数据库管理系统(DBMS)的安全现状
数据库安全是确保只有需要访问并且有访问系统权限的用户才被允许编辑、增加、删除或者查看数据库管理系统中的相应数据。从CC标准的技术角度,数据库安全涉及机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)等。数据库中的安全机制是用于实现数据库的各种安全策略的功能的集合。数据库中的安全访问控制机制都是基于可信计算机(Trusted Computing Base)和引用监视器(reference monitor)概念。ISO 的访问控制框架标准[ISO/IEC 10181-3]定义了引用监视器和可信计算基。根据这个标准,引用监视器由两个工具组成:访问控制执行工具(AEF)和访问控制决策工具(ADF)。AEF 截取每一个访问请求,并将请求传给ADF 进行访问控制决策,ADF 根据情况返回“yes”或“no”。围绕访问控制决策,新的策略描述语言标准(如Ponder、XACML等)也已经推出。
近年来,DBMS中的用户认证与鉴别、存取控制(包括自主访问、强制访问、基于角色的访问、基于内容的访问(细粒度访问)、基于上下文的访问、基于属性访问等)、数据库加密、可信路径、推理控制、数据流控制、数据库审计等DBMS第五级要求的10个方面的安全机制的研究取得了不少新的进展。
一致性和完整性一般通过数据库约束条件、触发器或应用程序来保证;系统资源(CPU、存储空间等)一般通过用户配置(脚本)文件来控制。所以传统的数据库安全主要指用户认证与鉴别、用户权限控制(存取控制)、数据库审计。按照《信息技术安全通用评估准则》(简称CC标准)又可以将这些安全特性的保护机制进一步划分为:
1)安全通道和封装:一种提供安全通道进行交互的机制。信息在互连网上进行传输的时候使用一个安全的通道,或者对信息进行封装。
2)鉴别和认证:一种保证数据访问是经过用户鉴别和认证的机制。
3)保护和授权:一种保护信息来源和数据不受非法登陆的机制,并且保证用户只在其授权范围内操作和访问数据。
4)审计和入侵探测:允许分析登陆源头和数据,并且允许探测非法登入和反常使用。
安全数据库策略旨在保护敏感信息和数据完整性,在多级关系数据库(MRD)中,是通过BLP模型的强制访问控制(MAC)机制实现的。MAC能够控制对敏感信息的直接访问,但非法用户却能以间接方式访问敏感信息,这涉及到推理控制。推理控制能够防止蓄意破坏的用户利用历史访问或相互交换查询信息,借助推理通道实现对敏感信息的间接访问。因此,安全数据库应使用推理控制来检测和清除推理通道。目前,有关推理通道的问题不仅仅局限于多级数据库,而是已拓展到其他有关数据挖掘以及基于Web的推理问题等领域。诸如Federal Act of1974,HIPAA等隐私立法要求使用合适的隐私保护技术来管理涉及个人的数据。这个研究方向拥有大量不同的方法和技术,包括隐私保护数据挖掘,隐私保护信息检索以及可剪裁的隐私保护数据库系统。
在Internet和Web技术的引领下,社会生活方式、工作方式和社会经济的增长方式发生了巨大的变化,人们对Internet和Web技术的依赖程度日益加深。人们对数据库安全的关注度不断增加。例如除了需要满足数据诸如机密性、完整性和可用性特性外,还需要从数据库完整性等方面考虑数据质量如完备性(Completeness),时效性、可证性等。数据量是指数增长的,再加上用户可以使用因特网访问企业的信息系统,而系统可能对访问者的身份一无所知,这意味着系统将面临更大的风险。现在数据库管理系统不仅仅管理数据,还管理企业的业务过程(存储过程、触发器),不但管理简单数据、还管理信息和知识。因此,现代数据库安全面临的挑战有:
1)数据质量和完备性。用户越来越多的通过网络获取所需信息,但是用户并不能确定这些数据的完全性和质量。因此我们需要评估和证明数据库中数据质量的技术和组织方法。
2)知识产权。在很多情况下,数据属于个人或组织的智力劳动成果,需要对其进行保护。现阶段用于关系数据产权保护的是数据水印技术,接下来的问题是如何对数字水印的健壮进行评估以及如何对其他方法进行研究。
3)移动用户的访问控制与隐私保护。如何将隐私信息高效存储于小型的设备上,如何将访问控制机制整合到身份管理的标准中,是两个必须解决的问题。另外,因为会产生大量的数据流,所以访问控制技术必须可与连续查询的处理技术相结合。最后,涉及用户地理位置的隐私数据,由于可以通过传感器与通讯网络获得,也需要进行保护。
4)数据库的生存力。指数据库系统遭受破坏时可恢复的能力,传统数据库主要关注系统的可用性,现阶段人们已经开始研究系统的可生存性(容错能力)。
面对这些新需求,现代数据库管理系统中逐渐增加下列高级安全特性:
1)细粒度访问控制:目前的存取控制模型(如基于角色的存取控制模型(RBAC),以及自主存取控制模型(DAC)和强制存取控制模型(MAC)等)难以满足当前Web应用安全访问控制需求,因而数据库层的细粒度存取控制受到了产业界和学术界的广泛关注,如Oracle从9i开始提供虚拟私有数据库技术(VPD),到Oracle 10g开始提供字段级别的VPD (Column-Level),DB2、SQL Server主流DBMS也开始提供这些访问控制技术。
2)细粒度审计:审计就是将过去已经在数据库中发生的事件记录下来,以供安全分析和统计。因此通过使用审计得到信息,对数据库中已经发生的活动进行检查,以查找是否具有安全漏洞,或者对数据库的性能进行评估。审计的作用包括两个方面:调查可疑的活动和监视并收集某类数据库活动的信息。传统的数据库审计只能被设置用来监控对对象的访问权,不提供基于值得审计。从本世纪初,DBMS开始提供基于简单的用户定义关于表的查询条件的SQL谓词:谓词可以在当查询结果中返回了指定的值得时候进行审计。基于这个细粒度审计,DBMS就能够实现数据库系统的入侵监测等高级安全功能。Oracle从10g开始提供审计仓库的功能,进一步强化了数据库安风险分析与追踪的手段。
3)数据存储加密:加密技术是信息安全的基础,在安全领域都发挥着关键作用。在数据库安全领域,加密技术主要用于通讯中。但随着数据采集手段、网络技术和存储设备技术的进步,海量、异构已经影响着数据库的安全存储和性能问题。因此数据库加密存储已成为现代DBMS的重要安全特性。数据库存储加密分不同的粒度:数据库级、表空间级、数据文件级、表级、字段级等,并且这些加密对用户是透明的。
4)私密数据保护:无处不在的计算机使人们不知不觉走入了由各种数据编制成的虚拟空间。在虚拟空间中包含的个人隐私数据越来越多,获取这些个人数据必须事先经过批准且使用公正手段。现代数据库管理系统已经提供包括隐私在内的安全保护技术。
所以,面向WEB信息系统的数据库管理系统安全功能越来越丰富,基于Web的信息系统安全高效运行也越来越依赖支持其运行的安全控制机制。对现代DBMS的安全特征进行分析、建立起安全风险评估体系,并对其风险进行评估具有现实意义和应用价值。