前往顾页
以后地位: 主页 > 收集编程 > .Net实例教程 >

高校数据库宁静建设战略实际研究

时候:2018-03-05 11:11来源:知行网www.zhixing123.cn 编辑:麦田守望者

比来几年来,跟着高校师生敏感数据泄漏、窜改等多种宁静事件的不竭产生,各高校愈来愈正视数据库的宁静防护和加固。本文连络浙江年夜学数据库近况,对现有的宁静战略和正在推动的强化办法进行介绍。

  浙江年夜学数据库近况

  浙江年夜学现阶段利用的是一种集合公用的数据库硬件架构,即“办事器+数据库+存储装备”的数据措置架构。针对浙江年夜学实在的数据库利用环境,和每年递增的数据库利用需求,目前浙江年夜学信息技术中间已前后在三个机房摆设多套数据库集群,这些集群别离摆设在假造机和物理PC办事器上。

  之前的数据库运行在不合物理办事器的不合平台上,装备遍及比较老旧。别的各套数据库之间版本不同一且遍及版本过旧,漏洞多,机能低下,保护本钱较高。同时,跟着硬件技术的改进,特别是CPU数量的增加,办事器可以或许措置更多的事情负载,而数据库只利用了办事器硬件容量的一部分,导致硬件资本无法获得充分操纵,造成必然的资本浪费。上述各种启事造成了在现有的数据库环境下,直接增加宁静防护办法的难度和本钱将年夜年夜增加。

  是以,浙江年夜学信息技术中间目前正在全面推动数据库的整合进级事情。基于浙江年夜学现有的硬件环境,仍然采纳传统的数据库集群架构,经由过程软件层面进级,实现数据库软件及硬件的整条约一,调剂后的架构如图1。

  数据库整条约一后,信息技术中间保护的所有数据库将共用同一套办事器、数据库体系和存储装备,在宁静方面最直接的好处是所有的宁静防护装备可以同一摆设,为后续宁静事情的展开打好根本。

  数据库宁静战略建设

  浙江年夜学数据库在保证办事器及收集环境宁静防备的根本上充分操纵数据库体系本身的战略进行宁静防护,首要包含以下几个方面:

  拜候节制和权限节制

  1.根基参数设置

  要对一些根基参数进行设置,如:用户暗码必须为复杂暗码;设置暗码见效时候和暗码过期提示;暗码利用一段时候后强迫请求重置暗码;限定登录失败重试次数;设置账号锁定时长等等。

  2.用户权限节制

  要对用户的权限进行严格节制。请求用户权限需提交书面请求,同时数据库保护职员要对用户请求的权限进行考核。仅授予用户所需的权限,限定用户把持数据库的权力;仅许可用户对其名下的数据库实体进行存取履行,禁止用户拜候非受权数据。

  3.视图机制

  要采取视图机制,限定用户存取基表的行和列调集。

  数据库备份

  1.数据库启用主动归档

  归档日记是非活动的重做日记备份。经由过程利用归档日记,可以保存所有重做汗青记录,可用于用户数据文件的规复。

  2.数据库启用主动物理备份

  物理备份是对数据库的物理文件(数据文件、节制文件、参数文件、归档日记文件)进行转储,一旦数据库产生毛病,可以操纵这些文件规复到数据库的见效点。物理备份分为热备份和冷备份。因为冷备份需求数据库临时处于封闭状况,是以浙江年夜学的数据库采取热备份的体例。

  3.数据库启用主动逻辑备份

  逻辑备份是对数据库工具(用户、表、存储过程等)进行转储。

  4.数据库启用节制文件主动备份

  节制文件是一类物理文件,它的首要性在于它记录了数据库名字、数据文件地位等信息,一旦节制文件被破坏,数据库将会宕机。是以,需求在不合的物理途径下备份节制文件。

  5.数据库启用归档日记主动删除

  数据库已开启了主动物理和逻辑备份,是以归档日记存在年夜量冗余,为进步空间的可用性和操纵率,需对已备份的归档日记进行主动删除,充分操纵存储空间。

  数据库审计

  数据库审计可以记录对数据库工具的所有操纵。不管哪一种数据库体系,均会供应不合的审计体例来监控利用何种权限,和拜候哪些工具。审计不会避免利用这些权限,但可以供应有效的信息,用于揭露权限的滥用和误用。

