數據庫系統安全開發(fā)和改造規(guī)范

1、某某石油管理局企業(yè)標準數據庫系統安全開發(fā)和改造規(guī)范某某石油管理局 發(fā)布前 言本標準由某某石油管理局計算機應用及信息專業(yè)標準化委員會提出并歸口。 本標準由某某石油管理局信息中心起草。本標準的主要內容包括：適用范圍、術語定義、數據庫的開發(fā)和改造等幾部分。1范圍本標準規(guī)定了局某某石油管理局某某油田數據庫系統安全開發(fā)與改造規(guī)范。 本標準適用于某某油田（企業(yè)內部）數據庫系統安全開發(fā)與改造的全過程。2規(guī)范解釋權某某油田信息中心網絡標準和規(guī)范小組3基本原則本規(guī)范是參考國家相應標準，并參考相應國際標準，并結合某某油田的相應實際而制定4使用說明1 本規(guī)范所提到的重要數據應用部門，如無特別說明，均指某某油田范圍內

2、各個有重要數據（如生產數據，管理數據等）的部門，這里不具體指明，各單位可以參照執(zhí)行。2 本規(guī)范說明了如何在現有數據庫系統上應用的開發(fā)與改造方法，但不包括數據系統的應用與管理。也不說明數據庫系統本身的開發(fā)與改造方法。5總則1 為加強某某油田各單位數據庫技術管理，有效地保護和利用數據庫技術資源，最大程度地防范技術風險，保護使用者的合法權益，根據中華人民共和國計算機信息系統安全保護條例及國家有關法律、法規(guī)和政策，結合油田的實際情況，制定本規(guī)范。2 本規(guī)范所稱的數據庫，是指所有與油田業(yè)務相關的信息存儲體的集合。3 某某油田中從事數據庫開發(fā)與改造的人員，均須遵守本規(guī)范。6數據庫系統的基本概念數據、數據庫

3、、數據庫管理系統和數據庫系統是與數據庫技術密切相關的四個基本概念。數據是數據庫中存儲的基本對象。數據在大多數人的頭腦中第一個反應就是數字。其實數字只是最簡單的一種數據，是數據的一種傳統和狹義的理解。廣義的理解，數據的種類很多，文字、圖形、圖像、聲音、學生的檔案記錄、貨物的運輸情況等等，這些都是數據。我們可以對數據做如下定義：描述事物的符號記錄稱為數據。描述事物的符號可以是數字，也可以是文字、圖形、圖像、聲音、語言等，數據有多種表現形式，它們都可以經過數字化后存入計算機。數據庫，是存放數據的倉庫。只不過這個倉庫是在計算機存儲設備上，而且數據是按一定的格式存放的。所謂數據庫中，是指長期存儲在計算機

4、內、有組織的、可共享的數據集合。數據庫中的數據按一定的數據模型組織、描述和存儲，具有較小的冗余度、較高的數據獨立性和易擴展性，并可為各種用戶共享。數據庫管理系統是位于用戶與操作系統之間的一層數據管理軟件，它負責科學地組織和存儲數據以及如何高效地獲取和維護數據。7數據庫系統的分類7.1 集中型 在這種結構中，客戶程序連接某臺指定的機器并通過其完成交易。數據庫放置在同一臺機器上，或指定一臺專門的機器充當數據庫服務器。7.2 數據分布型 數據分布型結構類似前一種結構，只是數據庫分布在每臺服務器上。它具有的優(yōu)點是：無單點失敗且可獨立進行管理。我們可以將這種結構用于數據分割，例如邏輯分割和地理分割。7.

