技术中心
 
 

油田信息系统数据库的安全策略(下)

   日期:2008-10-30     来源:中国测控网     作者:管理员    


5.1系统的安全防范重点在服务器

Web数据库的三层体系结构中,数据存放在数据库服务器中,大部分的事务处理及商业逻辑处理在应用服务器中进行,由应用服务器提出对数据库的操作请求。理论上,既可以通过Web页面调用业务处理程序来访问数据库,也可以绕过业务处理程序,使用一些数据库客户端工具直接登录数据库服务器,存取操作其中的数据。所以,数据库服务器的安全设置至关重要。应用系统的安全防范重点在服务器上。只要各类服务器安全设置合理,就可以保证应用系统的安全可靠。这包括操作系统的安全问题、数据库服务器的安全问题、Web服务器的安全问题等,也就是Web数据库的工作环境的安全设置。

网络上数据库安全包括硬件环境安全和软件环境安全。Hp公司的产品Alpha服务器,以目前世界上最好的处理器芯片21264,以真正的64位技术享誉全球。它的企业级服务器分为全球级系列GS、企业级系列ES和部门级系列DS,都具有领先的性能指标。是我们首选的产品之一。为构筑稳定安全的硬件环境我们配置一台hp公司的AlphaServer ES45作为服务器。该系统配置4个1GHz主频处理器和32GB内存,每秒钟能够提供高达8GB的带宽和1.85GB的I/O数据吞吐量;能够确保关键业务系统实现99.999%的高可用性。它以Tru64 unix作为应用服务器端的网络操作系统,以oracle9i 作为数据库服务器,Oracle公司的数据库一直都被业内认为是很安全的,Oracle9i数据库提供了端到端安全体系结构,包括强壮的三层安全体系、托管环境的安全体系、支持基于标准的公共密钥体系结构(PKI)、改进的用户和安全管理策略、提供数据加密和标签安全(Label Security)等等,

5.2 访问权限控制

Web数据库的终端用户只要有浏览器就能查阅、操作油田信息。为了保证油田信息数据库的安全,必须针对不同用户设置不同的访问权限。访问权限设计原则应该是不给用户不必要的权限。应用系统中不同用户有不同权限,同一用户做不同的操作时所访问的数据也不同。可以采用两种方法分配访问权限。第一,按身份分配权限。第二,按角色分配权限。

5.3 鉴别交换机制

鉴别交换机制是指用户在进入系统之前,向系统提供用户名、口令、密码或其他独一无二特征,比如指纹、视网膜等,经过系统鉴定之后,允许或拒绝他的访问。这种鉴别方式通常有两种,集成安全模式和分层安全模式。集成安全模式在整个系统的入口处设置一个验证点,进入系统后自动判断他的权限。分层安全模式在各种数据操作入口处都进行安全验证。

在利用鉴别交换机制时,应注意以下几点:

在油田信息服务系统中,对于安全级别高的油田资料、信息,可采用分层登录方式进行访问,以确保用户的可靠身份。
用户登录过程中,若超过三次登录失败,就被视为非法用户,系统应记录其IP地址,并在一定时间内禁止他的访问。
为了防止用户在浏览器的地址栏中输入URL地址直接访问数据,而没有经过登录页面的身份验证,必须在每个页面都进行登录验证,确保用户的合法登录。
对于系统维护页面,只有系统管理人员才能登录,授权用户和普通用户都没有访问权限。所以不要在前台页面明显给出后台维护页面的入口。
5.4 审计追踪机制

审计追踪机制是指系统设置相应的日志记录,特别是对数据更新、删除、修改的记录,以便日后查证。日志记录的内容可以包括操作人员的名称、使用的密码、用户的IP地址、登录时间、操作内容等。若发现系统的数据遭到破坏,可以根据日志记录追究责任,或者从日志记录中判断密码是否被盗,以便修改密码,重新分配权限,确保系统的安全。

5.5 数据加密及使用安全套接字层SSL

为保证数据在网上传输的安全性,应对数据进行加密。常用的加密方法有私有密钥加密和公有密钥加密。数据加密是已知的一种保护静态数据不被侵犯的很好方法。把敏感重要数据以密文形式存放在数据库中,可以大大增强数据的安全性。而且数据安全对系统本身依赖性也减小。只要密钥不泄漏,即使系统存在安全漏洞,也可保证数据的安全。但在实际应用中,数据库加密、密文数据快速索引等问题还有待进一步研究。

安全套接字层SSL在开始进行保密传输时先用公密加密传送一把私有密钥,用户使用私有密钥来快速传输数据。这就是SSL工作原理。SSL具有双重功能,他除了提供一种安全传输数据的方式外,还可以对数据和服务器进行验证。在基于Web数据库的油田信息服务应用程序中,可以利用安全套接字层SSL机制对数据进行加密。Oracle对SSL(安全套接层)和LDAP(轻型目录访问协议)提供了非常好的支持。

6.结束语

除了以上介绍的安全策略外,数字签名、实体鉴别、证书信任机制等的使用,也能进一步提高系统的安全性。总之,安全问题是任何网络应用系统都必须考虑的主要问题。是十分重用的环节,必须加以重视,保证应用万无一失。


 
  
  
  
  
 
更多>同类技术
 
全年征稿 / 资讯合作
 
推荐图文
推荐技术
可能喜欢