【文章內容簡介】 而，數據庫安全與數據庫應用又是一對矛盾的關系。首先，數據庫應用就是為廣大合法用戶提供方便、快捷的信息服 務，而數據庫安全為了保證信息的保密性和完整性，則需要增加許多安全措施以防止非法用戶的竊取和泄密，這樣必將影響數據庫的性能，也給數據庫應用增加一定的復雜程度。 所謂數據庫的安全性，就是指保護數據庫以防非法使用所造成的數據破壞、更改、泄露。 數據庫安全的含義 數據庫安全，包含兩層含義 : 第一層是指系統(tǒng)運行安全，它包括 : 法律、政策的保護，如用戶是否有合法權利，政策是否允許等 。 物理控制安全，如機房加鎖等 。 硬件運行安全 。 操作系統(tǒng)安全，如數據文件是否保護等 。 災害、故障恢復 : 死鎖的避免和解除 。 電磁信息泄漏防 止。 第二層是指系統(tǒng)信息安全，它包括 : 用戶身份標識和鑒別 。 用戶存取權限控制 。 數據存取權限、方式控制 。 審計跟蹤 。 數據加密。 由此可見，數據庫安全涉及了許多方面，但從數據庫應用開發(fā)角度而言，認為第一層系統(tǒng)運行是安全的，數據庫安全只考慮在第二層(系統(tǒng)信息安全 )?，F(xiàn)在流行的大型數據庫系統(tǒng)為實現(xiàn)數據庫安全也提供許多安全技術，下面從介紹數據庫系統(tǒng)的安全體系入手來分析當今大型數據庫系統(tǒng)提供的安全技術和安全漏洞。 數據庫的安全體系結構 現(xiàn)在的數據庫系統(tǒng)一般提供如下的安全層次結構，如圖 所示 : 7 用戶接口 6 數據庫 4 數據庫管理系統(tǒng) 3 視圖轉換 5 內核數據庫和結構 2 安全索引 1 訪問控制 0 操作系統(tǒng) 圖 數據庫層次安全體系結構示意圖 從上圖可知，數據庫管理系統(tǒng)被大體分為 4 層 :記為 1， 2， 3 和4 層。數據庫被分為 2 層 :記為 5 和 6 層。第 7 層為用戶接口，也是數據庫管理系統(tǒng)的一部分。 0層是支持數據庫安全內核的操作系統(tǒng)部分，是系統(tǒng)安全內核中的一部分。 數據庫安全內核由 O， 1， 2， 3 和 5 組成，形成安全周界。第一層實現(xiàn)用戶身份鑒別和訪問控制，以及傳遞給高層時的 數據篩選工作 。第二層完成基本的數據庫索引及其計算工作 。第三層把用戶的視圖轉化為數據庫的基本關系 :第五層為系統(tǒng)或數據庫安全內核所需要的數據或數據結構。 另外，從計算機系統(tǒng)的安全結構和安全周界來看，數據庫管理系統(tǒng)是整個系統(tǒng)中的一個大型專用程序，數據庫只是一個數據文件。因此，這里所說的“外部”既可以是用戶終端，更多的可能是作為主體的、系統(tǒng)有關用戶程序或過程調用。當然，計算機系統(tǒng)的安全內核也成為數據庫系統(tǒng)的外部。這就意味著從數據庫系統(tǒng)本身的安全著想，不存在通向數據庫系統(tǒng)的可信路徑，即外來的訪問，包括系統(tǒng)安全內核的訪 問皆不可信。 數據庫安全的分析 由于數據庫本身的特點，如完整性、共享性、一致性等，數據庫安全與其它數據安全有較大的區(qū)別，下面對數據庫安全進行分析。 影響數據庫安全的主要因素 當前，一方面是數據庫系統(tǒng)的規(guī)模越來越大，數據庫存儲的數據量不僅大，而且種類也多。另一方面是開放性不斷增強，即數據庫系統(tǒng)就是為用戶提供信息服務的，要求不同的用戶身份提供不同的服務。