5、3 數據集中型 這種結構是對集中型的一種增強，由其中的一臺機器作為數據存取服務器，而在前臺提供更多的應用服務器，共享一個數據庫服務器。這種情況下，必須使用數據庫軟件提供的并行處理功能及硬件廠商提供的硬件集群策略。7.4 高可用性 現在，所有用戶都希望在硬件出現錯誤時，應用的遷移能更加簡單，并且在遷移的同時能保證系統繼續(xù)運行且盡量減少人工干預。中間件可以提供這樣的功能，它可以幫助操作系統自動遷移關鍵組件到正常的機器上。8數據庫類型的開發(fā)方式與訪問接口數據庫類型的開發(fā)方式主要是用分布式組件技術。組件是獨立于特定的程序設計語言和應用系統、可重用和自包含的軟件成分。組件是基于面向對象的，支持拖拽和即插

6、即用的軟件開發(fā)概念?；诮M件技術的開發(fā)方法，具有開放性、易升級、易維護等優(yōu)點。它是以組合(原樣重用現存組件 、繼承(擴展地重用組件 、設計(制作領域專用組件 組件為基礎，按照一定的集成規(guī)則，分期、遞增式開發(fā)應用系統，縮短開發(fā)周期。在開發(fā)過程中遵循以組件為核心原則、組件實現透明原則及增量式設計原則。基于組件開發(fā)方法的優(yōu)點：1 速度快。因為組件技術提供了很好的代碼重用性，用組件開發(fā)應用程序主要的工作是“配置”應用，應用開發(fā)人員只需寫業(yè)已有的組件沒有提供的應用新特征的代碼，這比寫整個應用的代碼快得多。2 可靠性高。因為組件開發(fā)中所用的組件是已經測試過的，雖然整個應用仍然需要測試，基于組件的應用還是要

7、比使用傳統技術開發(fā)的應用要可靠的多。3 編程語言和開發(fā)工具的透明性?；诮M件的開發(fā)方法允許用不同的語言編寫的組件共存于同一應用中，這在大型的復雜應用開發(fā)中是很重要的。4 組件的積累。組件的積累就是財富的積累，可以為新系統提供一定的支持。5 提高系統互操作性。組件必須按照標準開發(fā)，而標準具有權威性和指導作用，支持更廣泛的代碼重用。6 開發(fā)者注意力更多地集中在商業(yè)問題上?；诮M件的開發(fā)，使編程人員將大多數時間用在所要解決的商業(yè)問題上，而不是用于擔心低級的編程細節(jié)問題。7 為自己開發(fā)還是購買提供了最好的選擇。購買組件裝配到定制的系統中的優(yōu)勢是，不必要購買一個不完全適合于自己的軟件，還可以減少風險，因

8、為購買的組件已經經過廣泛的使用與測試。目前，在組件技術標準化方面，主要有以下三個比較有影響的規(guī)范：1 OMG 起草與頒布的CORBA ；2 微軟公司推出的COM/DCOM/COM+；3 SUN 發(fā)表的JavaBeans 。異構數據源訪問接口 在網絡環(huán)境下，特別是分布式系統中，異構數據庫的訪問是一個不可避免的問題，采用SQL 語言的異構數據庫為解決相互訪問問題提供了可能。目前最有影響的有兩種標準是：1Microsoft 公司的ODBC ；2 以Sun 和JavaSoft 公司為代表的JDBC 。9開發(fā)與改造管理基于目前某某油田的應用實際，我們這里所說的安全開發(fā)與改造，并不指對數據系統本身開發(fā)與改

9、造，而是基于數據庫上的相關應用的開發(fā)與改造。9.1 關于數據庫開發(fā)與改造的保密管理的說明由于在某某油田中的數據庫中的數據可能包括敏感數據，它的泄露與破壞可能對某某油田甚至對國家、社會造成重大的人力、物力、財力損失，所以，在涉密數據庫系統的開發(fā)與改造過程中，應該對數據的保密性有特殊的要求。1 密數據庫的開發(fā)與改造項目，必須經某某油田信息安全中心與數據應用單位的主管部門的聯合批準立項，同時要求對開發(fā)與改造過程中的安全風險做出評估，對需要保密的數據字段做出書面上的要求。對于這種評估與要求應做出相應的存檔備案。2 在開發(fā)過程中，可能使用到的試驗數據應該由開發(fā)部門自已生成模擬數據，應用單位不應提供原有的

