（计算机软件与理论专业论文）多级安全数据库的数据模型及安全评估研究.pdf

中闽科学技术大学碗_ - f ：论文多级安全数据库的数据模型及安全评估研究 摘要 随着计算机技术的不断发展尤其是数据库技术和网络技术的逐渐成熟，数 据库管理系统( d b m s ，d a t a b a s em a n a g e m e n ts y s t e m ) 的应用已触及到社会 的各个角落，数据库系统中的信息量也越来越庞大、复杂，数据库的基本特点是 数据的集中存放和共享。作为管理信息系统的基础软件，数据库系统的安全在信 息系统安全中占有十分重要的地位，是信息安全的中心课题之一。为保护数据库 系统中的数据的保密性、完整性和可用性，应采取必要的保护措施，防止无关人 员和非授权人员对数据库中数据的窃取、篡改和破坏。 多级安全环境下的数据模型、安全策略、访问控制粒度、安全等级评估是研 究商安全性d b m s 的重要内容。我们在总结这凡个方面已有研究成果的基础上， 提出了一些新的观点和方法。主要的工作及特色为： 1 。在对现有的几种典型数据库系统多级安全模型分析和比较的基础上，提出了 一个耨的多级安全数据模型c m l r 。该数据模型继承了多个现有数据模型的 优点，并重定义了完整性规则和操作语义。通过采用基表和衍生表、系统定 义标识、显式和隐式置信等手段，消除了主键漏洞：还明确了复杂安全格的 置信规则，将数据重复率由元组级降至元素级，提高了数据紧凑度。c m l r 模型有效地提供了元素级的强制访问控制。 2 从安全性、完备性和坚固性这三个方面对c m l r 数据模型进行了安全证明。 3 针对c m l r 模型，对多级关系索引、访问控制粒度、数据紧凑度、消除主键 漏洞等问题进行了深入探讨，做了一些初步试验。 4 研究了信息系统安全评估的定量度量问题。提出了d b m s 安全度量评估模型 d b s m e ，并基于d b s m e 设计了d b m s 安全等级辅助评测工具d b c a e ，给出 了初步的设计方案。 关键词：多级安全数据库数据模型安全度量安全评估 中罔科学技术大学碗士论文多级安余数据库的数据模型及安全评估研究 a b s t 触c t w l t ht h ec o n t i n o u sd e v e l o p m e n to fc o m p u t e rt e c h n o l o g y , e s p e c i a l l yf o r d a t a b a s ea n dn e t w o r k t e c h n o l o g i e sg r a d u l l ym a t u r e 。t h ea p p l i c a t i o n o f d a t a b a s e m a n a g e m e n ts y s t e m ( d a m s ) h a sp e r m e a t e de v e y w h e r ei n o u r s o c i e t y c e n t r a l i z e ds t r o a g ea n ds h a r ea r eb a s i cc h a r a c t e r i s t i c so fd b m s a sa f u n d a m e n t a ls o f t w a r ef o r m a n a g e m e n ti n f o r m a t i o ns y s t e m t h es e c u r i t yo f d a t a b a s es y s t e mp l a y sak e yr o l ea n dh a sb e c o m eo n eo ft h ef o c u s e si n i n f o r m a t i o n s y s t e ms e c u r i t y f o rg u a r t e e i n gc o n f i d e n t i a l i t y , i n t e g r i t y a n d a v a i l a b i l i t yo fd a t ai nd a t a b a s es y s t e m ，i tm u s tb et a k e ns o m en e c e s s a r y p r o t e c t i v e m e a s u r e st h a t p r e v e n t ；r r e s p e c t i v e o ru n a u t h o r i z e d p e r s o n n e t s f i l c h i n g ，m o d i f y i n go rd e s t r u c t i n gd a t a d a t am o d e l ，s e c u r i t ys t r a t e g y , c o n t r o i a c c e s s i n gg r a n u l a r i t y a n ds e c u r i t yi e v e ie v a l u a t i o nu n d e rc i r c u m t a n c eo