施永清

摘要：按照CC準(zhǔn)則構(gòu)造了多數(shù)據(jù)庫系統(tǒng)的安全審計(jì)體系結(jié)構(gòu)，描述了各組成部分的功能和安全審計(jì)流程，分析了身份認(rèn)證服務(wù)、訪問控制服務(wù)和安全審計(jì)服務(wù)三者之間的關(guān)系，并提出幾種安全審計(jì)策略，增強(qiáng)系統(tǒng)的整體安全性。

關(guān)鍵詞：多數(shù)據(jù)庫系統(tǒng)；CC準(zhǔn)則；安全審計(jì)；審計(jì)事件；審計(jì)日志

DOIDOI：10.11907/rjdk.151504

中圖分類號：TP301

文獻(xiàn)標(biāo)識碼：A 文章編號文章編號：16727800（2015）008006704

0 引言

多數(shù)據(jù)庫系統(tǒng)（Multidatabase Systems，MDBSs）是由一些預(yù)先存在的、分布的、異構(gòu)的和自治的數(shù)據(jù)庫系統(tǒng)組成的一個(gè)協(xié)作的數(shù)據(jù)庫系統(tǒng)。由于其能夠充分利用已有數(shù)據(jù)資源，重新構(gòu)造跨系統(tǒng)、可協(xié)同工作的互操作平臺，多數(shù)據(jù)庫系統(tǒng)在當(dāng)前許多領(lǐng)域中具有迫切的應(yīng)用需求和廣闊的應(yīng)用前景。

多數(shù)據(jù)庫系統(tǒng)所具有的分布、異構(gòu)和自治等特性給其安全管理帶來了很多困難[1]。各局部數(shù)據(jù)源的安全管理策略和安全級別存在很大差異，如何集成這些不同的安全管理策略，建立全局高效和可靠的安全管理機(jī)制，值得深入研究[2]。

雖然采用身份鑒別、訪問控制和密碼技術(shù)等安全措施能夠在很大程度上提高系統(tǒng)的安全保障，但由于系統(tǒng)復(fù)雜性和一些人為因素，系統(tǒng)總是存在安全上的薄弱環(huán)節(jié)，安全漏洞和安全隱患不可能從根本上消除。因此，除了進(jìn)行傳統(tǒng)的安全保護(hù)之外，實(shí)施安全審計(jì)機(jī)制非常必要。審計(jì)作為安全管理的重要組成部分，能夠?qū)ι矸菡J(rèn)證和訪問控制起到補(bǔ)充和完善作用，從而增強(qiáng)系統(tǒng)的整體安全性[3]。

國際標(biāo)準(zhǔn)化組織（ISO）和國際電工委員會（IEC）發(fā)表的《信息技術(shù)安全性評估通用準(zhǔn)則》（Common Criteria for Information Technology Security Evaluation，簡稱CC準(zhǔn)則或CC標(biāo)準(zhǔn)），對安全審計(jì)定義了一套完整的功能[4]。目前，許多軟件系統(tǒng)的安全審計(jì)設(shè)計(jì)都借鑒了其中一些建議。本文按照CC準(zhǔn)則，構(gòu)造了多數(shù)據(jù)庫系統(tǒng)的安全審計(jì)體系結(jié)構(gòu)，并提出了幾種安全審計(jì)策略。

1 多數(shù)據(jù)庫系統(tǒng)中的安全審計(jì)體系

由CC準(zhǔn)則對安全審計(jì)功能的定義來看，安全審計(jì)需記錄和監(jiān)視用戶對系統(tǒng)資源的訪問，從中發(fā)現(xiàn)攻擊行為和安全隱患，及時(shí)對攻擊行為進(jìn)行控制，消除和堵塞安全漏洞，避免和減少損失，防止以后發(fā)生類似安全事故。

