1.1数据库安全机制
数据库安全机制是用于实现数据库的各种安全策略的功能集合,正是由这些安全机制来实现安全模型,进而实现保护数据库系统安全的目标。
数据库系统的安全机制如图所示:
1.1.1用户标识与鉴别
用户标识是指用户向系统出示自己的身份证明,最简单的方法是输入用户ID和密码。标识机制用于惟一标志进入系统的每个用户的身份,因此必须保证标识的惟一性。鉴别是指系统检查验证用户的身份证明,用于检验用户身份的合法性。标识和鉴别功能保证了只有合法的用户才能存取系统中的资源。
由于数据库用户的安全等级是不同的,因此分配给他们的权限也是不一样的,数据库系统必须建立严格的用户认证机制。身份的标识和鉴别是DBMS对访问者授权的前提,并且通过审计机制使DBMS保留追究用户行为责任的能力。功能完善的标识与鉴别机制也是访问控制机制有效实施的基础,特别是在一个开放的多用户系统的网络环境中,识别与鉴别用户是构筑DBMS安全防线的第1个重要环节。
近年来一些实体认证的新技术在数据库系统集成中得到应用。目前,常用的方法有通行字认证、数字证书认证、智能卡认证和个人特征识别等。
通行字也称为“口令”或“密码”,它是一种根据已知事物验证身份的方法,也是一种最广泛研究和使用的身份验证法。在数据库系统中往往对通行字采取一些控制措施,常见的有最小长度限制、次数限定、选择字符、有效期、双通行字和封锁用户系统等。一般还需考虑通行字的分配和管理,以及在计算机中的安全存储。通行字多以加密形式存储,攻击者要得到通行字,必须知道加密算法和密钥。算法可能是公开的,但密钥应该是秘密的。也有的系统存储通行字的单向Hash值,攻击者即使得到密文也难以推出通行字的明文。
数字证书是认证中心颁发并进行数字签名的数字凭证,它实现实体身份的鉴别与认证、
信息完整性验证、机密性和不可否认性等安全服务。数字证书可用来证明实体所宣称的身份与其持有的公钥的匹配关系,使得实体的身份与证书中的公钥相互绑定。
智能卡(有源卡、IC卡或Smart卡)作为个人所有物,可以用来验证个人身份,典型智能卡主要由微处理器、存储器、输入输出接口、安全逻辑及运算处理器等组成。在智能卡中引入了认证的概念,认证是智能卡和应用终端之间通过相应的认证过程来相互确认合法性。在卡和接口设备之间只有相互认证之后才能进行数据的读写操作,目的在于防止伪造应用终端及相应的智能卡。
根据被授权用户的个人特征来进行确证是一种可信度更高的验证方法,目前已得到应用的个人生理特征包括指纹、语音声纹(voice- print)、DNA、视网膜、虹膜、脸型和手型等。
1.1.2访问控制
1.1.
2.1 概述
访问控制的目的是确保用户对数据库只能进行经过授权的有关操作。在存取控制机制中,一般把被访问的资源称为“客体”,把以用户名义进行资源访问的进程、事务等实体称为“主体”。
传统的存取控制机制有两种,即DAC(Discretionary Access Control,自主存取控制)和MAC (Mandatory Access Control,强制存取控制)。近年来,RBAC(Role-based Access Control,基于角色的存取控制)得到了广泛的关注。
1.1.
2.2 数据访问级别和类型
DBMS中的安全系统必须具有伸缩性以便为各种数据级别授权。数据级别有以下几种:整个数据库、单个关系表(所有行和所有列)、关系表中特定列(所有行)、关系表中的特定行(所有列)以及关系表的特定行和特定列。
数据的所有访问模式和类型如下:
●插入或建立。在文件中添加数据,不销毁任何数据。
●读取。用户可通过应用程序或数据库查询,将数据从数据库复制到用户环境。
●更新。编写更新值。
●删除。删除和销毁特定数据库对象。
●移动。移动数据对象,但没有读取内容的权限。
●执行。使用执行需要的权限,运行程序或过程。
●确认存在性。确认数据库是否存在特定数据库对象。
1.1.
2.3 任意控制(DAC)
采用该方法以若干种指派模式授予各个用户访问特定数据项的权限或权力。基于权限说明,用户能以读取、更新、插入或删除模式随意访问数据项。建立数据库对象的用户自动得到此对象的所有访问权限,包括将此对象的权限再授予他人。
在授予或撤消访问权限时,有两种主要级别:
数据库对象:数据项或数据元素,一般是基本表或视图
用户:可以用一些授权标识符识别的单个用户或用户组
授权通常都是在这两种级别上进行。
1. 授权
DBMS 提供了功能强大的授权机制,它可以给用户授予各种不同对象(表、视图、存储过程等)的不同使用权限(如Select 、update 、insert 、delete 等)。
在用户级别,可以授予数据库模式和数据操纵方面的以下几种授权,包括:创建和删除索引、创建新关系、添加或删除关系中的属性、删除关系、查询数据、插入新数据、修改数据、删除数据等。
在数据库对象级别,可将上述访问权限应用于数据库、基本表、视图和列等。
2. 数据库角色
如果要给成千上万个雇员分配许可,将面临很大的管理难题,每次有雇员到来或者离开时,就得有人分配或去除可能与数百张表或视图有关的权限。这项任务很耗时间而且非常容易出错。即使建立SQL 过程来帮忙,也几乎需要时时去维护。一个相对特别简单有效的解决方案就是定义数据库角色。数据库角色是被命名的一组与数据库操作相关的权限,角色是一组相关权限的集合。因此,可以为一组具有相同权限的用户创建一个角色,使用角色来管理数据库权限可以简化授权的过程。
先创建一个角色,并且把需要的许可分配给角色,而不是分配给个人用户,然后再把角色分配给特定用户。当有新的雇员到来时,把角色添加给用户就提供了所有必要的权限。
授权管理机制如图4-3所示。
1.1.
2.4 强制控制(MAC )
强制访问控制模型基于与每个数据项和每个用户关联的安全性标识(Security Label)。安全性标识被分为若干级别:绝密 (Top Secret)、机密 (Secret)、秘密 (Confidential)、一般 (Public)。数据的标识称为密级(Security Classification),用户的标识称为许可级别证(Security Clearance)。
在计算机系统中,每个运行的程序继承用户的许可证级别,也可以说,用户的许可证级别不仅仅应用于作为人的用户,而且应用于该用户运行的所有程序。当某一用户以某一密级进入系统时,在确定该用户能否访问系统上的数据时应遵守如下规则:
当且仅当用户许可证级别大于等于数据的密级时,该用户才能对该数据进行读操作。 DBA 角色
用户 用户 用户 用户
授权 授权
当且仅当用户的许可证级别小于或等于数据的密级时,该用户才能对该数据进行写操作。
第二条规则表明用户可以为其写入的数据对象赋予高于自己许可证级别的密级,这样的数据被写入后用户自己就不能再读该数据对象了。这两种规则的共同点在于它们禁止了拥有高级许可证级别的主体更新低密级的数据对象,从而防止了敏感数据的泄露。
1.1.
2.5 基于角色的存取控制(RBAC)
RBAC在主体和权限之间增加了一个中间桥梁——角色。权限被授予角色,而管理员通过指定用户为特定角色来为用户授权。从而大大简化了授权管理,具有强大的可操作性和可管理性。角色可以根据组织中的不同工作创建,然后根据用户的责任和资格分配角色,用户可以轻松地进行角色转换。而随着新应用和新系统的增加,角色可以分配更多的权限,也可以根据需要撤销相应的权限。
RBAC核心模型包含了5个基本的静态集合,即用户集(users)、角色集(roles)、特权集(perms)(包括对象集(objects)和操作集(operators)),以及一个运行过程中动态维护的集合,即会话集(sessions),如图1-1所示。
用户集包括系统中可以执行操作的用户,是主动的实体;对象集是系统中被动的实体,包含系统需要保护的信息;操作集是定义在对象上的一组操作,对象上的一组操作构成了一个特权;角色则是RBAC模型的核心,通过用户分配(UA)和特权分配(PA)使用户与特权关联起来。
RBAC属于策略中立型的存取控制模型,既可以实现自主存取控制策略,又可以实现强制存取控制策略。它可以有效缓解传统安全管理处理瓶颈问题,被认为是一种普遍适用的访问控制模型,尤其适用于大型组织的有效的访问控制机制。
1.1.
