淺談數(shù)據(jù)庫安全管理

PAGE34PAGE34PAGE35PAGE35淺談數(shù)據(jù)庫安全管理摘要數(shù)據(jù)庫中經(jīng)常存放著很多重要或敏感信息。一.§其被竊取、篡改或破壞，后果將非常嚴重。因此，對數(shù)據(jù)庫進行安全管理意義非凡。文章首先給出數(shù)據(jù)庫安全管理的一般模型，然后介紹當前常用的安全功能和保證措施，最后說明使用這些技術(shù)的代價問題。關(guān)鍵詞數(shù)據(jù)庫安全：身份鑒別：訪問控制：權(quán)限管理：存儲加密：審計：安全保證資源過度消耗、特權(quán)濫用、非法竊聽、殘留信息使用、引言 意外故障等。2)安全目標，依據(jù)具體應用特征，界定出目前，數(shù)據(jù)庫作為信息共享的基礎(chǔ)部件，經(jīng)常成為非法偵聽、入侵或惡意攻擊的對象。一旦它所存儲的重要或敏感信息被竊取、篡改或破壞，則后果不堪設(shè)想。所以，對數(shù)據(jù)庫進行安全管理是非常有意義的。1 一般模型所謂數(shù)據(jù)庫安全管理是指通過適當?shù)募夹g(shù)和管理措施保護數(shù)據(jù)庫，以防止不合法使用造成的數(shù)據(jù)泄露、更???????????????????????????????????????????圖1數(shù)據(jù)庫安全管理的一般模型示意圖1)安全評估，識別出數(shù)據(jù)庫所面臨的實際或假想的所有威脅。這些威脅，如假冒用戶身份、未授權(quán)訪問、

應抵抗哪些威脅。3)安全實現(xiàn)，基于安全目標，制定安全解決方案。該方案應考慮采用哪些具體的安全功能和保證措施來抵抗威脅。從在上面模型可以看出：做好安全評估，識別出所有威脅是非常重要的，因為其直接關(guān)系到后續(xù)的安全目標和安全實現(xiàn)是否正確。2常用的安全功能當安全目標確定后，如何完成安全管理？一般來說，安全管理包括兩方面內(nèi)容，即安全功能和保證措施，具體如圖2所示。其中，安全功能是安全目標的具體實現(xiàn)，保證措施是支持安全目標實現(xiàn)的環(huán)境保證。二者相輔相成，相互補充，共同實現(xiàn)安全目標。按用途劃分，常用的安全功能可以分為用戶安全、訪問安全、資源安全、數(shù)據(jù)安全、過程安全這五大類別。其中過程安全負責監(jiān)控和記錄數(shù)據(jù)庫的可疑行為，用戶安全負責界定哪些用戶可以登入數(shù)據(jù)庫，訪問安全負責定義每個用戶能夠訪問數(shù)據(jù)的范圍，資源安全負責分配和回收數(shù)據(jù)庫的受控資源，數(shù)據(jù)安全負責從存儲、傳輸、導入導出等角度保護數(shù)據(jù)。如上所述，這些部分互為補充，多角&研究與開發(fā)&研究與開發(fā)???????????? ?? ?? ??

目標進行選取。2.1.2口令管理身份鑒別是否起作用，完全依賴于口令。如果口令??????

????????????

??????????????????????

?????????仍?オ??仍????仍

????????????????????

1)口令的強度管理。要求口令設(shè)計要具有一定的復雜度，防止攻擊者輕易破解口令。?? ?? ?? ??

2)口令的存儲和傳輸管理。一般，要求口令加密存???????

????

????????

??????

????

儲，在不同對象間加密傳輸。有的數(shù)據(jù)庫還對采用何種加密算法也有要求。圖2數(shù)據(jù)庫常用的安全功能和保證措施一覽圖2.1用戶安全數(shù)據(jù)庫的用戶一般包括管理員和普通用戶兩類。前者主要負責數(shù)據(jù)庫安全功能的行為配置、屬性管理、權(quán)限分配等。相對的，后者主要是按管理員設(shè)定的安全策略訪問和使用數(shù)據(jù)庫。二者各司其責，相互協(xié)作一起完成數(shù)據(jù)庫信息的訪問和共享。用戶安全是指采用適當?shù)氖侄未_保只有合法用戶才能登錄和使用數(shù)據(jù)庫，以防止其他人通過假冒或偽造身份入侵數(shù)據(jù)庫。常用的手段如下。2.1.1身份鑒別為防止假冒用戶訪問數(shù)據(jù)庫，對用戶的身份進行唯一性標識，并要求只有鑒別成功的用戶，才能登錄和使用數(shù)據(jù)庫。目前，鑒別方式有多種，具體如下。1)數(shù)據(jù)庫鑒別。鑒別者是數(shù)據(jù)庫系統(tǒng)本身，常用的方式有口令鑒別、基于數(shù)字證書的鑒別、生物特征鑒別、動態(tài)口令等。2)外部鑒別。數(shù)據(jù)庫委托第三方進行身份鑒別，常用的方式有操作系統(tǒng)認證、Kerberos認證、Radius認證、LDAP認證等。3)混合鑒別。為獲得更強的鑒別效果，也可以采用多種方式混合的鑒別模式，例如口令鑒別和數(shù)字證書鑒別相結(jié)合的雙因子鑒別。在實際應用中，采用何種鑒別方式應按設(shè)定的安全

