执行connectionOpen();语句后再判断connectionState的状态值,如果不等于ConnectionStateOpen,就返回false当你调用该方法的代码接收到false时,就执行你要的报逻辑代码。
1、规范审批流程,有效实现事中管控
DOMS能够对内部运维人员的数据库 *** 作请求进行智能分析,判断请求合理性及安全性,辅助决策。取代传统的“OA或纸质申请”的审批模式,不仅提高工作效率,更能确保实际 *** 作与原申请的一致性。审批通过后配发唯一口令码,确保 *** 作执行人为信任用户,同时不改变用户原有 *** 作习惯。
2、实时运维监控,提供完善管控手段
DOMS不仅为审批者提供对 *** 作申请的风险评估,更能实时对申请与审批进行细粒度管控。通过语句特征及审计规则检测,对于疑似SQL注入、漏洞攻击等高危 *** 作,即使审批通过,依然进行实时阻断;对于违反安全策略的风险 *** 作提供告警。同时,通过对 *** 作申请与审批行为的实时监控,为安全管理人员同步提供可视化分析,辅助判断运维 *** 作是否合理、安全。
3、实现办公流程的深度整合
通过部署DOMS系统,构建完善统一的数据库运维管理平台。提供审批管理功能之外,同时满足数据库运维侧的其他日常办公需求,如数据库管理、系统用户管理、统一策略配置等日常运维工作,让运维人员从多平台、多模式的工作方式中解脱,通过深度整合办公流程,实现统一,有效的数据库安全运维管理。
4、实现数据库 *** 作管理的政策合规性
通过部署DOMS系统,可以满足国家相关政策中,对内部人员、第三方人员进行数据库 *** 作的管理标注。同时,满足行业监管政策中对于数据库高权限账户的审批、监控等安全管理需求。
合力天下IT运维平台是北京合力天下信息技术有限公司自主研发的国内领先软件产品,是国家科技部创新基金项目,在全国数百个大型政府机构、大学、企业集团得到成功应用。
合力天下IT运维平台以立体化、系统化、集成化的管理视点为支撑 ,强调精细化管理与执行管控能力,统合集成地展现并交互管理IT架构的设备运行、网络性能及流量控制、协议分析、用户管控、业务应用监测、服务器资源监测、PC终端实时控制、安全控制、身份认证、上网行为管理。
不同的网络设备、主机设备和业务系统具有不同的管理手段和方法,需要管理者对不同的系统的了解和具备专业知识,而集中统一的、图形化、智能化、立体化、系统化的管理系统可以帮助减轻管理者的工作,提高运维效率和响应速度,正如 合力天下IT运维平台的技术突破所引领的这样:
· 强化核心的LINUX *** 作系统作为运行平台,系统非常坚固,零客户端部署
· 基于J2EE的分布式计算环境,极大保护服务器性能
· WEB界面,网络拓扑拖拽自如、基于图形的管控 *** 作,管理随处可达
· 支持合力天下通用算法、CISCO CDP 算法、华为NDP 算法,并能综合应用
· 以极高效率进行拓扑自动计算和自动绘制,拓扑自动排列
· 完备的故障管理、性能管理、配置管理
· 全计算环境分层式可视化管理、全息用户信息实时监察和历史数据
· 支持各厂家多种类的网络设备
· 面向计算机网络终端的管理甚至可以发现和控制非网管设备下的PC
· 对跨地域的广域网络集中控制和管理
· 流量与协议分析
· 带宽与流量控制
· 强大的网络病毒预防与遏制能力,保证主干网络的健康运行
· 对网络内染毒计算机的网络DDOS攻击、蠕虫病毒等异常流量及其变种自动采取应对策略
· ARP 病毒控制
· 优秀的上网行为控制,可按多种策略定制控制方法
· 控制策略预先设定与自动实施
· IP-MAC全网自动扫描绑定
· 网络带宽分配和链路聚合、负载均衡
· 网络运行质量控制的有效工具
· 保证网络连续可靠安全可控制地工作
· 网络设备配置管理分发
· 支持广域网路由、Trunk接入 、NAT
· 可以直路部署,对主干流量与协议进行有效控制与整形,也可以旁路部署,对全网进行有效监测和管理
