论文部分内容阅读
1 Web环境下数据库系统安全的重要性
1.1 保护敏感信息和数据资产
大多数企业、组织以及政府部门的电子数据都保存在各种数据库系统中,他们用这些数据库系统保存一些涉及个人隐私的资料,敏感的金融数据,包括交易记录、商业事务和账号数据,战略上的或者专业的信息等。数据库服务器还可能保存着一些有关员工身份的详细资料,如身份证号、银行账号、信用卡号码和一些商业伙伴的资料等。从某种意义上讲,数据库系统的安全对企业组织等的生存和发展起着十分重要的作用。
1.2 正确配置和保护数据库系统是计算机系统安全的保障
数据库应用程序通常都同操作系统的最高管理员密切相关。比如:Oracle、Sybase、MS SQL Server数据库系统都有相同的特点:用户账号和密码、认证系统、授权模块和数据对象的许可控制,内置命令存储过程,特定的脚本和程序语言,中间件,网络协议,补丁和服务包,数据库管理和开发工具。安全漏洞和不当的配置通常会造成严重的后果,而且难以发现。
1.3在Web环境下数据库服务器的安全与网络的安全同等重要
现在的数据库系统都提供基于TCP/IP的端口连接,表示在没有设置访问控制的情况下,任何人都能够用分析工具试图连接到数据库上,而绕过操作系统的安全机制,比如:DB2和Oracle所用的端口分别是50000和1521。多数数据库系统也有公开的默认账号和默认密码,在这种情况下,可以顺利地连接到数据库系统,进而控制网络。由此可见,搞好数据库系统的安全可以加强网络的安全性能。
2 Web环境下的数据库系统面临的威胁
2.1 偶然的、无意地破坏数据库管理系统管理下的数据
偶然的、无意地破坏数据库管理系统管理下的数据具体包括以下几个方面:
(1)自然的或意外的事故,例如地震、水灾、火灾等等导致的硬件的破坏,进而导致数据的破坏和损失。
(2)硬件或软件的故障和错误可能会导致系统内部的安全机制的失效,非法地访问数据,以及系统拒绝提供权限内的数据服务。
(3)人为的失误操作或系统用户的错误使用,可能产生与故障类似的结果。
2.2 蓄意的侵犯或敌意的攻击
蓄意的侵犯或敌意的攻击主要有以下几种类型:
(1)授权用户可能滥用他们的权限。授权用户蓄意窃取或破坏信息,主要应当通过组织或制度等管理手段来解决。对于滥用权限的问题,数据库管理系统中可以通过审计功能来加以防范或监督。因此,安全性能较强的都设置有较强的审计功能,作为安全功能的强化和补充。
(2)信息的非正常扩散——泄密。
(3)由授权读取的数据通过推论得到不应访问的数据。
(4)对信息的非正常修改,包括破坏数据一致性的非法修改和删除。
(5)敌对方的攻击,内部或外部的非授权用户从不同的渠道进行攻击。
(6)敌对方对软件或硬件的破坏。
(7)绕过数据库管理系统间接对数据进行读写。
(8)病毒、天窗。
(9)通过各种途径对数据库管理系统的正常工作进行干扰,使得合法用户在提出数据请求时,系统不能随时提供数据服务。
3 数据库系统的安全控制策略
就当前安全控制策略发展来看,数据库系统的安全控制策略主要有信息流控制、推论控制和访问控制三种。
3.1信息流控制
信息流控制的基本思想是Denning在20世纪70年代后期提出的,其思路是对可访问的对象之间流动的信息或信息流程加以监控和管理。信息流控制机制检查信息流程,以保护信息不会被从保护级较高的对象传送到低保护级的对象中去。
信息流技术分为动态的和静态的。所谓静态的信息流技术,是指对系统的状态机进行的信息流分析,目的在于找出隐秘的不为系统所认可的信息通道,从而达到消除隐患,提高系统整体安全指标。所谓动态的信息流技术,是指在系统运行之中通过一定的技术环境下数据库系统安全访问控制机制研究措施和设施,对系统的运行本身加以监测,目的是找出异常的信息流,提供给系统安全监督人员作为查出隐秘信息通道的手段。
3.2推论控制