同時，現(xiàn)在很多數據庫系統(tǒng)還具有分布式的特點。所有這些都體現(xiàn)數據庫的特點和復雜性，也是影響數據庫安全的主要因素。下面進行歸納和分析。 （ 1） 數據庫數據量大，數據敏感度 不同而且粒度很細 由于數據的類別和性質不同，使得它們各自的安全性要求 (即敏感程度 )也不相同，從而造成在實施安全保護時必須針對數據各自的敏感程度而采取不同的保護措施，根據這種敏感程度劃分出來的數據區(qū)域又可能是細碎的。例如 :一個公司有關人事數據庫管理系統(tǒng)，它的數據庫由若干個表組成，其中有個職員實體的表，它的記錄包括姓名、年齡、住址、電話、工作部門、工資、工齡等信息，而工資項因為敏感度高，不能公開，因而需要進行適當的保護。此外，對一些特殊職員，他們的地址、電話也需要保護，而工資還需要得到更高一級的保護。這個例子說 明了在數據庫安全保密中的“細粒度”問題。 （ 2） 用戶成分復雜 數據庫安全保密主要是針對那些較開放的數據庫，這類數據庫為各種各樣的眾多用戶提供服務，盡管用戶可能有不同的使用目的。應該根據用戶的性質確定他們的使用權限，保證某些數據限定只有某些用戶才能訪問。這就形成了數據庫中針對用戶的數據隔離和數據共享問題。 （ 3） 數據操作的種類多，安全性要求也不同 一般來說，對數據庫中的數據可進行讀出、寫入、添加、刪除、轉移、拷貝等多種操作，而在具有安全性要求的數據庫中，用戶對同一數據的操作權限可能就不同，例如可讀但不可寫，可添加但不可刪除等。這種問題一般采用授權管理來解決。 （ 4） 推導控制問題 在數據庫應用中，統(tǒng)計功能常常是不可缺少的，往往統(tǒng)計結果的敏感度較低，但是其中一些原始數據的敏感度卻很高。人們能夠利用統(tǒng)計結果推導出這些高敏感度的原始數據，這就危及了信息的安全。因此，需要解決從統(tǒng)計結果推導出敏感信息的問題。 （ 5） 分布式 數據庫帶來更多的安全問題 隨著計算機網絡日益普及和發(fā)展，分布式數據庫得到了越來越廣泛的應用，它的安全問題也愈發(fā)得到關注。例如 :數據一致性問題、并發(fā)控制問題、用戶訪問問題及信息傳輸問題等等。 （ 6） 信息存儲和處理的高效率是數據庫的主要優(yōu) 點 我們在考慮數據庫安全性時，要盡可能地降低對原數據庫系統(tǒng)效率的影響。 以上這些特點，決定了數據庫安全問題不能用以往的硬件物理安全或操作系統(tǒng)安全簡單地代替解決，也不能簡單套用數據安全的方法。正是由于數據庫的特點，數據庫安全具有多層次、多方面的特點。 數據庫安全的基本要求 下面對數據庫安全的基本要求進行闡述 (l)物理上的數據庫完整性 預防數據庫數據物理方面的問題，如掉電以及當被災禍破壞后能重構數據庫。 (2)邏輯上的數據庫完整性。 保持數據的結構。比如 :一個字段的值的修改不至于影響其它字段。 (3)元素的完 整性 包含在每個元素中的數據是準確的。 (4)可審計性 能夠追蹤到誰訪問或修改過數據的元素。 (5)訪問控制 允許用戶只訪問被批準的數據，以及限制不同的用戶有不同的訪問模式，如讀或寫。 (6)用戶認證 確保每個用戶被正確地識別，既便于審計追蹤，也為了限制對特定的數據進行訪問。 (7)可獲 (用 )性 用戶可以訪問數據庫以及所有被批準訪問的數據。 由此可知，數據庫安全主要包括三個方面 :完整性、保密性和可獲 (用 )性。完整性既適用于數據庫的個別元素也適用于整個數據庫，所以在數據庫管理系統(tǒng)的設計中完整性是主要的關心對象 。