钟苏生，王甜，吴石松，李凯

（广东电网有限责任公司信息中心，广东广州　510080）



电力企业IDC运行环境下的数据库自动化安全检查方法研究

钟苏生，王甜，吴石松，李凯

（广东电网有限责任公司信息中心，广东广州510080）

摘要：信息系统安全是保障系统正常运行的重要要求。一方面出于企事业单位的信息安全要求；一方面随着信息化产品漏洞的不断更新及公司安全要求的提高，数据库的定期例行检查是极为必要的。从信息系统的自动化运维角度出发,介绍在大型的电力企业环境下的信息系统数据库自动化安全检查工具的运行原理与解析实施案例。

关键词：数据库运维；信息安全技术；数据库自动检查技术

0　前言

信息系统的安全是保障系统正常运行的重要要求。新的数据库在安装部署完成后，需要进行相应的安全检查，使其符合信息安全要求。同时，因信息化产品漏洞的不断更新及安全要求的提高，对原有数据库也需周期性进行安全检查。据现阶段发明者所在企业的数据统计，一个数据库的安全检查需要20分钟，而日常运维工作是每个IDC（Internet Data Center，互联网数据中心）无法回避的工作之一。同时，信息安全风险越来越严峻，因此安全检查的要求不断更新，这些都对安全检查工作提出了更高的要求。

目前的数据库安全检查一般通过人工逐套系统进行巡检。由于数据库中的数据量大，所需数据量来源多且非常复杂，该方式耗时较大，效率低，且受人为因素影响而准确性低。

本文从系统地自动化运维角度出发,主要介绍了在大型的电力企业规模下的信息系统数据库自动化安全检查工具的运行原理与实施案例解析。

1　数据库自动巡检的实现方法探讨

本文提供了一种基于企业环境中的对数据库，特别是Oracle的安全检查方法，其主要步骤如图1所示。

图1　安全检查方法步骤

1.1第一步：上传自动检测脚本至目标主机

在Excel文档的宏工具中集成Winscp文件传输工具，通过Winscp文件传输工具读取需要进行数据库安全检查的目标主机的配置文件，并根据该配置文件中的信息将该Winscp文件的shell自动检测脚本上传至目标主机。

同时支持SCP（Session Control Protocol，会话控制协议）。其主要功能就是在控制终端与远程计算机间安全的复制文件。Shell自动检测脚本是用各类命令预先放入到一个文件中，方便一次性执行的程序文件。可在本地启动Winscp脚本，并通过Winscp脚本并根据SSH传输协议将shell脚本传输到目标数据库的系统中。

配置文件可包括检查对象主机的IP（Internet Protocol，互联网协议）地址、账号、密码等信息。通过将以上shell自动检查脚本上传至各目标主机，并执行自动检查脚本，该步骤使原本人工逐台登陆的过程自动化。

1.2第二步：获取数据库健康状态数据

在目标主机上执行第一步中shell自动检测脚本，通过该shell自动检测脚本提取目标数据库的运行数据，根据预设的格式将目标数据库运行数据保存成文本文件，对该文件中的数据库运行数据进行筛选，得到反映数据库运行的健康状态的运维数据，并根据数据库的功能从运维数据中筛选出执行对应功能所需的参数。

在本步骤中，可从数据库的运行数据中提取数据库容量参数、数据库性能参数、数据库系统运行异常信息、系统bug数据、操作失误数据等反映数据库运行的健康状态的数据，数据提取的依据可来源于运维经验。数据提取方式可包括后台输入命令逐条查看或从日志文件中截取关键字段等方式。

1.2.1数据库容量参数

（1）数据总量：取自数据库自有的系统表dba_segment中bytes字段。

（2）表数据总量：取自数据库自有的系统表dba_segment中对象为‘TABLE’的bytes值bytes。

（3）LOB（Large Object大对象）数据量：取自数据库系统表dba_segment中segment_type =‘LOB’的bytes值总量，单位GB。

（4）ASM总量：取数据库中ASM卷组的总量。

（5）ASM剩余量：取数据库中ASM卷组的剩余空间总量。

（6）告警文件系统数：统计容量已经超过告警临界值的文件系统数。

（7）表空间剩余百分比：统计数据库中表空间剩余量占总容量的百分比。

（8）表空间最大可扩展大小：获取数据库表空间容量信息表DBA_TABLE_SPACE、数据库固定表空间容量信息表DBA_DATA_FILES和数据库临时表空间信息表DBA_TEMP_FILES中各类数据库表空间最大可扩展大小。

