目前,数据仓库一词尚没有一个统一的定义,著名的数据仓库专家WHInmon在其著作《Building the Data Warehouse》一书中给予如下描述:数据仓库(Data Warehouse)是一个面向主题的(Subject Oriented)、集成的(Integrate)、相对稳定的(Non-Volatile)、反映历史变化(Time Variant)的数据集合,用于支持管理决策。对于数据仓库的概念我们可以从两个层次予以理解,首先,数据仓库用于支持决策,面向分析型数据处理,它不同于企业现有的 *** 作型数据库;其次,数据仓库是对多个异构的数据源有效集成,集成后按照主题进行了重组,并包含历史数据,而且存放在数据仓库中的数据一般不再修改。
根据数据仓库概念的含义,数据仓库拥有以下四个特点:
1、面向主题。 *** 作型数据库的数据组织面向事务处理任务,各个业务系统之间各自分离,而数据仓库中的数据是按照一定的主题域进行组织。主题是一个抽象的概念,是指用户使用数据仓库进行决策时所关心的重点方面,一个主题通常与多个 *** 作型信息系统相关。
2、集成的。面向事务处理的 *** 作型数据库通常与某些特定的应用相关,数据库之间相互独立,并且往往是异构的。而数据仓库中的数据是在对原有分散的数据库数据抽取、清理的基础上经过系统加工、汇总和整理得到的,必须消除源数据中的不一致性,以保证数据仓库内的信息是关于整个企业的一致的全局信息。
3、相对稳定的。 *** 作型数据库中的数据通常实时更新,数据根据需要及时发生变化。数据仓库的数据主要供企业决策分析之用,所涉及的数据 *** 作主要是数据查询,一旦某个数据进入数据仓库以后,一般情况下将被长期保留,也就是数据仓库中一般有大量的查询 *** 作,但修改和删除 *** 作很少,通常只需要定期的加载、刷新。
4、反映历史变化。 *** 作型数据库主要关心当前某一个时间段内的数据,而数据仓库中的数据通常包含历史信息,系统记录了企业从过去某一时点(如开始应用数据仓库的时点)到目前的各个阶段的信息,通过这些信息,可以对企业的发展历程和未来趋势做出定量分析和预测。
企业数据仓库的建设,是以现有企业业务系统和大量业务数据的积累为基础。数据仓库不是静态的概念,只有把信息及时交给需要这些信息的使用者,供他们做出改善其业务经营的决策,信息才能发挥作用,信息才有意义。而把信息加以整理归纳和重组,并及时提供给相应的管理决策人员,是数据仓库的根本任务。因此,从产业界的角度看,数据仓库建设是一个工程,是一个过程。
整个数据仓库系统是一个包含四个层次的体系结构,具体由下图表示。
数据仓库系统体系结构
·数据源:是数据仓库系统的基础,是整个系统的数据源泉。通常包括企业内部信息和外部信息。内部信息包括存放于RDBMS中的各种业务处理数据和各类文档数据。外部信息包括各类法律法规、市场信息和竞争对手的信息等等;
·数据的存储与管理:是整个数据仓库系统的核心。数据仓库的真正关键是数据的存储和管理。数据仓库的组织管理方式决定了它有别于传统数据库,同时也决定了其对外部数据的表现形式。要决定采用什么产品和技术来建立数据仓库的核心,则需要从数据仓库的技术特点着手分析。针对现有各业务系统的数据,进行抽取、清理,并有效集成,按照主题进行组织。数据仓库按照数据的覆盖范围可以分为企业级数据仓库和部门级数据仓库(通常称为数据集市)。
·OLAP服务器:对分析需要的数据进行有效集成,按多维模型予以组织,以便进行多角度、多层次的分析,并发现趋势。其具体实现可以分为:ROLAP、MOLAP和HOLAP。ROLAP基本数据和聚合数据均存放在RDBMS之中;MOLAP基本数据和聚合数据均存放于多维数据库中;HOLAP基本数据存放于RDBMS之中,聚合数据存放于多维数据库中。
·前端工具:主要包括各种报表工具、查询工具、数据分析工具、数据挖掘工具以及各种基于数据仓库或数据集市的应用开发工具。其中数据分析工具主要针对OLAP服务器,报表工具、数据挖掘工具主要针对数据仓库。
