淺談數(shù)據(jù)庫安全管理

PAGE34PAGE34PAGE35PAGE35淺談數(shù)據(jù)庫安全管理摘要數(shù)據(jù)庫中經(jīng)常存放著很多重要或敏感信息。一.§其被竊取、篡改或破壞，后果將非常嚴(yán)重。因此，對數(shù)據(jù)庫進(jìn)行安全管理意義非凡。文章首先給出數(shù)據(jù)庫安全管理的一般模型，然后介紹當(dāng)前常用的安全功能和保證措施，最后說明使用這些技術(shù)的代價(jià)問題。關(guān)鍵詞數(shù)據(jù)庫安全：身份鑒別：訪問控制：權(quán)限管理：存儲(chǔ)加密：審計(jì)：安全保證資源過度消耗、特權(quán)濫用、非法竊聽、殘留信息使用、引言 意外故障等。2)安全目標(biāo)，依據(jù)具體應(yīng)用特征，界定出目前，數(shù)據(jù)庫作為信息共享的基礎(chǔ)部件，經(jīng)常成為非法偵聽、入侵或惡意攻擊的對象。一旦它所存儲(chǔ)的重要或敏感信息被竊取、篡改或破壞，則后果不堪設(shè)想。所以，對數(shù)據(jù)庫進(jìn)行安全管理是非常有意義的。1 一般模型所謂數(shù)據(jù)庫安全管理是指通過適當(dāng)?shù)募夹g(shù)和管理措施保護(hù)數(shù)據(jù)庫，以防止不合法使用造成的數(shù)據(jù)泄露、更???????????????????????????????????????????圖1數(shù)據(jù)庫安全管理的一般模型示意圖1)安全評估，識(shí)別出數(shù)據(jù)庫所面臨的實(shí)際或假想的所有威脅。這些威脅，如假冒用戶身份、未授權(quán)訪問、

應(yīng)抵抗哪些威脅。3)安全實(shí)現(xiàn)，基于安全目標(biāo)，制定安全解決方案。該方案應(yīng)考慮采用哪些具體的安全功能和保證措施來抵抗威脅。從在上面模型可以看出：做好安全評估，識(shí)別出所有威脅是非常重要的，因?yàn)槠渲苯雨P(guān)系到后續(xù)的安全目標(biāo)和安全實(shí)現(xiàn)是否正確。2常用的安全功能當(dāng)安全目標(biāo)確定后，如何完成安全管理？一般來說，安全管理包括兩方面內(nèi)容，即安全功能和保證措施，具體如圖2所示。其中，安全功能是安全目標(biāo)的具體實(shí)現(xiàn)，保證措施是支持安全目標(biāo)實(shí)現(xiàn)的環(huán)境保證。二者相輔相成，相互補(bǔ)充，共同實(shí)現(xiàn)安全目標(biāo)。按用途劃分，常用的安全功能可以分為用戶安全、訪問安全、資源安全、數(shù)據(jù)安全、過程安全這五大類別。其中過程安全負(fù)責(zé)監(jiān)控和記錄數(shù)據(jù)庫的可疑行為，用戶安全負(fù)責(zé)界定哪些用戶可以登入數(shù)據(jù)庫，訪問安全負(fù)責(zé)定義每個(gè)用戶能夠訪問數(shù)據(jù)的范圍，資源安全負(fù)責(zé)分配和回收數(shù)據(jù)庫的受控資源，數(shù)據(jù)安全負(fù)責(zé)從存儲(chǔ)、傳輸、導(dǎo)入導(dǎo)出等角度保護(hù)數(shù)據(jù)。如上所述，這些部分互為補(bǔ)充，多角&研究與開發(fā)&研究與開發(fā)???????????? ?? ?? ??

目標(biāo)進(jìn)行選取。2.1.2口令管理身份鑒別是否起作用，完全依賴于口令。如果口令??????

????????????

??????????????????????

?????????仍?オ??仍????仍

????????????????????

1)口令的強(qiáng)度管理。要求口令設(shè)計(jì)要具有一定的復(fù)雜度，防止攻擊者輕易破解口令。?? ?? ?? ??

2)口令的存儲(chǔ)和傳輸管理。一般，要求口令加密存???????

????

????????

??????

????