多數(shù)據(jù)庫系統(tǒng)所具有的分布性、異構(gòu)性和自治性給其安全審計(jì)功能的構(gòu)造增添了多方面的困難。這些困難體

現(xiàn)在：①成員數(shù)據(jù)源分布在網(wǎng)絡(luò)環(huán)境中，物理上是分散的，邏輯上具有獨(dú)立性。數(shù)據(jù)源的分布性使用戶繞過全局控制、直接訪問局部數(shù)據(jù)成為可能。審計(jì)系統(tǒng)應(yīng)能防止用戶繞過，保證所有用戶操作都能被監(jiān)視和記錄；②各成員數(shù)據(jù)源安全保護(hù)的級別和策略存在很大的差異，客體保護(hù)力度也不一樣。審計(jì)系統(tǒng)應(yīng)能屏蔽這些差異，實(shí)施統(tǒng)一的審計(jì)措施；③成員數(shù)據(jù)源大都建立了自己的審計(jì)保護(hù)體系，所審計(jì)的用戶包括局部用戶和全局用戶。多數(shù)據(jù)庫系統(tǒng)只對全局用戶的操作進(jìn)行審計(jì)，其審計(jì)的實(shí)施應(yīng)不影響成員數(shù)據(jù)源審計(jì)的自治性。

因此，在構(gòu)造多數(shù)據(jù)庫系統(tǒng)安全審計(jì)體系結(jié)構(gòu)時(shí)，既要參照CC準(zhǔn)則對安全審計(jì)系統(tǒng)的評估標(biāo)準(zhǔn)，同時(shí)也應(yīng)該綜合考慮上述三方面的問題。

1.1 體系結(jié)構(gòu)

如圖1所示，多數(shù)據(jù)庫系統(tǒng)安全審計(jì)體系包括審計(jì)設(shè)置、事件收集、事件記錄、監(jiān)視、告警與響應(yīng)、事件查詢與分析，以及審計(jì)信息數(shù)據(jù)庫等幾個(gè)部分。

圖1 多數(shù)據(jù)庫系統(tǒng)安全審計(jì)體系結(jié)構(gòu)

（1）審計(jì)設(shè)置。審計(jì)設(shè)置的主要功能包括：①建立和維護(hù)事件篩選表，用于選擇審計(jì)事件；②建立和維護(hù)攻擊行為規(guī)則，用來檢查審計(jì)事件，判斷事件中是否存在或隱藏攻擊行為；③建立和維護(hù)響應(yīng)預(yù)案，根據(jù)攻擊種類決定采取何種系統(tǒng)控制措施；④制定安全規(guī)則，在對審計(jì)日志進(jìn)行分析時(shí)，從審計(jì)日志中發(fā)現(xiàn)安全隱患或攻擊行為。

（2）事件收集。事件收集部件負(fù)責(zé)從系統(tǒng)中收集事件信息，進(jìn)行整理并傳送到事件記錄器。多數(shù)據(jù)庫系統(tǒng)中，事件收集部件主要用于身份認(rèn)證服務(wù)、訪問控制服務(wù)和局部代理服務(wù)。

（3）事件記錄。事件記錄器接收從事件收集部件發(fā)送過來的事件記錄，對審計(jì)事件進(jìn)行篩選，并整理事件記錄。一方面將整理好的事件記錄發(fā)給監(jiān)視器，另一方面在該事件記錄中加入時(shí)間戳，存儲到審計(jì)信息數(shù)據(jù)庫。

（4）監(jiān)視。監(jiān)視器按照攻擊行為規(guī)則對審計(jì)事件進(jìn)行檢查，從中發(fā)現(xiàn)攻擊行為并向告警與響應(yīng)部件發(fā)送安全控制信息。對于頻繁發(fā)生可能造成安全威脅的事件，監(jiān)視器將啟動(dòng)計(jì)時(shí)器來進(jìn)行監(jiān)視。如果在監(jiān)視時(shí)間內(nèi)，該事件發(fā)生次數(shù)超過閾值，則向告警與響應(yīng)部件發(fā)送安全控制信息。

（5）告警與響應(yīng)。告警與響應(yīng)部件從監(jiān)視器和事件查詢分析器接收安全控制信息，按照響應(yīng)預(yù)案采取相應(yīng)的防范和控制措施，比如將用戶信息庫中對應(yīng)用戶記錄標(biāo)記為可疑攻擊者，或修改訪問控制的存取規(guī)則，限制用戶的訪問權(quán)限。

（6）事件查詢與分析。事件查詢分析器具有兩方面功能，一方面提供對審計(jì)數(shù)據(jù)的各類查詢功能，另一方面采用數(shù)據(jù)挖掘的方法對審計(jì)數(shù)據(jù)進(jìn)行綜合分析，從中發(fā)現(xiàn)審計(jì)事件記錄不同屬性之間的關(guān)系模式，擴(kuò)充和調(diào)整攻擊行為規(guī)則集，提高實(shí)時(shí)審計(jì)效率。

