基于访问控制的机房数据安全管理策略

2022-09-08王建新

电子元器件与信息技术 2022年6期

王建新

上海市民防指挥信息保障中心，上海，200020

0 引言

随着计算机使用范围越来越广，作为教学及科研的主要场所，计算机机房的使用频率越来越高，造成的影响是传统的依靠人工进行机房管理的方式已经难以满足现有机房管理的要求。因此，借助信息化手段实现机房的自动化、智能化管理，是提高机房管理效率、提升机房信息化管理水平的有效手段。

经过充分调研，现有广泛使用的机房管理系统主要包括以下三种[1-3]。

（1）网星机房管理系统。该系统生效并运行后，只有在安装网星管理系统的计算机上插入有效的身份识别卡才能够正常运行各类应用程序，否则系统将拒绝用户的登录以及使用。若使用者多次尝试进入系统失败，网星系统能够强行关闭计算机。

（2）博思特机房管理系统，主要依托校园网实现了对机房的日常教学上机、计费、设备使用情况的动态监控。

（3）万欣机房管理系统。该系统由众多子系统组成，主要包括：用户网络使用情况统计系统、程序监控系统、打印监控系统、多媒体系统等。该系统能够提供机房上网行为监控、用户使用监控、打印输出文件监控、故障恢复等功能。

综上所述，目前网星及博思特均采用纯软件控制方式，安全性较差；万欣采用基于硬件的IC卡方式进行机房管理，安全性较高。

本文基于信息安全技术，从而确保了机房中计算机运行操作系统的安全，以及各类用户数据的安全。系统安全主要包括网络环境安全、操作系统安全，确保机房管理系统稳定、可靠、安全地运行；网络环境安全是指计算机系统免受网络中木马和黑客的入侵；操作系统安全是指计算机上运行的操作系统免受病毒及木马的入侵；机房管理系统稳定可靠地运行是指机房管理系统对于用户输入具有鲁棒性，能够抵御用户非法请求及使用。数据安全主要针对存储数据的数据库进行安全防护，对网络中传输的敏感数据采用加密后传输的方式，从而确保了数据能够免于遭受非授权用户的访问及丢失，具有较高的安全性。

1 基于访问控制的机房管理策略

1.1 客户端软件防删除

机房管理系统首要的策略是防止使用者未经授权随意卸载管理系统客户端，即软件具备防止用户随意删除的功能[4]，这是对管理软件最基本的使用要求，否则软件如果被用户随意卸载，则后续其他管理功能均无从谈起。本文实现软件隐蔽的原理是通过Windows系统自带的服务程序完成的，从而杜绝使用者随意卸载软件，实现软件自我保护能力。本文采取的主要实现方式是通过将管理系统的客户端制作成由 svchost.exe加载启动的 dll 文件，对于使用者完全透明，即使用者无法直接感知服务管理的存在，从而有效避免管理软件被使用者卸载。其主要工作原理如下[5]：（1）利用Windows系统Services.exe管理程序实现同时运行多个共享服务；（2）通过操作系统自带的Svchost.exe调用管理服务的动态链接库实现服务随系统启动后自动运行；（3）通过Windows系统自带的注册表编辑器Regedit.exe设置Parameters子键下ServiceDll属性值，从而实现动态链接库调用。

1.2 数据库加密

数据库存储了系统的重要信息，需要在进行网络传输或用户使用之前对数据库进行加密从而避免非授权访问。自互联网普及以来，数据库泄露造成的信息失控事件时有发生。数据库加密是对抗此类事件的有效手段，极大地提高了数据库中存储信息的安全性。这是由于即使数据库文件落入不法分子手中，解密的过程通常需要极长的事件，这对于攻击者而言是无法接受的，从而使攻击者被迫放弃解密，确保了数据安全。数据库加密是指将存储于数据库中的数据，以加密的方式进行存储，从而避免数据的明文泄露。现有数据库加密方式主要包括存储介质全盘加密、部分数据库文件加密、数据库登录信息自带加密等[6]。全盘加密将存储设备进行加密，在使用过程中进行解密。文件加密指在操作系统文件系统层面对将数据库的存储文件进行加密存储，在访问存储数据文件前进行解密。

本文采用了密码学领域常见的加密算法，通过应用系统实现数据加解密。在加解密过程中依照加密后传输的原则进行数据交换。采用了字符和密钥的运算和处理来实现数据的加密，每个字节经过变换：密文=明文⊕（密钥+位置偏移量）。具体加密方式如下。

（1）修改ConfigFilter配置文件。

（2）进行数据库加密。

登录数据库后，在命令行中输入：

java-cp druid-1.0.16.jar com.alibaba.druid.filter.config.ConfigTools you_password