2.6 视图机制
几乎所有的DBMS都提供视图机制。视图不同于基本表,它们不存储实际数据,数据库表存储数据,视图好象数据库表的窗口,是虚拟表。当用户通过视图访问数据时,是从基本表获得数据,但只是由视图中定义的列构成。视图提供了一种灵活而简单的方法,以个人化方式授予访问权限,是强大的安全工具。在授予用户对特定视图的访问权限时,该权限只用于在该视图中定义的数据项,而未用于完整基本表本身。因此,在使用视图的时候不用担心用户会无意地删除数据或者给真实表中添加有害的数据,并且可以限制用户只能使用指定部分的数据,增加了数据的保密性和安全性。
1.1.3数据库加密
1.1.3.1 概述
由于数据库在操作系统中以文件形式管理,所以入侵者可以直接利用操作系统的漏洞窃取数据库文件,或者篡改数据库文件内容。另一方面,数据库管理员(DBA)可以任意访问所有数据,往往超出了其职责范围,同样造成安全隐患。因此,数据库的保密问题不仅包括在传输过程中采用加密保护和控制非法访问,还包括对存储的敏感数据进行加密保护,使得即使数据不幸泄露或者丢失,也难以造成泄密。同时,数据库加密可以由用户用自己的密钥加密自己的敏感信息,而不需要了解数据内容的数据库管理员无法进行正常解密,从而可以实现个性化的用户隐私保护。
对数据库加密必然会带来数据存储与索引、密钥分配和管理等一系列问题,同时加密也会显著地降低数据库的访问与运行效率。保密性与可用性之间不可避免地存在冲突,需要妥善解决二者之间的矛盾。
数据库中存储密文数据后,如何进行高效查询成为一个重要的问题。查询语句一般不可以直接运用到密文数据库的查询过程中,一般的方法是首先解密加密数据,然后查询解密数据。但由于要对整个数据库或数据表进行解密操作,因此开销巨大。在实际操作中需要通过有效的查询策略来直接执行密文查询或较小粒度的快速解密。
一般来说,一个好的数据库加密系统应该满足以下几个方面的要求。
①足够的加密强度,保证长时间且大量数据不被破译。
②加密后的数据库存储量没有明显的增加。
③加解密速度足够快,影响数据操作响应时间尽量短。
④加解密对数据库的合法用户操作(如数据的增、删、改等)是透明的。
⑤灵活的密钥管理机制,加解密密钥存储安全,使用方便可靠。
1.1.3.2 数据库加密的实现机制
数据库加密的实现机制主要研究执行加密部件在数据库系统中所处的层次和位置,通过对比各种体系结构的运行效率、可扩展性和安全性,以求得最佳的系统结构。
按照加密部件与数据库系统的不同关系,数据库加密机制可以从大的方面分为库内加密和库外加密。
(1)库内加密
库内加密在DBMS内核层实现加密,加/解密过程对用户与应用透明,数据在物理存取之前完成加/解密工作。这种方式的优点是加密功能强,并且加密功能集成为DBMS的功能,可以实现加密功能与DBMS之间的无缝耦合。对于数据库应用来说,库内加密方式是完全透明的。
库内加密方式的主要缺点如下。
—对系统性能影响比较大,BMS除了完成正常的功能外,还要进行加/解密运算,从而加
重了数据库服务器的负载。
—密钥管理风险大,加密密钥与库数据保存在服务器中,其安全性依赖于DBMS的访问控制机制。
—加密功能依赖于数据库厂商的支持,DBMS一般只提供有限的加密算法与强度可供选择,自主性受限。
(2)库外加密
在库外加密方式中,加/解密过程发生在DBMS之外,DBMS管理的是密文。加/解密过程大多在客户端实现,也有的由专门的加密服务器或硬件完成。
与库内加密方式相比,库外加密的明显优点如下。
—由于加/解密过程在客户端或专门的加密服务器实现,所以减少了数据库服务器与DBMS的运行负担。
—可以将加密密钥与所加密的数据分开保存,提高了安全性。
—由客户端与服务器的配合,可以实现端到端的网上密文传输。
库外加密的主要缺点是加密后的数据库功能受到一些限制,例如加密后的数据无法正常索引。同时数据加密后也会破坏原有的关系数据的完整性与一致性,这些都会给数据库应用带来影响。
在目前新兴的外包数据库服务模式中,数据库服务器由非可信的第三方提供,仅用来运行标准的DBMS,要求加密解密都在客户端完成。
1.1.3.3 数据库加密的粒度
一般来说,数据库加密的粒度可以有4种,即表、属性、记录和数据元素。不同加密粒度的特点不同,总的来说,加密粒度越小,则灵活性越好且安全性越高,但实现技术也更为复杂,对系统的运行效率影响也越大。
(1)表加密
表级加密的对象是整个表,这种加密方法类似于操作系统中文件加密的方法。即每个表与不同的表密钥运算,形成密文后存储。这种方式最为简单,但因为对表中任何记录或数据项的访问都需要将其所在表的所有数据快速解密,因而执行效率很低,浪费了大量的系统资源。在目前的实际应用中,这种方法基本已被放弃。
(2)属性加密
属性加密又称为“域加密”或“字段加密”,即以表中的列为单位进行加密。一般而言,属性的个数少于记录的条数,需要的密钥数相对较少。如果只有少数属性需要加密,属性加密是可选的方法。
(3)记录加密
记录加密是把表中的一条记录作为加密的单位,当数据库中需要加密的记录数比较少时,采用这种方法是比较好的。
(4)数据元素加密
数据元素加密是以记录中每个字段的值为单位进行加密,数据元素是数据库中最小的加密粒度。采用这种加密粒度,系统的安全性与灵活性最高,同时实现技术也最为复杂。不同的数据项使用不同的密钥,相同的明文形成不同的密文,抗攻击能力得到提高。不利的方面是,该方法需要引入大量的密钥。一般要周密设计自动生成密钥的算法,密钥管理的复杂度大大增加,同时系统效率也受到影响。
在目前条件下,为了得到较高的安全性和灵活性,采用最多的加密粒度是数据元素。为了使数据库中的数据能够充分而灵活地共享,加密后还应当允许用户以不同的粒度进行访问。
1.1.3.4 加密算法
加密算法是数据加密的核心,一个好的加密算法产生的密文应该频率平衡,随机无重码,周期很长而又不可能产生重复现象。窃密者很难通过对密文频率,或者重码等特征的分析获得成功。同时,算法必须适应数据库系统的特性,加/解密,尤其是解密响应迅速。
常用的加密算法包括对称密钥算法和非对称密钥算法。
对称密钥算法的特点是解密密钥和加密密钥相同,或解密密钥由加密密钥推出。这种算法一般又可分为两类,即序列算法和分组算法。序列算法一次只对明文中的单个位或字节运算;分组算法是对明文分组后以组为单位进行运算,常用有DES等。
非对称密钥算法也称为“公开密钥算法”,其特点是解密密钥不同于加密密钥,并且从解密密钥推出加密密钥在计算上是不可行的。其中加密密钥公开,解密密钥则是由用户秘密保管的私有密钥。常用的公开密钥算法有RSA等。
目前还没有公认的专门针对数据库加密的加密算法,因此一般根据数据库特点选择现有的加密算法来进行数据库加密。一方面,对称密钥算法的运算速度比非对称密钥算法快很多,二者相差大约2~3个数量级;另一方面,在公开密钥算法中,每个用户有自己的密钥对。而作为数据库加密的密钥如果因人而异,将产生异常庞大的数据存储量。因此,在数据库加密中一般采取对称密钥的分组加密算法。
1.1.3.5 密钥管理
对数据库进行加密,一般对不同的加密单元采用不同的密钥。以加密粒度为数据元素为例,如果不同的数据元素采用同一个密钥,由于同一属性中数据项的取值在一定范围之内,且往往呈现一定的概率分布,因此攻击者可以不用求原文,而直接通过统计方法即可得到有关的原文信息,这就是所谓的统计攻击。
大量的密钥自然会带来密钥管理的问题。根据加密粒度的不同,系统所产生的密钥数量也不同。越是细小的加密粒度,所产生的密钥数量越多,密钥管理也就越复杂。良好的密钥管理机制既可以保证数据库信息的安全性,又可以进行快速的密钥交换,以便进行数据解密。
对数据库密钥的管理一般有集中密钥管理和多级密钥管理两种体制,集中密钥管理方法是设立密钥管理中心。在建立数据库时,密钥管理中心负责产生密钥并对数据加密,形成一
张密钥表。当用户访问数据库时,密钥管理机构核对用户识别符和用户密钥。通过审核后,由密钥管理机构找到或计算出相应的数据密钥。这种密钥管理方式方便用户使用和管理,但由于这些密钥一般由数据库管理人员控制,因而权限过于集中。
目前研究和应用比较多的是多级密钥管理体制,以加密粒度为数据元素的三级密钥管理体制为例,整个系统的密钥由一个主密钥、每个表上的表密钥,以及各个数据元素密钥组成。表密钥被主密钥加密后以密文形式保存在数据字典中,数据元素密钥由主密钥及数据元素所在行、列通过某种函数自动生成,一般不需要保存。在多级密钥体制中,主密钥是加密子系统的关键,系统的安全性在很大程度上依赖于主密钥的安全性。
1.1.3.6 数据库加密的局限性
数据库加密技术在保证安全性的同时,也给数据库系统的可用性带来一些影响。
(1)系统运行效率受到影响
数据库加密技术带来的主要问题之一是影响效率。为了减少这种影响,一般对加密的范围做一些约束,如不加密索引字段和关系运算的比较字段等。
(2)难以实现对数据完整性约束的定义
数据库一般都定义了关系数据之间的完整性约束,如主/外键约束及值域的定义等。数据一旦加密,DBMS将难以实现这些约束。
(3)对数据的SQL语言及SQL函数受到制约
SQL语言中的Group by、Order by及Having子句分别完成分组和排序等操作,如果这些子句的操作对象是加密数据,那么解密后的明文数据将失去原语句的分组和排序作用。另外,DBMS扩展的SQL内部函数一般也不能直接作用于密文数据。