儲(chǔ)，在不同對象間加密傳輸。有的數(shù)據(jù)庫還對采用何種加密算法也有要求。圖2數(shù)據(jù)庫常用的安全功能和保證措施一覽圖2.1用戶安全數(shù)據(jù)庫的用戶一般包括管理員和普通用戶兩類。前者主要負(fù)責(zé)數(shù)據(jù)庫安全功能的行為配置、屬性管理、權(quán)限分配等。相對的，后者主要是按管理員設(shè)定的安全策略訪問和使用數(shù)據(jù)庫。二者各司其責(zé)，相互協(xié)作一起完成數(shù)據(jù)庫信息的訪問和共享。用戶安全是指采用適當(dāng)?shù)氖侄未_保只有合法用戶才能登錄和使用數(shù)據(jù)庫，以防止其他人通過假冒或偽造身份入侵?jǐn)?shù)據(jù)庫。常用的手段如下。2.1.1身份鑒別為防止假冒用戶訪問數(shù)據(jù)庫，對用戶的身份進(jìn)行唯一性標(biāo)識(shí)，并要求只有鑒別成功的用戶，才能登錄和使用數(shù)據(jù)庫。目前，鑒別方式有多種，具體如下。1)數(shù)據(jù)庫鑒別。鑒別者是數(shù)據(jù)庫系統(tǒng)本身，常用的方式有口令鑒別、基于數(shù)字證書的鑒別、生物特征鑒別、動(dòng)態(tài)口令等。2)外部鑒別。數(shù)據(jù)庫委托第三方進(jìn)行身份鑒別，常用的方式有操作系統(tǒng)認(rèn)證、Kerberos認(rèn)證、Radius認(rèn)證、LDAP認(rèn)證等。3)混合鑒別。為獲得更強(qiáng)的鑒別效果，也可以采用多種方式混合的鑒別模式，例如口令鑒別和數(shù)字證書鑒別相結(jié)合的雙因子鑒別。在實(shí)際應(yīng)用中，采用何種鑒別方式應(yīng)按設(shè)定的安全

3)口令的生命周期管理?？诹钍褂脩?yīng)有期限，一旦過期，應(yīng)及時(shí)更換口令。2.2訪問安全所謂訪問安全是指采用適當(dāng)?shù)脑L問控制手段確保只有授權(quán)用戶能訪問數(shù)據(jù)庫，而其他用戶不能。這是數(shù)據(jù)庫中重要的安全防護(hù)手段。2.2.1權(quán)限管理通過權(quán)限的分配和使用實(shí)現(xiàn)數(shù)據(jù)庫的訪問控制。換句話說，在創(chuàng)建用戶時(shí)，由管理員為每個(gè)用戶分配權(quán)限：在SQL語句執(zhí)行之前，數(shù)據(jù)庫將檢查用戶權(quán)限，只有通過檢查的用戶才能繼續(xù)執(zhí)行SQL語句。常用的方法1)自主訪問控制(DAC)。管理員通過GRANT和REVOKE命令為每個(gè)用戶分配/回收數(shù)據(jù)庫的存取權(quán)限，用戶也可以把其擁有的權(quán)限轉(zhuǎn)授給其他用戶，控制粒度可為用戶級(jí)、表級(jí)、行級(jí)或列級(jí)。2)強(qiáng)制訪問控制(MAC)。管理員分別為每個(gè)用戶、數(shù)據(jù)對象(如表)定義標(biāo)記(如密級(jí))。在SQL語句執(zhí)行中，只有用戶的標(biāo)記和數(shù)據(jù)對象的標(biāo)記匹配成功，才允許SQL語句繼續(xù)執(zhí)行：否則，拒絕執(zhí)行?？刂屏６瓤蔀楸砑?jí)、行級(jí)或列級(jí)。二者相比，MAC的控制相對更為嚴(yán)格。此外，在MAC控制的SQL語句執(zhí)行過程中，一般先進(jìn)行DAC檢測。通過后，再進(jìn)行MAC檢測。只有兩項(xiàng)檢查都通過，才允許這條SQL語句繼續(xù)執(zhí)行。在數(shù)據(jù)庫中，管理員負(fù)責(zé)系統(tǒng)的啟停、執(zhí)行DDL語句(如創(chuàng)建用戶和表)、為普通用戶分配權(quán)限等關(guān)鍵操作。一旦其失控，則后果不堪設(shè)想。因此，應(yīng)高度重視這些用戶的權(quán)限管理。針對這種情況，有的數(shù)據(jù)庫中提供三權(quán)分立功能，即把數(shù)據(jù)庫的管理權(quán)限進(jìn)行分割，把它們分別授予不同的管理員，例如分別授予DBA、安全員、審計(jì)員，以防止某類管理員權(quán)限過大帶來的安全隱患。2.2.2角色管理角色是一組權(quán)限的集合，使用角色可以讓權(quán)限管理的工作更加簡單高效。如果數(shù)據(jù)庫的規(guī)模較小，用戶較少，管理員可以為每個(gè)用戶逐個(gè)定義權(quán)限。但是，如果數(shù)據(jù)庫的規(guī)模較大，用戶較多，如果還采用上面思路則管理將變得非常復(fù)雜。此時(shí)，可采用基于角色的權(quán)限管理方法，即把所有用戶分為若干組，管理員按組、而不是按人定義和管理權(quán)限，從而極大地簡化權(quán)限的管理過程。2.2.3視圖機(jī)制視圖(即虛表)作為數(shù)據(jù)庫的特有對象，在權(quán)限管理中也有一席之地。管理員可以為不同的用戶定義不同的視圖，然后通過GRANT命令把這些視圖的使用權(quán)限分配給這些用戶，從而把用戶無權(quán)存取的數(shù)據(jù)隱藏起來，實(shí)現(xiàn)數(shù)據(jù)庫訪問的間接控制。本質(zhì)上講，這種方式也屬于DAC實(shí)現(xiàn)。2.2.4存儲(chǔ)過程機(jī)制類似視圖，在數(shù)據(jù)庫中也可以使用存儲(chǔ)過程進(jìn)行訪問控制。管理員可以預(yù)先創(chuàng)建存儲(chǔ)過程，然后把其EXEC權(quán)限通過GRANT命令授予用戶。那么，這個(gè)用戶將執(zhí)行存儲(chǔ)過程而不必具有訪問在存儲(chǔ)過程中被訪問的下層對象的權(quán)限，從而盡量避免用戶對底層對象的直

