数据库系统安全管理设计

数据仓库系统的建设，将企业几乎所有的数据都放入数据仓库中，进行严格的系统安全管理是非常有必要的事情。

系统安全的管理设计主要包括了以下几个方面的内容。

操作系统的安全管理    1

网络的安全管理    2

数据的安全管理    2

前端应用安全控制    3

数据库权限控制    4

开发环境操作系统的安全管理    7

操作系统的安全管理

UNIX 系统管理员

指定一位系统的UNIX系统管理员。此人员的职务是管理UNIX环境，包括使用者、应用程序、档案系统及装置。使用者的管理注重在建立适当安全性的使用者帐号上，及定期去除不再使用的帐号。UNIX系统管理员通常必须负责维持根密码(root password)的安全性。UNIX系统管理员必须负责执行企业的安全(security policy)及5300系统上的标准。

UNIX帐号

UNIX系统上需要若干个使用者帐号。

root： 此为主要的管理帐号，具有对系统完全的存取及控制权。UNIX系统管理员必须维护根密码(root password)的安全并定期改变此密码。

non-root 系统管理帐号：系统管理者会选择在与root的帐号下(不同的UNIX使用者识别码)执行大部分的操作，但仍享有root的大部分。

开发帐号(development account)：存取系统以便开发加载描述语言(scripts)、备份及回存描述语言等的技术部门职员需要个别的帐号。

NCR客户服务(Customer Services)所需的‘支持(support)’帐号：NCR客户服务专员经常需要存取系统以执行各种不同的任务，包括UNIX升级与修补(patch)的应用、更换失效的组件

工作帐号(job accounts) ：批次工作所需的使用者识别码等。

网络的安全管理

Teradata提供的数据服务，必须通过三层结构的应用服务才能展现到最终用户的桌面上，理论上最终用户应用访问不使用c/s的数据库联接方式，所以网络上需要可以访问数据仓库服务器的IP必须为应用服务器、ETL服务器、Teradata数据库管理客户机。

数据的安全管理

数据拥有权

数据是共同的资源，应使所有需要其中信息以完成个人任务的人员能够有效并且方便地访问这些资源。

数据的拥有权必须建立在主题的层次上，依据LDM加以管理，可妥善地授权以提供属性(attribute)层次的安全性。

逻辑数据模型按照主题的方式进行数据的整合，然后将不同的主题指派给各种不同的业务部门。这些部门指定一个负责数据安全的人员，即数据拥有者。任何需要存取数据的人必须提出请求，而前面提及的数据拥有者必须负责核准或拒绝对该数据的存取。

存取数据控制

存取数据应该基于使用者必须知道的前提，然而必须有所平衡。若存取数据的程序太多或太麻烦，则会阻碍使用信息的意愿。另一方面，若无，则会衍生出机密信息落入不该得到数据者手中的合法性问题，而这对于企业来说显得非常重要。妥善管制的关键是保证数据存取受到管制且不论何时皆能够知道什么人在何时访问了什么样的数据。

在此数据仓库实施要点上，建议以应用的层次将数据分组，并以使用者层次将使用者分组，全面管理数据的访问。使用者可根据其所属分支办公室(branch office)、组别(division)及部门(department)层次加以分组。

在此情况下，建议各部门领导决定他们部门需要设定业务应用中的哪些组，然后同意该部门存取支持该业务应用所需的数据。有权存取数据仓库的该部门的所有成员将自动能够存取其企业应用所需的数据。随着数据仓库的逐步成熟，可能会有需要以个别使用者的层次授予数据的存取权限。

数据的安全管理实施方法

实施数据的安全管理，必须建立集中式元数据管理系统，存储数据仓库以及各业务系统数据库的METADATA，在元数据系统中定义用户、组别等对象，将数据授权流程化。所有的应用必须遵照元数据系统的数据安全定义，进行数据安全控制，才能够保证所有应用的数据访问策略保持一致，杜绝数据安全漏洞。

但目前，建设元数据系统还缺乏足够的条件，所以数据的安全管理只能在应用或者门户上进行控制。

前端应用安全控制

前端用户描述

使用浏览器访问数据仓库的前端用户是通过前端应用服务器访问数据库的。大致分为四种类型的用户：

前端用户的审计功能

在系统中建构针对前端用户的审计功能，记录每个业务用户访问的数据模型，使用的数据库用户，登录用户，以及具体的查询条件、查询内容和使用时间。并提供审计人员通过前端图形界面进行审计的功能。

数据库权限控制

数据库登入管制

Teradata关系型数据库(RDBMS)经由使用者名称及密码认证使用者的登入，若使用者名称有效且密码正确则建立联机(session)。此外，Teradata关系型数据库亦能够验证由客户端系统联机(局域网络、广域网络或数据库控制台)所发出的登入请求是否已经明确地关联到该使用者名称。

