◆田 彬

(晉中師范高等?？茖W(xué)校數(shù)理科學(xué)系 山西 030600)

事務(wù)級(jí)容侵的數(shù)據(jù)庫安全分析

◆田 彬

(晉中師范高等?？茖W(xué)校數(shù)理科學(xué)系 山西 030600)

隨著計(jì)算機(jī)技術(shù)的發(fā)展，其在給人們帶來便利的同時(shí)，其自身的安全問題也越來越突出，尤其是計(jì)算機(jī)數(shù)據(jù)庫系統(tǒng)的安全問題。數(shù)據(jù)庫系統(tǒng)的安全現(xiàn)已涉及到國家主權(quán)、商業(yè)機(jī)密以及個(gè)人隱私等，是計(jì)算機(jī)信息系統(tǒng)中數(shù)據(jù)存儲(chǔ)和處理的核心，數(shù)據(jù)庫一旦出現(xiàn)問題，將會(huì)導(dǎo)致信息的泄露。本文在針對(duì)當(dāng)前入侵容忍的數(shù)據(jù)庫系統(tǒng)自身存在的問題，對(duì)事務(wù)級(jí)入侵容忍方法進(jìn)行了深入的分析，以實(shí)現(xiàn)數(shù)據(jù)庫的安全性、可用性以及數(shù)據(jù)的機(jī)密性和完整性。

數(shù)據(jù)庫；事務(wù)級(jí)；入侵；容忍；安全分析

0 前言

計(jì)算機(jī)系統(tǒng)以數(shù)據(jù)庫為基礎(chǔ)，得到了在政治、經(jīng)濟(jì)、軍事以及科研等多個(gè)領(lǐng)域的廣泛應(yīng)用。隨著數(shù)據(jù)庫的廣泛應(yīng)用，數(shù)據(jù)庫安全事件經(jīng)常發(fā)生，給企業(yè)或個(gè)人造成極大的損失。本文對(duì)事務(wù)級(jí)數(shù)據(jù)庫入侵容忍技術(shù)進(jìn)行了改進(jìn)，保證惡意事務(wù)造成的數(shù)據(jù)庫損壞不會(huì)擴(kuò)散，并在惡意事務(wù)被定位后及時(shí)修復(fù)損壞的數(shù)據(jù)，使信息系統(tǒng)在遭受攻擊的情況下仍可正常運(yùn)行，提高了數(shù)據(jù)庫和數(shù)據(jù)的可用性和可生存性以及完整性。

1 入侵容忍系統(tǒng)的產(chǎn)生

計(jì)算機(jī)網(wǎng)絡(luò)的快速發(fā)展使數(shù)據(jù)庫遭受到越來越多的攻擊，而增強(qiáng)現(xiàn)有的數(shù)據(jù)庫防御入侵能力和破壞能力的技術(shù)成為計(jì)算機(jī)領(lǐng)域研究的一個(gè)熱點(diǎn)課題。在復(fù)雜的網(wǎng)絡(luò)環(huán)境中，有些用戶在不經(jīng)意間就泄露了自己的身份，還有一些人主動(dòng)請(qǐng)求別人代替自己完成某些工作等，所以導(dǎo)致合法用戶和假冒合法用戶變得很難區(qū)分。另外，數(shù)據(jù)庫系統(tǒng)本身就存有一定的漏洞，多以攻擊者會(huì)利用安全漏洞對(duì)網(wǎng)絡(luò)進(jìn)行攻擊，不僅會(huì)嚴(yán)重威脅到數(shù)據(jù)庫系統(tǒng)的安全，同時(shí)計(jì)算機(jī)操作系統(tǒng)也會(huì)受到威脅。因此，入侵容忍系統(tǒng)的目標(biāo)就是當(dāng)系統(tǒng)受到非法攻擊之后，雖然其自帶的防護(hù)安全技術(shù)不能完全排除非法入侵和攻擊帶來的影響，但是卻可以有效防御和避免一些系統(tǒng)檢測不到的信息攻擊。另外，入侵容忍系統(tǒng)在受到攻擊之后，能夠進(jìn)行自我診斷、數(shù)據(jù)信息恢復(fù)及網(wǎng)絡(luò)重新構(gòu)建，并且仍然能夠正常運(yùn)行，為合法用戶提供全部服務(wù)或者降低服務(wù)。入侵容忍系統(tǒng)包括兩個(gè)方面，一個(gè)是容忍技術(shù)，它可以恢復(fù)被入侵系統(tǒng)的原有功能，其技術(shù)主要包括資源重配和系統(tǒng)冗余；另一個(gè)是系統(tǒng)容忍觸發(fā)器，也就是入侵檢測系統(tǒng)[1]。理論上而言，入侵檢測系統(tǒng)在較高的覆蓋范圍內(nèi)能夠檢測出任何工具和入侵所導(dǎo)致出現(xiàn)的錯(cuò)誤，同時(shí)，錯(cuò)誤是在入侵檢測系統(tǒng)傳播之前就檢測到的?？偠灾?，數(shù)據(jù)庫入侵檢測系統(tǒng)是一種全新的安全技術(shù)，其技術(shù)的核心思想是利用計(jì)算機(jī)硬件或軟件的容錯(cuò)技術(shù)屏蔽非法入侵對(duì)系統(tǒng)功能造成的影響，從而使數(shù)據(jù)庫系統(tǒng)具備一定的安全性和彈性，當(dāng)系統(tǒng)遭受到非法入侵的攻擊之后，仍然能夠?yàn)楹戏ㄓ脩籼峁┱Ｇ矣行У姆?wù)。