(4)密文数据容易成为攻击目标
加密技术把有意义的明文转换为看上去没有实际意义的密文信息,但密文的随机性同时也暴露了消息的重要性,容易引起攻击者的注意和破坏,从而造成了一种新的不安全性。加密技术往往需要和其他非加密安全机制相结合,以提高数据库系统的整体安全性。
数据库加密作为一种对敏感数据进行安全保护的有效手段,将得到越来越多的重视。总体来说,目前数据库加密技术还面临许多挑战,其中解决保密性与可用性之间的矛盾是关键。
1.1.4审计
“审计”功能是DBMS达到C2以上安全级别必不可少的一项指标。因为任何系统的安全措施都是不完美的,蓄意盗窃、破坏数据的人总是想方设法打破控制。审计通常用于下列
情况:
●审查可疑的活动。例如:当出现数据被非授权用户所删除、用户越权操作或权限管理不正确时,安全管理员可以设置对该数据库的所有连接进行审计,和对数据库中所有表的操作进行审计。
●监视和收集关于指定数据库活动的数据。例如:DBA可收集哪些表经常被修改、
用户执行了多少次逻辑I/O操作等统计数据,为数据库优化与性能调整提供依据。
对DBA而言,审计就是记录数据库中正在做什么的过程。审计记录可以告诉你正在使
用哪些系统权限,使用频率是多少,多少用户正在登录,会话平均持续多长时间,正在特殊
表上使用哪些命令,以及许多其他有关事实。审计能帮助DBA完成的操作类型包括:
●为管理程序准备数据库使用报表(每天/周连接多少用户,每月发出多少查询,上周添加或删除了多少雇员记录)。
●如果怀疑有黑客活动,记录企图闯入数据库的失败尝试。
●确定最繁忙的表,它可能需要额外的调整。
●调查对关键表的可疑更改。
●从用户负载方面的预期增长,规划资源消耗。
审计功能把用户对数据库的所有操作自动记录下来放入审计日志(Audit Log)中。审
计日志一般包括下列内容:
●操作类型(如修改、查询等)。
●操作终端标识与操作人员标识。
●操作日期和时间。
●操作的数据对象(如表、视图、记录、属性等)。
●数据修改前后的值。
DBA可以利用审计跟踪的功能,重现导致数据库现状的一系列事件,找出非法存取数
据的人、时间和内容等。审计通常比较费时间和空间,所以DBMS往往都将其作为可选特征,允许DBA根据应用对安全性的要求,灵活地打开或关闭审计功能。审计功能一般主要用于安全性要求较高的部门。
审计一般可以分为用户级审计和系统级审计。用户级审计是任何用户可设置的审计,主要是针对自己创建的数据库或视图进行审计,记录所有用户对这些表或视图的一切成功和(或)不成功的访问要求以及各种类型的SQL操作。系统级审计只能由DBA设置,用以监测成功或失败的登录要求、监测Grant和Revoke操作以及其他数据库级权限下的操作。
1.1.5备份与恢复
一个数据库系统总是避免不了故障的发生。安全的数据库系统必须能在系统发生故障后利用已有的数据备份,恢复数据库到原来的状态,并保持数据的完整性和一致性。数据库系统所采用的备份与恢复技术,对系统的安全性与可靠性起着重要作用,也对系统的运行效率有着重大影响。
1.1.5.1 数据库备份
常用的数据库备份的方法有如下3种。
(1)冷备份
冷备份是在没有终端用户访问数据库的情况下关闭数据库并将其备份,又称为“脱机备份”。这种方法在保持数据完整性方面显然最有保障,但是对于那些必须保持每天24小时、每周7天全天候运行的数据库服务器来说,较长时间地关闭数据库进行备份是不现实的。
(2)热备份
热备份是指当数据库正在运行时进行的备份,又称为“联机备份”。因为数据备份需要一段时间,而且备份大容量的数据库还需要较长的时间,那么在此期间发生的数据更新就有可能使备份的数据不能保持完整性,这个问题的解决依赖于数据库日志文件。在备份时,日志文件将需要进行数据更新的指令“堆起来”,并不进行真正的物理更新,因此数据库能被完整地备份。备份结束后,系统再按照被日志文件“堆起来”的指令对数据库进行真正的物理更新。可见,被备份的数据保持了备份开始时刻前的数据一致性状态。
热备份操作存在如下不利因素。
—如果系统在进行备份时崩溃,则堆在日志文件中的所有事务都会被丢失,即造成数据的丢失。
—在进行热备份的过程中,如果日志文件占用系统资源过大,如将系统存储空间占用完,会造成系统不能接受业务请求的局面,对系统运行产生影响。
—热备份本身要占用相当一部分系统资源,使系统运行效率下降。
(3)逻辑备份
逻辑备份是指使用软件技术从数据库中导出数据并写入一个输出文件,该文件的格式一般与原数据库的文件格式不同,而是原数据库中数据内容的一个映像。因此逻辑备份文件只能用来对数据库进行逻辑恢复,即数据导入,而不能按数据库原来的存储特征进行物理恢复。逻辑备份一般用于增量备份,即备份那些在上次备份以后改变的数据。
1.1.5.2 数据库恢复
在系统发生故障后,把数据库恢复到原来的某种一致性状态的技术称为“恢复”,其基本原理是利用“冗余”进行数据库恢复。问题的关键是如何建立“冗余”并利用“冗余”实施数据库恢复,即恢复策略。
数据库恢复技术一般有3种策略,即基于备份的恢复、基于运行时日志的恢复和基于镜像数据库的恢复。
(1)基于备份的恢复
基于备份的恢复是指周期性地备份数据库。当数据库失效时,可取最近一次的数据库备份来恢复数据库,即把备份的数据拷贝到原数据库所在的位置上。用这种方法,数据库只能恢复到最近一次备份的状态,而从最近备份到故障发生期间的所有数据库更新将会丢失。备份的周期越长,丢失的更新数据越多。
(2)基于运行时日志的恢复
运行时日志文件是用来记录对数据库每一次更新的文件。对日志的操作优先于对数据库的操作,以确保记录数据库的更改。当系统突然失效而导致事务中断时,可重新装入数据库的副本,把数据库恢复到上一次备份时的状态。然后系统自动正向扫描日志文件,将故障发生前所有提交的事务放到重做队列,将未提交的事务放到撤销队列执行,这样就可把数据库恢复到故障前某一时刻的数据一致性状态。
(3)基于镜像数据库的恢复
数据库镜像就是在另一个磁盘上复制数据库作为实时副本。当主数据库更新时,DBMS 自动把更新后的数据复制到镜像数据,始终使镜像数据和主数据保持一致性。当主库出现故障时,可由镜像磁盘继续提供使用,同时DBMS自动利用镜像磁盘数据进行数据库恢复。镜像策略可以使数据库的可靠性大为提高,但由于数据镜像通过复制数据实现,频繁的复制会降低系统运行效率,因此一般在对效率要求满足的情况下可以使用。为兼顾可靠性和可用性,可有选择性地镜像关键数据。
数据库的备份和恢复是一个完善的数据库系统必不可少的一部分,目前这种技术已经广泛应用于数据库产品中,如Oracle数据库提供对联机备份、脱机备份、逻辑备份、完全数据恢复及不完全数据恢复的全面支持。据预测,以“数据”为核心的计算(Data Centric Computing)将逐渐取代以“应用”为核心的计算。在一些大型的分布式数据库应用中,多备份恢复和基于数据中心的异地容灾备份恢复等技术正在得到越来越多的应用。
1.1.6聚合、推理与多实例
数据库安全中,用户根据低密级的数据和模式的完整性约束推导出高密级的数据,造成未经授权的信息泄露,其主要有两种方式:推理和聚合。
1.1.6.1 聚合(Aggregation)
聚合是指这种情形:如果用户没有访问特定信息的权限,但是他有访问这些信息的组成部分的权限。这样,她就可以将每个组成部分组合起来,得到受限访问的信息。用户可以通过不同的途径得到信息,通过综合就可以得到本没有明确访问权限的信息。
注意:聚合(Aggregation)指的是组合不同来源的信息的行为。用户没有明确的权限可以访问组合起来得到的信息,而组合得到的信息比信息的各个组成部分拥有更高的机密性。
下面是一个简单的概念化例子。假设数据库管理员不想让Users组的用户访问一个特定的句子“The chicken wore funny red culottes.”,他将这个句子分成六个部分,限制用户访问。如图:
Emily可以访问A、C、F三个部分,由于她是个特别聪明的人,她可以根据这三个部分结合起来得出这个句子的部分。
为了防止聚合,需要防止主体和任何主体的应用程序和进程获得整个数据集合的权限,包括数据集合的各个独立组成部分。客体可以进行分类并赋予较高的级别,存储在容器中,防止低级别权限的主体访问。对主体的查询,可以进行跟踪,并实施基于上下文的分类。这将记录主体对客体的访问历史,并在聚合攻击发生时限制访问企图。
1.1.6.2推理(Inference)
推理(Inference)和聚合很相似。推理指的是主体通过他可以访问的信息推理出受限访问的信息。当可以由安全级别较低的数据描述出较高级别的数据时,就会发生推理攻击。
注意:推理是得到不是显性可用的信息的能力。
例如,如果一个职员不应该知道军队在沙特阿拉伯的行动计划,但是他可以访问到食品需求表格和帐篷位置的文档,那么他就可以根据食品和帐篷运送的目的地推算出军队正在向Dubia地区移动。在文档安全性分类中,食品需求和帐篷位置文档是机密文档(Confidential),而军队行动计划是绝密文档(Top of Secret)。由于不同的分类,这个职员可以根据他知道的信息推理出他不应该知道的秘密。
