唐鈴第 唐耀航 梁永科 李爍泉 李威
【摘 要】現(xiàn)階段,我國(guó)信息化發(fā)展持續(xù)深入,而信息安全問題的出現(xiàn)已影響到我國(guó)企業(yè)系統(tǒng)的安全運(yùn)行。對(duì)于企業(yè)信息系統(tǒng)的數(shù)據(jù)庫(kù)而言,其本身是支撐企業(yè)業(yè)務(wù)系統(tǒng)常規(guī)運(yùn)行的重要平臺(tái),以及信息化資產(chǎn)的數(shù)據(jù)儲(chǔ)存中心,系統(tǒng)數(shù)據(jù)庫(kù)本身的安全性將會(huì)在很大程度上影響信息系統(tǒng)的有序運(yùn)行。但從細(xì)節(jié)處入手來(lái)看,我國(guó)物資管理信息系統(tǒng)現(xiàn)在依然存在一定的缺陷和漏洞。文章以某公司為例,針對(duì)該公司的物資管理信息系統(tǒng)基礎(chǔ)結(jié)構(gòu),以業(yè)務(wù)內(nèi)容為基礎(chǔ),明確該系統(tǒng)的實(shí)際等級(jí)要求,依托實(shí)驗(yàn)的形式針對(duì)Oracle 11g的SCAN IP的核心工作原理展開探討和分析,同時(shí)針對(duì)與之相關(guān)的負(fù)載均衡器展開對(duì)比,然后立足于這一基礎(chǔ),提出多方面保障物資管理信息系統(tǒng)安全性的安全策略,并經(jīng)過有關(guān)試驗(yàn)證明了安全防護(hù)策略具備較強(qiáng)的實(shí)踐意義。
【關(guān)鍵詞】物資管理;信息系統(tǒng);數(shù)據(jù)庫(kù)安全
【中圖分類號(hào)】TP3U29 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1674-0688(2022)02-0040-03
本研究中的數(shù)據(jù)庫(kù)安全是指對(duì)數(shù)據(jù)庫(kù)采取防護(hù)措施,避免不合法裝置的應(yīng)用,盡可能降低數(shù)據(jù)更改、泄漏等情況。在大部分物資管理信息系統(tǒng)中,都較為密集地堆積著較多的數(shù)據(jù),這一類數(shù)據(jù)被多個(gè)用戶共同分享,致使安全問題頻繁出現(xiàn)。在一般情況下,解決數(shù)據(jù)庫(kù)的安全問題主要從數(shù)據(jù)庫(kù)本身的安全性和訪問者權(quán)限控制兩個(gè)方面展開。數(shù)據(jù)庫(kù)內(nèi)容的安全性保障,大多依托操作系統(tǒng)、硬件等方面展開,通過這樣的方式避免數(shù)據(jù)庫(kù)信息丟失,而針對(duì)數(shù)據(jù)庫(kù)訪問者權(quán)限進(jìn)行控制,則更多依托軟件的授權(quán)規(guī)則、數(shù)據(jù)加密等一系列措施完成。
1 概況
1.1 數(shù)據(jù)庫(kù)安全目的
本研究以某公司統(tǒng)一建設(shè)的物資管理信息系統(tǒng)為例展開探討,該系統(tǒng)是由網(wǎng)省兩級(jí)展開部署的公司核心化業(yè)務(wù)系統(tǒng)。在公司內(nèi)部,這一系統(tǒng)數(shù)據(jù)庫(kù)后臺(tái)實(shí)際應(yīng)用的為ASM+RAC架構(gòu),實(shí)際應(yīng)用的服務(wù)器則為weblogic集群[1]。為了最大限度地保障系統(tǒng)的安全性,該公司在各個(gè)局域網(wǎng)邊界處都設(shè)置了防火墻,這也意味著必須以防火墻為核心制定物資管理信息系統(tǒng)訪問策略。通過訪問策略的制定,不僅能夠保障不同級(jí)別的電力企業(yè)能夠進(jìn)行常規(guī)的物資管理信息系統(tǒng)訪問,也能保障各大數(shù)據(jù)中心與物資管理信息系統(tǒng)的信息實(shí)現(xiàn)同步[2]。