推论是指用户通过间接的方式获取本不该获取的数据或信息。所谓推论控制,其目标就是防止用户通过间接的方式获取本不该获取的数据或信息,也即防范数据被窃取。
如果数据X与数据Y之间存在某种函数关系Y=f(X):,其中X是该用户的授权存取的数据集合,则该用户即可通过调用f(X)而取得本无访问授权的数据集合Y。上述的由X到达Y的联通就是一个推论途径。
在数据库中主要是以有效存取访问语句中的条件形式进行的。如一个用户,对X具有有效的存取访问授权,在其数据存取语句中可能获得他无权访问的数据Y的信息,从而进一步通过推论获得数据Y。
控制统计推论的技术主要有两种,一种是数据扰动,就是对需要进行统计的敏感数据进行加工,使其既不影响统计结果,又防止敏感数据的丢失。另外一种是查询控制,则是对统计查询的控制,它是基于对查询的记录数进行控制。查询控制就是建筑在对连续若干个查询的结构记录数据的差的监控之上的。
3.3访问控制
访问控制机制主要分为三大类:自主访问控制、强制访问控制和基于角色的访问控制。
3.3.1自主访问控制
自主访问控制的基础是系统承认客体是通过“拥有”与主体联系起来的,既然是某个主体拥有这个客体,当然他也就具备了该客体的所有的访问权限,并且还可以把这些权限的全部或一部分转让给其他的用户。每次主体对客体进行访问时,都要进行存取检查。自主访问控制的授权策略主要有以下三种:
(1)集中管理策略。只有某些特权用户具有对其他用户授予或撤销对客体的访问权的权利。
(2)基于拥有权的管理策略。只有客体的创建者具有对其他用户授予或撤销对客体的访问权的权利。
(3)非集中管理策略。在客体的拥有者的认可下,一些用户具有对其他用户授予或撤销对客体的访问权的权利。
3.3.2 强制访问控制
强制访问控制提供了客体在主体之间共享的控制。与自主访问控制不同的是,强制访问控制由系统或数据库管理员管理,更严格地取决于系统拥有者的安全策略。
强制访问控制由BLP(Bell-La Padula)模型发展而来的。主体和客体都被赋予安全级别,安全级别包含两个元素:密级和范围。主体的安全级别反映主体的可信度;客体的安全级别反映客体所含信息的敏感度。强制访问控制主要遵循两个规则实施访问控制:第一条规则是不准上读。即主体不能读取高安全级的客体。第二条规则是不准下写。即主体不能将高安全级的客体写入低安全级的客体之中。
3.3.3 基于角色的访问控制
基于角色的访问控制是由美国George Mason大学的Ravi Sandhu教授正式提出的,它提供了解决具有大量用户、数据客体和权限分配的系统管理复杂性的问题。基于角色的访问控制(Role-Based Access Control ,RBAC)主要涉及会话(Session)、用户(User)、角色(Role)、许可(Permission)等主要概念。它也是目前在大型的信息系统中,普遍采用的一种访问控制模型,用它可以实现自主访问控制或强制访问控制策略。其显著的两大特征:一是由于角色/权限之间的变化比角色/用户关系之间的变化相对要慢得多,因此减小了授权管理的复杂性,降低了管理开销;二是灵活地支持企业的安全策略,并对企业的变化有很大的伸缩性。
基于角色访问控制(RBAC)被普遍认为是当前最具有发展潜力的访问控制策略,已成为信息安全等领域研究的热点之一。
参考文献
[1]胡天磊,杨小虎,董金祥.数据库安全代理的基于角色访问控制模型[J].浙江大学学报(工学版),2003(3).
[2]宋志敏,南相浩.数据库安全的研究与进展[J].计算机工程与应用,2001(1).
[3]吴承荣,张世永.数据库访问控制模型分析[J].计算机工程与应用,2002(13).
[4]张翼.Web环境下数据库系统安全访问控制机制研究[D].大连:大连理工大学,2007.
[5]朱良根,雷振甲,张玉清.数据库安全技术研究[J].计算机应用研究,2004(9).
