基于ORACLE数据库的安全访问控制管理系统的实现
白青海1,2,郑 瑛3
【摘 要】摘 要:数据库的集中访问控制和审计是企业信息管理系统中的重要的领域.研究开发了基于ORACLE数据库安全访问控制机制的实现策略,包括:通过集中的策略配置,实现对分布式Oracle数据库的集中访问控制和审计;通过封装PL/Sql Developer数据库管理工具实现对Oracle数据库的安全访问控制,不改变PL/Sql Developer工具的数据库DBA的操作习惯;系统能够分DBA角色、分数据库用户灵活设置数据库管理策略,从而实现不同角色的DBA能够访问不同的数据库模式或数据库模式组合,实现对SQL脚本的审查和审计.系统实施后,所有数据库服务器和应用服务器的操作系统密码及数据库系统密码收归系统和专门运行维护部门统一管理.
【期刊名称】西南民族大学学报(自然科学版) 【年(卷),期】2017(043)005 【总页数】8
【关键词】关键词:ORACLE数据库;安全访问控制;审计
数据库的集中访问控制和审计是企业信息管理系统中的重要的领域[1-3].ORACLE数据库是目前大型企事业单位使用十分广泛的数据库之一,它在数据库领域始终处于领跑的地位[4-7].该系统易使用、功能强大、数据安全性高并且具有很好的可移植性,它的应用环境从PC机一直到各类小、中、大型机均适用.对于数据库应用领域来说,它具有高吞吐率、稳定性好、可靠性高并且高效率等特点[8-12].
本文研究开发了基于ORACLE数据库安全访问控制机制的实现策略[13-16],
它的主要功能如下:
1)通过集中的策略配置,实现对分布式Oracle数据库的集中访问控制和审计; 2)通过封装PL/Sql Developer数据库管理工具实现对Oracle数据库的安全访问控制,不改变PL/Sql Developer工具的数据库DBA的操作习惯;
3)系统能够分DBA角色、分数据库用户灵活设置数据库管理策略,从而实现不同角色的DBA能够访问不同的数据库模式或数据库模式组合,实现对SQL脚本的审查和审计.对于需要审批后才能执行的脚本,需要提交审批后才能允许执行;对于需要审计的脚本,执行审计;能够设定禁止操作数据库的时间段. 系统实施后,所有数据库服务器和应用服务器的操作系统密码及数据库系统密码收归(修改密码)系统和专门运行维护部门统一管理,运行维护部门数据库主管下辖数据库运行维护组,负责全部数据库系统的运行维护.
1 典型运行维护流程分析
作为从事多年数据库运行维护的IT服务公司,一个典型的外包数据库运行维护客户存在类似的组织架构,如表1所示:
在这种组织架构中存在以下弊端:首先,客户DBA靠人工手段是管理不了所有的生产库,即使日常的维护也需要很大的工作量(例如,修改所有数据库的密码和备份脚本).其次,客户DBA不知道在生产库中都人为执行过什么操作.第三,运行维护公司的专业DBA与开发公司的开发工程师没有很好的结合.如果运行维护DBA能协助开发工程师对所执行的SQL语句或脚本进行评审,则能减少很多潜在问题.
通过实施系统可以有效的解决以上问题.
在应用环境中,所有的生产库作为数据源记录到系统中.客户、运行维护公司和
开发公司作为角色被赋予各种权限(DDL、DML、DCL等),按实际情况和各个数据源对应.通过角色和数据源的映射,可以有效屏蔽生产库中的实际账号和密码,从而防止密码外泄.当运行维护或开发公司的工作人员执行SQL语句时,这些语句会被发送到端,供客户DBA进行审核,只有审核通过的SQL语句和脚本才能到生产环境中执行.同时,客户DBA也可以指派受信任的运行维护DBA协助他完成审核工作.
经过这样的系统实施后,其实质代表了一次运行维护管理上的变革.
2 系统实施过程
2.1 运行流程
通过海量开源数据库审件的数据库管理和数据源管理,可以将需要被管理的生产库及其用户、口令加入到海量开源数据库审计软件.
通过用户管理和角色管理,可以将需要被管理的公司及其员工加入到海量开源数据库审计软件.
通过系统的角色数据源功能,建立数据库使用人员和数据库账号的映射关系. 在完成以上工作后,系统即可投入运行,系统运行流程如图1所示: 2.2 登录系统
打开IE浏览器,在地址栏中输入地址,进入登录页面,如图2所示.输入用户名/密码后,进入系统首页. 2.3 数据库管理
在数据库管理标签中,如图3所示,可将所有生产库加入到系统中.
点击“增加”按钮.并填写相关信息.如图4所示,例如数据库名称填写A1_ODS,URL(THIN模式)填写jdbc:Oracle:thin:@192.168.1.60:1521:a1_ods.
基于ORACLE数据库的安全访问控制管理系统的实现