f m u l t i l e v e is e c u r i t ya r em a i nc o n t e n t sf o rs t u d y i n gh i g hs e c u r i t yo fd b m s o n b a s i so fs u m m a r i z i n gt h er e p o r t e dj n v e s t i g a t i v er e s u l t s ，w ep u tf o r w a r ds o m e n e w v i e w p o i n t sa n dm e t h o d s t h em a j o rw o r k i sa sf o l l o w s ： 1 1 1 1 r o u g ha n a l y z i n ga n dc o m p a r i n gs e v e r a ib p i c a im u l t i l e v e is e c u r i t ym o d e l s i nd a t a b a s es y s t e m ，an e wm u l t l l e v e is e c u r i t ym o d e l ( c m l r ) w a sb r o u g h t f o r w a r d 。w h i c hi n h e r i t e dm e r i t so ft h ee x i s t i n gm o d e l sa n dr e - d e f i n d e dt h e i n t e g r i t yr u l e sa n d0 p e r a 惦o ns e m a n t i c s b yu s i n gb a s e f a b l ea n dd e r i v e d t a b l e ，e n t i t yi d e n t i f i e r , e ) ( p l i c i t - b e l i e fa n di m p l i c i t - b e l i e fr u l e s ，t h ek e y l o o p h o l eh a sb e e ne l i m i n a t e d f u r t h e r m o r e 。i ts p e c i f i e s b e l i e f - r u l e so f c o m p l e xi a t t i c e d e c r e a s i n gd a t ar e p e a t i n gr a t i of m mt u p l el e v e lt oe l e m e n t i e v e l 。e n h a n c i n gd a t ac o m p a c td e g r e e ，a n dp r o v i d i n ge f t i c i e n t l ym a n d a t o r y a c c e s sc o n t r o lo fe l e m e n tl e v e l 2 t h es e c u r i t yp r o v ew a sc a r r i e do u tf o rc m l rd a t am o d e if r o mt h r e ea s p e c t s o fs e c u r i t y , c o m p l e t e n e s sa n ds o u n d n e s s 3 w eh a d i n v e s t i g a t e d t h e j m p l e m e n t e c lp r o b l e m s o fm u l t i - r e l a t i o n a l i n d e x ，a c c e s sc o n t r o lg r a n u l a r i t y , d a t ac o m p a c tr a t i oa n de l i m i n a t i n gk e y l o o p h o l e 4 a f t e rs t u d y i n gt h eq u a n t i t a t i v em e t r i c sm e a s u r ef o ri n f o n n a t i o ns y s t e m s e c u r i t ye v a l u a t i o n ，w ep u tf o n n o r dad a t a b a s es e c u r i t ym e t r i c se v a l u a t i o n m o d e l - - d b s m e f u r t h e r m o r e ，ad a t a b a s ec o m p u t e r a i d e de v a l u a t i o nf a c i l i t y o fd b m s ，ss e c u r i t y - 一d b c a ew a sd e s i g n e db a s e do nd b s m e k e y w o r d ：m u l t i l e v e ls e c u r i t yd a t a b a s e ，d a t am o d e l ，s e c u r i t ym e t r i c s ， s e c u r i t ye v a l u a t i o n 1 1 1 中田科学技术人学硕士论文多级安伞数据库的数据模型及蜜今评估研究 致谢 光阴荏苒，伴随着毕业论文的完成、学位答辩日期的日益临近，三年的研究 生生活也已经接近了尾声。