3)口令的生命周期管理?？诹钍褂脩衅谙蓿坏┻^期，應及時更換口令。2.2訪問安全所謂訪問安全是指采用適當?shù)脑L問控制手段確保只有授權(quán)用戶能訪問數(shù)據(jù)庫，而其他用戶不能。這是數(shù)據(jù)庫中重要的安全防護手段。2.2.1權(quán)限管理通過權(quán)限的分配和使用實現(xiàn)數(shù)據(jù)庫的訪問控制。換句話說，在創(chuàng)建用戶時，由管理員為每個用戶分配權(quán)限：在SQL語句執(zhí)行之前，數(shù)據(jù)庫將檢查用戶權(quán)限，只有通過檢查的用戶才能繼續(xù)執(zhí)行SQL語句。常用的方法1)自主訪問控制(DAC)。管理員通過GRANT和REVOKE命令為每個用戶分配/回收數(shù)據(jù)庫的存取權(quán)限，用戶也可以把其擁有的權(quán)限轉(zhuǎn)授給其他用戶，控制粒度可為用戶級、表級、行級或列級。2)強制訪問控制(MAC)。管理員分別為每個用戶、數(shù)據(jù)對象(如表)定義標記(如密級)。在SQL語句執(zhí)行中，只有用戶的標記和數(shù)據(jù)對象的標記匹配成功，才允許SQL語句繼續(xù)執(zhí)行：否則，拒絕執(zhí)行。控制粒度可為表級、行級或列級。二者相比，MAC的控制相對更為嚴格。此外，在MAC控制的SQL語句執(zhí)行過程中，一般先進行DAC檢測。通過后，再進行MAC檢測。只有兩項檢查都通過，才允許這條SQL語句繼續(xù)執(zhí)行。在數(shù)據(jù)庫中，管理員負責系統(tǒng)的啟停、執(zhí)行DDL語句(如創(chuàng)建用戶和表)、為普通用戶分配權(quán)限等關(guān)鍵操作。一旦其失控，則后果不堪設(shè)想。因此，應高度重視這些用戶的權(quán)限管理。針對這種情況，有的數(shù)據(jù)庫中提供三權(quán)分立功能，即把數(shù)據(jù)庫的管理權(quán)限進行分割，把它們分別授予不同的管理員，例如分別授予DBA、安全員、審計員，以防止某類管理員權(quán)限過大帶來的安全隱患。2.2.2角色管理角色是一組權(quán)限的集合，使用角色可以讓權(quán)限管理的工作更加簡單高效。如果數(shù)據(jù)庫的規(guī)模較小，用戶較少，管理員可以為每個用戶逐個定義權(quán)限。但是，如果數(shù)據(jù)庫的規(guī)模較大，用戶較多，如果還采用上面思路則管理將變得非常復雜。此時，可采用基于角色的權(quán)限管理方法，即把所有用戶分為若干組，管理員按組、而不是按人定義和管理權(quán)限，從而極大地簡化權(quán)限的管理過程。2.2.3視圖機制視圖(即虛表)作為數(shù)據(jù)庫的特有對象，在權(quán)限管理中也有一席之地。管理員可以為不同的用戶定義不同的視圖，然后通過GRANT命令把這些視圖的使用權(quán)限分配給這些用戶，從而把用戶無權(quán)存取的數(shù)據(jù)隱藏起來，實現(xiàn)數(shù)據(jù)庫訪問的間接控制。本質(zhì)上講，這種方式也屬于DAC實現(xiàn)。2.2.4存儲過程機制類似視圖，在數(shù)據(jù)庫中也可以使用存儲過程進行訪問控制。管理員可以預先創(chuàng)建存儲過程，然后把其EXEC權(quán)限通過GRANT命令授予用戶。那么，這個用戶將執(zhí)行存儲過程而不必具有訪問在存儲過程中被訪問的下層對象的權(quán)限，從而盡量避免用戶對底層對象的直

