張敏

（中國科學(xué)院軟件研究所信息安全國家重點(diǎn)實(shí)驗(yàn)室 北京 100190）

1 概述

數(shù)據(jù)庫系統(tǒng)是當(dāng)今大多數(shù)信息系統(tǒng)中數(shù)據(jù)存儲(chǔ)和處理的核心。由于數(shù)據(jù)庫中常常含有各類重要或敏感數(shù)據(jù)，如商業(yè)機(jī)密數(shù)據(jù)、個(gè)人隱私數(shù)據(jù)、甚至是涉及國家或軍事秘密的重要數(shù)據(jù)等，且存儲(chǔ)相對(duì)集中，因而針對(duì)數(shù)據(jù)庫的攻擊往往能達(dá)到最為直接的效果。例如，Verizon Business的年度計(jì)算機(jī)破壞報(bào)告中提到，在近年的數(shù)據(jù)丟失案中，數(shù)據(jù)庫破壞占據(jù)了30%；而在數(shù)據(jù)入侵的統(tǒng)計(jì)中，數(shù)據(jù)庫入侵則高達(dá)75%。不僅如此，針對(duì)數(shù)據(jù)庫系統(tǒng)的成功攻擊往往導(dǎo)致黑客獲得所在操作系統(tǒng)的管理權(quán)限，從而為整個(gè)信息系統(tǒng)帶來更大程度的破壞，如服務(wù)器癱瘓、數(shù)據(jù)無法恢復(fù)等等。因此，及時(shí)開展數(shù)據(jù)庫安全的理論與技術(shù)研究，實(shí)現(xiàn)數(shù)據(jù)庫系統(tǒng)的安全防護(hù)，是數(shù)據(jù)庫自出現(xiàn)以來就一直存在的迫切需求。

數(shù)據(jù)庫安全研究的基本目標(biāo)是研究如何利用信息安全及密碼學(xué)技術(shù)，實(shí)現(xiàn)數(shù)據(jù)庫內(nèi)容的機(jī)密性、完整性與可用性保護(hù)，防止非授權(quán)的信息泄露、內(nèi)容篡改以及拒絕服務(wù)。數(shù)據(jù)庫安全是涉及信息安全技術(shù)領(lǐng)域與數(shù)據(jù)庫技術(shù)領(lǐng)域的一個(gè)典型交叉學(xué)科，其發(fā)展歷程與同時(shí)代的數(shù)據(jù)庫技術(shù)、信息安全技術(shù)的發(fā)展趨勢息息相關(guān)。在計(jì)算機(jī)單機(jī)時(shí)代、互聯(lián)網(wǎng)時(shí)代以及當(dāng)前的云計(jì)算時(shí)代，數(shù)據(jù)庫安全需求發(fā)生了極大的變化，其內(nèi)涵也更加豐富。本文將簡要回顧數(shù)據(jù)庫安全研究的發(fā)展歷程與當(dāng)前現(xiàn)狀，并提出相關(guān)發(fā)展建議，希望對(duì)其未來發(fā)展起到一定參考與借鑒作用。

2 安全數(shù)據(jù)庫管理系統(tǒng):計(jì)算機(jī)時(shí)代的數(shù)據(jù)庫安全

早在上個(gè)世紀(jì)70年代，國際上數(shù)據(jù)庫技術(shù)與計(jì)算機(jī)安全研究剛剛起步之時(shí)，數(shù)據(jù)庫安全問題就引發(fā)了研究者的關(guān)注，相關(guān)研究幾乎同步啟動(dòng)。當(dāng)時(shí)的研究重點(diǎn)集中于設(shè)計(jì)安全的數(shù)據(jù)庫管理系統(tǒng)，又稱為多級(jí)安全數(shù)據(jù)庫管理系統(tǒng) （Multi-Level Secure DBMS）。眾所周知，數(shù)據(jù)庫管理系統(tǒng)是負(fù)責(zé)數(shù)據(jù)存儲(chǔ)、訪問與管理的核心平臺(tái)軟件。因而它也理所當(dāng)然成為維護(hù)數(shù)據(jù)庫系統(tǒng)的安全核心。早期的數(shù)據(jù)庫安全研究的核心目標(biāo)在于，通過設(shè)計(jì)符合特定安全策略模型的安全數(shù)據(jù)庫管理系統(tǒng)，嚴(yán)格實(shí)施訪問控制策略、控制數(shù)據(jù)庫內(nèi)容的操作與訪問，從而實(shí)現(xiàn)整個(gè)數(shù)據(jù)庫系統(tǒng)的安全。相關(guān)研究大致可劃分為如下幾個(gè)重要階段：

