數據庫直連授權準入管理系統的設計與實現

范琪

一、引言

如今，數字化建設正緊跟時代潮流而大步加速發展，數據量呈現爆發式增長，且數據應用擴展面不斷擴大。歷史數據不僅是資產，更是未來進行數據分析，發掘更多可能性的基礎。而網絡攻擊在逐漸形成體系化態勢的過程中，呈現出范圍廣、高命中、隱蔽性強的特點，攻擊的辨識難度在不斷加大。與之相對應的防御技術也在更新，不斷帶來新的挑戰。種種因素已成為了數據深入應用的主要制約。

由于數據庫資源進行了重新整合，部分用戶的權限對應關系隨之發生變化，其訪問行為難以辨別，會給數據庫的運行安全造成影響。因此，應轉變思想，采取主動預警戰略，識別潛在風險，開發數據庫直連授權準入管理系統。該系統將用戶的登錄權限、訪問痕跡、關鍵行為等納入統一管理，對各套數據庫運行狀況進行安全監測預警，實現計算機用戶訪問權限受控、阻止用戶未授權登錄的風險行為，以及數據庫的監測預警。這對于建立良好的數據庫訪問秩序，保障企業的各種軟件和系統正常應用，保持數據庫的平穩安全運行起到了重要作用。

二、系統的構建思路及設計

本系統通過構建專用雙向數據鏈路，在某一用于生產管理的數據庫中新建一個專門的用戶，對其他所有在用數據庫的運行狀況及各數據庫的用戶訪問情況進行集約化管理，并根據用戶反饋及時做出后續分析和管理策略的調整。

該系統利用Oracle概要文件技術實現資源的分配限定，聯合數據庫級觸發器技術實現對數據庫的監測預警、對各級用戶的直連授權及訪問痕跡管理；通過數據多級鉆取技術和參數控件聯動技術，在異常出現的第一時間，鏈接到詳情頁，精準定位責任人，依此進行情況的核實和處理，做到“登錄需授權”、“訪問必留痕”、“行為全受控”、“違規有預警”。

三、實施過程中的應用技術研究

（一）Oracle概要文件

在數據庫的多種防護策略中，概要文件起到十分重要的作用。根據用戶的角色和任務，PROFILE被相應的創建并分配，不同用戶采用與之匹配的PROFILE可以使系統資源得到更合理的分配和使用。其主要作用包括：

1.限制會話資源

用戶嘗試訪問數據庫時，Oracle會自動創建一個消耗CPU時間和內存資源的進程，叫做會話（session）。會話級資源不是無限的，且對于不用的用戶限制不同，如果用戶超過了限制，當前執行的語句將被Oracle中斷，并對用戶發出警告，但不會影響當前會話內已執行完成的句子。之后用戶只能使用提交或者回滾語句，或切斷連接，一切其他命令都會報錯無法執行。

2.限制調用資源

每次運行SQL語句時，Oracle在不同的執行階段需要向數據庫發起不同的調用，這需要一定的CPU時間來處理此調用。調用級資源同樣不是無限的，若在使用過程中超過了限制，語句將被Oracle停止執行，ROLLBACK后報錯給用戶，此舉不會影響當前會話內已經執行的語句，用戶會話不會被切斷。

3.鎖定帳戶

用戶在限定的登錄次數內多次嘗試并失敗后，根據參數配置，帳戶會自動鎖定，待一段時間后自動或者由管理員手動解鎖，防止暴力破解。

（二）數據庫級觸發器

客戶端的大量會話記錄都保存在Oracle自帶的v$session中，如訪問機器名等連接信息，但是通過機器名不能確定到具體的機器，無法自行追蹤登入用戶的IP地址。此時可以創建一個數據庫級的觸發器，當每一個新的用戶連接開啟的時候自動觸發該觸發器。

