[发明专利]一种面向实时数据库的独立透明型安全审计保护的方法

说明书

技术领域

本发明涉及安全审计技术，特别是指一种适用并且独立于实时数据库的安全审计技术。

背景技术

实时数据库作为工业企业信息化过程的基础，其广泛应用在电力、石化、控制系统中，这些系统所保存的大量信息需要被不同安全权限的多个用户共享。在这些应用中，事务和数据有不同的安全级别，直接/间接的非法信息访问都有可能泄露国家机密、造成重大事故和经济损失。置身于当今世界这个竞争异常激烈的舞台，很多企业尤其是掌握领先技术的企业，作为其技术实际体现的生产工艺往往是企业的根本利益，一些关键生产过程的流程工艺乃至运行参数都有可能成为对手窃取的目标，如何保证这些数据的安全成为企业生存发展的前提。

但是，实时数据库的实时处理过程非常复杂，除了要满足传统数据库的一致性需求外，它的时间限制是正确性标准的不可或缺的一个完整部分。它的性能目标就是使错过截止时间的事务数据减到最小，这造成了在实时数据库中实时性和安全性是相互冲突的。也正是因为这个原因，传统的实时数据库很少或者根本没有安全性限制保护和审计系统。这种薄弱的安全保护机制，存在很多漏洞，并不能阻挡所有的攻击或者非法入侵，非法用户可以通过系统的漏洞访问到受保护的数据。另外，系统自身的完整性约束对于那些已经通过授权认证的误操作控制能力很弱，这需要审计系统的帮助。

发明内容

有鉴于此，本发明的主要目的在于为实时数据库增加一种独立自主的安全审计的方法，目标是把安全审计与实时数据库系统结合起来，进一步加强实时数据库的安全保护。

为了达到上述目的，本发明提供一种增加安全审计的方法，该方法包括：

独立透明型安全审计的加载和卸载方法；

将安全审计中核心的、和实时数据库服务性能关系密切的功能独立出来，采用分离式部署提高安全审计整体性能，实现统一管理；

通过划分安全区实现基于角色的权限管理，结合特殊的二维权限表实现高效的访问控制；

粗细粒度结合的策略，基于接口导出序号的规则配置方式，根据配置信息，对访问控制和审计进行配置或修改配置，对于没有新配置的默认采用上一次的配置；

按照不同阶段设计不同的日志格式，特别的，通过位操作快速生成由两个32位整数组成的原始日志信息；

利用线程间消息传递方法将原始的日志信息发送给预处理线程，线程接收到原始日志信息后，进行初步封装形成预处理的日志记录；

管理控制中心得到预处理的日志记录后，一方面进行报警判断，另一方面将其继续解析生成人员可识别的日志记录，并使用归并排序将所有日志记录按时间进行排序；

引入缓冲池并对其进行有效管理，将排好序的日志记录存入缓冲池中，通过快操作提高写日志文件的速度。为日志记录创建B-树索引，提高日志的查询效率。

较佳地，所述透明型安全审计的加载和卸载的方法包括：需要加载时，启动管理控制中心，使能侦听器；需要卸载时，只需关闭管理控制中心即可；以实时数据库导出给应用系统的接口为切入点使得安全审计不依赖于具体的实时数据库，通过为需要控制的接口提供对应的安全保护函数，安全审计加载后，使用HOOK IAT技术将接口地址替换为安全保护函数，为实时数据库增加安全审计功能。

较佳地，所述的HOOK IAT技术实际属于HOOK API技术中的一种，另外还有一种是直接将接口函数首地址的头五个字节内容改为机器码形式的跳转指令，跳转地址即为安全保护函数的地址。这两种技术相比，HOOK IAT效率最高，所以采用它。具体改写修改接口地址的步骤包括：使用远程线程注射技术将侦听器注射到应用系统进程中，分析应用系统程序的的进程映像，从中找出加载的接口模块并进一步找出模块接口在应用系统程序，根据接口的导出序号直接确定接口在应用系统导入地址表中的位置；用接口对应的安全保护函数的地址替换接口地址；将接口地址保存起来，以便安检通过后调用。

较佳地，查找接口在应用系统进程中导入地址表的位置还有另一种方法：根据接口的名字，使用Kernel32提供的GetProcAddress获得接口的导入地址，然后在导入地址表中一一比较，直到在表中找到为止。很显然，这种方法效率极其低下，故弃用之。