（1）萌芽與初始時(shí)期：在上世紀(jì)70年代中期至80年代初，美國空軍、海軍資助的一批研究項(xiàng)目為多級(jí)安全數(shù)據(jù)庫的研究奠定了基礎(chǔ)。1975年，Hinke和Schaefer的報(bào)告給出了Hinke-Schaefer安全數(shù)據(jù)庫研究的內(nèi)容，實(shí)現(xiàn)了基于Multics操作系統(tǒng)的可信數(shù)據(jù)庫管理系統(tǒng)；1983年，Woods Hole研討班進(jìn)一步提出了適用于多級(jí)安全數(shù)據(jù)庫系統(tǒng)的三種體系結(jié)構(gòu)：核心化（Hinke-Schaefer）結(jié)構(gòu)、完整性鎖結(jié)構(gòu)和分布式結(jié)構(gòu)。這個(gè)時(shí)期數(shù)據(jù)庫安全研究的主流是軍用安全數(shù)據(jù)庫，美國軍方的大力推動(dòng)為研究工作涂上了一層濃重的軍方背景。在萌芽與初始時(shí)期，研究者對(duì)數(shù)據(jù)庫面臨的安全威脅、數(shù)據(jù)庫的安全需求以及安全數(shù)據(jù)庫的研究問題有了基本的認(rèn)識(shí)，通過若干項(xiàng)目的研發(fā)形成了安全數(shù)據(jù)庫開發(fā)的方法論。

（2）標(biāo)準(zhǔn)化時(shí)期：數(shù)據(jù)庫安全研究進(jìn)入標(biāo)準(zhǔn)化時(shí)期的重要標(biāo)志是美國國防部計(jì)算機(jī)安全中心在1983年發(fā)表的可信計(jì)算機(jī)評(píng)估準(zhǔn)則（TCSEC）。該準(zhǔn)則于1985年被確定為美國國防部標(biāo)準(zhǔn)，是歷史上第一個(gè)計(jì)算機(jī)安全評(píng)估準(zhǔn)則。這一段時(shí)期是多級(jí)安全數(shù)據(jù)庫系統(tǒng)發(fā)展的黃金時(shí)期，期間出現(xiàn)了一批達(dá)到高安全級(jí)別的數(shù)據(jù)庫管理系統(tǒng)。其中比較有代表性的研究項(xiàng)目包括Seaview[1]，ASD和LDV[2]。

Seaview（Secure Data View）是美國空軍資助，SRI和Gemini公司共同參與的研究項(xiàng)目。其研究目標(biāo)是實(shí)現(xiàn)一個(gè)達(dá)到TCSEC A1級(jí)的安全數(shù)據(jù)庫，訪問控制粒度達(dá)到字段級(jí)。Seaview采用了核心化的體系結(jié)構(gòu)，由操作系統(tǒng)提供強(qiáng)制訪問控制。ASD（Advanced Secure DBMS） 與 LDV（LOCK Data View）分別是美國TRW國防系統(tǒng)小組與美國空軍資助進(jìn)行的項(xiàng)目，安全性均達(dá)到了TCSEC標(biāo)準(zhǔn)A1級(jí)。此外，數(shù)據(jù)庫軟件開發(fā)商也積極響應(yīng)，開發(fā)出一些安全等級(jí)稍低的安全數(shù)據(jù)庫產(chǎn)品。如，Oracle的Trusted Oracle 7經(jīng)評(píng)估達(dá)到B1級(jí)；Sybase的SQL Server達(dá)到了 C2級(jí)，SQL Secure Server達(dá)到B1級(jí)且是最早通過B1級(jí)評(píng)估的安全數(shù)據(jù)庫系統(tǒng)；Informix的 INFORMIX-OnLine/Secure 5.0達(dá)到了B1級(jí)。

