范琪

一、引言

如今，數(shù)字化建設(shè)正緊跟時代潮流而大步加速發(fā)展，數(shù)據(jù)量呈現(xiàn)爆發(fā)式增長，且數(shù)據(jù)應(yīng)用擴(kuò)展面不斷擴(kuò)大。歷史數(shù)據(jù)不僅是資產(chǎn)，更是未來進(jìn)行數(shù)據(jù)分析，發(fā)掘更多可能性的基礎(chǔ)。而網(wǎng)絡(luò)攻擊在逐漸形成體系化態(tài)勢的過程中，呈現(xiàn)出范圍廣、高命中、隱蔽性強(qiáng)的特點，攻擊的辨識難度在不斷加大。與之相對應(yīng)的防御技術(shù)也在更新，不斷帶來新的挑戰(zhàn)。種種因素已成為了數(shù)據(jù)深入應(yīng)用的主要制約。

由于數(shù)據(jù)庫資源進(jìn)行了重新整合，部分用戶的權(quán)限對應(yīng)關(guān)系隨之發(fā)生變化，其訪問行為難以辨別，會給數(shù)據(jù)庫的運行安全造成影響。因此，應(yīng)轉(zhuǎn)變思想，采取主動預(yù)警戰(zhàn)略，識別潛在風(fēng)險，開發(fā)數(shù)據(jù)庫直連授權(quán)準(zhǔn)入管理系統(tǒng)。該系統(tǒng)將用戶的登錄權(quán)限、訪問痕跡、關(guān)鍵行為等納入統(tǒng)一管理，對各套數(shù)據(jù)庫運行狀況進(jìn)行安全監(jiān)測預(yù)警，實現(xiàn)計算機(jī)用戶訪問權(quán)限受控、阻止用戶未授權(quán)登錄的風(fēng)險行為，以及數(shù)據(jù)庫的監(jiān)測預(yù)警。這對于建立良好的數(shù)據(jù)庫訪問秩序，保障企業(yè)的各種軟件和系統(tǒng)正常應(yīng)用，保持?jǐn)?shù)據(jù)庫的平穩(wěn)安全運行起到了重要作用。

二、系統(tǒng)的構(gòu)建思路及設(shè)計

本系統(tǒng)通過構(gòu)建專用雙向數(shù)據(jù)鏈路，在某一用于生產(chǎn)管理的數(shù)據(jù)庫中新建一個專門的用戶，對其他所有在用數(shù)據(jù)庫的運行狀況及各數(shù)據(jù)庫的用戶訪問情況進(jìn)行集約化管理，并根據(jù)用戶反饋及時做出后續(xù)分析和管理策略的調(diào)整。

該系統(tǒng)利用Oracle概要文件技術(shù)實現(xiàn)資源的分配限定，聯(lián)合數(shù)據(jù)庫級觸發(fā)器技術(shù)實現(xiàn)對數(shù)據(jù)庫的監(jiān)測預(yù)警、對各級用戶的直連授權(quán)及訪問痕跡管理；通過數(shù)據(jù)多級鉆取技術(shù)和參數(shù)控件聯(lián)動技術(shù)，在異常出現(xiàn)的第一時間，鏈接到詳情頁，精準(zhǔn)定位責(zé)任人，依此進(jìn)行情況的核實和處理，做到“登錄需授權(quán)”、“訪問必留痕”、“行為全受控”、“違規(guī)有預(yù)警”。

三、實施過程中的應(yīng)用技術(shù)研究

（一）Oracle概要文件

在數(shù)據(jù)庫的多種防護(hù)策略中，概要文件起到十分重要的作用。根據(jù)用戶的角色和任務(wù)，PROFILE被相應(yīng)的創(chuàng)建并分配，不同用戶采用與之匹配的PROFILE可以使系統(tǒng)資源得到更合理的分配和使用。其主要作用包括：