（7）審計(jì)信息數(shù)據(jù)庫。審計(jì)信息數(shù)據(jù)庫用來存放審計(jì)日志、事件篩選表、攻擊行為規(guī)則、響應(yīng)預(yù)案、安全事故記錄、安全關(guān)聯(lián)規(guī)則、分析結(jié)果等數(shù)據(jù)。審計(jì)信息數(shù)據(jù)庫建有數(shù)據(jù)備份計(jì)劃，定時(shí)在本機(jī)和另一計(jì)算機(jī)上對數(shù)據(jù)庫進(jìn)行增量備份，保證審計(jì)數(shù)據(jù)不被丟失。

1.2 安全審計(jì)流程

審計(jì)分實(shí)時(shí)審計(jì)和事后審計(jì)兩部分。實(shí)時(shí)審計(jì)監(jiān)視正在進(jìn)行的用戶操作，事后審計(jì)定時(shí)或不定時(shí)地對審計(jì)日志信息進(jìn)行分析。

（1）實(shí)時(shí)審計(jì)流程。事件收集部件從身份認(rèn)證服務(wù)、訪問控制服務(wù)和局部代理服務(wù)獲得用戶登錄系統(tǒng)和數(shù)據(jù)操作等事件信息后，將信息發(fā)送給事件記錄器，置入事件處理隊(duì)列。事件記錄器從隊(duì)列中逐條取出事件信息進(jìn)行處理。首先利用事件篩選表判斷是否需要對該事件進(jìn)行審計(jì)，如果不需審計(jì)，則舍棄并繼續(xù)處理隊(duì)列中下一條事件信息；如果需要進(jìn)行審計(jì)，則對事件信息進(jìn)行整理和歸并，形成事件記錄，復(fù)制成兩份，一份發(fā)送給監(jiān)視器，另一份中加入時(shí)間戳，記為事件日志并存儲到數(shù)據(jù)庫。監(jiān)視器根據(jù)攻擊行為規(guī)則對事件記錄進(jìn)行檢查，一旦發(fā)現(xiàn)攻擊行為，立即向告警與響應(yīng)裝置發(fā)送安全控制信號。如果判斷某行為在一段時(shí)間內(nèi)多次發(fā)生會造成威脅，則對該行為啟動(dòng)一個(gè)計(jì)數(shù)器，在規(guī)定時(shí)間內(nèi)達(dá)到閾值時(shí)向告警與響應(yīng)裝置發(fā)送安全控制信號。告警與響應(yīng)裝置接收到從監(jiān)視器發(fā)出的安全控制信號后，向系統(tǒng)發(fā)出攻擊警告，按照響應(yīng)預(yù)案采取相應(yīng)的防范和控制措施，并且將本次安全事故記錄下來存儲到數(shù)據(jù)庫，供安全審計(jì)員查詢和分析使用。

（2）事后審計(jì)流程。安全審計(jì)員可通過應(yīng)用程序接口設(shè)置定時(shí)啟動(dòng)查詢分析器，或隨時(shí)啟動(dòng)查詢分析器，對審計(jì)日志進(jìn)行分析。查詢分析器利用數(shù)據(jù)挖掘技術(shù)從大量的審計(jì)日志中提取出異常行為特征和規(guī)則，保存分析結(jié)果，并將這些特征和規(guī)則添加到攻擊行為規(guī)則中去，以改進(jìn)監(jiān)視器的工作效率。

1.3 全局審計(jì)服務(wù)與其它安全控制服務(wù)之間的關(guān)系

傳統(tǒng)的安全管理由身份認(rèn)證服務(wù)和訪問控制服務(wù)組成。本研究在傳統(tǒng)的安全管理中加入了安全審計(jì)服務(wù)，使安全管理整體性能得到增強(qiáng)，如圖2所示。

圖2 3種服務(wù)之間的關(guān)系

身份認(rèn)證是訪問控制的前提。用戶登錄系統(tǒng)時(shí)首先要對其進(jìn)行身份認(rèn)證，只有在確認(rèn)其為合法用戶的情況下，才能根據(jù)用戶所擔(dān)當(dāng)?shù)慕巧o用戶分配訪問權(quán)限，確定該用戶能夠做什么和不能夠做什么。同時(shí)，安全審計(jì)從身份認(rèn)證和訪問控制中獲取用戶操作信息，一旦發(fā)現(xiàn)攻擊行為或安全隱患，采取在用戶信息中做標(biāo)記和調(diào)整存取規(guī)則等措施，及時(shí)對身份認(rèn)證和訪問控制進(jìn)行補(bǔ)充和完善，起到強(qiáng)化整體安全性的作用。

