電力行業(yè)數(shù)據(jù)庫審計系統(tǒng)與應用

1、    電力行業(yè)數(shù)據(jù)庫審計系統(tǒng)與應用    劉龍祥摘要：電力工業(yè)對國家經(jīng)濟的正常運行起著重要的支撐作用，同時作為國家重點產(chǎn)業(yè)。數(shù)據(jù)庫是所有電力信息系統(tǒng)運行的基礎，它記錄了大量用戶信息、生產(chǎn)數(shù)據(jù)等關鍵信息，是最具戰(zhàn)略性的資產(chǎn)。電力行業(yè)數(shù)據(jù)庫承載的信息資產(chǎn)面臨著嚴峻的安全挑戰(zhàn)，數(shù)據(jù)庫安全審計系統(tǒng)能夠有效的彌補應用業(yè)務系統(tǒng)在使用數(shù)據(jù)庫時存在的安全缺陷，是保證數(shù)據(jù)庫安全的必要手段，對整個電力信息系統(tǒng)的資產(chǎn)安全和生產(chǎn)安全具有重要意義。關鍵詞：電力行業(yè);數(shù)據(jù)庫;審計1引言該數(shù)據(jù)庫安全審計系統(tǒng)實現(xiàn)了多平臺兼容的數(shù)據(jù)庫運行行為監(jiān)控，與數(shù)據(jù)庫并行運行和細粒度行為監(jiān)控的優(yōu)點

2、，可以滿足電力行業(yè)數(shù)據(jù)中心高效率、高容量、高質量的需求。在數(shù)據(jù)庫中，數(shù)據(jù)庫安全審計系統(tǒng)平行水平集和適應而忽略不同的底層硬件和操作系統(tǒng)，數(shù)據(jù)庫和工作形式的網(wǎng)絡繞過主機的網(wǎng)絡，只要能夠訪問數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)操作行為監(jiān)控可以實現(xiàn)，因此具有重要的幫助電力行業(yè)數(shù)據(jù)審計。2電力行業(yè)數(shù)據(jù)庫審計系統(tǒng)數(shù)據(jù)庫靜態(tài)審計。根據(jù)審計系統(tǒng)最新的數(shù)據(jù)安全規(guī)則，對需要審計的數(shù)據(jù)庫進行靜態(tài)審計，跟安全規(guī)則進行比對，找出潛在的風險點，比如口令設置不滿足復雜度要求，軟件補丁沒有更新等不符合安全配置的部分。實時監(jiān)控。系統(tǒng)根據(jù)風險設置規(guī)則，制定相應的策略。當用戶訪問數(shù)據(jù)庫時，對訪問事件進行實時監(jiān)控，依據(jù)審計規(guī)則，能夠及時發(fā)現(xiàn)不合規(guī)操作，保

3、護企業(yè)的信息資產(chǎn)。均衡的雙向審計。當用戶對數(shù)據(jù)庫進行查詢、刪除等操作時，系統(tǒng)不但能夠對操作命令進行審計，而且能夠對命令返回的結果進行還原和審計，包括數(shù)據(jù)庫命令執(zhí)行時長、執(zhí)行的結果等內容，實現(xiàn)雙向審計的功能，安全事件回放?？蛻舳送ㄟ^telnet等連接數(shù)據(jù)庫時，所有的針對數(shù)據(jù)庫的操作，都能夠進行回放。包括sql操作、telnet命令等都能真實展現(xiàn)出來。如果出現(xiàn)安全問題需要追溯，我們可以通過回放功能對相關時段的事件進行查詢和定位。數(shù)據(jù)庫異常操作監(jiān)測報警。該系統(tǒng)實現(xiàn)了數(shù)據(jù)庫異常操作監(jiān)測報警功能。根據(jù)產(chǎn)生告警數(shù)據(jù)配置和告警通知配置，對所有的數(shù)據(jù)庫操作進行監(jiān)控。當出現(xiàn)違反規(guī)則的操作時，立即產(chǎn)生告警數(shù)據(jù)，并

4、通過短信、郵件等方式發(fā)送告警通知到相關的管理人員，能夠及時發(fā)現(xiàn)違規(guī)操作風險。3電力行業(yè)數(shù)據(jù)庫審計系統(tǒng)實現(xiàn)安全審計系統(tǒng)對于電力信息數(shù)據(jù)庫的安全控制在于能夠限定用戶操作行為的合法性，其與數(shù)據(jù)庫并發(fā)運行，為電力信息數(shù)據(jù)庫提供安全審計的基礎依據(jù)。因此安全審計系統(tǒng)應能首先確保接入自身，獲得安全審計的用戶權限，確保系統(tǒng)的整體安全性。借鑒于其他領域的審計系統(tǒng)，電力信息數(shù)據(jù)庫安全審計系統(tǒng)可采用基于對稱密鑰的認證授權方式。安全審計系統(tǒng)將在管理中心設置密鑰控制中心，為每一個用戶發(fā)布密鑰并鑒別請求登錄的用戶身份。只有獲得密鑰授權的用戶才具有訪問安全審計系統(tǒng)的權限，只有通過密鑰控制中心的鑒別才能對安全審計系統(tǒng)進行設置