在標(biāo)準(zhǔn)化時(shí)期，圍繞多級(jí)安全數(shù)據(jù)庫管理系統(tǒng)的設(shè)計(jì)，形成了安全數(shù)據(jù)庫的理論與技術(shù)基礎(chǔ)，包括如下重要研究內(nèi)容：①數(shù)據(jù)庫形式化安全數(shù)據(jù)模型分析及驗(yàn)證[3]；②數(shù)據(jù)庫隱通道檢測及其分析[4]；③多級(jí)安全數(shù)據(jù)庫事務(wù)模型及其分析[5]；④數(shù)據(jù)庫安全體系結(jié)構(gòu)及實(shí)現(xiàn)技術(shù)；⑤數(shù)據(jù)庫審計(jì)[6]與數(shù)據(jù)庫加密等。

1991年，TCSEC關(guān)于數(shù)據(jù)庫評(píng)估的解釋（TNI）發(fā)表[7]。該文檔詳細(xì)說明了如何使用TCSEC標(biāo)準(zhǔn)對(duì)數(shù)據(jù)庫管理系統(tǒng)和其他高級(jí)應(yīng)用進(jìn)行評(píng)估。它標(biāo)志著研究者對(duì)于安全數(shù)據(jù)庫的需求、功能、保證等達(dá)成了共識(shí)，一些關(guān)鍵技術(shù)進(jìn)入了成熟階段。

（3）多樣化時(shí)期：隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的出現(xiàn)與發(fā)展，數(shù)據(jù)庫所處的環(huán)境更為復(fù)雜，人們從實(shí)踐中逐漸認(rèn)識(shí)到，即使是嚴(yán)格按照數(shù)據(jù)模型設(shè)計(jì)實(shí)現(xiàn)的MLS-DBMS，也并不能徹底解決數(shù)據(jù)庫面臨的各種安全威脅。同時(shí)數(shù)據(jù)安全研究中軍方的色彩逐漸減退，而來自商業(yè)數(shù)據(jù)庫的安全需求占據(jù)了主流，用戶的安全需求也更為多樣化。從此多級(jí)安全數(shù)據(jù)庫步入了多樣化時(shí)期。

具體來說，多樣化體現(xiàn)在如下幾個(gè)方面：①數(shù)據(jù)庫應(yīng)用環(huán)境和安全需求的多樣化?；谲姺桨踩枨蟮亩嗉?jí)安全模型無法滿足用戶多樣化、靈活的訪問控制需求，出現(xiàn)基于角色的訪問控制、基于屬性的訪問控制等細(xì)粒度訪問控制，以及多策略訪問控制框架等新型安全策略模型；②數(shù)據(jù)模型多樣化。面向?qū)ο蟮臄?shù)據(jù)庫、XML數(shù)據(jù)庫等一批新型數(shù)據(jù)庫系統(tǒng)的出現(xiàn)，打破了長期占據(jù)主流的關(guān)系數(shù)據(jù)模型，帶動(dòng)了半結(jié)構(gòu)化數(shù)據(jù)訪問控制模型研究；③信息安全技術(shù)體系多樣化。隨著信息保障（IA）概念的出現(xiàn)，以保護(hù)、檢測、響應(yīng)、恢復(fù)為核心內(nèi)容的全生命周期的保護(hù)，取代了以往單一防護(hù)思想，引發(fā)了數(shù)據(jù)庫入侵檢測、可信恢復(fù)等相關(guān)研究內(nèi)容。

在多樣化時(shí)期，數(shù)據(jù)庫安全研究內(nèi)容更為廣泛，典型的例子包括：①數(shù)據(jù)庫細(xì)粒度訪問控制模型研究[8]；②數(shù)據(jù)庫入侵檢測與恢復(fù)研究[9]；③數(shù)據(jù)庫漏洞掃描技術(shù)研究；④SQL注入攻擊及防范技術(shù)研究等。