在这个收获的季节里，回忆起在中国科学技术大学度 过的这一段难忘的岁月，有太多感谢的话要说 首先，我要衷心感谢我的导师岳丽华教授。岳老师严谨的治学态度、渊博的 学识、忘我的工作热情和不倦的教诲都深深的影响了我。无论是在我课题方向的 选择、研究工作的丌展，还是论文的撰写和审阅上，岳老师都花费了火量的心血， 给予我及时的指引，不仅使我能够在研究工作上始终行驶在快车道上，而且今后 的工作和生活也必将受益于这一切。谢谢您，恩师! 其次，要感谢部队和单位给了我们重新踏入校园充电的机会，感谢学校、信 息学院和计算机系为我们这些来自军旅的特殊学子创造了最优越的学习生活环 境，使我们能够始终紧跟着大部队的步伐。 感谢空间实验室一起工作学习的老师和同学们。感谢金培权老师对于我学业 上的诚挚帮助；感谢六系的徐守时教授，您的严谨治学、精湛学问和刚直性格令 人钦佩：感谢同门的刘彬、陈安、韦鹏、周银华、柳刘、魏京品、任明雷、王强、 翟小栋等同学，与你们的合作增长了我的学识且充满了快乐：感谢实验室中所有 曾经一起交流过的老师和同学，你们构成了我这三年学习生涯的不可分割的一部 分。 感谢龚育昌教授、周学海教授、李曦教授、李胜柏老师，给予我许多无私的 关怀。 感谢王峰、陈艾同学，你们给予我太多的帮助。 感谢强军班的所有成员，真挚的相互关爱、浓浓的友情使我始终就象生活在 一个和谐的大家庭。 感埘所有爱我的和我爱着的人。所有的一切都已经铸入我一尘的记忆之中 中困科学技术夫学硕士论文 多骚安全数据库的数据模型及安全评估研究 第一章绪论 1 1 引言 随着计算机技术的不断发展，尤其是数据库技术和网络技术的逐渐成熟。计 算机在人类社会中得到了广泛的应用，并对政治、经济和社会生活产生了深刻的 影响，电子政务、电子商务、网络金融和网络媒体的兴起造成各个行业对计算机 技术的事实上的依赖。但是，近年来，出于计算机犯罪、黑客攻击等事件频频发 生，国际经济和社会发展竞争也日趋激烈，信息安全受到前所未有的挑战，越来 越多的企业、金融以及党政部门、国防军事部门等对信息系统的安全性提出了越 来越高的要求。 数据库系统的突出特点是数据的集中存放和共享。为保护数据库系统中的数 据的机密性( c o n f i d e n t i a l i t y ) 、完整性( i n t e g r i t y ) 和可用性( a v a i l a b i l i t y ) ，应采 取必要的保护措施，防止无关人员和非授权人员对数据库中数据的窃取、篡改和 破坏。 对于一般的应用，利用现有的操作系统和数据库系统所提供的安全机制就可 以满足要求。然而，涉及政治、军事和重大国民经济这些包含特殊敏感信息的应 用中，现有的操作系统和数据库系统所提供的安全力度是不够的。首先，无论是 u n i x 系列还是广泛流行的w i n d ( ) w s 系统，或是n e t w a r e 、l i n u x ，这些操作 系统都存在严重的安全漏洞，而d b m s 中对数据库的存取控制是构筑在操作系统 的安全机制的基础之上的，非法入侵者通常可以绕过d b m s ( d a t a b a s e m a n a g e m e n ts y s t e m ) 而直接对数据库文件进行存取访问；其二，我国目前在 实用化的操作系统和d b m s 产品上还处于起步阶段，党政和金融等重要领域的管 理信息系统在底层平台上仍然使用国外c 2 级的数据库系统产品，这些产品基本 上不提供源代码，我们不能排除在这些产品中存在安全缺陷甚至木马或后门程序 的可能，这会给信息安全留下巨大的隐患；其三，由于密码产品进出口的限制， 磋方国家出口到中国的操作系统和d b m s 产品中的密码强度都不能满足实际要 求，例如，限制具有强制访问控制功能的b 级商用系统对我国输出，最高只允许 c 2 级的d b m s 出口安全产品的密钥长度较低，如0 r a c l e 的s e c u r en e t w o r k s e r v e r 只提供4 0 b i t s 的d e s 和r c 4 ，其安全性是经受不住分析的。 因此。数据库安全技术的研究已经成为信息安全的重要研究课题壮，对于 我国的信息安全领域具有重要的战略价值和实际意义。 对数据库系统的安全威胁主要来自以下方面：未经授权的非法访问、窃取、 修改数据库信息，合法用户对权限的滥用行为，破坏数据真实性、完整性、可用 性，来自网络的入侵等。对抗这些威胁，仅采用操作系统和网络的保护措施是不 够的。因为数据库系统的结构有其独特之处，它存有重要程度和敏感级别不同的 各种数据，并为拥有各种特权的用户共享，同时又不能超过给定的范围。而且数 据库数据的安全保护涉及的范围很广，除了包括对计算机、外部设备、联机网络 和通信设备进行物理保护外，还要采取访问控制和加密技术防止非法访问和对 机密数据的窃取。