常见的推理通道有以下4种。
①执行多次查询,利用查询结果之间的逻辑联系进行推理。用户一般先向数据库发出多个查询请求,这些查询大多包含一些聚集类型的函数(如合计和平均值等)。然后利用返回的查询结果,在综合分析的基础上推断出高级数据信息。
②利用不同级别数据之间的函数依赖进行推理分析,数据表的属性之间常见的一种关系是“函数依赖”和“多值依赖”。这些依赖关系有可能产生推理通道,如同一病房的病人患的是同一种病,以及由参加会议的人员可以推得参与会议的公司等。
③利用数据完整性约束进行推理,例如关系数据库的实体完整性要求每一个元组必须有一个惟一的键。当一个低安全级的用户想在一个关系中插入一个元组,并且这个关系中已经存在一个具有相同键值的高安全级元组,那么为了维护实体的完整性,DBMS会采取相应的限制措施。低级用户由此可以推出高级数据的存在,这就产生了一条推理通道。
④利用分级约束进行推理。一条分级约束是一条规则,它描述了对数据进行分级的标准。如果这些分级标准被用户获知的话,用户有可能从这些约束自身推导出敏感数据。
一个办法是防止主体或者与主体有关的应用程序和进程间接得到能推论的信息。在数据库开发过程中,可以实施基于内容或者基于上下文的分类规则来解决这个问题,对主体的查询请求进行跟踪,限制可以进行推理的查询模式。
防止推理攻击的一种措施叫做单元抑制(Cell Suppression),采用数据库分隔,或者噪声和扰动。单元抑制时一种用来隐藏或者不显示特定存储单元的内容,防止这些信息被用来进行推理攻击。分隔数据库(Partitioning a database)包括将数据库分成不同的部分,使未授权用户很难访问到可以用于推理攻击的相关的数据。噪声和扰动是一种在数据库中插入伪造信息的技术,目的是为了误导和迷惑攻击者,使得真实的推理攻击不能成功。
1.1.6.3 多实例(Polyinstantiation)
有的时候,不希望低安全级别的用户访问和修改高安全级别的数据。有不同的方法处理这种情况。一种方法是当低级别用户访问高级别数据时,拒绝访问。然而,这就相对于间接告诉访问者他要访问的对象中包含敏感信息。
另一种处理方法是多实例(Polyinstantiation)。多实例建立了相同主键的多元组和由安全级别定义的实例之间的关系。当一条信息插入到数据库中时,需要限制低级别用户访问这条信息。通过建立另一组数据迷惑低级别用户,使用户认为他得到的信息是真实的,而不是仅仅限制信息的访问。例如,海军基地有一艘租用Oklahoma船舶公司从Delaware 到Ukraine的运载武器的货船,这种类型的信息应该划为绝密信息(Top of Secret)。只有声明拥有绝密信息权限的人才可以访问。可以创建一个虚假信息文件,内容是Oklahoma船舶公司有一艘从Delaware到非洲的食品货运船,如表11-1。很明显,Oklahoma的船只已经离开,但是低安全级别的用户以为船去了非洲,而不是到Ukraine。这就保证低安全级别的用户不去试图过问这艘船的真正使命,他们已经知道这艘船已经没有意义了,而去寻找其它运输武器的船只了。
注意:多实例是通过变化值或者其它属性来交互生成客体详细信息的过程。
一个为低安全级别用户提供替代信息的多实例(Polyinstantiation)例子:
多实例为同一客体创建了两种不同的视图,因此低级别的用户无从知道真正的信息,同时也阻止了他试图进一步以其它途径获得真正的信息。多实例是一种为没有相应安全级别的用户提供替代信息的方法。
Oracl e 数据库安全综述 邓明翥 2007061035 摘要信息时代,数据安全性和日俱增。对于企业数据库来说。安全性和系统性能同样重要.一旦数据丢失或者非法用户侵入,对于任何一个使用系统来说都是致命的问题.提高Oracle数据库安全性就要做好安全管理工作.文章从Oracle 入手从安全机制和安全策略两个角度分析其安全,并给出一些安全管理操作的具体方法,最后通过对比给出其安全策略的优点。 1数据库系统简介 1.1背景介绍 随着网络技术的飞速发展。网络安全问题日渐突出。数据库技术自20世纪60年代产生至今,也已得到了快速的发展和广泛使用,数据库中由于数据大量集中存放,且为众多用户直接共享,安全性问题尤为突出。 数据库是按照数据结构来组织、存储和管理数据的仓库,它产生于距今五十年前。经过几十年的发展,数据库技术在理论上得到不断完善的同时,也广泛地投入到财务、教育、电子政务、金融等领域中得到大规模的使用。目前,市场上不仅有能满足个人用户需要的桌面小型数据库管理系统,也有能提供大规模数据管理功能、使用在网络环境的大中型数据库管理系统。 1.2数据库系统产品简介 随着大规模数据组织和管理日益引起人们的关注,数据库系统显现出越来越大的市场价值,许多公司都推出了各具特色的数据库管理系统。下面对在市场上占据主流、具有一定代表意义的两款数据库系统做简要介绍。 1.2.1SQL Server简介 SQL Server是由Microsoft公司开发和推广的关系数据库管理系统。它最初是由Microsoft、Sybase、Ashton-Tate三家公司共同开发的,并于1988年推出了第一个OS/2版本。由于Microsoft公司强大的开发能力和市场影响力,自1988年起,不断有新版本SQL Server推出并迅速占领中小型数据库市场。根据来自BZ Research2007年数据库整合和统计报告的数据,SQL Server的市场占有率为74.7%,高居第一。其中,SQL Server2000的用户群最为庞大,SQL Server2008是最新版本。本文所提及的SQL Server,如未特别指出,都指的是SQL Server2000。 SQL Server具有典型的C/S结构。使用图形化用户界面,使系统管理和数据库管理更加直观、简介。同时,还提供了丰富的编程接口工具,为用户进行程序
计算机数据库的安全防范技术分析 互联网时代中计算机是不可缺少的设备,数据库在计算机中起到决定性的作用,必须树立安全意识才能保障计算机数据库的安全性。计算机数据库运行时采用安全防范技术,目的是规避数据库中潜在的风险,保障计算机数据库的安全性与可靠性。文章主要探讨计算机数据库中安全防范技术的应用。 标签:计算机;数据库;安全防范技术 近几年,计算机行业得到了快速的发展,计算机逐渐普及到各行各业中,表明计算机在社会中的重要性。计算机数据库中提出了安全性、可靠性的要求,在计算机数据库运行时采用安全防范技术,保护好计算机数据库中的信息。计算机数据库风险的影响比较大,直接干预数据库的运行,必须要在计算机数据库运行中实行安全防范技术,以此来维护计算机数据库的安全性。 1 计算机数据库中的风险 计算机数据库中的风险表现在两个方面,第一是内部破坏,也就是来自于计算机系统内部的破坏,如:系统瘫痪、人为破坏、硬件损坏等,此类因素会降低数据库的安全性能,导致数据库无法正常接收用户访问,破坏了数据库的安全,最终会在数据库中形成漏洞或攻击。第二是外部攻击,其对计算机数据库的破坏性较大,外部攻击中的木马、病毒经常会以邮件、链接的方法植入到数据库系统中,用户点击后就会激活木马、病毒,窃取数据库的信息并引起瘫痪,外部攻击还包括非法访问、恶意篡改等行为,攻击计算机数据库,不法人员向数据库端口发送大量的垃圾文件,破坏了数据库正常运行的条件。 2 计算机数据库的安全机制 计算机数据库的安全机制分为3个部分,分析如:(1)网络系统,网络是计算机数据库运行的环境,网络中的病毒、黑客、木马等均可在网络中攻击数据库体系,形成不安全的问题,数据库在网络中的安全机制,可以采用防火墙、入侵检测等方法,提高数据库网络环境的安全性;(2)服务器操作系统,操作系统承载着计算机数据库的运行,服务器操作系统的安全等级高,采用身份识别、权限控制的方法构建安全机制,保护计算机数据库的安全运行;(3)数据库管理系统,与计算机数据库存在着直接的关联,数据库管理系统的安全机制中可以灵活选择安全防范的方法,提高数据库管理系统的安全水平,辅助防范计算机数据库中的风险行为。 3 安全防范技术的实践应用 根据计算机数据库的运行,例举几点安全防范技术的应用,促使安全防范技术可以维护计算机数据库的内部环境。
数据库安全性习题解 答和解析
第九章数据库安全性习题解答和解析 1.1.什么是数据库的安全性? 答:数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。 2.2.数据库安全性和计算机系统的安全性有什么关系? 答:安全性问题不是数据库系统所独有的,所有计算机系统都有这个问题。只是在数据库系统中大量数据集中存放,而且为许多最终用户直接共享,从而使安全性问题更为突出。 系统安全保护措施是否有效是数据库系统的主要指标之一。数据库的安全性和计算机系统的安全性,包括操作系统、网络系统的安全性是紧密联系、相互支持的。 3.试述可信计算机系统评测标准的情况,试述TDI/TCSEC标准的基本内容。 答:各个国家在计算机安全技术方面都建立了一套可信标准。目前各国引用或制定的一系列安全标准中,最重要的是美国国防部(DoD)正式颁布的《DoD 可信计算机系统评估标准》(Trusted Computer System Evaluation Criteria,简称 TCSEC,又称桔皮书)。(详细介绍参见《概论》9.1.2)。 TDI/TCSEC标准是将TCSEC扩展到数据库管理系统,即《可信计算机系统评估标准关于可信数据库系统的解释》(Trusted Database Interpretation 简称TDI, 又称紫皮书)。在TDI中定义了数据库管理系统的设计与实现中需满足和用以进行安全性级别评估的标准。 TDI与TCSEC一样,从安全策略、责任、保证和文档四个方面来描述安全性级别划分的指标。每个方面又细分为若干项。这些指标的具体内容,参见《概论》9.1.2。 4.试述TCSEC(TDI)将系统安全级别划分为4组7个等级的基本内容。 答:根据计算机系统对安全性各项指标的支持情况,TCSEC(TDI)将系统划分为四组(division)7个等级,依次是D、C(C1,C2)、B(B1,B2,B3)、A(A1),按系统可靠或可信程度逐渐增高。