1.1 保护敏感信息和数据资产
大多数企业、组织以及政府部门的电子数据都保存在各种数据库系统中,他们用这些数据库系统保存一些涉及个人隐私的资料,敏感的金融数据,包括交易记录、商业事务和账号数据,战略上的或者专业的信息等。数据库服务器还可能保存着一些有关员工身份的详细资料,如身份证号、银行账号、信用卡号码和一些商业伙伴的资料等。从某种意义上讲,数据库系统的安全对企业组织等的生存和发展起着十分重要的作用。
1.2 正确配置和保护数据库系统是计算机系统安全的保障
数据库应用程序通常都同操作系统的最高管理员密切相关。比如:Oracle、Sybase、MS SQL Server数据库系统都有相同的特点:用户账号和密码、认证系统、授权模块和数据对象的许可控制,内置命令存储过程,特定的脚本和程序语言,中间件,网络协议,补丁和服务包,数据库管理和开发工具。安全漏洞和不当的配置通常会造成严重的后果,而且难以发现。
1.3在Web环境下数据库服务器的安全与网络的安全同等重要
现在的数据库系统都提供基于TCP/IP的端口连接,表示在没有设置访问控制的情况下,任何人都能够用分析工具试图连接到数据库上,而绕过操作系统的安全机制,比如:DB2和Oracle所用的端口分别是50000和1521。多数数据库系统也有公开的默认账号和默认密码,在这种情况下,可以顺利地连接到数据库系统,进而控制网络。由此可见,搞好数据库系统的安全可以加强网络的安全性能。
2 Web环境下的数据库系统面临的威胁
2.1 偶然的、无意地破坏数据库管理系统管理下的数据
偶然的、无意地破坏数据库管理系统管理下的数据具体包括以下几个方面:
(1)自然的或意外的事故,例如地震、水灾、火灾等等导致的硬件的破坏,进而导致数据的破坏和损失。
(2)硬件或软件的故障和错误可能会导致系统内部的安全机制的失效,非法地访问数据,以及系统拒绝提供权限内的数据服务。
(3)人为的失误操作或系统用户的错误使用,可能产生与故障类似的结果。
2.2 蓄意的侵犯或敌意的攻击
蓄意的侵犯或敌意的攻击主要有以下几种类型:
(1)授权用户可能滥用他们的权限。授权用户蓄意窃取或破坏信息,主要应当通过组织或制度等管理手段来解决。对于滥用权限的问题,数据库管理系统中可以通过审计功能来加以防范或监督。因此,安全性能较强的都设置有较强的审计功能,作为安全功能的强化和补充。
(2)信息的非正常扩散——泄密。
(3)由授权读取的数据通过推论得到不应访问的数据。
(4)对信息的非正常修改,包括破坏数据一致性的非法修改和删除。
(5)敌对方的攻击,内部或外部的非授权用户从不同的渠道进行攻击。
(6)敌对方对软件或硬件的破坏。
(7)绕过数据库管理系统间接对数据进行读写。
(8)病毒、天窗。
(9)通过各种途径对数据库管理系统的正常工作进行干扰,使得合法用户在提出数据请求时,系统不能随时提供数据服务。
3 数据库系统的安全控制策略
就当前安全控制策略发展来看,数据库系统的安全控制策略主要有信息流控制、推论控制和访问控制三种。
3.1信息流控制
信息流控制的基本思想是Denning在20世纪70年代后期提出的,其思路是对可访问的对象之间流动的信息或信息流程加以监控和管理。信息流控制机制检查信息流程,以保护信息不会被从保护级较高的对象传送到低保护级的对象中去。
信息流技术分为动态的和静态的。所谓静态的信息流技术,是指对系统的状态机进行的信息流分析,目的在于找出隐秘的不为系统所认可的信息通道,从而达到消除隐患,提高系统整体安全指标。所谓动态的信息流技术,是指在系统运行之中通过一定的技术环境下数据库系统安全访问控制机制研究措施和设施,对系统的运行本身加以监测,目的是找出异常的信息流,提供给系统安全监督人员作为查出隐秘信息通道的手段。
3.2推论控制