在对非法访问的记录和跟踪的过程中，同时要保证数据的完整 性和一致性。数据库系统的安全问题是信息系统的安全问题的一个子问题，要通 中周科学技术人学硕十论文多级虫今数据库的数据模型及安全评估研究 过d b m s 的安全控制机制来实现。数据库的安全控制措施主要有信息流向控制 ( i n f o r m a t i o nf l o wc o n t r 0 1 ) 、推导控甫l j ( i n f e r e n c ec o n t r 0 1 ) 年 i 访问控铝j j ( a c c e s s c o n t r 0 1 ) ，其中应用最广且最为有效的是访问控制措施。相关的研究主要包括： 安全策略( s e c u r i t yp o l l c y ) 、多级关系数据模型、多实例( p o l y i n s t a n t i a t i o n ) 问 越的处理、完整性问题、安全性证明、主客体标记粒度、推理问题、隐通道分析 与处理、入侵检测、系统安全等级评估等。 目前多级安全( m l s ，m u i t i l e v e ls e c u r e ) d b m s 的研究基本上都基于关系数 据库，这主要是由于关系数据库无论从理论上还是技术上都已经成熟，并且得到 广泛的应用；其次，由于数据库安全技术的研究往往滞后于数据库技术的研究， 扩充关系型d b m s 的安全性是一条可行的途径。 本章对信息系统的安全标准及评估、数据库安全技术的国内外现状进行了综 述。最后概述了本论文的主要工作。 1 2 安全标准及安全评估现状 信息安全评估标准是信息安全技术的基础，也是信息安全评估的依据。 1 2 1 信息安全评估标准简介 伴随着计算机安全技术飞速发展的需要，从2 0 世纪8 0 年代开始，世界各国 或组织相继制定了多个信息技术安全评价标准。如下图1 - 1 。 图i - i 信息安全评估标准发展沿革示意圈 中罔科学技术大学硕l ：论文多缓安辛数据库的数据模型及安全评辅研究 世界各国对信息安全标准的研究可以追溯到二十世纪6 0 年代后期。1 9 6 7 年 美国国防部( d o d ，d e p a r t m e n to fd e f e n s e ) 发枢了“d e f e n s es c i e n c eb o a r d r e r t ”，对当时计算机环境的安全策略进行了分析：七十年代后期，d o d 就开 始针对当时流行的操作系统进行信息安全策略模型和信息安全评估技术的研究 到了八十年代，d o d 先后制订了”彩虹”( r a i n b o w ) 系列标准，其中最具影响力 的是1 9 8 3 年发布的可信计算机系统评估准则( t c s e c ，t r u s t e dc o m p u t e r s y s t e me v a l u a t i o nc r i t e r i a ) p j ，即“橘皮书”( o r a n g eb o o k ) ，1 9 8 5 年又发布 了其修订版本( d o d5 2 0 0 2 8 - s t d ) 【 t j 。t c s e c 是在二十世纪七十年代的基础 理论研究成果b e l l & l a p a d u l a 模型”j 基础上提出的，其初衷是针对操作系统的安 全性进行评估。9 1 年，d o d 又专门针对数据库系统发布了可信计算机系统评 估标准在数据库管理系统的解释( t c s e c t d i ，t r u s t e dd a t a b a s e i n t e r p r e t a r i o n t r u s t e dd a t a b a s em a n a g e m e n ts y s t e mi n t e r p r e t a t i o n ) 9 j 。 t c s e c 是第一个获得广泛认可的安全评估标准，安全系统的厂商仍然喜欢引用 它设定的安全等级来评估自己的产品。t c s e c 将信息安全等级分为四大类共八 级，由低到高依次为d 、c l 、c 2 、b l 、b 2 、b 3 、a 1 、超a 1 级，其中高级别都 包含低一级的所有功能。如表1 - 1 所示。 等级分类保护等级 d 类；塌低保护等级d 级：无保护级 c 类；白土保护等级c 1 级：臼土蜜全保护级 q 缀：羟稍存取保护缀 b 类：强制保护等级b l 级：标记安今保护级 b 2 级：结构化保护级 b 3 级：安争域保护级 a 类；验证供护等级a 1 级：验证设计级 超a 1 级 表卜1t o s e c 安全等级划分 在随后的十多年，甄方发达国家先后颁靠了可信计算机产品评估准则 ( c t c p e c 。t h ec a n a d i a nt r u s t e dc o m p u t e rp r o d u c te v a l u a t i o nc r i t e r i a ， 加拿大) ”1 、信息技术安全评估准则( i t s e c ，i n f o r m a t i o nt e c h n o l o g ys e c u r i t y e v a l u a t i o nc r i t e r i av e r s i o n ，欧洲) ”1 、信息技术安全联邦准则( f c ， f e d e r a lc r i t e r i a ，美国) “1 等信息安全评估准则，积极开展信息技术产品的安 全性评估工作。 