管理信息系统数据库安全体系设计(1).doc
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
管理信息系统数据库安全体系设计 对管理信息系统(Management Information System, MIS)的安全性进行了全面的分析,提出了系统所需采用的安全策略和方法,并采用系统权 限分配、用户认证、记录追踪、协议审计、数据备份、灾难恢复及报警系统等技术,设计 了一套多层次的数据库安全保护系统,实现了普遍适用的管理信息系统完整有效的安全防 护体系。 标签:信息系统;网络安全;网络安全审计;入侵检测 实时安全分析可帮助人们即时获取关于系统高层次、整体性的安全信息,进而从整体 了解系统的安全态势。目前,基于实时安全分析对大型复杂系统进行安全监控正成为国际 上安全性研究的热点。将实时安全分析应用于系统安全监控的一个难点问题是缺乏有效 的安全监控体系。管理信息系统也可以称为较为复杂的系统,它涉及到事务计划、个人身 份资料、事务处理情况以及其他极其重要的日常管理信息,是企业运作的关键所在。由于 企业的后台操作环境是在一个局域网内进行的,在该环境下MIS的安全问题受到高度关注 。因此,基于局域网的管理信息系统安全监控体系的研究显得尤为重要。 1 数据库对MIS安全的影响 在对整个系统进行安全配置时,除了对系统基础架构上进行安全配置研究外,对数据库 的安全配置也应给予更多关注。事实上,攻击者的主要目标往往就是数据库,通常MIS后台 数据库使用的是Oracle数据库。目前,Oracle 11g功能强大,应用广泛,是使用得最多的数据库之一。虽然它已通过了美国政府定义的C 2安全认证,但针对其所出现的安全问题也层出不穷,常见的安全问题包括有利用缓冲区溢 出、攻击(端口和客户端)、密码猎取、物理数据文件损坏或被盗、不够完善的备份策略 以及可能被利用去执行系统命令的扩展存储过程等。 2 安全配置策略的实施 2.1 局域网中信任区域的设置 MIS数据库服务器是网络安全保护的关键区域,因此,必须将可访问的服务器群设置为 一个信任区域,同时将用户和客户端设置为一个内部网络区域。 内部网络是指MIS内部的局域网,外部网络指的是其中的校园网。对基于局域网的MIS 而言,外部网络是绝对不可信任区域,必须禁止所有从该区域到数据库服务器的连接和访 问。通过配置路由器上的防火墙和包过滤,禁止所有来自外部网络的连接。 防止服务器IP地址暴露在外部网中的方法利用网络地址转换(NAT)屏蔽服务器和其他 内部网的IP地址,使內部网相对于外部网来说变为不可见。在内部网络中则使用动态主机 配置协议(DHCP)为各个终端分配IP地址,同时为了在局域网中管理各个终端,必须将各个 终端的IP和网卡MAC进行绑定。 为了方便对数据库和服务器的管理,需要打开操作系统和Oracle数据库的远程访问端 口。但必须限制远程访问端口的可信任区域。为了减少这类端口被利用和被攻击的可能 性,可更改此类端口为数据库服务器上尚未被使用的其他端口或者隐藏数据库通信端口, 同时利用防火墙安全策略来禁止非可信任区域对服务器该端口的连接和保证可信任区域 对该端口的安全连接。 2.2 权限分配策略和用户认证 MIS数据库用户主要有3个:一个是MIS中连接数据库的用户。该用户对一般使用者来说 是不可见的,它是MIS数据库的合法用户,用来使应用服务器成功连接上数据库服务器。但 它只对MIS数据库具有合法的访问权限,即该用户只能访问MIS数据库,而不具有其他数据 库(如用来保存记录追踪的数据库等)的访问权限,更没有数据库管理的权限。另一个则是 数据库管理员用户。该用户除了拥有MIS数据库的访问权限之外,也可以访问其他数据库 和对数据库进行管理。第三个则是Oracle服务和代理服务的启动用户。这三种系统用户 的权限对终端用户来说是不可见的,这样设置能有效防止终端用户直接访问数据库。 除了对系统登录进行认证之外,还对关键数据所在模块,例如业务输入模块等,实行区 别于系统登录的二次认证,以防止用户由于疏忽没有退出如管理界面,被他人利用进行数 据破坏的工作。其次在口令认证上,通过在应用程序中自定义的加密函数对用户输入的口 令在本地进行加密,加密后的口令在网络上传输到服务器端,在存储过程中通过相应的解 密函数解密该口令,这样口令以密钥的形式在网络上传输,以加密后的形式存储在数据库 中,不仅减少了口令在网络传输时被捕获的可能性,也大大降低口令被盗取的可能性。 2.3 记录追踪功能的设置 资金数据是MIS中最为敏感、最为重要和可能产生疑义最多的部分,它要求能在疑义产 生时判断该疑义记录的来龙去脉,掌握该记录曾经存在的状态、时间以及变更原因等。这 就需要对资金记录进行历史追踪,通过在客户端程序和数据库触发器中设置控制程序追踪 记录,以解决对疑义数据的分析和用户操作的日志查询。 记录的内容一般包括:操作类型(如修改、查询、删除
- 粉丝: 195
- 资源: 3万+
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- 2014-2023年各区县数字普惠金融指数数据.xls
- cache数据库安装教程
- matlab复现,考虑综合需求响应和阶梯型碳交易机制的综合能源系统优化调度策略 关键词,综合能源系统,碳交易机制,综合需求响应
- 3 考虑柔性负荷的综合能源系统低碳经济优化调度.zip
- 【通用报文解析工具】someip
- 基于MindSpore AI框架实现零售商品自动识别项目源代码
- 免费的PHP在线解密工具源码V2.0,在线PHP加密、解密、混淆源代码,代码还原工具.zip
- labview调用VisionPro dll读取多个二维码,支持多工位、多相机,成功率百分之百 +Mes上传(HTTP协议)+封装好的Modbus Tcp通讯
- excel + 数据分析 + 百度面试题
- 基于stm32实现LED 呼吸灯实现,配合太阳能发电板、储能电池实现夜间照明功能