唐鈴第 唐耀航 梁永科 李爍泉 李威

【摘 要】現(xiàn)階段，我國(guó)信息化發(fā)展持續(xù)深入，而信息安全問題的出現(xiàn)已影響到我國(guó)企業(yè)系統(tǒng)的安全運(yùn)行。對(duì)于企業(yè)信息系統(tǒng)的數(shù)據(jù)庫(kù)而言，其本身是支撐企業(yè)業(yè)務(wù)系統(tǒng)常規(guī)運(yùn)行的重要平臺(tái)，以及信息化資產(chǎn)的數(shù)據(jù)儲(chǔ)存中心，系統(tǒng)數(shù)據(jù)庫(kù)本身的安全性將會(huì)在很大程度上影響信息系統(tǒng)的有序運(yùn)行。但從細(xì)節(jié)處入手來(lái)看，我國(guó)物資管理信息系統(tǒng)現(xiàn)在依然存在一定的缺陷和漏洞。文章以某公司為例，針對(duì)該公司的物資管理信息系統(tǒng)基礎(chǔ)結(jié)構(gòu)，以業(yè)務(wù)內(nèi)容為基礎(chǔ)，明確該系統(tǒng)的實(shí)際等級(jí)要求，依托實(shí)驗(yàn)的形式針對(duì)Oracle 11g的SCAN IP的核心工作原理展開探討和分析，同時(shí)針對(duì)與之相關(guān)的負(fù)載均衡器展開對(duì)比，然后立足于這一基礎(chǔ)，提出多方面保障物資管理信息系統(tǒng)安全性的安全策略，并經(jīng)過有關(guān)試驗(yàn)證明了安全防護(hù)策略具備較強(qiáng)的實(shí)踐意義。

【關(guān)鍵詞】物資管理;信息系統(tǒng);數(shù)據(jù)庫(kù)安全

【中圖分類號(hào)】TP3U29 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1674-0688（2022）02-0040-03

本研究中的數(shù)據(jù)庫(kù)安全是指對(duì)數(shù)據(jù)庫(kù)采取防護(hù)措施，避免不合法裝置的應(yīng)用，盡可能降低數(shù)據(jù)更改、泄漏等情況。在大部分物資管理信息系統(tǒng)中，都較為密集地堆積著較多的數(shù)據(jù)，這一類數(shù)據(jù)被多個(gè)用戶共同分享，致使安全問題頻繁出現(xiàn)。在一般情況下，解決數(shù)據(jù)庫(kù)的安全問題主要從數(shù)據(jù)庫(kù)本身的安全性和訪問者權(quán)限控制兩個(gè)方面展開。數(shù)據(jù)庫(kù)內(nèi)容的安全性保障，大多依托操作系統(tǒng)、硬件等方面展開，通過這樣的方式避免數(shù)據(jù)庫(kù)信息丟失，而針對(duì)數(shù)據(jù)庫(kù)訪問者權(quán)限進(jìn)行控制，則更多依托軟件的授權(quán)規(guī)則、數(shù)據(jù)加密等一系列措施完成。

1 概況

1.1 數(shù)據(jù)庫(kù)安全目的

本研究以某公司統(tǒng)一建設(shè)的物資管理信息系統(tǒng)為例展開探討，該系統(tǒng)是由網(wǎng)省兩級(jí)展開部署的公司核心化業(yè)務(wù)系統(tǒng)。在公司內(nèi)部，這一系統(tǒng)數(shù)據(jù)庫(kù)后臺(tái)實(shí)際應(yīng)用的為ASM+RAC架構(gòu)，實(shí)際應(yīng)用的服務(wù)器則為weblogic集群[1]。為了最大限度地保障系統(tǒng)的安全性，該公司在各個(gè)局域網(wǎng)邊界處都設(shè)置了防火墻，這也意味著必須以防火墻為核心制定物資管理信息系統(tǒng)訪問策略。通過訪問策略的制定，不僅能夠保障不同級(jí)別的電力企業(yè)能夠進(jìn)行常規(guī)的物資管理信息系統(tǒng)訪問，也能保障各大數(shù)據(jù)中心與物資管理信息系統(tǒng)的信息實(shí)現(xiàn)同步[2]。