系统安全运行管理制度及保障措施 一、贵州省遵义医院信息化安全管理制度 二、网络服务器管理制度 三、机房管理制度 四、计算机使用和管理制度 五、医保上网操作人员职责(暂行) 六、计算机操作人员管理规定 七、计算机安全操作使用规定 八、多功能厅管理制度 九、重要数据的修改必须保留操作痕迹 十、应急预案 十一、运行日志 十二、错误日志 十三、数据备份日志 十四、24小时交接班记录
贵州省遵义医院信息化安全管理制度 为了保证医院信息化系统正常、稳定、安全、快速地运行,特制定以下安全防范措施及事项。 一:科室计算机相关设备使用的安全防范: (1)各科室都配有电脑、打印机、UPS 等计算机相关设备,UPS 可以起到稳压和持续供电几分钟,这样可以确保操作人员正常保存操作数据和正常关机,从而不会因为突然停电产生错误操作和损坏计算机相关设备;其中电脑主机已打上封条,无关人员无法随意更换相关配件或拆装。如有类似情况出现,追究相关人员责任。 (2)各科室人员要保持计算机相关设备周边环境清洁,计算机要放在防潮、防尘、防晒并且通风良好的地方,并且严禁科室人员在计算机相关设备上摆放水杯、饮料、报刊、重物等。如有类似情况出现,追究相关人员贵任。 (3)科室人员按键时手要轻,敲键后手指要立即抬起,不能盲目乱敲。如有类似情况出现,追究相关人员责任。 (4)科室人员在计算机运行时不要随意搬运,以免造成计算机系统文件或硬件的损坏。如有类似情况出现,追究相关人员责任。 (5)科室人员严禁其他用电设备和计算机共用一个电源,以免电源负荷过重损坏计算机。如有类似情况出现,追究相关人员责任。
(6)科室人员严格遵循先开电源插座、打印机、显示器、主机的顺序。每次的关、开机操作至少相隔一分钟。严禁连续进行多次的关机操作。计算机关机时,应遵循先关主机、打印机、显示器、电源插座的顺序。下班时,务必要将电源插座的开关全关上,节假日时,更应将插座拔下,彻底切断电源,以防止火灾隐患。如遇到不能正常关机的情况,应按照相关提示操作(结束任务或点击确定),切勿直接关闭电源。同时注意不要踢到或随意拔插计算机电源、网线、鼠标和键盘等接口。如有类似情况出现,追究相关人员责任。 (7)科室人员严禁在计算机上加装、卸载任何软件或删除系统文件,并不得私自更改计算机当前配置。如有类似情况出现,追究相关人员责任.(8)科室人员严禁让非工作人员操作计算机,严禁携带家属、朋友以学习为由使用计算机。如有类似情况出现,追究相关人员责任。 (9)要求操作人员在使用打印机时:重新装纸前,请先将纸取出;请勿在打印时移动控制杆或强制拉出打印纸;请使用正规的打印纸张进行打印:出现异常情况时,请勿私自拆卸,并立即通知网管人员或技术人员处理如因不按规范操作导致打印机故障,追究相关人员责任。 (10)目前己将所有科室主机上光驱、软驱、USB 接口等外部存储设备全部禁用,且医院所有连上HIS 系统的电脑都没有和外网相连。从而可以极大的防止病毒等非法程序进入内部网络。 (11)科室的所有计算机都作了克隆系统备份,如果科室计算机出现系统方面的问题可以在很短的时间内恢复。 二:HIS系统应用安全防范:
井冈山大学 《网络安全课程设计报告》 选题名称数据库的安全与分析 学院电子与信息工程 专业网络工程 班级网络工程13本(1) 姓名何依 学号130913029 日期2016.10.08
目录 一、背景与目的 (3) 二、实施方案概要 (3) 1、用户权限 (3) 2、访问权限 (3) 3、再次校对 (4) 4、登录 (4) 三、技术与理论 (4) 1、三层式数据访问机制 (4) 2、数据加密处理机制 (4) 3、数据库系统的安全策略: (5) 四、课程设计实施 (6) 1、第一步 (6) 2、第二步 (8) 3、第三步 (9) 4、第四步 (10) 5、第五步 (11) 五、课程设计结果分析 (11) 六、总结 (12)
一、背景与目的 无论是从十大酒店泄露大量开房信息,到工商银行的快捷支付漏洞导致用户存款消失,这一种种触目惊心的事件表明数据库的安全性能对于整个社会来说是十分重要的,数据库安全是对顾客的权益的安全保障,也是国家、企业以及更多的人的安全保障,从而数据库的安全性非常值得重视。 对于数据库的安全我将进行以下分析,旨在了解更多的数据库安全技术和对常见的数据库攻击的一些防范措施,并借鉴到今后的实际开发项目中去,更好的保护客户的权益。 二、实施方案概要 本次的数据库主要基于我们比较熟悉的SQLSever进行。 为了保障用户的数据的存储安全,保障数据的访问安全,我们应该对拘束看的用户采取监控的机制,分布式的处理各种应用类型的数据即采取三层式数据库连接的机制。 1、用户权限 当一个数据库被建立后,它将被指定给一个所有者,即运行建立数据库语句的用户。通常,只有所有者(或者超级用户)才能对该数据库中的对象进行任何操作,为了能让其它用户使用该数据库,需要进行权限设置。应用程序不能使用所有者或者超级用户的账号来连接到数据库,因为这些用户可以执行任何查询,例如,修改数据结构(如删除表格)或者删除所有的内容,一旦发生黑客事件数据库的安全将会岌岌可危。 2、访问权限 可以为应用程序不同的部分建立不同的数据库账号,使得它们职能对数据库对象行使非常有限的权限。对这些账号应该只赋予最需要的权限,同时应该防止相同的用户能够在不同的使用情况与数据库进行交流。这也就是说,如果某一个入侵者利用这些账号中的某一个获得了访问数据库的权限,他们也仅仅能够影响
浅析计算机数据库的安全防范技术 1做好计算机数据库安全防范的重要意义 1.1做好数据库安全管理就是保护数据资源的完整性和真实性。数据库是计算机应用程序使用者保存资料的仓库,无论是企业用户、政府用户还是个人用户都逃脱不了与数据库之间的关系,任何一个应用程序、应用系统的使用都需要有数据库来保存资料。而任何数据库安全都会造成数据信息的泄漏或者损害,其后果将是不堪设想的。最典型的莫过于美国军方系统的泄密,这其实也是一起数据库安全问题,因此做好数据库安全其实就是在保护所储存资料的安全性和完整性,避免因不法侵害而导致资源丢失或损害。 1.2做好数据库安全管理就是保护企业网站或系统的正常运作。无论是采取两层架构还是三成架构,计算机应用程序最终都必须通过对数据库的访问来实现程序的正常运行,常见的如QQ聊天工具、各大网站的门户网站、办公软件、办公系统等,其使用和运行都必须访问数据库。一旦数据库出现问题,那么相应的系统和软件就会崩溃无法运行,网站就会瘫痪。所以只有搞好数据库安全管理,避免数据库遭受攻击或者出现其他损害,才能够确保网站或计算机应用系统的正常运行。 1.3做好数据库安全管理就是要减少经济损失。数据库遭受攻击或者人为损坏主要会带来两方面的经济损害,一种是直接损失,即数据库损毁、应用系统和网站崩溃的损失,计算机用户必须重新投入大量的人力物力才能把系统回复到原来状态,势必造成巨大的经济成本。另一种是间接损失,如银行信息泄露造成的储户资金被盗取盗用的危险,企业系统资料被盗取造成的企业机密泄漏的危险。这些也同样会造成巨大的经济成本,其危害甚至远远高于系统瘫痪的损失。因此,保护好数据库安全就是在保护计算机用户的经济利益,降低用户因数据库安全问题而带来的经济损失。 2应用多种技术全而防范计算机数据库安全 2.1利用三层架构搭建应用系统框架,提高数据库安全性 在三层架构出现之间,计算机应用系统的编写主要是两层架构,在这种架构下,计算机应用系统只有两个层次,一个是客户端,一个是服务器,由客户端直接把命令下达给服务器,从而实现对数据库的操作。由于系统缺乏一个对前端命令过滤分析的机制,因此这种架构系统非常容易遭受攻击。而三层架构则是在表现层和数据层之间添加了业务层,所有的命令都要经过命令层进行分析处理,再由命令层向数据库进行数据调取,最后再传回给客户端供计算机用户使用。这样就可以通过业务层对命令进行过滤分析,甚至设置相应的访问权限,就较好的保护了后端数据层,提高了系统安全性能减少了系统遭受攻击的可能性。 2.2合理选择编程语言,减少系统漏洞,加强数据库防护 同样的应用系统使用不同的编程语言也会带来不同的安全防护效果,比如普通网站的架构,如果是适用P HP或者.N ET进行编写,其安全性就不如J AVA语言那么高,这是由于不同的编程语言有其自身的特性和架构方法所引起的。相比较而言,J AVA语言具有较好的跨平台、多线程、安全性等特性,所编写的应用系统安全性会更高,这也是目前很多门户网站
