論Unix環(huán)境下程序和業(yè)務(wù)數(shù)據(jù)安全性探析_第1頁
論Unix環(huán)境下程序和業(yè)務(wù)數(shù)據(jù)安全性探析_第2頁
論Unix環(huán)境下程序和業(yè)務(wù)數(shù)據(jù)安全性探析_第3頁
論Unix環(huán)境下程序和業(yè)務(wù)數(shù)據(jù)安全性探析_第4頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、論Unix環(huán)境下程序和業(yè)務(wù)數(shù)據(jù)安全性探析                        在銀行、保險等重要的金融行業(yè),加強關(guān)鍵程序和生產(chǎn)數(shù)據(jù)的安全建設(shè)對于保障業(yè)務(wù)的正常開展具有十分重要的現(xiàn)實意義。本文立足于業(yè)務(wù)操作、程序維護和進庫處理這三個主要的安全隱患環(huán)節(jié),利用Unix Shell語言工具和Informix Audit技術(shù),在程序文件和業(yè)務(wù)數(shù)據(jù)的風(fēng)險防范方

2、面進行了一些有益的探索,建立了一套比較完善的安全保障機制,并提供了具體的實現(xiàn)途徑,具有較強的實用性。一、業(yè)務(wù)操作的安全對策采用控制Unix系統(tǒng)提示符的進入,設(shè)立一個封閉的應(yīng)用系統(tǒng)環(huán)境的方法。在正式的生產(chǎn)環(huán)境中,各種應(yīng)用系統(tǒng)的直接用戶,如業(yè)務(wù)終端用戶和業(yè)務(wù)管理用戶對計算機知識一般不是很了解,他們的工作職責(zé)是在程序的控制下,用合法的系統(tǒng)用戶和口令字注冊并受限于程序畫面,執(zhí)行規(guī)定的業(yè)務(wù)操作,而不能讓其接觸到Shell提示符,從而對生產(chǎn)環(huán)境中的程序和業(yè)務(wù)數(shù)據(jù)形成第一級保護屏障。具體做法是:編制Shell語言程序.safe文件,并在系統(tǒng)注冊用戶的.profile文件最后加入一行exec .safe。 .

3、safe的源程序范例清單如下:cond=truewhile cond doclearecho “”echo “業(yè)務(wù)處理系統(tǒng)菜單”echo “”echo “ ( HOST )”echo “” echo “ 1) ”echo “ 2) ”echo “ q) ”echo “”echo “            三、進庫處理的稽核審計審計是要跟蹤重要的數(shù)據(jù)庫活動事件,防范進庫操作風(fēng)險。在日常實際應(yīng)用中,由于應(yīng)用系統(tǒng)的不盡完善,特別是對一些特殊的業(yè)務(wù)處理無法一一編制相應(yīng)的程序而仍不得不

4、進庫操作。把原始的業(yè)務(wù)生產(chǎn)庫表數(shù)據(jù)直接暴露給程序維護人員,其數(shù)據(jù)的風(fēng)險是極其巨大的,對數(shù)據(jù)有意的破壞或無意的維護處理不當,都有可能造成無法估量的損失。因此,對這些特殊的進庫操作行為如何進行有效的稽核和風(fēng)險防范,就成為重中之重。原則上每一項進庫操作都應(yīng)留有痕跡,記錄下該項操作的各種屬性,保留必要的時限以備審查,防止操作者否認該項操作而推卸責(zé)任。利用Informix 數(shù)據(jù)庫提供的audit安全審計技術(shù),對一些重要的數(shù)據(jù)庫操作事件進行審計跟蹤,便可以構(gòu)筑防范數(shù)據(jù)風(fēng)險關(guān)鍵的、最后的一道防線。建立缺省和專用的audit mask,立足于對缺省的default_mask應(yīng)盡可能多地設(shè)置審計事件,對缺乏維護

5、經(jīng)驗的用戶也應(yīng)多設(shè)置一些審計事件,而且主要是對一些執(zhí)行成功的事件進行審計跟蹤。使用操作系統(tǒng)的ps命令,通過終端號tty值獲得進程號pid和IP地址,以進程號pid值為關(guān)聯(lián),將審計事件與相應(yīng)的IP地址掛起鉤來,進行具體的定位,有關(guān)audit的設(shè)定和操作命令如下:onaudit l 1 (將審計機制置開狀態(tài))onaudit p /usr/informix/adt/log (創(chuàng)建audit審計文件存放目錄)onaudit a u _dml e DLRW,INRW,RDRW(創(chuàng)建審計跟蹤DLRW,INRW,RDRW事件的用戶模板_dml)onaudit a u whyw r _dml(將用戶whyw的

6、審計模式定義為模板_dml的)onaudit o (顯示audit mask表sysmastersysaudit中的記錄)onaudit l u whyw (查看whyw用戶的審計模式)首先,應(yīng)在每天主機開啟時用Unix系統(tǒng)at命令執(zhí)行下述的/usr/informix/adt/.trace文件,生成/usr/informix/adt/.stand文件,/usr/informix/adt/.stand文件每行格式為用戶名|進程號|IP地址|時間:cond = truewhile cond dotime= “date|cut c 1213”if test time le 23thenfor i i

7、n ps ef|grep dbaccess|grep v “grep dbaccess”|cut c 3440douser=ps ef|grep dbaccess|grep v “grep dbaccess”|grep i|cut c 8ppid=ps ef|grep dbaccess|grep v “grep dbaccess”|grep i|cut c 1014pid=echo ppidip=finger|grep i|cut c 60date_time= “date”echo user“|”pid“|”ip“|”date_time >> /usr/informix/adt/.

8、tempdonefor i in cat /usr/informix/adt/.tempdono_time=echo i | cut f13 d “|”for j in grep no_time /usr/informix/adt/.standdogrep v j /usr/informix/adt/.temp > /usr/informix/adt/.midecp /usr/informix/adt/.mide /usr/informix/adt/.tempdonedonecat /usr/informix/adt/.temp >> /usr/informix/adt/.s

9、tandcat /dev/null > /usr/informix/adt/.tempsleep 10elsebreakfidone其次,應(yīng)根據(jù)具體情況,選擇一些重要的、有針對性的事件進行審計跟蹤,以下項目僅供參考:ADCK(Add Chunk)、ALIX(Alter Index)、ALTB(Alter Table)、CRAM(Create Audit Mask)、CRDB(Create Database)、CRDS(Create Dbspace)、CRIX(Create Index)、CRRL(Create Role)、CRSP(Create Stored Procedure)、CRT

10、B(Create Table)、CRTR(Create Trigger)、DLRW(Delete Row)、DRAM(Delete Audit Mask)、DRBS(Drop Blobspace)、DRCK(Drop Chunk)、DRDB(Drop Database)、DRDS(Drop Dbspace)、DRIX(Drop Index)、DRRL(Drop Role)、DRSP(Drop Stored Procedure)、DRTB(Drop Table)、DRTR(Drop Trigger)、DRVW(Drop View)、EXSP(Execute Stored Procedure)、G

11、RDB(Grant Database Access)、GRTB(Grant Table Access)、INRW(Insert Row)、LGDB(Change Database Log Mode)、LKTB(Lock Table)、ONAU(Onaudit)、ONIN(Oninit)、ONMN(Onmonitor)、ONMO(Onmode)、ONPA(Onparamas)、ONSH(Onshowaudit)、ONSP(Onspaces)、ONST(Onstat)、ONTP(Ontape)、RNDB(Rename Database)、RNTC(Rename Table/Column)、SOSP

12、(System Command Stored ProCedure)、STDP(Set Database Password)、STLM(Set Lock Mode)、USTB(Update Statistics Table)、USSP(Update Statistics Stored Procedure)。成功執(zhí)行的審計事件名相應(yīng)地貫以字母S即可,如SADCK、SALIX等。最后,為方便對審計記錄進行保存、查詢和分析,可專門建立一個名為auditlog的表存儲審計記錄,并定期地把Informix生成的審計文件的內(nèi)容裝載到該表中,該表具有與審計文件格式相對應(yīng)的結(jié)構(gòu),具體如下:create table auditlog (adttag char(4),date_time datetime year to fraction(3),hostname char(18),pid int,server char(18),username char(8),errno int,event char(4),dbname char(18),tabid int,objname char(18),extra_1 int,partno int,row_id int,login char(8),flags int,extra_2 varchar(160,1)同時,創(chuàng)建一個用戶表user,用來存儲用戶

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論