數(shù)據(jù)庫(kù)系統(tǒng)安全開發(fā)和改造規(guī)范(范本)

1、天馬行空官方博客： ；QQ:1318241189；QQ群：175569632某某石油管理局企業(yè)標(biāo)準(zhǔn)數(shù)據(jù)庫(kù)系統(tǒng)安全開發(fā)和改造規(guī)范某某石油管理局 發(fā)布 前 言本標(biāo)準(zhǔn)由某某石油管理局計(jì)算機(jī)應(yīng)用及信息專業(yè)標(biāo)準(zhǔn)化委員會(huì)提出并歸口。本標(biāo)準(zhǔn)由某某石油管理局信息中心起草。本標(biāo)準(zhǔn)的主要內(nèi)容包括：適用范圍、術(shù)語(yǔ)定義、數(shù)據(jù)庫(kù)的開發(fā)和改造等幾部分。1范圍 本標(biāo)準(zhǔn)規(guī)定了局某某石油管理局某某油田數(shù)據(jù)庫(kù)系統(tǒng)安全開發(fā)與改造規(guī)范。本標(biāo)準(zhǔn)適用于某某油田（企業(yè)內(nèi)部）數(shù)據(jù)庫(kù)系統(tǒng)安全開發(fā)與改造的全過程。2規(guī)范解釋權(quán)某某油田信息中心網(wǎng)絡(luò)標(biāo)準(zhǔn)和規(guī)范小組3基本原則本規(guī)范是參考國(guó)家相應(yīng)標(biāo)準(zhǔn)，并參考相應(yīng)國(guó)際標(biāo)準(zhǔn)，并結(jié)合某某油田的相應(yīng)實(shí)際而制定4

2、使用說明 1)本規(guī)范所提到的重要數(shù)據(jù)應(yīng)用部門，如無(wú)特別說明，均指某某油田范圍內(nèi)各個(gè)有重要數(shù)據(jù)（如生產(chǎn)數(shù)據(jù)，管理數(shù)據(jù)等）的部門，這里不具體指明，各單位可以參照?qǐng)?zhí)行。2)本規(guī)范說明了如何在現(xiàn)有數(shù)據(jù)庫(kù)系統(tǒng)上應(yīng)用的開發(fā)與改造方法，但不包括數(shù)據(jù)系統(tǒng)的應(yīng)用與管理。也不說明數(shù)據(jù)庫(kù)系統(tǒng)本身的開發(fā)與改造方法。5總則1)為加強(qiáng)某某油田各單位數(shù)據(jù)庫(kù)技術(shù)管理，有效地保護(hù)和利用數(shù)據(jù)庫(kù)技術(shù)資源，最大程度地防范技術(shù)風(fēng)險(xiǎn)，保護(hù)使用者的合法權(quán)益，根據(jù)中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例及國(guó)家有關(guān)法律、法規(guī)和政策，結(jié)合油田的實(shí)際情況，制定本規(guī)范。2)本規(guī)范所稱的數(shù)據(jù)庫(kù)，是指所有與油田業(yè)務(wù)相關(guān)的信息存儲(chǔ)體的集合。3)某某油田中

3、從事數(shù)據(jù)庫(kù)開發(fā)與改造的人員，均須遵守本規(guī)范。6數(shù)據(jù)庫(kù)系統(tǒng)的基本概念數(shù)據(jù)、數(shù)據(jù)庫(kù)、數(shù)據(jù)庫(kù)管理系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)是與數(shù)據(jù)庫(kù)技術(shù)密切相關(guān)的四個(gè)基本概念。數(shù)據(jù)是數(shù)據(jù)庫(kù)中存儲(chǔ)的基本對(duì)象。數(shù)據(jù)在大多數(shù)人的頭腦中第一個(gè)反應(yīng)就是數(shù)字。其實(shí)數(shù)字只是最簡(jiǎn)單的一種數(shù)據(jù)，是數(shù)據(jù)的一種傳統(tǒng)和狹義的理解。廣義的理解，數(shù)據(jù)的種類很多，文字、圖形、圖像、聲音、學(xué)生的檔案記錄、貨物的運(yùn)輸情況等等，這些都是數(shù)據(jù)。我們可以對(duì)數(shù)據(jù)做如下定義：描述事物的符號(hào)記錄稱為數(shù)據(jù)。描述事物的符號(hào)可以是數(shù)字，也可以是文字、圖形、圖像、聲音、語(yǔ)言等，數(shù)據(jù)有多種表現(xiàn)形式，它們都可以經(jīng)過數(shù)字化后存入計(jì)算機(jī)。數(shù)據(jù)庫(kù)，是存放數(shù)據(jù)的倉(cāng)庫(kù)。只不過這個(gè)倉(cāng)庫(kù)是在計(jì)算