1.2 構(gòu)建物資管理信息系統(tǒng)的背景
物資管理信息化工作是保障企業(yè)工資、物資實(shí)現(xiàn)集約化管理的核心和基礎(chǔ),也是落實(shí)經(jīng)營(yíng)管控工作的主要手段[3]。隨著經(jīng)營(yíng)規(guī)模的不斷擴(kuò)大,該公司對(duì)集約化物資管理工作也提出了更加嚴(yán)格的要求,公司著手強(qiáng)化物資管理工作,并提出了“四個(gè)統(tǒng)一”的基本要求,構(gòu)建起優(yōu)化信息化工作的大標(biāo)準(zhǔn)體系,嚴(yán)格落實(shí)企業(yè)數(shù)據(jù)中心的優(yōu)化建設(shè),從根本上達(dá)成信息、物流、資金的統(tǒng)一。物資管理系統(tǒng)建設(shè)是全面推動(dòng)公司開展一體化管理制度改革的重點(diǎn)要求[4],為了全面貫徹物資管理核心戰(zhàn)略,企業(yè)依托標(biāo)準(zhǔn)、專業(yè)的信息管理手段,促成統(tǒng)一化、規(guī)范性的物資管理工作。
2 物資管理信息系統(tǒng)的安全等級(jí)
2.1 業(yè)務(wù)信息安全保護(hù)等級(jí)
物資管理信息系統(tǒng)包含業(yè)務(wù)信息,如果信息被破壞,則公司下屬各個(gè)應(yīng)用單位將無(wú)法依托物資管理信息系統(tǒng)有序地開展供應(yīng)商管理、物資采購(gòu)等工作[5],也無(wú)法達(dá)成集團(tuán)既定的業(yè)務(wù)目標(biāo),影響公司的各項(xiàng)職能,導(dǎo)致有關(guān)單位利益受損。因此,將該公司的物資管理信息系統(tǒng)的信息安全等級(jí)確認(rèn)為2級(jí)。
2.2 系統(tǒng)服務(wù)安全保護(hù)等級(jí)
如果物資管理信息系統(tǒng)遭到破壞,會(huì)導(dǎo)致公司的合法權(quán)益受到破壞,公司法人、組織、公民的基本權(quán)益也會(huì)被威脅,但是不會(huì)導(dǎo)致公眾基本權(quán)益、社會(huì)秩序受到影響,更不會(huì)影響國(guó)家安全。由此可以明確該公司物資管理信息系統(tǒng)的基礎(chǔ)服務(wù)安全等級(jí)為2級(jí)。
2.3 安全保護(hù)等級(jí)
該公司的物資管理信息系統(tǒng)的安全保護(hù)等級(jí)主要由系統(tǒng)服務(wù)、業(yè)主信息等有關(guān)安全等級(jí)相對(duì)較高的一方確定。最終,物資管理信息系統(tǒng)的實(shí)際安全保護(hù)等級(jí)確定為2級(jí)[6]。
3 網(wǎng)絡(luò)連接
本研究采用了能夠共同協(xié)調(diào)多個(gè)節(jié)點(diǎn),立足于Oracle數(shù)據(jù)庫(kù)之上的統(tǒng)一運(yùn)作集群解決方案——RAC,這其中的每一個(gè)節(jié)點(diǎn)都是一臺(tái)獨(dú)立的服務(wù)器,為了分解各臺(tái)服務(wù)器的應(yīng)用總量,各個(gè)管理環(huán)節(jié)和節(jié)點(diǎn)應(yīng)用都具備獨(dú)立化特征的數(shù)據(jù)庫(kù)[7]。實(shí)際應(yīng)用的RAC結(jié)構(gòu)如圖1所示。
在物資系統(tǒng)數(shù)據(jù)庫(kù)的后臺(tái)位置,設(shè)計(jì)人員選擇應(yīng)用2臺(tái)IBMP780作為基礎(chǔ)節(jié)點(diǎn),同時(shí)在共享化存儲(chǔ)設(shè)備中應(yīng)用統(tǒng)一存儲(chǔ)的形式。通信層不僅要回應(yīng)客戶端的需求,也要在不同的管理節(jié)點(diǎn)之間形成協(xié)調(diào)通信,而本研究所用的Oracle 11R2RAC網(wǎng)絡(luò)連接當(dāng)中,可以根據(jù)實(shí)際情況將通信網(wǎng)絡(luò)這一概念劃分為公用網(wǎng)絡(luò)和專用網(wǎng)絡(luò)。