10、可能涉密的真實數據做試驗，以防泄密。3 系統在設計與開發(fā)時不應留有“后門”，即不應以維護、支持或操作需要為借口，設計有違反或繞過安全規(guī)則的任何類型的入口和文檔中未說明的任何模式的入口。如有發(fā)現，應用方有權對系統設計與開發(fā)方追究責任。4 在數據系統的改造過程中，系統的原有數據不得做新系統的試驗數據，以防數據被破壞與泄露。但系統改造完成之后，又要求能無縫地導入原有的數據，保證系統的順利運行。5 在數據系統的運行維護過程中，技術維護人員不應得到系統的最高權限。同時為了防止由于系統管理人員或特權用戶的權限過于集中所帶來的安全隱患，應將數據庫系統的常規(guī)管理、與安全有關的管理以及審計管理，分別由系統管理員

11、、系統安全員和系統審計員來承擔，并按最小授權原則分別授予它們各自為完成自己所承擔任務所需的最小權限，還應在三者之間形成相互制約的關系。6 對于涉密系統，我們要求相應要求保密的數據不能以明文的形式存儲在物理介質上。這可能采用兩種辦法，一種是由數據庫系統本身提供的加密方法（如果具體采用的產品提供），另一種是經過應用系統加密之后再交數據庫系統操作。7 對于涉密系統，我們要求相應要求保密的數據不能以明文的形式在網絡介質上傳輸。其目的是防止被動攻擊。所采用的方法如下:可以是對數據進行軟件應用層加密；也可以在相應的網絡硬件中加入加解密設施;現在許多數據庫在傳輸過程中也能用相應加密模塊加密后再傳輸;如果傳輸

12、經過的網絡范圍較小(如一個機房內 ，那么物理介質隔離是一種有效的辦法。9.2 關于數據庫開發(fā)與改造的功能要求規(guī)范對于開發(fā)與改造后的數據庫應用系統的功能，我們提出以下要求：9.2.1 身份鑒別9.2.1.1 用戶標識應對注冊到數據庫管理系統中的用戶進行唯一性標識。用戶標識信息是公開信息，一般以用戶名和/或用戶 ID 實現。為了管理方便，可將用戶分組，也可使用別名。無論用戶名、用戶 ID、用戶組還是用戶別名，都要遵守標識的唯一性原則。9.2.1.2 用戶鑒別應對登錄到數據庫管理系統的用戶進行身份真實性鑒別。通過對用戶所提供的“鑒別信息”的驗證，證明該用戶確有所聲稱的某種身份，這些“鑒別信息”必須是

13、保密的，不易偽造的。用戶進入數據庫管理系統時的身份鑒別，并按以下要求進行設計：1 凡需進入數據庫管理系統的用戶，可以選擇采用該用戶在操作系統中的標識信息，也可以重新進行用戶標識。重新進行用戶標識應在用戶注冊（建立賬號）時進行。2 當用戶登錄到數據庫管理系統或與數據庫服務器（如通過網絡）進行訪問連接時，應進行用戶鑒別。這可以參考某某油田的CA 認證與授權系統的相關要求進行設計。3 數據庫管理系統用戶標識一般使用用戶名和用戶標識（UID ）。為在整個數據庫系統范圍實現用戶的唯一性，應確保數據庫管理系統建立的用戶在系統中的標識（SID ）與在各數據庫系統中的標識（用戶名或別名，UID 等）之間的一致

14、性。4 分布式數據庫系統中，全局應用的用戶標識信息和鑒別信息應存放在全局數據字典中，由全局數據庫管理安全機制完成全局用戶的身份鑒別。局部應用的用戶標識信息和鑒別 信息應存放于局部數據字典中，由局部數據庫安全機制完成局部用戶的身份鑒別。5 數據庫用戶的標識和鑒別信息應受到操作系統(包括網絡操作系統 和數據庫系統的雙重保護。操作系統應確保任何用戶不能通過數據庫以外的使用方式獲取和破壞數據庫用戶的標識和鑒別信息。數據庫系統應保證用戶以安全的方式和途徑使用數據庫系統的標識和鑒別信息。6 數據庫用戶標識信息應在數據庫系統的整個生命期有效，被撤消的用戶賬號的 UID 不得再次使用。9.2.2 標記與訪問控

