摘要：在未來(lái)陸、海、空、天、電各維空間一體的現代戰爭中，制信息權將成為決定戰爭勝負的關(guān)鍵，研究如何保衛信息系統的核心——數據庫，提高其安全性顯得尤為重要。本文分析了目前信息系統中數據庫在管理機制、系統軟件、技術(shù)手段等方面存在的安全隱患。從管理機制和技術(shù)手段兩方面入手，從健全完善管理、安全評估、審計等制度，加強各種加密手段、防火墻和入侵檢測、備份恢復等先進(jìn)有效技術(shù)手段方面進(jìn)行了研究和探討。

    關(guān)鍵詞：信息系統；數據庫；安全；策略

    Abstract: In the future modern war with the spatial integration of land, sea, skyand aerospace and eletromagnetism, information dominance plays a key role in thedecision of the outcome of the war. And in this case, it is of particular importanceto conduct reaserches on how to protect the core of the information system,i.e. database, and to increase its safety.This paper sets forth the potential safetyhazards existing in the management system, software system and technology ofthe database in the information system. And then, starting from the analysis ofthe management system and technology, we study and probe into improving themanagement, safety evaluation and audit system, and strenthening the variousadvanced tehcnologies such as encryption methods, firewall, intrusion detectionsystem and backup recovery.

    Key words: Information system; Database; Security; Strategy

    1 引言

    隨著(zhù)信息技術(shù)的高速發(fā)展，信息系統在各個(gè)領(lǐng)域得到廣泛應用。尤其在現代戰爭中，信息將陸、海、空、天、電各維空間聯(lián)結為一體化戰場(chǎng)，制信息權將成為作戰雙方爭奪的焦點(diǎn)，并成為決定戰爭勝負的關(guān)鍵，信息系統在現代戰爭中的重要性越來(lái)越突出，對信息系統的防護、攻擊和破壞將成為作戰雙方重點(diǎn)關(guān)注的問(wèn)題。

    如何保證信息系統中存儲信息不被竊取和破壞，如何保證存儲信息安全的可控性和容災能力，是一個(gè)重要且亟待解決的課題。

    2 信息系統中數據庫面臨的安全威脅

    作為信息系統核心的數據庫系統， 集中存放了大量重要且敏感的數據。一旦數據庫中數據遭到破壞或竊取， 其損失難以估量?？梢哉f(shuō)信息系統數據庫的安全直接影響系統的正常運轉。

    在未來(lái)以信息為主導的作戰中，制信息權的攻防將圍繞信息獲取、信息傳輸、信息存取和處理等環(huán)節進(jìn)行，一方面，數據庫作為指揮信息系統的核心，是信息的重要集中地，所存儲數據的重要性和價(jià)值對攻擊者有強大的吸引力，往往成為攻擊的主要目標。另一方面，信息系統軟件和硬件環(huán)境等因素決定了數據庫安全機制存在許多不足，數據庫系統本身的弱點(diǎn)也使其成為易受攻擊的目標，數據庫的數據需要經(jīng)常更新等其它操作，這些都可能被攻擊者利用。同時(shí)，信息系統的網(wǎng)絡(luò )化也使數據庫受到攻擊的空間、時(shí)間和可能性都大大增加。

    通過(guò)分析可以認為數據庫的安全面臨著(zhù)前所未有的嚴峻形勢，以數據庫為基礎支撐的信息系統安全問(wèn)題也日益突出。信息系統中數據庫面臨的安全威脅主要體現在以下幾方面：軟件和硬件環(huán)境出現意外， 如磁盤(pán)損壞， 系統崩潰等；計算機病毒可能造成系統崩潰， 進(jìn)而破壞數據；對數據庫的不正確訪(fǎng)問(wèn)， 引起數據庫中數據的錯誤；為了某種目的， 故意破壞數據庫；未經(jīng)授權非法訪(fǎng)問(wèn)數據庫信息， 竊取其中的數據；未經(jīng)授權非法修改數據庫中的數據， 使其數據失去真實(shí)性；通過(guò)網(wǎng)絡(luò )對數據庫的訪(fǎng)問(wèn)遭到偵聽(tīng)；通過(guò)網(wǎng)絡(luò )對數據庫進(jìn)行各種非法存??；通過(guò)網(wǎng)絡(luò )破壞數據庫系統的完整性、可用性等；對網(wǎng)絡(luò )數據庫進(jìn)行拒絕式服務(wù)攻擊。

