專利名稱:一種數(shù)據(jù)庫存儲過程安全使用監(jiān)控方法
技術(shù)領(lǐng)域:
本發(fā)明涉及全國交通管理業(yè)務(wù)信息系統(tǒng)的信息處理領(lǐng)域���,具體為一種數(shù)據(jù)庫存儲過程安全使用監(jiān)控方法。
背景技術(shù):
目前全國公安隨著公安交通管理綜合應(yīng)用平臺(以下簡稱綜合平臺)的建設(shè)��,交管信息系統(tǒng)實現(xiàn)了機動車登記���、駕駛證管理����、事故處理���、違法處理��、劇毒品管理���、交警隊平臺業(yè)務(wù)系統(tǒng)的整合�����,滿足了各級交警的日常管理需求�,但隨著應(yīng)用的深入綜合平臺的安全壓力越來越大��。交通管理管理信息系統(tǒng)由公安部交管局組織開發(fā)并下發(fā)給各地使用�。雖然建立了發(fā)布安全管理、運行安全監(jiān)控和WEB應(yīng)用安全等方面的多層次全方位的安全防護體系��,但這些都是建立在oracle數(shù)據(jù)庫不被攻擊�、存儲過程加密文件不能被反編譯的基礎(chǔ)上。由于交通管理信息系統(tǒng)的數(shù)據(jù)庫和WEB應(yīng)用部署發(fā)布在各地交警部門��,oracle數(shù)據(jù)庫存儲過 程加密文件易被反編譯���,因此就可能存在一些不法分子通過反編譯存儲過程擅自修改存儲過程中的業(yè)務(wù)邏輯或破解數(shù)據(jù)庫加密校驗位算法違規(guī)辦理業(yè)務(wù)的情況�。在實際的應(yīng)用中也陸續(xù)發(fā)現(xiàn)了一些違規(guī)做法����,主要包括以下四種方式
一是通過反編譯統(tǒng)一下發(fā)的數(shù)據(jù)庫存儲過程,修改里面的業(yè)務(wù)邏輯�����,重新加密后再更新至工作數(shù)據(jù)庫中。二是反編譯統(tǒng)一下發(fā)的數(shù)據(jù)庫存儲過程后�����,通過分析存儲過程業(yè)務(wù)判斷邏輯尋找系統(tǒng)的漏洞進行違規(guī)操作���。比如通過獲取加密校驗位算法后自行修改數(shù)據(jù)庫記錄���,再將記錄的校驗位更新為正常校驗位。三是在工作數(shù)據(jù)庫上編寫自行開發(fā)的存儲過程操作數(shù)據(jù)庫���,辦理違規(guī)業(yè)務(wù) 四是在工作數(shù)據(jù)庫上非法建立觸發(fā)器,影響系統(tǒng)的安全運行�����。
發(fā)明內(nèi)容
本發(fā)明提供了一種數(shù)據(jù)庫存儲過程安全使用監(jiān)控方法�����,其實現(xiàn)對交通管理信息系統(tǒng)工作數(shù)據(jù)庫存儲過程是否被篡改或非法調(diào)用��、用戶自定義的存儲過程是否有違規(guī)操作等情況進行有效判定,同時提供技術(shù)手段及時監(jiān)控和干預(yù)存在違規(guī)業(yè)務(wù)的系統(tǒng)使用部門��。一種數(shù)據(jù)庫存儲過程安全使用監(jiān)控方法��,其特征在于其針對交通管理信息系統(tǒng)����,通過對交通管理綜合應(yīng)用平臺數(shù)據(jù)庫、機動車駕駛?cè)死碚摽荚囅到y(tǒng)數(shù)據(jù)庫建立存儲過程安全調(diào)用與監(jiān)管方法保證系統(tǒng)的安全運行��,其主要包括通過比較加密存儲過程的行數(shù)和長度判斷存儲過程是否被修改�;通過數(shù)據(jù)庫審計系統(tǒng)收集非法調(diào)用存儲過程的情況并進行分析,判定違規(guī)操作����;通過比較當(dāng)前用戶下的存儲過程包和統(tǒng)一下發(fā)的存儲過程包的一致性來檢測用戶自定義存儲過程的使用情況,并將自定義存儲過程發(fā)送到公安交通管理業(yè)務(wù)統(tǒng)計監(jiān)管系統(tǒng)中進行后續(xù)處理�;調(diào)整存儲過程中加密算法的生成模式,避免直接調(diào)用存儲過程加密算法修改數(shù)據(jù)校驗位的情況發(fā)生��。其設(shè)置了存儲過程安全發(fā)布更新軟件���、存儲過程檢測系統(tǒng)���、數(shù)據(jù)庫審計系統(tǒng)�、數(shù)據(jù)傳輸管理����、存儲過程版本控制系統(tǒng)、存儲過程異常監(jiān)測系統(tǒng)���。其進一步特征在于