2.3資源安全數(shù)據(jù)庫中可用的連接資源、磁盤空間、數(shù)據(jù)緩沖區(qū)等是有限的。如果對它們的使用不加限制，過度消耗，勢必將導致數(shù)據(jù)庫負載過重，甚至造成系統(tǒng)癱瘓。不僅如此，如果用戶惡意消耗這些資源，將使得其他用戶喪失訪問數(shù)據(jù)庫的能力：因此，對這些資源的使用加以控制是非常必要的。所謂資源安全是指采用適當?shù)氖侄未_保某些數(shù)據(jù)庫資源的受控使用，以避免資源耗盡使得數(shù)據(jù)庫不能正常運行，甚至癱瘓。常用的技術(shù)如下。1)并發(fā)連接限額。并發(fā)連接是指在數(shù)據(jù)庫中允許的并發(fā)會話數(shù)量，即同時連接到數(shù)據(jù)庫中的用戶會話數(shù)量。在數(shù)據(jù)庫中，可以通過設(shè)置系統(tǒng)的最大許可(license)數(shù)目、系統(tǒng)或每個用戶的最大并發(fā)連接數(shù)目等手段管理和控制并發(fā)連接資源，防止整個系統(tǒng)連接耗盡或單個用戶獨占所有連接，從而確保連接資源的可用性。2)表空間限額。在數(shù)據(jù)庫中，表空間是存儲數(shù)據(jù)表的磁盤資源，容量有限。通常，管理員應為每個用戶、或每個表空間定義允許使用的限額。一旦超出該限額，則只允許該用戶進行數(shù)據(jù)查詢等受限操作，而不再允許執(zhí)行數(shù)據(jù)插入等消耗表空間的操作。此外，審計一般需要自己獨立的表空間。因此，一3)緩沖區(qū)限額。類似表空間限額，一般數(shù)據(jù)庫還應提供緩沖區(qū)限額管理，例如：定義數(shù)據(jù)共享緩沖區(qū)、排序緩沖區(qū)、日志緩沖區(qū)等最大使用額度。一旦超過該額度，則系統(tǒng)將告警。在資源管理方面，數(shù)據(jù)庫除提供上述特性外，有的數(shù)據(jù)庫還對其他資源也提供相應的管理，這些資源如&研究與開發(fā)&研究與開發(fā)PAGE37PAGE37PAGE38PAGE38CPU資源、磁盤的邏輯讀寫、鎖資源等。2.4數(shù)據(jù)安全數(shù)據(jù)是數(shù)據(jù)庫中的核心資源，一旦其被攻擊、被竊取、被破壞或被篡改，則后果可能非常嚴重，因此，如何保障數(shù)據(jù)安全對數(shù)據(jù)庫來說具有重要意義。針對這種情況，數(shù)據(jù)庫中提供多種保護方法，例如：在存儲層，提供加密存儲保護：在傳輸層，提供不同節(jié)點之間可信傳輸保護：在應用層，提供備份恢復保護。1)存儲加密。有的數(shù)據(jù)庫對重要數(shù)據(jù)提供存儲加密保護。換句話說，數(shù)據(jù)在寫到磁盤上時對其進行加密：當授權(quán)用戶讀取數(shù)據(jù)時，再對其進行解密。該加解密過程一般對用戶透明。加密粒度可以為數(shù)據(jù)庫、表空間、表、列、存儲過程、函數(shù)等粒度。常用的加密算法如

通信雙方建立可信連接，從而有效降低重放攻擊和惡意篡改的風險。例如：圖3采用的基于SSL的可信傳輸方法。在實際應用中，采用可信任傳輸，還是普通的TCP/IP傳輸應由具體應用而定。3)客體重用?？腕w重用技術(shù)通過對數(shù)據(jù)庫使用的內(nèi)存單元及磁盤區(qū)域在重新分配給用戶之前，由系統(tǒng)自動對這些資源進行清空并刪除處理，以防止產(chǎn)生信息泄漏，有時也稱其為殘留信息處理。4)備份恢復。數(shù)據(jù)庫常見的故障包括系統(tǒng)崩潰、意外停機、存儲介質(zhì)損壞等。針對這些故障，一般數(shù)據(jù)庫提供了一套包括備份和恢復技術(shù)在內(nèi)的、完整的可靠性技術(shù)，以支持用戶能快速將數(shù)據(jù)庫恢復到故障發(fā)生時的一致狀態(tài)。這就是數(shù)據(jù)庫的備份與恢復功能。常用的技[5]