    3 ORACLE數據庫系統安全分析

    美國ORACLE公司的ORACLE系統是當前主要的數據庫管理系統之一，已被廣泛使用。該系統提供了多級安全管理機制，安全性上達到美國C2級標準，但仍存在許多安全隱患和不足。

    3.1 ORACLE系統的安全管理機制

    ORACLE系統主要提供了多級安全管理機制。

    數據庫級安全。即提供用戶(hù)名和口令控制對數據庫的操作。每個(gè)存取ORACLE數據庫的用戶(hù)，在存取數據庫前必須申請一個(gè)ORACLE系統用戶(hù)名和口令，用戶(hù)的注冊信息存放在ORACLE系統的數據字典中，例如：用戶(hù)是否有CONNECT，RESOURCE或者DBA特權；用戶(hù)缺省的表空間信息；在每個(gè)表空間中用戶(hù)的空間限額等。每當一個(gè)用戶(hù)連接一個(gè)數據庫時(shí)，ORACLE系統自動(dòng)檢查用戶(hù)名和口令是否合法。

    表級的安全。ORACLE系統除了在數據庫級提供了安全存取機制外，在表級，行級，列級也有相應的安全存取措施。表的擁有者可以把自己擁有表的操作權授予其它用戶(hù)或隨時(shí)回收這些權利。

    審計功能。ORACLE的審計功能是一種主要的安全措施，利用審計功能系統管理員可用來(lái)監視用戶(hù)對ORACLE數據庫實(shí)施的操作及數據庫系統運行中的有關(guān)情況。

    系統備份與恢復功能。數據備份與恢復是實(shí)現數據庫系統安全運行的重要技術(shù)。盡管采取了許多措施來(lái)保證數據庫系統的安全性， 然而計算機系統中的軟、硬件故障及操作的失誤和人為的破壞仍是不可避免的， 并且在網(wǎng)絡(luò )環(huán)境中還會(huì )產(chǎn)生一些通信故障， 如報文丟失和網(wǎng)絡(luò )分割等， 這經(jīng)常造成數據庫的破壞。為防止重要數據的丟失或損壞，數據庫管理員應及早做好數據庫備份，當系統發(fā)生故障時(shí)，管理員就能利用已有的數據備份，把數據庫恢復到原來(lái)的狀態(tài)，以便保持數據的完整性和一致性。

    Or a c l e系統提供了三種備份辦法：導出/導入（Expor t /Import）、冷備份、熱備份。

    3.2 ORACLE系統自身存在的安全隱患分析

    ORACLE系統是外國公司開(kāi)發(fā)的數據庫管理系統，由于缺乏DBMS的源代碼和相關(guān)資料，外人無(wú)法對DBMS進(jìn)行代碼分析，更無(wú)從進(jìn)行安全性分析。更危險的是在信息戰的條件下敵人完全可能根據我國的購買(mǎi)部門(mén)、用途而故意在原有的標準DBMS上進(jìn)行修改，注入各種不同的惡意代碼，在特定條件下觸發(fā)危害數據庫安全。通過(guò)分析可以發(fā)現ORACLE系統可能存在以下安全隱患。

    （1）DBMS在身份認證上留有后門(mén)，從而使敵人能夠繞過(guò)正常的身份認證過(guò)程。而身份認證本質(zhì)上是根據用戶(hù)帳號以及相應的認證信息賦予該用戶(hù)正確身份的過(guò)程，因此可能存在以下主要威脅：

    • 存在隱藏帳號。不管數據庫的安全管理員是如何設定帳號的，敵人都能夠通過(guò)它們輕松進(jìn)入系統，取得很高的系統權限。

    • 存在“萬(wàn)能鑰匙”。惡意的DBMS故意在身份認證模塊中引入了某種形式的“萬(wàn)能鑰匙”。不管系統配置為通過(guò)口令驗證或基于物理憑證驗證，敵人只要輸入一組特殊的口令或插入特殊的物理憑證就能假冒任何用戶(hù)的身份。

