（计算机应用技术专业论文）国产安全数据库secureoscar的安全体系结构及实现分析.pdf

浙江大学硕士研究生毕业论文 a st h ec o r eo fi n f o r m a t i o ns y s t e m s ，d a t a b a s em a n a g e m e n ts y s t e m si st h ek e yt oe n s u r et h e s e c u r i t yo fi n f o r m a t i o n c u r r e n t l ym o s to ft h ei n f o r m a t i o ns y s t e m si n o u rc o u n t ya r eb u i l to n f o r e i g nu n t r u s t yd b m s s ，w h i c hm a k e su si nd a n g e ri nc o m m e r c i a lc o m p e t i t i o na n de l e c t r o n i c w a r f a r ei ns u c hac o m p l e xi n t e m a t i o n a ls i t u a t i o n h e n c e i ti su r g e n tt od e v e l o ps u c hp r o d u c 招o f o u r s e l v e s i ns u c hb a c k g r o u n d ，w ed e v e l o p e dl a r g es c a l ed a t a b a s em a n a g e m e n ts y s t e mo s c a r i no r d e rt oi m p r o v ei t ss e e u r i t y , w ed e v e l o p e di t ss e c u l - ev e r s i o ns e c w e - o s c a rf u r t h e r , w h i c h m a k e si ti ss u i t a b l ef o rs e c u r i t yc r i t i c a ld o m a i n ss u c ha sa e r o s ；p a c e ，m i l i t a r y , e t c i nt h i sp a p e rw e d i s c u s st h ee f f o r t sm a d ei ns e c u r e o s c a rt oe n s u r es e c u r i t y , d e s c r i b ei t ss e c u r i t ya r c h i t e c t u r ei n d e t a i la n da n a l y s et h er e a l i z a t i o no f s o m ee s s e n t i a lp a r t s ， w ef i r s ta n a l y s et h es e c u r i t yt h r e a t st h a td b m sm u s tf a c ea n di n t r o d u c eas e c u r i t yt h r e a t m o d e l a c c o r d i n gt o v a r i o t i s t e c h n o l o g i e st o e n s u r ed a t a b a s es e c u r i t y , w ei n t r o d u c ea ni d e a l a n t i - t h r e a tm o d e l t h i sm o d e lw i l lb et h er e f e r e n c em o d e lo fs e c u r e o s c a r s s e c u r i t y a r e h i t e e t u r e l a t e r , w ed i s c u s st h el e 3 p ( 1 n d e p e n d e n ta n de x c l u s i v e3 - p r i v i l e g e ) s e c u r i t ya r c h i t e c t u r eo f s e c u r e - o s c a ra n de v e r yp a r t so ft h i sa r c h i t e c t u r ed e t a l l e d l y , i n c l u d i n gv a r i o u sa u t h e n t i c a t i o n m e c h a n i s m ，r o l e - b a s e d e x t e n d e d d i s c r e t i o n a r y a c c e s s c o n t r o l ( d a c ) ，l a