  审计一般可以分为三类:语句审计、权限审计和工具审计。但过度的审计可能会对数据库机能产生负面影响,是以应当先对关头的权限和工具进行根本审计,然后按照需求再扩展审计。

  浙江年夜学现有的数据库审计采取对更新、删除等权限和重点单位名下工具进行根本审计的形式,扩展审计按照首要级别按需增加。整合后的数据库体系大将继续采取原本的审计形式。考虑到新数据库机能更优,将恰当调剂审计范围和程度,包管在根基不影响机能的环境下,实现最年夜程度的审计力度。后续还将考虑增加数据库外部审计,如基于收集侦听的外部审计装备等。

  其他宁静防护办法

  1.数据库灾备

  数据库灾备包含数据库容灾和数据库备份。容灾在数据库遭受报酬或自然灾害时包管业务的一般运行;备份包管灾害到临时不会造成数据的丧失。数据库灾备为数据库实现高可用性供应首要保证。

  目前浙江年夜学一些核心体系已实现灾备。在数据库整条约一后,将搭建同一的灾备体系,为主生产体系供应保证,一旦主生产体系因报酬抨击打击或自然灾害而无法继续供应数据办事时,灾备体系可以立即领受业务,并在主数据库规复后将业务回切,以包管业务的不间断,同时硬件资本也能到达最年夜化的操纵。

  2.堡垒机

  堡垒机是一个统称,不合的生产厂商对其有不合的定名。它应用各种技术手段及时汇集和监控收集环境中每个构成部分的体系状况、宁静事件和收集活动,并对汇集到的信息进行集合报警、记录、阐发和措置,从而保证体系不受来自外部和外部用户的入侵和粉碎。

  以往,一旦发明疑似数据库宁静事件,常常需求数据库保护职员按照已有的线索,翻阅日记,阐发启事并采纳办法。而考虑到数据库机能,数据库审计常常不会过于邃密,导致可参考的审计内容无限,增加了阐发措置的难度。别的,以往对数据库拜候的节制常常经由过程用户账户暗码和IP地点过滤来实现,范围性年夜,且无法审计用户连接数据库后的操纵,存在很年夜的宁静隐患。

  堡垒机凡是具有跨平台办理、多维度拜候节制与受权、运维行动审计、审计信息办理等服从。将堡垒机采取“物理旁路、逻辑串连”的体例摆设在数据库体系上后,所有的用户必须经由过程堡垒机才气拜候数据库,用户的所有操纵行动都将被记录存储上去,从而实现对用户的操纵审计。对高校而言,堡垒机经由过程集合的账号办理、运维操纵拜候节制和全程运维操纵审计,能帮忙高校信息部分转变传统的宁静运维主动呼应形式,建立面向用户的集合、主动的运维宁静管控形式,降落报酬宁静风险,保证高校运维的宁静不变运行。

  浙江年夜学在确保办事器及收集环境宁静的前提下,公道建设数据库宁静战略,连络数据库审计、数据库灾备和即将建设的堡垒机,将全面保证黉舍数据库体系的宁静不变运行。

  技术在不竭改革,数据库技术一日千里,随之而来的宁静隐患也源源不竭。除不竭更新数据库宁静防护战略和办法外,也应加强对数据库用户、办理员的宁静意识和宁静操纵培训,从多方面保证数据库的宁静。

  (作者单位为浙江年夜学信息技术中间)

来源:中国教诲收集作者:冯洁莹 张华 郑强
顶一下
(0)
0%
踩一下
(0)
0%
------分开线----------------------------
标签(Tag):数据库宁静建设战略
------分开线----------------------------
颁发评论
请自发遵循互联网相关的政策法规,严禁公布色情、暴力、革命的谈吐。
评价:
神色:
考证码:点击我更换图片
猜你感兴趣