4、機(jī)存儲(chǔ)設(shè)備上，而且數(shù)據(jù)是按一定的格式存放的。所謂數(shù)據(jù)庫(kù)中，是指長(zhǎng)期存儲(chǔ)在計(jì)算機(jī)內(nèi)、有組織的、可共享的數(shù)據(jù)集合。數(shù)據(jù)庫(kù)中的數(shù)據(jù)按一定的數(shù)據(jù)模型組織、描述和存儲(chǔ)，具有較小的冗余度、較高的數(shù)據(jù)獨(dú)立性和易擴(kuò)展性，并可為各種用戶共享。數(shù)據(jù)庫(kù)管理系統(tǒng)是位于用戶與操作系統(tǒng)之間的一層數(shù)據(jù)管理軟件，它負(fù)責(zé)科學(xué)地組織和存儲(chǔ)數(shù)據(jù)以及如何高效地獲取和維護(hù)數(shù)據(jù)。7數(shù)據(jù)庫(kù)系統(tǒng)的分類7.1 集中型 在這種結(jié)構(gòu)中，客戶程序連接某臺(tái)指定的機(jī)器并通過其完成交易。數(shù)據(jù)庫(kù)放置在同一臺(tái)機(jī)器上，或指定一臺(tái)專門的機(jī)器充當(dāng)數(shù)據(jù)庫(kù)服務(wù)器。7.2 數(shù)據(jù)分布型 數(shù)據(jù)分布型結(jié)構(gòu)類似前一種結(jié)構(gòu)，只是數(shù)據(jù)庫(kù)分布在每臺(tái)服務(wù)器上。它具有的優(yōu)點(diǎn)是：無(wú)單點(diǎn)失敗

5、且可獨(dú)立進(jìn)行管理。我們可以將這種結(jié)構(gòu)用于數(shù)據(jù)分割，例如邏輯分割和地理分割。7.3 數(shù)據(jù)集中型 這種結(jié)構(gòu)是對(duì)集中型的一種增強(qiáng)，由其中的一臺(tái)機(jī)器作為數(shù)據(jù)存取服務(wù)器，而在前臺(tái)提供更多的應(yīng)用服務(wù)器，共享一個(gè)數(shù)據(jù)庫(kù)服務(wù)器。這種情況下，必須使用數(shù)據(jù)庫(kù)軟件提供的并行處理功能及硬件廠商提供的硬件集群策略。7.4 高可用性 現(xiàn)在，所有用戶都希望在硬件出現(xiàn)錯(cuò)誤時(shí)，應(yīng)用的遷移能更加簡(jiǎn)單，并且在遷移的同時(shí)能保證系統(tǒng)繼續(xù)運(yùn)行且盡量減少人工干預(yù)。中間件可以提供這樣的功能，它可以幫助操作系統(tǒng)自動(dòng)遷移關(guān)鍵組件到正常的機(jī)器上。8數(shù)據(jù)庫(kù)類型的開發(fā)方式與訪問接口數(shù)據(jù)庫(kù)類型的開發(fā)方式主要是用分布式組件技術(shù)。組件是獨(dú)立于特定的程序設(shè)計(jì)