b e l - b a s e d e x t e n d e d m a n d a t o r ya c c e s sc o n t r o l ( m a c ) ，c o l u m nl e v e le n t r y p t i o nm e c h a n i s mb a s e do l ls e c u r i t yc a t a l o g ， a u d i ta n di n t r u s i o nd e t e c t i o n t h e s em e c h a n i s m su s e t e c h n o l o g i e s s u c h a s “p r e v e n t i o n ” “d e t e c t i o n t o g e t h e rt oe n s u r es y s l e m ss e c u r i t y t h ef o l l o w i n gt h r e e c h a p t e r s d i s c u s st h ed e t a i l e dr e a l i z a t i o no fl a b e l b a s e de x t e n d e d m a n d a t o r ya c c e s sc o n t r o l ，c o l u m nl e v e le n c r y p t i o nm e c h a n i s mb a s e do ns e c u r i t yc a t a l o ga n da u d i t m e c h a n i s ms e p a r a t e l y n em a cm e c h a n i s mi ns e c u r e o s c a rj sb a s e do nt h ec l a s s i c a l b e l l - l a p a d u l am o d e l w ee x t e n dt h i sm o d e lt om a k eo u rs y s t e mm o r eu s a b l ew i t h o u tl o s i n gi t s s e c u r i t y w ea l s oa n a l y z et h es h o r t c o m i n go fm a c ，i t sc o u n t e r m e a s u r ea n dp o s s i b l ep e r f o r m a n c e d e c r e a s e t h er e a l i z a t i o no f m a cm a k e ss e c u r e - o s c a rm e a s u r eu dt ob 11 e v e lo f t c s e c t d i a n dt h e3 。4l e v e lo f “c l a s s i f i e ds c o u r i t yp r o t e c t i o no f c o m p u t e ri n f o r m a t i o ns y s t e m t e c h n i q u e r e q u i r e m e n t so f d a t a b a s em a n a g e m e n ts y s t e m ”o f l n d u s t r ys t a n d a r do f p u b l i cs e c u r i t yo f c h i n a w h e nr e a l i z i n gd a t a b a s ee n c r y p t i o n ，w ei n t r o d u c et h ec o n c e p to fs e c u r i t yc a t a l o ga n di n t r o d u c e a ne f f i c i e n tm u l t i l e v e lk e ym a n a g e m e n tm e c h a n i s m ，w h i c hm a k e st h es y s t e ms u p p o r ta c c e s st o e n c r y p t i o nc o l u m n sf r o mm a n y u s e r s a tl a s t ，w ed i s c u s st h el i m i t a t i o no fd a t a b a s ee n c r y p t i o na n d f i e l dl e v e le n c r y p t i o nt e c h n o l o g y e n c r y p t i o nm a k e st h e s y s t e mm o r e s e c u r e w es u m u pt h ep a p e ri nt h ee n d a c c o r d i n g t ot h ei d e a la n