CN105528275A - 数据库安全检查方法 - Google Patents
数据库安全检查方法 Download PDFInfo
- Publication number
- CN105528275A CN105528275A CN201510890119.5A CN201510890119A CN105528275A CN 105528275 A CN105528275 A CN 105528275A CN 201510890119 A CN201510890119 A CN 201510890119A CN 105528275 A CN105528275 A CN 105528275A
- Authority
- CN
- China
- Prior art keywords
- database
- data
- parameter
- inspection method
- winscp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/302—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3065—Monitoring arrangements determined by the means or processing involved in reporting the monitored data
- G06F11/3072—Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Quality & Reliability (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明涉及一种数据库安全检查方法,包括:在Excel文档的宏工具中集成Winscp,通过所述Winscp读取需进行数据库安全检查的目标主机中的配置文件,并根据配置文件中的信息将Winscp的shell脚本上传至目标主机;在目标主机上执行shell脚本,通过shell脚本提取数据库的运行数据,根据预设格式将运行数据保存成文本文件,对文本文件中的运行数据进行筛选,得到反映数据库运行健康状态的运维数据,并根据数据库的功能从运维数据中筛选执行对应功能所需的参数;通过Winscp接收目标主机返回的参数,将参数导入Excel表格中,并根据Excel表格中的参数对数据库的安全性能进行检查。
Description
技术领域
本发明涉及信息安全技术领域,特别是涉及一种数据库安全检查方法。
背景技术
信息系统安全是保障系统正常运行的重要要求。新的数据库在安装部署完成后,需要进行相应的安全检查,使其符合信息安全要求。同时,因信息化产品漏洞的不断更新及安全要求的提高,对原有数据库也需周期性进行安全检查。据现阶段发明者所在企业的数据统计,一个数据库的安全检查需要20分钟,而日常运维工作是每个IDC(InternetDataCenter,互联网数据中心)无法回避的工作之一,同时,信息安全风险越来越严峻,因此安全检查的要求不断更新,这些都对安全检查工作提出了更高的要求。
目前的数据库安全检查一般通过人工逐套系统进行巡检。由于数据库中的数据量大,所需数据量来源多且非常复杂,该方式耗时较大,效率低,且受人为因素影响而准确性低。
发明内容
基于此,有必要针对现有技术效率低、准确性低的问题,提供一种数据库安全检查方法。
一种数据库安全检查方法,包括以下步骤:
在Excel文档的宏工具中集成Winscp文件传输工具,通过所述Winscp文件传输工具读取需要进行数据库安全检查的目标主机的配置文件,并根据所述配置文件中的信息将所述Winscp文件的shell自动检测脚本上传至目标主机;
在目标主机上执行所述shell自动检测脚本,通过所述shell自动检测脚本提取所述数据库的运行数据,根据预设的格式将所述运行数据保存成文本文件,对所述文本文件中的数据库运行数据进行筛选,得到反映数据库运行的健康状态的运维数据,并根据数据库的功能从所述运维数据中筛选出执行对应功能所需的参数;
通过Winscp脚本接收目标主机返回的所述参数,将换算和处理后的参数导入Excel表格中,并根据Excel表格中的参数对数据库的安全性能进行检查。
上述数据库安全检查方法,通过Winscp文件传输工具将shell自动检测脚本上传至目标主机,在目标主机上执行所述shell自动检测脚本提取数据库安全检查所需的参数,通过Winscp脚本接收目标主机返回的参数,并根据所述参数对数据库的安全性能进行检查,提高了数据库安全检查的效率和准确性。
附图说明
图1为一个实施例的数据库安全检查方法流程图;
图2为一个实施例的表空间剩余百分比的取数条件流程图;
图3为一个实施例的表空间最大可扩展大小的取数条件流程图;
图4为一个实施例的表空间剩余大小的取数条件流程图。
具体实施方式
下面结合附图对本发明的数据库安全检查方法的实施例进行描述。
图1为一个实施例的数据库安全检查方法流程图。如图1所示,所述数据库安全检查方法可包括以下步骤:
S1,在Excel文档的宏工具中集成Winscp文件传输工具,通过所述Winscp文件传输工具读取需要进行数据库安全检查的目标主机的配置文件,并根据所述配置文件中的信息将所述Winscp文件的shell自动检测脚本上传至目标主机;
在本步骤中,可以运行在控制主机上,通过远程方式来控制目标主机,所述Winscp文件传输工具是Windows环境下使用SSH(SecureShell,安全外壳协议)的开源图形化SFTP(SecureFileTransferProtocol,文件传送协议)客户端。同时支持SCP(SessionControlProtocol,会话控制协议)。它的主要功能就是在控制终端与远程计算机间安全的复制文件。Shell自动检测脚本是用各类命令预先放入到一个文件中,方便一次性执行的程序文件。可在本地启动Winscp脚本,并通过Winscp脚本并根据SSH传输协议将shell脚本传输到所述数据库的系统中。
所述配置文件可包括检查对象主机的IP(InternetProtocol,互联网协议)地址、账号、密码等信息。通过将所述shell自动检查脚本上传至各目标主机,并执行自动检查脚本,该步骤使得原本人工逐台登陆的过程自动化。
现有技术需要手工去对上百台设备逐个登陆、取数、人工统计数据,而所述数据库安全检查方法通过将这些重复上百次量(具体次数视IDC规模而定)的过程集成到了自动化工具中,减少了数据库检查的工作量与重复性工作,且提高了工作效率与人工操作引起的准确性。
S2,在目标主机上执行所述shell自动检测脚本,通过所述shell自动检测脚本提取所述数据库的运行数据,根据预设的格式将所述运行数据保存成文本文件,对所述文本文件中的数据库运行数据进行筛选,得到反映数据库运行的健康状态的运维数据,并根据数据库的功能从所述运维数据中筛选出执行对应功能所需的参数;
在本步骤中,可从数据库的运行数据中提取数据库性能参数、数据库容量参数、运行异常数据、系统bug数据、操作失误数据等反映数据库运行的健康状态的运行数据,数据提取的依据可来源于运维经验。数据提取方式可包括后台命令输入逐条查看或从日志文件中截取关键字段等方式。
其中,所述数据库性能参数包括归档个数、归档量、总会话数、活动会话数、服务会话数、非空闲会话数、并行会话数、当前进程限制比、最大进程限制比、回收站数量、失效索引数、审计表大小、总进程数、ORA进程数(Oracle用户产生的进程数)、GRI进程数(GRID用户产生的进程数,Grid网格技术是一种分布式的概念,相应的Grid用户在Oracle中指的是Oracle数据库集群用户)、僵死进程数、总内存、剩余内存和CPU使用率。所述数据库容量参数包括数据总量、表数据量、LOB(LargeObject,大对象)数据量、ASM(AutomaticStorageManagement,自动存储管理,是Oracle开发的一种文件系统)总量、ASM剩余量、回收站数量、审计表大小、表空间剩余百分比、表空间最大可扩展大小、表空间剩余大小和告警文件系统数。所述运行异常数据包括异常JOB数、异常用户数、异常文件数、ASM空间告警数和异常CRS(OracleClusterReadyService,Oracle集群就绪服务)数。所述系统bug数据包括adump(auditdump,审计信息文件)审计文件数、归档目录大小、失效对象数和监听日志大小。所述操作失误数据包括ORA错误数。
数据提取的清单如表1所示。
表1数据提取清单
下面对表1中的各项数据做进一步解释。
(1)数据总量:指的是数据库种所有对象的数据量,单位GB。
数据来源:数据库自有的系统表dba_segment;
取数条件:可取dba_segment表中bytes字段(为便于描述,以下将XX表中YY字段统一记为XX.YY),统计总量,即:数据总量=sum(dba_segment.bytes)。
(2)表数据总量:指的是数据库中对象为‘TABLE’的数据量,单位GB。
数据来源:数据库自有的系统表dba_segment;
取数条件:可取dba_segment表中bytes字段,筛选对象为‘TABLE’的结果统计总量,即条件为:segment_typelike‘TABLE’的记录,表数据总量=sum(dba_segment.bytes)。
(3)LOB数据量:指的是数据库中大字段(ORACLE固有的字段类型,其在数据库系统表dba_segment中标记为segment_type=’LOB’)的数据总量,单位GB;
数据来源:数据库自有系统表dba_segment;
取数条件:可取dba_segment中,筛选对象为‘LOB’的结果统计总量,即条件为segment_typelike‘LOB’的记录,取LOB数据量=sum(dba_segment.bytes)。
(4)adump审计文件数:指的是审计文件的数量,单位为:个数。
数据来源:数据库参数表V$parameter,取V$parameter中参数名’NAME’=′audit_file_dest′的值,该值即为审计文件存放路径;