· 支持Portal 认证和8021x 认证
拓扑自动发现与管理
· J2EE分布式计算,分布式计算,极大保护网管服务器性能,管理 *** 作随处可达。
· 全网自动扫描发现,合力天下IT运维平台 完全自动扫描发现并绘制J2EE WEB 界面的拓扑图。
· 逻辑与物理拓扑图双模,便于故障查找、设备定位、流量分析
· 支持CISCO CDP 、华为NDP 等私有拓扑算法及合力天下拓扑算法,拓扑图发现高度精准,发现效率无与匹敌。
· 可编辑的WEB 拓扑图,可对图形缩放、拖拽、编辑,采用气泡技术,对全部网元即指即查 。
· 面向用户的图形管理,拓扑图可自动发现包括用户计算机在内的全部网络交换设备、路由器、服务器、链路、防火墙IDS设备、可网管UPS … … 等等 。对PC 机的当前连网状态及当前上网访问信息可进行实时检测。
· 交互的拓扑图 *** 控模式,合力天下IT运维平台 的 J2EE 拓扑图形完全提供交互式的 *** 作与控制管理,可点击任一网元对其流量、协议、端口、网络服务、设备性能、链路性能等等进行实时监测,对可以网管的设备进行控制与管理。
· 自动定位PC 与交换机的连接端口关系,拓扑图的自动发现包括能够自动定位PC 与交换机的端口连接关系,可以结合合力天下IT运维平台的用户管理功能,按用户名进行上网行为的网络通断、流量、带宽、网络协议及服务的控制 。
· 分层管理、自动排列, 可对网络管理人员按组织机构分配网络管理域,可供选择的“自动排列”功能,可在瞬间自动排列出美观有序的拓扑图形
设备管理统合用户管理
· IP-MAC绑定,设备端口与IP定位,端口与VLAN间流量分析 ,设备数量与用户数量统计。
设备管理
· 设备真实面板图、端口流量与协议分析,组合设置主干端口,设备管理仪表盘可对设备CPU 、内存、温度、风扇状态进行监测, 监测设备配置路由表、并可对交换机路由器配置进行群发 。
告警管理
· 对交换机、路由器、工作站、服务器、数据库、中间件、应用服务、流量与协议等均可在统一集成的环境里进行告警。告警方式支持短信、声、光、邮件等多种方式。
· 用户个性化定制告警服务,对常见的病毒或非法 *** 作等,归纳其特征,设置告警级别,并对其自动实施安全策略。
· 设置告警阀值,对超出阀值的应用自动告警或启动相应管理控制策略,自动执行控制管理。
性能管理
· 对流量TOP N 、协议、端口、包数量分布、连接数分析统计 。日、月流量统计。
· 异常流量分析 。
· 有效遏阻 ARP 病毒 ,精确至单机IP,零客户端部署。
安全管理
· 防网络蠕虫病毒
系统提供按流量和网络连接(会话)数的统计排名列表。应用主动病毒防御策略,可以设置网络连接数或流量阀值,对超出阀值的用户自动实施相应的定制策略,例如自动采取通知、控制连接、提前警告等等。
· 自动阻断ARP病毒无须人工干预,自动发现并自动阻断ARP 病毒,并告警。
· 防BT防BT 下载的方法同防网络病毒 ,BT 数据与病毒攻击数据差异性如下 :病毒攻击数据包绝大多数为短包,流量不大,而网络连接会话数极大 ,端口数变化或不变化 。BT 下载数据包大多数为长包,流量大,网络连接会话数极大 ,端口数变化 。
· 防“网络执法官”“网络执法官” 的原理同ARP 病毒,是伪造复制LAN 内的全部在线计算机的MAC 地址,从而造成网络冲突,达到独占LAN 内带宽的目的。合力天下IT运维平台 自动发现“网络执法官”,并可控制使其与LAN 交换机断开物理连接,从而剔除实施破坏的计算机。
· 防IP盗用防IP盗用通过IP、MAC、Lan ID 绑定实现,合力天下合力天下IT运维平台实现了高度自动的全网扫描绑定
用户管理
· 用户分组管理,按组分发带宽、流量控制策略。实时获取用户姓名、部门、帐号、IP地址、MAC地址、网关、子网、设备接口、包延迟率、带宽、服务、流量、访问日志等数据。
· 以IP 包过滤对用户实施访问控制。
· P2P 控制策略定制与实施 。
带宽管理