所述存儲過程安全發(fā)布更新軟件為獨立的C/S程序����,提供存儲過程加密/解密���、存儲過程安全發(fā)布���、存儲過程資料管理等功能,實現(xiàn)數(shù)據(jù)庫存儲過程的安全發(fā)布流程化管理��;所述存儲過程檢測系統(tǒng)內(nèi)嵌于交通管理信息系統(tǒng)�����,其提供存儲過程定期掃描��、存儲過程異常信息收集上傳����、存儲過程異常信息報警等功能,實現(xiàn)對存儲過程發(fā)布和使用的動態(tài)監(jiān)控管理���;
所述數(shù)據(jù)庫審計系統(tǒng)通過開啟數(shù)據(jù)庫審計功能�����,對可能導(dǎo)致違規(guī)操作的功能點進行審計�����,重點審計調(diào)用存儲過程加密校驗位算法��、 手工修改數(shù)據(jù)庫記錄等的數(shù)據(jù)庫操作�;所述存儲過程版本控制系統(tǒng)和存儲過程異常監(jiān)測系統(tǒng)作為功能模塊內(nèi)嵌于公安交通管理業(yè)務(wù)統(tǒng)計監(jiān)管系統(tǒng)中�����,提供存儲過程異常處理����、存儲過程版本控制、預(yù)警信息發(fā)布等功能�����,實現(xiàn)對存儲過程異常情況的后續(xù)管理功能;
所述數(shù)據(jù)傳輸管理��,內(nèi)嵌于公安交通管理業(yè)務(wù)統(tǒng)計監(jiān)管系統(tǒng)����,用于接收交通管理信息系統(tǒng)上傳的存儲過程監(jiān)控信息,并進行分類存儲�,同時提供數(shù)據(jù)庫存儲過程強制更新指令、預(yù)警信息�、控制未按時升級存儲過程的使用期限等信息的分發(fā)至交通管理信息系統(tǒng)的功倉泛。使用本發(fā)明的方法后���,通過存儲過程安全發(fā)布更新方法���,建立了數(shù)據(jù)庫存儲過程的發(fā)布更新的流程化管理,杜絕了統(tǒng)一下發(fā)的存儲過程執(zhí)行腳本在非交通管理信息系統(tǒng)數(shù)據(jù)庫上執(zhí)行的問題����,便于檢測存儲過程是否被濫用;通過存儲過程檢測系統(tǒng)���,建立存儲過程發(fā)布和使用的動態(tài)監(jiān)控管理��,為監(jiān)管部門提供了異常情況的監(jiān)管手段���,對違法份子是極大的威懾;通過存儲過程版本控制系統(tǒng)�����,保障了交通管理信息系統(tǒng)的版本一致性�����,避免了各地為了私利而故意避開新增的數(shù)據(jù)庫存儲過程業(yè)務(wù)邏輯的驗證要求��;通過存儲過程異常監(jiān)測系統(tǒng)����,建立了存儲過程異常使用的分析機制,實現(xiàn)了存儲過程被篡改和用戶自定義存儲過程網(wǎng)上監(jiān)管����,為交通管理業(yè)務(wù)正規(guī)化建設(shè)提供了重要的手段;綜上�,其實現(xiàn)對交通管理信息系統(tǒng)工作數(shù)據(jù)庫存儲過程是否被篡改或非法調(diào)用、用戶自定義的存儲過程是否有違規(guī)操作等情況進行有效判定��,同時提供技術(shù)手段及時監(jiān)控和干預(yù)存在違規(guī)業(yè)務(wù)的系統(tǒng)使用部門。
圖I為本發(fā)明的結(jié)構(gòu)示意框 圖2為本發(fā)明的工作原理示意圖��。
