文档介绍:: .
数据库安全网关
用户使用手册
国家电网信息安全实验室
2009 年 12月
目 录
HYPERLINK \l "_Toc" 1. 简介 1
HYPERLINK \l "_Toc" . 产品概述 1
HYPERLINK \l "_Toc" . 产品功能 1
HYPERLINK \l "_Toc" 2. 安装 2
HYPERLINK \l "_Toc" . 目标 2
HYPERLINK \l "_Toc" . 数据库安全加固系统配置 3
HYPERLINK \l "_Toc" . Oracle客户端配置 8
HYPERLINK \l "_Toc" . 使用数据库安全加固系统 8
HYPERLINK \l "_Toc" 3. 详细配置说明 11
HYPERLINK \l "_Toc" . ORACLE客户端配置 11
HYPERLINK \l "_Toc" . Oracle客户端通道的建立 11
HYPERLINK \l "_Toc" . 系统配置 12
HYPERLINK \l "_Toc" . 登录系统 12
HYPERLINK \l "_Toc" . 服务映射配置 12
HYPERLINK \l "_Toc" . 权限配置 13
HYPERLINK \l "_Toc" . 连接监控 15
HYPERLINK \l "_Toc" . 日志管理 15
HYPERLINK \l "_Toc" . 使用数据库安全加固系统 16
HYPERLINK \l "_Toc" . 启动服务程序 16
HYPERLINK \l "_Toc" . 应用程序访问数据库 17
HYPERLINK \l "_Toc" . 连接监控 17
HYPERLINK \l "_Toc" . 日志管理 18
HYPERLINK \l "_Toc" . 密码管理 19
HYPERLINK \l "_Toc" . 管理员日志审计 19
HYPERLINK \l "_Toc" 4. 附录A Oracle网络连接设置 20
1. 简介
. 产品概述
由于Oracle数据库本身安全性的不足,攻击者可能通过非正常途径来访问数据库,甚至实施缓冲区溢出或SQL注入来攻击数据库,从而造成敏感信息的泄漏,危害数据安全以及信息系统的安全。为保障数据库以及信息系统的安全,在应用系统和数据库之间增加一个透明数据库安全加固系统,对数据库的所有操作必须通过该系统才能完成,达到对数据库安全加固的目的。
引入数据库安全加固系统后,数据库系统的体系结构如图1-1所示。
图1-1
. 产品功能
1)数据库映射。通过映射,把真实数据库与应用程序隔离,用户只能访问映射的“映像数据库”;
2)连接控制。可以限制访问数据库的连接数,连接数范围是(1-50),支持多用户并发连接;
3)实体权限管理。通过配置各用户对数据库的访问权限(独立于数据库的权限控制,到表一级),严格限制“IP+用户名”对数据库的操作。避免攻击者以不同IP或不同用户名非法连接到数据库或者攻击者非法提升权限后进行“合法”的越权访问;
4)连接监控。实时监控当前所有到数据库的连接,监控信息包括连接建立时间、来源IP、登录用户名、上行流量、下行流量、非法操作(攻击)统计等。管理员可以随时中断指定的连接;
5)攻击保护。分析连接的指令流,自动识别出缓冲区溢出攻击和SQL注入攻击,并自动阻止攻击;
6)审计。对不同的数据库、用户、表,可配置不同的审计策略。审计事件包括建立连接、断开连接、非法操作、常规SQL操作、攻击等。可通过时间(精确到天)、IP、用户名、事件类型等条件进行审计结果查询,查询结果可以导出为XML、TXT等格式文件;
7)支持ODBC、JDBC、OCI多种编程接口;
2. 安装
启动硬件,通过终端访问硬件数据库安全加固系统,修改IP为需要的IP即可完成部署。
硬件默认第一网口开启,默认ip:;系统默认账户“admin”和密码“abcde12345”。
. 目标
假设现有一个数据库服务器,,运行Oracle数据库,端口为默认的1521。应用服务器IP地