· 按用户、用户组分配上网带宽或按网络业务(如:H323 视频会议、VoIP 、SAP、K3 等系统)分配网络带宽控制优先级 。
综合系统管理
· 服务器软、硬件资源管理
· 软件进程监测
· 数据库性能监测(Oracle 、DB2 、Ms SQL Server 、My SQL ),分析监控数据包括数据库连接、内存、BUFFER、LOG、传输等数百个性能指标,预测并适当避免问题的发生
· 应用服务器Apache 、TomCat 、IBM websphere 、Bea weblogic 等性能监测
· POP3、SMTP 邮件服务监测
· >
摘 要: 针对目前主流数据库的安全防护功能配置方式不灵活、不能应变需求的问题,在HOOK技术的基础上融入组态思想,设计并实现了一种适用于不同数据库的自主安全防护系统(DSS)。在SQLITE上的相关实验表明,利用DSS完全可以实现独立于特定数据库的自主安全防护,大大提高了数据安全防护的灵活性。
关键词: 数据库安全; HOOK API; 访问控制; 数据库审计; SQLITE; 自主安全系统
近年来,有关数据库的安全事故不断出现,例如银行内部数据信息泄露造成的账户资金失密等。因此,高度重视数据库安全防护很有必要。但一直以来,国内数据库产业化发展缓慢,市场份额中较大一部分被国外大型数据库企业占有。这对于国内用户而言,信息的安全性、稳定性等方面都会受到威胁。有的系统涉及使用多个数据库,并且对每个数据库的安防功能要求各不相同。这样,在保障整个系统安全的目标下就需要对每个数据库进行专门配置管理,不但维护难度很大,而且工作也比较繁重。面对这些实际问题,目前的数据库系统自带的安全防护配置方式已不能胜任,如何提出一个灵活独立的安全防护系统迫在眉睫。
1 相关安全防护技术介绍
目前,数据库系统面临的主要威胁有:(1)对数据库的不正确访问引起数据库数据的错误。(2)为了某种目的,故意破坏数据库。(3)非法访问不该访问的信息,且又不留痕迹;未经授权非法修改数据。(4)使用各种技术攻击数据库等。多年来,人们在理论和实践上对数据库系统安全的研究做出了巨大的努力,也取得了很多成果。参考文献[1-2]介绍了保护数据库安全的常用技术,包括:存取管理技术、安全管理技术、以及数据库加密技术,并给出了一些实现途径。其中,访问控制和安全审计作为数据库安全的主要保障措施受到了人们广泛关注,参考文献[3]对访问控制技术中的基本策略进行了总结,给出了实现技术及各自的优缺点。参考文献[4]主要针对权限建模过程中的权限粒度问题做了分析,并提出一个基于角色的访问控制框架。进入21世纪以后,访问控制模型的研究重点开始逐渐由集中式封闭环境转向开放式网络环境,一方面结合不同的应用,对原有传统模型做改进,另一方面,也提出一些新的访问控制技术和模型,比较著名的有信任管理、数字版权管理和使用控制模型 [5]。审计通过对数据库内活动的记录和分析来发现异常并产生报警的方式来加强数据库的安全性[6]。目前,在我国使用的商品化关系数据库管理系统大都提供了C2级的审计保护功能,但实现方式和功能侧重有所不同。周洪昊等人[7]分析了Oracle、SQL Server、DB2、Sybase的审计功能,分别从审计系统的独立性、自我保护能力、全面性和查阅能力四个方面对审计功能做出改进[7]。参考文献[8]则针对审计信息冗余、审计配置方式死板以及数据统计分析能力不足等问题,在数据库系统已有的审计模块基础上,重新设计和实现了一种新型的数据库安全审计系统。
但所有的这些工作都是从 数据库 系统的角度出发,并没有从本质上解决安全防护对数据库系统的依赖性问题,用户还是很难对数据库提供自主的安全防护功能。如果能将安全防护从数据库管理系统中彻底独立出来,针对不同的应用需求允许用户自己实现安全防护功能模块并在逻辑上加入到数据库应用系统中,这样问题也就迎刃而解了。