1.2 構(gòu)建物資管理信息系統(tǒng)的背景

物資管理信息化工作是保障企業(yè)工資、物資實(shí)現(xiàn)集約化管理的核心和基礎(chǔ)，也是落實(shí)經(jīng)營(yíng)管控工作的主要手段[3]。隨著經(jīng)營(yíng)規(guī)模的不斷擴(kuò)大，該公司對(duì)集約化物資管理工作也提出了更加嚴(yán)格的要求，公司著手強(qiáng)化物資管理工作，并提出了“四個(gè)統(tǒng)一”的基本要求，構(gòu)建起優(yōu)化信息化工作的大標(biāo)準(zhǔn)體系，嚴(yán)格落實(shí)企業(yè)數(shù)據(jù)中心的優(yōu)化建設(shè)，從根本上達(dá)成信息、物流、資金的統(tǒng)一。物資管理系統(tǒng)建設(shè)是全面推動(dòng)公司開展一體化管理制度改革的重點(diǎn)要求[4]，為了全面貫徹物資管理核心戰(zhàn)略，企業(yè)依托標(biāo)準(zhǔn)、專業(yè)的信息管理手段，促成統(tǒng)一化、規(guī)范性的物資管理工作。

2 物資管理信息系統(tǒng)的安全等級(jí)

2.1 業(yè)務(wù)信息安全保護(hù)等級(jí)

物資管理信息系統(tǒng)包含業(yè)務(wù)信息，如果信息被破壞，則公司下屬各個(gè)應(yīng)用單位將無(wú)法依托物資管理信息系統(tǒng)有序地開展供應(yīng)商管理、物資采購(gòu)等工作[5]，也無(wú)法達(dá)成集團(tuán)既定的業(yè)務(wù)目標(biāo)，影響公司的各項(xiàng)職能，導(dǎo)致有關(guān)單位利益受損。因此，將該公司的物資管理信息系統(tǒng)的信息安全等級(jí)確認(rèn)為2級(jí)。

2.2 系統(tǒng)服務(wù)安全保護(hù)等級(jí)

如果物資管理信息系統(tǒng)遭到破壞，會(huì)導(dǎo)致公司的合法權(quán)益受到破壞，公司法人、組織、公民的基本權(quán)益也會(huì)被威脅，但是不會(huì)導(dǎo)致公眾基本權(quán)益、社會(huì)秩序受到影響，更不會(huì)影響國(guó)家安全。由此可以明確該公司物資管理信息系統(tǒng)的基礎(chǔ)服務(wù)安全等級(jí)為2級(jí)。

2.3 安全保護(hù)等級(jí)

該公司的物資管理信息系統(tǒng)的安全保護(hù)等級(jí)主要由系統(tǒng)服務(wù)、業(yè)主信息等有關(guān)安全等級(jí)相對(duì)較高的一方確定。最終，物資管理信息系統(tǒng)的實(shí)際安全保護(hù)等級(jí)確定為2級(jí)[6]。

3 網(wǎng)絡(luò)連接

本研究采用了能夠共同協(xié)調(diào)多個(gè)節(jié)點(diǎn)，立足于Oracle數(shù)據(jù)庫(kù)之上的統(tǒng)一運(yùn)作集群解決方案——RAC，這其中的每一個(gè)節(jié)點(diǎn)都是一臺(tái)獨(dú)立的服務(wù)器，為了分解各臺(tái)服務(wù)器的應(yīng)用總量，各個(gè)管理環(huán)節(jié)和節(jié)點(diǎn)應(yīng)用都具備獨(dú)立化特征的數(shù)據(jù)庫(kù)[7]。實(shí)際應(yīng)用的RAC結(jié)構(gòu)如圖1所示。