15、制9.2.2.1 標記與安全屬性管理應通過標記為 TCB 安全功能控制范圍內的主體與客體設置安全屬性。具體要求為：1 對于自主訪問控制，標記以某種方式表明主體與客體的訪問關系；2 對于強制訪問控制，不同的訪問控制模型有不同的標記方法。基于多級安全模型的強制訪問控制，標記過程授予主體與客體一定的安全屬性，這些安全屬性構成采用多級安全模型的強制訪問控制機制的屬性庫強制訪問控制的基礎數據。數據庫管理系統需要對主、客體獨立進行標記。3 用戶安全屬性應在用戶建立注冊帳戶后由系統安全員通過 TCB 所提供的安全員界面進行標記并維護；4 客體安全屬性應在數據輸入到由 TCB 安全功能所控制的范圍內時以缺省方

16、式生成或由安全員進行標記并維護；5 系統管理員、系統安全員和審計員的安全屬性應通過相互標記形成制約關系。應根據數據庫特點和要求，實現不同粒度的訪問控制。這些特點主要是：1 數據以特定結構格式存放，客體的粒度可以是：關系數據庫的表、視圖、元組（記錄）、列（字段）、元素（每個元組的字段）、日志、片段、分區(qū)、快照、約束和規(guī)則、DBMS 核心代碼、用戶應用程序、存儲過程、觸發(fā)器、各種訪問接口等；2 數據庫系統有完整定義的訪問操作；3 數據庫是數據與邏輯的統一，數據庫中不僅存放了數據，還存放了大量的用于管理和使用這些數據的程序，這些程序和數據同樣需要進行保護，以防止未授權的使用、篡改、增加或破壞；4 數

17、據量大、客體豐富是數據庫的又一特點，考慮到性能和代價，應對于不同客體給予不同程度的保護，如對敏感字段加密，對敏感表建立視圖等。5 數據庫系統具有數據生命周期長、用戶分散、組成復雜等特點，要求長期的安全保護；6 數據庫中的三級結構（物理結構、邏輯結構、概念模型結構）和兩種數據獨立性（物理獨立性、邏輯獨立性）大大減輕數據庫應用程序的維護工作量，但是由于不同的邏輯結構可能對應于相同的物理結構，給訪問控制帶來新的問題，應對訪問規(guī)則進行一致性檢查；7 數據庫管理系統的訪問控制是在 OS 之上實現的，考慮到效率因素，數據庫管理系統的訪問控制應在外層實現；8 數據庫系統中客體具有相互聯系的特點，這些“聯系”

18、本身也是一種非常有效的信息，防止未授權用戶獲得或利用這些“聯系”，需要進行“推理控制”；9 分布式數據庫管理系統中，全局應用的訪問控制應在全局 DBMS層實現，局部應用的訪問控制應在局部 DBMS 層實現，并根據需要各自選擇不同的訪問控制策略；1 訪問操作應由數據庫子語言定義，并與數據一起存放在數據字典中。對任何 SQL 對象進行操作應有明確的權限許可，并且權限隨著操作和對象的變化而變化，安全系統應有能力判斷這種權限許可。操作與對象緊密相聯，即把“操作+對象”作為一個授權。2 訪問規(guī)則應以訪問控制表或訪問矩陣的形式表示，并通過執(zhí)行相應的訪問控制程序實現。每當執(zhí)行 SQL語句、有訪問要求出現時，

