Informix数据库安全审计系统设计和实现.docVIP

Informix数据库安全审计系统设计和实现 　　摘　要：数据库安全审计对于保障数据库安全是至关重要的。设计实现一个Informix数据库安全审计系统，通过对Informix数据库审计日志文件格式的分析，能够对数据库的操作按照用户会话过程进行还原，同时设计多级的安全规则对相应的数据库操作给出不同级别的警告。在系统架构上，采用分离的采集器和分析器结构，能针对多个日志数据源进行同时处理，日志分析结果采用XML格式进行存储。具有很好的通用性和可扩展性。实验测试结果表明，系统能很好地完成Informix数据库操作的实时审计。 　　关键词：Informix；数据库安全；审计日志 　　中图分类号：TP311．138　文献标识码：A 　　 　　1 引言 　　 　　数据库安全审计是保证数据库安全性的有效手段，它的作用在于当数据被恶意修改、数据复制不正常或数据库系统出现问题时，数据库管理员可以通过安全审计，跟踪数据的修改过程，确定数据被破坏的程度和范围，并制定相应的解决方案，从而最大限度地缩短恢复周期，将损失降低到最小。 　　 　　数据库安全审计源于信息系统的安全审计，就是对系统安全进行审核、稽查和计算。概括的讲，安全审计就是记录一切(或部分)与系统安全有关活动的基础上，对其进行分析处理、评估审查，查找系统的安全隐患，追查造成安全事故的原因，并做出进一步的处理。数据库安全审计是创建一个用于监测非正常的或可疑的活动的事件记录，或者提供一个重要活动及操作者的记录。由于可审计事件的粒度一般比较小，因此审计很容易在短时间内产生大量的数据，然而通常情况下系统受到攻击的可能性并不大，这些数据所体现的操作绝大多数都是合法的。海量的数据给审计数据的人工分析和机器自动分析都带来了极大的困难。目前，针对Informix数据库的审计主要是Informix系统本身带有的安全审计模块，它可以完成对数据库的在线监控，能将数据库操作记录按照时间顺序记录在日志文件中，但是这些记录对于使用者来说，内容繁杂，不利于数据库管理人员的分析和处理。 　　本文通过结合安全审计模块设计实现了一个Informix数据库安全审计系统，该审计系统采用采集和分析分离的结构并设计传输协议格式，能针对多个日志数据源进行同时处理。通过对Informix数据库审计日志文件格式的分析，能够对数据库的操作按照用户会话过程进行还原，同时设计多级别的安全规则可以对相应的数据库操作给出不同级别的警告。 　　 　　2　Informix数据库审计日志文件分析 　　 　　为了提取审计日志文件的内容，我们首先分析了审计日志的格式。审计日志以字符形式直接存储，对每一个用户配置好的数据库操作行为都存储成一条日志文件记录。 　　 　　每条记录分为两个部分，第一部分是日志头，第二部分是附加的信息列。 　　其中日志头包含八个字段，含义如表1所示。 　　附加信息列(Additional fields)则是根据不同的事件类型而有所不同，一般包括数据库名、表名等信息，典型数据库操作时记录的附加信息列如表2所示。具体的可参见审计事件域表。 　　例如，以下是从审计日志文件中截取的一条审计记录： 　　该记录表示主机名为ZHANGWEI－DB的客户端在2007年4月3日16：15：33登录服务器名为OLZW的数据库服务器，登录的用户名为Informix，该用户对sysmaster数据库的表号为221的表中的262行进行了插入行数据的操作。 　　 　　3　审计系统结构 　　 　　为了能支持对多个日志源的审计分析，将审计系统设计成采集器和分析器两部分，如图1所示。采集器负责采集原始的Informix数据库审计日志数据，可以完成实时采集和定时采集的功能。分析器负责对采集器发送给它的数据进行日志解析、操作还原、会话关联和审计结果输出，并进行安全规则匹配和统一格式处理。系统中设计了相关的通信协议完成采集器和分析器之间的数据传输。 　　 　　4　审计系统设计与实现 　　 　　4．1 采集器 　　Informix数据库审计系统的审计客体主要是数据库的审计日志文件，采集器需要安装在数据库服务器上，负责读取审计日志文件中的数据，实时采集是通过设定相应的时间间隔对日志文件中的增量数据进行采集，定时采集则可以指定需要分析的时间段，完成对审计日志文件中相关时间内数据记录的采集。采集得到的数据形成相应的字节流，按照一定的协议格式通过TCP连接传送给分析器。 　　 　　4．2　网络传输协议 　　在采集器和分析器间，设计了相应的信令包和数据包，分别完成传输过程中的参数协商和日志数据的传递。 　　传输的具体过程如图2所示。 　　 　　首先由采集器发出连接请求，分析器收到该连接请求之后，发出响应包，与采集器协