即可得到加密后的结果，此处现实为私钥privateKey、公钥publickey以及加密密码Password，如下所示。

privateKey:MIIBVgIBADANBgkghkiG9wO BAQEFAASCAUAwggE8AgEAAkEA6+4avFnO KP+07bu5YnxlloOZjv3no4aF V558HTPDoXS6 EGDOHP7RzzhGPOKmpLQ1BbA5viSht+aDdax Xp6SvtMQIDAQABAkAeQt4fBo4S1CTrDUCMA NLDtIlax /187oqsONOg5M2JSOjNSbZuAXDv7/YEGEtMKuIESBZh7pvVG8FV531/fyOZAiEA+P OkE+QwWbUfGyeugR6IGvnt4ye OwkC3bUoAT SCSN98CIQDynBXC8YngDNwZ62QPX+ONpqC el6g8NO9VKC+ETaS87wIhAKRouxZL38PqfqV/WlZ5ZGdeY 59gA360IK8zb0mHEko/AiEAsES 3iuvzQNYXFL3x9Tm2GzT1fkSx9wx+12BbJcVD 7AECIQCD3Tv9S+AgRhQoNcuaSDN luVrL/B/wOmJRLqaOVJLQGg==

publickey:MFinivDQYJKoZIhvCNAQEBBQA DSwAwSAJBAOvuGrxZeCj/ju27uw38VqDmY7956 0GhVeefBOzw6F70hBg9 Bz+0c84RjzipqSeNQwwO b4kobfmg3WsV6ekr7TECAwEAAQ==

password: PNak4Yuie+2Ft6]SoKBsgNP1+A03 3rdLhFw+LOnplo+HDRrCo9VkCuiiXviEMYwUgp HZUFxb2FpEYmSg uuRwwa==

解密算法是加密算法的逆运算，算法基本一致，其基本原理是输入用户加密获得的密码和密钥，从而获得解密后的文件和数据。

1.3 远程控制计算机设备

本文使用DevCon.exe软件实现对系统设备的远程访问，与在本地使用计算机系统无任何区别，因此能够几乎获得所有控制功能，从而实现机房的设备控制[7]。例如，对于教学科研常见的在机房进行无纸化电子考试场景，为了防止在考试过程中学生随意插接U盘、移动硬盘或其他移动存储介质导致病毒传播以及窃取考场文件，需要在考试过程中临时禁止计算机USB口的使用，在此过程中需要使用的命令如下：devcon disable usb。

此外，本文引入了通过向日葵软件能够实现使用者桌面的远程控制。向日葵软件允许使用者在互联网的任何地点访问和控制安装了向日葵软件的客户端。向日葵软件客户端具备内网穿透功能，因此对于局域网中的计算机，只要能访问互联网，即可实现远程控制。向日葵软件具备多种智能设备的客户端，支持Android及ios设备远程控制计算机。因此，能够实现随时随地远程控制的功能。向日葵软件的使用界面如图1所示。在需要控制远程设备时，只需要输入向日葵软件界面显示的远程计算机控制码及验证码，点击界面中“远程协助”按钮即可远程控制被控计算机，从而获取完全控制权限。

图1 向日葵软件使用界面

1.4 审计用户的 URL

网络浏览控制是机房安全管理的重要组成部分。为了使机房使用者集中精力进行学习或资料查找等工作，需要对机房能够访问的网站进行限制，一般需要限制各类娱乐及视频网站的访问，如优酷、bilibili等。

为了实现这一功能，可以在机房计算机上采用动态数据交换（DDE）技术。DDE是Windows等主流操作系统中提供的技术，主要用于在不同的进程间进行数据传输，从而更好地利用Windows操作系统多任务的优势，降低程序重新开发的工作量，提高不同程序之间数据交互的效率。DDE通过客户程序和服务程序的方式在系统中单独运行，通过配置客户程序和服务程序自启动，能够实现客户程序和服务程序的整个会话过程全自动化运行，无需用户手动操作或干预[8-9]。借助于DDE技术，将系统中安装的网络浏览器（如IE、Chrome、Firefox等）作为DDE Server端，用户URL审计管理程序作为DDE Client端与IE浏览器进行交换数据，从而得到需要审计的URL地址信息，完成URL地址过滤。URL地址过滤流程如图2所示。

图2 URL 过滤过程

2 实验结果

2.1 模拟机房突然失去外部电力供应的处置方式

（1）实验方法。断开机房的电源输入总开关。

（2）实验结果。在机房系统正常运行的过程中关闭总电源，运行于服务器的数据库管理系统（DBMS）在故障出现5分钟后自动清理了数据库中的临时数据，保证了数据服务的硬件安全与数据的正确性。

（3）实验分析。机房在运行过程中遭遇断电时，若计算机上当前登录的用户无法正常注销，将导致数据丢失、系统状态错误、硬件损坏等各类软硬件问题。因此在实际使用场景下，为数据库服务器配备UPS电源，确保在失去电力供应的使用场景下能够继续为服务器供电约半小时，使用户能够及时保存数据，数据库及时提交各类数据操作；为了对断电进行监测，在数据库服务器上部署了一个状态监控程序。断电判别规则为5分钟内接收不到来自网络的数据，该监控程序自动清理所有未注销的用户信息，完成各类数据库操作，以确保用户和数据库数据的一致性和完整性。