虽然c t c p e c 、i t s e c 等和t c s e c 有所差别，但都是在吸收t c s e c 的经验和教 训的基础上形成的，基本上都采用t c s e c 的安全框架和模式，将信息系统的安全 性分成不同的等级。并规定了不同等级应满足的安全要求。 1 9 9 3 年6 月，美国n s a ( n a t i o n a ls e c u r i t ya g e n c y ) 、n t s t ( n a t i o n a l i n s t i t u t eo fs t a n d a r d sa n dt e c h n o l o g y ) 的代表同加拿大及欧共体等国家的 代表共同起草了一个新的用于规范和评估信息安全技术的国际准则，即信息技 术安全评估通用准则( c o m m o nc r i t e r i af o ri n f o r m a t i o nt e c h n o l o g ys e c u r i t y e v a l u a t i o n 。简称c c 标准) ，该标准已于1 9 9 9 年1 2 月i s 0 采纳为国际标准 ( i s o 1 e c l 5 4 0 8 ：1 9 9 9 ) 怫1 8 , 1 1 j 。制订c c 标准的目的是建立一个各国都能够接 受的通用的信息安全产品和系统的安全性评估准则，国家与国家之间可以通过签 中困科学技术夫学硬：l ：论文 多缀安夸数据库的数据模型及j 立令评估研究 订互认协议，决定相互接受的认可级别，这样能使大部分的基础性安全机制在任 何一个地方通过了c c 准则评估并得到许可进入国际市场时，就不需要再作评价。 c c 标准包括三个部分：第一部分是“简介和一般模型”，介绍了基本概念和 格式，描述了c c 的结构和适用范围。描述了安全功能、保证需求的定义，并给出 了保护轮廓p p ( p r o t e c t i o np r o f i l e ) 和安全目标s t ( s e c u r i t yt a r g e t ) 的结 构，保护轮廓针对某一类安全目标定义安全需求，不针对具体的某一安全产品： 安全目标针对某一特定的安全产品定义需求，可以引用某个保护轮廓来定义，也 可以采用与定义保护轮廓相同的方法重新定义。第二部分是“安全功能需求”， 为用户和开发者提供了一系列安全功能组件作为表示评估对象t o e ( t a r g e to f e v a l u a t i o n ) 功能要求的标准方法。第三部分是“安全保证需求”，该部分为开 发者提供了一系列安全保证组件作为表示t o e 保证要求的标准方法，同时还提出 了七个评估保证级别e a l ( e v a l u a t i o na s s u r a n c el e v e l s ) 以确定产品的安全可信 度级别。c c 中的功能要求和保证要求都采用了类( c l a s s ) 一族( f a m i l y ) - 组件 ( t o m i p o n e n t ) 的定义结构。如图i - 2 所示。 图i 一2o o 中功能保证要求结构 同t c s e c 和r t s e c 相比，c c 的结构更接近于r r s e c ，他支持易于表示安全需 求的保护轮廓和安全目标。c c 与t c s e c 的不同在于其标准化的方法。在t ( 笃e c 中定义了一些特定的安全功能和安全测试，通过这些测试来证实某个等级如c 2 中预定义的安全功能被正确地实施。丽c c 更象一个词典或语言，它提供了一个 标准的、复杂的安全功能列表，以及可以用来验证其实施正确性的分析技术，c c 还提供了一个执行测试的通用评估方法。分析的力度越大，产品实现其所声明的 功能的保证程度越高。另外，t c s e c 将功能特征和保证组合起来，一定级别的保 证与一定的功能特性集合捆绑在一起。而c c 采用了独立的原则，它包含了许多 不同的功能特性集合和不同的保证级别，而且原则上两者之间可以根据其产品的 用途来选择安全特性和保证级别，定义其威胁环境，并进行相应的评估。 我国在信息系统安全的研究与应用方面与其他先进国家相比有一定的差距， 但近年来，国内的研究人员已经在安全操作系统、安全数据库、安全网关等方面 做了许多工作。1 9 9 9 年发布的强制性国家标准计算机信息安全保护等级划分 准则( g b l 7 8 5 9 1 9 9 9 ) h z j 为安全产品的研制提供了技术支持。也为安全系统 的建设和管理提供了技术指导。g b l 7 8 5 9 - 1 9 9 9 规定了计算机系统安全保护能力 的5 个等级，即：用户自主保护级、系统审计保护级、安全标记保护级、结构化 保护级、访问验证保护级。该标准适用于计算机信息系统安全保护技术能力等级 的划分。计算机信息系统安全保护能力随着安全等级的增高而逐渐增强。