    • 惡意模塊協(xié)作。惡意代碼可能觸發(fā)后端的訪(fǎng)問(wèn)控制模塊、處理模塊以及審計模塊，以協(xié)助、掩蓋敵人的行動(dòng)。例如通知訪(fǎng)問(wèn)控制模塊提供特權、通知處理模塊提升該用戶(hù)的優(yōu)先級使其盡快完成攻擊動(dòng)作，而且審計模塊將不記錄敵人的相關(guān)動(dòng)作或故意為敵人偽造一些“正常”的操作記錄。

    （2）DBMS在授權上留有后門(mén)，從而敵人進(jìn)行的某些操作可以繞過(guò)正常的訪(fǎng)問(wèn)控制機制。訪(fǎng)問(wèn)控制的本質(zhì)是根據給定主體、客體以及訪(fǎng)問(wèn)動(dòng)作的相關(guān)信息，做出是否允許訪(fǎng)問(wèn)的決定。因此惡意的訪(fǎng)問(wèn)控制模塊也可能造成以下威脅：

    • 特殊主體觸發(fā)。某些訪(fǎng)問(wèn)控制的主體能夠觸發(fā)訪(fǎng)問(wèn)控制模塊產(chǎn)生錯誤的決定。

    • 特殊動(dòng)作觸發(fā)。某些訪(fǎng)問(wèn)控制的動(dòng)作能夠觸發(fā)訪(fǎng)問(wèn)控制模塊產(chǎn)生錯誤的決定。

    • 特殊客體觸發(fā)。某些訪(fǎng)問(wèn)控制的客體能夠觸發(fā)訪(fǎng)問(wèn)控制模塊產(chǎn)生錯誤的決定。

    • 完全繞過(guò)整個(gè)訪(fǎng)問(wèn)控制模塊。敵人還可能采取措施繞過(guò)整個(gè)訪(fǎng)問(wèn)控制模塊，直接進(jìn)入數據處理模塊，操作客體。

    （3）DBMS的數據處理模塊中有惡意代碼，可能造成以下威脅：

    • 能夠在關(guān)鍵時(shí)刻自動(dòng)(或由某些符合SQL語(yǔ)法的特殊的數據處理指令激活)改動(dòng)、插入或刪除數據?；蜃詣?dòng)將高級別的數據復制為低級別的數據。

    • 通過(guò)特殊數據處理指令，觸發(fā)其它模塊的惡意動(dòng)作。例如觸發(fā)身份認證模塊動(dòng)態(tài)修改該Session對應的身份，從而由訪(fǎng)問(wèn)控制模塊中取得特權，同時(shí)審計模塊不記載敵人的后繼攻擊活動(dòng)。

    （4）DBMS在審計上留有后門(mén)，從而：

    • 不記載敵人的攻擊活動(dòng)。使得敵人的攻擊活動(dòng)不留下任何痕跡。

    • 將攻擊活動(dòng)偽造為某些正常的活動(dòng)。

    • 陷害好人。故意偽造審計記錄，說(shuō)明某人曾進(jìn)行了某些惡意動(dòng)作。

    3.3 數據庫系統日常管理中的安全隱患分析

    信息系統數據庫在日常維護使用中，由于數據庫系統自身原因、應用軟件的問(wèn)題、維護使用管理制度的漏洞以及使用人員的不同情況，使數據庫系統存在許多安全隱患。

    （1）數據管理上存在安全隱患。為安全起見(jiàn)，數據庫的數據必須進(jìn)行定期備份，但是如何進(jìn)行定期備份，備份后的數據如何存放和管理的相關(guān)制度不夠完善，這些都直接關(guān)系到數據的安全。

    （2）人員配置上存在安全隱患。由于系統超級管理員權限過(guò)大，而對ORACLE數據庫編程和瀏覽的一般用戶(hù)常常具有數據庫管理員權限，能瀏覽所有數據并對數據庫系統做任何修改或刪除。因此如何選配系統超級管理員以及如何合理分配用戶(hù)權限都直接關(guān)系到數據庫的安全。

    （3）數據庫管理、維護人員業(yè)務(wù)能力也關(guān)系到數據庫的安全。由于操作不當，或維護軟件、硬件出現故障時(shí)處置錯誤將造成數據出錯、丟失甚至數據庫系統崩潰。

