馬現(xiàn)虎1 許 力1 金華松2

（1.福建師范大學(xué)網(wǎng)絡(luò)安全與密碼技術(shù)實(shí)驗(yàn)室，福建福州350007；2.福建省海峽信息技術(shù)有限公司，福建福州350001）

1.引言

數(shù)據(jù)庫(Database)是按照數(shù)據(jù)結(jié)構(gòu)來組織、存儲(chǔ)和管理數(shù)據(jù)的集合。這些數(shù)據(jù)是結(jié)構(gòu)化的，無有害的或不必要的冗余，并為多種應(yīng)用服務(wù)；數(shù)據(jù)的存儲(chǔ)獨(dú)立于使用它的程序；對(duì)數(shù)據(jù)庫系統(tǒng)插入新數(shù)據(jù)、修改和檢索原有數(shù)據(jù)均能按一種公用的和可控制的方式進(jìn)行。當(dāng)某個(gè)系統(tǒng)中存在結(jié)構(gòu)上完全分開的若干個(gè)數(shù)據(jù)庫系統(tǒng)時(shí)，則該系統(tǒng)包含一個(gè)“數(shù)據(jù)庫集合”。數(shù)據(jù)庫是計(jì)算機(jī)信息系統(tǒng)的核心組成部分，從誕生到現(xiàn)在，已經(jīng)廣泛地深入到國防、教育、商貿(mào)等計(jì)算機(jī)應(yīng)用的各個(gè)領(lǐng)域。隨著網(wǎng)絡(luò)和信息技術(shù)的快速發(fā)展和日益普及，信息化成為現(xiàn)代企事業(yè)單位生存的必要條件。信息共享是網(wǎng)絡(luò)數(shù)據(jù)庫廣泛應(yīng)用的基礎(chǔ)。數(shù)據(jù)庫是網(wǎng)絡(luò)的重要運(yùn)用。政府、金融、電子商務(wù)及企業(yè)等行業(yè)都紛紛建立起各自的數(shù)據(jù)庫應(yīng)用系統(tǒng)，并將大量的數(shù)據(jù)保存在開放的數(shù)據(jù)庫中。由于各個(gè)數(shù)據(jù)庫安全水平不一，容易遭受黑客攻擊，存在很多安全隱患，因此數(shù)據(jù)庫安全問題也逐步成為信息系統(tǒng)安全的核心問題。非授權(quán)訪問、弱口令、權(quán)限濫用、數(shù)據(jù)庫注入、緩沖器溢出、不安全配置、內(nèi)部攻擊等安全隱患使數(shù)據(jù)庫面臨著重大威脅，但由于數(shù)據(jù)庫系統(tǒng)通常被邊界防火墻、應(yīng)用軟件、中間件等應(yīng)用服務(wù)層層包圍，而常見的信息系統(tǒng)安全防護(hù)策略往往僅僅著眼于防火墻、入侵檢測等方面，數(shù)據(jù)庫安全問題并未得到應(yīng)有的重視。近年來，由于數(shù)據(jù)庫安全問題，每天全球的損失達(dá)數(shù)百億美元，我國國內(nèi)數(shù)據(jù)庫安全事故的報(bào)道也越來越多，因此多角度尋求解決數(shù)據(jù)庫安全問題的方法具有重要的理論和現(xiàn)實(shí)意義。

2.數(shù)據(jù)庫安全及其防護(hù)模型

2.1 數(shù)據(jù)庫安全定義

數(shù)據(jù)庫的安全性是指保護(hù)數(shù)據(jù)庫，防止因非法用戶使用數(shù)據(jù)庫而造成數(shù)據(jù)泄露或更改，同時(shí)保證數(shù)據(jù)庫不因軟硬件故障和危害的影響而不能正常運(yùn)行。數(shù)據(jù)庫的安全特性主要包括以下幾個(gè)方面：

(1)物理上的數(shù)據(jù)庫完整性[1]：數(shù)據(jù)庫中的數(shù)據(jù)不被各種自然的或物理的問題而破壞，例如：數(shù)據(jù)庫的電源被切斷以及當(dāng)被自然災(zāi)害損壞后能夠恢復(fù)數(shù)據(jù)庫；

(2)邏輯上的數(shù)據(jù)庫完整性：需要對(duì)數(shù)據(jù)庫的結(jié)構(gòu)進(jìn)行保護(hù)，比如：當(dāng)對(duì)數(shù)據(jù)庫中一個(gè)字段的值進(jìn)行修改時(shí)，不至于影響其它字段的值；