第九章数据库安全性习题解答和解析 1. 1.什么是数据库的安全性 答:数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。 2. 2.数据库安全性和计算机系统的安全性有什么关系 答:安全性问题不是数据库系统所独有的,所有计算机系统都有这个问题。只是在数据库系统中大量数据集中存放,而且为许多最终用户直接共享,从而使安全性问题更为突出。 系统安全保护措施是否有效是数据库系统的主要指标之一。数据库的安全性和计算机系统的安全性,包括操作系统、网络系统的安全性是紧密联系、相互支持的。 3.试述可信计算机系统评测标准的情况,试述TDI/TCSEC标准的基本内容。 答:各个国家在计算机安全技术方面都建立了一套可信标准。目前各国引用或制定的一系列安全标准中,最重要的是美国国防部(DoD)正式颁布的《DoD可信计算机系统评估标准》(Trusted Computer System Evaluation Criteria,简称 TCSEC,又称桔皮书)。(详细介绍参见《概论》。 TDI/TCSEC标准是将TCSEC扩展到数据库管理系统,即《可信计算机系统评估标准关于可信数据库系统的解释》(Trusted Database Interpretation 简称TDI, 又称紫皮书)。在TDI中定义了数据库管理系统的设计与实现中需满足和用以进行安全性级别评估的标准。 TDI与TCSEC一样,从安全策略、责任、保证和文档四个方面来描述安全性级别划分的指标。每个方面又细分为若干项。这些指标的具体内容,参见《概论》。 4.试述TCSEC(TDI)将系统安全级别划分为4组7个等级的基本内容。 答:根据计算机系统对安全性各项指标的支持情况,TCSEC(TDI)将系统划分为四组(division)7个等级,依次是D、C(C1,C2)、B(B1,B2,B3)、A(A1),按系统可靠或可信程度逐渐增高。 这些安全级别之间具有一种偏序向下兼容的关系,即较高安全性级别提供的安全保护包含较低级别的所有保护要求,同时提供更多或更完善的保护能力。各个等级的基本内容为:D级 D级是最低级别。一切不符合更高标准的系统,统统归于D组。 C1级只提供了非常初级的自主安全保护。能够实现对用户和数据的分离,进行自主存取控制(DAC),保护或限制用户权限的传播。
安全隐患数据系统管理规定 为推动公司安全管理工作“公开化、透明化、规范化”,体现“齐抓共管,确保安全”的原则,安检部与信息中心联合开发了“安全生产隐患数据信息系统”,经过试运行,证明这种管理模式有助于全员参与查找不安全因素,最终达到彻底消除隐患之目的。 为确保此项工作落到实处,充分调动职工参与的积极性,规范安全管理人员的行为,制定如下管理办法。 一、管理规定 (一)公司任何一位员工,均有查找不安全隐患,并向安全隐患数据库填、录的权利和义务。在OA系统上未注册的人员,可借用已注册人员的OA登录,已注册人员不许拒绝。 (二)各公司主要负责人需经常关注该数据库系统的内容,对安全员提出的处理结果与完成时限进行审核,并提供大力支持,确保隐患按期整改完成。 (三)各公司安全员作为安全生产管理专职人员,负责对在周、月及不定时检查中发现的安全生产隐患及时录入数据库系统,各公司主管安全生产的经理对此负有监督、管理责任; (四)各公司安全员对隐患整改过程,负有监督、检查的权利和义务,对不能完成整改的,要说明原因,写出书面报告,报本公司经理,经理确认、签字后,上报安检部。 (五)各公司安全员应将安全隐患数据库的使用方法,宣贯到每一个职工,并鼓励和支持他们发现和填报安全生产隐患。
(六)各公司班组负责人对在日常工作当中发现的安全生产隐患,及时录入数据库系统,未及时录入的应承担相应责任,安全员对此负有监督、管理责任。 (七)总公司安检部是安全管理的职能部门,对各种隐患的处理结果与完成期限进行跟踪与监督,发现未按要求整改的,提出处理意见并上报总公司领导。 (八)总公司信息中心对数据库的正常运行提供技术支持和服务,及时解决运行中的问题。 二、奖惩规定 (一)对于积极参与查找不安全隐患,或及时发现重大隐患的员工与管理层人员按如下办法实施奖励: 1、员工提出不安全隐患,经确认属实,每月三处以上的,根据隐患风险程度给予50-500元的奖励;发现重大隐患的给予500-2000元的奖励;并以此作为评选安全先进单位和个人的前提条件; 2、管理层人员提出不安全隐患,或处理隐患方案合理、期限及时,经确认属实,适隐患风险程度给予50-200元的奖励;对重大隐患处理及时的给予200-1000元的奖励。 (二)对于各部门经理、分公司经理(副经理)、安全员、各部门主管,不履行安全生产职责,有下列情况之一的实施处罚: 1、对在日常工作中发现了安全生产隐患,故意隐瞒不向数据库系统填报的,罚款200元; 2、对已发现的安全生产隐患,不积极采取措施处理,或对下级报送的隐患不安排,置之不理的,罚款1000元;
数据库安全机制
1.1数据库安全机制 数据库安全机制是用于实现数据库的各种安全策略的功能集合,正是由这些安全机制来实现安全模型,进而实现保护数据库系统安全的目标。 数据库系统的安全机制如图所示: 1.1.1用户标识与鉴别 用户标识是指用户向系统出示自己的身份证明,最简单的方法是输入用户ID和密码。标识机制用于惟一标志进入系统的每个用户的身份,因此必须保证标识的惟一性。鉴别是指系统检查验证用户的身份证明,用于检验用户身份的合法性。标识和鉴别功能保证了只有合法的用户才能存取系统中的资源。 由于数据库用户的安全等级是不同的,因此分配给他们的权限也是不一样的,数据库系统必须建立严格的用户认证机制。身份的标识和鉴别是DBMS对访问者授权的前提,并且通过审计机制使DBMS保留追究用户行为责任的能力。功能完善的标识与鉴别机制也是访问控制机制有效实施的基础,特别是在一个开放的多用户系统的网络环境中,识别与鉴别用户是构筑DBMS安全防线的第1个重要环节。 近年来一些实体认证的新技术在数据库系统集成中得到应用。目前,常用的方法有通行字认证、数字证书认证、智能卡认证和个人特征识别等。 通行字也称为“口令”或“密码”,它是一种根据已知事物验证身份的方法,也是一种最广泛研究和使用的身份验证法。在数据库系统中往往对通行字采取一些控制措施,常见的有最小长度限制、次数限定、选择字符、有效期、双通行字和封锁用户系统等。一般还需考虑通行字的分配和管理,以及在计算机中的安全存储。通行字多以加密形式存储,攻击者要得到通行字,必须知道加密算法和密钥。算法可能是公开的,但密钥应该是秘密的。也有的系统存储通行字的单向Hash值,攻击者即使得到密文也难以推出通行字的明文。 数字证书是认证中心颁发并进行数字签名的数字凭证,它实现实体身份的鉴别与认证、信息完整性验证、机密性和不可否认性等安全服务。数字证书可用来证明实体所宣称的身份与其持有的公钥的匹配关系,使得实体的身份与证书中的公钥相互绑定。
数据库信息系统安全风险及防范措施分析 计算机网络系统的迅猛发展标志着现代信息系统的发展迅速。人们越来越深刻地认识到信息安全的重要性。为了确保、提升数据库系统的安全性,有必要深刻地分析数据库信息系统的安全风险内容,并采取具体、有效的防范措施。信息安全数据库近年来,随着信息产业快速发展以及计算机的普及、应用,很多单位企业纷纷建立自己的数据库来存储、管理各类信息。但由于数据库的系统安全技术还不完善,系统可能随时面临遭受病毒、黑客的侵害,导致出现数据泄露现象,造成巨大损失。于是,加强、保证数据库系统安全任务迫在眉睫。 1数据库信息系统安全范畴及安全现状 1.1信息系统安全范畴 实行信息管理,信息的所有者在国家和行业法律规定之内建立安全组织,并制定符合组织的管理政策。提高内部人员的素质及安全意识,通过培训使其执行安全政策。建立审计制度来监督实施。保证信息所在的信息系统的安全必须通过技术的手段得以实施。如加密技术、访问控制技术、病毒检测、入侵检测等。只有通过技术才能实现对目标的管理。将管理和技术有机结合才能最大程度保障安全。 1.2信息系统安全管理水平低 目前,信息安全还存在一些问题,很多企业和单位的信息安全设备达不到预期的效果,没有相应技术保障,安全技术保障体系还不完善;企业和单位的相关信息安全制度和信息安全的标准还比较滞后,原因是没有充分落实安全管理制度,且安全防范意识也比较薄弱;另外,安全产品达不到相应要求、安全管理人员缺乏培训、安全经费不足等都导致了问题的发生。 1.3信息安全所面临的威胁 首先,管理方面面临的威胁:一是人员的威胁。计算机系统的发展,自动化设备的提高,使人们对信息处理过程的参与越来越少,人员降低安全意识、蓄意破坏、误操作等行为严重影响了信息的安全。二是信息安全组织的不完善。信息的安全组织不完善不能建立有效管理体系,不能有效地协调资源,也就不能够对管理体系实施有效地监督和维护,就会给信息的安全造成危害。应该规划维护、部署,建立信息安全组织管理系统。三是政策和措施的不完善。信息安全组织需要制度相应的政策、信息安全策略和高素质人才。政策指导人员按照制度进行相应的日常工作。如果缺少了安全政策就会导致滥用或误用信息处理设备,缺乏合理的使用控制和对信息系统的维护,信息的安全性也极容易受到相应危害。其次,是技术上的威胁。一是对系统的威胁。由于技术有限,传输设备、处理和信息存储系统中的漏洞很容易被木马、病毒、黑客侵入,造成损失。二是对应用的威胁。不适当的应用程序本身就存在安全隐患,误用、滥用都会是信息的安全受到威胁。