t i - t h r e a tm o d e la n dt h eu n r e s o l v e d s e c f i r i t yp r o b l e m s ，w ep r o p o s et h ef u t u r er e s e a r c ha n di m p r o v e m e n td i r e c t i o no fs e c u r e - o s c a r s s e c u d t ya r c h i t e c t u r e k e y w o r d ：d a t a b a s es e c u r i t y , s e c u r e - o s c a r , s e c u r i t ya r c h i t e c t u r e ，d i s c r e t i o n a r ya c c e s s c o n t r o l ，d a c ，m a n d a t o r ya c c e s sc o n t r o l ，m a c ，r o l e - b a s e da c c e s sc o n t r o l ，r b a c ，d a t a b a s e e n c r y p t i o n ，m u l t i l e v e lk e ym a n a g e m e n t , a u d i t 浙江大学硕士研究生毕业论文 第l 章数据库的安全威胁综述及理想对抗模型 在我国特殊的政治、经济和军事环境下，信息系统的核心资源数据库的安全显得尤为重 要。在这种情况f ，开发并使用自主知识产权的安全数据库则成为保证信息安全的根本性措 施。然而，已有的数据库安全研究没有针对特殊环境下数据库安全的特殊需求的全面分析。 针对这些问题，在本章中我们总结了数据库安全威胁的各类因素【7 ，引入了一个数据库安 全威胁模型，并根据此模型，研究了各类威胁对抗措施，包括阻止技术，隐藏和欺骗技术， 入侵检测技术控制损失范围和恢复数据技术等，构成了一个理想的数据库安全对抗模型。 在进一步介绍之前，我们先介绍一些数据库安全的基本概念。 1 1 数据库安全的基本概念 数据库的安全性【1 1 8 1 1 1 2 1 是指保护数据库以防止不合法的使用所造成的数据泄罐、更改 或破坏。数据库的安全性与计算机系统的安全性如操作系统、网络通信系统等紧密相关并相 互支持。 1 1 1 数据安全的目标 数据安全的目标【1 】可以分为以下三个相关的领域： 安全性( s e c r e c y ) 。关注“不恰当”的数据泄露方面的问题。在安全领域中与术 语机密性( c o n f i d e m i a l i t y ) 相通。 完接性( i n t e g r i t y ) 。关注“不恰当”的数据修改或信息处理等方面的问题，即保证 数据符合一定的语义。 可用性( a v a i | a b i l i t y ) 。关注“不恰当”的拒绝访问数据等方面的问题。与术语拒 绝访问服务( d e n i a lo f s e r v i c e ) 相通。 不同领域的应用对这三方面的要求侧重点会有较大的差异。比如对于安全性和可用性来 说，军事领域的要求明显要高于商业领域，而对于完整性，两者都会有相当高的要求。安全 性和完整性的目标比较容易理解，现阶段的d b m s 产品大都支持这两点，并且在技术和理 论上都有专门的研究。可用性一般较少有人直接提及，通常是隐含在产品提供的服务中。 1 1 2 安全策略 安全策略( s e c u r i t yp o l i c y ) 的目的是为了描述和实现上述三个目标。从上面的定义我 们也可以看到，它们都用了“不恰当”这样的字眼。安全策略主要就是为特定的应用定义“不 恰当”的具体涵义。“不恰当”的涵义有时候会由国家法律强制定义，例如军事、政府部门 对安全性的分级( 绝密、机密、普通等) 。另外像医疗、个人档案等敏感信息也都有特殊的 合法性、领域性的要求。著名的c h i n e s ew a l l s 模型就是用来阻止商业雇员对两家或两家以 上的同为竞争对手的公司( 在同一个商业领域中) 的机密信息的访问。但是一般来说，安全 策略主要是由一个系统内部定义而不是由外界强加控制。这点在完整性和可用性上体现的更 为明显。 在数据库中，安全策略的定义通常不是统一完成的，通常由数据库管理员、安全管理员、 数据库对象拥有者等通过授权等机制，随时的、分布式的完成。这种时间上的分布性往往是 造成安全漏洞的潜在因素。因此，安全策略的清晰、一致也是保证系统安全的关键。 浙江大学硕士研究生毕业论文 1 1 3 保证安全性的方法 通常有两种方法保证数据库中数据的安全性： 阻止( p r e v e n t i o n ) 。它保证安全泄露不会发生。一般在系统允许任何动作发生之前， 检查它是否符合安全策略。这个技术通常叫做访问控制( a c c e s sc o n t r 0 1 ) 。 检测( d e t e o i o n ) 。它保证系统活动有足够的历史纪录，当安全泄露发生时可以通 过它进行检测。这个技术就是通常所说的审计( a u d i t i n g ) 。 