周 蓉1,2 牛德力1
(1解放军信息工程大学测绘学院,郑州,450052;2南京军区73603部队,南京,210049)
摘要:作为土地信息系统应用领域之一,土地信息系统的信息化发展为城市信息系统的开发与建设带来了巨大的发展契机。其中,城市建设多媒体资料及城市电子地图作为城市建设源普查的重要成果,具有数量多、分布广、资料丰富等特点。利用计算机对城市建设普查成果资料进行集中管理,对城市建设综合信息的统计、评价、分析与规划利用具有重要意义。本文介绍了城市建设综合信息系统的系统需求分析、系统的体系结构、系统的数据库及功能设计,详细讨论了系统实现的关键技术,并总结了系统的特点。
关键词:SpatialWare;SQL Server;基础类库;城市建设综合信息
土地信息系统是国家信息资源的重要组成部分,正在向信息化方向发展,逐步成为面向21世纪的支柱产业——信息产业的重要组成部分。这场信息革命正从根本上改变着人们的生产、生活和相互交往的方式。而市政工程建设领域作为土地信息系统的应用领域之一,更是受到了巨大的冲击,而城市信息系统的开发与建设也因此得到了很大的发展契机。随着城市测绘相继形成了1∶1000、1∶5000、1∶10000等多尺度的电子地图,以及反映城市规划、建设的各种规划图件、土地利用图、道路网图、红线图、各种格式的文档、图档、视音频信息,这些丰富的城市建设信息如何在计算机中有效管理、快捷浏览、方便查询,是城市规划管理部门亟待解决的问题;另外土地规划、土地相关资料也需要长期保存和汇总;同时各种规划图也需要叠加掩饰和汇报演示以供评审和为领导决策提供依据,以前传统的存储管理方式已不能很好的满足要求,利用计算机对城市建设综合信息进行集中管理,可以实现信息整理、汇总的科学管理和高效利用,这对城市建设综合信息的统计、评价、分析与规划利用都具有重要意义。
1 系统需求分析
11 城市建设综合信息系统的建设目标
本系统主要是应用于城市建设规划,满足不断增长的业务需要,提供各种辅助工具和综合信息浏览及查询功能,可以处理各种文档资料(包括相关法律法规、历史存档信息、、电子地图、视音频文件等)的综合信息系统。
12 系统实现目标
(1)对规划院已测绘的多尺度电子地图及各种格式的文档、图档、视音频信息进行集中管理。
(2)对一个城市或区域的海量电子地图采用物理分幅存储、逻辑动态拼接管理模式,实现对电子地图从宏观到微观的分层快速聚焦漫游,并提供按地名、道路、图幅快速查询定位功能。
(3)提供城市道路库、地名库的采集、维护、管理与查询功能。
(4)系统提供批量信息收集工具,将散布在计算机中各种格式的文档、、视音频的文件信息快速收集到数据库,进行分类组织和集中管理,并能进行快捷浏览和各种查询。
(5)土地利用图的查询。
(6)系统功能完善、实用性强、界面美观,具有较强的权限管理功能。
2 系统设计
21 系统框架结构
城市建设综合信息系统主要是通过数据库管理系统管理四种信息:电子地图、图档信息、文档信息以及视频信息。本系统的框架结构如图1所示,框架图显示了系统从数据收集到数据管理、数据处理以及数据输出应用的整个过程。
图1 综合信息管理流程图
城市建设综合信息调查以调查小组的形式开展,调查小组上报记录综合信息的数据库文件,通过综合信息的录入汇总实现综合信息数据的上报与接收。
(1)系统使用SQL Sever数据库管理多媒体数据的属性信息及电子地图中各要素的属性信息与空间信息,保证了各种信息的安全性与共享性。系统应能实现对综合信息的管理与查询,对数据库进行维护等城市建设综合信息管理日常工作。
(2)系统应用体现在查询统计、报表与地图输出、对地图要素的快速检索并提供决策支持等方面。
22 数据管理策略
地图数据包括两部分内容:空间数据和属性数据。本系统采用全数据库管理的数据管理模式,保证了数据的安全性与共享性。
221 数据库设计
针对城市建设信息的特点,系统涵盖了地图信息、信息、文档信息与视频信息四类信息。