3 安全的數(shù)據(jù)庫服務(wù):互聯(lián)網(wǎng)時(shí)代的數(shù)據(jù)庫安全

互聯(lián)網(wǎng)作為上世紀(jì)最偉大的發(fā)明之一，給社會(huì)帶來了巨大的變化。在互聯(lián)網(wǎng)時(shí)代，軟件服務(wù)化逐漸發(fā)展成為一種為IT業(yè)界所廣泛接受的工作模式。隨著“軟件-即-服務(wù)”理念的推廣，越來越多的IT廠商選擇將其非核心業(yè)務(wù)外包，從而集中更多的資源與精力投入到核心業(yè)務(wù)，達(dá)到降低成本、提高服務(wù)質(zhì)量的目的。此外，近年來還出現(xiàn)了一批直接面對(duì)普通用戶的數(shù)據(jù)庫服務(wù)（或稱“數(shù)據(jù)庫-即-服務(wù)”，簡稱 DAS），如亞馬遜公司提供的SimpleDB[10]與Relational Database Service (RDS)[11]服務(wù)；谷歌公司推出的Datastore[12]服務(wù)；以及微軟公司的 SQL Azure[13]服務(wù)等。這些數(shù)據(jù)庫服務(wù)平臺(tái)雖然采用不同的數(shù)據(jù)模型與實(shí)現(xiàn)技術(shù)，但都為用戶提供快速、便捷的數(shù)據(jù)庫服務(wù)，避免用戶花費(fèi)時(shí)間或精力用于軟硬件采購與數(shù)據(jù)庫日常維護(hù)管理。

一個(gè)典型的數(shù)據(jù)庫服務(wù)場景由數(shù)據(jù)庫內(nèi)容提供者（簡稱所有者）、數(shù)據(jù)庫服務(wù)運(yùn)營服務(wù)商（簡稱服務(wù)者）與數(shù)據(jù)庫使用者（用戶）三方構(gòu)成，如圖1所示。

圖1 典型外包數(shù)據(jù)庫場景及其安全需求

這種數(shù)據(jù)庫服務(wù)模式帶來了特殊的安全問題：數(shù)據(jù)庫用戶無法信賴安全數(shù)據(jù)庫系統(tǒng)實(shí)施數(shù)據(jù)安全保護(hù)。因?yàn)樵跀?shù)據(jù)庫服務(wù)模式下，由服務(wù)者負(fù)責(zé)維護(hù)數(shù)據(jù)庫管理系統(tǒng)（DBMS）軟件并提供數(shù)據(jù)庫查詢服務(wù)，但服務(wù)者并非完全可信，所以不僅外包數(shù)據(jù)庫面臨安全風(fēng)險(xiǎn)，DBMS軟件也因其運(yùn)行的環(huán)境不可信、不可控而自身面臨安全風(fēng)險(xiǎn)，無法起到對(duì)數(shù)據(jù)的安全保護(hù)作用。這從根本上打破了以往的數(shù)據(jù)庫安全威脅模型，帶來了一系列安全問題。具體來說，“不可信的數(shù)據(jù)庫服務(wù)者”這一安全假定引發(fā)了如下新問題：

（1）數(shù)據(jù)庫所有者（DB Owner）的查詢結(jié)果正確性驗(yàn)證需求。因?yàn)榉?wù)者不完全可信，所以用戶與所有者在得到查詢返回結(jié)果的同時(shí)，需要DBMS提供證據(jù)以表明結(jié)果的正確性。這包括兩個(gè)方面：真實(shí)性與完備性。真實(shí)性即數(shù)據(jù)確實(shí)來自于數(shù)據(jù)庫所有者，不是服務(wù)者偽造；完備性說明服務(wù)器返回了所有的正確內(nèi)容，它沒有為了提高系統(tǒng)吞吐率等原因只返回部分正確結(jié)果。

（2）數(shù)據(jù)庫內(nèi)容機(jī)密性保護(hù)需求。雖然數(shù)據(jù)庫所有者委托第三方提供服務(wù)，但并不希望服務(wù)者知道所有數(shù)據(jù)內(nèi)容，以防止其非授權(quán)泄漏并傳播重要內(nèi)容。因此要求服務(wù)者在部分內(nèi)容是密文的前提下，仍然能夠提供良好的數(shù)據(jù)庫服務(wù)。

（3）來自所有者的數(shù)據(jù)庫內(nèi)容訪問控制需求。數(shù)據(jù)庫管理系統(tǒng)的一個(gè)基本安全需求是支持屬主（所有者）對(duì)其內(nèi)容進(jìn)行授權(quán)與訪問控制管理。在外包數(shù)據(jù)庫系統(tǒng)中，數(shù)據(jù)庫所有者需要技術(shù)證據(jù)證明第三方 （服務(wù)者）正確執(zhí)行了自己設(shè)定的訪問控制策略。