輯備份與還原：利用SQL語言從數(shù)據(jù)庫中抽取數(shù)據(jù)并存于二進制文件的過程。③冷備份與熱備份：冷備份發(fā)生在數(shù)據(jù)庫已經(jīng)正常關(guān)閉的情況下。相對的，熱備份發(fā)生在數(shù)據(jù)庫運行的情況下。④基于時間點的系統(tǒng)恢復：支持將數(shù)據(jù)庫的狀態(tài)恢復到當前運行時間前的某一個時間點。該特性需要REDO日志、日志歸檔、聯(lián)機或脫機物理備份的特性支持。⑤完全備份和增量備份：完全備份是指對整個數(shù)據(jù)庫進行備份。相對的，增量備份只備份相對與上一次備份操作時刻以來新創(chuàng)建或者更新過的數(shù)據(jù)。前者比較耗時，而后者既可以大幅節(jié)省備份存儲空間，又可以縮短備份時間。⑤數(shù)據(jù)庫鏡像：自動把整個數(shù)據(jù)庫或其中的關(guān)鍵數(shù)據(jù)復制到另一個磁盤上。當主數(shù)據(jù)庫更新時，自動地把更新后的數(shù)據(jù)復制過去。在實際應

術(shù)包括以下幾種

。①物理備份與

用中，通常是按需把這些備份技術(shù)2)可信傳輸。為確?？蛻舳撕头掌髦g的數(shù)據(jù)傳輸?shù)臋C密性和完整性，有的數(shù)據(jù)庫支持在

恢復：將實際組成數(shù)據(jù)庫的操作系統(tǒng)文件從一處拷貝到另一處的備份過程，通常是從磁盤到磁帶。②邏

混合在一起使用。2.5過程安全上述安全特性能否起到保護數(shù)據(jù)庫的作用取決于它們是否被正確執(zhí)行。因此，數(shù)據(jù)庫還應通過適當?shù)氖侄未_保它們能按照管理員預設(shè)的方式正確使用。這就是過程安全的任務。常用的技術(shù)如下。1)數(shù)據(jù)庫審計。數(shù)據(jù)庫審計是指對數(shù)據(jù)庫系統(tǒng)中發(fā)生的動作(或稱為事件)，其對應的操作對象、操圖3基于SSL的可信傳輸示意圖

作時間等信息記錄下來的過程。事后，管理員可以通過對這些信息分析，發(fā)現(xiàn)潛在的威脅并采取有效的措施加以防范。審計的內(nèi)容廣泛，例如。①可以審計用戶執(zhí)行的各種SQL語句。②可以審計上面提到的身份鑒別、DAC、MAC、資源限制等安全功能的使用。③既可以審計執(zhí)行成功的操作，也可以審計執(zhí)行失敗的操作。其一般支持服務器級、數(shù)據(jù)庫模式對象級，SQL語句級等審計粒度。通常，審計操作比較消耗系統(tǒng)資源，因此有的數(shù)據(jù)庫提供審計功能開關(guān)和審計事件配置功能。管理員利用這些功能可以限制審計事件的數(shù)量和頻率。具體應用中，在基本滿足需求的條件下，盡可能把審計內(nèi)容減少到最小，防止不必要的審計行為出現(xiàn)。2)操作系統(tǒng)審計。在實際應用中，數(shù)據(jù)庫審計一般應與操作系統(tǒng)審計結(jié)合使用。因為數(shù)據(jù)庫審計在數(shù)據(jù)庫沒有啟動之前是不可用的，這將導致不能審計數(shù)據(jù)庫初始化、實例啟動等操作。此時，則可以借助操作系統(tǒng)審計對這些內(nèi)容進行審計。3常用的保證措施在數(shù)據(jù)庫安全管理中，不僅要從功能角度保證其運行的安全，還要從環(huán)境角度利用各種安全措施支持數(shù)據(jù)庫的安全運行。常用的措施如下。1)場地安全。場地安全是指對數(shù)據(jù)庫負責的組織通過制定和實施適當?shù)墓芾泶胧┍Ｕ蠑?shù)據(jù)庫運行的場地安全。這些措施如：該場地和其他場地隔離，專人專管，應急斷電、溫度和濕度、防水和防潮等保護。2)設(shè)備安全。設(shè)備安全是組織通過制定和實施適當?shù)墓芾泶胧┍Ｕ蠑?shù)據(jù)庫使用的設(shè)備安全，這些設(shè)備如數(shù)據(jù)庫所用的計算機、磁盤、磁帶、網(wǎng)絡、數(shù)據(jù)導入導出設(shè)備等。

3)操作系