2 入侵容忍系統(tǒng)的理論基礎(chǔ)知識(shí)

2.1 入侵容忍技術(shù)的分類

2.1.1 基于容錯(cuò)技術(shù)

這種方法比較符合信息可生存的要求看，但是并滿足不了信息加密的要求，主要是采用一些容錯(cuò)技術(shù)實(shí)現(xiàn)系統(tǒng)的入侵容忍。在容錯(cuò)系統(tǒng)中，處理錯(cuò)誤需要錯(cuò)誤檢測、破壞估計(jì)、重新配置以及數(shù)據(jù)恢復(fù)四個(gè)步驟。從處理步驟上看，這和容忍入侵的步驟較為相似，所以也可將入侵容忍技術(shù)當(dāng)做容錯(cuò)技術(shù)的延伸。但要想將容錯(cuò)技術(shù)應(yīng)用到入侵容忍系統(tǒng)中，仍需要解決多種挑戰(zhàn)，主要表現(xiàn)在以下方面：

（1）計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)受到的入侵主要源于系統(tǒng)內(nèi)部，傳統(tǒng)的容錯(cuò)技術(shù)解決不了此問題。

（2）容錯(cuò)技術(shù)系統(tǒng)的構(gòu)成主要考慮的是如何阻止攻擊，但事實(shí)證明，攻擊往往是很難阻止的，同時(shí)，系統(tǒng)的可靠性也得不到保證[2]。

（3）容錯(cuò)系統(tǒng)主要著眼于計(jì)算機(jī)的軟件和硬件兩個(gè)模塊，但在現(xiàn)實(shí)的網(wǎng)絡(luò)系統(tǒng)中，每一個(gè)組件的功能都較為復(fù)雜，所以對(duì)故障很難進(jìn)行定義。

2.1.2 基于門限密碼技術(shù)

入侵容忍系統(tǒng)采用的是門限密碼技術(shù)，從而實(shí)現(xiàn)對(duì)非法入侵的防御，其完全符合信息的機(jī)密性要求，但并不能完整的滿足信息可生存的要求。另外，門限密碼技術(shù)雖然也包含冗余的容錯(cuò)計(jì)算思想，但是并不能對(duì)遭受故障的信息進(jìn)行重構(gòu)和恢復(fù)。

2.2 入侵容忍系統(tǒng)的安全措施

入侵容忍系統(tǒng)的安全措施是指系統(tǒng)在遭受非法入侵時(shí)，系統(tǒng)可以采用安全措施對(duì)非法入侵進(jìn)行有效防御，從而避免系統(tǒng)受入侵造成的影響。入侵容忍安全措施是經(jīng)典容錯(cuò)和安全措施的相互融合，主要包括以下幾方面：

（1）故障避免和容錯(cuò)策略。故障避免和容錯(cuò)策略指的是系統(tǒng)在設(shè)計(jì)、配置及操作過程中盡可能的將發(fā)生的故障排除，因?yàn)橥耆懦到y(tǒng)漏洞的想法根本不現(xiàn)實(shí)，并且通過容錯(cuò)的方式來降低系統(tǒng)故障的負(fù)面影響，比直接排除故障需要用的費(fèi)用更經(jīng)濟(jì)實(shí)惠，因此，在設(shè)計(jì)入侵容忍系統(tǒng)時(shí)，應(yīng)該將故障避免和容錯(cuò)方法有效的結(jié)合在一起進(jìn)行考慮。

（2）機(jī)密操作。當(dāng)數(shù)據(jù)庫中的數(shù)據(jù)信息被當(dāng)做機(jī)密安全策略的目標(biāo)時(shí)，入侵容忍系統(tǒng)要求未授權(quán)的數(shù)據(jù)在遭受入侵后，其信息被泄露的同時(shí)不會(huì)揭露其他有用的信息。入侵容忍系統(tǒng)的機(jī)密性操作可以通過屏蔽錯(cuò)誤的機(jī)制實(shí)現(xiàn)，例如門限密碼體制。