(一)数据产生/采集环节的安全技术措施 从数据安全角度考虑,在数据产生/采集环节需要实现的技术能力主要是元 数据安全管理、数据类型和安全等级打标,相应功能需要内嵌入后台运维管理系统,或与其无缝对接,从而实现安全责任制、数据分级分类管理等管理制度在实际业务流程中的落地实施 1、元数据安全管理 以结构化数据为例,元数据安全管理需要实现的功能,包括数据表级的所属部门、开发人、安全责任人的设置和查询,表字段的资产等级、安全等级查询, 表与上下游表的血缘关系查询,表访问操作权限申请入口。完整的元数据安全管理功能应可以显示一个数据表基本情况,包括每个字段的类型、具体描述、数据类型、安全等级等,同时显示这个数据表的开发人、负责人、安全接口人、所属 部门等信息,并且可以通过这个界面申请对该表访问操作权限。 2、数据类型、安全等级打标 建议使用自动化的数据类型、安全等级打标工具帮助组织内部实现数据分级 分类管理,特别是在组织内部拥有大量数据的情况下,能够保证管理效率。打标工具根据数据分级分类管理制度中定义的数据类型、安全等级进行标识化,通过预设判定规则实现数据表字段级别的自动化识别和打标。下图是一个打标工具的功能示例,显示了一个数据表每个字段的数据类型和安全等级,在这个示例中,“C”表示该字段的数据类型,“C”后面的数字表示该字段的安全等级。
数据类型、安全等级标识示例 (二)数据传输存储环节的安全技术措施 数据传输和存储环节主要通过密码技术保障数据机密性、完整性。在数据传输环节,可以通过HTTPS、VPN 等技术建立不同安全域间的加密传输链路,也可 以直接对数据进行加密,以密文形式传输,保障数据传输过程安全。在数据存储环节,可以采取数据加密、硬盘加密等多种技术方式保障数据存储安全。 (三)数据使用环节的安全技术措施 数据使用环节安全防护的目标是保障数据在授权范围内被访问、处理,防止数据遭窃取、泄漏、损毁。为实现这一目标,除了防火墙、入侵检测、防病毒、 防DDoS、漏洞检测等网络安全防护技术措施外,数据使用环节还需实现的安全 技术能力包括: 1、账号权限管理 建立统一账号权限管理系统,对各类业务系统、数据库等账号实现统一管 理,是保障数据在授权范围内被使用的有效方式,也是落实账号权限管理及审批制度必需的技术支撑手段。账号权限管理系统具体实现功能与组织自身需求有 关,除基本的创建或删除账号、权限管理和审批功能外,建议实现的功能还包括:一是权限控制的颗粒度尽可能小,最好做到对数据表列级的访问和操作权限控
2017年第11期 信息与电脑 China Computer&Communication 信息安全与管理数据库安全及其防范措施 姜?可 (北京信息职业技术学院信息中心,北京 100018) 摘 要:据调查显示近些年数据库经常出现泄漏或被盗取信息的现象,严重破坏数据库系统的稳定性和安全性,无法实现网络资源共享的目的,使网络系统陷入瘫痪的状态,直接降低数据库的使用率。为了改变这一现状,要采取相应的防范措施,控制访问对象的身份和来源,定期检测数据库的审计功能,对数据信息进行加密和权限设置,从而有效解决漏洞问题,预防数据库发生类似的问题,提高数据库的利用率。 关键词:数据库安全;数据加密;身份鉴别 中图分类号:TP311.13 文献标识码:A 文章编号:1003-9767(2017)11-217-02 Database Security and Precautionary Measures Jiang Ke (Information Center of Beijing Information Technology College, Beijing 100018, China) Abstract: According to the survey, it is shown that the database is often leaked or stolen information in recent years, which seriously destroys the stability and security of the database system and can not realize the purpose of network resource sharing. The network system is paralyzed and directly reduces the database usage. In order to change this situation, it should take the appropriate security and preventive measures to control the identity and source of access to the object, regularly check the database audit function, Encrypt the data information and set permissions, so as to effectively solve the vulnerability problem, and prevent the occurrence of similar database problem, improve the utilization of the database. Key words: database security; data encryption; identity authentication 随着信息技术的快速发展,对数据库系统提出了更高的要求,为了能够安全使用数据库,要求用户要准确鉴别存储信息的身份,按照规定流程使用数据库系统,避免出现操作不当,致使系统出现诸多问题,影响数据库的正常使用,以全新的方式管理数据库系统,弥补传统数据库运行的不足,以免数据库系统被黑客攻击,随时检测数据库的计算功能,保证数据库始终处于稳定安全的运作状态,从而提高数据库安全防御功能。 1 当前数据安全研究存在的问题 早期数据库被广泛应用于各个领域,并获取了很多显著的研究成果,一些企业和部门对数据库投入了大量的资金,但是没有注意到数据库的安全性能,使数据库长期处于不稳定、不安全的状态,经常出现漏洞和数据丢失的问题,导致数据库无法正常使用;对数据库管理和检测不足,不能及时发现系统内部存在的不稳定因素,直接降低数据库的安全性和完整性,无法提高数据库的安全性;在使用数据库系统时,没有按照规定步骤进行操作,致使黑客侵入系统的内部,进而丢失很多重要的文件和数据信息;制定的安全策略不全面,不了解访问对象的身份,一些信息资源很可能携带病毒,严重破坏数据库系统的防御功能;数据库管理系统不完善,没有及时备份和管理数据信息,不注重加密数据信息,导致频发漏洞和丢失数据的问题。针对这一现状以下文章提出了相应的安全防范措施,从而有效解决这一问题[1]。 2 数据库安全防范措施 2.1 控制存储的信息资源 控制数据库储存的信息资源,是一种非常有效的安全防范措施。全面理解信息资源的特点,并获取储存信息资源的权限,根据不同的信息资源,用户要设计不同鉴别方式,并按照规定合理管理和控制储存的信息;为了防止其他人随意 作者简介:姜可(1974-),男,北京人,本科,中级网络工程师。研究方向:网络设计、网络安全、网络管理、网络运维、数据保障、IDC运维。
网络安全保密措施和建议 安全风险包含了物理安全、网络安全、主机系统安全、应用安全、数据库安全以及管理安全这六个方面。 1.物理安全风险 2.网络层安全风险 a)数据传输风险分析 b)网络边界风险 c)网络设备风险 d)网络服务风险 3.主机系统安全风险 4.应用安全风险 5.数据库安全风险 6.安全管理风险 那么我们的应对措施有: 一、使用访问控制机制,防止非授权用户进入网络,即“进不来”,从而保证 网络系统的可用性. 在内部网与外部网之间设置防火墙(包括分组过滤与应用代理),实现内外网的隔离与访问控制,是保护内部网安全的最主要、最有效、最经济的措施。它的基本功能是:过滤进出网络的数据;管理进出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。 1)入网访问控制 可以控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网. 用户注册时首先输入用户名和口令,服务器将验证所输入的用户名是否合法.如果验证合法,才继续验证用户输入的口令,否则,用户将被拒之网络之外.经过加密的口令,即使是系统管理员也难以得到它.还可采用一次性用户口令,也可用便携式验证器(如智能卡)来验证用户的身份. 网络管理员应该可以控制和限制普通用户的帐号使用、访问网络的时间、方式.用户名或用户帐号是所有计算机系统中最基本的安全形式用户帐号应只有系统管理员才能建立.用户口令应是每个用户访问网络所必须提交的“证件”、用户可以修改自己的口令,但系统管理员应该可以控制口令的以下几个方面的限制:最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数. 用户名和口令验证有效之后,网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量.当用户对交费网络的访问“资费”用尽时,网络还应能对用户的帐号加以限制,用户此时应无法进入网络访问网络资源.网络应对所有用户的访问进行审计.如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息. 安全效率:80% 潜在风险:用户名和口令的保管 可实施性:80% 所需设备:服务器、终端用户、专业管理软件 2)网络的权限控制 给用户赋予一定的权限.网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源.可以指定用户对这些文件、目录、设备能够执行哪些操