取数条件:无条件统计该路径下所有文件的数量。
(5)归档目录大小:指的是文件系统中归档文件所在目录的大小,单位MB。
数据来源:可通过archiveloglist;命令得到归档文件相关信息,匹配Archivedestination字符串,取该行记录最后一列的值即为归档文件所在目录;
取数条件:无条件,统计归档文件所在目录的大小,单位MB。
(6)ORA错误数:指的是ORA错误的记录数。
数据来源:数据库日志;得到该日志的方法:数据库参数表v\$parameter中,取得该实例(INSTANCE_ID)的日志文件所在路径,具体条件为:取参数名’NAME’=‘background_dump_dest’的记录‘VALUE’字段值,该值即为ORA数据库日志文件所在路径,得到alert_INSTANCE_NAME.log文件;
取数条件:该文件中可统计当前时间上1个自然日的0:00起到当前时间的所有ORA报错记录的数量。
(7)归档个数:指的是一段时间内产生的归档文件的个数,单位:个数。
数据来源:数据库表dba_hist_sysstata,dba_hist_snapshot中得到归档文件记录;
取数条件:可取上一个自然日0:00到当前时间范围内,stat_id=’3048007007’(即归档文件数)的value值。
(8)归档量:指的是一段时间内产生的归档文件的大小,单位:MB。
数据来源:数据库表dba_hist_sysstata,dba_hist_snapshot中得到归档文件记录;
取数条件:可取上一个自然日0:00到当前时间范围内,stat_id=’1236385760(即归档文件大小)的value值。
(9)总会话数:指的是当前数据库的会话数,单位:个数。
数据来源:数据库会话表v$sessions;
取数条件:无条件,统计所有记录数。
(10)活动会话数:指的是当前数据库的活动会话数,单位:个数;
数据来源:数据库会话表v$sessions;
取数条件:状态为“活动”,即取status=’ACTIVE’的记录数,统计数量。
(11)服务会话数:指的是当前数据库的服务会话数,单位:个数。
数据来源:数据库会话表v$sessions;
取数条件:服务名为非后台的记录,即取service_name!=’BACKGROUND’的记录数,统计数量。
(12)非空闲会话数:指的是当前数据库的非空闲会话数,单位:个数。
数据来源:数据库会话表v$sessions;
取数条件:等待类型不等于“空闲”的会话数,即取字段’wait_class’!=’Idle’的记录数,统计数量。
(13)并行会话数:指的是产生并行的会话数,单位:个数。
数据来源:v$sessions和v$px_sessions;
取数条件:可取在v$sessions和v$px_sessions2张系统会话表中同时存在的sid数。
(14)异常JOB数:指的是数据库中运行异常的JOB数量。
数据来源:数据库的JOB任务记录表dba_jobs;
取数条件:可取当前时间向前7*24小时内的异常JOB数,判断其状态为异常的条件是:FAILURES字段不为’0’。
(15)异常用户数指的是数据库中运行异常的用户数量。
数据来源:数据库的User记录表dba_users;
统计条件:1)可取近7天内被锁的用户(条件为Lock_date>当前时间向前7天的;2)可取已经过期的用户;3)可取未来31天内将过期的用户。可统计以上3种情况用户的总数量。
(16)异常文件数:指的是数据库中异常的数据文件数量。
数据来源:数据库数据文件记录表v$datafile和临时数据文件记录表v$tempfile;
取数条件:v$datafile.statusin(′OFFLINE′,′RECOVER′,′SYSOFF′)的记录数和v$tempfile.status=’OFFLINE’的记录数总和。
(17)ASM告警数:指的是数据库中ASM卷组使用率超过临界值告警的数量。
数据来源:数据库ASM卷组信息表v$asm_diskgroup;
取数条件:可统计空闲空间小于总空间的10%的ASM卷组数量,具体在该信息表中即:free_mb/total_mb<0.1。
(18)ASM总量:指的是数据库中ASM卷组的总量。
数据来源:数据库ASM卷组信息表v$asm_diskgroup;
取数条件:无条件,统计各个ASM卷组的total_mb的值总和,即sum(v$asm_diskgroup.total_mb)。
(19)ASM剩余量:指的是数据库中ASM卷组的剩余空间总量。
数据来源:数据库ASM卷组信息表v$asm_diskgroup;
取数条件:无条件,统计各个ASM卷组的free_mb的值总和,即sum(v$asm_diskgroup.free_mb)。
(20)当前进程限制比:指的是当前活动的进程数与数据库系统限制最高可运行的进程数的比值;
取数来源:数据库系统表Resource_Limit,数据库系统表中:1)CURRENT_UTILIZATIION字段的值即当前活动进程数;2)Multi_Location字段的值为数据库允许的最大进程数;