6、語(yǔ)言和應(yīng)用系統(tǒng)、可重用和自包含的軟件成分。組件是基于面向?qū)ο蟮?，支持拖拽和即插即用的軟件開發(fā)概念?；诮M件技術(shù)的開發(fā)方法，具有開放性、易升級(jí)、易維護(hù)等優(yōu)點(diǎn)。它是以組合(原樣重用現(xiàn)存組件)、繼承(擴(kuò)展地重用組件)、設(shè)計(jì)(制作領(lǐng)域?qū)Ｓ媒M件)組件為基礎(chǔ)，按照一定的集成規(guī)則，分期、遞增式開發(fā)應(yīng)用系統(tǒng)，縮短開發(fā)周期。在開發(fā)過程中遵循以組件為核心原則、組件實(shí)現(xiàn)透明原則及增量式設(shè)計(jì)原則。基于組件開發(fā)方法的優(yōu)點(diǎn)：速度快。因?yàn)榻M件技術(shù)提供了很好的代碼重用性，用組件開發(fā)應(yīng)用程序主要的工作是“配置”應(yīng)用，應(yīng)用開發(fā)人員只需寫業(yè)已有的組件沒有提供的應(yīng)用新特征的代碼，這比寫整個(gè)應(yīng)用的代碼快得多。可靠性高。因?yàn)榻M件開發(fā)中所

7、用的組件是已經(jīng)測(cè)試過的，雖然整個(gè)應(yīng)用仍然需要測(cè)試，基于組件的應(yīng)用還是要比使用傳統(tǒng)技術(shù)開發(fā)的應(yīng)用要可靠的多。編程語(yǔ)言和開發(fā)工具的透明性。基于組件的開發(fā)方法允許用不同的語(yǔ)言編寫的組件共存于同一應(yīng)用中，這在大型的復(fù)雜應(yīng)用開發(fā)中是很重要的。組件的積累。組件的積累就是財(cái)富的積累，可以為新系統(tǒng)提供一定的支持。提高系統(tǒng)互操作性。組件必須按照標(biāo)準(zhǔn)開發(fā)，而標(biāo)準(zhǔn)具有權(quán)威性和指導(dǎo)作用，支持更廣泛的代碼重用。開發(fā)者注意力更多地集中在商業(yè)問題上。基于組件的開發(fā)，使編程人員將大多數(shù)時(shí)間用在所要解決的商業(yè)問題上，而不是用于擔(dān)心低級(jí)的編程細(xì)節(jié)問題。為自己開發(fā)還是購(gòu)買提供了最好的選擇。購(gòu)買組件裝配到定制的系統(tǒng)中的優(yōu)勢(shì)是，不必要

8、購(gòu)買一個(gè)不完全適合于自己的軟件，還可以減少風(fēng)險(xiǎn)，因?yàn)橘?gòu)買的組件已經(jīng)經(jīng)過廣泛的使用與測(cè)試。目前，在組件技術(shù)標(biāo)準(zhǔn)化方面，主要有以下三個(gè)比較有影響的規(guī)范：OMG起草與頒布的CORBA；微軟公司推出的COM/DCOM/COM+；SUN發(fā)表的JavaBeans。異構(gòu)數(shù)據(jù)源訪問接口 在網(wǎng)絡(luò)環(huán)境下，特別是分布式系統(tǒng)中，異構(gòu)數(shù)據(jù)庫(kù)的訪問是一個(gè)不可避免的問題，采用SQL語(yǔ)言的異構(gòu)數(shù)據(jù)庫(kù)為解決相互訪問問題提供了可能。目前最有影響的有兩種標(biāo)準(zhǔn)是：1)Microsoft公司的ODBC；2)以Sun和JavaSoft公司為代表的JDBC。9開發(fā)與改造管理基于目前某某油田的應(yīng)用實(shí)際，我們這里所說的安全開發(fā)與改造，并不指對(duì)

9、數(shù)據(jù)系統(tǒng)本身開發(fā)與改造，而是基于數(shù)據(jù)庫(kù)上的相關(guān)應(yīng)用的開發(fā)與改造。9.1 關(guān)于數(shù)據(jù)庫(kù)開發(fā)與改造的保密管理的說明由于在某某油田中的數(shù)據(jù)庫(kù)中的數(shù)據(jù)可能包括敏感數(shù)據(jù)，它的泄露與破壞可能對(duì)某某油田甚至對(duì)國(guó)家、社會(huì)造成重大的人力、物力、財(cái)力損失，所以，在涉密數(shù)據(jù)庫(kù)系統(tǒng)的開發(fā)與改造過程中，應(yīng)該對(duì)數(shù)據(jù)的保密性有特殊的要求。密數(shù)據(jù)庫(kù)的開發(fā)與改造項(xiàng)目，必須經(jīng)某某油田信息安全中心與數(shù)據(jù)應(yīng)用單位的主管部門的聯(lián)合批準(zhǔn)立項(xiàng)，同時(shí)要求對(duì)開發(fā)與改造過程中的安全風(fēng)險(xiǎn)做出評(píng)估，對(duì)需要保密的數(shù)據(jù)字段做出書面上的要求。對(duì)于這種評(píng)估與要求應(yīng)做出相應(yīng)的存檔備案。2) 在開發(fā)過程中，可能使用到的試驗(yàn)數(shù)據(jù)應(yīng)該由開發(fā)部門自已生成模擬數(shù)據(jù)，應(yīng)用

