物资管理的安全策略浅析

物资管理信息系统安全等级

广西电网公司物资管理信息系统的业务信息如果受到破坏，各使用单位无法通过该系统进行物资采购和供应商管理，无法完成南方电网公司、广西电网公司预定的业务目标，使公司工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，会严重损害相关单位总体利益。因此，广西电网公司物资管理信息系统的业务信息安全等级为第2级。广西电网公司物资管理信息系统的系统服务受到破坏时，将对本单位的合法权益产生损害，即对公民、法人和其他组织的合法权益造成损害，但不损害社会秩序和公共利益，不损害国家安全[3]。因此，广西电网公司物资管理信息系统的系统服务安全等级为第2级。广西电网公司物资管理信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定，因此最终确定其安全保护等级为第2级。

Oracle11gR2RAC网络连接

RAC（RealApplicationClusterArchitecture）是Oracle数据库的、可以协调多个节点（2个或2个以上）同时运作的一个集群解决方案。每个节点就是1立的服务器，所有节点使用和管理同1个数据库，目的是分散每一台服务器的工作量。RAC结构如图2所示，物资系统数据库后台使用2台IBMP780小机作为节点，使用统一存储作为共享存储设备。通信层一方面响应客户端的请求，一方面管理节点之间通信。在Oracle11gR2RAC中可以把通信网络分成专用网络和公用网络[4]。各节点之间使用心跳线连接，心跳线的作用是使得集群管理器获得节点成员信息和节点更新情况，以及节点某个时间点的运行状态，保证集群系统正常运行。用心跳线连接的网络也叫专用网络或者叫专用高速网络，这种高速网络也称为集群互联或高速互联。在专用网络上配置的是privateip。OracleCacheFusion通过在专用网络上传输实时高速缓存中存储的数据，还允许其他用户实时访问这些数据。所谓的公用网络是真正向用户开放使用的网络，在公用网络中可以配置网卡的固定IP、VIP和SCANIP。为了维持高可用性，在Oracle10g为每个集群节点分配了1个虚拟IP地址（VIP）。为了使节点更容易扩展，在Oracle11gR2中定义了SCANIP。固定IP、VIP和SCANIP属于公用网络，其中固定IP绑定于网卡。1）SCAN（SingleClientAccessName，单客户端访问名称）IP[5]是Oracle11gR2引进的概念。SCAN是一个网络名称，它可在DNS或GNS中注册不同的IP地址。当客户端数据库被转移到集群中的不同节点时，不需要改变客户端连接字符串，因此，SCAN简化了客户端的连接管理。Oracle公司建议使用SCAN或者SCANIP连接RAC数据库，这样可以使节点更加易于扩展，并且实现实例节点的负载均衡。2）VisualIP是Oracle10g推出的虚拟IP，其根本目的是实现应用的无停顿。若客户端使用SCANIP发起连接，当连接建立后最终RAC数据库还是使用VIP和客户端发送数据。一旦某个客户连接的VIP所在的实例宕机，Oracle会自动将该VIP映射到正常的实例上，因此VIP也被称为浮动IP。在物资管理信息系统中，南方电网数据中心连接使用的是SCANIP，其分发过程如图3所示。图3SCAN监听示意图图3中的用户和应用服务器在同一时刻使用SCANIP访问RAC数据库时，SCAN监听器会监听到所有客户端的请求。由于SCAN不代表任何一个节点，而是代表了整个集群，SCAN监听器把监听到的所有请求根据轮叫算法发到各个节点上[6]，最终使用VIP和客户进行通信。客户端与服务器的连接过程可简化为：Client->SCANListener->LocalListener->LocalInstance[7]。

实验及分析

根据南方电网信息安全要求，物资管理信息系统安全保护等级定为2级，因此在广西电网公司总部必须使用防火墙进行安全加固。按照开放最小化原则，既要保证系统能被区内各单位正常访问和南方电网数据中心正常同步，又要保证系统的安全。由于区内各单位访问系统，是穿透防火墙后通过负载均衡器radware设置的IP来访问物资管理信息系统的，而南网数据中心是直接穿透防火墙与数据库连接。为了制定防火墙安全策略，本实验用办公电脑（IP:10.X.X.X）、防火墙软件（瑞星个人防火墙）、抓包软件（IPAnalyse.exe）为工具分析其数据包投递过程，按照开放最小化原则，确定向以上两类用户开放哪些端口和哪些IP。先设置防火墙拦截VIP1、VIP2（将VIP1、VIP2加入黑名单），然后打开抓包软件，在办公电脑使用sqlplus执行“conn用户名/密码@SCANIP:1521/实例名”，直到出现“ORA-12170:TNS:连接超时”。另外，将SCANIP、VIP1、VIP2加入白名单，在办公电脑使用sqlplus执行conn用户名/密码@SCANIP:1521/实例名，提示“已连接”。抓包分析如图4所示（图中未画出办公电脑（IP:10.X.X.X）和SCANIP间已完成的3次握手过程），从抓到的数据包结合图4进行如下分析：1）办公电脑使用SCANIP连接发起连接请求，请求的数据包通过防火墙到达OracleRAC数据库并被SCANListener监听，SCANListener监听器根据轮叫算法把本次连接请求转给VIP1，监听器给办公电脑返回“使用VIP1来连接”的通告报文，办公电脑收到该通告报文后发起向VIP1的连接请求。由于防火墙已经把VIP1、VIP2设置到黑名单，所以这次请求被防火墙拒绝。办公电脑再请求2次都被拒绝，最后办公电脑的Oracle客户端程序发出“ORA-12170:TNS：连接超时”的警告。2）将SCANIP、VIP1、VIP2加入白名单，同时开始抓包，在IE输入物资系统的访问IP/web并操作一段时间。从抓包信息可以看到办公电脑和“物资管理信息系统的访问IP”之间的通信，并没有发现办公电脑和物资管理信息系统的应用服务器之间的通信。

在物资管理信息系统RAC数据库中使用SCANIP的轮叫算法实现负载均衡。物资管理信息系统应用服务器集群使用radware实现负载均衡。他们之间的机制不同，简单地说，radware物理机本身保存了客户机和服务器之间的连接信息，客户机并不需要知道和哪台服务器通信，直接交给radware处理就行了。因此在防火墙策略设置中，对南方电网数据中心只对需要同步的服务器开放SCANIP、VIP1、VIP2的1521访问权限；对广西电网公司总部及各下属单位开放radware访问IP的80端口即可。

本文作者：郭俊谢朋宇工作单位：广西电网公司玉林供电局