2.3資源安全數(shù)據(jù)庫中可用的連接資源、磁盤空間、數(shù)據(jù)緩沖區(qū)等是有限的。如果對它們的使用不加限制，過度消耗，勢必將導(dǎo)致數(shù)據(jù)庫負(fù)載過重，甚至造成系統(tǒng)癱瘓。不僅如此，如果用戶惡意消耗這些資源，將使得其他用戶喪失訪問數(shù)據(jù)庫的能力：因此，對這些資源的使用加以控制是非常必要的。所謂資源安全是指采用適當(dāng)?shù)氖侄未_保某些數(shù)據(jù)庫資源的受控使用，以避免資源耗盡使得數(shù)據(jù)庫不能正常運(yùn)行，甚至癱瘓。常用的技術(shù)如下。1)并發(fā)連接限額。并發(fā)連接是指在數(shù)據(jù)庫中允許的并發(fā)會(huì)話數(shù)量，即同時(shí)連接到數(shù)據(jù)庫中的用戶會(huì)話數(shù)量。在數(shù)據(jù)庫中，可以通過設(shè)置系統(tǒng)的最大許可(license)數(shù)目、系統(tǒng)或每個(gè)用戶的最大并發(fā)連接數(shù)目等手段管理和控制并發(fā)連接資源，防止整個(gè)系統(tǒng)連接耗盡或單個(gè)用戶獨(dú)占所有連接，從而確保連接資源的可用性。2)表空間限額。在數(shù)據(jù)庫中，表空間是存儲(chǔ)數(shù)據(jù)表的磁盤資源，容量有限。通常，管理員應(yīng)為每個(gè)用戶、或每個(gè)表空間定義允許使用的限額。一旦超出該限額，則只允許該用戶進(jìn)行數(shù)據(jù)查詢等受限操作，而不再允許執(zhí)行數(shù)據(jù)插入等消耗表空間的操作。此外，審計(jì)一般需要自己獨(dú)立的表空間。因此，一3)緩沖區(qū)限額。類似表空間限額，一般數(shù)據(jù)庫還應(yīng)提供緩沖區(qū)限額管理，例如：定義數(shù)據(jù)共享緩沖區(qū)、排序緩沖區(qū)、日志緩沖區(qū)等最大使用額度。一旦超過該額度，則系統(tǒng)將告警。在資源管理方面，數(shù)據(jù)庫除提供上述特性外，有的數(shù)據(jù)庫還對其他資源也提供相應(yīng)的管理，這些資源如&研究與開發(fā)&研究與開發(fā)PAGE37PAGE37PAGE38PAGE38CPU資源、磁盤的邏輯讀寫、鎖資源等。2.4數(shù)據(jù)安全數(shù)據(jù)是數(shù)據(jù)庫中的核心資源，一旦其被攻擊、被竊取、被破壞或被篡改，則后果可能非常嚴(yán)重，因此，如何保障數(shù)據(jù)安全對數(shù)據(jù)庫來說具有重要意義。針對這種情況，數(shù)據(jù)庫中提供多種保護(hù)方法，例如：在存儲(chǔ)層，提供加密存儲(chǔ)保護(hù)：在傳輸層，提供不同節(jié)點(diǎn)之間可信傳輸保護(hù)：在應(yīng)用層，提供備份恢復(fù)保護(hù)。1)存儲(chǔ)加密。有的數(shù)據(jù)庫對重要數(shù)據(jù)提供存儲(chǔ)加密保護(hù)。換句話說，數(shù)據(jù)在寫到磁盤上時(shí)對其進(jìn)行加密：當(dāng)授權(quán)用戶讀取數(shù)據(jù)時(shí)，再對其進(jìn)行解密。該加解密過程一般對用戶透明。加密粒度可以為數(shù)據(jù)庫、表空間、表、列、存儲(chǔ)過程、函數(shù)等粒度。常用的加密算法如