10、單位不應(yīng)提供原有的可能涉密的真實(shí)數(shù)據(jù)做試驗(yàn)，以防泄密。3) 系統(tǒng)在設(shè)計(jì)與開發(fā)時(shí)不應(yīng)留有“后門”，即不應(yīng)以維護(hù)、支持或操作需要為借口，設(shè)計(jì)有違反或繞過安全規(guī)則的任何類型的入口和文檔中未說明的任何模式的入口。如有發(fā)現(xiàn)，應(yīng)用方有權(quán)對(duì)系統(tǒng)設(shè)計(jì)與開發(fā)方追究責(zé)任。4) 在數(shù)據(jù)系統(tǒng)的改造過程中，系統(tǒng)的原有數(shù)據(jù)不得做新系統(tǒng)的試驗(yàn)數(shù)據(jù)，以防數(shù)據(jù)被破壞與泄露。但系統(tǒng)改造完成之后，又要求能無(wú)縫地導(dǎo)入原有的數(shù)據(jù)，保證系統(tǒng)的順利運(yùn)行。5) 在數(shù)據(jù)系統(tǒng)的運(yùn)行維護(hù)過程中，技術(shù)維護(hù)人員不應(yīng)得到系統(tǒng)的最高權(quán)限。同時(shí)為了防止由于系統(tǒng)管理人員或特權(quán)用戶的權(quán)限過于集中所帶來(lái)的安全隱患，應(yīng)將數(shù)據(jù)庫(kù)系統(tǒng)的常規(guī)管理、與安全有關(guān)的管理以及審

11、計(jì)管理，分別由系統(tǒng)管理員、系統(tǒng)安全員和系統(tǒng)審計(jì)員來(lái)承擔(dān)，并按最小授權(quán)原則分別授予它們各自為完成自己所承擔(dān)任務(wù)所需的最小權(quán)限，還應(yīng)在三者之間形成相互制約的關(guān)系。6) 對(duì)于涉密系統(tǒng)，我們要求相應(yīng)要求保密的數(shù)據(jù)不能以明文的形式存儲(chǔ)在物理介質(zhì)上。這可能采用兩種辦法，一種是由數(shù)據(jù)庫(kù)系統(tǒng)本身提供的加密方法（如果具體采用的產(chǎn)品提供），另一種是經(jīng)過應(yīng)用系統(tǒng)加密之后再交數(shù)據(jù)庫(kù)系統(tǒng)操作。7) 對(duì)于涉密系統(tǒng)，我們要求相應(yīng)要求保密的數(shù)據(jù)不能以明文的形式在網(wǎng)絡(luò)介質(zhì)上傳輸。其目的是防止被動(dòng)攻擊。所采用的方法如下:可以是對(duì)數(shù)據(jù)進(jìn)行軟件應(yīng)用層加密；也可以在相應(yīng)的網(wǎng)絡(luò)硬件中加入加解密設(shè)施;現(xiàn)在許多數(shù)據(jù)庫(kù)在傳輸過程中也能用相應(yīng)加

12、密模塊加密后再傳輸;如果傳輸經(jīng)過的網(wǎng)絡(luò)范圍較小(如一個(gè)機(jī)房?jī)?nèi))，那么物理介質(zhì)隔離是一種有效的辦法。9.2 關(guān)于數(shù)據(jù)庫(kù)開發(fā)與改造的功能要求規(guī)范對(duì)于開發(fā)與改造后的數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)的功能，我們提出以下要求：9.2.1 身份鑒別 9.2.1.1 用戶標(biāo)識(shí) 應(yīng)對(duì)注冊(cè)到數(shù)據(jù)庫(kù)管理系統(tǒng)中的用戶進(jìn)行唯一性標(biāo)識(shí)。用戶標(biāo)識(shí)信息是公開信息，一般以用戶名和/或用戶 ID 實(shí)現(xiàn)。為了管理方便，可將用戶分組，也可使用別名。無(wú)論用戶名、用戶 ID、用戶組還是用戶別名，都要遵守標(biāo)識(shí)的唯一性原則。 9.2.1.2 用戶鑒別 應(yīng)對(duì)登錄到數(shù)據(jù)庫(kù)管理系統(tǒng)的用戶進(jìn)行身份真實(shí)性鑒別。通過對(duì)用戶所提供的“鑒別信息”的驗(yàn)證，證明該用戶確有所聲

