許 金

（中煤科工集團重慶研究院有限公司，重慶 400039）

煤礦安全監(jiān)控系統(tǒng)是防范煤礦瓦斯事故的重要手段。安全監(jiān)控系統(tǒng)數(shù)據(jù)是日常監(jiān)管、事故調(diào)查分析最重要、客觀、真實的資料，確保監(jiān)控數(shù)據(jù)不被篡改意義重大。為此，國家煤礦安全監(jiān)察局將“假數(shù)據(jù)”等“五假五超三瞞三不”列為重點打擊對象[1]。《煤礦安全監(jiān)控系統(tǒng)升級改造技術(shù)方案》的通知(煤安監(jiān)函〔2016〕5 號)和 AQ 6201—2019 煤礦安全監(jiān)控系統(tǒng)通用技術(shù)要求均明確要求對“采掘工作面瓦斯超限報警、斷電、饋電異常,局部通風(fēng)機停風(fēng)等數(shù)據(jù)應(yīng)進(jìn)行加密存儲，防止篡改”[2-4]。

1 安全監(jiān)控系統(tǒng)數(shù)據(jù)安全現(xiàn)狀

目前行業(yè)主流煤礦安全監(jiān)控系統(tǒng)軟件，均運行在微軟Windows 系統(tǒng)上，數(shù)據(jù)庫多采用大型關(guān)系數(shù)據(jù)庫。系統(tǒng)部署在煤礦企業(yè)，日常維護由礦方負(fù)責(zé)。礦方擁有操作系統(tǒng)、監(jiān)控軟件、數(shù)據(jù)庫的最高權(quán)限，對數(shù)據(jù)有充分控制權(quán)，給數(shù)據(jù)防篡改帶來了較大挑戰(zhàn)。

煤礦安全監(jiān)控系統(tǒng)數(shù)據(jù)防篡改關(guān)注的核心是對數(shù)據(jù)非法修改、刪除與添加，而對不影響數(shù)據(jù)真實性的查詢操作一般不作過多關(guān)注。針對這種情況，IT行業(yè)一般采用數(shù)據(jù)加密、日志審計，同時建立完備的“數(shù)據(jù)管理、安全管理、審計管理”三權(quán)分立的管理模式，從技術(shù)與管理2 個層面來保障數(shù)據(jù)安全，但這種方式專業(yè)性強、人員要求高、資金與設(shè)備投入多，在煤礦難以大面積推廣。

監(jiān)控系統(tǒng)廠家為防止數(shù)據(jù)被非法篡改，目前主要采用如下2 種方法：

1）數(shù)據(jù)庫加密存儲[5-8]。采用監(jiān)控軟件前端加密或利用數(shù)據(jù)庫內(nèi)置加密機制，多采用可逆加密方式，利用對稱或非對稱加密算法，對數(shù)據(jù)進(jìn)行加密存儲。加密算法與秘鑰均由廠家掌握，可對數(shù)據(jù)修改操作進(jìn)行有效防范，具備易管理、編程實現(xiàn)方便等優(yōu)點。但該方式對數(shù)據(jù)非法添加、刪除操作無法識別；加密導(dǎo)致索引失效，查詢性能大幅下降；無法直接使用數(shù)據(jù)庫內(nèi)置函數(shù)，統(tǒng)計分析困難；數(shù)據(jù)共享融合困難，需要對三方接口進(jìn)行大量改造。

2）文件加密，數(shù)據(jù)庫明文存儲。為了克服數(shù)據(jù)庫加密存儲方法的缺點，充分利用數(shù)據(jù)庫提供的強大檢索與統(tǒng)計分析能力，采用文件加密、數(shù)據(jù)庫明文存儲的方式。但該方法數(shù)據(jù)存儲冗余量大，數(shù)據(jù)篡改識別高度依賴文件與數(shù)據(jù)庫關(guān)聯(lián)對比分析規(guī)則，識別過程復(fù)雜且性能較低。

為此，亟需一種能充分利用數(shù)據(jù)庫能力，并能對數(shù)據(jù)篡改行為進(jìn)行有效識別、捕獲跟蹤的方法。

2 安全監(jiān)控系統(tǒng)數(shù)據(jù)防篡改基本思路

2.1 安全監(jiān)控系統(tǒng)防篡改的基本要求

為滿足實際需要，安全監(jiān)控系統(tǒng)數(shù)據(jù)防篡改的設(shè)計，既要對數(shù)據(jù)修改操作進(jìn)行捕獲、跟蹤、識別，也要在性能、存儲方面取得有效平衡。鑒于系統(tǒng)實際應(yīng)用情況，防篡改的設(shè)計應(yīng)滿足如下6 項基本要求：