系统用词典表来记录各综合信息的类别信息。词典就像是一个模板,各综合信息从该模板中选择的信息会根据模板的变化而变化,词典的设计保证了系统信息的一致性。另外对细目信息、专业信息等,系统也利用词典进行记录。
对各规划室中的各级别视频信息,系统设计了视频表来记录视频在计算机中的存储路径。
系统采用Sybase公司的Power Designer数据库设计工具实现数据库的设计,该建模工具的优点在于它能够实现概念数据模型与物理数据模型的双向转换。利用Power Designer设计完成系统表结构后,将数据库逻辑结构导入SQL Sever数据库中,建立物理数据库。
222 地图空间信息的管理
对于地图空间信息的管理,系统以MapInfo公司的空间数据引擎SpatialWare作为中间件,利用数据库管理系统SQL Server对空间数据进行管理。
23 系统功能设计
作为城市建设工作的有力工具,系统要具备对于地理空间数据、城市要素属性数据、多媒体数据等的管理功能,按照子系统功能划分为以下几个方面。
231 系统维护子系统
系统管理要实现对系统最基本信息的设置与维护,包括用户设置、口令的更改、系统初始化、词典的维护等。
232 信息浏览查询子系统
该子系统主要包括两种功能:多媒体数据浏览查询;电子地图浏览查询。
多媒体数据主要包括文档、图档以及视音频文件。浏览查询多媒体数据的属性信息功能以表的形式直接将文档、图档、视音频文件的属性数据存储在SQL Server中,并采用“自适应”软件启动技术,使得浏览时,用户可以根据文件的格式,自动启动相应的软件进行浏览多格式文档,解决了在一个系统中快捷浏览不同种类、不同格式信息资料的技术难题。
浏览查询电子地图的空间信息与属性信息的功能将地图对象的位置信息与属性信息使用SQL Server进行存储。地图对象具有ID及名称等属性信息,通过ID号即地图对象的代号与属性数据库建立联系,能对图上任意区域选择查询,并将查询结果以报表等方式进行显示。
233 编辑工具子系统
该子系统实现了对城市建设综合信息的增加、删除、保存、打印、浏览等功能。
3 系统实现技术
31 利用基础类库进行的系统开发
利用“继承”的思想,在PowerBuilder中进行基于基础类库的系统开发。系统中的PB子窗口、数据窗口对象等全部继承自基础类库的祖先窗口、数据窗口对象,这样创建的新对象会继承祖先对象的所有特点,包括属性、事件、函数等;还可以对继承的对象进行适当修改,使其适合特定的需要。
基础类库中还有另外一些可继承对象,如窗口、按钮、全局函数等。基础类库的设计与实现提高了系统的可维护性,实现了编程的科学一致性。其主要的特点可以归纳为:提炼共性,独立于应用。
32 实现数据的全数据库管理
321 多媒体文件的数据库管理
利用SQL Server中的image和text数据类型以及PowerBuilder中与之相对应的blob类型来保存像大文本和图像之类的数据。
利用PowerBuilder开发工具将大文本和图像等数据存入数据库以及在系统中显示通常要利用以下函数:
(1)将数据存入数据库 Updateblob 表名 set Blob 类型字段名=: Blob 类型变量where子句。
(2)从数据库中提取数据 普通类型的字段显示是通过数据窗口,调用 Retrieve 即可。可是由于Blob类型的数据非常庞大,客户端的主缓存区开辟多么大的空间都不合适。PowerBuilder的解决方法是,不允许在数据窗口中放置Blob类型的字段,而是提供专用的提取Blob类型数据的语句。语法如下:
Selectblob Blob类型的列名into:Blob类型变量from表名where子句。
322 空间数据的数据库管理
利用MapInfo公司的空间数据引擎 SpatialWare 作为中间件的数据库管理系统 SQL Server管理空间数据,使用SQL Server直接管理属性数据,这样就实现了空间数据的数据库管理。