取数方法:当前进程限制比=CURRENT_UTILIZATIION/Multi_Location。
(21)最大进程限制比:指的是数据库自启动以来活动进程数的最大值与数据库系统限制最高可运行的进程数的比值。
数据来源:数据库系统表Resource_Limit,数据库系统表中:1)MAX_UTILIZATIION字段的值即当前活动进程数;2)Multi_Location字段的值为数据库允许的最大进程数;
取数方法:最大进程限制比=MAX_UTILIZATIION/Multi_Location。
(22)回收站数量:指的是数据库运行过程中产生的回收站文件。
数据来源:数据库系统表DBA_RECYCLEBIN中;
取数条件:无条件,统计该表记录数量。
(23)失效对象数:指的数据库中已经失效的对象。
数据来源:数据库系统表DBA_OBJECTS;
取数条件:统计状态字段′STATUS′为′INVALID′的记录数;即条件为:STATUS=′INVALID′。
(24)失效索引数:指的是数据库中已失效的索引数量。
取数来源:数据库索引表DBA_INDEXES,数据库分区索引表DBA_IND_PARTITION、数据库子分区索引表DBA_IND_SUBPARTITIONS;
取数条件:取以上3表中,状态为status=′UNUSABLE′的数量全部统计。
(25)审计表大小;指的是数据库中审计信息的记录大小,单位:MB。
数据来源:数据库审计信息记录表aud$的大小;
取数条件:无条件统计大小。
(26)表空间剩余百分比:指的是数据库中表空间剩余量占总容量的百分比。
数据来源:数据库表空间信息表DBA_TABLE_SPACE、数据库固定表空间容量信息表DBA_DATA_FILES、数据库临时表空间容量信息表DBA_TEMP_FILES、数据库固定表空间剩余容量表DBA_FREE_SPACES和数据库临时表空间剩余容量表v$SORT_USAGE。
取数条件如图2所示。其中:
可读取DBA_TABLE_SPACE的字段名,DBA_TABLE_SPACE是数据库表空间信息表,该表字段名CONTENT的取值为”TEMPORARY”时,表明该表空间为临时表空间;否则,表明该表空间为固定表空间;
可根据CONTENT的取值获取表空间容量信息。DBA_DATA_FILES是数据库固定表空间容量信息表,该表中MAXBYTES字段表示最大可扩展空间,该字段值为0或者’-’时,表示该表空间不可扩展;该表中BYTES字段表示表空间的剩余容量大小,单位为Bytes;DBA_TEMP_FILES是数据库临时表空间容量信息表,该表中MAXBYTES字段表示最大可扩展空间,该字段值为0或者’-’时,表示该表空间不可扩展;该表中BYTES字段表示表空间的容量大小,单位为Bytes;
可根据表空间容量信息获取表空间剩余容量。DBA_FREE_SPACE是数据库固定表空间剩余容量表,该表中BYTES字段表示表空间的剩余容量大小,单位为Bytes;v$SORT_USAGE是数据库临时表空间剩余容量表,该表中字段BLOCKS表示该表空间包含的数据块数量,该表中字段BLOCK_SIZE表示该表空间每个数据库的容量大小,单位为Bytes,v$SORT_USAGE.BLOCKS*v$SORT_USAGE.BLOCK_SIZE即为该表空间的容量大小。
最终可按照不同情况分为4个输出:
以及
所述4个输出即为表空间剩余百分比。
(27)表空间最大可扩展大小:
数据来源:数据库表空间容量信息表DBA_TABLE_SPACE、数据库固定表空间容量信息表DBA_DATA_FILES和数据库临时表空间信息表DBA_TEMP_FILES。
取数条件如图3所示,其中:
可读取DBA_TABLE_SPACE的字段名,DBA_TABLE_SPACE是数据库表空间信息表,该表字段名CONTENT的取值为”TEMPORARY”时,表明该表空间为临时表空间;否则,表明该表空间为固定表空间;
可根据CONTENT的取值获取表空间容量信息。DBA_DATA_FILES是数据库固定表空间容量信息表,该表中MAXBYTES字段表示最大可扩展空间,该字段值为0或者’-’时,表示该表空间不可扩展;该表中BYTES字段表示表空间的剩余容量大小,单位为Bytes;DBA_TEMP_FILES是数据库临时表空间容量信息表,该表中MAXBYTES字段表示最大可扩展空间,该字段值为0或者’-’时,表示该表空间不可扩展;该表中BYTES字段表示表空间的容量大小,单位为Bytes;
可根据表空间容量信息获取表空间最大可扩展大小。
最终可按照不同情况分为4个输出:
DBA_DATA_FILES.MAXBYTES;
DBA_DATA_FILES.BYTES;
DBA_TEMP_FILES.MAXBYTES;
以及
DBA_TEMP_FILES.BYTES。
所述4个输出即为表空间最大可扩展大小。
(28)表空间剩余大小:指的是数据库中表空间剩余容量.