保密性由于推理攻擊和內部泄密而變成數據庫的一大問題，用戶可以間接訪問敏感數據庫。因為共享訪問的需要是開發(fā)數據庫的基礎，所以可獲性是重要的。但是可獲性與保密性是相互沖突的。 數據庫安全的實現(xiàn)技術 數據庫安全問題可歸結為保證數據庫系統(tǒng)中各種對象存取權的合法性 (保證訪問，阻止非法訪問 )和數據庫內容本身的安全 (防泄漏、篡改或破壞 )兩個方面，圍繞這兩個方面，數據庫的安全可采用如下技術。 (l)存取控制技術 存取控制技術是數據庫安全的核心，一般采用多層控制，即系統(tǒng)登錄控制、數據庫使用權控制及數據庫對象操作權控制。系統(tǒng) 登錄控制，又稱為標識 /鑒別技術，即輸入用戶名及口令，由系統(tǒng)進行身份驗證。數據庫使用權及數據庫對象操作權控制數據庫的授權系統(tǒng)將各種使用與操作權授予用戶。 (2)隔離控制技術 隔離控制技術在數據庫中也是一項很重要的安全技術。通過某種中間機制，將與存取對象隔離。用戶不能直接對存取對象進行操作，而是通過中間機構間接進常用的文數據庫加密技術的研究與實現(xiàn)中間機構有視圖和存儲過程。 (3)加密技術 加密技術是將數據庫中的原始數據 (明文 )轉換成人們所不能識別的數據 (密文 )，以達到防止信息泄漏的目的。 (4)信息流向控制技術 信息流向控制技術是將數據庫信息內容按敏感程度分成多個密級 (如絕密、機密、秘密、一般 )，以防止信息從高安全級流向低安全級。 (5)推理控制技術 推理控制技術是防止用戶從對數據庫的合法訪問得到的信息，推斷出他所不應了解的信息。推理控制技術特別適用于統(tǒng)計數據庫的安全。 數據庫安全的評價和目標 數據庫安全的評價一般包括以下幾個方面 : (l)完整性 指系統(tǒng)能否對付各種可能的攻擊。系統(tǒng)要達到什么樣的完整性，取決于系統(tǒng)所處 理信息的重要程度、價值和敏感性。 (2)可行性 指系統(tǒng)能對付各種可能攻擊的能力。它可以通過對系統(tǒng) 進行分析、求證、測試和觀測來獲得。 (3)系統(tǒng)靈活性 指系統(tǒng)執(zhí)行廣泛、多種多樣的安全策略的能力。在不同的情況下，需要不同的安全策略，因此系統(tǒng)應有較好的靈活性。 (4)用戶方便性 在保證數據庫系統(tǒng)安全的前提下，盡量方便用戶應用。 (5)降低管理成本 對加密、解密等特殊操作的管理費用和效益應盡量降低，并能衡量和評估。 (6)便于安全管理員使用 對于一個數據庫進行安全審計與評價，需要什么樣的數據共享組織、什么樣的存取控制方法、什么樣的安全等級和開銷方法，都要給予充分的考慮，以便選擇最佳方案，并兼顧安全和經濟兩個方 面。 為此，制定實現(xiàn)數據庫安全的目標 : (l)物理完整性與邏輯保密性 任何主體 (包括用戶和應用程序 )在非授權情況下均不能直接訪問數據庫中的數據，從而保證整個系統(tǒng)結構的完整。 (2)推導控制 防止任何主體通過執(zhí)行某些數據操作或運算，如多點間的信息交換或多次查詢結果的交疊等，推出得到非授權信息。 (3)靈活性 在各種要求層次上，合法的授權用戶均能很方便地獲得相應的操作特權。 (4)高效性 數據庫安全機制要盡可能少地降低數據庫基本操作的效率，同時應滿足用戶的安全需求。 (5)合理性 用戶可存取的數據不能因安全機制 的引入而減少，安全機制在時間和空間上的開銷要合理。 由上面可以看出，實現(xiàn)理想的安全保密數據庫需要綜合考慮各方面的因素 。 