（三）超級鏈接傳遞參數實現數據多級鉆取

在定義超級鏈接時，要分別在主表和目標表設置可以用于傳遞的參數，主表設置的參數名一定要和目標表的參數名相匹配，才能通過鏈接跳轉，查詢不同層級的報表內容。

實現方法：

首先，為了打通主子表的連接關系，在子表中新建一個參數。然后，在主表中滿足條件的單元格，添加超級鏈接，設置網絡報表地址、鏈接打開方式、參數傳遞方式和具體參數。

（四）參數控件聯動實現單位分權查詢

$fine_username這個參數代表登錄用戶的用戶名，與人員組織結構關聯后，可通過該參數精確定位到該用戶的所屬單位。通過控件間的參數傳遞，實現不同層級管理員對各單位的分權查詢，該技術可通用于各系統。

步驟1：新建dw數據集

select subcompanyname from *_RJZYK where loginid=${fine_username}

其中$fine_username為登錄用戶名，*_RJZYK為整合了人員組織結構和機器信息的視圖。將該數據集綁定至dw控件，輸出實際值subcompanyname（單位名稱）傳遞給下一個kdd數據集作為過濾條件。

步驟2：新建kdd數據集

通過IF條件進行條件過濾查詢，若管理員來自一級管理單位則可查詢本單位所有下屬各單位名稱，不進行過濾，而二級單位的管理員用戶登陸后只能查詢到本單位名稱。將過濾后的數據集綁定到kdd控件中，設置實際值為subcompanyname（單位名稱），將參數值傳遞給bwl數據集作為新的參數進行數據查詢。

步驟3：新建bwl數據集

Select * from *_login_bwl a join *_rjzyk b on a.ip=b.ip

where subcompanyname=${kdd}

接收kdd控件傳遞的subcompanyname值，充入sql語句后進行數據查詢。

注：由于功能模塊名屬于系統級敏感信息，出于安全考慮，在文中并沒有提供完整的名稱，省略部分以*代替。

四、系統應用效果及展望

（一）系統功能模塊

系統開發了監測預警、直連授權、痕跡管理及統計分析等4大類、10小項主要功能。

痕跡管理：追蹤用戶訪問痕跡，將其分為正常的登入、登出、及異常的登入阻止共三大類，重點監管未授權IP試圖訪問數據庫的登入阻止行為，痕跡可精準定位，在警情發布的第一時間，通過數據鉆取獲得該時段用戶嘗試訪問被攔截的具體行為，聯系管理人員進行現場確認，排除可疑因素。

直連授權：將通過權限審批流程的IP通過命令語句添加到系統白名單中，僅允許該名單中的用戶通過自己的電腦對相應數據庫進行登錄訪問。同時，與痕跡管理聯動，若被授權用戶長時間無訪問數據庫痕跡，則將其權限收回，在下次申請授權時必須提交說明方可再次授權。管理過程中，將各數據庫的白名單權限分別以數據庫和單位為類別進行統計和排名，采取最小化原則嚴格限制授權數量，減少侵入風險。

監測預警：密切監控各服務器的實時訪問壓力，分析是否出現異常峰值并進行源頭追溯，保障生產數據庫運行平穩安全。

統計分析：將以上三個模塊以數據表、餅狀圖、折線圖等方式進行展現，便于更加直觀、高效對生產數據庫進行安全管理。

（二）應用現狀及前景展望

目前該系統已全面覆蓋相關生產單位和技術單位。經持續監測管理，當前各數據庫運行狀態保持平穩，用戶權限得到有效控制，有效抵御了外部入侵檢測。

五、總結

本文詳細闡述了數據庫直連授權準入管理系統的構建思路和具體做法，以單個IP為基點，線狀管理用戶級權限和訪問行為，全面覆蓋所有的生產數據庫，“點-線-面”相結合，多管齊下，提高了管理效率，提升了管理水平，通過該系統促進數據庫安全管理向更加集約化、專業化、精細化的方向發展，構建更加良好的數據庫訪問秩序。

作者單位：大慶油田第一采油廠信息中心