2 0 0 1 年3 月，国家质量技术监督局发布了推荐性标准信息技术、安全技术、信息技 中田科学技术人学碗i ：论文 多级蜜伞数掘库的数据模型敏安余评估研究 术安全性评估准则( g b 厂r 1 8 3 3 6 - 2 0 0 1 ) ，该标准等同于国际标准i s o i e s l 5 4 0 8 。 2 0 0 2 年7 月公安部发布了五个新的有关信息系统安全等级管理的标准，其中包括 计算机信息系统安全等级保护数据库管理系统技术要求( g a ，t 3 8 9 - 2 0 0 2 ) 1 3 o 其中明确给出了按g b l 7 8 5 9 - 1 9 9 9 中所描述的每个安全等级对十个安全要素 及安全推理的不同要求。如下表1 - 2 所示。目前，信息系统安全等级保护的新的 国家标准e 在制订中。 窭垒等圾 用户自主曩缱审计安全标记螭构化访问验证 安全淤 保护域像护竣保护蜒像护级保护级 自主访向控制 强制协甸控制 标记 身份鉴别 客体重用 审计 教据完整性 蕾蕞值道分析 可信路径 可信恢复 推理控制 注l l + 一表示有囊采：+ + 表示有迸一步要求l 表卜2 明1 7 8 5 9 1 9 9 9 中每个安全等级的安全功能萋求 下面用图表的形式对各种安全标准进行比较： 标准名称公布时闯制定田家主要内窖 t c s e c 1 9 8 5美国国防邮 依据安全政策、可控性、僳证臆力、文档四个准则 ( 可倍计算机详估准则)划分为a ，b ，c ，d 心个等级，级下，f 分小类，即 a ，8 3 8 2 ，8 1 ，c 2 ，c 1 ，d i t s e c1 9 9 1 欧盟 将安全概念划分为功能和功能讦估两部分，功能准 ( 信息技术安全评估准则)则分f 1 f 1 0 共1 0 级，评估准则分6 级 c t c p k1 9 8 9加拿大 将安全分为功能性需求和保证性需求两部分，功能 ( 加拿人计算机产品评价准则)需求包括机密性、完整性、可用性、可控性四大类 f c1 9 9 2 1 2荧固引入保护轮廓概念。每个轮廓包括功能部分、开发 ( 黄周联邦准则)保证部分、测评部分 g b l 7 8 5 9 - 1 9 9 91 9 9 9中国 将情息蜜全分为5 个保护等级，虫仝保护脆力随 ( 计算机信息系统堂全保护等着安全保护等级的增高j f | i 增强 级划分准则) i s o l 5 4 0 81 9 9 9 1 2 i s o 突出保护轮廓，将评估过程分为功日b 和保证两部 ( c c 通用标准) +分，评估分为7 个等级，每级都评估7 个功能类 表卜3 信患安全评估标准的比较 中田科学技术大学硬一i ：论文多级安令教搦库的数据模型及蜜今评 卉研究 t c s e cn 葛e ca r c p e cc c g b l 7 8 5 9 - 1 9 9 9 荧田欧洲加拿大再际通用中田 d ；最小保护e 0t o t 1e a l l - 功能测试 c 1 ：白主安晕保护e 1t 2e a l 2 - 结构渊试1 ：用户自主保护级 c 2 ：控制存取保护e 21 3f _ a l 3 - 方法测试2 ：系统审计保护级 b i ：标记安全保护f 3t 4e a l 4 - 方法设计、测试和评审3 ：安全标记保护级 b 2 ：结构化保护e 4t 5e a l s - 半正式设计和测试4 ：结构化保护级 8 3 ：安全域保护f 6t 6e a l 6 一半讵式验证的设计和测试s ：访闷验证保护级 a i ：验证设计e 7t 7e a l 7 - 正式验证的设计和测试 表卜4 各安全评估标准的安全等缀的相互关系和比较“4 从上表可以看出：国标g b l 7 8 5 9 - 1 9 9 9 中的安全等级第三级大致相当于t c s e c 的b i 级，c c 标准的e a l 4 。 1 2 2 信息安全评估 随着世界信息化程度的曰益提高，面对与日俱增的信息威胁，降低信息系统 的运行风险，成为当务之急。对计算机信息系统或安全产品的安全等级进行划分， 并依托第三方权威机构对信息系统迸行评估，使用户在选用某个信息系统前就了 解将面对的运行风险是当今世界上流行的做法。 然而，目前对信息系统的安全等级的评估，一般仍采用依据某个安全等级评 估标准通过大量的人工干预得到定性的评估结果，不仅评估成本高、周期长，而 且评估过程中主观的因素过多，甚至造成评估结果因人丽异的情况出现。 而且，尽管信息安全评估标准定义了衡量安全性的尺度，但任何在评估标准 的指导下对安全产品或信息系统实施评估仍然是一个复杂的问题。 当前的安全评估领域存在的问题概括起来有： 评估过程中人为干预过多 无论采用何种标准对信息系统或产品进行评估，目前的方法都不可避免 的有太多的人工干预的痕迹，可能易造成针对同一评估对象，不同的人或组 织得到的评估结果不同的情况出现。 评估标准的可操作性不强 目前的评估标准，无论是t c s e c 、丌s e c ，还是c c 标准，只界定了安全 等级及对应的评估内容和项目，对评估的过程只具备指导性，而可操作性不 强。换句话说，即对评测人员的要求过高，评估结果的完备性和权威性取决 于评测人员或组织的经验和能力。 评估的成本过高 依托第三方权威评测机构对产品或系统进行评估的成本是很高的。例如 o r a c l e 公 3 3 】，它为它每个服务器版本的安全评估付出的代价是1 0 0 0 0 0 0 美金，这不是一般的小公司所能够承受的。