1.限制會話資源

用戶嘗試訪問數(shù)據(jù)庫時，Oracle會自動創(chuàng)建一個消耗CPU時間和內(nèi)存資源的進(jìn)程，叫做會話（session）。會話級資源不是無限的，且對于不用的用戶限制不同，如果用戶超過了限制，當(dāng)前執(zhí)行的語句將被Oracle中斷，并對用戶發(fā)出警告，但不會影響當(dāng)前會話內(nèi)已執(zhí)行完成的句子。之后用戶只能使用提交或者回滾語句，或切斷連接，一切其他命令都會報錯無法執(zhí)行。

2.限制調(diào)用資源

每次運行SQL語句時，Oracle在不同的執(zhí)行階段需要向數(shù)據(jù)庫發(fā)起不同的調(diào)用，這需要一定的CPU時間來處理此調(diào)用。調(diào)用級資源同樣不是無限的，若在使用過程中超過了限制，語句將被Oracle停止執(zhí)行，ROLLBACK后報錯給用戶，此舉不會影響當(dāng)前會話內(nèi)已經(jīng)執(zhí)行的語句，用戶會話不會被切斷。

3.鎖定帳戶

用戶在限定的登錄次數(shù)內(nèi)多次嘗試并失敗后，根據(jù)參數(shù)配置，帳戶會自動鎖定，待一段時間后自動或者由管理員手動解鎖，防止暴力破解。

（二）數(shù)據(jù)庫級觸發(fā)器

客戶端的大量會話記錄都保存在Oracle自帶的v$session中，如訪問機(jī)器名等連接信息，但是通過機(jī)器名不能確定到具體的機(jī)器，無法自行追蹤登入用戶的IP地址。此時可以創(chuàng)建一個數(shù)據(jù)庫級的觸發(fā)器，當(dāng)每一個新的用戶連接開啟的時候自動觸發(fā)該觸發(fā)器。

（三）超級鏈接傳遞參數(shù)實現(xiàn)數(shù)據(jù)多級鉆取

在定義超級鏈接時，要分別在主表和目標(biāo)表設(shè)置可以用于傳遞的參數(shù)，主表設(shè)置的參數(shù)名一定要和目標(biāo)表的參數(shù)名相匹配，才能通過鏈接跳轉(zhuǎn)，查詢不同層級的報表內(nèi)容。

實現(xiàn)方法：

首先，為了打通主子表的連接關(guān)系，在子表中新建一個參數(shù)。然后，在主表中滿足條件的單元格，添加超級鏈接，設(shè)置網(wǎng)絡(luò)報表地址、鏈接打開方式、參數(shù)傳遞方式和具體參數(shù)。

（四）參數(shù)控件聯(lián)動實現(xiàn)單位分權(quán)查詢

$fine_username這個參數(shù)代表登錄用戶的用戶名，與人員組織結(jié)構(gòu)關(guān)聯(lián)后，可通過該參數(shù)精確定位到該用戶的所屬單位。通過控件間的參數(shù)傳遞，實現(xiàn)不同層級管理員對各單位的分權(quán)查詢，該技術(shù)可通用于各系統(tǒng)。

步驟1：新建dw數(shù)據(jù)集

select subcompanyname from *_RJZYK where loginid=${fine_username}

其中$fine_username為登錄用戶名，*_RJZYK為整合了人員組織結(jié)構(gòu)和機(jī)器信息的視圖。將該數(shù)據(jù)集綁定至dw控件，輸出實際值subcompanyname（單位名稱）傳遞給下一個kdd數(shù)據(jù)集作為過濾條件。

步驟2：新建kdd數(shù)據(jù)集

通過IF條件進(jìn)行條件過濾查詢，若管理員來自一級管理單位則可查詢本單位所有下屬各單位名稱，不進(jìn)行過濾，而二級單位的管理員用戶登陸后只能查詢到本單位名稱。將過濾后的數(shù)據(jù)集綁定到kdd控件中，設(shè)置實際值為subcompanyname（單位名稱），將參數(shù)值傳遞給bwl數(shù)據(jù)集作為新的參數(shù)進(jìn)行數(shù)據(jù)查詢。