從某種意義上講，如果身份認(rèn)證和訪問控制是系統(tǒng)的第一道安全防線，則安全審計(jì)可以看作系統(tǒng)的第二道安全防線，而且能夠產(chǎn)生反饋以加強(qiáng)第一道安全防線。

2 安全審計(jì)策略

多數(shù)據(jù)庫系統(tǒng)面臨的安全威脅來自內(nèi)外兩個(gè)方面。外部攻擊者假冒合法用戶登錄系統(tǒng)，或繞過訪問控制進(jìn)行非法數(shù)據(jù)操作，內(nèi)部用戶惡意或無意的非法操作，都可能對系統(tǒng)造成危害。由于多數(shù)據(jù)庫系統(tǒng)具有分布、異構(gòu)和自治等特性，多數(shù)據(jù)庫系統(tǒng)安全審計(jì)的實(shí)施會遇到很多技術(shù)上的難點(diǎn)，可采用相應(yīng)策略予以解決。

2.1 事件獲取及防繞策略

事件（Event）用來描述用戶在系統(tǒng)中的操作過程。事件用多元組表示如下：

Event ∷=

事件的屬性包括主體SU、操作類型OP、客體OB、客體安全級別Lob、事件來源OR、事件發(fā)生日期和時(shí)間DT、事件是否符合存取規(guī)則RU、事件是否執(zhí)行成功SC和事件備注RE。事件的主體可以是用戶也可以是角色。事件客體可以是系統(tǒng)、數(shù)據(jù)文件、數(shù)據(jù)庫、關(guān)系、屬性、記錄以及記錄內(nèi)的屬性等。

用戶操作分為用戶登錄操作、數(shù)據(jù)訪問操作和數(shù)據(jù)定義操作3類。用戶登錄操作必須通過身份認(rèn)證，而用戶數(shù)據(jù)訪問操作和數(shù)據(jù)定義操作首先要通過訪問控制，然后在局部數(shù)據(jù)源得到執(zhí)行。因此，可以在身份認(rèn)證服務(wù)、訪問控制服務(wù)和局部代理中調(diào)用事件收集部件，由事件收集部件將用戶登錄事件和數(shù)據(jù)操作事件發(fā)送到事件記錄器，置入事件記錄隊(duì)列中。局部數(shù)據(jù)源如果具有日志記錄功能，可采用觸發(fā)器將局部數(shù)據(jù)源日志記錄表中全局用戶的訪問日志發(fā)給局部代理，局部代理調(diào)用事件收集部件將整理后的事件記錄傳給事件記錄器。

在正常情況下，一個(gè)數(shù)據(jù)操作會產(chǎn)生兩條事件記錄，一條在訪問控制時(shí)被獲取，另一條在局部數(shù)據(jù)源被執(zhí)行后，從局部代理處被獲取。一個(gè)數(shù)據(jù)操作只產(chǎn)生一條事件記錄的情形有兩種，一種情況是由于數(shù)據(jù)操作不符合存取規(guī)則，該操作在訪問控制時(shí)被終止；另一種情況是用戶竊取令牌，繞過訪問控制，直接對局部數(shù)據(jù)源進(jìn)行數(shù)據(jù)操作。防止繞過攻擊的辦法是，在事件記錄器整理事件記錄時(shí)，對于事件來源為局部代理的事件記錄，如果沒有事件來源為訪問控制的對應(yīng)記錄，則可斷定該事件對應(yīng)的操作實(shí)施了繞過攻擊，事件記錄器在此事件記錄中做標(biāo)記，并傳給監(jiān)視器，監(jiān)視器根據(jù)標(biāo)記向告警與控制部件發(fā)送安全控制信息，從而采取相應(yīng)的控制措施，如終止與該用戶的連接等。