因为这极大地提高了产品的研发 成本。 评估的周期较长 目前权威评测机构的评测时间一般较长。仍然以o r a c l e 公司为例，对 中罔科学技术人学硕士论文 多级蜜辛数据库的数据模型及安全评估研究 每一个服务器产品，评估约需要一年的时间，它是面向网络产品的两个产品 的发行周期。这意味着，当评估完成后，该产品也已经过时了，至少是在版 本上是如此。 技术滞后 许多新的、面向网络的产品采用了一些未被评估实体或实验室很好理解 的新技术，这不仅会增加评估的周期，而且还可能会影q 目评估的结果。 监督评估较弱 监督评估是指对通过权威机构评估的产品，从获证之同起，应评估机构 的要求所进行的评估维持，因此监督评估是评估机构根据认证监督计划的安 排，执行的相应的产品维持任务。在t c s e c 和c c 标准中，明确提出了监督 评估的重要性。 通过监督评估，评估机构可以确定出自产品通过认证后，任何软硬件的 版本变化对产品的安全性产生的影响，明确变化后的产品是否能够维持其原 有的安全性，从而为认证维持提供证据。 丽当前安全评估多为离线方式，因此监督评估的执行情况取决于被评测 方的自觉程度，评测机构缺乏强制的监督评估的手段。 目前美囡国家信息保证合作组织( n i a p ) 在安全测试与评估方面开展了多个 计划【1 6 j 。如：自动安全检测项目，目的是开发一种能够自动对主要安全功能进 行测试的工具包；系统证明和鉴定项目，对多组件系统的安全性分析方法进行研 究：加密模块保护轮廓开发项目；信息安全评估计划，提出了信息安全评估能力 成熟度模型( i n f o s e ca s s e s s m e n tc a p a b i l i t ym a t u r i t ym o d e i ) ；威胁和漏洞研 究项目等。这些研究旨在满足丌产品生产者和消费者对安全测试及评估的需求， 在一定程度上反映了国外在安全评测方面的最新动向。 因此，设计开发出一种辅助评测工具，实现对信息系统安全等级的定量度量， 成为安全评测领域的研究热点。 计算机信息系统涵盖的内容太广，各系统出于面对的应用和环境的不同，差 异巨大，因此要研制出一种通用的评测工具至少在现今是不现实的，难度太大。 而作为计算机信息系统的一个重要组成部分的d b m s ，尽管面向不同的应用领域 其设计和功能不尽相同，但所有的d b m s 都具备以下共性： 对数据的高度结构化管理； 事务是访问数据库系统的调度单位。 这使得我们可以尝试设计一种定量度量模型，依据评测标准设计出针对 d b m s 安全等级评估的辅助工具。 1 3 数据库安全技术相关研究 国外对h l sd b m s 的理论研究始于二十世纪七十年代，伴随着t c s e c 的发 布，国外的研究者们作了大量的研究，出现了一些高安全性的原型系统。 1 3 1 多实例与多级关系数据模型 在一个多级安全系统中，每一个主体( 例如用户、进程、事务) 和每一个客体( 例 如文件、设备、表、元组等) 都被赋予一个存取级( a c c e s sc l a s s ) 。其中，主体 7 中嗣科学技术大学硕士论文多级蜜争数据库的数据棱型及安全评估研究 的存取级称为密级( c l e a r a n c e ) ，表示该主体的置信度；客体的存取级称为安全 级( c l a s s i f i c a t i o n ) ，表示该客体所包含信息的敏感度。各个存取级的集合构成 一个偏序的格( l a t t i c e ) ，这种偏序关系称为支配( d o m i n a t e ) 。在多级安全系统 中，安全级别高的用户可以访问较多的、较真实的数据，安全级别低的用户访问 较少的、真实性较低的数据。因此，对于具有不同安全级别的用户，所能看到的 真实世界的版本就有所不同。 多实例是h l sd b h s 所固有的属性。它的处理方法决定了多级关系数据模型 和数据库更耨操作的语义。m l sd b m s 有多种方法处理多实例，每种方法都适用 于某种特定的应用。多实例的处理方法有： 多实例化元组的传递方法 同一真实世界的实体，不同安全级的用户可以看见在不同安全级上的属性 值，并且允许用户更新这些值。这一方法导致了不断加入新元组。引起了属性值 的组合爆炸 1 7 q 9 1 。这个方法面临的两个主要问题是： c a ) 如何保证主键( p r i m a r yk e y ) 标识真实世界实体； ( b ) 如何控制元组属性的组合，使它仅包含有意义的属性值的组合。 为解决这两个问题，文献 1 8 】提出了多级安全环境下的实体完整性和多实例 完整性约束。通过给主键增加一个安全级，并在增加了安全级的主键上增加唯一 性来解决问题( a ) 。利用多值依赖，允许特别属性值的组合存在，从而限制多实 例的增长，保持数据的语义，解决问题( b ) 。 导出值的方法 当高安全级用户更新低安全级元组时，将不修改的低安全级数据自动拷贝至 高安全级元组，从而在高安全级上插入一个新元组，并且这些自动拷贝的数据将 随着低安全级数据的修改而变化。对同一真实世界实体，尽管多级关系内可能有 几个元组，但在每个安全级上只会有一个元组存在。 预防的方法 预防多实例的方法不是修改完整性和数据模型来保证安全性“，而是要求用 户在设计数据库时考虑可能引起的信息泄露问题。