（4）來自所有者的數(shù)據(jù)庫內(nèi)容版權(quán)證明需求。為了防止服務(wù)者的非法傳播引發(fā)外包數(shù)據(jù)庫所屬權(quán)爭議，所有者希望能在數(shù)據(jù)庫中嵌入某些秘密，以向法庭證明自己對(duì)該數(shù)據(jù)庫的所有權(quán)。目前數(shù)字水印技術(shù)是對(duì)多媒體數(shù)字作品進(jìn)行版權(quán)保護(hù)的一種基本方法，但關(guān)系數(shù)據(jù)庫是一種極為特殊的數(shù)據(jù)對(duì)象，是一個(gè)高度結(jié)構(gòu)化的數(shù)據(jù)集合，與多媒體數(shù)字資源（圖片、視頻）相比存在很大差別，因而數(shù)據(jù)庫水印與多媒體數(shù)據(jù)上的水印技術(shù)存在很大的不同。

目前，數(shù)據(jù)庫服務(wù)模式下的數(shù)據(jù)庫安全研究內(nèi)容包括：①外包數(shù)據(jù)庫安全檢索技術(shù)研究[14]；②外包數(shù)據(jù)庫查詢驗(yàn)證技術(shù)研究[15]；③外包數(shù)據(jù)庫密文訪問控制技術(shù)研究[16]；④數(shù)據(jù)庫水印研究[17]等。

4 海量信息安全處理：云計(jì)算時(shí)代的數(shù)據(jù)庫安全

當(dāng)前，在Web2.0的背景下，互聯(lián)網(wǎng)用戶已由單純的信息消費(fèi)者變成了信息生產(chǎn)者，因而互聯(lián)網(wǎng)上的信息呈爆炸式的速度增長。例如，F(xiàn)acebook創(chuàng)始人兼首席執(zhí)行官馬克·扎克伯格（Mark Zuckerberg）在倫敦“互聯(lián)網(wǎng)應(yīng)用之未來”大會(huì)上指出，F(xiàn)acebook用戶共享個(gè)人信息需求的增長或存在著和“摩爾定律”類似的規(guī)律。美國國際數(shù)據(jù)公司一項(xiàng)名為“數(shù)字世界”的調(diào)查顯示，2010年全球共產(chǎn)生近1.2澤它(zetta，10的21次方)字節(jié)的數(shù)字信息。而未來10年，全球總體信息量將是現(xiàn)在的44倍。毫無疑問，人類已經(jīng)進(jìn)入信息爆炸時(shí)代。在此背景下，支持海量數(shù)據(jù)高效存儲(chǔ)與處理的云計(jì)算技術(shù)受到人們的廣泛關(guān)注與青睞，在世界范圍內(nèi)得到迅猛發(fā)展，被譽(yù)為“信息技術(shù)領(lǐng)域正在發(fā)生的工業(yè)化革命”。

在云計(jì)算時(shí)代，信息的海量規(guī)模及快速增長為傳統(tǒng)的數(shù)據(jù)庫技術(shù)帶來了巨大的沖擊，主要挑戰(zhàn)在于新的數(shù)據(jù)庫應(yīng)具備如下特性：①支持快速讀寫、快速響應(yīng)以提升用戶的滿意度；②支撐PB級(jí)數(shù)據(jù)與百萬級(jí)流量的海量信息處理能力；③具有高擴(kuò)展性，易于大規(guī)模部署與管理；④成本低廉。在上述目標(biāo)的驅(qū)使下，各類非關(guān)系型數(shù)據(jù)庫（簡稱NoSQL數(shù)據(jù)庫）應(yīng)運(yùn)而生，如：BigTable、HBase、Cassandra、SimpleDB、CouchDB、MongoDB和Redis等。顧名思義，NoSQL數(shù)據(jù)庫為獲得速度、可伸縮性及成本上的優(yōu)勢，放棄了關(guān)系數(shù)據(jù)庫強(qiáng)大的SQL查詢語言和事務(wù)機(jī)制。目前數(shù)據(jù)庫領(lǐng)域關(guān)于未來SQL與NoSQL之中誰會(huì)消亡的討論尚無定論，但近來Twitter、Digg和Reddit等多家Web 2.0企業(yè)宣布從MySQL轉(zhuǎn)而使用NoSQL數(shù)據(jù)庫，至少說明后者在現(xiàn)階段更具商業(yè)潛力。