    4 數據庫系統安全策略探討

    數據庫的安全策略主要是維護數據信息的完整性、保密性和可用性。雖然數據庫存在各種不安全因素，但是采取科學(xué)有效的安全防護策略將極大提高數據庫的安全性。各種安全防護策略一般可歸納為管理機制和技術(shù)手段兩方面。

    4.1 建立科學(xué)、完善的數據庫管理機制

    嚴格的科學(xué)管理可極大提高數據庫的安全性?？茖W(xué)、完善的管理制度可堵塞許多安全上的漏洞，消除安全隱患。

    制定數據庫軟硬件管理制度。針對數據庫軟硬件管理制定嚴格規定，有關(guān)數據庫的設備及標準、軟件、文檔等必須按保密規定進(jìn)行安全管理；數據庫服務(wù)器應當安置在由技術(shù)保障單位管理和使用、有人24小時(shí)全時(shí)值守、并具備防電磁輻射設施或者干擾設備的機房?jì)?；采集設備應當安置在具備保密安全設施的場(chǎng)所；應用設備應安置在指定場(chǎng)所，并配備必要的防電磁輻射干擾設備。

    制定管理人員和終端用戶(hù)安全管理制度。針對管理人員和終端用戶(hù)制定安全性管理規定，要求必須嚴格按保密規定配備作戰數據庫的系統管理員；系統管理員、數據維護人員和使用人員的安全管理權限嚴格區分；除系統管理員外，任何人嚴禁操作數據庫服務(wù)器、網(wǎng)絡(luò )服務(wù)器和系統管理終端。使用“角色”對終端用戶(hù)進(jìn)行權限管理。作戰數據庫的任何操作，必須通過(guò)“用戶(hù)名”和“口令”的核查，并自動(dòng)記錄使用情況；用戶(hù)及口令的建立、分配、使用和注銷(xiāo)由使用管理工作主管部門(mén)確定并授權技術(shù)保障單位統一管理，過(guò)期用戶(hù)應當及時(shí)注銷(xiāo)，有效用戶(hù)的口令應當定期更新。同時(shí)限制遠程訪(fǎng)問(wèn)的超級用戶(hù)權限。

    制定定期的安全評估和檢測的制度。通過(guò)定期的安全評估了解目前數據庫安全的現狀，了解安全對策的執行情況。通常，評估的內容采用基本安全對策中的項目，以及相關(guān)環(huán)境的一些安全漏洞。定期查看所有日志和日志記錄機制以檢測數據庫使用情況。

    制訂完善的數據庫備份制度。定期的進(jìn)行數據備份是減少數據損失的有效手段，能讓數據庫遭到破壞（惡意或者誤操作）后，恢復數據資源。同時(shí)嚴格按保密規定存儲和使用備份的數據。

    建立完善的審計制度。針對現有的數據庫管理系統的審計保護功能存在不足，可實(shí)施安全對策加以改進(jìn)，提高安全性：設置審計員、數據庫用戶(hù)、系統安全員3類(lèi)，這三者相互牽制，各司其職，分別在3個(gè)地方進(jìn)行審計控制。為了保證數據庫系統的安全審計功能，還需要考慮到系統能夠對安全侵害事件做出自動(dòng)響應，提供審計自動(dòng)報警功能。當系統檢測到有危害到系統安全的事件發(fā)生并達到預定的閾值時(shí)，要給出報警信息，同時(shí)還會(huì )自動(dòng)斷開(kāi)用戶(hù)的連接，終止服務(wù)器端的相應線(xiàn)程，并阻止該用戶(hù)再次登錄系統。

    4.2 加強先進(jìn)有效技術(shù)手段的研究應用

    目前，我們通常使用的操作系統平臺和數據庫管理系統是國外產(chǎn)品，其后端DBMS是不可信的。為保障數據庫安全，必須在DBMS加密、存儲干擾及對抗技術(shù)、入侵檢測和備份恢復技術(shù)等方面進(jìn)行研究，綜合采用有效手段，提高數據庫的安全性、可靠性。

    （1）研究并采用各種加密手段。ORACLE董事長(cháng)拉里•埃里森在Oracle OpenWorld大會(huì )上，談到了一個(gè)觀(guān)點(diǎn)——要保護數據庫安全，關(guān)鍵在于加密。他還認為，我們不僅要為發(fā)往互聯(lián)網(wǎng)的數據庫中的數據加密，還要為從硬盤(pán)轉移到后端系統的過(guò)程中的數據加密。他還建議禁止用戶(hù)在沒(méi)有進(jìn)行加密的情況下實(shí)施數據備份。