这两种方法的界限并不是那么明显。例如，在有的系统中，通过对审计纪录的实时监控， 可能会发现一些不恰当的违背安全性目标的行为，一旦发现这样的行为就可以实时的阻止它 们。明显，这样的系统是“阻止”系统，但它采用的技术却是“检测”。“阻止”相对来说更 基础一些。因为一个有效的“检测”机制要保证审计踪迹不被不恰当的修改，而且“检测” 机制要想有效，必须保证一目发现不恰当的行为必须要有足够的惩罚措施，这样才会有足够 的威慑力。 有时候阻止或检测某种安全性泄露的代价太高或者这种泄露发生的机率非常小，或者 对用户来说这种安全机制是可以接受的。因此，系统允许这种漏洞的存在，通常称之为耐受 性( t o l e r a n c e ) ，即对于一些潜在的安全性泄露是可以忍受的。一般的系统都会有一些安全 性泄露的潜在危险，因此，重要的是要清楚的了解“忍受”它们的风险性，以及确定哪些需 要用“阻止”或“检测”机制来保证。 不管是阻止性的安全性机制还是检测性的安全性机制，都只能实现一定程度上的安全性 保证。低安全性保证机制比较容易实现，但这样的系统也比较容易破坏，一些潜在的问题会 导致大量的安全性泄露。而高安全性保证机制往往很难实现，而且会导致系统性能的大幅度 下降。因此，需要根据系统的目标、安全性的重要程度和性能的重要程度的对比等因素进行 权衡。现阶段硬件速度发展的越来越快，也为高安全性保证机制的实现提供了一定的基础。 1 1 4 数据库安全常用技术 在现阶段流行的数据库管理系统产品中，常采用以下技术保证系统安全性： 身份认证a 确定用户所申明的身份合法性的过程。身份认证也是随后的访问控制等 安全性机制的基础。除了自己的身份认证机制，还可以使用外部认证服务如l d a p 目录服务、k e r b e r o s 鉴别服务等。 访问控制。在用户访问数据库数据之前确定他是否有相应的权限。通常包括自主 访问控制和强制访问控制。 审计。对系统中用户的各种活动进行记录，以备发生安全泄露时，追奁系统安全漏 洞和找出责任人。 加密。对用户的敏感数据提供进一步的加密机制，保证即便数据泄露也不会造成有 意义的信息泄露。 入侵检测。实时检测用户是否有可能造成系统安全泄露的活动，通常是对审计踪迹 的实时检测。 其中强制访问控制、加密以及入侵检测是针对特殊安全性需求的安全性保证措施。 1 1 5 数据库安全评价标准 1 9 8 5 年美国国防部发布了可信计算机系统评价标准( t r u s t e dc o m p u t e r s y s t e m e v a l u a t i o nc r i t e r i a ，t c s e c ) 2 】，即通常所说的o r a n g e b o o k 。作为一个评判计算机系统安全 2 浙江大学硕士研究生毕业论文 1 1 3 保证安全性的方法 通常有两种方法保证数据库中数据的安全性： 阻止( p r e v e n t i o n ) 。它保证安全泄露不会发生。一般在系统允许任何动作发生之前， 检查它是否符合安全策略。这个技术通常叫做访问控制( a c c e s sc o n t r 0 1 ) 。 检测( d e t e o i o n ) 。它保证系统活动有足够的历史纪录，当安全泄露发生时可以通 过它进行检测。这个技术就是通常所说的审计( a u d i t i n g ) 。 这两种方法的界限并不是那么明显。例如，在有的系统中，通过对审计纪录的实时监控， 可能会发现一些不恰当的违背安全性目标的行为，一旦发现这样的行为就可以实时的阻止它 们。明显，这样的系统是“阻止”系统，但它采用的技术却是“检测”。“阻止”相对来说更 基础一些。因为一个有效的“检测”机制要保证审计踪迹不被不恰当的修改，而且“检测” 机制要想有效，必须保证一目发现不恰当的行为必须要有足够的惩罚措施，这样才会有足够 的威慑力。 有时候阻止或检测某种安全性泄露的代价太高或者这种泄露发生的机率非常小，或者 对用户来说这种安全机制是可以接受的。因此，系统允许这种漏洞的存在，通常称之为耐受 性( t o l e r a n c e ) ，即对于一些潜在的安全性泄露是可以忍受的。一般的系统都会有一些安全 性泄露的潜在危险，因此，重要的是要清楚的了解“忍受”它们的风险性，以及确定哪些需 要用“阻止”或“检测”机制来保证。 不管是阻止性的安全性机制还是检测性的安全性机制，都只能实现一定程度上的安全性 保证。低安全性保证机制比较容易实现，但这样的系统也比较容易破坏，一些潜在的问题会 导致大量的安全性泄露。而高安全性保证机制往往很难实现，而且会导致系统性能的大幅度 下降。因此，需要根据系统的目标、安全性的重要程度和性能的重要程度的对比等因素进行 权衡。现阶段硬件速度发展的越来越快，也为高安全性保证机制的实现提供了一定的基础。 1 1 4 数据库安全常用技术 在现阶段流行的数据库管理系统产品中，常采用以下技术保证系统安全性： 身份认证a 确定用户所申明的身份合法性的过程。身份认证也是随后的访问控制等 安全性机制的基础。除了自己的身份认证机制，还可以使用外部认证服务如l d a p 目录服务、k e r b e r o s 鉴别服务等。 