数据来源:数据库固定表空间剩余容量表DBA_FREE_SPACES和数据库临时表空间剩余容量表v$SORT_USAGE。
取数条件如图4所示,其中:
可读取DBA_TABLE_SPACE的字段名,DBA_TABLE_SPACE是数据库表空间信息表,该表字段名CONTENT的取值为”TEMPORARY”时,表明该表空间为临时表空间;否则,表明该表空间为固定表空间;
如果为固定表空间,则返回DBA_FREE_SPACE.BYTE,如果为临时表空间,则返回v$SORT_USAGE.BLOCKS*v$SORT_USAGE.BLOCK_SIZE。
(29)总进程数:即TOTPRO,指的是当前系统运行中总进程数。
取数方法:文件系统中,执行ps–ef命令,即得到总进程数。
(30)ORA进程数:即ORAPRO,指的是Oracle类型的进程数。
取数方法:文件系统中,执行ps–ef命令,即得到ORA总进程数。
(31)GRIP进程数:GRIPPRO,指的是当前运行的Grip总进程数量。
取数方法:文件系统中,执行ps–ef命令,即得到GRI总进程数。
(32)僵死进程数:即ZOMBPRO,指的是当前运行的僵死总进程数量。
取数方法:文件系统中,执行ps–ef命令,即得到僵死总进程数。
(33)总内存:指的是数据库系统运行可用的总内存。
数据来源:在文件系统中执行查看数据库系统可用内存的命令:
Linux/Windows系统使用命令:free–m得到total值;
AIX系统使用命令:prtconf得到MemorySize值
SunOs系统使用命令:prtconf得到Memory值;
Hp-Unix系统使用命令:machinfo得到GoodMemory值。
(34)剩余内存:即数据库服务端所在的操作系统剩余物理内存大小,单位:MB。
数据来源:vmstat命令,取当前虚拟内存状态报告的数据;
取数方法:
Linux系统:vmstat取free(未被分配的内存)、buffer(作为buffercache的内存,是块设备的读写缓冲区)、cache(作为pagecache的内存,文件系统的缓存)参数。
以上得到参数单位均为KB,需经过以下单位换算为单位MB:(free+buffer+cache)/1024;
Windows/Sun-OS系统:vmstat取free(剩余内存),以上得到参数单位均为KB,需经过以下单位换算为单位MB::free/1024;
Unix/AIX系统:vmstat取free(剩余内存),以上得到参数单位为:页,需经过以下单位换算为单位MB::free*4/1024。
(35)告警文件系统数:指的是容量已经超过告警临界值的文件系统数。
数据来源:在文件系统中执行df–P命令,得到文件系统使用率的值;
取数条件:排除/dev/sr、/media/RHEL、/media/DevFS、/media/cdrom、/proc等不可用的文件系统以外统计使用率超过90%的文件系统数量。
(36)CPU使用率:指的是当前数据库服务器CPU的使用率。
取数方法:在文件系统中执行vmstat命令,得到2个参数值:
us:用户消耗CPU时间百分比;
sy:系统消耗CPU时间百分比。
us+sy的和即为CPU使用率。
(37)异常CRS数:指的是当前数据库异常的集群状态数。
取数方法:在文件系统中执行crsstat–t命令,得到数据库集群状态信息;
取数条件:排除字段name为gsd、oc4j、cvu、acfs的记录,统计状态status为offline的行数(即集群数)。
(38)监听日志大小
取数方法:在文件系统中执行ps-ef命令得到ps.log,该文件中可得到相应数据库的tnsname与tnspath,统计监听日志大小,即tnsmb。
可对以上38项数据进行筛选,根据数据库的功能从所述运维数据中筛选出执行对应功能所需的参数。所述对应功能可包括Oracle数据库日常巡检、表空间分析、操作系统整体趋势分析、数据库整体趋势分析和表空间趋势分析。
S3,通过Winscp脚本接收目标主机返回的所述参数,将换算和处理后的参数导入Excel表格中,并根据Excel表格中的参数对数据库的安全性能进行检查。
在本步骤中,可根据运维要求,并按照相应的维度对Excel表格中的参数进行筛选和统计,然后,可将筛选和统计后的参数生成报表。与步骤S2中相应地,所述报表包括Oracle数据库日常巡检结果、表空间分析结果、操作系统整体趋势分析结果、数据库整体趋势分析结果和表空间趋势分析结果。
Oracle数据库日常巡检结果报表:该部分报表中,限定以目标数据库的系统时间为基准,设定每个自然日固定时间自动执行,选取从步骤S2提取出的38个参数中选取以下参数:
(1)ORA错误数;
(2)异常JOB数;
(3)异常CRS数;
(4)异常用户数;
(5)ASM空间告警数;
(6)ASM剩余量;
(7)告警空间数;
(8)异常文件数;
(9)总会话数;
(10)当前进程限制;
(11)归档个数;
(12)归档量;
(13)归档目录大小;
(14)数据总量;
(15)剩余内存;
(16)CPU使用率;
(17)告警文件系统数;
(18)总进程数;
(19)僵死进程数;
(20)adump文件数;
(21)监听日志大小。
以上21个参数作为Oracle数据库日常巡检功能模块报表展示。
表空间分析结果报表:该部分报表中,限定以目标数据库的系统时间为基准,选取从步骤S2提取出的38个参数中选取:
(1)表空间总量;
(2)最大可扩展表空间;
(3)剩余表空间;
(4)剩余表空间百分比。
以上4个参数作为表空间分析功能模块报表展示。
OS(操作系统)整体趋势分析结果报表:该部分报表中,根据设定的日期参数,选取该日期参数后的值,从步骤S2提取出的38个参数中选取以下参数(Oracle日常巡检的结果):
(1)总进程数;
(2)ORA进程数;
(3)GRI进程数;
(4)僵死进程数;
(5)内存使用率;
(6)告警文件系统数;
(7)CPU使用率);
(8)异常CRS数);
(9)监听日志大小。
以上取到的值为一段时间内,每天一组数据,由Excel自动生成趋势分析的图表。