数据库存取权限

一旦使用者登入系统的后，需要进一步的管制以控制他们在数据仓库内对信息的访问。不论正在使用哪一种应用程序，亦不论这些应用程序的组态如何规划，Teradata数据库皆有权决定哪一位使用者可存取什么信息。对数据库的数据表中的信息作选取(SELECT)、更新(update)或删除(delete)的权限可指派给个别使用者或指派给使用者群组。其它需要授权的活动包括建立(create)及删除(drop)数据库、数据表及其它对象、执行中的宏(预存程序)及改变他们自己与其它使用者的存取权限。存取权限加上使用者识别码、对象名称及存取型态等，在存取被认可前作查验。

有三种型态的存取权：拥有者权限(ownership rights)；自动产生的权限(automatic rights)；及显示授予的权限(explicit rights)。它们的定义如下：

拥有者权限：对于数据库、使用者或对象建立所在的空间，系统隐含地(暗示地，不需利用陈述指令)将拥有权授予该空间的拥有者。拥有者为建立新对象的使用者或数据库(在CREATE DATABASE / CREATE USER陈述的FROM子句中指定)。例如，数据表的拥有者具有隐含的权限，能够准许(GRANT)它自己对于其所拥有的数据表有SELECT的。

自动产生的权限：此为系统自动授予数据库、使用者或对象的建立者的权限，及授予新建的使用者或数据库的权限。

显示授予的权限：此为由任何具有WITH GRANT OPTION的使用者所授予的权限。显示授予(通过命令显示地以陈述方式授予)的权限可使用Teradata的SQL GRANT命令来授予。

只有数据库管理者(DBA)具有自动产生的权限(由于他们要建立数据表)且只有bocn及 DBC具有拥有者的权限。

数据库视图对象在安全管理中的应用

可经由数据库视图以非常细微的层次来控制对数据仓库中信息的存取。视图对象在下列情况特别有用：

使用者仅被允许检视数据库表格内的某些属性，但不能检视其它属性；

使用者仅被允许检视数据库表格内的部分数据记录，但不能检视其它数据记录；

使用者仅被允许看到摘要信息，但不能看到详细信息。

视图不但可以选择列出部分字段，也能详列聚合(aggregations)、分组(grouping)、排序(sorting)及连结(join)其它数据表，这些数据表对于使用者而言都是不可见的。 

建议实施这些视图对象的方式为：

1.设计含有全域数据的表格，即其所有的数据可以被任何用户看到。

2.将检视对象设计到数据表中，通过它们来定义每一使用者群组被允许检视的数据表属性的子集合。

3.授予使用者群组对相关检视对象的SELECT存取权限，但不允许对基础数据表(underlying table)作任何访问。

4.该检视对象本身被授予对基础数据表的SELECT存取权。

在实施时，强烈建议通过对数据库检视对象与使用者群组的组合管理来控制对数据仓库信息的存取。

数据库存取日志(Database Access Logging)在安全管理中的应用

通过存取日志可记录使用者在Teradata数据库中的所有活动。可选择下列各项内容来启用存取日志：

针对所有使用者、使用者群组、或个别使用者。

针对所有对象，或个别数据库、数据表、视图及宏。

如果使用者尝试存取某一数据库对象，且该对象已包含在目前的日志定义中，则系统会记录其使用者识别码、对象名称及此一存取动作是否被相应的存取权限所允许。 所使用的SQL语句也可以选择性的被记录下来。 

Teradata也会拦截所有登入系统的尝试。系统管理员可查看此信息。

建议应对敏感数据的存取加以记录，这些敏感数据包括含有客户个人详细数据及其持有和交易的相关数据。

数据库权限管理实施方法

建立bocn为数据库总拥有者，所有空间分配给bocn，数据库和login全部由bocn创建。

数据库分为MSI，BASICINFO、ABP和SA四个层次。

MSI用于建立主题数据接口层，例如MA等数据库，MSI中的login可以完全管理自己的数据库，但只能读取BASICINFO的数据库。

BASICINFO数据库直接由bocn管理，主要存放OMDS和URS层的数据。

ABP作为附加批处理层，其中的login除完全管理自己的数据库外，只能读取SA中的数据库。

SA中的数据库直接由bocn管理，ETL时更新数据。

开发环境操作系统的安全管理

网络安全

开发环境的Teradata数据库服务器，只能连接一台可连接生产网段的ETL服务器，其他生产网段的服务器都不可以连接，当然还需要连接开发网段的开发客户机。

数据安全

开发环境中不允许出现真实的敏感信息，需要在数据加载到Teradata前进行变形处理，处理算法必须由交行内部人员掌握。需要数据拥有者提出敏感信息的最小集合，以便进行变形处理。