SpatialWare能够把复杂的MapInfo地图对象存入大型数据库中,并能为其建立空间数据索引,从而实现在数据库服务器上实现对属性数据和空间图形对象数据进行统一的管理。前端用户可以像访问普通数据库字段一样访问这些图形对象字段,开发出完整的Cli-ent/Server模式下的MapInfo应用程序。如果用户采用SpatialWare技术,那么完全可以替代以往的基于文件服务器模式共享MapInfo地图文件的网络应用。
33 利用PB 进行基于MapX 控件的二次开发
MapX是MapInfo公司推出的基于ActiveX技术的可编程控件。它使用与MapInfo Pro-fessional一致的地图数据格式,或使用利用SpatialWare作为中间件的数据库管理系统管理的空间数据,能够实现MapInfo Professional的大部分功能。在PowerBuilder可视化开发环境中,只需在设计阶段将MapX控件放入窗体中,并对其进行编程以设置属性、调用方法或响应时间,即可实现数据可视化、专题分析、地理查询、地理编码等丰富的地理信息系统功能。PB环境下应用MapX组件,是利用OLE容器负责PB与MapX的交互通信。首先在窗口中插入OLE容器的控件,选择MapX控件,就可以将其载入OLE容器。在OLE容器的属性页中自动合并了包含MapX属性页的按钮,打开MapX可进行各种所需设置。
4 系统特点
利用GIS与MIS集成技术开发的城市建设综合信息系统的特点如下。
41 用户界面友好
系统界面的设计注重了一致性和个性化相结合,提供菜单、类似于浏览器的大图标工具条等方式进行命令 *** 作。另外系统采用树状信息浏览窗口,使浏览更加直观,使用起来更加方便。
42 用户管理权限分明
用户管理权限的设计,使得具有不同权限的使用者对数据的 *** 作不同,可以保障数据的安全性与保密性。
43 多媒体信息和电子地图信息的多条件查询与统计
系统提供对于多媒体信息的多条件查询与统计,特别是对地图信息的添加与查询,如图2、图3。
图2 道路交叉口坐标采集
图3 地图查询
44 多媒体信息及电子地图的浏览
系统提供了对于多媒体信息和电子地图信息各种形式的浏览,辅助了城市建设工作的顺利开展。如图4。
图4 图档浏览
城市建设综合信息系统是一个以电子地图为载体,以数据库为存储介质,对城市的文档资料、资料、视频等海量信息进行一体化管理的实用软件系统。它实现了多媒体数据建库的自动化、管理的网络化与查询、统计、分析的可视化。本系统可以很好地满足城市建设工作的需要,是城市建设普查成果整理、汇总、管理和高效利用的强有力工具。当然系统还有一些问题有待完善,如对于基础类库的功能还需要进一步的加强,对于用户自定义打印表的灵活性还应进一步拓展。
参考文献
郭宝利,康海涛,李冬冬PowerBuilder90实用解析[M]北京:电子工业出版,2004,406~410
MapInfo SpatialWare Ver48 User Guide [M/CD]
门葆红组件技术在MIS与GIS集成中的应用[C]中国GIS协会2001年论文集,2001
齐锐、屈韶琳等用MapX开发地理信息系统[M]北京:清华大学出版社,2003,173~200
风险无处不在,关键在于如何进行有效防范。
应对方法:
检测发现
可以利用云应用检测工具发现当前所使用软件(包括谁使用及使用频率),同时确定业务数据是否涉入。采用云访问安全代理(简称CASB)解决方案要求供应商提供影子IT评估意见以了解当前企业内部的IT问题严重程度。
风险评估
对特定应用进行制裁、监控及制止,才能构建良好的云应用环境。利用评级系统确定云应用风险特点。保证此评级与陈述体系能够对影子IT进行分析并便捷地上传、匿名化、压缩并缓存日志数据,然后轻松交付自动化风险评估陈述。
用户引导
确保全部员工了解常见网络违法战术。降低未知威胁带来的影响。未知威胁永久存在,但杰出的安全意识训练有助于缓解其后果。定期发布提醒并组织季度训练,这样能够轻松并以较低成本削减恶意软件风险。
策略执行
