張炎

摘要：數(shù)據(jù)庫從被開始應(yīng)用的那天起，就面臨安全問題。數(shù)據(jù)庫系統(tǒng)在與各種安全威脅的彼消此長的矛盾較量中，形成了既借鑒于一般意義的信息安全，而又獨具特點的安全理論和控制技術(shù)。雖然人們不能一勞永逸地解決數(shù)據(jù)庫安全問題，但依然能從數(shù)據(jù)庫設(shè)計、管理、運行等若干關(guān)鍵環(huán)節(jié)入手，探索出一套行之有效的解決方法。該文以信息系統(tǒng)為框架，對數(shù)據(jù)庫安全問題進行分析，并尋求和探討解決之道。

關(guān)鍵詞： 數(shù)據(jù)庫；安全；控制；信息系統(tǒng)

中圖分類號：TP309 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2014）15-3468-03

Analysis and Resolution of Database Security in Information System

ZHANG Yan

（Suzhou Secrecy Technology and Management Service Center， Suzhou 215002，China）

Abstract： The database from the day began to be applied， is facing security problems. The database system with various security threats that the contradiction of contest， the formation of both the borrowing information security in the general sense， security theory and control technology and its characteristics. Although people can not put things right once and for all solution to database security problems， but still can obtain from the key link of database design， management， operation， to explore a set of effective solution. In this paper， the information system framework， the database security problems are analyzed， and to seek and explore solutions.

Key words： database； security； control； information system

1 概述

隨著數(shù)據(jù)庫技術(shù)、數(shù)據(jù)庫產(chǎn)品日益廣泛的使用，及其在應(yīng)用的廣度和深度方面的飛躍式發(fā)展，數(shù)據(jù)庫安全同時正在成為現(xiàn)今信息系統(tǒng)安全的關(guān)注焦點和基礎(chǔ)核心問題，亟待跟進探究和尋求解決。數(shù)據(jù)庫安全不是一個孤立的問題，必須置于整個信息系統(tǒng)背景下，從設(shè)計、管理、運行及與應(yīng)用的關(guān)聯(lián)性等方面，加以統(tǒng)籌考慮和綜合分析。

計算機等數(shù)字化信息設(shè)備中存儲、處理的信息均可認(rèn)為是數(shù)據(jù)或數(shù)據(jù)的集合（庫），那么數(shù)據(jù)（庫）安全是否就等同于信息安全呢？本文討論的數(shù)據(jù)（庫）有其專指性，是指依照某種數(shù)據(jù)模型組織起來的有效數(shù)據(jù)集合，其特點是：以一定的優(yōu)化方式進行存儲，具有盡可能小的冗余，與應(yīng)用程序彼此獨立，其增、刪、改、檢索均由專用軟件進行管理和控制。在經(jīng)歷了人工管理階段、文件系統(tǒng)管理階段后，數(shù)據(jù)管理進入數(shù)據(jù)庫形式的高級管理階段，數(shù)據(jù)庫安全成為既屬于信息安全、又區(qū)別于一般信息安全的獨特的安全領(lǐng)域。

2 數(shù)據(jù)庫系統(tǒng)結(jié)構(gòu)及安全解析

機密性、完整性、可用性是信息安全的核心三要素，它們也構(gòu)成了數(shù)據(jù)庫安全的核心三要素。對于一個實際的信息系統(tǒng)，三要素體現(xiàn)在各個構(gòu)成部分。信息系統(tǒng)的功能核心在應(yīng)用，而數(shù)據(jù)服務(wù)于應(yīng)用，其自身依賴于相應(yīng)管理系統(tǒng)及計算機操作系統(tǒng)，如圖1所示，一個完整的數(shù)據(jù)庫系統(tǒng)的安全問題貫穿于多個環(huán)節(jié)：數(shù)據(jù)庫自身存儲的安全，管理系統(tǒng)對數(shù)據(jù)庫的控制安全，數(shù)據(jù)庫設(shè)計的邏輯安全，上層應(yīng)用系統(tǒng)的安全，等。