    由于DBMS是國外產(chǎn)品，因此重點(diǎn)要研究DBMS加密。DBMS加密一般考慮在OS層、DBMS內核層和DBMS外層三個(gè)不同層次實(shí)現對數據庫數據的加密。在OS層加密無(wú)法辨認數據庫文件中的數據關(guān)系，從而無(wú)法產(chǎn)生合理的密鑰，對密鑰合理的管理和使用也很難，所以很難實(shí)現。在DBMS內核層實(shí)現加密是指數據在物理存取之前完成加/解密工作。優(yōu)點(diǎn)是加密功能強，并且加密功能幾乎不會(huì )影響DBMS的功能，可以實(shí)現加密功能與數據庫管理系統之間的無(wú)縫耦合。缺點(diǎn)是加密運算在服務(wù)器端進(jìn)行，加重了服務(wù)器的負載，而且DBMS和加密器之間的接口需要DBMS開(kāi)發(fā)商的支持。在DBMS外層實(shí)現加密。比較實(shí)際的做法是將數據庫加密系統做成DBMS的一個(gè)外層工具，根據加密要求自動(dòng)完成對數據庫數據的加/解密處理。采用這種加密方式進(jìn)行加密，加/解密運算可在客戶(hù)端進(jìn)行，優(yōu)點(diǎn)是不會(huì )加重數據庫服務(wù)器的負載并且可以實(shí)現網(wǎng)上傳輸的加密，缺點(diǎn)是加密功能會(huì )受到一些限制，與數據庫管理系統之間的耦合性稍差。因此，在DBMS外層實(shí)現加密方法目前研究使用較多，可以較好減少原DBMS在身份認證等方面的安全隱患。

    （2）運用防火墻和入侵檢測技術(shù)構建安全增強的數據庫系統?？稍诰W(wǎng)絡(luò )層次上采用防火墻和入侵檢測技術(shù)等安全防范技術(shù)，同時(shí)考慮任何系統不可能保證完全不受攻擊，所以在保證系統有效的防御措施后，還需要保證系統在遭受到攻擊后，系統的自診斷、修復和重構能力，可以保證數據的完整性和可用性，即數據庫系統的可生存能力。它使系統具有彈性，能承受一定限度的攻擊，在系統攻擊后仍然可以為合法用戶(hù)提供不間斷的服務(wù)?？煽紤]建立一種基于容忍入侵的數據庫安全體系結構，即“外層防御+ 中間層入侵檢測+內層容忍入侵”三層防御的數據庫系統，如圖1所示。

                    
                           圖1 三層防御的數據庫系統示意圖

    容忍入侵的數據庫安全體系結構由三個(gè)層次構成：外層－防御：防御的主要策略有防火墻、認證、訪(fǎng)問(wèn)控制、加密、消息過(guò)濾、功能隔離等?？蛻?hù)訪(fǎng)問(wèn)數據庫系統時(shí)，首先要經(jīng)過(guò)防火墻過(guò)濾，客戶(hù)與服務(wù)器進(jìn)行互相認證，必要時(shí)對機密信息進(jìn)行加密。中間層－入侵檢測：入侵檢測系統(DIS) 監視系統運行情況，分析系統日志文件和應用程序日志等信息檢測入侵，并對攻擊進(jìn)行識別以確定攻擊造成的影響。入侵檢測系統己經(jīng)成為安全防御系統的重要組成部分， 是對防火墻的一個(gè)重要補充。內層－容忍入侵：容忍入侵技術(shù)主要考慮在入侵存在的情況下系統的生存能力，保證系統關(guān)鍵功能的安全性和健壯性。

    （3）加強備份、恢復技術(shù)的研究及應用。數據庫系統運行中，軟硬件發(fā)生故障，造成系統崩潰的情況是有可能的。因此研究數據備份、恢復技術(shù)，應對系統崩潰的突發(fā)是必須的。信息戰條件下數據恢復機制與傳統的恢復機制有所不同。在數據庫領(lǐng)域，傳統的數據庫恢復機制是為了保持事務(wù)的連續性，并不是用來(lái)處理惡意事務(wù)的。而在信息戰中，在被檢測到之前，惡意事務(wù)可能已完成且已提交，可能已造成破壞，因此必須加強研究信息戰條件下的數據庫恢復技術(shù)。

