成體系化態(tài)勢(shì)的過程中，呈現(xiàn)出范圍廣、高命中、隱蔽性強(qiáng)的特點(diǎn)，攻擊的辨識(shí)難度在不斷加大。與之相對(duì)應(yīng)的防御技術(shù)也在更新，不斷帶來新的挑戰(zhàn)。種種因素已成為了數(shù)據(jù)深入應(yīng)用的主要制約。由于數(shù)據(jù)庫資源進(jìn)行了重新整合，部分用戶的權(quán)限對(duì)應(yīng)關(guān)系隨之發(fā)生變化，其訪問行為難以辨別，會(huì)給數(shù)據(jù)庫的運(yùn)行安全造成影響。因此，應(yīng)轉(zhuǎn)變思想，采取主動(dòng)預(yù)警戰(zhàn)略，識(shí)別潛在風(fēng)險(xiǎn)，開發(fā)數(shù)據(jù)庫直連授權(quán)準(zhǔn)入管理系統(tǒng)。該系統(tǒng)將用戶的登錄權(quán)限、訪問痕跡、關(guān)鍵行為等納入統(tǒng)一管理，對(duì)各套數(shù)據(jù)庫運(yùn)行狀況進(jìn)行安全監(jiān)測(cè)預(yù)警，實(shí)現(xiàn)計(jì)算機(jī)用戶訪問權(quán)限受控、阻止用戶未授權(quán)登錄的風(fēng)險(xiǎn)行為，以及數(shù)據(jù)庫的監(jiān)測(cè)預(yù)警。這對(duì)于建立良好的數(shù)據(jù)庫訪問秩序，保障企業(yè)的各種軟件和系統(tǒng)正常應(yīng)用，保持?jǐn)?shù)據(jù)庫的平穩(wěn)安全運(yùn)行起到了重要作用。

二、系統(tǒng)的構(gòu)建思路及設(shè)計(jì)

本系統(tǒng)通過構(gòu)建專用雙向數(shù)據(jù)鏈路，在某一用于生產(chǎn)管理的數(shù)據(jù)庫中新建一個(gè)專門的用戶，對(duì)其他所有在用數(shù)據(jù)庫的運(yùn)行狀況及各數(shù)據(jù)庫的用戶訪問情況進(jìn)行集約化管理，并根據(jù)用戶反饋及時(shí)做出后續(xù)分析和管理策略的調(diào)整。該系統(tǒng)利用Oracle概要文件技術(shù)實(shí)現(xiàn)資源的分配限定，聯(lián)合數(shù)據(jù)庫級(jí)觸發(fā)器技術(shù)實(shí)現(xiàn)對(duì)數(shù)據(jù)庫的監(jiān)測(cè)預(yù)警、對(duì)各級(jí)用戶的直連授權(quán)及訪問痕跡管理；通過數(shù)據(jù)多級(jí)鉆取技術(shù)和參數(shù)控件聯(lián)動(dòng)技術(shù)，在異常出現(xiàn)的第一時(shí)間，鏈接到詳情頁，精準(zhǔn)定位責(zé)任人，依此進(jìn)行情況的核實(shí)和處理，做到“登錄需授權(quán)”、“訪問必留痕”、“行為全受控”、“違規(guī)有預(yù)警”。