3.1 公用網(wǎng)絡(luò)
本研究提到的公用網(wǎng)絡(luò)是指向全部用戶開放應(yīng)用的網(wǎng)絡(luò),在這一網(wǎng)絡(luò)內(nèi)部,可以進(jìn)行網(wǎng)卡固定IP、VIP、SCANIP等措施的設(shè)計(jì)[8];為了使它具備較高的應(yīng)用性,在Oracle10g當(dāng)中,為各個(gè)集群節(jié)點(diǎn)進(jìn)行虛擬IP地址的分配。為了確保節(jié)點(diǎn)形成全面化擴(kuò)展的趨勢(shì),此處選擇在Oracle11gR2當(dāng)中針對(duì)SCANIP進(jìn)行定義,同時(shí)將SCANIP、IP、VIP等劃分到公用網(wǎng)絡(luò)當(dāng)中,并且將其內(nèi)部的固定IP綁定在網(wǎng)卡中。
(1)SCAN的全稱為SIngles C Lient A Ccess Name,是指單客戶端訪問,它是經(jīng)由Oracle 11gR2引入的基本概念[9]。SCAN是一個(gè)單獨(dú)的網(wǎng)絡(luò)名稱,它能夠在GNS、DNS當(dāng)中進(jìn)行差異化IP地址的注冊(cè)。如果客戶端內(nèi)部的數(shù)據(jù)庫(kù)在完成轉(zhuǎn)移后相應(yīng)地進(jìn)入集群內(nèi)部的差異化節(jié)點(diǎn),同時(shí)不會(huì)改變客戶端的字符串連接,這也意味著通過SCAN的運(yùn)用,對(duì)客戶端的連接管理活動(dòng)進(jìn)行了簡(jiǎn)化;而相應(yīng)的也可以認(rèn)為是應(yīng)用SCAN展開RAC數(shù)據(jù)庫(kù)的連接,通過這樣的方式能夠確保系統(tǒng)中的節(jié)點(diǎn)更容易完成拓展,并達(dá)成不同實(shí)例節(jié)點(diǎn)之間的負(fù)載均衡。
(2)對(duì)于Visuallp而言,它是經(jīng)由ORACle10g做出的虛擬IP行為,其核心目的是為了達(dá)成實(shí)際應(yīng)用過程的連續(xù)性[10]。如果在客戶端內(nèi)部,通過應(yīng)用SCANIP方式完成連接工作,則在最終連接被構(gòu)建之后,數(shù)據(jù)可以通過RAC數(shù)據(jù)庫(kù)或是應(yīng)用客戶端進(jìn)行發(fā)送。如果實(shí)際上某一客戶進(jìn)行連接的VIP實(shí)例出現(xiàn)怠機(jī)問題,則對(duì)應(yīng)的Oracle會(huì)以自動(dòng)化形式將相應(yīng)的VIP照射到常規(guī)實(shí)例當(dāng)中?;谝陨锨闆r,VIP也可以被稱作浮動(dòng)IP。
3.2 SCANIP監(jiān)聽
在對(duì)應(yīng)的物資管理信息系統(tǒng)內(nèi)部,公司應(yīng)用的數(shù)據(jù)中心網(wǎng)絡(luò)連接為SCANIP。如果服務(wù)器、用戶在相同的時(shí)間內(nèi)通過SCANIP的應(yīng)用對(duì)RAC數(shù)據(jù)庫(kù)進(jìn)行訪問,則對(duì)應(yīng)的SCAN監(jiān)聽會(huì)對(duì)源于客戶端的相關(guān)請(qǐng)求進(jìn)行監(jiān)聽。但是,因?yàn)镾CAN本身并不表示任意一個(gè)有關(guān)節(jié)點(diǎn),所以它實(shí)際上代表的是整個(gè)系統(tǒng)化集群,而對(duì)SCAN監(jiān)聽器來(lái)說,它能夠?qū)⑺薪?jīng)由監(jiān)聽獲得的請(qǐng)求,按照輪叫算法的形式相應(yīng)傳遞到不同節(jié)點(diǎn)之上,并最終通過客戶、VIP的應(yīng)用完成通信操作。同時(shí),服務(wù)器、客戶端之間的連接過程能夠相應(yīng)地簡(jiǎn)化為由Client傳遞到SCAN Listener再相應(yīng)地傳遞到Local Listener,最后進(jìn)入Local Instance當(dāng)中。SCAN監(jiān)聽過程如圖2所示。