2.1關(guān)于數(shù)據(jù)庫安全的主機及網(wǎng)絡(luò)安全

目前，主流的數(shù)據(jù)庫系統(tǒng)（本文討論的數(shù)據(jù)庫系統(tǒng)默認(rèn)為關(guān)系型數(shù)據(jù)庫系統(tǒng)，相關(guān)產(chǎn)品以SQL Server、Oracle為例）包括數(shù)據(jù)庫和數(shù)據(jù)庫管理系統(tǒng)，運行于計算機及網(wǎng)絡(luò)之上，它們既是一個有機整體，也是相對獨立的組成部分。

數(shù)據(jù)庫以文件的形式，由數(shù)據(jù)庫管理系統(tǒng)通過主機操作系統(tǒng)進行存儲和管理，因此，數(shù)據(jù)庫文件自身的安全依托于主機及網(wǎng)絡(luò)的安全。如果數(shù)據(jù)庫文件及其數(shù)據(jù)備份文件可輕易地被非授權(quán)獲取或破壞，則構(gòu)建在其上的管理系統(tǒng)安全控制、上層應(yīng)用安全均淪為“馬其諾防線”、形同虛設(shè)，這本身就是一個“釜底抽薪”式的安全漏洞。關(guān)于主機及網(wǎng)絡(luò)的安全，我們可以從物理安全、訪問控制、設(shè)備管理等方面采取措施，關(guān)鍵是在操作系統(tǒng)層面對文件讀寫權(quán)限及相關(guān)系統(tǒng)服務(wù)的控制，對此已有大量成熟的實例及資料可供參考，此處不再贅述。

數(shù)據(jù)及文件的加密存儲，可以作為應(yīng)對數(shù)據(jù)庫自身安全的一道有效防線，以防一旦被非法竊取仍能一定程度保證所含信息的安全，但需要考慮加密在不同環(huán)境下的合規(guī)性和可靠性，以及給系統(tǒng)性能、維護管理等帶來的額外開銷，除非有強制規(guī)定或特殊需要，對系統(tǒng)可用性無實質(zhì)影響，一般情況下并不建議使用。

2.2數(shù)據(jù)庫管理系統(tǒng)的安全控制

數(shù)據(jù)庫管理系統(tǒng)（DBMS）通過數(shù)據(jù)庫引擎（服務(wù)）對相應(yīng)的數(shù)據(jù)庫實例進行包括安全控制在內(nèi)的管理和維護，本節(jié)以SQL Server和Oracle為例加以列舉和說明。

數(shù)據(jù)庫類似于操作系統(tǒng)，用戶身份鑒別是最基本的安全要求，包括管理員用戶和普通用戶，因管理員用戶（SQL Server中默認(rèn)為sa，Oracle中默認(rèn)為sys或system）擁有對數(shù)據(jù)庫的最高管理權(quán)限，管理使用不妥將引發(fā)極大安全隱患。合理設(shè)置數(shù)據(jù)庫管理系統(tǒng)提供的用戶帳號安全策略，如強制口令策略，包括口令長度、復(fù)雜度、更換周期、失敗重鑒別次數(shù)、失敗鎖定等，避免管理員口令為空或使用默認(rèn)口令（早期版本Oracle中存在），必須及時修改；或禁用默認(rèn)管理員用戶，新建相應(yīng)權(quán)限用戶以提高隱蔽性。endprint

數(shù)據(jù)庫的管理登錄方式是關(guān)系到數(shù)據(jù)庫管理員（DBA）獨立性和權(quán)威性的另一個安全點。很多情況下，為簡化管理員操作，往往使用“Windows身份驗證”（SQL Server）和“connect internal”（Oracle）方式以系統(tǒng)管理員身份、不需口令直接登錄數(shù)據(jù)庫，這使系統(tǒng)管理員“合法”地?fù)碛辛藬?shù)據(jù)庫管理員的全部權(quán)限，因此，為避免越權(quán)操作，建議屏蔽系統(tǒng)直連方式，而使用“SQL Server身份驗證”（SQL Server）和“connect user/password as sysdba”（Oracle）以數(shù)據(jù)庫用戶方式連接登錄。