1）應(yīng)能對數(shù)據(jù)庫添加、刪除、更新操作實時識別與記錄。

2）應(yīng)能記錄修改（Update）前后的原始數(shù)據(jù)。

3）應(yīng)能自動記錄被刪除的數(shù)據(jù)。

4）應(yīng)能對數(shù)據(jù)庫中數(shù)據(jù)進(jìn)行合法性識別。

5）兼容已有數(shù)據(jù)庫架構(gòu)，能與已有軟件功能或接口完全適配。

6）加密后數(shù)據(jù)庫所有功能全部可用，存儲容量不能大幅增加，性能不能出現(xiàn)明顯下降。

為滿足上述6 條要求，為此主要采用變動數(shù)據(jù)捕獲和消息摘要加密來實現(xiàn)。

2.2 變動數(shù)據(jù)捕獲（CDC）

對數(shù)據(jù)庫添加、刪除、更新操作的捕獲，多采用觸發(fā)器，但其性能開銷大、觸發(fā)器自身安全機制可控性差，不適合安全監(jiān)控系統(tǒng)需要。隨著商業(yè)數(shù)據(jù)庫技術(shù)的發(fā)展，Oracle、Sql Server 在其最新版本中均提供了變動數(shù)據(jù)捕獲（Change Data Capture）組件，對數(shù)據(jù)庫數(shù)據(jù)變化進(jìn)行捕獲。CDC 組件性能開銷小，可對源表進(jìn)行INSERT、UPDATE 和 DELETE 等操作實時捕獲，并將變化的數(shù)據(jù)同步記錄到系統(tǒng)表中，并提供接口供第三方程序訪問。利用CDC 組件，可以較好的滿足防篡改前3 項基本要求[9]。

CDC 機制如圖1，變更數(shù)據(jù)捕獲的更改數(shù)據(jù)源為Sqlserver 事務(wù)日志，當(dāng)對表啟用變更數(shù)據(jù)捕獲時，系統(tǒng)將生成1 個與該表結(jié)構(gòu)相似的副本。當(dāng)對捕獲表進(jìn)行DDL 操作時，在事務(wù)日記會記錄相關(guān)操作信息。變更數(shù)據(jù)捕獲代理使用異步進(jìn)程讀取事務(wù)日記并記錄到副本中，以完成對源表的跟蹤。Sqlserver 提供相應(yīng)的查詢函數(shù)，供外部調(diào)用查看捕獲記錄。

圖1 CDC 機制Fig.1 The Mechanism of CDC

安全監(jiān)控系統(tǒng)運行在Windows 平臺，數(shù)據(jù)庫多選用SQL Server，故以SQL Server2014 對CDC 的使用進(jìn)行介紹。首先利用系統(tǒng)存儲過程sys.sp_cdc_enable_db 啟用數(shù)據(jù)庫CDC 捕獲功能；再利用sys.sp_cdc_enable_table 啟動指定表數(shù)據(jù)變化捕獲功能，最后執(zhí)行sys.sp_cdc_start_job 存儲過程，啟動數(shù)據(jù)捕獲作業(yè)。通過查詢指定對象的捕獲實例系統(tǒng)表，即可獲取變動的數(shù)據(jù)。為了減少數(shù)據(jù)存儲量，針對不同的表，可以指定需要捕獲的數(shù)據(jù)列。

2.3 數(shù)據(jù)加密存儲

為了滿足防篡改第4 項～第6 項要求，擬完全保留已有數(shù)據(jù)庫結(jié)構(gòu)設(shè)計，確保數(shù)據(jù)庫所有功能和接口可用，在每個數(shù)據(jù)表增加1 個消息摘要校驗列，從而既可大幅減少密文長度，又可驗證數(shù)據(jù)合法性。

消息摘要（Message Digest） 又稱為數(shù)字摘要(Digital Digest)。它由1 個單向Hash 加密函數(shù)對待加密的“明文消息”進(jìn)行作用，而生成固定長度的密文，該密文即為數(shù)字指紋。數(shù)字指紋具備固定的長度，且不同的明文消息摘要成密文，其結(jié)果總是不同的，而同樣的明文其摘要必定一致。本方案中，每個表明文記錄與相應(yīng)消息摘要同時存在，導(dǎo)致極易被破解，故需對消息摘要進(jìn)行二次加密。因摘要數(shù)據(jù)與明文是一一對應(yīng)，綜合考慮速度、安全性與便捷性，摘要的加密宜采用可逆加密算法。

消息摘要算法常見的主要有 MD5、SHA、RIPEMD、PANAMA、TIGER 等[10-11]。MD5 具備安全性高、速度快等優(yōu)點，產(chǎn)生的摘要長度固定為16 字節(jié)（128 位），故選擇MD5 生產(chǎn)相應(yīng)記錄的消息摘要。對摘要數(shù)據(jù)的加密，根據(jù)性能與數(shù)據(jù)還原的需要，采用DES 對稱加密算法。

煤礦安全監(jiān)控系統(tǒng)防篡改算法見表1。

表1 基于CDC 與消息摘要加密的監(jiān)控系統(tǒng)數(shù)據(jù)防篡改算法Table 1 Data tampering proofing algorithm of monitoring system based on CDC and message digest encryption