具體實施例方式一種數(shù)據(jù)庫存儲過程安全使用監(jiān)控方法���,其針對交通管理信息系統(tǒng)�,通過對交通管理綜合應(yīng)用平臺數(shù)據(jù)庫�、機動車駕駛?cè)死碚摽荚囅到y(tǒng)數(shù)據(jù)庫建立存儲過程安全調(diào)用與監(jiān)管方法保證系統(tǒng)的安全運行,其主要包括通過比較加密存儲過程的行數(shù)和長度判斷存儲過程是否被修改����;通過數(shù)據(jù)庫審計系統(tǒng)收集非法調(diào)用存儲過程的情況并進行分析,判定違規(guī)操作�;通過比較當(dāng)前用戶下的存儲過程包和統(tǒng)一下發(fā)的存儲過程包的一致性來檢測用戶自定義存儲過程的使用情況,并將自定義存儲過程發(fā)送到公安交通管理業(yè)務(wù)統(tǒng)計監(jiān)管系統(tǒng)中進行后續(xù)處理����;調(diào)整存儲過程中加密算法的生成模式,避免直接調(diào)用存儲過程加密算法修改數(shù)據(jù)校驗位的情況發(fā)生�。見圖1,其設(shè)置了存儲過程安全發(fā)布更新軟件�、存儲過程檢測系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)���、數(shù)據(jù)傳輸管理�����、存儲過程版本控制系統(tǒng)���、存儲過程異常監(jiān)測系統(tǒng)。 所述存儲過程安全發(fā)布更新軟件為獨立的C/S程序����,提供存儲過程加密/解密、存儲過程安全發(fā)布��、存儲過程資料管理等功能�����,實現(xiàn)數(shù)據(jù)庫存儲過程的安全發(fā)布流程化管理�;
所述存儲過程檢測系統(tǒng)內(nèi)嵌于交通管理信息系統(tǒng),其提供存儲過程定期掃描��、存儲過程異常信息收集上傳����、存儲過程異常信息報警等功能,實現(xiàn)對存儲過程發(fā)布和使用的動態(tài)監(jiān)控管理;
所述數(shù)據(jù)庫審計系統(tǒng)通過開啟數(shù)據(jù)庫審計功能���,對可能導(dǎo)致違規(guī)操作的功能點進行審 計���,重點審計調(diào)用存儲過程加密校驗位算法、手工修改數(shù)據(jù)庫記錄等的數(shù)據(jù)庫操作��;
所述存儲過程版本控制系統(tǒng)和存儲過程異常監(jiān)測系統(tǒng)作為功能模塊內(nèi)嵌于公安交通管理業(yè)務(wù)統(tǒng)計監(jiān)管系統(tǒng)中�,提供存儲過程異常處理、存儲過程版本控制����、預(yù)警信息發(fā)布等功能,實現(xiàn)對存儲過程異常情況的后續(xù)管理功能��;
所述數(shù)據(jù)傳輸管理����,內(nèi)嵌于公安交通管理業(yè)務(wù)統(tǒng)計監(jiān)管系統(tǒng),用于接收交通管理信息系統(tǒng)上傳的存儲過程監(jiān)控信息�����,并進行分類存儲���,同時提供數(shù)據(jù)庫存儲過程強制更新指令��、預(yù)警信息���、控制未按時升級存儲過程的使用期限等信息的分發(fā)至交通管理信息系統(tǒng)的功倉泛��。其工作過程見圖2:
(I)存儲過程加密
軟件在發(fā)布和升級前需要對數(shù)據(jù)庫存儲過程進行加密處理���,避免非法用戶直接反編譯統(tǒng)一下發(fā)的存儲過程��。其措施分為兩個方面
①通過oracle的warp工具對數(shù)據(jù)庫存儲過程明文進行加密,生成plb發(fā)布包���。②通過存儲過程發(fā)布更新軟件對plb文件進行對稱加密處理��,避免不通過存儲過程發(fā)布更新軟件而在數(shù)據(jù)庫上直接執(zhí)行存儲過程包�。③存儲過程發(fā)布更新軟件根據(jù)要下發(fā)的存儲過程包�����,生成plb發(fā)布包的配置信息并和發(fā)布軟件一起下發(fā)�����。(2)存儲過程發(fā)布
存儲過程的更新發(fā)布必須通過存儲過程發(fā)布更新軟件進行操作,根據(jù)存儲過程發(fā)布的處理流程��,其工作原理如下
①存儲過程發(fā)布更新軟件對業(yè)務(wù)工作數(shù)據(jù)庫的備案信息進行檢查��,確保數(shù)據(jù)庫是已經(jīng)在統(tǒng)計監(jiān)管軟件進行過安全備案��。②數(shù)據(jù)庫備案信息檢查通過后��,存儲過程發(fā)布更新軟件對下發(fā)的plb包進行解密����,并驗證Plb的合法性。③存儲過程發(fā)布更新軟件將解密后的plb發(fā)布包更新至業(yè)務(wù)工作數(shù)據(jù)庫中�。④存儲過程更新完成后,存儲過程發(fā)布更新軟件讀取plb發(fā)布包配置信息�����,生成存儲過程的檢測信息�����。(3)存儲過程檢測