通过以上分析,本文提出一种独立于具体数据库、可组态的安全防护模型,并给出具体的实现方法。该模型将安全防护从数据库完全独立出来,在多数据库应用中实现集中配置安防,满足用户对于自主防护功能的需求。并在开源的嵌入式数据库产品SQLITE中做了功能测试,实验结果表明,该模型切实可行,达到了预想的效果,既能实现对系统的保护,又大大提高了系统的灵活性。
2 自主安全防护系统的设计与实现
自主安全防护系统DSS(Discretionary Safety System)的主要功能是阻止用户对信息的非法访问,在可疑行为发生时自动启动预设的告警流程,尽可能防范数据库风险的发生,在非法 *** 作发生时,触发事先设置好的防御策略,实行阻断,实现主动防御,并按照设置对所发生的 *** 作进行详细记录,以便事后的分析和追查。
21 系统结构
在DSS中,安全管理员使用角色机制对用户的权限进行管理,通过制定安全策略来设置核心部件Sensor以及访问控制部件。核心部件Sensor侦听用户的数据库 *** 作请求,采用命令映射表将不同的命令映射为系统识别的命令,提取出安全检查所需要的信息,发送到访问控制模块进行安检。安检通过了则允许用户访问数据库,否则拒绝访问,同时根据审计规则生成记录存入审计日志。
DSS作为独立的功能模块主要通过向Sensor提供数据库的调用接口的方式保障对数据库信息安全合理地访问。系统有一个默认的访问控制流程,用户也可以自己设定安全策略,系统自动生成相应访问控制流程。本文约定被访问的对象为客体,请求 *** 作的用户为主体。
22 系统实现
系统实现主要分为系统数据字典设计、用户登录与用户管理、系统相关策略制定、侦听器(Sensor)的实现、访问控制以及日志审计六部分。原数据库API信息(dll)、用户的自主防护策略作为输入,Sensor核心一方面将用户的防护策略融合在原数据库的API接口中,另一方面记录用户对数据库的 *** 作并生成日志,提供给用户做审计。用户在使用过程中不需要修改原有系统,即可实现自主防护。
Sensor由API处理模块、访问控制模块(Access Control)、Sensor核心模块(Core)、注射模块四部分组成。Core是Sensor的核心部件,主要负责拦截接口,解析并分离接口中的重要信息,使程序转入自定义的安检程序中执行安全检查。Access Control组件实现不同级别的访问控制,根据用户提供的安检信息,组态出对应的安防模块,并在合适的时候调用其进行访问控制。API(dll)主要将数据库系统提供的接口信息,转化为dll以便Sensor侦听时使用。Inject/Eject为Sensor提供远程注射的功能。
Core通过拦截对API的调用来实现定制功能。程序在调用API函数之前,首先要把API所在的动态链接库载入到程序中;然后将API函数的参数、返回地址(也就是函数执行完后,下一条语句的地址)、系统当前的环境(主要是一些寄存器的值)压入系统调用栈;接着,进入到API函数的入口处开始执行API函数,执行过程中从系统调用栈中取出参数,执行函数的功能,返回值存放在EAX寄存器中,最终从堆栈中取出函数的返回值并返回(参数压栈的顺序还要受到调用约定的控制,本文不详细介绍)。
举例说明函数调用时堆栈的情况。假设调用约定采用_stdcall,堆栈由高向低递减,API为Int func(int a, int b, int c)。
拦截主要通过HOOK API技术实现,可以拦截的 *** 作包括DOS下的中断、Windows中的API调用、中断服务、IFS和NDIS过滤等。目前微软提供了一个实现HOOK的函数库Detours。其实现原理是:将目标函数的前几个字节改为jmp指令跳转到自己的函数地址,以此接管对目标函数的调用,并插入自己的处理代码。
