管理信息系統(tǒng)數(shù)據(jù)庫(kù)安全體系設(shè)計(jì)

摘 要:對(duì)管理信息系統(tǒng)(Management Information System， MIS)的安全性進(jìn)行了全面的分析，提出了系統(tǒng)所需采用的安全策略和方法，并采用系統(tǒng)權(quán)限分配、用戶認(rèn)證、記錄追蹤、協(xié)議審計(jì)、數(shù)據(jù)備份、災(zāi)難恢復(fù)及報(bào)警系統(tǒng)等技術(shù)，設(shè)計(jì)了一套多層次的數(shù)據(jù)庫(kù)安全保護(hù)系統(tǒng)，實(shí)現(xiàn)了普遍適用的管理信息系統(tǒng)完整有效的安全防護(hù)體系。

關(guān)鍵詞:信息系統(tǒng);網(wǎng)絡(luò)安全;網(wǎng)絡(luò)安全審計(jì);入侵檢測(cè)

中圖分類號(hào):TP

文獻(xiàn)標(biāo)識(shí)碼:A

文章編號(hào):1672-3198(2010)08-0267-02

實(shí)時(shí)安全分析可幫助人們即時(shí)獲取關(guān)于系統(tǒng)高層次、整體性的安全信息，進(jìn)而從整體了解系統(tǒng)的安全態(tài)勢(shì)。目前，基于實(shí)時(shí)安全分析對(duì)大型復(fù)雜系統(tǒng)進(jìn)行安全監(jiān)控正成為國(guó)際上安全性研究的熱點(diǎn)。將實(shí)時(shí)安全分析應(yīng)用于系統(tǒng)安全監(jiān)控的一個(gè)難點(diǎn)問題是缺乏有效的安全監(jiān)控體系。管理信息系統(tǒng)也可以稱為較為復(fù)雜的系統(tǒng)，它涉及到事務(wù)計(jì)劃、個(gè)人身份資料、事務(wù)處理情況以及其他極其重要的日常管理信息，是企業(yè)運(yùn)作的關(guān)鍵所在。由于企業(yè)的后臺(tái)操作環(huán)境是在一個(gè)局域網(wǎng)內(nèi)進(jìn)行的，在該環(huán)境下MIS的安全問題受到高度關(guān)注。因此，基于局域網(wǎng)的管理信息系統(tǒng)安全監(jiān)控體系的研究顯得尤為重要。

1 數(shù)據(jù)庫(kù)對(duì)MIS安全的影響?yīng)?/p>

在對(duì)整個(gè)系統(tǒng)進(jìn)行安全配置時(shí)，除了對(duì)系統(tǒng)基礎(chǔ)架構(gòu)上進(jìn)行安全配置研究外，對(duì)數(shù)據(jù)庫(kù)的安全配置也應(yīng)給予更多關(guān)注。事實(shí)上，攻擊者的主要目標(biāo)往往就是數(shù)據(jù)庫(kù)，通常MIS后臺(tái)數(shù)據(jù)庫(kù)使用的是Oracle數(shù)據(jù)庫(kù)。目前，Oracle 11g功能強(qiáng)大，應(yīng)用廣泛，是使用得最多的數(shù)據(jù)庫(kù)之一。雖然它已通過(guò)了美國(guó)政府定義的C2安全認(rèn)證，但針對(duì)其所出現(xiàn)的安全問題也層出不窮，常見的安全問題包括有利用緩沖區(qū)溢出、攻擊(端口和客戶端)、密碼獵取、物理數(shù)據(jù)文件損壞或被盜、不夠完善的備份策略以及可能被利用去執(zhí)行系統(tǒng)命令的擴(kuò)展存儲(chǔ)過(guò)程等。

2 安全配置策略的實(shí)施

2.1 局域網(wǎng)中信任區(qū)域的設(shè)置

MIS數(shù)據(jù)庫(kù)服務(wù)器是網(wǎng)絡(luò)安全保護(hù)的關(guān)鍵區(qū)域，因此，必須將可訪問的服務(wù)器群設(shè)置為一個(gè)信任區(qū)域，同時(shí)將用戶和客戶端設(shè)置為一個(gè)內(nèi)部網(wǎng)絡(luò)區(qū)域。

內(nèi)部網(wǎng)絡(luò)是指MIS內(nèi)部的局域網(wǎng)，外部網(wǎng)絡(luò)指的是其中的校園網(wǎng)。對(duì)基于局域網(wǎng)的MIS而言，外部網(wǎng)絡(luò)是絕對(duì)不可信任區(qū)域，必須禁止所有從該區(qū)域到數(shù)據(jù)庫(kù)服務(wù)器的連接和訪問。通過(guò)配置路由器上的防火墻和包過(guò)濾，禁止所有來(lái)自外部網(wǎng)絡(luò)的連接。