存儲過程檢測系統(tǒng)作為功能模塊內(nèi)嵌入交通管理業(yè)務(wù)信息系統(tǒng)中�����,通過對存儲過程進行定期掃描,檢查和發(fā)現(xiàn)存儲過程的異常情況���。其工作機制如下①系統(tǒng)定期對存儲過程進行體檢�,發(fā)現(xiàn)異常及時將信息上傳至統(tǒng)計監(jiān)管軟件進行后續(xù)處理��。②系統(tǒng)定期將存儲過程的信息上傳至統(tǒng)計監(jiān)管軟件�,便于監(jiān)督者對存儲過程的版本進行管理。③如發(fā)現(xiàn)異常存儲過程����,由監(jiān)管者在統(tǒng)計監(jiān)管軟件處理后下載到業(yè)務(wù)工作數(shù)據(jù)庫中��。系統(tǒng)通過讀取處理結(jié)果信息進行實時預(yù)警或停止部分業(yè)務(wù)功能���。④數(shù)據(jù)庫審計系統(tǒng)功能由數(shù)據(jù)庫本身實現(xiàn)���,通過定制審計內(nèi)容實現(xiàn)對非法操作敏感數(shù)據(jù)或函數(shù)的實時監(jiān)控。⑤定期檢查業(yè)務(wù)工作數(shù)據(jù)庫上觸發(fā)器的情況��,并上傳至統(tǒng)計監(jiān)管軟件�����。(4)存儲過程監(jiān)控及異常處理
存儲過程監(jiān)控及異常處理的功能模塊在統(tǒng)計監(jiān)管軟件中實現(xiàn),主要包括以下幾個方
面
①接收各地上傳的存儲過程監(jiān)控信息�,并進行分類存儲。②對上傳的有異常嫌疑的存儲過程進行解密為明文后進行分析��,如確認異常則通過短信方式告知系統(tǒng)管理員�;如確認正常則將處理結(jié)果寫入下載信息表中。③存儲過程版本控制統(tǒng)計各地升級情況�����,根據(jù)情況可強制要求進行升級���。④數(shù)據(jù)同步分發(fā)將處理結(jié)果信息分發(fā)到各地業(yè)務(wù)工作數(shù)據(jù)庫中�。⑤直接指令如需要直接停止存儲過程或?qū)Υ鎯^程在業(yè)務(wù)系統(tǒng)中進行預(yù)警�����,至直接發(fā)送指令生效�。控制未按時升級存儲過程的使用期限�。(5)數(shù)據(jù)庫審計系統(tǒng)
對調(diào)用存儲過程中加密校驗位算法的調(diào)用情況進行審計。(6)優(yōu)化數(shù)據(jù)庫校驗位加密算法
現(xiàn)有的開發(fā)模式是將數(shù)據(jù)庫業(yè)務(wù)校驗位算法存放在存儲過程中極易被破解��,可將關(guān)鍵業(yè)務(wù)校驗位算法放在java文件后混淆處理�����,數(shù)據(jù)庫存儲過程直接調(diào)用java文件中的加密解密算法。
權(quán)利要求
1.一種數(shù)據(jù)庫存儲過程安全使用監(jiān)控方法����,其特征在于其針對交通管理信息系統(tǒng),通過對交通管理綜合應(yīng)用平臺數(shù)據(jù)庫�、機動車駕駛?cè)死碚摽荚囅到y(tǒng)數(shù)據(jù)庫建立存儲過程安全調(diào)用與監(jiān)管方法保證系統(tǒng)的安全運行,其主要包括通過比較加密存儲過程的行數(shù)和長度判斷存儲過程是否被修改���;通過數(shù)據(jù)庫審計系統(tǒng)收集非法調(diào)用存儲過程的情況并進行分析���,判定違規(guī)操作;通過比較當(dāng)前用戶下的存儲過程包和統(tǒng)一下發(fā)的存儲過程包的一致性來檢測用戶自定義存儲過程的使用情況��,并將自定義存儲過程發(fā)送到公安交通管理業(yè)務(wù)統(tǒng)計監(jiān)管系統(tǒng)中進行后續(xù)處理��;調(diào)整存儲過程中加密算法的生成模式�����,避免直接調(diào)用存儲過程加密算法修改數(shù)據(jù)校驗位的情況發(fā)生�。其設(shè)置了存儲過程安全發(fā)布更新軟件�����、存儲過程檢測系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)��、數(shù)據(jù)傳輸管理�、存儲過程版本控制系統(tǒng)、存儲過程異常監(jiān)測系統(tǒng)���。