5、操作和審計日志查看。基于對稱密鑰的認證授權方式首先為用戶選擇合適的安全密鑰，并將該密鑰發(fā)布至用戶的登錄計算機，對用戶計算機進行ip地址、端口綁定，由此用戶計算機初步具備了電力信息數(shù)據(jù)庫的虛擬專網(wǎng)保護能力。審計系統(tǒng)使用者需要向電力信息管理系統(tǒng)進行審計請求，并由管理員通過審核將相應的密鑰和對應的計算機發(fā)布給審計系統(tǒng)使用者。審計系統(tǒng)使用者獲得密鑰后，選擇合適的計算機進行系統(tǒng)登錄，輸入用戶名和密碼信息。審計系統(tǒng)密鑰控制中心將首先對登錄的計算機進行關聯(lián)性認證，通過了內網(wǎng)審核后，對使用者的個人身份進行驗證，根據(jù)電力信息管理系統(tǒng)中的關聯(lián)數(shù)據(jù)庫，核對用戶的個人信息，只有完成驗證的用戶才能獲得審計系統(tǒng)的使用權限

6、，同時，不同的使用者其獲得不同的使用權限，其由電力信息管理系統(tǒng)在審計系統(tǒng)使用請求時，使用權限范圍將包含在用戶的登錄名和密鑰中，由此形成了多層多級的用戶密鑰管理管控，保證了安全審計系統(tǒng)使用的安全性。審計系統(tǒng)密鑰控制中心首先通過ado中的connection類，約定電力信息管理系統(tǒng)數(shù)據(jù)庫的ip地址、開放端口、訪問名字以及控制證書。connection類的操作指令同樣需要command對象進行功能承載。當審計系統(tǒng)密鑰控制中心和電力信息管理系統(tǒng)數(shù)據(jù)庫成功連接后，審計系統(tǒng)密鑰控制中心通過command對象的execute reader方法進行使用者的登記信息查詢。審計系統(tǒng)密鑰控制中心需要由we

7、b服務器對訪問返回的數(shù)據(jù)進行緩存，基于data adapter類，不改變中間數(shù)據(jù)的結果。使用斷開模型，填充連接對象，確保審計系統(tǒng)密鑰控制中心在某一特定周期時，仍具有有效的認證價值。對于緩存中間數(shù)據(jù)的讀取可以采用select、insert等指令與sql進行捆綁，由web服務器轉化為ado對象，并通過關系型數(shù)據(jù)庫進行邏輯映射，完成審計系統(tǒng)密鑰控制中心的安全認證請求。電力信息數(shù)據(jù)庫中業(yè)務營銷、管理訪問的數(shù)據(jù)流量最大，由此產(chǎn)生大量的數(shù)據(jù)庫操作行為。據(jù)數(shù)據(jù)分析，80%的電力業(yè)務系統(tǒng)服務模式是瀏覽器-web中間件-數(shù)據(jù)庫的三層架構。雖然用戶采用不同的賬戶訪問web中間件，但是中間件對數(shù)據(jù)庫的操作

8、卻是通過某一內置的固定賬號進行的，如果單純審計中間件對數(shù)據(jù)庫的操作，就無法將數(shù)據(jù)庫行為對應到具體業(yè)務用戶，單純審計業(yè)務用戶對中間件的操作，又無法得知這些操作帶來的數(shù)據(jù)庫改變。如何將最前端的用戶訪問行為和最后端的數(shù)據(jù)庫改變關聯(lián)起來，這對審計系統(tǒng)來說是很大的挑戰(zhàn)。4結語bs電力信息系統(tǒng)的廣泛應用，包括市場交易系統(tǒng)、主數(shù)據(jù)管理系統(tǒng)中，競價系統(tǒng)，和人力資源教育文化系統(tǒng)瀏覽器一般web應用服務器，數(shù)據(jù)庫服務器三層體系結構，該體系結構，為業(yè)務用戶應用程序的操作系統(tǒng)和應用程序訪問數(shù)據(jù)庫是兩個相對獨立的過程，數(shù)據(jù)資產(chǎn)被泄露和責任識別后的更改是困難的，對于非法sql操作的責任后臺位置往往只對應用系統(tǒng)id，用戶id無法追溯到業(yè)務。為了實現(xiàn)對數(shù)據(jù)庫操作的準確審計，需要對web應用程序的前后訪問過程進行三層關聯(lián)分析，以保證關聯(lián)的準確性。參考文獻：1裘海生. 電信企業(yè)數(shù)據(jù)庫審計及內部安全監(jiān)控系統(tǒng)的設計與應用d.北京郵電大學，2017.2李晶媛. 網(wǎng)絡數(shù)據(jù)庫系統(tǒng)審計跟蹤研究