防止服務(wù)器IP地址暴露在外部網(wǎng)中的方法利用網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)屏蔽服務(wù)器和其他內(nèi)部網(wǎng)的IP地址，使內(nèi)部網(wǎng)相對(duì)于外部網(wǎng)來(lái)說(shuō)變?yōu)椴豢梢?。在?nèi)部網(wǎng)絡(luò)中則使用動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)為各個(gè)終端分配IP地址，同時(shí)為了在局域網(wǎng)中管理各個(gè)終端，必須將各個(gè)終端的IP和網(wǎng)卡MAC進(jìn)行綁定。

為了方便對(duì)數(shù)據(jù)庫(kù)和服務(wù)器的管理，需要打開操作系統(tǒng)和Oracle數(shù)據(jù)庫(kù)的遠(yuǎn)程訪問端口。但必須限制遠(yuǎn)程訪問端口的可信任區(qū)域。為了減少這類端口被利用和被攻擊的可能性，可更改此類端口為數(shù)據(jù)庫(kù)服務(wù)器上尚未被使用的其他端口或者隱藏?cái)?shù)據(jù)庫(kù)通信端口，同時(shí)利用防火墻安全策略來(lái)禁止非可信任區(qū)域?qū)Ψ?wù)器該端口的連接和保證可信任區(qū)域?qū)υ摱丝诘陌踩B接。

2.2 權(quán)限分配策略和用戶認(rèn)證

MIS數(shù)據(jù)庫(kù)用戶主要有3個(gè):一個(gè)是MIS中連接數(shù)據(jù)庫(kù)的用戶。該用戶對(duì)一般使用者來(lái)說(shuō)是不可見的，它是MIS數(shù)據(jù)庫(kù)的合法用戶，用來(lái)使應(yīng)用服務(wù)器成功連接上數(shù)據(jù)庫(kù)服務(wù)器。但它只對(duì)MIS數(shù)據(jù)庫(kù)具有合法的訪問權(quán)限，即該用戶只能訪問MIS數(shù)據(jù)庫(kù)，而不具有其他數(shù)據(jù)庫(kù)(如用來(lái)保存記錄追蹤的數(shù)據(jù)庫(kù)等)的訪問權(quán)限，更沒有數(shù)據(jù)庫(kù)管理的權(quán)限。另一個(gè)則是數(shù)據(jù)庫(kù)管理員用戶。該用戶除了擁有MIS數(shù)據(jù)庫(kù)的訪問權(quán)限之外，也可以訪問其他數(shù)據(jù)庫(kù)和對(duì)數(shù)據(jù)庫(kù)進(jìn)行管理。第三個(gè)則是Oracle服務(wù)和代理服務(wù)的啟動(dòng)用戶。這三種系統(tǒng)用戶的權(quán)限對(duì)終端用戶來(lái)說(shuō)是不可見的，這樣設(shè)置能有效防止終端用戶直接訪問數(shù)據(jù)庫(kù)。

除了對(duì)系統(tǒng)登錄進(jìn)行認(rèn)證之外，還對(duì)關(guān)鍵數(shù)據(jù)所在模塊，例如業(yè)務(wù)輸入模塊等，實(shí)行區(qū)別于系統(tǒng)登錄的二次認(rèn)證，以防止用戶由于疏忽沒有退出如管理界面，被他人利用進(jìn)行數(shù)據(jù)破壞的工作。其次在口令認(rèn)證上，通過(guò)在應(yīng)用程序中自定義的加密函數(shù)對(duì)用戶輸入的口令在本地進(jìn)行加密，加密后的口令在網(wǎng)絡(luò)上傳輸?shù)椒?wù)器端，在存儲(chǔ)過(guò)程中通過(guò)相應(yīng)的解密函數(shù)解密該口令，這樣口令以密鑰的形式在網(wǎng)絡(luò)上傳輸，以加密后的形式存儲(chǔ)在數(shù)據(jù)庫(kù)中，不僅減少了口令在網(wǎng)絡(luò)傳輸時(shí)被捕獲的可能性，也大大降低口令被盜取的可能性。