具體來說，在云計(jì)算時(shí)代，數(shù)據(jù)庫安全研究面臨如下新問題：

（1）海量信息安全檢索需求。數(shù)據(jù)檢索是用戶最基本的需求之一，如關(guān)鍵詞檢索、全文檢索、數(shù)據(jù)庫SQL查詢等。而海量數(shù)據(jù)的安全檢索面臨諸多挑戰(zhàn)。一方面，現(xiàn)有的信息安全技術(shù)無法支持海量信息處理，例如數(shù)據(jù)經(jīng)加密后喪失了許多原有特性，除非經(jīng)過特殊設(shè)計(jì)，否則難以支持用戶的各種檢索；另一方面，當(dāng)前的海量信息檢索方法缺乏安全保護(hù)能力，例如當(dāng)前的搜索引擎等不支持不同用戶具有不同的檢索權(quán)限。因此，如何在保證數(shù)據(jù)私密性的前提下，支持用戶快速查詢與搜索，是當(dāng)前亟待解決的問題。

（2）海量信息存儲(chǔ)驗(yàn)證需求。經(jīng)典的簽名算法與HMAC算法等均可用于驗(yàn)證某數(shù)據(jù)片段的完整性，但是當(dāng)所需要驗(yàn)證的內(nèi)容是海量信息時(shí)，上述驗(yàn)證方法需耗費(fèi)大量的時(shí)間與帶寬資源，以至于用戶難以承受。因而在云計(jì)算環(huán)境下，數(shù)據(jù)庫系統(tǒng)安全的需求之一是數(shù)據(jù)存在性與正確性的可信、高效的驗(yàn)證方法，能夠以較少的帶寬消耗和計(jì)算代價(jià)，通過某種知識(shí)證明協(xié)議或概率分析手段，以高置信概率判斷遠(yuǎn)端數(shù)據(jù)是否存在并且未被破壞。

（3）海量數(shù)據(jù)隱私保護(hù)需求。海量信息帶來的另一個(gè)重要問題就是隱私保護(hù)。與敏感信息不同，任何個(gè)體內(nèi)容獨(dú)立來看并不敏感，但是大量信息所代表的規(guī)律也屬于用戶隱私。例如，用戶網(wǎng)上行為信息已成為一個(gè)潛力巨大的“金礦”。各大網(wǎng)站通過網(wǎng)絡(luò)追蹤技術(shù)記錄用戶的上網(wǎng)行為，分析用戶偏好，并將上述信息高價(jià)出售給廣告商，后者據(jù)此推送更精確的廣告。因而在云計(jì)算環(huán)境下，研究如何抵抗從海量數(shù)據(jù)挖掘出隱私信息的方法，例如，將數(shù)據(jù)泛化、匿名化或加入適量噪聲等等，對(duì)防止用戶隱私信息泄露，具有重要的現(xiàn)實(shí)意義。

綜上所述，在當(dāng)前云計(jì)算模式下，數(shù)據(jù)庫安全研究內(nèi)容多集中在如下方面：①海量信息安全檢索關(guān)鍵技術(shù)研究[18]；②海量數(shù)據(jù)完整性驗(yàn)證研究[19]；③海量數(shù)據(jù)隱私保護(hù)技術(shù)研究[20]。

5 國內(nèi)研究現(xiàn)狀與對(duì)策建議

5.1 國內(nèi)研究現(xiàn)狀

與國際同行相比，國內(nèi)的數(shù)據(jù)庫安全研究工作起步較晚，但也已取得了一定成績。以安全數(shù)據(jù)庫管理系統(tǒng)來說，目前已經(jīng)達(dá)到國標(biāo)GB17859-1999第三級(jí) （基本相當(dāng)于TCSEC B1級(jí)）的國產(chǎn)數(shù)據(jù)庫系統(tǒng)包括：可信COBASE（北京大學(xué)、華中科大、人大）、達(dá)夢數(shù)據(jù)庫系列 （華中科大）、LOIS安全數(shù)據(jù)庫（中科院軟件所信息安全國家重點(diǎn)實(shí)驗(yàn)室）、Softbase （南京大學(xué)）、Openbase Secure（東北大學(xué)）、神舟 OSCAR、以及 BeyonDB（中科院地理所、中科院軟件所信息安全國家重點(diǎn)實(shí)驗(yàn)室）等。此外，在國家“863”計(jì)劃的支持下，實(shí)現(xiàn)了國標(biāo)第四級(jí)與第五級(jí)（基本相當(dāng)于TCSEC B2級(jí)與A1級(jí)）安全數(shù)據(jù)庫管理系統(tǒng)的關(guān)鍵技術(shù)研究與原型系統(tǒng)研發(fā)。總體來說，我國的科研人員已經(jīng)掌握了數(shù)據(jù)庫和數(shù)據(jù)庫安全的關(guān)鍵技術(shù)，這為將來的研究開發(fā)工作奠定了基礎(chǔ)。