安全策略执行必须拥有高粒度与实时性。这些要求在云应用领域可能较难完成。根据用户做法、所用工具及事务规则设定策略控制方案,从而立足于用户群组、设备、方位、浏览器以及代理为背景设计相关内容。考虑使用安全网关(内部、公有云或混合云),同时配合具备数据丢失预防(简称DLP)功能的CASB解决方案。
隐私与治理
云环境中的数据需要使用特殊的以数据为中心的安全策略。加密机制在各类环境下皆有其必要性,但加密令牌机制在云安全领域的作用往往尤为突出。保证加密机制不会影响到应用中的查找、排序、报告以及邮件发送等功能。如果加密机制令上述功能的正常使用受到不良影响,则用户往往会想办法回避加密。
加密流量管理
对于需要过超过五成流量进行加密的行业(例如金融服务及医疗卫生),基于策略的流量解密可能需要匹配专门的SSL可视化子系统及/或专用网络架构。
事件响应
需要立足于低层级进行云部署以建立直观的人机界面,从而实现事件响应(例如多种格式查找、可视化、过滤及集成第三方SIEM系统)。
摘 要: 针对目前主流数据库的安全防护功能配置方式不灵活、不能应变需求的问题,在HOOK技术的基础上融入组态思想,设计并实现了一种适用于不同数据库的自主安全防护系统(DSS)。在SQLITE上的相关实验表明,利用DSS完全可以实现独立于特定数据库的自主安全防护,大大提高了数据安全防护的灵活性。
关键词: 数据库安全; HOOK API; 访问控制; 数据库审计; SQLITE; 自主安全系统
近年来,有关数据库的安全事故不断出现,例如银行内部数据信息泄露造成的账户资金失密等。因此,高度重视数据库安全防护很有必要。但一直以来,国内数据库产业化发展缓慢,市场份额中较大一部分被国外大型数据库企业占有。这对于国内用户而言,信息的安全性、稳定性等方面都会受到威胁。有的系统涉及使用多个数据库,并且对每个数据库的安防功能要求各不相同。这样,在保障整个系统安全的目标下就需要对每个数据库进行专门配置管理,不但维护难度很大,而且工作也比较繁重。面对这些实际问题,目前的数据库系统自带的安全防护配置方式已不能胜任,如何提出一个灵活独立的安全防护系统迫在眉睫。
1 相关安全防护技术介绍
目前,数据库系统面临的主要威胁有:(1)对数据库的不正确访问引起数据库数据的错误。(2)为了某种目的,故意破坏数据库。(3)非法访问不该访问的信息,且又不留痕迹;未经授权非法修改数据。(4)使用各种技术攻击数据库等。多年来,人们在理论和实践上对数据库系统安全的研究做出了巨大的努力,也取得了很多成果。参考文献[1-2]介绍了保护数据库安全的常用技术,包括:存取管理技术、安全管理技术、以及数据库加密技术,并给出了一些实现途径。其中,访问控制和安全审计作为数据库安全的主要保障措施受到了人们广泛关注,参考文献[3]对访问控制技术中的基本策略进行了总结,给出了实现技术及各自的优缺点。参考文献[4]主要针对权限建模过程中的权限粒度问题做了分析,并提出一个基于角色的访问控制框架。进入21世纪以后,访问控制模型的研究重点开始逐渐由集中式封闭环境转向开放式网络环境,一方面结合不同的应用,对原有传统模型做改进,另一方面,也提出一些新的访问控制技术和模型,比较著名的有信任管理、数字版权管理和使用控制模型 [5]。审计通过对数据库内活动的记录和分析来发现异常并产生报警的方式来加强数据库的安全性[6]。目前,在我国使用的商品化关系数据库管理系统大都提供了C2级的审计保护功能,但实现方式和功能侧重有所不同。周洪昊等人[7]分析了Oracle、SQL Server、DB2、Sybase的审计功能,分别从审计系统的独立性、自我保护能力、全面性和查阅能力四个方面对审计功能做出改进[7]。参考文献[8]则针对审计信息冗余、审计配置方式死板以及数据统计分析能力不足等问题,在数据库系统已有的审计模块基础上,重新设计和实现了一种新型的数据库安全审计系统。
但所有的这些工作都是从 数据库 系统的角度出发,并没有从本质上解决安全防护对数据库系统的依赖性问题,用户还是很难对数据库提供自主的安全防护功能。如果能将安全防护从数据库管理系统中彻底独立出来,针对不同的应用需求允许用户自己实现安全防护功能模块并在逻辑上加入到数据库应用系统中,这样问题也就迎刃而解了。