數據庫系統(tǒng)中存在的潛在威脅與數據庫系統(tǒng)保護 現(xiàn)在任何一個信息系統(tǒng)中，數據庫都是作為信息存儲的主要載體，是信息系統(tǒng)必不缺少的一部份。隨著網絡技術的廣泛應用，在給用戶帶來方便的同時，在安全性方面也提出了新的挑戰(zhàn)?，F(xiàn)在的數據庫系統(tǒng)己不僅僅限制在一臺單機上和一個局域網內， Inter 的普及使世界上任何一個連入互聯(lián)網的計算機都可以成為這個大家庭中的一員。在互聯(lián)互通的網絡環(huán)境下如何保護自己計算機上 或信息系統(tǒng)內的信息安全，己成為函待解決的嚴峻問題。數據庫的安全問題也己成為數據庫用戶乃至數據庫廠商著重注意的問題。在各大數據庫系統(tǒng)的新版本中都新加入了安全方面的措施。下面對數據庫系統(tǒng)存在的主要安全問題做一些簡要介紹。 一般來說，數據庫中儲存的往往是政府或企業(yè)的機密數據，或者是個人隱私或國家機密，這些信息就不可避免的成為一些懷有商業(yè)或政治目地的不法入侵者的首要攻擊目標。如果這些關鍵數據被惡意修改或刪除，或者被泄漏出去，就會給國家或企業(yè)造成嚴重的經濟損失或名譽損失。 數據庫的安全威脅 根據安全威脅的來源及攻擊的 性質，可將數據庫的安全威脅大致分為以下幾類 : (l)邏輯的威脅 非授權訪問即用對未獲得訪問許可的信息的訪問。 推理訪問數據是指由授權讀取的數據，通過推論得到不應訪問的數據。 病毒病毒可以自我復制，永久地或是通常是不可恢復地破壞自我復制的現(xiàn)場，達到破壞信息系統(tǒng)、取得信息的目的。 特洛伊木馬一些隱藏在公開的程序內部，收集環(huán)境的信息，可能是由授權用戶安裝的，利用用戶的合法的權限對數據安全進行攻擊。 天窗或隱蔽通道在合法程序內部的一段程序代碼，特定的條件下(例如特殊的一段輸入數據 )將啟動這段程序代碼，從而許可此時的 攻擊可以跳過系統(tǒng)設置的安全稽核機制進入系統(tǒng)，以實現(xiàn)對數據防范的攻擊和達到竊取數據的目的。 (2)硬件的威脅 磁盤故障在計算機運行過程中最常見的問題就是磁盤故障，它會導致重要數據的丟失。 控制器故障控制器發(fā)生故障，會破壞數據的完整性。 電源故障電源故障分為電源輸入故障和系統(tǒng)內部電源故障。由于系統(tǒng)停電是不可預料的，因而不論處在哪種情況下都有可能使數據受到毀損。 存儲器故障介質、設備和其它備份故障數據存儲在可移動介質上以作備份，恢復工作則是包括數據的拷貝。如果服務器出錯、被毀，則存儲設備或其使用的介質的任何錯誤都 會導致數據的丟失。 芯片和主板的故障芯片和主板的故障會導致嚴重的數據毀損。 (3)人為錯誤的威脅 操作人員或系統(tǒng)用戶的錯誤輸入，應用程序的不正確使用，都可能導致系統(tǒng)內部的安全機制的失效，導致非法訪問數據的可能，也可能導致系統(tǒng)拒絕提供數據服務。 (4)傳輸的威脅 目前的數據庫應用大多是基于網絡環(huán)境的。在網絡系統(tǒng)中，無論是調用任何指令，還是任何信息的反饋均是通過網絡傳輸實現(xiàn)的，因此對數據庫而言，就存在著網絡信息傳輸的威脅。 對網絡上信息的監(jiān)聽對于網上傳輸的信息，攻擊者只需要在網絡鏈路上通過物理或邏輯的手段，就能 對數據進行非法的截獲與監(jiān)聽，進而得到敏感信息。 對用戶身份的仿冒對用戶身份仿冒這一常見的網絡攻擊方式，能對數據庫的信息產生嚴重的威脅。對網絡上信息的篡改攻擊者可能對網絡上的信息