5.2 建議與對(duì)策

目前我國在數(shù)據(jù)庫安全領(lǐng)域的研究已經(jīng)有了一定的基礎(chǔ)，與國際差距正在逐漸縮小。但在基礎(chǔ)理論研究、人才隊(duì)伍建設(shè)以及成果轉(zhuǎn)化等方面仍面臨諸多困難。針對(duì)這些問題我們提出以下建議與對(duì)策：

（1）充分重視數(shù)據(jù)庫安全所代表的交叉學(xué)科建設(shè)。數(shù)據(jù)庫安全研究是涉及信息安全與數(shù)據(jù)庫技術(shù)一個(gè)典型的交叉學(xué)科，需要兩者之間的緊密結(jié)合。實(shí)際上，如未能充分理解數(shù)據(jù)庫理論與實(shí)現(xiàn)技術(shù)，就無法設(shè)計(jì)出實(shí)用的數(shù)據(jù)庫安全產(chǎn)品，如安全數(shù)據(jù)庫管理系統(tǒng)。因此，從事數(shù)據(jù)庫安全相關(guān)研究必須兼具兩個(gè)領(lǐng)域的基本知識(shí)。而目前高校尚沒有開設(shè)相關(guān)專業(yè)，信息安全專業(yè)學(xué)生普遍缺乏足夠的數(shù)據(jù)庫理論與技術(shù)基礎(chǔ)。在人才培養(yǎng)過程中，需要花費(fèi)大量時(shí)間與精力令其補(bǔ)充相關(guān)數(shù)據(jù)庫知識(shí)。因此我們建議從學(xué)科建設(shè)角度出發(fā)，設(shè)立獨(dú)立的數(shù)據(jù)庫安全專業(yè)，組織出版相關(guān)的專業(yè)配套教材，這樣可大大縮短人才培養(yǎng)時(shí)間，從而為未來培養(yǎng)大量數(shù)據(jù)庫安全專門技術(shù)人才奠定基礎(chǔ)。

（2）結(jié)合信息安全等級(jí)保護(hù)需求，推動(dòng)國產(chǎn)數(shù)據(jù)庫安全產(chǎn)品產(chǎn)業(yè)化。為切實(shí)提高我國信息安全保障水平，加強(qiáng)針對(duì)基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的安全保護(hù)及管控能力，我國確立了信息安全等級(jí)保護(hù)制度，制訂發(fā)布了一系列配套的標(biāo)準(zhǔn)規(guī)范，并開始在政府部門和各行業(yè)進(jìn)行大規(guī)模的部署實(shí)施。這對(duì)于我國數(shù)據(jù)庫安全技術(shù)研究以及國產(chǎn)安全數(shù)據(jù)庫系統(tǒng)的開發(fā)與產(chǎn)品推廣具有顯著的推動(dòng)作用，同時(shí)也是推動(dòng)我國數(shù)據(jù)庫安全產(chǎn)品自主化進(jìn)程，提升自主安全產(chǎn)品和安全服務(wù)成熟度、適應(yīng)性和集成能力的有效途徑。