数据库整体趋势分析结果报表:该部分报表中,根据设定的日期参数,选取该日期参数后的值,从步骤S2提取出的38个参数中选取以下参数(Oracle日常巡检的结果):
(1)数据总量;
(2)表数据量;
(3)LOB数据量;
(4)adump文件数;
(5)归档目录大小;
(6)归档个数;
(7)归档量;
(8)总会话数;
(9)活动会话数;
(10)并行会话数;
(11)非空闲会话数;
(12)异常JOB数;
(13)异常用户数;
(14)ASM剩余量;
(15)当前进程限制;
(16)最大进程限制;
(17)回收站数量;
(18)失效对象数;
(19)ORA错误数;
(20)失效索引数;
(21)审计表大小;
(22)启动时间。
以上取到的值为一段时间内,每天一组数据,由Excel自动生成趋势分析的图表。
表空间趋势分析结果报表:该部分报表中,根据设定的日期参数,选取该日期参数后的的值,从步骤S2提取出的38个参数中选取参数(Oracle日常巡检的结果):
剩余表空间容量(与表空间名称对应)。
以上取到的值为一段时间内,每天一组数据,由Excel自动生成趋势分析的图表。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
以某企业IDC系统真实场景为例子,采用本发明(软件/工具)进行数据库系统的安全检查与分析。
该IDC环境中有131套Oracle数据库,版本分布包括9i、10g、11g、12c等,使用该工具前,每做一次安全检查,需要1位熟练工程师逐套系统取数据,耗时约4个工作日。
采用本安全检查工具,工作流程如下:
步骤1:进入“控制台”页面,单击“编辑配置”,根据备注信息填入被巡检服务器的相关信息。必填字段:序号、类别、主机名、IP地址、资源名、查询、类型、启用、用户、验证方式、key、密码、端口、上传源目录、上传目标目录、脚本名、下载源目录。
注:“控制页”可配置控制整个模块的启用。
步骤2:上传文件:完成以上配置后,进入“控制台”,单击“上传文件”,即可把相关脚本部署上传到远程服务器上。
步骤3:执行脚本:进入“控制台”,单击“执行脚本”,在远程机器上执行部署的脚本。
步骤4:下载文件:进入“控制台”,单击“下载文件”,下载执行脚本生成的文件。
步骤5:导入excel:进入“控制台”,单击“导入excel”,将下载的文件导入excel表的基础表中。
进入“控制台”,单击“删除重复”,删除基础表中重复的数据(短时间多次导入会产生重复数据)。
步骤6:生成数据报表:进入“控制台”,单击“生成报告”,对基础表Oracleall、Oracleos、Oracletbs进行查询统计,生成ORACLE表格。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种数据库安全检查方法,其特征在于,包括以下步骤:
在Excel文档的宏工具中集成Winscp文件传输工具,通过所述Winscp文件传输工具读取需要进行数据库安全检查的目标主机中的配置文件,并根据所述配置文件中的信息将所述Winscp文件的shell自动检测脚本上传至目标主机;
在目标主机上执行所述shell自动检测脚本,通过所述shell自动检测脚本提取所述数据库的运行数据,根据预设的格式将所述运行数据保存成文本文件,对所述文本文件中的运行数据进行筛选,得到反映数据库运行的健康状态的运维数据,并根据数据库的功能从所述运维数据中筛选出执行对应功能所需的参数;
通过Winscp脚本接收目标主机返回的所述参数,将所述参数导入Excel表格中,并根据Excel表格中的参数对数据库的安全性能进行检查。
2.根据权利要求1所述的数据库安全检查方法,其特征在于,根据Excel表格中的参数对数据库的安全性能进行检查的步骤包括:
根据运维要求,并按照相应的维度对Excel表格中的参数进行筛选和统计;
将筛选和统计后的参数生成报表。
3.根据权利要求2所述的数据库安全检查方法,其特征在于,所述报表包括Oracle数据库日常巡检结果、表空间分析结果、操作系统整体趋势分析结果、数据库整体趋势分析结果和表空间趋势分析结果。
4.根据权利要求1所述的数据库安全检查方法,其特征在于,还包括以下步骤:
启动Winscp脚本;
通过Winscp脚本并根据SSH传输协议将shell脚本传输到所述数据库的系统中。
5.根据权利要求1所述的数据库安全检查方法,其特征在于,所述运维数据包括数据库性能参数、数据库容量参数、运行异常数据、系统bug数据、操作失误数据。
6.根据权利要求5所述的数据库安全检查方法,其特征在于,所述数据库性能参数包括归档个数、归档量、总会话数、活动会话数、服务会话数、非空闲会话数、并行会话数、当前进程限制比、最大进程限制比、回收站数量、失效索引数、审计表大小、总进程数、ORA进程数、GRI进程数、僵死进程数、总内存、剩余内存和CPU使用率。
7.根据权利要求5所述的数据库安全检查方法,其特征在于,所述数据库容量参数包括数据总量、表数据量、LOB数据量、ASM总量、ASM剩余量、回收站数量、审计表大小、表空间剩余百分比、表空间最大可扩展大小、表空间剩余大小和告警文件系统数。
8.根据权利要求5所述的数据库安全检查方法,其特征在于,所述运行异常数据包括异常JOB数、异常用户数、异常文件数、ASM空间告警数和异常CRS数。
9.根据权利要求5所述的数据库安全检查方法,其特征在于,所述系统bug数据包括adump审计文件数、归档目录大小、失效对象数和监听日志大小。
10.根据权利要求5所述的数据库安全检查方法,其特征在于,所述操作失误数据包括ORA错误数。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510890119.5A CN105528275B (zh) | 2015-12-04 | 2015-12-04 | 数据库安全检查方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510890119.5A CN105528275B (zh) | 2015-12-04 | 2015-12-04 | 数据库安全检查方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105528275A true CN105528275A (zh) | 2016-04-27 |