2.3 記錄追蹤功能的設(shè)置

資金數(shù)據(jù)是MIS中最為敏感、最為重要和可能產(chǎn)生疑義最多的部分，它要求能在疑義產(chǎn)生時(shí)判斷該疑義記錄的來(lái)龍去脈，掌握該記錄曾經(jīng)存在的狀態(tài)、時(shí)間以及變更原因等。這就需要對(duì)資金記錄進(jìn)行歷史追蹤，通過(guò)在客戶端程序和數(shù)據(jù)庫(kù)觸發(fā)器中設(shè)置控制程序追蹤記錄，以解決對(duì)疑義數(shù)據(jù)的分析和用戶操作的日志查詢。

記錄的內(nèi)容一般包括:操作類型(如修改、查詢、刪除)、操作終端標(biāo)識(shí)與操作者標(biāo)識(shí)、數(shù)據(jù)庫(kù)操作日期和時(shí)間以及操作所涉及到的相關(guān)數(shù)據(jù)(如基本表、視圖、記錄、屬性等)。利用這些信息可以在疑義產(chǎn)生時(shí)迅速查找到和該疑義記錄相關(guān)的所有操作記錄，有利于在短時(shí)間內(nèi)分析解決問題。

2.4 復(fù)合操作系統(tǒng)和數(shù)據(jù)庫(kù)的安全配置

Oracle 11g提供了TCP/IP協(xié)議進(jìn)行通訊，此時(shí)，用戶名和密碼可能不經(jīng)過(guò)加密就在網(wǎng)絡(luò)上傳輸，若不加密，網(wǎng)絡(luò)包嗅探器可以讀取這個(gè)信息。在Oracle 11g中可以采用與超級(jí)網(wǎng)絡(luò)套接字網(wǎng)絡(luò)庫(kù)集成在一起的SSL加密協(xié)議，SSL的加密層位于數(shù)據(jù)庫(kù)引擎和網(wǎng)絡(luò)庫(kù)之間，使用SSL加密時(shí)，由加密層負(fù)責(zé)對(duì)客戶與服務(wù)器之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密與解密，且通信的管理負(fù)擔(dān)很少。

3 數(shù)據(jù)庫(kù)安全設(shè)置

3.1 啟用審核功能

Oracle 11g審核方式主要有兩種:標(biāo)準(zhǔn)審核和細(xì)粒度審核。在標(biāo)準(zhǔn)審核方式下，Oracle 11g管理一個(gè)內(nèi)部審核日志，該日志主要是查看語(yǔ)句審核、權(quán)限審核、對(duì)象審核和用戶審核的情況。細(xì)粒度審核則是更嚴(yán)厲的基于值的審核標(biāo)準(zhǔn)，在該標(biāo)準(zhǔn)中，每個(gè)數(shù)據(jù)庫(kù)操作都是可以審核的，因此它是系統(tǒng)管理員允許查詢及審核時(shí)使用得比較好的方法。

Oracle數(shù)據(jù)庫(kù)的審核可以通過(guò) Oracle Audit Vault軟件進(jìn)行自動(dòng)化審計(jì)收集、監(jiān)視和報(bào)告流程，并將審計(jì)數(shù)據(jù)轉(zhuǎn)變?yōu)殛P(guān)鍵的安全資源以檢測(cè)未授權(quán)的活動(dòng)。通過(guò)Oracle Audit Vault Reports界面，管理員可以訪問常用報(bào)表以及圖表功能。

3.2 警報(bào)系統(tǒng)

Oracle性能監(jiān)視器對(duì)Oracle 11g提供了包括鎖、內(nèi)存管理器、訪問方法、SQL統(tǒng)計(jì)及復(fù)制日志讀取器在內(nèi)非常多的計(jì)數(shù)器。利用這個(gè)特性，可創(chuàng)建數(shù)據(jù)庫(kù)文件大小、登錄、鎖請(qǐng)求在內(nèi)的計(jì)數(shù)器，在這些計(jì)數(shù)器超過(guò)一定值時(shí)觸發(fā)警報(bào)。

在管理信息系統(tǒng)中可利用ORACLE提供的警報(bào)來(lái)進(jìn)行非法活動(dòng)檢測(cè)及性能檢測(cè)。在警報(bào)發(fā)生的時(shí)候，通過(guò)網(wǎng)絡(luò)發(fā)送一個(gè)警報(bào)消息給系統(tǒng)管理員，如果有必要的話，可以在該警報(bào)的響應(yīng)中執(zhí)行一個(gè)作業(yè)，通過(guò)該作業(yè)首先記錄下這個(gè)非法登錄企圖，然后再發(fā)出警報(bào)消息。利用這個(gè)特性，可以在數(shù)據(jù)庫(kù)發(fā)生超過(guò)一定嚴(yán)重度的錯(cuò)誤時(shí)和非法登錄企圖時(shí)觸發(fā)警報(bào)。