此外，數(shù)據(jù)庫引擎提供的默認(rèn)服務(wù)端口有時也會成為遭受攻擊的風(fēng)險點，可以通過變更端口號或使用動態(tài)端口服務(wù)加以規(guī)避，但其上層應(yīng)用需要做好相應(yīng)的銜接配合，確?？捎眯?。有些數(shù)據(jù)庫系統(tǒng)具備對操作系統(tǒng)的操作功能，比如SQL Server中xp_cmdshell、xp_regdeletekey、xp_regdeletevalue等擴展存儲過程可被調(diào)用訪問操作系統(tǒng)及注冊表，如被惡意利用，后果嚴(yán)重；我們可以通過屏蔽相關(guān)存儲過程或限制數(shù)據(jù)庫引擎（服務(wù)）的啟動帳號在操作系統(tǒng)中的訪問權(quán)限來提高安全性。

2.3數(shù)據(jù)庫對象的訪問控制

數(shù)據(jù)庫訪問控制主要取決于數(shù)據(jù)庫引擎（服務(wù)）提供的控制機制，同時與數(shù)據(jù)庫管理系統(tǒng)、數(shù)據(jù)庫設(shè)計也存在一定的聯(lián)系。關(guān)系型數(shù)據(jù)庫系統(tǒng)的訪問控制策略模型分為自主訪問控制和強制訪問控制。自主訪問控制中，擁有權(quán)限的用戶通過數(shù)據(jù)庫管理系統(tǒng)自主地設(shè)置數(shù)據(jù)（客體）的訪問權(quán)限，并賦予其他用戶（主體），可歸結(jié)為一個典型的訪問矩陣模型；強制訪問控制是針對自主訪問控制可能導(dǎo)致數(shù)據(jù)訪問權(quán)限的無節(jié)制擴散危險、滿足高級別安全應(yīng)用需求的控制手段，強制訪問控制對用戶（主體）和數(shù)據(jù)（客體）指派特定的安全屬性，通過主體、客體安全屬性的匹配決定數(shù)據(jù)的訪問權(quán)限，而用戶自身無權(quán)指派。

自主訪問控制是目前使用最為普遍的訪問控制手段，SQL Server、Oracle數(shù)據(jù)庫系統(tǒng)中對表、視圖、行、列、單元以及存儲過程等與用戶之間通過Grant、Revoke的標(biāo)準(zhǔn)SQL指令設(shè)置查詢、更新、插入、刪除、執(zhí)行等操作權(quán)限就是自主訪問控制策略模型的具體實現(xiàn)。而在實際應(yīng)用中，應(yīng)由數(shù)據(jù)庫管理員（DBA）根據(jù)應(yīng)用開發(fā)需要對數(shù)據(jù)庫所有主、客體對象的訪問關(guān)系和權(quán)限進行集中控制，限制普通用戶的訪問指派權(quán)限，提升自主訪問控制的安全可控性。但自主訪問控制無法克服其自身的先天缺陷，對于安全要求較高的應(yīng)用，仍需引入強制訪問控制，強制訪問控制本質(zhì)上是一種基于格的控制數(shù)據(jù)流的安全策略（Lattice-Based Access Control），擁有更合理、更嚴(yán)格、更靈活的訪問控制粒度，在有針對性的應(yīng)用場景中，無疑具有優(yōu)勢。

2.4數(shù)據(jù)庫設(shè)計中的安全應(yīng)對

數(shù)據(jù)推理因其危險性和隱蔽性，成為一個亟需關(guān)注和研究的安全問題。用戶根據(jù)較低安全級別的、可見的數(shù)據(jù)推導(dǎo)出同級或較高安全級別的不可見數(shù)據(jù)，并進一步評估其準(zhǔn)確度，已成為一個“防不勝防”的安全難點。

數(shù)據(jù)推理控制本質(zhì)上就是數(shù)據(jù)對象的訪問控制，同樣恪守最小化原則，實現(xiàn)途徑，除了上節(jié)討論的訪問控制機制，合適的設(shè)計也是一個關(guān)鍵方面。關(guān)系型數(shù)據(jù)庫系統(tǒng)中，數(shù)據(jù)以“表”（關(guān)系單元）的形式進行存儲及管理，和以表之間的關(guān)聯(lián)構(gòu)成“庫”（關(guān)系集合）；因此，數(shù)據(jù)庫設(shè)計的落腳點在于表的設(shè)計，對此有一套專業(yè)的“范式”標(biāo)準(zhǔn)，以符合“第三范式”（3NF）為優(yōu)，再融入安全需求作進一步優(yōu)化。