《数据库与安全》教学大纲 课程编码:07153097 课程名称:数据库与安全 英文名称:Database and Security 开课学期:第6学期 学时/学分:64 / 4 课程类型:专业必修课 开课专业:网络与信息安全专业本科生 先修课程:数据结构、程序设计、离散数学、操作系统、信息安全概论 选用教材:刘晖等编著,《数据库安全》,武汉大学出版社,2007.10 主要参考书: [1]张敏,徐震等编著,《数据库安全》,科学出版社 2005.7 . [2]陈越等编著,《数据库安全》,国防工业出版社 2011.7 . [3]王珊萨师煊《数据库系统概论》第4版高等教育出版社 2006.5. [4]杨冬青唐世渭等译,《数据库系统概念》,机械工业出版社 2003.3(原著:Database System Concepts,Fourth Edition,Abraham Silberschatz,Henry F.Korth, S.Sudarshan). [5]丁宝康等著,《数据库实用教程》(第三版),清华大学出版社,2007.11. 一、课程性质、目的与任务 《数据库与安全》是计算机学院网络与信息安全专业的主干课,面向实际应用,具有较强的理论性和实践性,是计算机学科教育的重要组成部分。 本课程系统、完整地讲述数据库理论与技术和数据库安全两方面内容,通过学习使学生较全面地掌握数据库系统的基本概念和基本原理,深入理解关系数据模型、关系数据理论和关系数据库系统,掌握关系数据库标准语言 SQL ;掌握数据库设计方法,具有一定的数据库设计能力;理解和掌握数据库安全访问控制、数据库安全策略、多级安全数据库的基本原理、关键机制解决方案、发展趋势和典型应用等。初步具备使用数据库技术和方法解决实际应用问题及对数据库系统的安全防护能力,为今后从事信息系统的开发及相关工作打下坚实的基础。 二、教学基本要求 1. 了解和掌握数据库系统的基本概念,基本原理及体系结构; 2. 掌握关系模型的关系运算理论,关系数据库 SQL 语言; 3. 了解和掌握关系数据库的规范化理论以及数据库设计的全过程,可以进行数据库结构的设计和简单应用系统的设计; 4. 了解数据库系统安全性保护的意义及采取的手段;掌握数据库安全的基本理论和数据库安全策略; 5.掌握数据库访问控制模型、多级安全数据库的基本原理及关键机制解决方案等; 6.了解分布式数据库及具有面向对象特征的数据库的基本概念;了解最新的数据库技术及其应用系统开发的发展趋势。
关于数据库安全及其防范方案的分析 发表时间:2017-09-29T17:09:09.160Z 来源:《基层建设》2017年第14期作者:李威[导读] 摘要:随着时代的发展,我国的计算机信息安全标准也在不断提升。计算机能够正常的运转,其中重要的部件和基础就是数据库了。 天津市天正信息系统集成服务中心天津市和平区 300000 摘要:随着时代的发展,我国的计算机信息安全标准也在不断提升。计算机能够正常的运转,其中重要的部件和基础就是数据库了。数据库的定义就是集采集、提取、存储、共享数据为一身的根本系统。数据库系统需要加强维护,确保计算机数据库能够高效率的正常运转,数据库中的信息能够被良性、高效的使用。本文就计算机数据库的安全防范策略进行了分析。 关键词:计算机数据库;安全防范;策略 1数据库安全性的内涵 数据库的安全性是指避免计算机受到病毒或则其他干扰性的侵扰,保证了计算机数据库的安全性。也能保证重要的内容不会丢失。其主要分为系统的运行安全和系统的信息安全,运行安全是指计算机的基础工作和功能的良好实现和运转,预防不法分子通过局域网控制计算机,使计算机不能够正常运转,或者是病毒也能导致计算机不能正常运转,其中危害力度都很强大,导致损失无法估量。 2 数据库安全的威胁 2.1计算机病毒的威胁 计算机病毒是人为编写的程序,通常由不法分子加入到正常计算机程序中,达到窃取信息、破坏计算机功能的目的,并且用户在使用计算机的过程中不易发现,病毒会随着计算机使用不断自我复制,破坏力极强。计算机病毒一般都是由于用户不规范使用计算机和互联网造成的,例如没有在正规网站下载程序,病毒可能造成严重的运行负担,降低了计算机的运行效率,导致用户的信息和数据泄露、丢失,严重的可能造成系统瘫痪甚至硬件损坏。计算机病毒同样是数据库安全管理需要重视的问题之一。 2.2 黑客攻击 目前计算机网络受到黑客攻击的次数越来越多,规模也越来越大,黑客也是威胁计算机网络安全的重要因素之一。一般黑客通过计算机病毒、木马等方式入侵并控制用户的计算机,导致用户资料泄露,人身安全和财产安全受到威胁。 2.3. 对数据的威胁 篡改、伪造、窃取等手段造成数据泄露和失效,其损失也是不言而喻的。四是对物理面造成威胁。信息的存储、传输、产生、使用、处理等的环节离不开物理环境。物理环境就是信息的载体,没有物理环境信息也将荡然无存。 2.4 损坏 现阶段,丢失以及破坏数据库中的数据成为数据库所面临的一个严重的威胁。通过直接破坏、感染病毒等方式来部分或者全部删除数据库中的数据。直接破坏就是指这一破坏行为具有直接性,但是这一行为是由谁所为的不能确定下来,所以在处理起来是比较麻烦的。如果是外部人员所为的,此时可以采取简单的安全防护措施来解决这一问题,如果是内部人员所为的,在解决这一问题就比较困难,原因那就是内部人员的流动性较大。有一部分人员处于好奇心小幅度的修改数据,致使数据库不可读或者导致数据丢失。 3 数据库的安全防范对策 3.1数据加密 对数据库进行加密,是保证数据库资源安全的最有效措施之一。利用对数据库的加密,可以保证用户的信息安全,将由于数据的备份失窃或者丢失所造成的损失进一步降低。这里所说的加密在实质上来说就是将一些明文的数据信息转化成无法识别的密码文件,数据的加密过程就是这个转化的过程。一般的情况下,数据库的加密和解密都是在一起的,组成了加密系统,其主要包括的几个部分有:①进行加密和解密的计算方法;②要进行加密的文件;③经过加密之后所形成的文件;④在加密以及解密上所用的钥匙。在加密上比较简单的一种方法就是利用中间件来对数据库进行加密,具体地来说就是通过外层以及内核的加密来完成加密的过程,以此来达到数据库加密的目的。 3.2进行身份的鉴别 所谓的身份鉴别就是进行真实身份及其验证身份的配比,这样可以避免欺诈及其假冒行为的发生。身份鉴别模式的应用,表现在用户使用计算机系统进行资源访问时。当然在一些特定情况下,也要进行身份鉴别,比如对某些稀缺资源的访问。 身份鉴别通常情况下可以采用以下三种方法:一是通过只有被鉴别人自己才知道的信息进行鉴别,如密码、私有密钥等;二是通过只有被鉴别人才拥有的信物进行鉴别,如IC卡、护照等;三是通过被鉴别人才具有的生理或者行为特征等来进行鉴别,如指纹、笔迹等。 3.3网络安全防范技术 (1)防火墙安全防范技术,这是目前应用比较普遍的安全防范技术,也比较成熟,对于个人用户一般使用软件防火墙,对于企业、机关等需要将软件防火墙和硬件防火墙结合起来使用。例如著名的微软ISA系列防火墙,防火墙主要是通过过滤信息起到安全防范作用。 (2)入侵检测技术,入侵检测系统分为4个组件,分别是:事件数据库、响应单元、事件分析器、事件产生器。 事件产生器从计算环境中得到事件,然后向系统其它终端提供事件。事件分析器分析数据之后产生结果。响应单元做出改变文件属性、切断连接等反应。事件数据库可以是简单的文本文件,也可以是复杂的数据库,终端数据和各种中间数据被存放在这里。入侵系统的型式因所检测对象的不同而异。分为网络型和主机型。网络型入侵的数据源是网络数据包。它可以通过一台终端的网卡对任何网段内的数据包进行收集、判断。主机型检测系统以应用程序日志、系统日志等为数据源,这种系统在被监测的系统上运行,并监测进程的合法性。 (3)协同入侵检测技术,木马攻击和黑客攻击手段越来越多,频率也越来越高,依靠单一检测技术很难防范,专家因此提出了协同入侵检测技术,通过组件结合实现全面、多方位的入侵防范。 3.4合理运用计算机安全防范中的存取控制技术 数据库的存取控制技术就是指对数据信息资源进行控制以及合理的管理,保证用户数据信息具有安全性。与此同时为了避免没有授权的用户进入到计算机数据库里,因此要采取存取控制技术。 3.5 对数据库进行安全审计