在物資系統(tǒng)數(shù)據(jù)庫(kù)的后臺(tái)位置，設(shè)計(jì)人員選擇應(yīng)用2臺(tái)IBMP780作為基礎(chǔ)節(jié)點(diǎn)，同時(shí)在共享化存儲(chǔ)設(shè)備中應(yīng)用統(tǒng)一存儲(chǔ)的形式。通信層不僅要回應(yīng)客戶端的需求，也要在不同的管理節(jié)點(diǎn)之間形成協(xié)調(diào)通信，而本研究所用的Oracle 11R2RAC網(wǎng)絡(luò)連接當(dāng)中，可以根據(jù)實(shí)際情況將通信網(wǎng)絡(luò)這一概念劃分為公用網(wǎng)絡(luò)和專用網(wǎng)絡(luò)。

3.1 公用網(wǎng)絡(luò)

本研究提到的公用網(wǎng)絡(luò)是指向全部用戶開放應(yīng)用的網(wǎng)絡(luò)，在這一網(wǎng)絡(luò)內(nèi)部，可以進(jìn)行網(wǎng)卡固定IP、VIP、SCANIP等措施的設(shè)計(jì)[8];為了使它具備較高的應(yīng)用性，在Oracle10g當(dāng)中，為各個(gè)集群節(jié)點(diǎn)進(jìn)行虛擬IP地址的分配。為了確保節(jié)點(diǎn)形成全面化擴(kuò)展的趨勢(shì)，此處選擇在Oracle11gR2當(dāng)中針對(duì)SCANIP進(jìn)行定義，同時(shí)將SCANIP、IP、VIP等劃分到公用網(wǎng)絡(luò)當(dāng)中，并且將其內(nèi)部的固定IP綁定在網(wǎng)卡中。

（1）SCAN的全稱為SIngles C Lient A Ccess Name，是指單客戶端訪問，它是經(jīng)由Oracle 11gR2引入的基本概念[9]。SCAN是一個(gè)單獨(dú)的網(wǎng)絡(luò)名稱，它能夠在GNS、DNS當(dāng)中進(jìn)行差異化IP地址的注冊(cè)。如果客戶端內(nèi)部的數(shù)據(jù)庫(kù)在完成轉(zhuǎn)移后相應(yīng)地進(jìn)入集群內(nèi)部的差異化節(jié)點(diǎn)，同時(shí)不會(huì)改變客戶端的字符串連接，這也意味著通過SCAN的運(yùn)用，對(duì)客戶端的連接管理活動(dòng)進(jìn)行了簡(jiǎn)化;而相應(yīng)的也可以認(rèn)為是應(yīng)用SCAN展開RAC數(shù)據(jù)庫(kù)的連接，通過這樣的方式能夠確保系統(tǒng)中的節(jié)點(diǎn)更容易完成拓展，并達(dá)成不同實(shí)例節(jié)點(diǎn)之間的負(fù)載均衡。

（2）對(duì)于Visuallp而言，它是經(jīng)由ORACle10g做出的虛擬IP行為，其核心目的是為了達(dá)成實(shí)際應(yīng)用過程的連續(xù)性[10]。如果在客戶端內(nèi)部，通過應(yīng)用SCANIP方式完成連接工作，則在最終連接被構(gòu)建之后，數(shù)據(jù)可以通過RAC數(shù)據(jù)庫(kù)或是應(yīng)用客戶端進(jìn)行發(fā)送。如果實(shí)際上某一客戶進(jìn)行連接的VIP實(shí)例出現(xiàn)怠機(jī)問題，則對(duì)應(yīng)的Oracle會(huì)以自動(dòng)化形式將相應(yīng)的VIP照射到常規(guī)實(shí)例當(dāng)中?；谝陨锨闆r，VIP也可以被稱作浮動(dòng)IP。

