摘 要：近年來(lái)，隨著互聯(lián)網(wǎng)的日益普及，數(shù)據(jù)庫(kù)遭受網(wǎng)絡(luò)黑客、病毒攻擊的頻率越來(lái)越高，為了有效預(yù)防重要敏感信息被竊取、篡改、偽造，我們通過(guò)對(duì)數(shù)據(jù)庫(kù)系統(tǒng)加強(qiáng)信息資源安全審計(jì)管理、加強(qiáng)安全插件的開發(fā)利用，規(guī)范客戶端合法訪問(wèn)數(shù)據(jù)庫(kù)。本文探討了數(shù)據(jù)庫(kù)系統(tǒng)安全技術(shù)的應(yīng)用，與傳統(tǒng)的數(shù)據(jù)庫(kù)保護(hù)方案相比，強(qiáng)調(diào)了安全審計(jì)和安全插件技術(shù)的結(jié)合性。

關(guān)鍵詞：數(shù)據(jù)庫(kù)；安全審計(jì)；安全插件

中圖分類號(hào)：TP311.13

數(shù)據(jù)庫(kù)系統(tǒng)信息規(guī)?；l(fā)展勢(shì)頭強(qiáng)勁，數(shù)據(jù)庫(kù)的應(yīng)用日益廣泛，涉及到銅礦產(chǎn)業(yè)方方面面，給公司帶來(lái)了實(shí)實(shí)在在的收益，同時(shí)也深刻反映了公司對(duì)信息系統(tǒng)的巨大依賴性，對(duì)產(chǎn)業(yè)研究和生產(chǎn)起到了重要的引導(dǎo)作用，當(dāng)今數(shù)據(jù)庫(kù)的安全問(wèn)題變得尤為重要。

1 數(shù)據(jù)庫(kù)安全總體架構(gòu)

1.1 數(shù)據(jù)庫(kù)系統(tǒng)設(shè)計(jì)思路

數(shù)據(jù)庫(kù)安全系統(tǒng)的重點(diǎn)是解決安全審計(jì)和安全插件問(wèn)題，對(duì)來(lái)自網(wǎng)絡(luò)和本地的用戶對(duì)數(shù)據(jù)庫(kù)的操作行為進(jìn)行審計(jì)，及時(shí)識(shí)別和發(fā)現(xiàn)其中是否對(duì)數(shù)據(jù)庫(kù)系統(tǒng)構(gòu)成威脅，系統(tǒng)提出了用安全插件來(lái)提高數(shù)據(jù)庫(kù)安全性的設(shè)計(jì)方案。安全插件采用阻斷非法用戶訪問(wèn)進(jìn)入系統(tǒng)來(lái)保障數(shù)據(jù)庫(kù)信息的安全性和可控性。

1.2 數(shù)據(jù)庫(kù)系統(tǒng)設(shè)計(jì)目標(biāo)

（1）高安全性：對(duì)于一些重要的機(jī)密的數(shù)據(jù)，足夠的加密強(qiáng)度，在共享環(huán)境下保證數(shù)據(jù)所有者的安全。

（2）統(tǒng)一審計(jì)：對(duì)日志數(shù)據(jù)庫(kù)進(jìn)行統(tǒng)一審計(jì)、客戶端訪問(wèn)數(shù)據(jù)庫(kù)集中控制；事后可以整合信息分析導(dǎo)致數(shù)據(jù)庫(kù)出現(xiàn)異常的一系列行為，追蹤攻擊者的來(lái)源提供依據(jù)。

（3）權(quán)限管理：將管理權(quán)限集中管理，由系統(tǒng)安全審計(jì)引擎統(tǒng)一進(jìn)行設(shè)置、解析。

1.3 方案總體設(shè)計(jì)

數(shù)據(jù)庫(kù)安全系統(tǒng)總體構(gòu)架見圖1

圖1

數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)是通過(guò)以網(wǎng)絡(luò)審計(jì)為主，兼容數(shù)據(jù)庫(kù)本地審計(jì)的方式。數(shù)據(jù)庫(kù)審計(jì)監(jiān)管系統(tǒng)將從網(wǎng)上采集到的信息包發(fā)送到前臺(tái)審計(jì)監(jiān)管平臺(tái)上的數(shù)據(jù)庫(kù)日志，通過(guò)后臺(tái)的審計(jì)監(jiān)管服務(wù)器對(duì)數(shù)據(jù)包進(jìn)行分析，為管理者和系統(tǒng)管理員提供及時(shí)、準(zhǔn)確、詳細(xì)的數(shù)據(jù)異動(dòng)信息，發(fā)現(xiàn)工作中的越權(quán)、違規(guī)、過(guò)失、惡意篡改等操作反饋在審計(jì)監(jiān)管管理平臺(tái)上，實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)系統(tǒng)安全狀況的全面審計(jì)，從而保障數(shù)據(jù)庫(kù)的安全.