访问控制。在用户访问数据库数据之前确定他是否有相应的权限。通常包括自主 访问控制和强制访问控制。 审计。对系统中用户的各种活动进行记录，以备发生安全泄露时，追奁系统安全漏 洞和找出责任人。 加密。对用户的敏感数据提供进一步的加密机制，保证即便数据泄露也不会造成有 意义的信息泄露。 入侵检测。实时检测用户是否有可能造成系统安全泄露的活动，通常是对审计踪迹 的实时检测。 其中强制访问控制、加密以及入侵检测是针对特殊安全性需求的安全性保证措施。 1 1 5 数据库安全评价标准 1 9 8 5 年美国国防部发布了可信计算机系统评价标准( t r u s t e dc o m p u t e r s y s t e m e v a l u a t i o nc r i t e r i a ，t c s e c ) 2 】，即通常所说的o r a n g e b o o k 。作为一个评判计算机系统安全 2 塑垩查堂堡主盟塞生兰些笙塞 的标准，由高到低它把系统的安全性分为以下几个等级：a 1 、b 3 、b 2 、b 1 、c 2 、c 1 、和d 。 对每一个安全性等级，它都规定了一系列的必须达到的要求。例如，c 】级的系统提供了自 主访问控制；c 2 级还要求系统提供一定的审计支持；b l 级的系统提供了强制访问控制；b 2 级的系统提供强制访问控制的同时，还提供了其他的保证措施，用于对付隐通道问题；b 3 级要求支持审计踪迹的维护和安全管理员的概念；a 1 级的系统最安全t 它要求系统提供可 验证的安全性保护。1 9 9 1 年美国国防部) 己发布了可信数据库说明( t r u s t e d d a t a b a s e i n t e r o r e t a t i o no f t h et r u s t e dc o m p u t e rs y s t e me v a l u a t i o nc r i t e r i a ，t c s e c t d i ) 3 】a 该标准嘲 述了如何单独或一起评价一个d b m s 和下面的o s 的安全性。 9 0 年代，在吸取了以上标准的优点的基础上，部分国家和组织相继推出了新的安全评 价准则，包括欧洲的安全评价标准( i t s c e ) 、美国联邦准则( f c ) 和国际通用准则( c c ) 。 我国也于1 9 9 9 年公布了计算机信息系统安全保护等级划分准则【4 】，并于2 0 0 2 年公布 了中华人民共和国公共安全行业标准中关于信息安全的五个标准 5 】。这里不再详述。 1 _ 2 - 数据库的安全威胁分析 信息技术飞速发展的今天，国内的大多数核心产业都依靠其提高自身的生产力和价值。 当前，国内的所有信息系统，无论是民用、商用的信息系统，还是政府机关、军用的关键信 息系统，都严重依赖国外的信息系统产品。 数据库作为信息系统的核心也处于同样的境地国内使用最为广泛的是三大国外厂 商( o r a c l e ，i b m 和m i c m s o n ) 提供的产品。这些产品在国内的垄断地位严重威胁着国家在 信息战中的生存环境，一旦信息战爆发，这些数据库产品很有可能存在各类的后门、特洛伊 木马，主动或者触发式的泄漏关键信息，使我国处于非常不利的境地。 因此，研究开发自主知识产权的数据库管理系统刻不容缓。目前，在国产数据库中， d m 3 和o p e n b a s e s e c u r e 实现了较高安全级别的数据库。但是，目前国内所有的高安全级数 据库安全研究，都源于t c s e c t d i 标准，并没有提出我国特殊环境下的完整安全威胁模型。 传统的研究也基本上集中于如何阻止攻击发生和如何对发生的攻击进行审计，只有很少的研 究针对其他的对抗手段进行。下面我们将仔细分析信息战下的各种威胁，基于这些分析提出 安全数据库威胁模型，并考虑各种对抗措施，设计个理想的安全数据库的架构。 1 2 1 特殊环境下的安全特征 在信息化高速发展的今天，国内绝大多数关键部门的关键应用都已经实现了部分甚至完 全的信息化。同时，我国一直处于变幻莫测的国际形势的敏感地带，一旦爆发军事战争，关 键的信息系统将面临严峻考验。这种环境下的，传统的数据库安全措施就显得不够了【6 ： 信息战下，任何正常的访问措施都可能被攻破，即使拥有非常强大的身份鉴别和访 问控制措施，也不能对其完全信任； 内部的授权用户甚至管理员用户可能冈为贪婪或心情沮丧成为攻击者，攻击者也可 能获取合法用户的身份，获得对应的授权； 数据库周边的所有设施，包括操作系统、存储设备、网络设备等都有可能成为攻击 目标，从而间接地威胁数据库系统。 所有这些手段都可能导致数据泄露和破坏，而数据库的完整性约束和事务管理等等措施 又会导致这些数据污染进一步扩大。 塑垩查堂堡主盟塞生兰些笙塞 的标准，由高到低它把系统的安全性分为以下几个等级：a 1 、b 3 、b 2 、b 1 、c 2 、c 1 、和d 。 对每一个安全性等级，它都规定了一系列的必须达到的要求。