3.2 SCANIP監(jiān)聽

在對(duì)應(yīng)的物資管理信息系統(tǒng)內(nèi)部，公司應(yīng)用的數(shù)據(jù)中心網(wǎng)絡(luò)連接為SCANIP。如果服務(wù)器、用戶在相同的時(shí)間內(nèi)通過SCANIP的應(yīng)用對(duì)RAC數(shù)據(jù)庫(kù)進(jìn)行訪問，則對(duì)應(yīng)的SCAN監(jiān)聽會(huì)對(duì)源于客戶端的相關(guān)請(qǐng)求進(jìn)行監(jiān)聽。但是，因?yàn)镾CAN本身并不表示任意一個(gè)有關(guān)節(jié)點(diǎn)，所以它實(shí)際上代表的是整個(gè)系統(tǒng)化集群，而對(duì)SCAN監(jiān)聽器來(lái)說，它能夠?qū)⑺薪?jīng)由監(jiān)聽獲得的請(qǐng)求，按照輪叫算法的形式相應(yīng)傳遞到不同節(jié)點(diǎn)之上，并最終通過客戶、VIP的應(yīng)用完成通信操作。同時(shí)，服務(wù)器、客戶端之間的連接過程能夠相應(yīng)地簡(jiǎn)化為由Client傳遞到SCAN Listener再相應(yīng)地傳遞到Local Listener，最后進(jìn)入Local Instance當(dāng)中。SCAN監(jiān)聽過程如圖2所示。

4 實(shí)驗(yàn)分析

此處按照某公司提出的信息安全要求，將物資管理信息系統(tǒng)所設(shè)置的實(shí)際安全保護(hù)等級(jí)確定為2級(jí)，由此對(duì)應(yīng)的公司總部也需要依托防火墻實(shí)行安全加固措施。遵循“開放最小化”的準(zhǔn)則，不僅要保障對(duì)應(yīng)區(qū)域內(nèi)部的不同單位能夠?qū)ξ镔Y管理系統(tǒng)展開常規(guī)訪問，也要保障各個(gè)數(shù)據(jù)中心之間形成同步，并確保系統(tǒng)本身具備較高的安全性。有關(guān)區(qū)域內(nèi)部不同單位的訪問系統(tǒng)是在完成防火墻穿越之后，依托負(fù)載radware均衡器展開的IP設(shè)計(jì)，并由此對(duì)有關(guān)物資管理信息系統(tǒng)展開訪問，而另外的數(shù)據(jù)中心則是直接跨越數(shù)據(jù)庫(kù)與防火墻間的連接。為了構(gòu)建針對(duì)性較強(qiáng)的防火墻安全策略，本次實(shí)驗(yàn)過程選擇防火墻應(yīng)用軟件、電腦、抓包軟件等進(jìn)一步針對(duì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)包投遞展開分析，同時(shí)始終遵循“開放最小化”的基本準(zhǔn)則，明確上述兩類用戶必須進(jìn)行的IP開放。

進(jìn)行防火墻的設(shè)計(jì)時(shí)，針對(duì)VIP1、VIP2進(jìn)行攔截，同時(shí)開放對(duì)應(yīng)的抓包軟件，并應(yīng)用電腦通過sqlplus針對(duì)有關(guān)用戶實(shí)例名執(zhí)行程序，直至系統(tǒng)內(nèi)部出現(xiàn)“ORA-12170”和“連接超時(shí)”的字樣。隨后，將VIP1、VIP2及SCANIP相應(yīng)地添加到白名單內(nèi)部，并在電腦中通過sqlplus的應(yīng)用繼續(xù)對(duì)用戶實(shí)例名執(zhí)行程序，此時(shí)系統(tǒng)內(nèi)會(huì)提示“已連接”。根據(jù)所有抓取到的數(shù)據(jù)展開分析后可得如下結(jié)論。

（1）當(dāng)電腦執(zhí)行SCANIP應(yīng)用連接之后，能夠做出正確的連接請(qǐng)求，所有經(jīng)過請(qǐng)求的數(shù)據(jù)包可以通過防火墻進(jìn)入Oracle RAC數(shù)據(jù)庫(kù)內(nèi)部，同時(shí)會(huì)受到對(duì)應(yīng)的SCAN Listener的有序監(jiān)聽;而與之相對(duì)應(yīng)的SCAN Listener監(jiān)聽器可以依托輪叫算法的形式，將此次連接請(qǐng)求相應(yīng)地傳遞給VIP1，而另外的監(jiān)聽器會(huì)為處于試驗(yàn)狀態(tài)的辦公電腦做出“應(yīng)用VIP1進(jìn)行連接的請(qǐng)求通告”，而相應(yīng)的電腦則在接收到對(duì)應(yīng)的請(qǐng)求通告以后，再次面向VIP1做出連接請(qǐng)求。在此次試驗(yàn)設(shè)計(jì)過程中，防火墻已經(jīng)將對(duì)應(yīng)的VIP1和VIP2規(guī)劃到黑名單中，因此本次請(qǐng)求會(huì)被防火墻阻擋。然后通過辦公電腦發(fā)出兩次請(qǐng)求，同樣都會(huì)受到拒絕，直至最后電腦內(nèi)部的對(duì)應(yīng)客戶端程序中出現(xiàn)“ORA-12170連接超時(shí)”的警告。