安全插件是在數(shù)據(jù)庫(kù)管理系統(tǒng)外的安全防護(hù)罩，登陸數(shù)據(jù)庫(kù)系統(tǒng)的用戶訪問(wèn)應(yīng)用服務(wù)器時(shí)，系統(tǒng)自動(dòng)彈出提示，用戶按照提示安裝安全插件。安全插件截獲數(shù)據(jù)庫(kù)各種訪問(wèn)接口的訪問(wèn)請(qǐng)求，對(duì)用戶訪問(wèn)控制進(jìn)行安全審核，將允許訪問(wèn)的命令送到數(shù)據(jù)庫(kù)管理系統(tǒng)，系統(tǒng)插件自動(dòng)對(duì)用戶訪問(wèn)行為做出安全級(jí)別的評(píng)價(jià)，根據(jù)安全級(jí)別評(píng)價(jià)的提示對(duì)用戶進(jìn)行認(rèn)證和監(jiān)控控制。如果系統(tǒng)發(fā)現(xiàn)非法用戶的指令，則安全插件將自動(dòng)切斷用戶對(duì)數(shù)據(jù)庫(kù)的。

1.4 數(shù)據(jù)庫(kù)系統(tǒng)技術(shù)路線

數(shù)據(jù)庫(kù)安全系統(tǒng)是采用自主研發(fā)安全插件與數(shù)據(jù)庫(kù)安全審計(jì)，并與傳統(tǒng)系統(tǒng)相結(jié)合的路線，解決支路安全設(shè)備的阻斷問(wèn)題。

（1）系統(tǒng)安全插件可自動(dòng)獲取用戶的IP地址、MAC、PC名以及操作系統(tǒng)類別和系統(tǒng)軟件等信息，監(jiān)控中心發(fā)出指令，防止非授權(quán)的用戶訪問(wèn)數(shù)據(jù)庫(kù)系統(tǒng)。安全插件具有超高安全性，卸載、刪除安全插件系統(tǒng)將自動(dòng)彈出預(yù)警提示，防止非法操作破壞系統(tǒng)的安全性。

（2）解決旁路安全產(chǎn)品的阻斷問(wèn)題

本系統(tǒng)采用數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)和安全插件的技術(shù)，可以成功解決旁路安全設(shè)備的阻斷問(wèn)題。即在用戶訪問(wèn)數(shù)據(jù)庫(kù)前假設(shè)個(gè)“關(guān)卡”，所有要訪問(wèn)數(shù)據(jù)庫(kù)的操作都需先經(jīng)過(guò)審計(jì)監(jiān)控系統(tǒng)，只有審計(jì)監(jiān)控系統(tǒng)授權(quán)才能夠?qū)?shù)據(jù)庫(kù)進(jìn)行訪問(wèn)。安全插件接收監(jiān)控系統(tǒng)的指令，阻止非授權(quán)的用戶對(duì)數(shù)據(jù)庫(kù)服務(wù)器的訪問(wèn)。與數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)進(jìn)行聯(lián)動(dòng)，對(duì)數(shù)據(jù)庫(kù)用戶的越權(quán)訪問(wèn)進(jìn)行阻斷和報(bào)警。

（3）系統(tǒng)集成與安全審計(jì)和安全插件的聯(lián)合應(yīng)用

數(shù)據(jù)庫(kù)系統(tǒng)安全創(chuàng)新之處在于：數(shù)據(jù)庫(kù)集成與安全審計(jì)和安全插件管理系統(tǒng)相結(jié)合，做到系統(tǒng)兼容、風(fēng)格一致、界面協(xié)調(diào)。集成后的系統(tǒng)操作界面由兩部分組成：數(shù)據(jù)庫(kù)審計(jì)子系統(tǒng)和數(shù)據(jù)庫(kù)用戶管理子系統(tǒng)，兩個(gè)子系統(tǒng)相得益彰，用戶操作快捷，方便系統(tǒng)管理。

（4）系統(tǒng)的聯(lián)動(dòng)

通過(guò)數(shù)據(jù)庫(kù)系統(tǒng)管理平臺(tái)完成前、后臺(tái)審計(jì)的安全策略和若干審計(jì)引擎設(shè)置相結(jié)合的管理方式，操作簡(jiǎn)便快捷和安全性高。審計(jì)引擎作為數(shù)據(jù)庫(kù)安全的重要組成部分與審計(jì)監(jiān)管系統(tǒng)聯(lián)動(dòng)，對(duì)個(gè)別服務(wù)器終端作相應(yīng)的共享。

1.5 數(shù)據(jù)庫(kù)系統(tǒng)功能實(shí)現(xiàn)