19、通過調用相應的訪問控制程序，實現對訪問要求的控制。3 授權傳播限制應限制具有某一權限的用戶將該權限傳給其他用戶。當一個用戶被授予某權限，同時擁有將該權限授予其它用戶的權力時，該用戶就會擁有對該授權的傳播權。為了增強數據庫系統的安全性，需要對授權傳播進行某些限制。9.2.2.4 強制訪問控制應采用確定的安全策略模型實現強制訪問控制。當前常用的安全策略模型是多級安全模型。該模型將可信計算基安全控制范圍內的所有主、客體成分通過標記方式設置安全屬性（等級和范疇）。該模型并按由簡單保密性原則確定的規(guī)則從下讀、向上寫，根據訪問者主體和被訪問者客體的安全屬性，實現主、客體之間每次訪問的強制性控制。根據數據庫

20、管理系統的運行環(huán)境的不同，強制訪問控制分為：1 在單一計算機系統上或網絡環(huán)境的多機系統上運行的單一數據庫管理系統，訪問控制所需的安全屬性存儲在統一的數據庫字典中，使用單一的訪問規(guī)則實現；2 在網絡環(huán)境的多機系統上運行的分布式數據庫系統，全局應用的強制訪問控制應在全局DBMS 層實現，局域應用的強制訪問控制應在局部 DBMS 層實現。其所采用的訪問規(guī)則應是一致的。9.2.3 數據完整性9.2.3.1 實體完整性和參照完整性1 數據庫管理系統應確保數據庫中的數據具有實體完整性和參照完整性。關系之間的參照完整性規(guī)則是“連接”關系運算正確執(zhí)行的前提。2 用戶定義基本表時，應說明主鍵、外鍵，被引用表、列

21、和引用行為。當數據錄入、更新、刪除時，由數據庫管理系統應根據說明自動維護實體完整性和參照完整性。9.2.3.2 用戶定義完整性1 數據庫管理系統應提供支持用戶定義完整性的功能。系統應提供定義 和檢查用戶定義完整性規(guī)則的機制，其目的是用統一的方式由系統處理，而不是由應用程序完成，從而不僅可以簡化應用程序，還提高了完整性保證的可靠性。2 數據庫管理系統應支持為約束或斷言命名（或提供默認名稱），定義檢查時間、延遲模式或設置默認檢查時間和延遲模式，支持約束和斷言的撤消。9.2.3.3 數據操作的完整性數據操作的完整性約束為：1 用戶定義基本表時應定義主鍵和外鍵；2 對于候選鍵，應由用戶指明其唯一性；3

22、 對于外鍵，用戶應指明被引用關系和引用行為；4 應由數據庫管理系統檢查對主鍵、外鍵、候選鍵數據操作是否符合完整性要求，不允許提交任何違反完整性的事務；刪除或更新某元組時，數據庫管理系統應檢查該元組是否含有外鍵，若有，應根據用戶預定義的引用行為進行刪除。9.2.4 數據庫安全審計數據庫管理系統的安全審計應：1 建立獨立的安全審計系統；2 定義與數據庫安全相關的審計事件；3 設置專門的安全審計員；4 設置專門用于存儲數據庫系統審計數據的安全審計庫；5 提供適用于數據庫系統的安全審計設置、分析和查閱的工具。9.2.5 客體重用數據庫系統大量使用的動態(tài)資源，多由操作系統分配。實現客體安全重用的操作系統和數據庫管理系統應滿足以下要求：數據庫管理系統提出資源分配要求，如創(chuàng)建新庫，數據庫設備初始化等，所得到的資源不應包含該客體以前的任何信息內容；數據庫管理系統提出資源索回要求，應確保這些資源中的全部信息被清除；數據庫管理系統要求創(chuàng)建新的數據庫用戶進程，應確保分配給每個進程的資源不包含殘留信息；數據庫管理系統應確保已經被刪除或被釋放的信息不再是可用的。9.2.6 數據庫可信恢復數據庫系統中的可信恢復具有特定含義，主要應包括：1 確保能在確定不減弱保護的情況下啟動安