三、實(shí)施過程中的應(yīng)用技術(shù)研究

（一）Oracle概要文件在數(shù)據(jù)庫的多種防護(hù)策略中，概要文件起到十分重要的作用。根據(jù)用戶的角色和任務(wù)，PROFILE被相應(yīng)的創(chuàng)建并分配，不同用戶采用與之匹配的PROFILE可以使系統(tǒng)資源得到更合理的分配和使用。其主要作用包括：1.限制會(huì)話資源用戶嘗試訪問數(shù)據(jù)庫時(shí)，Oracle會(huì)自動(dòng)創(chuàng)建一個(gè)消耗CPU時(shí)間和內(nèi)存資源的進(jìn)程，叫做會(huì)話（session）。會(huì)話級(jí)資源不是無限的，且對(duì)于不用的用戶限制不同，如果用戶超過了限制，當(dāng)前執(zhí)行的語句將被Oracle中斷，并對(duì)用戶發(fā)出警告，但不會(huì)影響當(dāng)前會(huì)話內(nèi)已執(zhí)行完成的句子。之后用戶只能使用提交或者回滾語句，或切斷連接，一切其他命令都會(huì)報(bào)錯(cuò)無法執(zhí)行。2.限制調(diào)用資源每次運(yùn)行SQL語句時(shí)，Oracle在不同的執(zhí)行階段需要向數(shù)據(jù)庫發(fā)起不同的調(diào)用，這需要一定的CPU時(shí)間來處理此調(diào)用。調(diào)用級(jí)資源同樣不是無限的，若在使用過程中超過了限制，語句將被Oracle停止執(zhí)行，ROLLBACK后報(bào)錯(cuò)給用戶，此舉不會(huì)影響當(dāng)前會(huì)話內(nèi)已經(jīng)執(zhí)行的語句，用戶會(huì)話不會(huì)被切斷。3.鎖定帳戶用戶在限定的登錄次數(shù)內(nèi)多次嘗試并失敗后，根據(jù)參數(shù)配置，帳戶會(huì)自動(dòng)鎖定，待一段時(shí)間后自動(dòng)或者由管理員手動(dòng)解鎖，防止暴力破解。

（二）數(shù)據(jù)庫級(jí)觸發(fā)器客戶端的大量會(huì)話記錄都保存在Oracle自帶的v$session中，如訪問機(jī)器名等連接信息,但是通過機(jī)器名不能確定到具體的機(jī)器，無法自行追蹤登入用戶的IP地址。此時(shí)可以創(chuàng)建一個(gè)數(shù)據(jù)庫級(jí)的觸發(fā)器，當(dāng)每一個(gè)新的用戶連接開啟的時(shí)候自動(dòng)觸發(fā)該觸發(fā)器。

（三）超級(jí)鏈接傳遞參數(shù)實(shí)現(xiàn)數(shù)據(jù)多級(jí)鉆取在定義超級(jí)鏈接時(shí)，要分別在主表和目標(biāo)表設(shè)置可以用于傳遞的參數(shù)，主表設(shè)置的參數(shù)名一定要和目標(biāo)表的參數(shù)名相匹配，才能通過鏈接跳轉(zhuǎn)，查詢不同層級(jí)的報(bào)表內(nèi)容。實(shí)現(xiàn)方法：首先，為了打通主子表的連接關(guān)系，在子表中新建一個(gè)參數(shù)。然后，在主表中滿足條件的單元格，添加超級(jí)鏈接，設(shè)置網(wǎng)絡(luò)報(bào)表地址、鏈接打開方式、參數(shù)傳遞方式和具體參數(shù)。

（四）參數(shù)控件聯(lián)動(dòng)實(shí)現(xiàn)單位分權(quán)查詢$fine_username這個(gè)參數(shù)代表登錄用戶的用戶名，與人員組織結(jié)構(gòu)關(guān)聯(lián)后，可通過該參數(shù)精確定位到該用戶的所屬單位。通過控件間的參數(shù)傳遞，實(shí)現(xiàn)不同層級(jí)管理員對(duì)各單位的分權(quán)查詢，該技術(shù)可通用于各系統(tǒng)。步驟1：新建dw數(shù)據(jù)集selectsubcompanynamefrom*_RJZYKwhereloginid='${fine_username}'其中$fine_username為登錄用戶名，*_RJZYK為整合了人員組織結(jié)構(gòu)和機(jī)器信息的視圖。將該數(shù)據(jù)集綁定至dw控件，輸出實(shí)際值subcompanyname（單位名稱）傳遞給下一個(gè)kdd數(shù)據(jù)集作為過濾條件。步驟2：新建kdd數(shù)據(jù)集通過IF條件進(jìn)行條件過濾查詢，若管理員來自一級(jí)管理單位則可查詢本單位所有下屬各單位名稱，不進(jìn)行過濾，而二級(jí)單位的管理員用戶登陸后只能查詢到本單位名稱。將過濾后的數(shù)據(jù)集綁定到kdd控件中，設(shè)置實(shí)際值為subcompanyname（單位名稱），將參數(shù)值傳遞給bwl數(shù)據(jù)集作為新的參數(shù)進(jìn)行數(shù)據(jù)查詢。步驟3：新建bwl數(shù)據(jù)集Select*from*_login_bwlajoin*_rjzykbona.ip=b.ipwheresubcompanyname=’${kdd}’接收kdd控件傳遞的subcompanyname值，充入sql語句后進(jìn)行數(shù)據(jù)查詢。注：由于功能模塊名屬于系統(tǒng)級(jí)敏感信息，出于安全考慮，在文中并沒有提供完整的名稱，省略部分以*代替。