（1）支持對(duì)SQL Server、Oracle、informix、MYSQL數(shù)據(jù)庫(kù)類型的審計(jì)監(jiān)控分析。

（2）系統(tǒng)提供用戶需要配置條件。不同性質(zhì)的用戶可按一定的范圍對(duì)特定主機(jī)和特定網(wǎng)段進(jìn)行監(jiān)控，從而保證用戶能夠按照自己的需求實(shí)施監(jiān)控。

（3）系統(tǒng)支持?jǐn)?shù)據(jù)庫(kù)服務(wù)器的事件統(tǒng)計(jì)、安全報(bào)警功能。

（4）數(shù)據(jù)庫(kù)系統(tǒng)可生成安全報(bào)表：直觀、簡(jiǎn)潔、豐富。

（5）系統(tǒng)采用多級(jí)用戶管理體系，包括系統(tǒng)管理員、普通管理員、一般用戶三種權(quán)限用戶，不同級(jí)別的用戶之間彼此制衡，保證了系統(tǒng)安全性和可控性.

2 系統(tǒng)應(yīng)用效果

自數(shù)據(jù)庫(kù)安全系統(tǒng)運(yùn)行以來(lái)，自動(dòng)提示用戶安裝的安全插件近70多個(gè)，能夠?qū)ΡＷo(hù)的數(shù)據(jù)庫(kù)服務(wù)器的訪問(wèn)進(jìn)行審計(jì)和監(jiān)控。數(shù)據(jù)庫(kù)安全系統(tǒng)對(duì)于科研和生產(chǎn)發(fā)揮了巨大的作用，取得了很好的效果。

數(shù)據(jù)庫(kù)安全系統(tǒng)的實(shí)施較好地解決了信息資源的安全問(wèn)題和可控問(wèn)題，主要體現(xiàn)在以下四個(gè)方面：

（1）在數(shù)據(jù)庫(kù)系統(tǒng)的外網(wǎng)增加了一道安全屏障，實(shí)時(shí)監(jiān)控分析，攔截非法用戶的入侵，通過(guò)數(shù)據(jù)庫(kù)系統(tǒng)審計(jì)平臺(tái)管理，有效防止重要數(shù)據(jù)的破壞和泄漏。

控制非法用戶對(duì)數(shù)據(jù)庫(kù)系統(tǒng)強(qiáng)行的訪問(wèn)，全面記錄用戶對(duì)數(shù)據(jù)庫(kù)的所有操作行為，通過(guò)系統(tǒng)安全插件提前預(yù)警，杜絕用戶違規(guī)操作的問(wèn)題。

數(shù)據(jù)庫(kù)系統(tǒng)提供用戶查詢權(quán)限范圍內(nèi)的數(shù)據(jù)信息，通過(guò)日志列表查詢和事件列表查詢，對(duì)每條事件信息進(jìn)行審計(jì)，監(jiān)控分析用戶的具體操作行為是否對(duì)數(shù)據(jù)庫(kù)系統(tǒng)構(gòu)成威脅，并且導(dǎo)出系統(tǒng)原始數(shù)據(jù)為管理人員全面掌握數(shù)據(jù)庫(kù)資源安全使用情況提供科學(xué)的依據(jù).

可按時(shí)間周期來(lái)評(píng)定系統(tǒng)審計(jì)事件的強(qiáng)、中、弱三個(gè)級(jí)別的數(shù)量，以及日志數(shù)和會(huì)話的信息。

3 結(jié)語(yǔ)

數(shù)據(jù)庫(kù)安全系統(tǒng)伴隨著網(wǎng)絡(luò)的更高層次利用，需要進(jìn)一步加強(qiáng)信息資源安全審計(jì)和監(jiān)控，數(shù)據(jù)庫(kù)系統(tǒng)安全管理是一項(xiàng)長(zhǎng)期而艱巨的工作。信息安全是涉及公司產(chǎn)業(yè)發(fā)展和公司安全的重大問(wèn)題。數(shù)據(jù)庫(kù)安全系統(tǒng)部署了審計(jì)數(shù)據(jù)處理中心、安全管理系統(tǒng)控制臺(tái)、多臺(tái)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)、及大量的數(shù)據(jù)庫(kù)安全插件，保障數(shù)據(jù)庫(kù)信息的有效性和合法性。規(guī)范了用戶訪問(wèn)行為，加強(qiáng)了安全審計(jì)、風(fēng)險(xiǎn)級(jí)別評(píng)價(jià)工作，從而更有力保障數(shù)據(jù)庫(kù)系統(tǒng)的安全。

參考文獻(xiàn)：

[1]王永祥.論企業(yè)數(shù)據(jù)安全保護(hù)方案[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2011（61）：13-14.

[2]孫立波.如何用虛擬化解決數(shù)據(jù)安全問(wèn)題[J].科技浪潮，2008（2）：27-30.

作者單位：江西銅業(yè)集團(tuán)德興銅礦，江西德興 334224