13、稱的某種身份，這些“鑒別信息”必須是保密的，不易偽造的。 用戶進(jìn)入數(shù)據(jù)庫(kù)管理系統(tǒng)時(shí)的身份鑒別，并按以下要求進(jìn)行設(shè)計(jì)： 1) 凡需進(jìn)入數(shù)據(jù)庫(kù)管理系統(tǒng)的用戶，可以選擇采用該用戶在操作系統(tǒng)中的標(biāo)識(shí)信息，也可以重新進(jìn)行用戶標(biāo)識(shí)。重新進(jìn)行用戶標(biāo)識(shí)應(yīng)在用戶注冊(cè)（建立賬號(hào)）時(shí)進(jìn)行。 2) 當(dāng)用戶登錄到數(shù)據(jù)庫(kù)管理系統(tǒng)或與數(shù)據(jù)庫(kù)服務(wù)器（如通過網(wǎng)絡(luò)）進(jìn)行訪問連接時(shí)，應(yīng)進(jìn)行用戶鑒別。這可以參考某某油田的CA認(rèn)證與授權(quán)系統(tǒng)的相關(guān)要求進(jìn)行設(shè)計(jì)。3) 數(shù)據(jù)庫(kù)管理系統(tǒng)用戶標(biāo)識(shí)一般使用用戶名和用戶標(biāo)識(shí)（UID）。為在整個(gè)數(shù)據(jù)庫(kù)系統(tǒng)范圍實(shí)現(xiàn)用戶的唯一性，應(yīng)確保數(shù)據(jù)庫(kù)管理系統(tǒng)建立的用戶在系統(tǒng)中的標(biāo)識(shí)（SID）與在各數(shù)據(jù)庫(kù)系統(tǒng)中的

14、標(biāo)識(shí)（用戶名或別名，UID 等）之間的一致性。 4) 分布式數(shù)據(jù)庫(kù)系統(tǒng)中，全局應(yīng)用的用戶標(biāo)識(shí)信息和鑒別信息應(yīng)存放在全局?jǐn)?shù)據(jù)字典中，由全局?jǐn)?shù)據(jù)庫(kù)管理安全機(jī)制完成全局用戶的身份鑒別。局部應(yīng)用的用戶標(biāo)識(shí)信息和鑒別 信息應(yīng)存放于局部數(shù)據(jù)字典中，由局部數(shù)據(jù)庫(kù)安全機(jī)制完成局部用戶的身份鑒別。5) 數(shù)據(jù)庫(kù)用戶的標(biāo)識(shí)和鑒別信息應(yīng)受到操作系統(tǒng)(包括網(wǎng)絡(luò)操作系統(tǒng))和數(shù)據(jù)庫(kù)系統(tǒng)的雙重保護(hù)。操作系統(tǒng)應(yīng)確保任何用戶不能通過數(shù)據(jù)庫(kù)以外的使用方式獲取和破壞數(shù)據(jù)庫(kù)用戶的標(biāo)識(shí)和鑒別信息。數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)保證用戶以安全的方式和途徑使用數(shù)據(jù)庫(kù)系統(tǒng)的標(biāo)識(shí)和鑒別信息。 6) 數(shù)據(jù)庫(kù)用戶標(biāo)識(shí)信息應(yīng)在數(shù)據(jù)庫(kù)系統(tǒng)的整個(gè)生命期有效，被撤消的用戶賬