例如，c 】级的系统提供了自 主访问控制；c 2 级还要求系统提供一定的审计支持；b l 级的系统提供了强制访问控制；b 2 级的系统提供强制访问控制的同时，还提供了其他的保证措施，用于对付隐通道问题；b 3 级要求支持审计踪迹的维护和安全管理员的概念；a 1 级的系统最安全t 它要求系统提供可 验证的安全性保护。1 9 9 1 年美国国防部) 己发布了可信数据库说明( t r u s t e d d a t a b a s e i n t e r o r e t a t i o no f t h et r u s t e dc o m p u t e rs y s t e me v a l u a t i o nc r i t e r i a ，t c s e c t d i ) 3 】a 该标准嘲 述了如何单独或一起评价一个d b m s 和下面的o s 的安全性。 9 0 年代，在吸取了以上标准的优点的基础上，部分国家和组织相继推出了新的安全评 价准则，包括欧洲的安全评价标准( i t s c e ) 、美国联邦准则( f c ) 和国际通用准则( c c ) 。 我国也于1 9 9 9 年公布了计算机信息系统安全保护等级划分准则【4 】，并于2 0 0 2 年公布 了中华人民共和国公共安全行业标准中关于信息安全的五个标准 5 】。这里不再详述。 1 _ 2 - 数据库的安全威胁分析 信息技术飞速发展的今天，国内的大多数核心产业都依靠其提高自身的生产力和价值。 当前，国内的所有信息系统，无论是民用、商用的信息系统，还是政府机关、军用的关键信 息系统，都严重依赖国外的信息系统产品。 数据库作为信息系统的核心也处于同样的境地国内使用最为广泛的是三大国外厂 商( o r a c l e ，i b m 和m i c m s o n ) 提供的产品。这些产品在国内的垄断地位严重威胁着国家在 信息战中的生存环境，一旦信息战爆发，这些数据库产品很有可能存在各类的后门、特洛伊 木马，主动或者触发式的泄漏关键信息，使我国处于非常不利的境地。 因此，研究开发自主知识产权的数据库管理系统刻不容缓。目前，在国产数据库中， d m 3 和o p e n b a s e s e c u r e 实现了较高安全级别的数据库。但是，目前国内所有的高安全级数 据库安全研究，都源于t c s e c t d i 标准，并没有提出我国特殊环境下的完整安全威胁模型。 传统的研究也基本上集中于如何阻止攻击发生和如何对发生的攻击进行审计，只有很少的研 究针对其他的对抗手段进行。下面我们将仔细分析信息战下的各种威胁，基于这些分析提出 安全数据库威胁模型，并考虑各种对抗措施，设计个理想的安全数据库的架构。 1 2 1 特殊环境下的安全特征 在信息化高速发展的今天，国内绝大多数关键部门的关键应用都已经实现了部分甚至完 全的信息化。同时，我国一直处于变幻莫测的国际形势的敏感地带，一旦爆发军事战争，关 键的信息系统将面临严峻考验。这种环境下的，传统的数据库安全措施就显得不够了【6 ： 信息战下，任何正常的访问措施都可能被攻破，即使拥有非常强大的身份鉴别和访 问控制措施，也不能对其完全信任； 内部的授权用户甚至管理员用户可能冈为贪婪或心情沮丧成为攻击者，攻击者也可 能获取合法用户的身份，获得对应的授权； 数据库周边的所有设施，包括操作系统、存储设备、网络设备等都有可能成为攻击 目标，从而间接地威胁数据库系统。 所有这些手段都可能导致数据泄露和破坏，而数据库的完整性约束和事务管理等等措施 又会导致这些数据污染进一步扩大。 浙江大学硕士研究生毕业论文 1 2 2 安全威胁因素 数据库安全威胁因素涉及访问数据的整个过程，包括外围因素、身份认证、访问控制、 数据处理、审计等五类。 1 2 2 1 外围环境威胁 外围环境威胁指攻击者对数据库管理系统外围环境，如操作系统、网络设备和其它硬件 设备的攻击，而间接地威胁d b m s 本身的威胁因素： 1 获取、篡改或者伪装数据、日志以及审计记录文件。通过对数据库服务器所在操作 系统的远程攻击或者对数据库服务器的存储设备的物理接触来获取、修改d b m s 存储的各类信息的攻击。这些信息可以包括存储信息的数据文件、存储数据恢复所 用信息的日志文件和存储审计信息的审计记录。 2 获取、篡改或者伪装网络传输信息。通过网络监听( s n i f f e r ) 、i p 欺骗等手段对网 络协议进行攻击，获取、篡改用户、应用、外部服务与d b m s 之间的通讯信息。 1 2 22 身份认证威胁 包括所有直接对用户标识和身份认证系统的威胁因素： 1 外部认证服务遭受攻击。使用外部认证服务( 如k e r b e r o s 、l d a p 目录服务等) 时， 认证服务可能遭受攻击，使得其产生错误的认证决定允许j f 法用户登录系统或 拒绝正确用户登录系统；存储在外部服务中的认证信息可能被窃取，使得攻击者可 以以合法用户的身份登录。 2 管理员滥用权力。管理员滥用权力新增、修改、删除用户认证信息，修改系统认证 策略。 3 获取用户认证信息。攻击者通过获取用户口令的手段，来获取用户用来身份认证的 信息，并必此用户的身份进入d b m s 中。 1 2 2 3 访问控制威胁 包括所有直接对用户授权和访问控制的威胁因素： 1 外部授权服务器遭受攻击。