管理信息系统数据库安全体系设计

摘 要:对管理信息系统(Management Information System, MIS)的安全性进行了全面的分析,提出了系统所需采用的安全策略和方法,并采用系统权限分配、用户认证、记录追踪、协议审计、数据备份、灾难恢复及报警系统等技术,设计了一套多层次的数据库安全保护系统,实现了普遍适用的管理信息系统完整有效的安全防护体系。

关键词:信息系统;网络安全;网络安全审计;入侵检测

中图分类号:TP

文献标识码:A

文章编号:1672-3198(2010)08-0267-02

实时安全分析可帮助人们即时获取关于系统高层次、整体性的安全信息,进而从整体了解系统的安全态势。目前,基于实时安全分析对大型复杂系统进行安全监控正成为国际上安全性研究的热点。将实时安全分析应用于系统安全监控的一个难点问题是缺乏有效的安全监控体系。管理信息系统也可以称为较为复杂的系统,它涉及到事务计划、个人身份资料、事务处理情况以及其他极其重要的日常管理信息,是企业运作的关键所在。由于企业的后台操作环境是在一个局域网内进行的,在该环境下MIS的安全问题受到高度关注。因此,基于局域网的管理信息系统安全监控体系的研究显得尤为重要。

1 数据库对MIS安全的影响

在对整个系统进行安全配置时,除了对系统基础架构上进行安全配置研究外,对数据库的安全配置也应给予更多关注。事实上,攻击者的主要目标往往就是数据库,通常MIS后台数据库使用的是Oracle数据库。目前,Oracle 11g功能强大,应用广泛,是使用得最多的数据库之一。虽然它已通过了美国政府定义的C2安全认证,但针对其所出现的安全问题也层出不穷,常见的安全问题包括有利用缓冲区溢出、攻击(端口和客户端)、密码猎取、物理数据文件损坏或被盗、不够完善的备份策略以及可能被利用去执行系统命令的扩展存储过程等。

2 安全配置策略的实施

2.1 局域网中信任区域的设置

MIS数据库服务器是网络安全保护的关键区域,因此,必须将可访问的服务器群设置为一个信任区域,同时将用户和客户端设置为一个内部网络区域。

内部网络是指MIS内部的局域网,外部网络指的是其中的校园网。对基于局域网的MIS而言,外部网络是绝对不可信任区域,必须禁止所有从该区域到数据库服务器的连接和访问。通过配置路由器上的防火墙和包过滤,禁止所有来自外部网络的连接。

防止服务器IP地址暴露在外部网中的方法利用网络地址转换(NAT)屏蔽服务器和其他内部网的IP地址,使内部网相对于外部网来说变为不可见。在内部网络中则使用动态主机配置协议(DHCP)为各个终端分配IP地址,同时为了在局域网中管理各个终端,必须将各个终端的IP和网卡MAC进行绑定。

为了方便对数据库和服务器的管理,需要打开操作系统和Oracle数据库的远程访问端口。但必须限制远程访问端口的可信任区域。为了减少这类端口被利用和被攻击的可能性,可更改此类端口为数据库服务器上尚未被使用的其他端口或者隐藏数据库通信端口,同时利用防火墙安全策略来禁止非可信任区域对服务器该端口的连接和保证可信任区域对该端口的安全连接。

2.2 权限分配策略和用户认证

MIS数据库用户主要有3个:一个是MIS中连接数据库的用户。该用户对一般使用者来说是不可见的,它是MIS数据库的合法用户,用来使应用服务器成功连接上数据库服务器。但它只对MIS数据库具有合法的访问权限,即该用户只能访问MIS数据库,而不具有其他数据库(如用来保存记录追踪的数据库等)的访问权限,更没有数据库管理的权限。另一个则是数据库管理员用户。该用户除了拥有MIS数据库的访问权限之外,也可以访问其他数据库和对数据库进行管理。第三个则是Oracle服务和服务的启动用户。这三种系统用户的权限对终端用户来说是不可见的,这样设置能有效防止终端用户直接访问数据库。

除了对系统登录进行认证之外,还对关键数据所在模块,例如业务输入模块等,实行区别于系统登录的二次认证,以防止用户由于疏忽没有退出如管理界面,被他人利用进行数据破坏的工作。其次在口令认证上,通过在应用程序中自定义的加密函数对用户输入的口令在本地进行加密,加密后的口令在网络上传输到服务器端,在存储过程中通过相应的解密函数解密该口令,这样口令以密钥的形式在网络上传输,以加密后的形式存储在数据库中,不仅减少了口令在网络传输时被捕获的可能性,也大大降低口令被盗取的可能性。

2.3 记录追踪功能的设置

资金数据是MIS中最为敏感、最为重要和可能产生疑义最多的部分,它要求能在疑义产生时判断该疑义记录的来龙去脉,掌握该记录曾经存在的状态、时间以及变更原因等。这就需要对资金记录进行历史追踪,通过在客户端程序和数据库触发器中设置控制程序追踪记录,以解决对疑义数据的分析和用户操作的日志查询。