（3）加強(qiáng)先期項(xiàng)目投入與引導(dǎo)，把握重要?dú)v史機(jī)遇期趕超國際先進(jìn)水平。由于歷史原因，國外關(guān)系數(shù)據(jù)庫產(chǎn)品占據(jù)了我國數(shù)據(jù)庫市場的主要份額，這造成了我國的數(shù)據(jù)庫安全技術(shù)發(fā)展缺乏足夠的產(chǎn)業(yè)推動(dòng)力。而當(dāng)前云計(jì)算技術(shù)被譽(yù)為繼互聯(lián)網(wǎng)之后IT產(chǎn)業(yè)的第四次革新浪潮，為我國IT產(chǎn)業(yè)跨越升級(jí)發(fā)展提供了一個(gè)很好的機(jī)會(huì)。從國家安全戰(zhàn)略角度出發(fā)，不應(yīng)盲目追求引進(jìn)國外的技術(shù)與產(chǎn)品，而應(yīng)大力扶植發(fā)展具有我國自主知識(shí)產(chǎn)權(quán)的云數(shù)據(jù)安全管理技術(shù)，形成云計(jì)算數(shù)據(jù)安全國家標(biāo)準(zhǔn)，為實(shí)現(xiàn)我國云計(jì)算產(chǎn)業(yè)自主、可控提前搶占技術(shù)制高點(diǎn)。中科院作為我國科技領(lǐng)域的“國家隊(duì)”，更應(yīng)該充分利用前期技術(shù)積累，鼓勵(lì)引導(dǎo)自主研發(fā)，培育云計(jì)算數(shù)據(jù)安全產(chǎn)學(xué)研聯(lián)盟，抓住數(shù)據(jù)庫技術(shù)升級(jí)換代的歷史機(jī)遇，縮小該領(lǐng)域與國際同行之間的差距，實(shí)現(xiàn)跨越式發(fā)展。

1 Lunt T F,Denning D E,Schell R R et al.The SeaView Security Model.IEEE Transactions of Software Engineering,1990,16(6):593-607.

2 Stachour P D,Thuraisingham B.Design of LDV:A Multilevel Secure Relational Database Management System.IEEE Transactions on Knowledge and Data Engineering,1990,2(2):190-209.

3 Jajodia S,Sandhu R S.Towards a Multilevel Secure Relational Model.SIGMOD,1991,20(2):50-59.

4 McHugh J.Covert channel analysis:A chapter of the handbook for the computer security certification of trusted system.NRL Technical Memorandum.1995,5540:062A.

5 Jajodia S,Atluri V,Keefe T F et al.Multilevel Security Transaction Processing.Journal of Computer Security,2001,9(3):165-195.

6 Agrawal R,Kiernan J,Srikant R et al.Hippocratic databases.In:proc.VLDB，2002.

7 National Computer Secuirty Center.Trusted Database Management System Interpretation of the TCSEC(TDI),NCSC-TG-021,1991.

8 Rizvi S,Mendelzon A O,Sudarshan S et al.Extending Query Rewriting Techniques for Fine-grained Access Control.SIGMOD Conference,2004,551-562.

9 Liu P.Architectures for Intrusion Tolerant Database Systems.Proc.18th Ann.Computer Security Applications Conf.(ACSAC 2002),2002.

10 http://aws.amazon.com/simpledb/

11 http://aws.amazon.com/rds/

12 http://code.google.com/appengine/docs/java/datastore/

13 https://sql.azure.com/

14 Hacigumus H,Iyer B,Li C et al.Executing SQL over Encrypted Data in the Database Service Provider Model,SIGMOD,Madison,Wisconsin,USA,2002.

15 Narasimha M,Tsudik G.DSAC:Integrity of outsourced databases with signature aggregation and chaining.In Proceedings of the ACM Conference on Information and Knowledge Management,2005.

16 Vimercati S D C,Foresti S,Jajodia S et al.Overencryption:Management of access control evolution on outsourced data.In Proc.of the 33rd VLDB Conference,Vienna,Austria,2007.

17 Agrawal R,Kiernan J.Watermarking relational databases.In 28th Int’l Conference on Very Large Databases,Hong Kong,China,2002.

18 Kamara S,Lauter K.Cryptographic cloud storage.Proceedings of the 14th international conference on Financial cryptograpy and data security.Tenerife.Canary Islands,Spain:Springer-Verlag,2010,136-149.

19 Bowers K D,Juels A,Oprea A.HAIL:a high availability and integrity layer for cloud storage.Proceedings of the 16th ACM conference on Computer and communications security.Chicago,Illinois,USA:ACM,2009,187-198.

20 Chang C C,Thompson B,Wang H et al.Towards Publishing Recommendation Data With Predictive Anonymization,ASIACCS,2010,24-35.