15、號(hào)的 UID 不得再次使用。9.2.2 標(biāo)記與訪問控制 .1 標(biāo)記與安全屬性管理應(yīng)通過標(biāo)記為 TCB 安全功能控制范圍內(nèi)的主體與客體設(shè)置安全屬性。具體要求為： 對(duì)于自主訪問控制，標(biāo)記以某種方式表明主體與客體的訪問關(guān)系； 對(duì)于強(qiáng)制訪問控制，不同的訪問控制模型有不同的標(biāo)記方法?；诙嗉?jí)安全模型的強(qiáng)制訪問控制，標(biāo)記過程授予主體與客體一定的安全屬性，這些安全屬性構(gòu)成采用多級(jí)安全模型的強(qiáng)制訪問控制機(jī)制的屬性庫(kù)強(qiáng)制訪問控制的基礎(chǔ)數(shù)據(jù)。數(shù)據(jù)庫(kù)管理系統(tǒng)需要對(duì)主、客體獨(dú)立進(jìn)行標(biāo)記。 用戶安全屬性應(yīng)在用戶建立注冊(cè)帳戶后由系統(tǒng)安全員通過 TCB 所提供的安全員界面進(jìn)行標(biāo)記并維護(hù)； 客體安全屬性應(yīng)在數(shù)據(jù)輸入到由 TC

16、B 安全功能所控制的范圍內(nèi)時(shí)以缺省方式生成或由安全員進(jìn)行標(biāo)記并維護(hù)； 系統(tǒng)管理員、系統(tǒng)安全員和審計(jì)員的安全屬性應(yīng)通過相互標(biāo)記形成制約關(guān)系。 9.2.2.2訪問控制 應(yīng)根據(jù)數(shù)據(jù)庫(kù)特點(diǎn)和要求，實(shí)現(xiàn)不同粒度的訪問控制。這些特點(diǎn)主要是： 數(shù)據(jù)以特定結(jié)構(gòu)格式存放，客體的粒度可以是：關(guān)系數(shù)據(jù)庫(kù)的表、視圖、元組（記錄）、列（字段）、元素（每個(gè)元組的字段）、日志、片段、分區(qū)、快照、約束和規(guī)則、DBMS 核心代碼、用戶應(yīng)用程序、存儲(chǔ)過程、觸發(fā)器、各種訪問接口等； 數(shù)據(jù)庫(kù)系統(tǒng)有完整定義的訪問操作； 數(shù)據(jù)庫(kù)是數(shù)據(jù)與邏輯的統(tǒng)一，數(shù)據(jù)庫(kù)中不僅存放了數(shù)據(jù)，還存放了大量的用于管理和使用這些數(shù)據(jù)的程序，這些程序和數(shù)據(jù)同樣需要

17、進(jìn)行保護(hù)，以防止未授權(quán)的使用、篡改、增加或破壞； 數(shù)據(jù)量大、客體豐富是數(shù)據(jù)庫(kù)的又一特點(diǎn)，考慮到性能和代價(jià)，應(yīng)對(duì)于不同客體給予不同程度的保護(hù)，如對(duì)敏感字段加密，對(duì)敏感表建立視圖等。 數(shù)據(jù)庫(kù)系統(tǒng)具有數(shù)據(jù)生命周期長(zhǎng)、用戶分散、組成復(fù)雜等特點(diǎn)，要求長(zhǎng)期的安全保護(hù)；數(shù)據(jù)庫(kù)中的三級(jí)結(jié)構(gòu)（物理結(jié)構(gòu)、邏輯結(jié)構(gòu)、概念模型結(jié)構(gòu)）和兩種數(shù)據(jù)獨(dú)立性（物理獨(dú)立性、邏輯獨(dú)立性）大大減輕數(shù)據(jù)庫(kù)應(yīng)用程序的維護(hù)工作量，但是由于不同的邏輯結(jié)構(gòu)可能對(duì)應(yīng)于相同的物理結(jié)構(gòu)，給訪問控制帶來(lái)新的問題，應(yīng)對(duì)訪問規(guī)則進(jìn)行一致性檢查； 數(shù)據(jù)庫(kù)管理系統(tǒng)的訪問控制是在 OS 之上實(shí)現(xiàn)的，考慮到效率因素，數(shù)據(jù)庫(kù)管理系統(tǒng)的訪問控制應(yīng)在外層實(shí)現(xiàn)； 數(shù)據(jù)庫(kù)