4 實(shí)驗(yàn)分析
此處按照某公司提出的信息安全要求,將物資管理信息系統(tǒng)所設(shè)置的實(shí)際安全保護(hù)等級(jí)確定為2級(jí),由此對(duì)應(yīng)的公司總部也需要依托防火墻實(shí)行安全加固措施。遵循“開放最小化”的準(zhǔn)則,不僅要保障對(duì)應(yīng)區(qū)域內(nèi)部的不同單位能夠?qū)ξ镔Y管理系統(tǒng)展開常規(guī)訪問,也要保障各個(gè)數(shù)據(jù)中心之間形成同步,并確保系統(tǒng)本身具備較高的安全性。有關(guān)區(qū)域內(nèi)部不同單位的訪問系統(tǒng)是在完成防火墻穿越之后,依托負(fù)載radware均衡器展開的IP設(shè)計(jì),并由此對(duì)有關(guān)物資管理信息系統(tǒng)展開訪問,而另外的數(shù)據(jù)中心則是直接跨越數(shù)據(jù)庫(kù)與防火墻間的連接。為了構(gòu)建針對(duì)性較強(qiáng)的防火墻安全策略,本次實(shí)驗(yàn)過程選擇防火墻應(yīng)用軟件、電腦、抓包軟件等進(jìn)一步針對(duì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)包投遞展開分析,同時(shí)始終遵循“開放最小化”的基本準(zhǔn)則,明確上述兩類用戶必須進(jìn)行的IP開放。
進(jìn)行防火墻的設(shè)計(jì)時(shí),針對(duì)VIP1、VIP2進(jìn)行攔截,同時(shí)開放對(duì)應(yīng)的抓包軟件,并應(yīng)用電腦通過sqlplus針對(duì)有關(guān)用戶實(shí)例名執(zhí)行程序,直至系統(tǒng)內(nèi)部出現(xiàn)“ORA-12170”和“連接超時(shí)”的字樣。隨后,將VIP1、VIP2及SCANIP相應(yīng)地添加到白名單內(nèi)部,并在電腦中通過sqlplus的應(yīng)用繼續(xù)對(duì)用戶實(shí)例名執(zhí)行程序,此時(shí)系統(tǒng)內(nèi)會(huì)提示“已連接”。根據(jù)所有抓取到的數(shù)據(jù)展開分析后可得如下結(jié)論。
(1)當(dāng)電腦執(zhí)行SCANIP應(yīng)用連接之后,能夠做出正確的連接請(qǐng)求,所有經(jīng)過請(qǐng)求的數(shù)據(jù)包可以通過防火墻進(jìn)入Oracle RAC數(shù)據(jù)庫(kù)內(nèi)部,同時(shí)會(huì)受到對(duì)應(yīng)的SCAN Listener的有序監(jiān)聽;而與之相對(duì)應(yīng)的SCAN Listener監(jiān)聽器可以依托輪叫算法的形式,將此次連接請(qǐng)求相應(yīng)地傳遞給VIP1,而另外的監(jiān)聽器會(huì)為處于試驗(yàn)狀態(tài)的辦公電腦做出“應(yīng)用VIP1進(jìn)行連接的請(qǐng)求通告”,而相應(yīng)的電腦則在接收到對(duì)應(yīng)的請(qǐng)求通告以后,再次面向VIP1做出連接請(qǐng)求。在此次試驗(yàn)設(shè)計(jì)過程中,防火墻已經(jīng)將對(duì)應(yīng)的VIP1和VIP2規(guī)劃到黑名單中,因此本次請(qǐng)求會(huì)被防火墻阻擋。然后通過辦公電腦發(fā)出兩次請(qǐng)求,同樣都會(huì)受到拒絕,直至最后電腦內(nèi)部的對(duì)應(yīng)客戶端程序中出現(xiàn)“ORA-12170連接超時(shí)”的警告。