2.2 審計(jì)事件選擇與防篡改策略

同傳統(tǒng)數(shù)據(jù)庫相比，多數(shù)據(jù)庫系統(tǒng)中的用戶操作更加頻繁，大量的事件記錄通過事件收集部件被傳送到事件記錄器的事件記錄隊(duì)列中。從安全管理角度看，其中一些事件記錄對審計(jì)沒有太大意義，比如對一般數(shù)據(jù)表的查詢等，這些記錄不必記入審計(jì)日志。因此，事件記錄器在處理事件記錄時(shí)，需要對事件記錄進(jìn)行篩選。利用事件篩選表可以有效去除不需審計(jì)的事件記錄。事件篩選表由安全管理員在進(jìn)行審計(jì)設(shè)置時(shí)設(shè)定。事件篩選表的每一條記錄包含一個(gè)由事件屬性字段組成的條件表達(dá)式，表示一類不需審計(jì)的事件。事件記錄器在篩選事件記錄時(shí)，提取事件屬性字段值代入所有條件表達(dá)式進(jìn)行算術(shù)比較和邏輯運(yùn)算。如果值為真，表示該事件不需審計(jì)，可予以去除。當(dāng)各表達(dá)式的值都為假時(shí)，可以將該事件記錄為審計(jì)事件，并記入審計(jì)日志。

審計(jì)日志可以作為追查攻擊行為的證據(jù)，前提是審計(jì)日志必須能夠防止被篡改并具有不可否認(rèn)性。在事件記錄中加入時(shí)間戳（Time-stamp）可以達(dá)到防止篡改和防止抵賴的目的。通常，時(shí)間戳由可信第三方（Trusted Third Party，TTP）產(chǎn)生，大部分CA（Certificate Authority）都能夠提供時(shí)間戳服務(wù)（Time Stamping Service）。時(shí)間戳的申請過程為：①事件記錄器從已整理好的事件記錄中提取各字段屬性值，拼接后得到信息M，用單向散列函數(shù)（比如：SHA-1）對M進(jìn)行運(yùn)算，得到信息摘要MD；②事件記錄器將MD發(fā)給CA，請求TSS服務(wù)；③CA在MD中加入本地系統(tǒng)日期和時(shí)間后，用自己的數(shù)字簽名私鑰進(jìn)行簽名，得到時(shí)間戳TS；④CA將TS和自己的簽名公鑰證書一起發(fā)給事件記錄器；⑤事件記錄器將事件記錄和TS、CA簽名公鑰證書一起作為一條日志記錄存入審計(jì)日志表。

2.3 監(jiān)視策略

一個(gè)事件被確定為審計(jì)事件后，需根據(jù)已有知識判斷其是否存在或隱藏攻擊性，也即判斷審計(jì)事件是否具有直接危害性或間接危害性。對于具有直接危害性的審計(jì)事件，監(jiān)視器立即向告警與響應(yīng)部件發(fā)出相應(yīng)安全控制信號。對于具有間接危害性的審計(jì)事件，監(jiān)視器啟動(dòng)一個(gè)計(jì)數(shù)器對此類事件進(jìn)行監(jiān)視。如果在監(jiān)視時(shí)間內(nèi)，此類事件發(fā)生次數(shù)達(dá)到所設(shè)定的閾值，則向告警與響應(yīng)部件發(fā)出相應(yīng)安全控制信號。

審計(jì)事件的攻擊性根據(jù)攻擊行為規(guī)則來進(jìn)行判斷。攻擊行為規(guī)則表中的每一條記錄由一個(gè)邏輯表達(dá)式和一個(gè)攻擊類型代碼組成，描述了一類攻擊性事件所具有的共同屬性，這類事件的各個(gè)屬性取值存在一個(gè)范圍和一定的邏輯關(guān)系。這些規(guī)則按攻擊類型危害程度由高到低的順序存放，以提高處理效率。

2.4 告警與響應(yīng)策略

安全控制信號中包含事件的攻擊類型和事件記錄。告警與響應(yīng)部件根據(jù)攻擊類型按照響應(yīng)預(yù)案發(fā)出警告并采取控制措施。假如，安全控制信號記為S，攻擊類型記為T1，T2，T3，…，Tn，事件記錄記為E，警告和控制措施可以由過程Alarm和A1，A2，A3，…，An來實(shí)現(xiàn)。響應(yīng)預(yù)案可描述為：

（T，E） = Fetch（S）；——從S中取出T和E

switch （ T ）{ ——響應(yīng)預(yù)案

case T1 ： Alarm （ T1， E）； A1 （ E ）； break；

case T2 ： Alarm （ T2， E）； A2 （ E ）； break；

case T3 ： Alarm （ T3， E）； A3 （ E ）； break；

......