（9）表空间剩余大小：取数据库中表空间剩余容量。

（10）审计表大小；统计数据库中审计信息的记录大小。

1.2.2数据库性能参数

（1）归档个数：取上一个自然日0:00到当前时间范围内产生的归档文件的个数。

（2）归档量：取上一个自然日0:00到当前时间范围内产生的归档文件的大小；总会话数：取当前数据库的会话数。

（3）活动会话数：取当前数据库的活动会话数。

（4）服务会话数：取当前数据库的服务会话数。

（5）非空闲会话数：取当前数据库的非空闲会话数。

（6）并行会话数：数据库系统当前并行的会话数；

（7）当前进程限制比：取当前活动的进程数与数据库系统限制最高可运行的进程数的比值；

（8）最大进程限制比：取数据库自启动以来活动进程数的最大值与数据库系统限制最高可运行的进程数的比值。

（9）失效对象数：统计数据库中已经失效的对象数。

（10）失效索引数：统计数据库中已失效的索引数量。

（11）总进程数：取当前系统运行中总进程数。

（12）ORA进程数：统计数据库系统中当前运行的Oracle类型的总进程数。

（13）GRI进程数：取数据库中当前运行的Grip总进程数量。

（14）僵死进程数：取当前运行的僵死总进程数量，即ZOMBPRO。

（15）总内存：取数据库系统运行可用的总内存。

（16）剩余内存：即数据库服务端所在的操作系统剩余物理内存大小，单位：MB。

（17）CPU使用率：取当前数据库服务器CPU的使用率。

（18）回收站数量：统计数据库运行过程中产生的回收站文件数量。

（19）失效索引数：统计数据库中已失效的索引数量。

（20）失效对象数:统计数据库中已经失效的对象数。

1.2.3数据库系统运行异常信息

该部分信息包括：

（1）异常JOB数。取当前时间向前7×24小时内的异常JOB数。

（2）异常用户数。取数据库中运行异常的用户数量，包括：①近7天内被锁的用户；②已经过期的用户；③未来31天内将过期的用户。以上3种情况用户的总数量。

（3）异常文件数。取数据库中异常（状态为謖OFFLINE謖，謖RECOVER謖，謖SYSOFF謖）的数据文件数量。

（4）ASM空间告警数。取数据库中ASM卷组使用率超过临界值(本文建议值是90%)告警的数量。

（5）异常CRS（Oracle Cluster Ready Service，Oracle集群就绪服务）数。

1.2.4数据库系统审计数据

（1）adump（auditdump，审计信息文件）审计文件数。

（2）归档目录大小：取文件系统中归档文件所在目录的大小。

（3）监听日志大小：统计数据库系统监听日志大小。

（4）ORA错误数：统计当前时间上1个自然日的0:00起到当前时间的所有ORA报错记录的数量。

1.3第三步：统计分析得出检测结果

通过Winscp脚本接收目标主机返回的所述参数，将换算和处理后的参数导入Excel表格中，并根据Excel表格中的参数对数据库的安全性能进行检查。

在本步骤中，可根据运维要求，并按照相应的维度对Excel表格中的参数进行筛选和统计，然后，可将筛选和统计后的参数生成报表，包括：

（1）Oracle数据库日常巡检结果。（2）表空间分析结果。

（3）操作系统整体趋势分析结果。（4）数据库整体趋势分析结果。（5）表空间趋势分析结果。

2　实例分析

以某电力企业IDC系统真实场景为例，采用本文提出的方法进行数据库系统的安全检查与分析。

该IDC环境中有131套Oracle数据库，版本分布包括9i、10g、11g、12c等，使用该工具前，每做一次安全检查，需要4位熟练工程师逐套系统取数据，耗时约1个工作日。

采用本文提出的方法，工作流程如下：

第一步，进入“控制台”页面，单击“编辑配置”，根据备注信息填入被巡检服务器的相关信息。必填字段有序号、类别、主机名、IP地址、资源名、查询、类型、启用、用户、验证方式、key、密码、端口、上传源目录、上传目标目录、脚本名、下载源目录（“控制页”可配置控制整个模块的启用）。

第二步，上传文件。完成以上配置后，进入“控制台”，单击“上传文件”，即可把相关脚本部署上传到远程服务器上。

第三步，执行脚本。进入“控制台”，单击“执行脚本”，在远程机器上执行部署的脚本。

第四步，下载文件。进入“控制台”，单击“下载文件”，下载执行脚本生成的文件。

第五步，导入excel。进入“控制台”，单击“导入excel”，将下载的文件导入excel表的基础表中。

进入“控制台”，单击“删除重复”，删除基础表中重复的数据（短时间多次导入会产生重复数据）。

第六步，生成数据报表。进入“控制台”，单击“生成报告”，对基础表Oracleall、Oracleos、Oracletbs进行查询统计，生成ORACLE表格。

3　小结

本文从数据库系统的自动化运维工作出发,主要提出了一种在大型电力企业的IDC数据中心内信息系统数据库自动化安全检查工具，介绍其运行原理与实施案例解析。

现有技术对数据库的检查工作需要手工去对上百台设备逐个登陆、取数、人工统计数据，而该数据库安全检查方法通过将这些重复上百次量（具体次数视IDC规模而定）的过程集成到了自动化工具中，减少了数据库检查的工作量与重复性工作，且提高了工作效率与减少了人工操作引起的不准确性。

参考文献：

［1］Randal L.Schwartz，brian D Foy，Tom Phoenix. Perl语言入门（中文版第6版）［M］.盛春，译.东南大学出版社，2012.

［2］Richard Blum，Christine Bresnahan. Linux命令行与Shell脚本编程大全［M］.武海峰，译.人民邮电出版社，2012.

［3］宋文.电力企业信息系统中Oracle数据库运维管理探析［J］.科技风，2014(5):201-201.

［4］秦士兵.电力企业信息系统中Oracle数据库运维管理［J］.中国新技术新产品，2012（21)：41-42.

作者简介：钟苏生（1985-），男，工程师，本科，从事电力信息化工作；王甜（1984-），女，工程师，本科，从事电力信息化工作；吴石松（1986-），男，工程师，硕士研究生，从事电力信息化工作。