CN105528275B CN105528275B (zh) | 2017-12-22 |
Family
ID=55770518
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510890119.5A Active CN105528275B (zh) | 2015-12-04 | 2015-12-04 | 数据库安全检查方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105528275B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106126406A (zh) * | 2016-06-22 | 2016-11-16 | 中国建设银行股份有限公司 | 一种应用日报的生成方法及装置 |
CN107391374A (zh) * | 2017-07-21 | 2017-11-24 | 广东电网有限责任公司信息中心 | 中间件自动化检查方法 |
CN107909035A (zh) * | 2017-11-16 | 2018-04-13 | 国家电网公司 | 一种准实时故障录波文件的读取及分析系统 |
GB2567939A (en) * | 2017-10-16 | 2019-05-01 | Wise Network Science And Tech Consultancy Limited | Method for model checking on the design of security checking software of safety-critical distributed storage system |
CN111932706A (zh) * | 2020-08-10 | 2020-11-13 | 北京道迩科技有限公司 | 信息化巡检方法、装置、存储介质及电子设备 |
CN112130718A (zh) * | 2020-08-21 | 2020-12-25 | 深圳市风云实业有限公司 | 一种设备功能检测方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8863280B1 (en) * | 2006-09-28 | 2014-10-14 | Whitehat Security, Inc. | Automatic response culling for web application security scan spidering process |
CN104408170A (zh) * | 2014-12-09 | 2015-03-11 | 广州大乘信息科技有限公司 | 一种业务数据分析系统 |
CN104503880A (zh) * | 2014-12-16 | 2015-04-08 | 新余兴邦信息产业有限公司 | 一种MySQL数据库监控选项脚本的实现方法及装置 |
CN105068899A (zh) * | 2015-07-17 | 2015-11-18 | 浪潮电子信息产业股份有限公司 | 一种Vmware系统下自动重启稳定性测试方法 |
-
2015
- 2015-12-04 CN CN201510890119.5A patent/CN105528275B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8863280B1 (en) * | 2006-09-28 | 2014-10-14 | Whitehat Security, Inc. | Automatic response culling for web application security scan spidering process |
CN104408170A (zh) * | 2014-12-09 | 2015-03-11 | 广州大乘信息科技有限公司 | 一种业务数据分析系统 |
CN104503880A (zh) * | 2014-12-16 | 2015-04-08 | 新余兴邦信息产业有限公司 | 一种MySQL数据库监控选项脚本的实现方法及装置 |
CN105068899A (zh) * | 2015-07-17 | 2015-11-18 | 浪潮电子信息产业股份有限公司 | 一种Vmware系统下自动重启稳定性测试方法 |
Non-Patent Citations (2)
Title |
---|
徐婷 等: "数据库安全技术的理论研究", 《科技情报开发与经济》 * |
沈杰: "Oracle数据库安全检查系统的设计与实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106126406A (zh) * | 2016-06-22 | 2016-11-16 | 中国建设银行股份有限公司 | 一种应用日报的生成方法及装置 |
CN106126406B (zh) * | 2016-06-22 | 2019-05-31 | 中国建设银行股份有限公司 | 一种应用日报的生成方法及装置 |
CN107391374A (zh) * | 2017-07-21 | 2017-11-24 | 广东电网有限责任公司信息中心 | 中间件自动化检查方法 |
GB2567939A (en) * | 2017-10-16 | 2019-05-01 | Wise Network Science And Tech Consultancy Limited | Method for model checking on the design of security checking software of safety-critical distributed storage system |