case Tn ： Alarm （ Tn， E）； An （ E ）； break；

}

2.5 審計(jì)分析策略

利用攻擊行為規(guī)則表對審計(jì)事件進(jìn)行監(jiān)視，實(shí)際上是一種基于模板的異常檢測分析方法。攻擊行為規(guī)則起初由安全管理員根據(jù)經(jīng)驗(yàn)手工設(shè)置，這些規(guī)則對攻擊行為的描述存在模糊性和局限性，因此實(shí)時(shí)審計(jì)在開始一段時(shí)間內(nèi)效率不高。在積累了大量的審計(jì)數(shù)據(jù)后，可利用數(shù)據(jù)挖掘方法從中發(fā)現(xiàn)精確有效的檢測模型。審計(jì)數(shù)據(jù)的挖掘過程就是發(fā)現(xiàn)關(guān)聯(lián)規(guī)則的過程，目的是從審計(jì)數(shù)據(jù)中尋求審計(jì)事件記錄不同屬性之間的關(guān)系模式，擴(kuò)充和調(diào)整攻擊行為規(guī)則集，提高實(shí)時(shí)審計(jì)效率。

Apriori 算法是一種最有影響的挖掘關(guān)聯(lián)規(guī)則算法[5]。設(shè)I = {i1，i2，… ，im } 是數(shù)據(jù)項(xiàng)集合，D={T1，T2，…，Tn}是審計(jì)數(shù)據(jù)集合，其中每條審計(jì)記錄Ti是數(shù)據(jù)項(xiàng)的集合，TiI 。設(shè)A是I的一個(gè)子集， 審計(jì)記錄Ti包含A當(dāng)且僅當(dāng)ATi。包含k個(gè)數(shù)據(jù)項(xiàng)的集合稱為k-項(xiàng)集。關(guān)聯(lián)規(guī)則的表現(xiàn)形式是“A →B，C = c，S = s”，其中，A和B 是同一條記錄內(nèi)的數(shù)據(jù)項(xiàng)集且A ∩B=Φ；支持度S 是D 中記錄包含A ∪B 的百分比；置信度C是一條記錄包含A的情況下同時(shí)包含B的概率。挖掘關(guān)聯(lián)規(guī)則就是對審計(jì)數(shù)據(jù)D，找出所有滿足用戶指定的最小支持度閾值Smin和最小置信度閾值Cmin的關(guān)聯(lián)規(guī)則。

3 結(jié)語

本文提出的安全審計(jì)技術(shù)源于多數(shù)據(jù)庫系統(tǒng)的安全管理需要，盡管文中構(gòu)造了安全審計(jì)體系結(jié)構(gòu)，對各組成部件的功能和審計(jì)流程進(jìn)行了描述，并針對某些關(guān)鍵問題提出了相應(yīng)策略，但安全審計(jì)技術(shù)相關(guān)研究還有待進(jìn)一步深入：①提高事件記錄器對所收集事件信息的處理速度，以消除審計(jì)服務(wù)事件處理瓶頸，滿足繁忙系統(tǒng)的安全審計(jì)需要；②改進(jìn)數(shù)據(jù)挖掘算法，從審計(jì)日志中挖掘出更好的攻擊行為規(guī)則，從而提高監(jiān)視器的效率；③建立更加有效的用戶操作控制機(jī)制，以便及時(shí)阻止非法操作，盡量避免對系統(tǒng)造成危害。

參考文獻(xiàn)：

[1] 肖衛(wèi)軍，盧正鼎，洪帆.安全數(shù)據(jù)庫系統(tǒng)中的事務(wù)[J].小型微型計(jì)算機(jī)系統(tǒng)，2004（4）：591594.

[2] 魏允韜，王治綱，王曉剛.多數(shù)據(jù)庫系統(tǒng)安全體系研究[M].武漢：華中科技大學(xué)出版社，2002：5763.

[3] 趙久長，王曉剛，王治綱.多數(shù)據(jù)庫系統(tǒng)中的用戶管理與身份認(rèn)證[M].武漢：華中科技大學(xué)出版社，2002：4956.

[4] ISO.Common criteria for information technology security evaluation criteria[S].Version 2.1，1999.

[5] AGRAWAL R，IMIELINSKI T，SWAMI A.Mining association rules between sets of items in large databases[C].In Proceedings of the ACM SIGMOD Conference on Management of Data，1993：207216.

（責(zé)任編輯：孫 娟）