采取下面的策略： ( a ) 使所有的主键可见，外观主键( a p p a r e n tp r i m a r yk e y ) 以关系内可见的 最低安全级标记； ( b ) 根据主键可能的各种安全级，划分主键的域： ( c ) 限制可信主体的插入，要求所有的插入由系统最商安全级的用户来实施 向下写，完成插入操作。 限制的方法 各种限制方法对h l sd b m s 的数据模型产生了巨大的影响，产生了下列多级 关系数据模型，如：d e n n i n g l u n t 模型【1 “、】a j o d i a 和s a n d h u 提出的 j a j o d i a - s a n d h u 模型【z 2 1 、s m i t h 和w i n s l e t t 提出的基于信赖的语义模型s - w 模 型【z 3 1 、基于数据语义的模型m l r j 。 d e n n i n g l u n t 模型允许高安全级用户更新低安全级数据时，往数据库中插入 一个元组。但是为保证有用关系实例存在，建立了两个完整性约束：一是实体完 整性，要求外观主键内所有属性的安全级相同、元组的所有外观主键属性值不为 空、所有的非外观主键属性的安全级支配外观主键的安全级；二是多实例完整性， 要求外观主键及其属性的安全级与其余属性和这些属性的安全级之间满足多值 依赖。但是，这个模型的多值依赖在实际应用中可能会禁止有用关系实例的存在。 为消除多值依赖，j a j o d i a - s a n d h u 提出了另一个关系数据模型 中田科学控术人学硕：i ：论文多级立夸数锯库的数据模型及虫：辛= 评估研究 j a j o d i a - s a n d h u 模型。这个模型定义了空值完整性、实例间完整性，重新定义了 多实例完整性：规定用户指定的外观主键a k 、a k 的安全级属性c a k 和属性a i 的安全级c l 函数决定a l 的属性值。但是该模型在处理查询的过程中，若某个安 全级c 支配一元组内所有属性的安全级，则c - 用户可见该元组所有的属性值；若 c 支配元组内某些属性但不是全部属性的安全级时，用n u l i 值替代c 一用户不可见 的属性值，于是n u l i 有了另一层含义：信息隐藏。空值的二义性表明，对于c - 用户来说，在其安全级上的n u l i 值，难以确定这些值的确切含义，而且也没有手 段确定有着相同外观主键而外观主键安全级不同的元组是否涉及同一实体。 因此，基于信赖的语义模型s m i t h - w i n s l e t t 模型提出了多实例的另一种处理 方法：每个安全级上的数据反映了那个安全级上的用户对真实世界的“信赖”。 用户看见的数据不同于用户信赖的数据，用户的更新反映了他对真实世界的信 赖：某个安全级上的数据只可以被那个安全级上的用户插入、修改、删除。 s m i t h - w i n s l e t t 模型还提出了多级实体的概念。一个多级实体由外观主键及其安 全级麸同标识。当多级实体首次出现在数据库中时，它就是基本元组，该元组的 主键安全级和元组安全级相同，基本元组是断言实体存在的最低安全级元维。 s a n d h u 总结了上述几个模型特点，吸收了其中的优秀思想，提出了基于数 据的语义模型一卜1 l r 模型。该模型的语义观点是： ( a ) 某安全级上的主体接收的数据分成两部分：定义在主体安全级上的数据 和显式地从低安全级“借用”来的数据。低安全级主体对数据的修改可 自动传递到借用它的数据的高安全级主体，而保证了“向上”的信息流 动： ( b ) 主体可见它自己接收的数据和低于它的安全级的数据； ( c ) 元组包含所有在某个安全级上的主体接收的数据( 自己拥有的和借用 的) 。 m l r 模型提出了新的完整性一数据借用完整性，修改了数据操作语句。 几种方法的特点 无论哪种多实例的处理方法，都具有这样的特点：首先保持了信息向高安 全级的单向流动，因而不存在多实例间处理不当引起的隐通道，保持了安全性； 其次，多实例的更新限制在等于用户的安全级上，若对低安全级数据更新，则插 入一个新的元组。 1 3 2 完整性约束 数据库完整性约束增强了关系中数据问的约束条件，而安全性要求数据问的 分离。如果完整性约束定义在不同安全级的数据之间，则完整性与安全性之问产 生了冲突。解决方法不是完全牺牲完整性约束，折衷的选择是保证某些完整性， 因此完整性目标分成三个方面：一致性、正确性和可用性。 ( a ) 数据库完蹩性 一致性 如果有两种不同的方法，当不管采用哪种方法导出数据库的一些信息， 总是产生同样的响应时，这个数据库是一致的； 正确性 如果一个数据库中的数据满足所有己知的约束，则该数据库是正确的： 可用性 中冈科学技术大学碛_ 上论文 多缓安伞数据库的数据模型及安全评估研究 当一个数据库的数据可对任何授权用户和任何授权都可用，则这个数据 库是可用的。 ( b ) 基本完整性的安全 实体完整性 每个元组必须有一个非空的主键，当客体的标记粒度是关系或元组时， 实体完整性不会引起安全问题。但当标记粒度是列或元素，并且主键的安全 级高于或不可比于关系中的其它元素的安全级时，会囡主关键字唯一性引起 存储隐通道，带来