GB2567939B (en) * | 2017-10-16 | 2021-11-10 | Wise Network Science And Tech Consultancy Limited | Method for model checking on the design of security checking software of safety-critical distributed storage system |
CN107909035A (zh) * | 2017-11-16 | 2018-04-13 | 国家电网公司 | 一种准实时故障录波文件的读取及分析系统 |
CN107909035B (zh) * | 2017-11-16 | 2021-05-28 | 国家电网公司 | 一种准实时故障录波文件的读取及分析系统 |
CN111932706A (zh) * | 2020-08-10 | 2020-11-13 | 北京道迩科技有限公司 | 信息化巡检方法、装置、存储介质及电子设备 |
CN112130718A (zh) * | 2020-08-21 | 2020-12-25 | 深圳市风云实业有限公司 | 一种设备功能检测方法 |
CN112130718B (zh) * | 2020-08-21 | 2022-03-25 | 中国人民解放军32802部队 | 一种设备功能检测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN105528275B (zh) | 2017-12-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105528275A (zh) | 数据库安全检查方法 | |
US9953066B2 (en) | Automatically generating and reporting merged performance and capacity statistics | |
US7203711B2 (en) | Systems and methods for distributed content storage and management | |
US9384112B2 (en) | Log collection, structuring and processing | |
US10169723B2 (en) | Distributed policy distribution for compliance functionality | |
CA2629279C (en) | Log collection, structuring and processing | |
US20110314148A1 (en) | Log collection, structuring and processing | |
US20110191394A1 (en) | Method of processing log files in an information system, and log file processing system | |
US8984633B2 (en) | Automated security analytics platform with visualization agnostic selection linked portlets | |
EP2779044A1 (en) | System and method to provide management of test data at various lifecycle stages | |
US10606707B2 (en) | Enhancing robustness of a database application | |
US20130232127A1 (en) | Meta-directory control and evaluation of events | |
JP2006302170A (ja) | ログ管理方法及び装置 | |
US20110016088A1 (en) | System and method for performance and capacity monitoring of a reduced redundancy data storage system | |
CN108092936A (zh) | 一种基于插件架构的主机监控系统 | |
US8738768B2 (en) | Multiple destinations for mainframe event monitoring | |
CN111737227A (zh) | 数据修改方法及系统 | |
US11748495B2 (en) | Systems and methods for data usage monitoring in multi-tenancy enabled HADOOP clusters | |
CN113485999A (zh) | 数据清理方法、装置和服务器 | |
US7519610B2 (en) | Method and apparatus for efficiently storing audit event data having diverse characteristics using tiered tables | |
US20100094991A1 (en) | Automated Role Based Usage Determination for Software System | |
Satrya et al. | A novel Android memory forensics for discovering remnant data | |
US20070283029A1 (en) | Populating service requests | |
CN113282549A (zh) | 一种云计算管理系统 | |
US9223792B1 (en) | Augmenting metadata collection for stored data analytics |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |