論Unix環(huán)境下程序和業(yè)務(wù)數(shù)據(jù)安全性探析_第1頁
論Unix環(huán)境下程序和業(yè)務(wù)數(shù)據(jù)安全性探析_第2頁
論Unix環(huán)境下程序和業(yè)務(wù)數(shù)據(jù)安全性探析_第3頁
論Unix環(huán)境下程序和業(yè)務(wù)數(shù)據(jù)安全性探析_第4頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、論Unix環(huán)境下程序和業(yè)務(wù)數(shù)據(jù)安全性探析                        在銀行、保險(xiǎn)等重要的金融行業(yè),加強(qiáng)關(guān)鍵程序和生產(chǎn)數(shù)據(jù)的安全建設(shè)對于保障業(yè)務(wù)的正常開展具有十分重要的現(xiàn)實(shí)意義。本文立足于業(yè)務(wù)操作、程序維護(hù)和進(jìn)庫處理這三個(gè)主要的安全隱患環(huán)節(jié),利用Unix Shell語言工具和Informix Audit技術(shù),在程序文件和業(yè)務(wù)數(shù)據(jù)的風(fēng)險(xiǎn)防范方

2、面進(jìn)行了一些有益的探索,建立了一套比較完善的安全保障機(jī)制,并提供了具體的實(shí)現(xiàn)途徑,具有較強(qiáng)的實(shí)用性。一、業(yè)務(wù)操作的安全對策采用控制Unix系統(tǒng)提示符的進(jìn)入,設(shè)立一個(gè)封閉的應(yīng)用系統(tǒng)環(huán)境的方法。在正式的生產(chǎn)環(huán)境中,各種應(yīng)用系統(tǒng)的直接用戶,如業(yè)務(wù)終端用戶和業(yè)務(wù)管理用戶對計(jì)算機(jī)知識一般不是很了解,他們的工作職責(zé)是在程序的控制下,用合法的系統(tǒng)用戶和口令字注冊并受限于程序畫面,執(zhí)行規(guī)定的業(yè)務(wù)操作,而不能讓其接觸到Shell提示符,從而對生產(chǎn)環(huán)境中的程序和業(yè)務(wù)數(shù)據(jù)形成第一級保護(hù)屏障。具體做法是:編制Shell語言程序.safe文件,并在系統(tǒng)注冊用戶的.profile文件最后加入一行exec .safe。 .

3、safe的源程序范例清單如下:cond=truewhile cond doclearecho “”echo “業(yè)務(wù)處理系統(tǒng)菜單”echo “”echo “ ( HOST )”echo “” echo “ 1) ”echo “ 2) ”echo “ q) ”echo “”echo “            三、進(jìn)庫處理的稽核審計(jì)審計(jì)是要跟蹤重要的數(shù)據(jù)庫活動(dòng)事件,防范進(jìn)庫操作風(fēng)險(xiǎn)。在日常實(shí)際應(yīng)用中,由于應(yīng)用系統(tǒng)的不盡完善,特別是對一些特殊的業(yè)務(wù)處理無法一一編制相應(yīng)的程序而仍不得不

4、進(jìn)庫操作。把原始的業(yè)務(wù)生產(chǎn)庫表數(shù)據(jù)直接暴露給程序維護(hù)人員,其數(shù)據(jù)的風(fēng)險(xiǎn)是極其巨大的,對數(shù)據(jù)有意的破壞或無意的維護(hù)處理不當(dāng),都有可能造成無法估量的損失。因此,對這些特殊的進(jìn)庫操作行為如何進(jìn)行有效的稽核和風(fēng)險(xiǎn)防范,就成為重中之重。原則上每一項(xiàng)進(jìn)庫操作都應(yīng)留有痕跡,記錄下該項(xiàng)操作的各種屬性,保留必要的時(shí)限以備審查,防止操作者否認(rèn)該項(xiàng)操作而推卸責(zé)任。利用Informix 數(shù)據(jù)庫提供的audit安全審計(jì)技術(shù),對一些重要的數(shù)據(jù)庫操作事件進(jìn)行審計(jì)跟蹤,便可以構(gòu)筑防范數(shù)據(jù)風(fēng)險(xiǎn)關(guān)鍵的、最后的一道防線。建立缺省和專用的audit mask,立足于對缺省的default_mask應(yīng)盡可能多地設(shè)置審計(jì)事件,對缺乏維護(hù)