（3）重新配置。重新配置是指數(shù)據(jù)庫遭受非法攻擊或者入侵時(shí)，入侵容忍系統(tǒng)可根據(jù)數(shù)據(jù)庫被破壞的程度對(duì)入侵者的成果進(jìn)行評(píng)估，從而對(duì)數(shù)據(jù)庫中資源信息進(jìn)行重新配置。重新配置操作基于入侵檢測技術(shù)，在檢測系統(tǒng)組件發(fā)生錯(cuò)誤時(shí)能夠自動(dòng)使用正確組件代替錯(cuò)誤組件，處理主要面向可用性及完整性的服務(wù)，例如事務(wù)數(shù)據(jù)庫。

2.3 多級(jí)數(shù)據(jù)庫入侵容忍模型的構(gòu)成

數(shù)據(jù)庫主要受用戶、OS、DBMS和事務(wù)四個(gè)層面的安全威脅。首先，對(duì)用戶實(shí)施身份認(rèn)證、數(shù)據(jù)庫訪問控制等可以有效防止非法用戶入侵或者合法用戶的錯(cuò)誤操作對(duì)數(shù)據(jù)庫造成的安全威脅。其次，數(shù)據(jù)庫的正常運(yùn)行建立在計(jì)算機(jī)操作系統(tǒng)上，所以要想保證數(shù)據(jù)庫安全。就必須要保證操作系統(tǒng)環(huán)境的安全，在必要是選擇對(duì)數(shù)據(jù)信息進(jìn)行加密，例如可以在 Windows環(huán)境下運(yùn)行的SQL語句上采用身份驗(yàn)證。第三，DBMS層面主要有DBMS口令弱、數(shù)據(jù)庫管理不合理、用戶權(quán)限分配不合理、DBMS漏洞等安全問題。

3 事務(wù)入侵容忍技術(shù)分析

3.1 對(duì)遭受破壞的數(shù)據(jù)進(jìn)行修復(fù)管理

破壞修復(fù)管理由破壞評(píng)估器和破壞修復(fù)器組成。破壞評(píng)估器一旦檢測到數(shù)據(jù)庫存在惡意事物，就會(huì)立刻對(duì)受破壞位置進(jìn)行定位操作，而破壞修復(fù)器則跟根據(jù)破壞評(píng)估器得出的結(jié)果，及時(shí)對(duì)惡意事務(wù)所造成的破壞進(jìn)行修復(fù)，修復(fù)過程主要是根據(jù)用戶的SQL語句和UNDO事務(wù)進(jìn)行的。

3.2 入侵系統(tǒng)虛擬隔離

入侵虛擬隔離操作是指入可疑用戶在應(yīng)用層就被入侵容忍技術(shù)進(jìn)行了虛擬隔離，并非對(duì)用戶進(jìn)行立即終止操作程序。因?yàn)槿绻诤罄m(xù)操作過程中發(fā)現(xiàn)該數(shù)據(jù)庫并不是惡意攻擊者時(shí)，數(shù)據(jù)庫系統(tǒng)可以以較少的資源消耗最大程度的保留該用戶的事務(wù)操作。

3.3 執(zhí)行破壞控制操作

執(zhí)行破壞控制操作主要是嚴(yán)格對(duì)已經(jīng)遭受到破壞的對(duì)象的訪問進(jìn)行控制，以防止其對(duì)數(shù)據(jù)庫加大破壞[4]。破壞控制執(zhí)行模塊只執(zhí)行傳統(tǒng)的一階破壞控制和多階破壞控制兩類，一階破壞控制僅在破壞評(píng)估輸出結(jié)果后對(duì)該數(shù)據(jù)進(jìn)行控制，由于破壞評(píng)估的延遲會(huì)降低控制的效率，因此，多階破壞控制被引入，多階破壞控制在檢測到惡意事務(wù)時(shí)，會(huì)立即對(duì)受到破壞的對(duì)象進(jìn)行嚴(yán)格控制，對(duì)未被破壞的數(shù)據(jù)解除控制行為，并通過回滾逐漸恢復(fù)未被破壞的數(shù)據(jù)對(duì)象。

4 總結(jié)

目前，計(jì)算機(jī)網(wǎng)絡(luò)安全已經(jīng)得到空前的重視，但要想有效方法非法攻擊對(duì)數(shù)據(jù)庫的入侵，就需要加大研究入侵容忍系統(tǒng)，因?yàn)槿肭秩萑滔到y(tǒng)不僅能夠有效阻止惡意攻擊者的非法入侵，而且還能保證數(shù)據(jù)庫在是遭受到破壞后，其關(guān)鍵功能仍然能夠正常運(yùn)行，仍然能為合法用戶提供有效的服務(wù)。

[1]劉婷.基于事務(wù)級(jí)容侵的數(shù)據(jù)庫安全研究[J].軟件導(dǎo)刊，2016.

[2]齊耀龍，劉慧君，鄧娜.自律式容侵安全數(shù)據(jù)庫模型[J].河北大學(xué)學(xué)報(bào):自然科學(xué)版，2014.

[3]何欣，王小玲.基于入侵容忍的數(shù)據(jù)庫安全體系結(jié)構(gòu)[J].微計(jì)算機(jī)信息，2009.