通过以上分析,本文提出一种独立于具体数据库、可组态的安全防护模型,并给出具体的实现方法。该模型将安全防护从数据库完全独立出来,在多数据库应用中实现集中配置安防,满足用户对于自主防护功能的需求。并在开源的嵌入式数据库产品SQLITE中做了功能测试,实验结果表明,该模型切实可行,达到了预想的效果,既能实现对系统的保护,又大大提高了系统的灵活性。
2 自主安全防护系统的设计与实现
自主安全防护系统DSS(Discretionary Safety System)的主要功能是阻止用户对信息的非法访问,在可疑行为发生时自动启动预设的告警流程,尽可能防范数据库风险的发生,在非法 *** 作发生时,触发事先设置好的防御策略,实行阻断,实现主动防御,并按照设置对所发生的 *** 作进行详细记录,以便事后的分析和追查。
21 系统结构
在DSS中,安全管理员使用角色机制对用户的权限进行管理,通过制定安全策略来设置核心部件Sensor以及访问控制部件。核心部件Sensor侦听用户的数据库 *** 作请求,采用命令映射表将不同的命令映射为系统识别的命令,提取出安全检查所需要的信息,发送到访问控制模块进行安检。安检通过了则允许用户访问数据库,否则拒绝访问,同时根据审计规则生成记录存入审计日志。
DSS作为独立的功能模块主要通过向Sensor提供数据库的调用接口的方式保障对数据库信息安全合理地访问。系统有一个默认的访问控制流程,用户也可以自己设定安全策略,系统自动生成相应访问控制流程。本文约定被访问的对象为客体,请求 *** 作的用户为主体。
22 系统实现
系统实现主要分为系统数据字典设计、用户登录与用户管理、系统相关策略制定、侦听器(Sensor)的实现、访问控制以及日志审计六部分。原数据库API信息(dll)、用户的自主防护策略作为输入,Sensor核心一方面将用户的防护策略融合在原数据库的API接口中,另一方面记录用户对数据库的 *** 作并生成日志,提供给用户做审计。用户在使用过程中不需要修改原有系统,即可实现自主防护。
Sensor由API处理模块、访问控制模块(Access Control)、Sensor核心模块(Core)、注射模块四部分组成。Core是Sensor的核心部件,主要负责拦截接口,解析并分离接口中的重要信息,使程序转入自定义的安检程序中执行安全检查。Access Control组件实现不同级别的访问控制,根据用户提供的安检信息,组态出对应的安防模块,并在合适的时候调用其进行访问控制。API(dll)主要将数据库系统提供的接口信息,转化为dll以便Sensor侦听时使用。Inject/Eject为Sensor提供远程注射的功能。
Core通过拦截对API的调用来实现定制功能。程序在调用API函数之前,首先要把API所在的动态链接库载入到程序中;然后将API函数的参数、返回地址(也就是函数执行完后,下一条语句的地址)、系统当前的环境(主要是一些寄存器的值)压入系统调用栈;接着,进入到API函数的入口处开始执行API函数,执行过程中从系统调用栈中取出参数,执行函数的功能,返回值存放在EAX寄存器中,最终从堆栈中取出函数的返回值并返回(参数压栈的顺序还要受到调用约定的控制,本文不详细介绍)。
举例说明函数调用时堆栈的情况。假设调用约定采用_stdcall,堆栈由高向低递减,API为Int func(int a, int b, int c)。
拦截主要通过HOOK API技术实现,可以拦截的 *** 作包括DOS下的中断、Windows中的API调用、中断服务、IFS和NDIS过滤等。目前微软提供了一个实现HOOK的函数库Detours。其实现原理是:将目标函数的前几个字节改为jmp指令跳转到自己的函数地址,以此接管对目标函数的调用,并插入自己的处理代码。
