電力行業數據庫審計系統與應用

劉龍祥

摘要：電力工業對國家經濟的正常運行起著重要的支撐作用，同時作為國家重點產業。數據庫是所有電力信息系統運行的基礎，它記錄了大量用戶信息、生產數據等關鍵信息，是最具戰略性的資產。電力行業數據庫承載的信息資產面臨著嚴峻的安全挑戰，數據庫安全審計系統能夠有效的彌補應用業務系統在使用數據庫時存在的安全缺陷，是保證數據庫安全的必要手段，對整個電力信息系統的資產安全和生產安全具有重要意義。

關鍵詞：電力行業;數據庫;審計

1引言

該數據庫安全審計系統實現了多平臺兼容的數據庫運行行為監控，與數據庫并行運行和細粒度行為監控的優點，可以滿足電力行業數據中心高效率、高容量、高質量的需求。在數據庫中，數據庫安全審計系統平行水平集和適應而忽略不同的底層硬件和操作系統，數據庫和工作形式的網絡繞過主機的網絡，只要能夠訪問數據庫系統數據操作行為監控可以實現，因此具有重要的幫助電力行業數據審計。

2電力行業數據庫審計系統

數據庫靜態審計。根據審計系統最新的數據安全規則，對需要審計的數據庫進行靜態審計，跟安全規則進行比對，找出潛在的風險點，比如口令設置不滿足復雜度要求，軟件補丁沒有更新等不符合安全配置的部分。實時監控。系統根據風險設置規則，制定相應的策略。當用戶訪問數據庫時，對訪問事件進行實時監控，依據審計規則，能夠及時發現不合規操作，保護企業的信息資產。均衡的雙向審計。當用戶對數據庫進行查詢、刪除等操作時，系統不但能夠對操作命令進行審計，而且能夠對命令返回的結果進行還原和審計，包括數據庫命令執行時長、執行的結果等內容，實現雙向審計的功能，安全事件回放。客戶端通過telnet等連接數據庫時，所有的針對數據庫的操作，都能夠進行回放。包括SQL操作、telnet命令等都能真實展現出來。如果出現安全問題需要追溯，我們可以通過回放功能對相關時段的事件進行查詢和定位。數據庫異常操作監測報警。該系統實現了數據庫異常操作監測報警功能。根據產生告警數據配置和告警通知配置，對所有的數據庫操作進行監控。當出現違反規則的操作時，立即產生告警數據，并通過短信、郵件等方式發送告警通知到相關的管理人員，能夠及時發現違規操作風險。

3電力行業數據庫審計系統實現

安全審計系統對于電力信息數據庫的安全控制在于能夠限定用戶操作行為的合法性，其與數據庫并發運行，為電力信息數據庫提供安全審計的基礎依據。因此安全審計系統應能首先確保接入自身，獲得安全審計的用戶權限，確保系統的整體安全性。借鑒于其他領域的審計系統，電力信息數據庫安全審計系統可采用基于對稱密鑰的認證授權方式。安全審計系統將在管理中心設置密鑰控制中心，為每一個用戶發布密鑰并鑒別請求登錄的用戶身份。只有獲得密鑰授權的用戶才具有訪問安全審計系統的權限，只有通過密鑰控制中心的鑒別才能對安全審計系統進行設置操作和審計日志查看。

基于對稱密鑰的認證授權方式首先為用戶選擇合適的安全密鑰，并將該密鑰發布至用戶的登錄計算機，對用戶計算機進行IP地址、端口綁定，由此用戶計算機初步具備了電力信息數據庫的虛擬專網保護能力。審計系統使用者需要向電力信息管理系統進行審計請求，并由管理員通過審核將相應的密鑰和對應的計算機發布給審計系統使用者。審計系統使用者獲得密鑰后，選擇合適的計算機進行系統登錄，輸入用戶名和密碼信息。審計系統密鑰控制中心將首先對登錄的計算機進行關聯性認證，通過了內網審核后，對使用者的個人身份進行驗證，根據電力信息管理系統中的關聯數據庫，核對用戶的個人信息，只有完成驗證的用戶才能獲得審計系統的使用權限，同時，不同的使用者其獲得不同的使用權限，其由電力信息管理系統在審計系統使用請求時，使用權限范圍將包含在用戶的登錄名和密鑰中，由此形成了多層多級的用戶密鑰管理管控，保證了安全審計系統使用的安全性。

審計系統密鑰控制中心首先通過ADO中的Connection類，約定電力信息管理系統數據庫的IP地址、開放端口、訪問名字以及控制證書。Connection類的操作指令同樣需要Command對象進行功能承載。當審計系統密鑰控制中心和電力信息管理系統數據庫成功連接后，審計系統密鑰控制中心通過Command對象的Execute?Reader方法進行使用者的登記信息查詢。

審計系統密鑰控制中心需要由Web服務器對訪問返回的數據進行緩存，基于Data?Adapter類，不改變中間數據的結果。使用斷開模型，填充連接對象，確保審計系統密鑰控制中心在某一特定周期時，仍具有有效的認證價值。對于緩存中間數據的讀取可以采用SELECT、INSERT等指令與SQL進行捆綁，由Web服務器轉化為ADO對象，并通過關系型數據庫進行邏輯映射，完成審計系統密鑰控制中心的安全認證請求。

電力信息數據庫中業務營銷、管理訪問的數據流量最大，由此產生大量的數據庫操作行為。據數據分析，80%的電力業務系統服務模式是瀏覽器-WEB中間件-數據庫的三層架構。雖然用戶采用不同的賬戶訪問WEB中間件，但是中間件對數據庫的操作卻是通過某一內置的固定賬號進行的，如果單純審計中間件對數據庫的操作，就無法將數據庫行為對應到具體業務用戶，單純審計業務用戶對中間件的操作，又無法得知這些操作帶來的數據庫改變。如何將最前端的用戶訪問行為和最后端的數據庫改變關聯起來，這對審計系統來說是很大的挑戰。

4結語

BS電力信息系統的廣泛應用，包括市場交易系統、主數據管理系統中，競價系統，和人力資源教育文化系統瀏覽器一般——web應用服務器，數據庫服務器三層體系結構，該體系結構，為業務用戶應用程序的操作系統和應用程序訪問數據庫是兩個相對獨立的過程，數據資產被泄露和責任識別后的更改是困難的，對于非法SQL操作的責任后臺位置往往只對應用系統ID，用戶ID無法追溯到業務。為了實現對數據庫操作的準確審計，需要對web應用程序的前后訪問過程進行三層關聯分析，以保證關聯的準確性。

參考文獻：

[1]裘海生.?電信企業數據庫審計及內部安全監控系統的設計與應用[D].北京郵電大學，2017.

[2]李晶媛.?網絡數據庫系統審計跟蹤研究[D].中北大學，2016.

[3]林澤源.?電力行業數據庫審計系統設計與應用[D].華南理工大學，2016.

[4]王淵.?安全數據庫審計及入侵檢測設計與實現[D].北京信息控制研究所，2016.

（作者單位：國網遼寧省電力有限公司鐵嶺供電公司）