使用外部授权服务( 如l d a p 目录服务等) 时，授权 服务可能遭受攻击，使得其产生错误的授权决定同意未经授权用户的访问请求 或拒绝已授权用户的访问请求。 2 管理员滥用权力。管理员滥用权力修改访问控制策略，修改用户授权等。 3 用户错误操作、滥用权限。己鉴别用户无意或恶意地操作数据库，滥用权限，增加、 查看、修改、删除数据，破坏数据的保密性和完整性。 4 推理通道。恶意用户通过d b m s 的完整性约束等手段，以演绎推理、诱导推理、 类推推理、启发式推理、语义关联、存在推理、统计推理等手段获取一些他无权获 取的信息。 1 2 2 4 数据处理威胁 包括处理数据时的威胁因素： 1 多实例完照性控制。多级安全数据库中，为解决隐蔽信道问题通常需要提供多实例 ( p o l y - i n s t a m i a t i o n ) 功能，这样会破坏系统的完整性约束。 2 由于数据库内部的各类完整性约束，导致对于部分数据的破坏引起更多数据被“扬 4 塑垩奎兰堡主型壅兰生些堕奎一一 染”。 1 2 2 5 审计威胁 包括对系统审计模块的威胁因素： 1 管理员滥用权力。管理员滥用权力修改系统审计策略、删除审计记录、故意伪造恶 意审计记录等。 2 审计记录无法分析。审计记录粗略、简单，无法提供有效审计信息，或审计记录太 过详细、复杂。使得其无法为审计分析提供有效的参考。 3 审计记录不全面。如无法提供隐蔽信道的审计。 整个威胁模型如图1 1 所示。 l外部认自服务 数据库管熙系绩p 下3 ( 3 i2 ( 1 ) 矧甜份认涟2 ( 3 ) _ - 念 i l 外部鬟嚣服务 内 i 访6 u 控制3 ( 3 ) 、： ( 4 ) s ：，i 圈； 5 ：l 。旱一 婀 络 数据处柙4 ( i ) ，4 ( 2 )h 3 ( 2 j k ic 2 ) 5 ( 1 成用撇 系盛释氟员 数据、 翻基q ，；津卉息 务器 p 数搬存储胀务 m ) 下- ( 操作茉统文件系统办豫设器) 入 l ( 1 ) 图1 1 数据库安全威胁模型 1 3 安全威胁对抗策略 针对上述各种威胁因素，都应采取相应的对抗策略： 阻止威胁。通过人为或者技术手段控制和阻止攻击发生的对抗方式。传统的数据库 安全研究基本上都是针对此类措施进行的。 隐藏和欺骗。通过技术手段隐藏数据或引入模糊数据误导攻击者的对抗方式。此类 措施应用于当数据库正常的身份鉴别措施和访问控制措施都已经失效以后，对攻击 者进行误导，使得他只能获取无用或者错误的信息，以达到对抗攻击的目的。 入侵检测。利用审计、伪造、模式检查等手段进行入侵检测。此类措施同样应用于 攻击者已得到部分数据库访问权限并开始展开对数据库的攻击时。通过模式匹配， 模糊数据，审计等方式，使攻击在发生之时立刻被检测发现或在发生之后通过定期 检测被检测发现。 范围控制和恢复。指通过各类手段控制攻击造成的影响和损失的范围，并及时的将 - 5 塑垩奎兰堡主型壅兰生些堕奎一一 染”。 1 2 2 5 审计威胁 包括对系统审计模块的威胁因素： 1 管理员滥用权力。管理员滥用权力修改系统审计策略、删除审计记录、故意伪造恶 意审计记录等。 2 审计记录无法分析。审计记录粗略、简单，无法提供有效审计信息，或审计记录太 过详细、复杂。使得其无法为审计分析提供有效的参考。 3 审计记录不全面。如无法提供隐蔽信道的审计。 整个威胁模型如图1 1 所示。 l外部认自服务 数据库管熙系绩p 下3 ( 3 i2 ( 1 ) 矧甜份认涟2 ( 3 ) _ - 念 i l 外部鬟嚣服务 内 i 访6 u 控制3 ( 3 ) 、： ( 4 ) s ：，i 圈； 5 ：l 。旱一 婀 络 数据处柙4 ( i ) ，4 ( 2 )h 3 ( 2 j k ic 2 ) 5 ( 1 成用撇 系盛释氟员 数据、 翻基q ，；津卉息 务器 p 数搬存储胀务 m ) 下- ( 操作茉统文件系统办豫设器) 入 l ( 1 ) 图1 1 数据库安全威胁模型 1 3 安全威胁对抗策略 针对上述各种威胁因素，都应采取相应的对抗策略： 阻止威胁。通过人为或者技术手段控制和阻止攻击发生的对抗方式。传统的数据库 安全研究基本上都是针对此类措施进行的。 隐藏和欺骗。通过技术手段隐藏数据或引入模糊数据误导攻击者的对抗方式。此类 措施应用于当数据库正常的身份鉴别措施和访问控制措施都已经失效以后，对攻击 者进行误导，使得他只能获取无用或者错误的信息，以达到对抗攻击的目的。 入侵检测。利用审计、伪造、模式检查等手段进行入侵检测。此类措施同样应用于 攻击者已得到部分数据库访问权限并开始展开对数据库的攻击时。通过模式匹配， 模糊数据，审计等方式，使攻击在发生之时立刻被检测发现或在发生之后通过定期 检测被检测发现。 范围控制和恢复。指通过各类手段控制攻击造成的影响和损失的范围，并及时的将 - 5 塑垩奎兰堡主型壅兰生些堕奎一一 染”。 1 2 2 5 审计威胁 包括对系统审计模块的威胁因素： 1 管理员滥用权力。管理员滥用权力修改系统审计策略、删除审计记录、故意伪造恶 意审计记录等。 2 审计记录无法分析。审计记录粗略、简单，无法提供有效审计信息，或审计记录太 过详细、复杂。使得其无法为审计分析提供有效的参考。 3 审计记录不全面。如无法提供隐蔽信道的审计。 