文/陈军

1 背景介绍

南京市人力资源和社会保障应用系统数据库开发人员拥有合法的访问身份（如数据库口令）能直接进入数据库，甚至是生产库进行访问操作，当前在访问渠道上各类安全措施（例如防火墙、VPN、甚至堡垒机等）对此类人员是很难达到预期的安全控制效果的。南京人社信息系统各应用系统开发人员用于数据库访问及操作的主要工具为PL/SQL Developer，此软件在中文破解的过程中部分版本被注入勒索病毒，此类病毒具有很长的潜伏期且不易被发现，病毒一旦爆发，会造成如被清空数据库等非常严重的后果。南京市人力资源和社会保障应用系统内部操作人员（如开发人员和运维人员）的安全管理主要还是以制度规范管理为主，缺乏技术管控手段，很难有效的遏制违规违法的数据库操作行为。因此，为进一步强化市人社应用系统数据库运维安全的管控力度，加强对内部操作人员日常对数据库开发及运维操作过程的可视监控。

2 设计思路

笔者结合自身近20年的应用系统及数据库管理经历拟设计南京市人力资源和社会保障应用系统及数据库安全管控软件，支持全程监控、管理相关人员对数据库的后台操作，做到全程留痕，减少人社数据资源安全隐患，从而为市人社应用系统的数据资源的安全提供坚实有力的保障。一方面对内部人员通过违规违法操作数据库谋取私利等行为起到有效的震慑作用，达到“不能做、不敢做”的效果；另一方面，通对开发和运维人员开库操作脚本的日积月累，形成数据库运维的知识库，提升数据库运维效率，降低对固定开发及运维人员的依赖。

3 设计方案

3.1 设计数据库访问及相关数据库程序开发功能

设计用于数据库访问及开发运维的核心功能，进行数据库的各项日常操作（如各类DDL、DML 操 作，对TABLE、VIEW、SYNONYMS、FUNCITON、PROCEDURE、PACKAGE、TRIGGERS、SEQUENCES、JOBS 等数据库对象的创建、编译操作）支持根据权限的设定实现开发及运维人员能进行特定数据库操作（如KILL 等），使运维人员通过此平台就能完成日常的数据库运维工作，而不是通过第三方工具。

3.2 设计监控分析运维人员数据库开库功能

设计数据库运维管控监控、分析功能，在不影响运维人员工作前提下，将运维及开发人员所有对数据库的操作，都进行结构化的登记处理，并细化到每一次操作终端的计算机名称、IP 地址等身份信息；同时采用实名制注册、登记，并且有完整的权限管理程序，用于对每个使用人员的权限进行控制。通过对开库执行过程中部分特殊指令（如DROP、TRUNCATE等命令），在实际执行前予以预警提示，以防误操作。

3.3 设计数据库运维知识库功能

在日常的应用系统数据库运维执行过程中，通过应用系统及数据库安全管控软件对所有的执行节点操作进行全过程监控，将所有事项构造成完整的业务链，进行结构化处理后形成知识条目，经过长期的不断积累，形成完备的数据为运维知识库，帮助应用系统管理方能快速掌握应用系统数据库运维；对同类型的系统数据库运维工单，能精确定位历史处理案例，从而极大提升运维的工作效率及安全。

4 系统功能细化

4.1 数据库对象管理

数据库对象管理主要实现对市人社应用系统数据库对象的创建、编辑、维护等功能，用于管理当前用户下所有的数据库对象，包括各种函数、过程、包、包体、表、视图、同义词、触发器、序列等。每种数据库对象分为两个程序进行操作设计：一是只有查看对象及其脚本的功能；二是在此基础上，增加编辑功能，包括新增、或删除，并且任何修改、删除操作，系统应都会自动备份编辑前的所有脚本。从而方便进行授权，可以对操作人员只授予查询权限，以防止误操作。

4.2 开库管理

开库管理功能在不影响运维人员工作的前提下，对运维人员数据库开库行为进行监控、分析，对所有数据库操作进行结构化登记处理。另外通过与运维平台一期信息协调单、求管理系统无缝对接，实现应用系统运维闭环管理，避免无授权数据库开库行为。