（2）選擇將VIP1、VIP2、SCANIP添加到白名單中，并同時(shí)展開抓包操作。以IE端口進(jìn)行輸出，同時(shí)依托物資系統(tǒng)對(duì)應(yīng)的IP/web進(jìn)行訪問。在有關(guān)抓包信息內(nèi)部可以發(fā)現(xiàn)，物資管理信息系統(tǒng)訪問IP、辦公電腦之間形成的通信并未在其中尋找出物資管理信息系統(tǒng)服務(wù)器應(yīng)用、辦公電腦之間共同形成的通信。

5 結(jié)語(yǔ)

通過SCAN輪叫算法，在物資管理RAC信息系統(tǒng)中的實(shí)踐應(yīng)用達(dá)成負(fù)載均衡，并在物資管理信息系統(tǒng)中，展開服務(wù)器集群的應(yīng)用，依托radware的使用達(dá)成最終的負(fù)載均衡，其中各方類機(jī)制存在較大的差異性。具體來(lái)說，應(yīng)用radware物理機(jī)，最大限度地保存了各個(gè)服務(wù)器與客戶機(jī)之間存在的連接信息，而對(duì)于客戶機(jī)身這一本體而言，并不清楚會(huì)與哪一臺(tái)服務(wù)器通信，所有的處理過程都交由radware處理。由此可見，在設(shè)置防火墻策略的過程中，數(shù)據(jù)中心僅依托所有完成同步的服務(wù)器進(jìn)行SCANIP、VIP1、VIP2等有關(guān)端口的權(quán)限開放。

參 考 文 獻(xiàn)

[1]章雷，張孟林，趙增明，等.軍隊(duì)疾病預(yù)防控制機(jī)構(gòu)防疫消毒物資管理信息系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].中國(guó)消毒學(xué)雜志，2021，38（12）：936-939.

[2]楊艷.運(yùn)用物資管理信息系統(tǒng)規(guī)范物資管理工作[J].鐵路采購(gòu)與物流，2020，15（7）：36-38.

[3]儲(chǔ)永浩.鐵路建設(shè)物資管理信息系統(tǒng)的開發(fā)與應(yīng)用實(shí)踐[J].鐵路采購(gòu)與物流，2020，15（3）：66-67.

[4]郎云海.大數(shù)據(jù)下的NoSQL數(shù)據(jù)庫(kù)安全策略的改進(jìn)[J].通訊世界，2019，26（8）：29-30.

[5]劉爭(zhēng)艷，李想.云計(jì)算環(huán)境下的數(shù)據(jù)庫(kù)安全策略分析[J].福建電腦，2019，35（4）：48-49.

[6]何邦財(cái).計(jì)算機(jī)數(shù)據(jù)庫(kù)安全策略研究[J].信息記錄材料，2019，20（1）：65-66.

[7]謝芳.基于數(shù)據(jù)庫(kù)安全和云平臺(tái)的農(nóng)機(jī)零件庫(kù)安全體系研究[J].農(nóng)機(jī)化研究，2022，44（9）：152-155.

[8]萬(wàn)志偉.計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全管理技術(shù)分析[J].電腦知識(shí)與技術(shù)，2021，17（32）：27-28，31.

[9]欒捷，劉誠(chéng).有線電視數(shù)據(jù)庫(kù)安全防護(hù)系統(tǒng)設(shè)計(jì)與建設(shè)[J].廣播與電視技術(shù)，2021，48（11）：61-64.

[10]金茹.數(shù)據(jù)庫(kù)安全實(shí)踐基本指南[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2021，47（21）：50-51.