(2)選擇將VIP1、VIP2、SCANIP添加到白名單中,并同時(shí)展開抓包操作。以IE端口進(jìn)行輸出,同時(shí)依托物資系統(tǒng)對(duì)應(yīng)的IP/web進(jìn)行訪問。在有關(guān)抓包信息內(nèi)部可以發(fā)現(xiàn),物資管理信息系統(tǒng)訪問IP、辦公電腦之間形成的通信并未在其中尋找出物資管理信息系統(tǒng)服務(wù)器應(yīng)用、辦公電腦之間共同形成的通信。
5 結(jié)語(yǔ)
通過SCAN輪叫算法,在物資管理RAC信息系統(tǒng)中的實(shí)踐應(yīng)用達(dá)成負(fù)載均衡,并在物資管理信息系統(tǒng)中,展開服務(wù)器集群的應(yīng)用,依托radware的使用達(dá)成最終的負(fù)載均衡,其中各方類機(jī)制存在較大的差異性。具體來(lái)說,應(yīng)用radware物理機(jī),最大限度地保存了各個(gè)服務(wù)器與客戶機(jī)之間存在的連接信息,而對(duì)于客戶機(jī)身這一本體而言,并不清楚會(huì)與哪一臺(tái)服務(wù)器通信,所有的處理過程都交由radware處理。由此可見,在設(shè)置防火墻策略的過程中,數(shù)據(jù)中心僅依托所有完成同步的服務(wù)器進(jìn)行SCANIP、VIP1、VIP2等有關(guān)端口的權(quán)限開放。
參 考 文 獻(xiàn)
[1]章雷,張孟林,趙增明,等.軍隊(duì)疾病預(yù)防控制機(jī)構(gòu)防疫消毒物資管理信息系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].中國(guó)消毒學(xué)雜志,2021,38(12):936-939.
[2]楊艷.運(yùn)用物資管理信息系統(tǒng)規(guī)范物資管理工作[J].鐵路采購(gòu)與物流,2020,15(7):36-38.
[3]儲(chǔ)永浩.鐵路建設(shè)物資管理信息系統(tǒng)的開發(fā)與應(yīng)用實(shí)踐[J].鐵路采購(gòu)與物流,2020,15(3):66-67.
[4]郎云海.大數(shù)據(jù)下的NoSQL數(shù)據(jù)庫(kù)安全策略的改進(jìn)[J].通訊世界,2019,26(8):29-30.
[5]劉爭(zhēng)艷,李想.云計(jì)算環(huán)境下的數(shù)據(jù)庫(kù)安全策略分析[J].福建電腦,2019,35(4):48-49.
[6]何邦財(cái).計(jì)算機(jī)數(shù)據(jù)庫(kù)安全策略研究[J].信息記錄材料,2019,20(1):65-66.
[7]謝芳.基于數(shù)據(jù)庫(kù)安全和云平臺(tái)的農(nóng)機(jī)零件庫(kù)安全體系研究[J].農(nóng)機(jī)化研究,2022,44(9):152-155.
[8]萬(wàn)志偉.計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全管理技術(shù)分析[J].電腦知識(shí)與技術(shù),2021,17(32):27-28,31.
[9]欒捷,劉誠(chéng).有線電視數(shù)據(jù)庫(kù)安全防護(hù)系統(tǒng)設(shè)計(jì)與建設(shè)[J].廣播與電視技術(shù),2021,48(11):61-64.
[10]金茹.數(shù)據(jù)庫(kù)安全實(shí)踐基本指南[J].計(jì)算機(jī)與網(wǎng)絡(luò),2021,47(21):50-51.