某軍事航空運輸系統(tǒng)數(shù)據(jù)庫中，貨物運輸表擬包含以下內(nèi)容：

表1

[貨物名稱＼&貨物等級＼&航班號＼&機型＼&貨艙號＼&出發(fā)地＼&目的地＼&起飛時間＼&貨物1＼&一般＼&370＼&機型1＼&A＼&基地A＼&基地B＼&18：00＼&貨物2＼&一般＼&1150＼&機型2＼&A＼&基地C＼&基地D＼&11：00＼&貨物3＼&特殊＼&370＼&機型1＼&B＼&基地A＼&基地B＼&18：00＼&貨物4＼&一般＼&370＼&機型1＼&C＼&基地A＼&基地B＼&18：00＼&]

顯見，表中與航班相關(guān)信息（機型、出發(fā)地、目的地、起飛時間）存在大量冗余，且易引起更新、插入、刪除異常，應(yīng)按3NF要求改進表結(jié)構(gòu)設(shè)計，分為兩張表，表之間通過“航班號”作關(guān)聯(lián)：

表2 貨物表

[貨物名稱＼&貨物等級＼&航班號＼&貨艙號＼&貨物1＼&一般＼&370＼&A＼&貨物2＼&一般＼&1150＼&A＼&貨物3＼&特殊＼&370＼&B＼&貨物4＼&一般＼&370＼&C＼&]

表3 航班表

[航班號＼&機型＼&出發(fā)地＼&目的地＼&起飛時間＼&370＼&機型1＼&基地A＼&基地B＼&18：00＼&1150＼&機型2＼&基地C＼&基地D＼&11：00＼&]

假設(shè)貨物需單獨使用貨艙，且等級為“特殊”的貨物信息及其航班信息需要保護，普通人員只能接觸“一般”貨物信息。某普通人員查詢顯示“370” 航班的“B”貨艙未有安排，試圖申請，但被提示該貨艙已有任務(wù)，據(jù)此該人員推斷“370”航班將運送一批“特殊”貨物，并通過航班查詢獲得更多信息。對此，我們應(yīng)考慮進一步限制貨物信息的查詢范圍，通過在貨物表中增加“貨單號”的主關(guān)鍵詞列進行唯一性約束，只允許查詢與自身相關(guān)的貨物信息，推理素材大幅減少，推理的成本和難度大為提高，這實際是安全與使用之間的平衡取舍。

2.5應(yīng)用系統(tǒng)對數(shù)據(jù)庫安全的影響

數(shù)據(jù)庫總是需要開放一定的訪問權(quán)限，才能供上層應(yīng)用系統(tǒng)使用。而應(yīng)用系統(tǒng)對數(shù)據(jù)庫訪問權(quán)限的使用，應(yīng)在安全方面注意以下幾個問題。

應(yīng)用系統(tǒng)連接數(shù)據(jù)庫，一般通過配置數(shù)據(jù)連接文件實現(xiàn)。文件中包含數(shù)據(jù)庫服務(wù)器地址、數(shù)據(jù)庫實例名、用戶帳號、口令等連接要素，多以明文顯示的文本文件形式保存于應(yīng)用端，安全隱患明顯。因為，一般開放予應(yīng)用系統(tǒng)的數(shù)據(jù)庫用戶，其權(quán)限往往不僅限于查詢，如帳號、口令皆以明文顯示、保存，極易被獲取，將使數(shù)據(jù)庫面臨嚴(yán)重威脅，建議通過特定配置工具對數(shù)據(jù)連接文件以自有特殊格式進行維護。C/S結(jié)構(gòu)的應(yīng)用系統(tǒng)尤其需要注意數(shù)據(jù)連接的安全性，應(yīng)嚴(yán)格限制客戶端的配置權(quán)限，設(shè)法隱蔽連接信息。endprint