HOOK API技术的实质是改变程序流程。在CPU的指令集中,能够改变程序流程的指令包括JMP、CALL、INT、RET、RETF、IRET等。理论上只要改变API入口和出口的任何机器码,都可以实现HOOK。但实际实现上要复杂得多,主要需要考虑如何处理好以下问题:(1)CPU指令长度。在32 bit系统中,一条JMP/CALL指令的长度是5 B,因此只需要替换API中入口处的前5 B的内容,否则会产生不可预料的后果。(2)参数。为了访问原API的参数,需要通过EBP或ESP来引用参数,因此需要明确HOOK代码中此时的EBP/ESP的值。(3)时机问题。有些HOOK必须在API的开头,如CreateFileA( )。有些必须在API的尾部,如RECV()。(4)程序上下文内容的保存。在程序执行中会涉及修改系统栈的内容,因此注意保存栈中原有内容,以便还原。(5)在HOOK代码里尽量杜绝全局变量的使用,以降低程序之间的耦合性。通过以上的分析,整理出如图4所示的实现的流程。
DSS与传统数据库的安全防护功能相比,具有以下特点:
(1)独立于具体的数据库。这种独立性体现在:①DSS只需要数据库提供其接口信息即可工作。②支持不同标准的SQL语句,通过数据库命令映射表可将非标准的SQL语句映射为系统设置的SQL命令。③系统自身数据的物理存储是独立于数据库的。
(2)灵活性和针对性的统一。用户可以根据自己的需要配置针对特定应用的相关规则。
(3)完善的自我安全保护措施。DSS只有数据库安全管理员和安全审计员才能访问。安全管理员和安全审计员是一类特殊的用户,他们只负责安全方面的 *** 作,而不能访问数据库中的数据。这与Oracle等的数据库不同,在这些数据库中,DBA可以进行所有的 *** 作。DSS系统本身具有故障恢复能力,能使系统出现问题时恢复到一个安全的状态。
(4)完备的信息查阅和报警功能。在DSS中,本文提供了便利的设计查阅工具,方便用户对系统进行监控。另外,用户也可以自己定义报警条件和报警处理措施,一旦满足报警条件,系统就会自动地做出响应。
3 实验及结果分析
DSS的开发主要采用VS 2005实现,开发完成后在一台主频为28 GHz、内存2 GB、装有Windows 2000 *** 作系统的普通 PC机上对其进行了功能和性能的测试,使用的数据库是开源的嵌入式数据库SQLite 36。为了搭建测试环境,需要在SQLite中添加初始化系统自身的数据字典,并开发应用程序。测试内容包括:登录、用户管理、Sensor、访问控制、日志审计以及增加DSS前后数据库系统安全性变化等功能性测试和增加DSS系统后对数据库性能的影响两方面。其中,性能测试主要从时间和资源的增加情况来说明,针对不同数据库对象分别在五个级别(20 000、40 000、60 000、80 000、100 000)的数据上进行了插入和查询 *** 作测试。为了做好性能对比,在SQLite中也添加了相同的访问控制功能,记为Inline Processing。
从功能测试结果可以看出,DSS可以为数据库系统提供自主防护。从性能测试的结果中看出,查询 *** 作和插入 *** 作耗时相差比较大,这主要是SQLite工作方式引起的,在执行用户的插入 *** 作时,数据库需将内存中的数据写入磁盘数据库文件中,占用了一部分时间。而查询时,SQLite会将数据库文件部分内容缓存起来,加快了查询的速度。另外,增加DSS会对性能有略微的影响,但是它能实现对数据库系统自主保护。
本文针对传统数据库安全防护功能配置不灵活的问题,提出了一种基于HOOK技术的数据库通用安全防护系统。该系统的最大优点在于,它不受数据库自身的约束,完全独立于数据库系统,为用户提供一种按需定制的功能,不仅增加了安防配置的灵活性而且提高了通用性,可以用于不同的数据库系统中。
一、DM
软件名称:达梦数据库(DM)。
开发商:武汉华工达梦数据库有限公司。
软件描述:
达梦数据库具有如下技术特色:支持多个平台之间的互联互访、高效的并发控制机制、有效的查询优化策略、灵活的系统配置、支持各种故障恢复并提供多种备份和还原方式。
具有高可靠性、支持多种多媒体数据类型、提供全文检索功能、各种管理工具简单易用、各种客户端编程接口都符合国际通用标准、用户文档齐全。
二、OpenBASE
软件名称:OpenBASE。
开发商:东软集团有限公司。