18、系統(tǒng)中客體具有相互聯(lián)系的特點(diǎn)，這些“聯(lián)系”本身也是一種非常有效的信息，防止未授權(quán)用戶獲得或利用這些“聯(lián)系”，需要進(jìn)行“推理控制”； 分布式數(shù)據(jù)庫(kù)管理系統(tǒng)中，全局應(yīng)用的訪問控制應(yīng)在全局 DBMS 層實(shí)現(xiàn)，局部應(yīng)用的訪問控制應(yīng)在局部 DBMS 層實(shí)現(xiàn)，并根據(jù)需要各自選擇不同的訪問控制策略； 9.2.2.3自主訪問控制 訪問操作 應(yīng)由數(shù)據(jù)庫(kù)子語(yǔ)言定義，并與數(shù)據(jù)一起存放在數(shù)據(jù)字典中。對(duì)任何 SQL 對(duì)象進(jìn)行操作應(yīng)有明確的權(quán)限許可，并且權(quán)限隨著操作和對(duì)象的變化而變化，安全系統(tǒng)應(yīng)有能力判斷這種權(quán)限許可。操作與對(duì)象緊密相聯(lián)，即把“操作+對(duì)象”作為一個(gè)授權(quán)。訪問規(guī)則 應(yīng)以訪問控制表或訪問矩陣的形式表示，并通過

19、執(zhí)行相應(yīng)的訪問控制程序?qū)崿F(xiàn)。每當(dāng)執(zhí)行 SQL語(yǔ)句、有訪問要求出現(xiàn)時(shí)，通過調(diào)用相應(yīng)的訪問控制程序，實(shí)現(xiàn)對(duì)訪問要求的控制。 授權(quán)傳播限制 應(yīng)限制具有某一權(quán)限的用戶將該權(quán)限傳給其他用戶。當(dāng)一個(gè)用戶被授予某權(quán)限，同時(shí)擁有將該權(quán)限授予其它用戶的權(quán)力時(shí)，該用戶就會(huì)擁有對(duì)該授權(quán)的傳播權(quán)。為了增強(qiáng)數(shù)據(jù)庫(kù)系統(tǒng)的安全性，需要對(duì)授權(quán)傳播進(jìn)行某些限制。 9.2.2.4 強(qiáng)制訪問控制 應(yīng)采用確定的安全策略模型實(shí)現(xiàn)強(qiáng)制訪問控制。當(dāng)前常用的安全策略模型是多級(jí)安全模型。該模型將可信計(jì)算基安全控制范圍內(nèi)的所有主、客體成分通過標(biāo)記方式設(shè)置安全屬性（等級(jí)和范疇）。該模型并按由簡(jiǎn)單保密性原則確定的規(guī)則從下讀、向上寫，根據(jù)訪問者主體和

20、被訪問者客體的安全屬性，實(shí)現(xiàn)主、客體之間每次訪問的強(qiáng)制性控制。根據(jù)數(shù)據(jù)庫(kù)管理系統(tǒng)的運(yùn)行環(huán)境的不同，強(qiáng)制訪問控制分為：1) 在單一計(jì)算機(jī)系統(tǒng)上或網(wǎng)絡(luò)環(huán)境的多機(jī)系統(tǒng)上運(yùn)行的單一數(shù)據(jù)庫(kù)管理系統(tǒng)，訪問控制所需的安全屬性存儲(chǔ)在統(tǒng)一的數(shù)據(jù)庫(kù)字典中，使用單一的訪問規(guī)則實(shí)現(xiàn)； 2) 在網(wǎng)絡(luò)環(huán)境的多機(jī)系統(tǒng)上運(yùn)行的分布式數(shù)據(jù)庫(kù)系統(tǒng)，全局應(yīng)用的強(qiáng)制訪問控制應(yīng)在全局DBMS 層實(shí)現(xiàn)，局域應(yīng)用的強(qiáng)制訪問控制應(yīng)在局部 DBMS 層實(shí)現(xiàn)。其所采用的訪問規(guī)則應(yīng)是一致的。 數(shù)據(jù)完整性.1 實(shí)體完整性和參照完整性1) 數(shù)據(jù)庫(kù)管理系統(tǒng)應(yīng)確保數(shù)據(jù)庫(kù)中的數(shù)據(jù)具有實(shí)體完整性和參照完整性。關(guān)系之間的參照完整性規(guī)則是“連接”關(guān)系運(yùn)算正確執(zhí)行