通信雙方建立可信連接，從而有效降低重放攻擊和惡意篡改的風(fēng)險(xiǎn)。例如：圖3采用的基于SSL的可信傳輸方法。在實(shí)際應(yīng)用中，采用可信任傳輸，還是普通的TCP/IP傳輸應(yīng)由具體應(yīng)用而定。3)客體重用?？腕w重用技術(shù)通過對數(shù)據(jù)庫使用的內(nèi)存單元及磁盤區(qū)域在重新分配給用戶之前，由系統(tǒng)自動(dòng)對這些資源進(jìn)行清空并刪除處理，以防止產(chǎn)生信息泄漏，有時(shí)也稱其為殘留信息處理。4)備份恢復(fù)。數(shù)據(jù)庫常見的故障包括系統(tǒng)崩潰、意外停機(jī)、存儲(chǔ)介質(zhì)損壞等。針對這些故障，一般數(shù)據(jù)庫提供了一套包括備份和恢復(fù)技術(shù)在內(nèi)的、完整的可靠性技術(shù)，以支持用戶能快速將數(shù)據(jù)庫恢復(fù)到故障發(fā)生時(shí)的一致狀態(tài)。這就是數(shù)據(jù)庫的備份與恢復(fù)功能。常用的技[5]

輯備份與還原：利用SQL語言從數(shù)據(jù)庫中抽取數(shù)據(jù)并存于二進(jìn)制文件的過程。③冷備份與熱備份：冷備份發(fā)生在數(shù)據(jù)庫已經(jīng)正常關(guān)閉的情況下。相對的，熱備份發(fā)生在數(shù)據(jù)庫運(yùn)行的情況下。④基于時(shí)間點(diǎn)的系統(tǒng)恢復(fù)：支持將數(shù)據(jù)庫的狀態(tài)恢復(fù)到當(dāng)前運(yùn)行時(shí)間前的某一個(gè)時(shí)間點(diǎn)。該特性需要REDO日志、日志歸檔、聯(lián)機(jī)或脫機(jī)物理備份的特性支持。⑤完全備份和增量備份：完全備份是指對整個(gè)數(shù)據(jù)庫進(jìn)行備份。相對的，增量備份只備份相對與上一次備份操作時(shí)刻以來新創(chuàng)建或者更新過的數(shù)據(jù)。前者比較耗時(shí)，而后者既可以大幅節(jié)省備份存儲(chǔ)空間，又可以縮短備份時(shí)間。⑤數(shù)據(jù)庫鏡像：自動(dòng)把整個(gè)數(shù)據(jù)庫或其中的關(guān)鍵數(shù)據(jù)復(fù)制到另一個(gè)磁盤上。當(dāng)主數(shù)據(jù)庫更新時(shí)，自動(dòng)地把更新后的數(shù)據(jù)復(fù)制過去。在實(shí)際應(yīng)