软件描述:
主要包括OpenBASE多媒体数据库管理系统、OpenBASEWeb应用服务器、OpenBASEMini嵌入式数据库管理系统、OpenBASESecure安全数据库系统等产品。
所有的这些产品涵盖了企业应用、Internet/Intranet、移动计算等不同的应用领域,具有不同的应用模式。
形成了OpenBASE面向各种应用的全面的解决方案。多媒体数据库管理系统OpenBASE是OpenBASE产品系列的核心和基础,其它的产品都是在其基础上,根据各自应用领域的不同特点发展、演变而成的。
三、OSCAR
软件名称:神舟OSCAR数据库系统。
开发商:北京神舟航天软件技术有限公司。
软件描述:
神舟OSCAR数据库系统基于Client/Server架构实现,服务器具有通常数据库管理系统的一切常见功能,此外还包括一些有助于提高系统对工程数据支持的特别功能,而客户端则在提供了各种通用的应用开发接口的基础上,还具有丰富的连接、 *** 作和配置服务器端的能力。
提供与Oracle、SQLServer、DB2等主要大型商用数据库管理系统以及TXT、ODBC等标准格式之间的数据迁移工具。
四、KingbaseES
软件名称:金仓数据库管理系统KingbaseES。
开发商:北京人大金仓信息技术有限公司。
软件描述:
交互式工具ISQL;图形化的数据转换工具;多种方式的数据备份与恢复;提供作业调度工具;方便的用户管理;支持事务处理;支持各种数据类型;提供各种 *** 作函数;提供完整性约束;支持视图;支持存储过程/函数;支持触发器。
五、iBASE
软件名称:iBASE。
开发商:北京国信贝斯软件有限公司。
软件描述:
包括五个部分:iBASEReliaxServer全文检索服务器。
iBASEWeb网上资源管理与发布系统。
iBASEIndexSystem文文件管理与发布系统。
iBASEWebrobot网络资源采编发系统。
iBASEDMC数据库管理中心。
扩展资料:
国产最新商业数据库系统:
一、阿里的数据库系统
软件名称:OceanBase&PolarDB
官方称为“完全自主研发的金融级分布式关系数据库”。下面是其官网的介绍:OceanBase对传统的关系数据库进行了开创性的革新。
在普通硬件上实现金融级高可用,在金融行业首创“三地五中心”城市级故障自动无损容灾新标准,同时具备在线水平扩展能力,创造了4200万次/秒处理峰值的纪录(注:当时TPS官宣为256w)。
现在OceanBase的版本已经2x了,OceanBaseTPC-C的评测刷遍了朋友圈,TPS达到了100w(6088wtpmc),榜单第一。
二、腾讯的数据库系统
软件名称:TDSQL
其官网简介:分布式数据库(TencentDistributedSQL,TDSQL)是腾讯打造的一款分布式数据库产品,具备强一致高可用、全球部署架构、分布式水平扩展、高性能、企业级安全等特性。
同时提供智能DBA、自动化运营、监控告警等配套设施,为用户提供完整的分布式数据库解决方案。
目前TDSQL已经为超过500的政企和金融机构提供数据库的公有云及私有云服务,客户覆盖银行、保险、证券、互联网金融、计费、第三方支付、物联网、互联网、政务等领域。TDSQL亦凭借其高质量的产品及服务,获得了多项国际和国家认证,得到了客户及行业的一致认可。
三、华为的数据库系统
软件名称:GaussDB
全球首款AI-Native数据库,内部有100、200、300多个版本,应该是基于PostgreSQL开发的。在国内,可能除了阿里,就到华为的团队了(高斯实验室)。和不少高校建立了合作。
以上就是关于.net怎么实现判断数据库是否连接上并当未连接时报警提示全部的内容,包括:.net怎么实现判断数据库是否连接上并当未连接时报警提示、安华金和数据库运维管理系统能做什么、网络监控平台哪家好等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)