记录的内容一般包括:操作类型(如修改、查询、删除)、操作终端标识与操作者标识、数据库操作日期和时间以及操作所涉及到的相关数据(如基本表、视图、记录、属性等)。利用这些信息可以在疑义产生时迅速查找到和该疑义记录相关的所有操作记录,有利于在短时间内分析解决问题。

2.4 复合操作系统和数据库的安全配置

Oracle 11g提供了TCP/IP协议进行通讯,此时,用户名和密码可能不经过加密就在网络上传输,若不加密,网络包嗅探器可以读取这个信息。在Oracle 11g中可以采用与超级网络套接字网络库集成在一起的SSL加密协议,SSL的加密层位于数据库引擎和网络库之间,使用SSL加密时,由加密层负责对客户与服务器之间传输的数据进行加密与解密,且通信的管理负担很少。

3 数据库安全设置

3.1 启用审核功能

Oracle 11g审核方式主要有两种:标准审核和细粒度审核。在标准审核方式下,Oracle 11g管理一个内部审核日志,该日志主要是查看语句审核、权限审核、对象审核和用户审核的情况。细粒度审核则是更严厉的基于值的审核标准,在该标准中,每个数据库操作都是可以审核的,因此它是系统管理员允许查询及审核时使用得比较好的方法。

Oracle数据库的审核可以通过 Oracle Audit Vault软件进行自动化审计收集、监视和报告流程,并将审计数据转变为关键的安全资源以检测未授权的活动。通过Oracle Audit Vault Reports界面,管理员可以访问常用报表以及图表功能。

3.2 警报系统

Oracle性能监视器对Oracle 11g提供了包括锁、内存管理器、访问方法、SQL统计及复制日志读取器在内非常多的计数器。利用这个特性,可创建数据库文件大小、登录、锁请求在内的计数器,在这些计数器超过一定值时触发警报。

在管理信息系统中可利用ORACLE提供的警报来进行非法活动检测及性能检测。在警报发生的时候,通过网络发送一个警报消息给系统管理员,如果有必要的话,可以在该警报的响应中执行一个作业,通过该作业首先记录下这个非法登录企图,然后再发出警报消息。利用这个特性,可以在数据库发生超过一定严重度的错误时和非法登录企图时触发警报。

4 备份策略和灾难恢复

除了以上所做的安全策略之外,另一个保证数据安全性和可用性的必要手段就是做好数据的备份工作,以便在灾难发生时可以及时进行数据还原,在最短的时间内恢复正常工作。

数据备份策略体系需要考虑信息系统的实际情况,综合各方面因素制定备份策略。根据实际情况可以采取:1)数据库维护计划,利用Oracle的数据库维护计划自动对数据库分别进行完全和事务日志备份;2)双机热备份。

基于上述备份策略,一旦有灾难性的数据损失发生时,Oracle可以采用灵活的恢复方式,将相关的备份数据进行系统还原。对于采用Flashback技术做UNDO处理的Oracle数据库,可以随时将数据库恢复到UNDO影像预设的时间点上。对于需要进行数据库完全恢复的情况,可以采用RMAN或IMP方式将最近的完全备份恢复到数据库中。

5 结束语

局域网的管理信息系统安全监控体系相对于其系统设计本身而言,显得更为重要,因为系统安全与否直接关系到系统的应用质量和持久性。本文的研究在于结合实际从信息系统权限分配策略和用户认证、设置记录追踪功能、使用SSL协议作为数据库连接的通讯协议、启用细粒度审核、设置警报系统以及数据备份和恢复等方面设计了针对MIS的完整有效的安全监控体系。

实施本文设计的安全体系之后,系统管理员能够实时对管理信息系统的运行动态进行监视、记录安全事件、发现安全隐患。可极大地增强MIS系统的安全防范能力,也提高了MIS系统的管理水平。

参考文献

[1]PAPADOPOULOS Y. MCDERMID J. Automated safety monitoring: A review and classification of methods[J].International Journal of Condition Monitoring and Diagnostic Engineering Management,2001,(4):1-32.

[2]LUCA P. ENRICO Z. JOHN V. Risk-informed optimization of railway tracks inspection and maintenance procedures [J].Reliability Engineering and System Safety,2006,(91):20-35.

[3]Frank J. Artificial Intelligence and Intrusion Detection: Current and Future Directions。 In Proceedings of the 17th National Computer Security Conference(Baltimore,MD),1994-10:11-14.

[4]SCAMBRAY J,McClure S. Windows Server2003黑客大曝光[M].北京:清华大学出版社,2004.

[5]Lunt T. A Real time Intrusion Detection Expert System(IDES) Technical Report,Computer Science Laboratory,SRI International,1990-05.

[6]ANDREWS C,LITCHFIELD D. ORACLE 11g安全性[M].北京:清华大学出版社,2004.

[7]Ilgun K, Kemmerer R,Porras P。 State Transition Analysis: A Rule based Intrusion Detection Approach。 IEEE Transactions on Software Engineering,1995,21(3):953.