21、的前提。 2) 用戶定義基本表時(shí)，應(yīng)說明主鍵、外鍵，被引用表、列和引用行為。當(dāng)數(shù)據(jù)錄入、更新、刪除時(shí)，由數(shù)據(jù)庫(kù)管理系統(tǒng)應(yīng)根據(jù)說明自動(dòng)維護(hù)實(shí)體完整性和參照完整性。.2 用戶定義完整性1) 數(shù)據(jù)庫(kù)管理系統(tǒng)應(yīng)提供支持用戶定義完整性的功能。系統(tǒng)應(yīng)提供定義 和檢查用戶定義完整性規(guī)則的機(jī)制，其目的是用統(tǒng)一的方式由系統(tǒng)處理，而不是由應(yīng)用程序完成，從而不僅可以簡(jiǎn)化應(yīng)用程序，還提高了完整性保證的可靠性。 2) 數(shù)據(jù)庫(kù)管理系統(tǒng)應(yīng)支持為約束或斷言命名（或提供默認(rèn)名稱），定義檢查時(shí)間、延遲模式或設(shè)置默認(rèn)檢查時(shí)間和延遲模式，支持約束和斷言的撤消。.3 數(shù)據(jù)操作的完整性數(shù)據(jù)操作的完整性約束為： 1) 用戶定義基本表時(shí)應(yīng)定

22、義主鍵和外鍵； 2) 對(duì)于候選鍵，應(yīng)由用戶指明其唯一性； 3) 對(duì)于外鍵，用戶應(yīng)指明被引用關(guān)系和引用行為； 4) 應(yīng)由數(shù)據(jù)庫(kù)管理系統(tǒng)檢查對(duì)主鍵、外鍵、候選鍵數(shù)據(jù)操作是否符合完整性要求，不允許提交任何違反完整性的事務(wù)；刪除或更新某元組時(shí)，數(shù)據(jù)庫(kù)管理系統(tǒng)應(yīng)檢查該元組是否含有外鍵，若有，應(yīng)根據(jù)用戶預(yù)定義的引用行為進(jìn)行刪除。9.2.4 數(shù)據(jù)庫(kù)安全審計(jì) 數(shù)據(jù)庫(kù)管理系統(tǒng)的安全審計(jì)應(yīng)： 1) 建立獨(dú)立的安全審計(jì)系統(tǒng)； 2) 定義與數(shù)據(jù)庫(kù)安全相關(guān)的審計(jì)事件； 3) 設(shè)置專門的安全審計(jì)員； 4) 設(shè)置專門用于存儲(chǔ)數(shù)據(jù)庫(kù)系統(tǒng)審計(jì)數(shù)據(jù)的安全審計(jì)庫(kù)； 5) 提供適用于數(shù)據(jù)庫(kù)系統(tǒng)的安全審計(jì)設(shè)置、分析和查閱的工具。 9.2.5 客體重用 數(shù)據(jù)庫(kù)系統(tǒng)大量使用的動(dòng)態(tài)資源，多由操作系統(tǒng)分配。實(shí)現(xiàn)客體安全重用的操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)應(yīng)滿足以下要求： 數(shù)據(jù)庫(kù)管理系統(tǒng)提出資源分配要求，如創(chuàng)建新庫(kù)，數(shù)據(jù)庫(kù)設(shè)備初始化等，所得到的資源不應(yīng)包含該客體以前的任何信息內(nèi)容； 數(shù)據(jù)庫(kù)管理系統(tǒng)提出資源索回要求，應(yīng)確保這些資源中的全部信息被清除；數(shù)據(jù)庫(kù)管理系統(tǒng)要求創(chuàng)建新的數(shù)據(jù)庫(kù)用戶進(jìn)程，應(yīng)確保分配給每個(gè)進(jìn)程的資源不包含殘留信息；數(shù)據(jù)庫(kù)管理系統(tǒng)應(yīng)確保已經(jīng)被刪除或被釋放的信息不再是可用的。 9.2.6 數(shù)據(jù)庫(kù)可信恢復(fù) 數(shù)據(jù)庫(kù)系統(tǒng)中的可信恢復(fù)具有特定含義，主要應(yīng)包括： 確保