    （4）研究使用存儲干擾及其對抗技術(shù)應對信息攻擊。存儲干擾是指惡意地、悄悄地修改系統中保存的數據， 以便間接干擾依賴(lài)這些數據的關(guān)鍵應用。例如，隱藏在DBMS或應用程序中的惡意的存儲干擾軟件(Jammer) 在其宿主運行過(guò)程中悄悄地修改數據庫中某些數據項， 經(jīng)過(guò)一段時(shí)間之后， 系統顯示我方的倉庫中還有許多備有物資， 而實(shí)際上早已用完了。這里的存儲干擾與通訊干擾不同， 秘密性是它的一個(gè)重要特性，它一旦被發(fā)現， 很容易被終止。因而對抗技術(shù)的重點(diǎn)是如何發(fā)現Jammer的存在。

    存儲干擾的檢測技術(shù)主要有三種：①依據一些特殊的數據完整性約束， 檢測軟件可以很有效地校驗這些約束；②將系統相關(guān)的數據依賴(lài)分布到多個(gè)程序和多個(gè)數據域， 使得處于單一區域的Jammer無(wú)法偽造出與其他域中的數據一致的干擾數據；③引進(jìn)一些偽造的檢測數據(Detection Ob2ject)，它們看起來(lái)像是應用數據的一部分， 但是實(shí)際上從不使用。如果它們被更改了，判斷Jammer存在的可能性就很大。另外， 從防御性信息戰的角度看，存儲干擾技術(shù)也可以用于保護重要的數據庫。它通過(guò)故意在數據庫中引入一些偽造的數據目標(Bogus Values) ，能夠有效地欺騙攻擊者， 使其無(wú)法確認哪些數據是關(guān)鍵數據， 從而迷失攻擊目標。DBMS負責確保這些偽造的數據不會(huì )返回給合法的用戶(hù)或應用。如何合理地平衡系統欺騙敵人的能力和DBMS的復雜度代價(jià)是一個(gè)關(guān)鍵問(wèn)題， 尚在研究之中。

    5 結束語(yǔ)

    總之，信息戰的嚴峻形勢、數據庫結構的復雜性，使數據庫的安全技術(shù)面臨著(zhù)諸多的突破難點(diǎn)，目前數據庫安全技術(shù)和防護策略尚不夠成熟，還處在研究探討階段，信息戰條件下數據庫安全工作還需進(jìn)行更多更深入的研究。

    參考文獻：

    [1] Ammann P E, Jajodia S, McDermott C D. etal1Survivinginformation warfareattacks on databases [C]. 1Proceedings of the IEEE Symposium on Security andPrivacy, 1997, 6: 32–331.

    [2] Graubart R, Schlipper L. McCollum C1Defending data2base managementsystem against information warfare at2tacks [R]. 1TheM ITRE Corporation,1996.

    [3] Panda B. Sani T1Data dependency based logging for de2 fensiveinformation warfare [C]. 1Proceedings of the ACMS ymposium on App liedComputing, 2000.

    [4] 布里森（美）著(zhù), 王軍德, 王海峰譯.Oracle 9i Unix管理手冊[M]. 北京: 機械工業(yè)出版社.

   [5] 王海亮. 精通Oracle 10g SQL和PL/SQL. 水利水電出版社, 2007.

   [6] 王國鑫, 孟憲勇. 信息安全技術(shù)發(fā)展趨勢分析[J]. 辦公自動(dòng)化雜志,2008(3).

   [7] 李素華. 數據庫管理安全措施分析[J]. 黃河水利職業(yè)技術(shù)學(xué)院學(xué)報,2007(10).

   [8] 李東風(fēng), 謝昕. 數據庫安全技術(shù)研究與應用[J]. 計算機安全, 2008(1).

    吳遠成（1973-）男，大專(zhuān)，助理工程師，湖北宜都人，現就職于中船重工集團公司第七一零研究所，主要從事電子技術(shù)方面的研究。

   摘自《自動(dòng)化博覽》2011年第八期