4.3 文件导入

此程序实现外来数据导入功能，支持EXCEL、CSV 等文件格式。在文件导入过程中，支持目标表字段勾选、装载文件功能。另外，可以根据实际要自行选择要导入的列及行，可以将不要导入的列或行的勾选去掉。同时也支持通过拖拽方式调整此区域的列顺序，保证其顺序与要导入的表的字段顺序一致。在导入数据量较大（＞=10000）的情况下，支持中间分步提交功能。

4.4 数据库用户管理

数据库用户管理主要实现对应用系统数据库用户的登记和管理等功能，通过对数据库用户的注册、管理及授权，运维人员便可通过此平台访问对应的数据库用户，进行日常的开库处理等工作，避免直接将数据库密码暴露给运维人员，杜绝了因运维人员流失后，导致数据库密码的泄露的风险。支持数据库用户注册功能，由管理员操作（一般为DBA 或者管理人员、安全人员），进行数据库用户注册，注册人员同时可以获得该用户的使用权限，其他人员要通过授权处理。支持数据库用户变更功能，对已经注册的数据库用户，可通过此功能进行相关连接信息的变更。另外，对于变更数据库密码，要提供具有修改数据库密码权限的用户，否则只修改登记注册的信息，而不能直接连接数据库用户的密码本身。密码支持自动生成或自己设定两种模式。

支持数据库用户注销功能，在安全管控平台中注销已经注册的数据库用户，用户注销后，所有操作人员均不能再通过管控平台选择、使用该数据库用户。通过与南京人社市人社信息系统统一门户系统的对接，实现数据库运维机构、人员、登录密码等信息的获取。支持数据库用户权限分配功能，对已经注册的数据库用户，可以对运维人员进行权限分配，包括授权（打钩）及回收权限（取消打钩）两种功能；同时要支持无限分级授权。另外，还支持限制用户执行部分危险命令的功能，可以通过配置的方式进行增减。

4.5 用户中心

用户中心支持系统操作人员的个性化设置功能，例如常用功能快捷键设置等。

另外，支持查询所有平台用户执行的脚本，包括通过数据库对象管理下的各个模块、开库管理下的各个应用所执行的脚本；支持查询当时执行脚本时的终端信息（包括IP、MAC、电脑名称等）、运维工单信息、执行时所影响到的记录数等，并能通过多个条件进行组合查询、精准定位。

4.6 系统管理

系统管理功能主要用于对平台的菜单功能进行管理，包括系统菜单管理、角色管理、功能授权以及对运维人员在此平台的登录情况、脚本执行情况的监控、查询等。对整个平台的应用程序进行管理，包括程序的新增、修改、删除等，实现整个平台应用程序的动态管理、有效扩展。支持新程序发布功能，既包括对新增程序的发布，也可支持对已有程序更新版本后的发布。新程序一旦发布后，所有终端在运行此程序时，可以自动更新并运行，确保整个系统应用版本的一致性。角色权限管理：支持对系统进行角色权限管理，包括新建、变更角色，实现角色与具体应用的关联，方便进行后续人员应用的授权。

4.7 人员应用权限管理

支持对平台用户进行授权管理，通过将具体角色授权给平台用户，使得用户能获得具体菜单功能，从而进行系统操作。系统登录情况查询:支持对系统登录情况的查询功能，可以详细查看运维人员使用此平台时的登录及退出情况。

5 结束语

南京市人力资源和社会保障应用系统及数据库安全管控软件是市人社信息化建设的一个重要组成部分，为市人社信息系统应用系统数据库的安全运行提供坚实的保障。因此，要站在人社信息化全局的高度，进行统一规划、统一管理、有序实施。应用系统及数据库安全管控软件设计应做到结构模块化、程序结构化、数据格式标准化、代码统一化，各种文档资料规范化。系统设计应充分考虑应用系统及数据库安全管控软件功能需求多变的特性，易于进行功能扩充，以保障系统使用的长期性和可扩展性。设计系统用户界面简单明了，功能区域一目了然，菜单层级和归类设计规范合理，符合数据库运维日常操作流程，具有人性化特点，笔者认为通过使用市人力资源和社会保障应用系统及数据库安全管控软件在后续的应用系统数据库运维工作中可以有效地减轻操作人员的工作量，提高工作效率，有效增强系统的安全性，填补人社领域应用系统及数据库安全管控技术手段空白，具有较高的社会效益和经济效益。