術(shù)包括以下幾種

。①物理備份與

用中，通常是按需把這些備份技術(shù)2)可信傳輸。為確?？蛻舳撕头?wù)器之間的數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性，有的數(shù)據(jù)庫支持在

恢復(fù)：將實(shí)際組成數(shù)據(jù)庫的操作系統(tǒng)文件從一處拷貝到另一處的備份過程，通常是從磁盤到磁帶。②邏

混合在一起使用。2.5過程安全上述安全特性能否起到保護(hù)數(shù)據(jù)庫的作用取決于它們是否被正確執(zhí)行。因此，數(shù)據(jù)庫還應(yīng)通過適當(dāng)?shù)氖侄未_保它們能按照管理員預(yù)設(shè)的方式正確使用。這就是過程安全的任務(wù)。常用的技術(shù)如下。1)數(shù)據(jù)庫審計(jì)。數(shù)據(jù)庫審計(jì)是指對數(shù)據(jù)庫系統(tǒng)中發(fā)生的動(dòng)作(或稱為事件)，其對應(yīng)的操作對象、操圖3基于SSL的可信傳輸示意圖

作時(shí)間等信息記錄下來的過程。事后，管理員可以通過對這些信息分析，發(fā)現(xiàn)潛在的威脅并采取有效的措施加以防范。審計(jì)的內(nèi)容廣泛，例如。①可以審計(jì)用戶執(zhí)行的各種SQL語句。②可以審計(jì)上面提到的身份鑒別、DAC、MAC、資源限制等安全功能的使用。③既可以審計(jì)執(zhí)行成功的操作，也可以審計(jì)執(zhí)行失敗的操作。其一般支持服務(wù)器級(jí)、數(shù)據(jù)庫模式對象級(jí)，SQL語句級(jí)等審計(jì)粒度。通常，審計(jì)操作比較消耗系統(tǒng)資源，因此有的數(shù)據(jù)庫提供審計(jì)功能開關(guān)和審計(jì)事件配置功能。管理員利用這些功能可以限制審計(jì)事件的數(shù)量和頻率。具體應(yīng)用中，在基本滿足需求的條件下，盡可能把審計(jì)內(nèi)容減少到最小，防止不必要的審計(jì)行為出現(xiàn)。2)操作系統(tǒng)審計(jì)。在實(shí)際應(yīng)用中，數(shù)據(jù)庫審計(jì)一般應(yīng)與操作系統(tǒng)審計(jì)結(jié)合使用。因?yàn)閿?shù)據(jù)庫審計(jì)在數(shù)據(jù)庫沒有啟動(dòng)之前是不可用的，這將導(dǎo)致不能審計(jì)數(shù)據(jù)庫初始化、實(shí)例啟動(dòng)等操作。此時(shí)，則可以借助操作系統(tǒng)審計(jì)對這些內(nèi)容進(jìn)行審計(jì)。3常用的保證措施在數(shù)據(jù)庫安全管理中，不僅要從功能角度保證其運(yùn)行的安全，還要從環(huán)境角度利用各種安全措施支持?jǐn)?shù)據(jù)庫的安全運(yùn)行。常用的措施如下。1)場地安全。場地安全是指對數(shù)據(jù)庫負(fù)責(zé)的組織通過制定和實(shí)施適當(dāng)?shù)墓芾泶胧┍Ｕ蠑?shù)據(jù)庫運(yùn)行的場地安全。這些措施如：該場地和其他場地隔離，專人專管，應(yīng)急斷電、溫度和濕度、防水和防潮等保護(hù)。2)設(shè)備安全。設(shè)備安全是組織通過制定和實(shí)施適當(dāng)?shù)墓芾泶胧┍Ｕ蠑?shù)據(jù)庫使用的設(shè)備安全，這些設(shè)備如數(shù)據(jù)庫所用的計(jì)算機(jī)、磁盤、磁帶、網(wǎng)絡(luò)、數(shù)據(jù)導(dǎo)入導(dǎo)出設(shè)備等。

3)操作系