2.根據(jù)權(quán)利要求I所述的一種數(shù)據(jù)庫存儲過程安全使用監(jiān)控方法�,其特征在于所述存儲過程安全發(fā)布更新軟件為獨立的C/S程序����,提供存儲過程加密/解密、存儲過程安全發(fā)布���、存儲過程資料管理等功能�,實現(xiàn)數(shù)據(jù)庫存儲過程的安全發(fā)布流程化管理�。
3.根據(jù)權(quán)利要求I所述的一種數(shù)據(jù)庫存儲過程安全使用監(jiān)控方法,其特征在于所述存儲過程檢測系統(tǒng)內(nèi)嵌于交通管理信息系統(tǒng)�,其提供存儲過程定期掃描、存儲過程異常信息收集上傳�����、存儲過程異常信息報警等功能,實現(xiàn)對存儲過程發(fā)布和使用的動態(tài)監(jiān)控管理���。
4.根據(jù)權(quán)利要求I所述的一種數(shù)據(jù)庫存儲過程安全使用監(jiān)控方法�����,其特征在于所述數(shù)據(jù)庫審計系統(tǒng)通過開啟數(shù)據(jù)庫審計功能��,對可能導(dǎo)致違規(guī)操作的功能點進行審計�����,重點審計調(diào)用存儲過程加密校驗位算法����、手工修改數(shù)據(jù)庫記錄等的數(shù)據(jù)庫操作���。
5.根據(jù)權(quán)利要求I所述的一種數(shù)據(jù)庫存儲過程安全使用監(jiān)控方法�,其特征在于所述存儲過程版本控制系統(tǒng)和存儲過程異常監(jiān)測系統(tǒng)作為功能模塊內(nèi)嵌于公安交通管理業(yè)務(wù)統(tǒng)計監(jiān)管系統(tǒng)中���,提供存儲過程異常處理、存儲過程版本控制�����、預(yù)警信息發(fā)布等功能,實現(xiàn)對存儲過程異常情況的后續(xù)管理功能���。
6.根據(jù)權(quán)利要求I所述的一種數(shù)據(jù)庫存儲過程安全使用監(jiān)控方法�����,其特征在于所述數(shù)據(jù)傳輸管理����,內(nèi)嵌于公安交通管理業(yè)務(wù)統(tǒng)計監(jiān)管系統(tǒng)����,用于接收交通管理信息系統(tǒng)上傳的存儲過程監(jiān)控信息,并進行分類存儲����,同時提供數(shù)據(jù)庫存儲過程強制更新指令、預(yù)警信息���、控制未按時升級存儲過程的使用期限等信息的分發(fā)至交通管理信息系統(tǒng)的功能����。
全文摘要
本發(fā)明提供了一種數(shù)據(jù)庫存儲過程安全使用監(jiān)控方法,其實現(xiàn)對交通管理信息系統(tǒng)工作數(shù)據(jù)庫存儲過程是否被篡改或非法調(diào)用�����、用戶自定義的存儲過程是否有違規(guī)操作等情況進行有效判定����,同時提供技術(shù)手段及時監(jiān)控和干預(yù)存在違規(guī)業(yè)務(wù)的系統(tǒng)使用部門。其特征在于其針對交通管理信息系統(tǒng)��,通過對交通管理綜合應(yīng)用平臺數(shù)據(jù)庫�����、機動車駕駛?cè)死碚摽荚囅到y(tǒng)數(shù)據(jù)庫建立存儲過程安全調(diào)用與監(jiān)管方法保證系統(tǒng)的安全運行�����,其主要包括通過比較加密存儲過程的行數(shù)和長度判斷存儲過程是否被修改���;通過數(shù)據(jù)庫審計系統(tǒng)收集非法調(diào)用存儲過程的情況并進行分析���,判定違規(guī)操作����;通過比較當(dāng)前用戶下的存儲過程包和統(tǒng)一下發(fā)的存儲過程包的一致性來檢測用戶自定義存儲過程的使用情況�。
文檔編號G06F21/00GK102799808SQ20121020055
公開日2012年11月28日 申請日期2012年6月18日 優(yōu)先權(quán)日2012年6月18日
發(fā)明者劉偉祥, 吳曉東, 江海龍 申請人:公安部交通管理科學(xué)研究所