不應(yīng)將數(shù)據(jù)庫管理權(quán)限賦予應(yīng)用系統(tǒng)的數(shù)據(jù)庫連接用戶，更不應(yīng)將數(shù)據(jù)庫管理員用戶直接提供給應(yīng)用系統(tǒng)使用。數(shù)據(jù)庫中包含系統(tǒng)數(shù)據(jù)和用戶數(shù)據(jù)，應(yīng)用系統(tǒng)的數(shù)據(jù)庫連接用戶只需擁有用戶數(shù)據(jù)的訪問權(quán)限，多余權(quán)限都將帶來安全隱患。

多個異構(gòu)系統(tǒng)的交叉訪問情況下，單個應(yīng)用系統(tǒng)可能需要同時連接訪問多個數(shù)據(jù)庫，通常會將除主庫之外的其他數(shù)據(jù)庫連接訪問信息以表的形式維護在主庫中，因此，要做好對相關(guān)數(shù)據(jù)表的訪問權(quán)限控制，只允許應(yīng)用系統(tǒng)管理員進行操作。

2.6數(shù)據(jù)庫的備份與恢復(fù)

數(shù)據(jù)庫的備份與恢復(fù)是確保數(shù)據(jù)庫可用性的一個有效措施，因此也是數(shù)據(jù)庫安全的重要組成部分。

信息系統(tǒng)中的任何軟硬件設(shè)備都有發(fā)生故障甚至損壞的可能，所謂“城門失火，殃及池魚”，應(yīng)用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)均將直接遭受影響，導(dǎo)致程序損壞、數(shù)據(jù)丟失。因此，為防止意外發(fā)生引起不可挽回的損失，必須做好數(shù)據(jù)備份，使恢復(fù)成為可能。

數(shù)據(jù)庫備份大致分為運行狀態(tài)的熱備份和停止?fàn)顟B(tài)的冷備份兩類，視要求而定。數(shù)據(jù)具有時效性，對備份的及時性要求較高，需制定可靠的備份恢復(fù)策略。SQL Server、Oracle等數(shù)據(jù)庫的管理系統(tǒng)自身就提供數(shù)據(jù)的備份恢復(fù)功能，以及一些第三方備份恢復(fù)軟件，如Symentec、Acronis，提供對主流數(shù)據(jù)庫的全部、增量、差量備份及恢復(fù)功能。這種備份恢復(fù)要求管理員具備較為專業(yè)的技能，操作也較復(fù)雜，而優(yōu)勢在于可作在線熱備、不影響系統(tǒng)使用、能將數(shù)據(jù)恢復(fù)到最近狀態(tài)。簡化的方式是不使用管理系統(tǒng)或?qū)I(yè)軟件，而將數(shù)據(jù)庫文件作復(fù)制形式的離線冷備份，這樣會暫時中斷數(shù)據(jù)庫運行，但優(yōu)點是簡單可靠、恢復(fù)快捷。

數(shù)據(jù)備份產(chǎn)生的大量數(shù)據(jù)建議采用可靠的介質(zhì)、作異地保存，增強備份數(shù)據(jù)的可用性。

3 結(jié)束語

綜上所述，不難發(fā)現(xiàn)，數(shù)據(jù)庫安全領(lǐng)域涉及面廣、技術(shù)點多，筆者僅以近年來業(yè)務(wù)工作中所涉獵部分為基礎(chǔ)，依據(jù)行業(yè)內(nèi)權(quán)威

研究成果及自身的實務(wù)經(jīng)驗、體會，加以思考和總結(jié)，作了些許理論聯(lián)系實際的歸納和整理，尚有未涉及方面，如安全審計、攻擊防御、虛擬化技術(shù)等，需再作學(xué)習(xí)和實踐。

參考文獻(xiàn)：

[1] 劉暉，彭智勇.數(shù)據(jù)庫安全[M].武漢：武漢大學(xué)出版社，2007.

[2] 郭亞軍，宋建華，李莉.信息安全原理與技術(shù)[M].北京：清華大學(xué)出版社，2008.

[3] 國家信息安全工程技術(shù)研究中心，國家信息安全基礎(chǔ)設(shè)施研究中心.電子政務(wù)總體設(shè)計與技術(shù)實現(xiàn)[M].北京：電子工業(yè)出版社，2003.

[4] 李滿意.大數(shù)據(jù)安全[J].保密科學(xué)技術(shù)，2012（9）.

[5] GB/T 20273-2006，信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求[S].endprint