步驟3：新建bwl數(shù)據(jù)集

Select * from *_login_bwl a join *_rjzyk b on a.ip=b.ip

where subcompanyname=${kdd}

接收kdd控件傳遞的subcompanyname值，充入sql語句后進(jìn)行數(shù)據(jù)查詢。

注：由于功能模塊名屬于系統(tǒng)級敏感信息，出于安全考慮，在文中并沒有提供完整的名稱，省略部分以*代替。

四、系統(tǒng)應(yīng)用效果及展望

（一）系統(tǒng)功能模塊

系統(tǒng)開發(fā)了監(jiān)測預(yù)警、直連授權(quán)、痕跡管理及統(tǒng)計分析等4大類、10小項主要功能。

痕跡管理：追蹤用戶訪問痕跡，將其分為正常的登入、登出、及異常的登入阻止共三大類，重點監(jiān)管未授權(quán)IP試圖訪問數(shù)據(jù)庫的登入阻止行為，痕跡可精準(zhǔn)定位，在警情發(fā)布的第一時間，通過數(shù)據(jù)鉆取獲得該時段用戶嘗試訪問被攔截的具體行為，聯(lián)系管理人員進(jìn)行現(xiàn)場確認(rèn)，排除可疑因素。

直連授權(quán)：將通過權(quán)限審批流程的IP通過命令語句添加到系統(tǒng)白名單中，僅允許該名單中的用戶通過自己的電腦對相應(yīng)數(shù)據(jù)庫進(jìn)行登錄訪問。同時，與痕跡管理聯(lián)動，若被授權(quán)用戶長時間無訪問數(shù)據(jù)庫痕跡，則將其權(quán)限收回，在下次申請授權(quán)時必須提交說明方可再次授權(quán)。管理過程中，將各數(shù)據(jù)庫的白名單權(quán)限分別以數(shù)據(jù)庫和單位為類別進(jìn)行統(tǒng)計和排名，采取最小化原則嚴(yán)格限制授權(quán)數(shù)量，減少侵入風(fēng)險。

監(jiān)測預(yù)警：密切監(jiān)控各服務(wù)器的實時訪問壓力，分析是否出現(xiàn)異常峰值并進(jìn)行源頭追溯，保障生產(chǎn)數(shù)據(jù)庫運行平穩(wěn)安全。

統(tǒng)計分析：將以上三個模塊以數(shù)據(jù)表、餅狀圖、折線圖等方式進(jìn)行展現(xiàn)，便于更加直觀、高效對生產(chǎn)數(shù)據(jù)庫進(jìn)行安全管理。

（二）應(yīng)用現(xiàn)狀及前景展望

目前該系統(tǒng)已全面覆蓋相關(guān)生產(chǎn)單位和技術(shù)單位。經(jīng)持續(xù)監(jiān)測管理，當(dāng)前各數(shù)據(jù)庫運行狀態(tài)保持平穩(wěn)，用戶權(quán)限得到有效控制，有效抵御了外部入侵檢測。

五、總結(jié)

本文詳細(xì)闡述了數(shù)據(jù)庫直連授權(quán)準(zhǔn)入管理系統(tǒng)的構(gòu)建思路和具體做法，以單個IP為基點，線狀管理用戶級權(quán)限和訪問行為，全面覆蓋所有的生產(chǎn)數(shù)據(jù)庫，“點-線-面”相結(jié)合，多管齊下，提高了管理效率，提升了管理水平，通過該系統(tǒng)促進(jìn)數(shù)據(jù)庫安全管理向更加集約化、專業(yè)化、精細(xì)化的方向發(fā)展，構(gòu)建更加良好的數(shù)據(jù)庫訪問秩序。

作者單位：大慶油田第一采油廠信息中心