3 試驗驗證

安全監(jiān)控系統(tǒng)密采數(shù)據(jù)真實、客觀的反映了傳感器周期采樣原始值，所有統(tǒng)計分析均以此為基礎(chǔ)。密采數(shù)據(jù)具備數(shù)據(jù)量大，讀寫極為頻繁，在本文中以它為典型對象進(jìn)行試驗，測試其存儲、安全和性能等指標(biāo)。

1）測試環(huán)境。采用Windows10 專業(yè)版，微軟SQL Server2014 開發(fā)版進(jìn)行測試。

2）測試表建立。密采數(shù)據(jù)表主要包括ID、監(jiān)測點、監(jiān)測地址、監(jiān)測值、采集時間、校驗值等，數(shù)據(jù)表結(jié)構(gòu)見表2。

表2 數(shù)據(jù)表結(jié)構(gòu)Table 2 Data table structure

3）啟用CDC 跟蹤。在查詢分析器中執(zhí)行如下T-SQL 語句，啟用數(shù)據(jù)變動捕獲功能。

USE CDC //打開測試數(shù)據(jù)庫CDC

GO

EXEC sys.sp＿cdc＿enable＿db //啟用測試數(shù)據(jù)庫CDC 跟蹤

GO

//啟用對應(yīng)表捕獲功能

EXEC sys.sp＿cdc＿enable＿table

@source＿schema = ＇dbo＇,

@source＿name = ＇RunRecord＇,

@capture＿instance=＇RunRecord＿Check＇,

@role＿name = NULL

GO

//啟動對應(yīng)的捕獲作業(yè)

exec sys.sp＿cdc＿start＿job N＇capture＇

go

4）數(shù)據(jù)操作行為測試。通過在數(shù)據(jù)庫操作界面，人為添加、修改和刪除數(shù)據(jù)1 條記錄，通過CDC 查詢函數(shù)在追蹤記錄表中查詢, 根據(jù)查詢記錄即可清楚的看到對數(shù)據(jù)的所有增刪改操作。假定插入的數(shù)據(jù)為真實數(shù)據(jù)，通過對比更新前后的消息摘要密文，即可發(fā)現(xiàn)更新后的密文與更新前的密文一致，但監(jiān)測值不一致，根據(jù)本文消息摘要生成原理可知不同的明文生成的消息摘要不一致，可知更新后的數(shù)據(jù)為人為添加的非法數(shù)據(jù)。

5）數(shù)據(jù)合法性測試。數(shù)據(jù)合法性可以通過對記錄明文進(jìn)行MD5 HASH 摘要計算后，調(diào)用校驗字段Check 的解密方法，進(jìn)行對比，若值不等即為非法數(shù)據(jù)。其可以有效識別非法添加或更改特定字段的假數(shù)據(jù)。

6）數(shù)據(jù)讀寫性能測試。采用C#編寫簡單的WinForm 程序，結(jié)合監(jiān)控系統(tǒng)實際情況，以每5 s 寫入10 000 條記錄，每 3 s 讀取10 000 條記錄，持續(xù)運行30 min，觀察啟用本方案前后數(shù)據(jù)庫讀取與寫入性能變化情況。采用Sql Server Profiler 監(jiān)測數(shù)據(jù)庫性能。運行測試結(jié)果見表3。

表3 性能測試結(jié)果Table 3 Performance test results

從表3 可知，數(shù)據(jù)庫啟用CDC 組件，密采數(shù)據(jù)采用消息摘要加密后，在讀寫速度、CPU 占用、內(nèi)存占用有一定影響，但影響有限，幾乎可以忽略。由于變動數(shù)據(jù)捕獲機制，使得數(shù)據(jù)庫每新增1 條記錄，會自動記錄到捕獲表中，導(dǎo)致了數(shù)據(jù)庫存儲空間的增加。而在監(jiān)控系統(tǒng)數(shù)據(jù)防篡改中，當(dāng)人為添加偽數(shù)據(jù)時，可以通過密鑰識別，因此無需對插入數(shù)據(jù)進(jìn)行捕獲，只需對更新數(shù)據(jù)和刪除數(shù)據(jù)進(jìn)行記錄。去掉插入數(shù)據(jù)捕獲時，數(shù)據(jù)庫存儲空間變?yōu)?.08 GB，沒有大幅度增加數(shù)據(jù)庫存儲容量。因此本方案，在數(shù)據(jù)存儲、安全和讀寫性能方面取得了較好的平衡。

4 結(jié) 語

安全監(jiān)控系統(tǒng)數(shù)據(jù)防篡改是保障監(jiān)控有效的重要手段，利用數(shù)據(jù)庫的變動數(shù)據(jù)捕獲機制與記錄摘要加密的方式，可有效的對數(shù)據(jù)庫操作行為進(jìn)行識別、跟蹤和記錄，在安全、性能、存儲三方面取得了較好的平衡，同時具備良好的兼容性，避免了大面積的接口適配工作。該方案經(jīng)過多個礦井現(xiàn)場檢驗運行效果良好，該方法可推廣到人員定位、電力監(jiān)測等其他系統(tǒng)。