推论是指用户通过间接的方式获取本不该获取的数据或信息。所谓推论控制,其目标就是防止用户通过间接的方式获取本不该获取的数据或信息,也即防范数据被窃取。
如果数据X与数据Y之间存在某种函数关系Y=f(X):,其中X是该用户的授权存取的数据集合,则该用户即可通过调用f(X)而取得本无访问授权的数据集合Y。上述的由X到达Y的联通就是一个推论途径。
在数据库中主要是以有效存取访问语句中的条件形式进行的。如一个用户,对X具有有效的存取访问授权,在其数据存取语句中可能获得他无权访问的数据Y的信息,从而进一步通过推论获得数据Y。
控制统计推论的技术主要有两种,一种是数据扰动,就是对需要进行统计的敏感数据进行加工,使其既不影响统计结果,又防止敏感数据的丢失。另外一种是查询控制,则是对统计查询的控制,它是基于对查询的记录数进行控制。查询控制就是建筑在对连续若干个查询的结构记录数据的差的监控之上的。
3.3访问控制
访问控制机制主要分为三大类:自主访问控制、强制访问控制和基于角色的访问控制。
3.3.1自主访问控制
自主访问控制的基础是系统承认客体是通过“拥有”与主体联系起来的,既然是某个主体拥有这个客体,当然他也就具备了该客体的所有的访问权限,并且还可以把这些权限的全部或一部分转让给其他的用户。每次主体对客体进行访问时,都要进行存取检查。自主访问控制的授权策略主要有以下三种:
(1)集中管理策略。只有某些特权用户具有对其他用户授予或撤销对客体的访问权的权利。
(2)基于拥有权的管理策略。只有客体的创建者具有对其他用户授予或撤销对客体的访问权的权利。
(3)非集中管理策略。在客体的拥有者的认可下,一些用户具有对其他用户授予或撤销对客体的访问权的权利。
3.3.2 强制访问控制
强制访问控制提供了客体在主体之间共享的控制。与自主访问控制不同的是,强制访问控制由系统或数据库管理员管理,更严格地取决于系统拥有者的安全策略。
强制访问控制由BLP(Bell-La Padula)模型发展而来的。主体和客体都被赋予安全级别,安全级别包含两个元素:密级和范围。主体的安全级别反映主体的可信度;客体的安全级别反映客体所含信息的敏感度。强制访问控制主要遵循两个规则实施访问控制:第一条规则是不准上读。即主体不能读取高安全级的客体。第二条规则是不准下写。即主体不能将高安全级的客体写入低安全级的客体之中。
3.3.3 基于角色的访问控制
基于角色的访问控制是由美国George Mason大学的Ravi Sandhu教授正式提出的,它提供了解决具有大量用户、数据客体和权限分配的系统管理复杂性的问题。基于角色的访问控制(Role-Based Access Control ,RBAC)主要涉及会话(Session)、用户(User)、角色(Role)、许可(Permission)等主要概念。它也是目前在大型的信息系统中,普遍采用的一种访问控制模型,用它可以实现自主访问控制或强制访问控制策略。其显著的两大特征:一是由于角色/权限之间的变化比角色/用户关系之间的变化相对要慢得多,因此减小了授权管理的复杂性,降低了管理开销;二是灵活地支持企业的安全策略,并对企业的变化有很大的伸缩性。
基于角色访问控制(RBAC)被普遍认为是当前最具有发展潜力的访问控制策略,已成为信息安全等领域研究的热点之一。
参考文献
[1]胡天磊,杨小虎,董金祥.数据库安全代理的基于角色访问控制模型[J].浙江大学学报(工学版),2003(3).
[2]宋志敏,南相浩.数据库安全的研究与进展[J].计算机工程与应用,2001(1).
[3]吴承荣,张世永.数据库访问控制模型分析[J].计算机工程与应用,2002(13).
[4]张翼.Web环境下数据库系统安全访问控制机制研究[D].大连:大连理工大学,2007.
[5]朱良根,雷振甲,张玉清.数据库安全技术研究[J].计算机应用研究,2004(9).