4 備份策略和災(zāi)難恢復(fù)

除了以上所做的安全策略之外，另一個(gè)保證數(shù)據(jù)安全性和可用性的必要手段就是做好數(shù)據(jù)的備份工作，以便在災(zāi)難發(fā)生時(shí)可以及時(shí)進(jìn)行數(shù)據(jù)還原，在最短的時(shí)間內(nèi)恢復(fù)正常工作。

數(shù)據(jù)備份策略體系需要考慮信息系統(tǒng)的實(shí)際情況，綜合各方面因素制定備份策略。根據(jù)實(shí)際情況可以采取:1)數(shù)據(jù)庫(kù)維護(hù)計(jì)劃，利用Oracle的數(shù)據(jù)庫(kù)維護(hù)計(jì)劃自動(dòng)對(duì)數(shù)據(jù)庫(kù)分別進(jìn)行完全和事務(wù)日志備份;2)雙機(jī)熱備份。

基于上述備份策略，一旦有災(zāi)難性的數(shù)據(jù)損失發(fā)生時(shí)，Oracle可以采用靈活的恢復(fù)方式，將相關(guān)的備份數(shù)據(jù)進(jìn)行系統(tǒng)還原。對(duì)于采用Flashback技術(shù)做UNDO處理的Oracle數(shù)據(jù)庫(kù)，可以隨時(shí)將數(shù)據(jù)庫(kù)恢復(fù)到UNDO影像預(yù)設(shè)的時(shí)間點(diǎn)上。對(duì)于需要進(jìn)行數(shù)據(jù)庫(kù)完全恢復(fù)的情況，可以采用RMAN或IMP方式將最近的完全備份恢復(fù)到數(shù)據(jù)庫(kù)中。

5 結(jié)束語(yǔ)

局域網(wǎng)的管理信息系統(tǒng)安全監(jiān)控體系相對(duì)于其系統(tǒng)設(shè)計(jì)本身而言，顯得更為重要，因?yàn)橄到y(tǒng)安全與否直接關(guān)系到系統(tǒng)的應(yīng)用質(zhì)量和持久性。本文的研究在于結(jié)合實(shí)際從信息系統(tǒng)權(quán)限分配策略和用戶認(rèn)證、設(shè)置記錄追蹤功能、使用SSL協(xié)議作為數(shù)據(jù)庫(kù)連接的通訊協(xié)議、啟用細(xì)粒度審核、設(shè)置警報(bào)系統(tǒng)以及數(shù)據(jù)備份和恢復(fù)等方面設(shè)計(jì)了針對(duì)MIS的完整有效的安全監(jiān)控體系。

實(shí)施本文設(shè)計(jì)的安全體系之后，系統(tǒng)管理員能夠?qū)崟r(shí)對(duì)管理信息系統(tǒng)的運(yùn)行動(dòng)態(tài)進(jìn)行監(jiān)視、記錄安全事件、發(fā)現(xiàn)安全隱患?？蓸O大地增強(qiáng)MIS系統(tǒng)的安全防范能力，也提高了MIS系統(tǒng)的管理水平。

參考文獻(xiàn)

[1]PAPADOPOULOS Y. MCDERMID J. Automated safety monitoring: A review and classification of methods[J].International Journal of Condition Monitoring and Diagnostic Engineering Management，2001，(4):1-32.

[2]LUCA P. ENRICO Z. JOHN V. Risk-informed optimization of railway tracks inspection and maintenance procedures [J].Reliability Engineering and System Safety，2006，(91):20-35.

[3]Frank J. Artificial Intelligence and Intrusion Detection: Current and Future Directions。 In Proceedings of the 17th National Computer Security Conference(Baltimore，MD)，1994-10:11-14.

[4]SCAMBRAY J，McClure S. Windows Server2003黑客大曝光[M].北京:清華大學(xué)出版社，2004.

[5]Lunt T. A Real time Intrusion Detection Expert System(IDES) Technical Report，Computer Science Laboratory，SRI International，1990-05.

[6]ANDREWS C，LITCHFIELD D. ORACLE 11g安全性[M].北京:清華大學(xué)出版社，2004.

[7]Ilgun K， Kemmerer R，Porras P。 State Transition Analysis: A Rule based Intrusion Detection Approach。 IEEE Transactions on Software Engineering，1995，21(3):953.