HOOK API技术的实质是改变程序流程。在CPU的指令集中,能够改变程序流程的指令包括JMP、CALL、INT、RET、RETF、IRET等。理论上只要改变API入口和出口的任何机器码,都可以实现HOOK。但实际实现上要复杂得多,主要需要考虑如何处理好以下问题:(1)CPU指令长度。在32 bit系统中,一条JMP/CALL指令的长度是5 B,因此只需要替换API中入口处的前5 B的内容,否则会产生不可预料的后果。(2)参数。为了访问原API的参数,需要通过EBP或ESP来引用参数,因此需要明确HOOK代码中此时的EBP/ESP的值。(3)时机问题。有些HOOK必须在API的开头,如CreateFileA( )。有些必须在API的尾部,如RECV()。(4)程序上下文内容的保存。在程序执行中会涉及修改系统栈的内容,因此注意保存栈中原有内容,以便还原。(5)在HOOK代码里尽量杜绝全局变量的使用,以降低程序之间的耦合性。通过以上的分析,整理出如图4所示的实现的流程。
DSS与传统数据库的安全防护功能相比,具有以下特点:
(1)独立于具体的数据库。这种独立性体现在:①DSS只需要数据库提供其接口信息即可工作。②支持不同标准的SQL语句,通过数据库命令映射表可将非标准的SQL语句映射为系统设置的SQL命令。③系统自身数据的物理存储是独立于数据库的。
(2)灵活性和针对性的统一。用户可以根据自己的需要配置针对特定应用的相关规则。
(3)完善的自我安全保护措施。DSS只有数据库安全管理员和安全审计员才能访问。安全管理员和安全审计员是一类特殊的用户,他们只负责安全方面的 *** 作,而不能访问数据库中的数据。这与Oracle等的数据库不同,在这些数据库中,DBA可以进行所有的 *** 作。DSS系统本身具有故障恢复能力,能使系统出现问题时恢复到一个安全的状态。
(4)完备的信息查阅和报警功能。在DSS中,本文提供了便利的设计查阅工具,方便用户对系统进行监控。另外,用户也可以自己定义报警条件和报警处理措施,一旦满足报警条件,系统就会自动地做出响应。
3 实验及结果分析
DSS的开发主要采用VS 2005实现,开发完成后在一台主频为28 GHz、内存2 GB、装有Windows 2000 *** 作系统的普通 PC机上对其进行了功能和性能的测试,使用的数据库是开源的嵌入式数据库SQLite 36。为了搭建测试环境,需要在SQLite中添加初始化系统自身的数据字典,并开发应用程序。测试内容包括:登录、用户管理、Sensor、访问控制、日志审计以及增加DSS前后数据库系统安全性变化等功能性测试和增加DSS系统后对数据库性能的影响两方面。其中,性能测试主要从时间和资源的增加情况来说明,针对不同数据库对象分别在五个级别(20 000、40 000、60 000、80 000、100 000)的数据上进行了插入和查询 *** 作测试。为了做好性能对比,在SQLite中也添加了相同的访问控制功能,记为Inline Processing。
从功能测试结果可以看出,DSS可以为数据库系统提供自主防护。从性能测试的结果中看出,查询 *** 作和插入 *** 作耗时相差比较大,这主要是SQLite工作方式引起的,在执行用户的插入 *** 作时,数据库需将内存中的数据写入磁盘数据库文件中,占用了一部分时间。而查询时,SQLite会将数据库文件部分内容缓存起来,加快了查询的速度。另外,增加DSS会对性能有略微的影响,但是它能实现对数据库系统自主保护。
本文针对传统数据库安全防护功能配置不灵活的问题,提出了一种基于HOOK技术的数据库通用安全防护系统。该系统的最大优点在于,它不受数据库自身的约束,完全独立于数据库系统,为用户提供一种按需定制的功能,不仅增加了安防配置的灵活性而且提高了通用性,可以用于不同的数据库系统中。
以上就是关于数据仓库是做什么的全部的内容,包括:数据仓库是做什么的、城市建设综合信息系统的设计与实现、行业风险数据库是否属于过程资产(风险类资产)等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)