四、系統(tǒng)應(yīng)用效果及展望

（一）系統(tǒng)功能模塊系統(tǒng)開發(fā)了監(jiān)測(cè)預(yù)警、直連授權(quán)、痕跡管理及統(tǒng)計(jì)分析等4大類、10小項(xiàng)主要功能。痕跡管理：追蹤用戶訪問痕跡，將其分為正常的登入、登出、及異常的登入阻止共三大類，重點(diǎn)監(jiān)管未授權(quán)IP試圖訪問數(shù)據(jù)庫的登入阻止行為，痕跡可精準(zhǔn)定位，在警情的第一時(shí)間，通過數(shù)據(jù)鉆取獲得該時(shí)段用戶嘗試訪問被攔截的具體行為，聯(lián)系管理人員進(jìn)行現(xiàn)場(chǎng)確認(rèn)，排除可疑因素。直連授權(quán)：將通過權(quán)限審批流程的IP通過命令語句添加到系統(tǒng)白名單中，僅允許該名單中的用戶通過自己的電腦對(duì)相應(yīng)數(shù)據(jù)庫進(jìn)行登錄訪問。同時(shí)，與痕跡管理聯(lián)動(dòng)，若被授權(quán)用戶長(zhǎng)時(shí)間無訪問數(shù)據(jù)庫痕跡，則將其權(quán)限收回，在下次申請(qǐng)授權(quán)時(shí)必須提交說明方可再次授權(quán)。管理過程中，將各數(shù)據(jù)庫的白名單權(quán)限分別以數(shù)據(jù)庫和單位為類別進(jìn)行統(tǒng)計(jì)和排名，采取最小化原則嚴(yán)格限制授權(quán)數(shù)量，減少侵入風(fēng)險(xiǎn)。監(jiān)測(cè)預(yù)警：密切監(jiān)控各服務(wù)器的實(shí)時(shí)訪問壓力，分析是否出現(xiàn)異常峰值并進(jìn)行源頭追溯，保障生產(chǎn)數(shù)據(jù)庫運(yùn)行平穩(wěn)安全。統(tǒng)計(jì)分析：將以上三個(gè)模塊以數(shù)據(jù)表、餅狀圖、折線圖等方式進(jìn)行展現(xiàn)，便于更加直觀、高效對(duì)生產(chǎn)數(shù)據(jù)庫進(jìn)行安全管理。

（二）應(yīng)用現(xiàn)狀及前景展望目前該系統(tǒng)已全面覆蓋相關(guān)生產(chǎn)單位和技術(shù)單位。經(jīng)持續(xù)監(jiān)測(cè)管理，當(dāng)前各數(shù)據(jù)庫運(yùn)行狀態(tài)保持平穩(wěn)，用戶權(quán)限得到有效控制，有效抵御了外部入侵檢測(cè)。

五、總結(jié)

本文詳細(xì)闡述了數(shù)據(jù)庫直連授權(quán)準(zhǔn)入管理系統(tǒng)的構(gòu)建思路和具體做法，以單個(gè)IP為基點(diǎn)，線狀管理用戶級(jí)權(quán)限和訪問行為，全面覆蓋所有的生產(chǎn)數(shù)據(jù)庫，“點(diǎn)-線-面”相結(jié)合，多管齊下，提高了管理效率，提升了管理水平，通過該系統(tǒng)促進(jìn)數(shù)據(jù)庫安全管理向更加集約化、專業(yè)化、精細(xì)化的方向發(fā)展，構(gòu)建更加良好的數(shù)據(jù)庫訪問秩序。

作者：范琪 單位：大慶油田第一采油廠信息中心