整个威胁模型如图1 1 所示。 l外部认自服务 数据库管熙系绩p 下3 ( 3 i2 ( 1 ) 矧甜份认涟2 ( 3 ) _ - 念 i l 外部鬟嚣服务 内 i 访6 u 控制3 ( 3 ) 、： ( 4 ) s ：，i 圈； 5 ：l 。旱一 婀 络 数据处柙4 ( i ) ，4 ( 2 )h 3 ( 2 j k ic 2 ) 5 ( 1 成用撇 系盛释氟员 数据、 翻基q ，；津卉息 务器 p 数搬存储胀务 m ) 下- ( 操作茉统文件系统办豫设器) 入 l ( 1 ) 图1 1 数据库安全威胁模型 1 3 安全威胁对抗策略 针对上述各种威胁因素，都应采取相应的对抗策略： 阻止威胁。通过人为或者技术手段控制和阻止攻击发生的对抗方式。传统的数据库 安全研究基本上都是针对此类措施进行的。 隐藏和欺骗。通过技术手段隐藏数据或引入模糊数据误导攻击者的对抗方式。此类 措施应用于当数据库正常的身份鉴别措施和访问控制措施都已经失效以后，对攻击 者进行误导，使得他只能获取无用或者错误的信息，以达到对抗攻击的目的。 入侵检测。利用审计、伪造、模式检查等手段进行入侵检测。此类措施同样应用于 攻击者已得到部分数据库访问权限并开始展开对数据库的攻击时。通过模式匹配， 模糊数据，审计等方式，使攻击在发生之时立刻被检测发现或在发生之后通过定期 检测被检测发现。 范围控制和恢复。指通过各类手段控制攻击造成的影响和损失的范围，并及时的将 - 5 浙江大学硕士研究生毕业论文 数据库恢复到正确的状态。此类措施应用于攻击已经完成之后使得攻击造成的损 失晟小化并使得整个数据库系统能在最短时间内恢复到正常状态，继续为决策进行 服务。 1 3 1 对抗措施 对每种威胁因素，都需要采用对应的对抗措施，包括人为干预、权力分立、安全的身份 认证、安全的访问控制、数据处理控制、审计和入侵检测等。某些的威胁因素可能需要多种 对抗措施单独或共同作用才能消除。 1 3 1 1 人为干预措旖 通常人为干预是实现信息安全的最有效的措施，可以建立物理安全的操作环境以及对操 作人员的进行安全审查来保证信息安全： 1 对数据库连接的核心服务实行物理隔离，数据库服务器不允许直接物理接触。针对 威胁1 ( 1 ) 、2 ( 1 ) 、3 ( 1 ) 。 2 及时更新操作系统补丁，防止操作系统控制权被非法获得。针对威胁1 ( 1 ) 。 3 严格审核用户，加强对管理员和一般用户的安全意识培训。针对威胁3 ( 3 ) 。 1 3 1 2 权力分立 采用最小权限准则将系统管理员、系统安全管理员与系统审计管理员的职责分离，并分 派专人行使权力，使其不能互相干预。针对威胁2 ( 2 ) 、3 ( 2 ) 、5 ( 1 ) 。 1 3 1 3 安全的身份认证 提供多种高级身份认证方式，包括生物认证( 指纹、虹膜等) ，智能卡认证，以及内嵌 的c a 服务认证。对失败的认证行为予以审计、报警和跟踪。针对威胁2 ( 3 ) 。 1 3 1 4 - 安全的访问控制 使用多实例部分解决完整性相关的推理通道。对其他可能产生推理通道的请求进行详细 的分析和审计。针对威胁3 ( 3 ) 。 1 3 1 5 数据处理控制 1 采用加密算法对网络传输数据和系统存储数据进行加密。针对威胁1 ( 1 ) 、1 ( 2 ) 。 2 采取加密水印保证网络传输数据和系统存储数据的完整性。针对威胁1 ( 1 ) 、1 ( 2 ) 。 3 定期以人为干预方式清理多实例问题造成的破坏完整性约束问题。针对威胁4 ( 1 ) 。 4 提供一般的回滚数据恢复以及基于预测攻击模式的补偿恢复。针对威胁3 ( 3 ) 。 5 提供模糊和虚假的数据误导攻击者，使其错误的进行攻击决策。针对威胁3 ( 3 ) 。 6 提供静态逻辑分区将整个数据划分为几个分区，并将某一应用的可访问范围限定在 对应的逻辑分区内，使得攻击可影响的范围缩小。针对威胁4 ( 2 ) 。 1 3 1 6 审计和入侵检测 1 系统自动地引入伪造数据，一般应用不可能访问和修改这些数据，定期检测或触发 检测这些数据的完整性。针对威胁3 ( 3 ) 。 2 根据数据库内部的依赖关系、完雅性约束以及外部应用定义的完整性约束模式定期 的检测数据库内的信息。针对威胁3 ( 3 ) 。 - 6 - 浙江大学硕士研究生毕业论文 数据库恢复到正确的状态。此类措施应用于攻击已经完成之后使得攻击造成的损 失晟小化并使得整个数据库系统能在最短时间内恢复到正常状态，继续为决策进行 服务。 1 3 1 对抗措施 对每种威胁因素，都需要采用对应的对抗措施，包括人为干预、权力分立、安全的身份 认证、安全的访问控制、数据处理控制、审计和入侵检测等。某些的威胁因素可能需要多种 对抗措施单独或共同作用才能消除。 1 3 1 1 人为干预措旖 通常人为干预是实现信息安全的最有效的措施，可以建立物理安全的操作环境以及对操 作人员的进行安全审查来保证信息安全： 1 对数据库连接的核心服务实行物理隔离，数据库服务器不允许直接物理接触。针对 威胁1 ( 1 ) 、2 ( 1 ) 、3 ( 1 ) 。 2 及时更新操作系统补丁，防止操作系统控制权被非法获得。针对威胁1 ( 1 ) 。 3 严格审核用户，加强对