5、經(jīng)驗(yàn)的用戶也應(yīng)多設(shè)置一些審計(jì)事件,而且主要是對一些執(zhí)行成功的事件進(jìn)行審計(jì)跟蹤。使用操作系統(tǒng)的ps命令,通過終端號tty值獲得進(jìn)程號pid和IP地址,以進(jìn)程號pid值為關(guān)聯(lián),將審計(jì)事件與相應(yīng)的IP地址掛起鉤來,進(jìn)行具體的定位,有關(guān)audit的設(shè)定和操作命令如下:onaudit l 1 (將審計(jì)機(jī)制置開狀態(tài))onaudit p /usr/informix/adt/log (創(chuàng)建audit審計(jì)文件存放目錄)onaudit a u _dml e DLRW,INRW,RDRW(創(chuàng)建審計(jì)跟蹤DLRW,INRW,RDRW事件的用戶模板_dml)onaudit a u whyw r _dml(將用戶whyw的

6、審計(jì)模式定義為模板_dml的)onaudit o (顯示audit mask表sysmastersysaudit中的記錄)onaudit l u whyw (查看whyw用戶的審計(jì)模式)首先,應(yīng)在每天主機(jī)開啟時(shí)用Unix系統(tǒng)at命令執(zhí)行下述的/usr/informix/adt/.trace文件,生成/usr/informix/adt/.stand文件,/usr/informix/adt/.stand文件每行格式為用戶名|進(jìn)程號|IP地址|時(shí)間:cond = truewhile cond dotime= “date|cut c 1213”if test time le 23thenfor i i

7、n ps ef|grep dbaccess|grep v “grep dbaccess”|cut c 3440douser=ps ef|grep dbaccess|grep v “grep dbaccess”|grep i|cut c 8ppid=ps ef|grep dbaccess|grep v “grep dbaccess”|grep i|cut c 1014pid=echo ppidip=finger|grep i|cut c 60date_time= “date”echo user“|”pid“|”ip“|”date_time >> /usr/informix/adt/.

8、tempdonefor i in cat /usr/informix/adt/.tempdono_time=echo i | cut f13 d “|”for j in grep no_time /usr/informix/adt/.standdogrep v j /usr/informix/adt/.temp > /usr/informix/adt/.midecp /usr/informix/adt/.mide /usr/informix/adt/.tempdonedonecat /usr/informix/adt/.temp >> /usr/informix/adt/.s

9、tandcat /dev/null > /usr/informix/adt/.tempsleep 10elsebreakfidone其次,應(yīng)根據(jù)具體情況,選擇一些重要的、有針對性的事件進(jìn)行審計(jì)跟蹤,以下項(xiàng)目僅供參考:ADCK(Add Chunk)、ALIX(Alter Index)、ALTB(Alter Table)、CRAM(Create Audit Mask)、CRDB(Create Database)、CRDS(Create Dbspace)、CRIX(Create Index)、CRRL(Create Role)、CRSP(Create Stored Procedure)、CRT

10、B(Create Table)、CRTR(Create Trigger)、DLRW(Delete Row)、DRAM(Delete Audit Mask)、DRBS(Drop Blobspace)、DRCK(Drop Chunk)、DRDB(Drop Database)、DRDS(Drop Dbspace)、DRIX(Drop Index)、DRRL(Drop Role)、DRSP(Drop Stored Procedure)、DRTB(Drop Table)、DRTR(Drop Trigger)、DRVW(Drop View)、EXSP(Execute Stored Procedure)、G

11、RDB(Grant Database Access)、GRTB(Grant Table Access)、INRW(Insert Row)、LGDB(Change Database Log Mode)、LKTB(Lock Table)、ONAU(Onaudit)、ONIN(Oninit)、ONMN(Onmonitor)、ONMO(Onmode)、ONPA(Onparamas)、ONSH(Onshowaudit)、ONSP(Onspaces)、ONST(Onstat)、ONTP(Ontape)、RNDB(Rename Database)、RNTC(Rename Table/Column)、SOSP

12、(System Command Stored ProCedure)、STDP(Set Database Password)、STLM(Set Lock Mode)、USTB(Update Statistics Table)、USSP(Update Statistics Stored Procedure)。成功執(zhí)行的審計(jì)事件名相應(yīng)地貫以字母S即可,如SADCK、SALIX等。最后,為方便對審計(jì)記錄進(jìn)行保存、查詢和分析,可專門建立一個(gè)名為auditlog的表存儲(chǔ)審計(jì)記錄,并定期地把Informix生成的審計(jì)文件的內(nèi)容裝載到該表中,該表具有與審計(jì)文件格式相對應(yīng)的結(jié)構(gòu),具體如下:create table auditlog (adttag char(4),date_time datetime year to fraction(3),hostname char(18),pid int,server char(18),username char(8),errno int,event char(4),dbname char(18),tabid int,objname char(18),extra_1 int,partno int,row_id int,login char(8),flags int,extra_2 varchar(160,1)同時(shí),創(chuàng)建一個(gè)用戶表user,用來存儲(chǔ)用戶

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論