(3)元素的完整性：存儲(chǔ)在數(shù)據(jù)庫的每個(gè)元素中的數(shù)據(jù)都是準(zhǔn)確的，由經(jīng)過授權(quán)的用戶負(fù)責(zé)把正確的數(shù)據(jù)放入數(shù)據(jù)庫。數(shù)據(jù)庫管理系統(tǒng)必須幫助用戶在輸入時(shí)能發(fā)現(xiàn)錯(cuò)誤，在插入錯(cuò)誤數(shù)據(jù)后能糾正；

(4)可審計(jì)性：能夠追蹤到哪些用戶存取或者修改了數(shù)據(jù)庫中的元素；

(5)訪問控制：允許用戶訪問被授權(quán)的數(shù)據(jù)，以及限制不同的用戶有不同的訪問權(quán)限，例如有的用戶只能讀數(shù)據(jù)，不具備修改數(shù)據(jù)庫中數(shù)據(jù)的權(quán)限；

(6)身份驗(yàn)證：數(shù)據(jù)庫要求嚴(yán)格的用戶認(rèn)證，每個(gè)用戶都必須進(jìn)行身份驗(yàn)證，既便于審計(jì)追蹤，也為了限制對(duì)特定的數(shù)據(jù)進(jìn)行訪問；

(7)可用性：用戶應(yīng)該能夠訪問數(shù)據(jù)庫中所有被授權(quán)訪問的數(shù)據(jù)，并能防止和及時(shí)修復(fù)因軟、硬件系統(tǒng)的錯(cuò)誤所造成的數(shù)據(jù)庫惡性破壞、拒絕和消除數(shù)據(jù)庫垃圾。

2.2 數(shù)據(jù)庫安全防護(hù)模型

目前，存在著多種多樣的有關(guān)數(shù)據(jù)庫安全防護(hù)的具體方法，如各種防火墻、防病毒以及入侵檢測系統(tǒng)，他們都是一個(gè)動(dòng)態(tài)的防護(hù)過程。數(shù)據(jù)庫安全防護(hù)包括數(shù)據(jù)庫事前安全隱患掃描、滲透測試，事中配置檢查、健康監(jiān)控，事后安全審計(jì)、行為追蹤等功能，如圖1的所示。其中安全隱患掃描完成對(duì)數(shù)據(jù)庫進(jìn)行系統(tǒng)脆弱性分析，如發(fā)現(xiàn)漏洞或木馬后門；滲透測試完全模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)，對(duì)目標(biāo)系統(tǒng)的安全做深入的探測，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)；安全配置核查對(duì)數(shù)據(jù)庫不安全配置進(jìn)行核實(shí)驗(yàn)證；健康監(jiān)控對(duì)數(shù)據(jù)庫關(guān)鍵性能指標(biāo)（如賬號(hào)狀態(tài)、資源狀態(tài)，進(jìn)程狀態(tài)等）進(jìn)行實(shí)時(shí)監(jiān)控和報(bào)警，增強(qiáng)數(shù)據(jù)庫的穩(wěn)定性；安全審計(jì)通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)的分析，實(shí)時(shí)地監(jiān)控并記錄對(duì)數(shù)據(jù)庫的各類操作行為，并記入審計(jì)數(shù)據(jù)庫中以便日后進(jìn)行查詢、分析、過濾；行為追蹤準(zhǔn)確跟蹤各種非法、違規(guī)操作，并及時(shí)告警響應(yīng)處理，降低數(shù)據(jù)庫安全風(fēng)險(xiǎn)。

圖1 數(shù)據(jù)庫安全防護(hù)模型

3.基于基線技術(shù)的數(shù)據(jù)庫安全策略

安全基線[2]是一個(gè)信息系統(tǒng)的最小安全保證，即該信息系統(tǒng)最基本需要滿足的安全要求。信息系統(tǒng)安全往往需要在安全付出成本與所能夠承受的安全風(fēng)險(xiǎn)之間進(jìn)行平衡，而安全基線正是這個(gè)平衡的合理的分界線。不滿足系統(tǒng)最基本的安全需求，也就無法承受由此帶來的安全風(fēng)險(xiǎn)，而非基本安全需求的滿足同樣會(huì)帶來超額安全成本的付出，所以構(gòu)造信息系統(tǒng)安全基線己經(jīng)成為系統(tǒng)安全工程的首要步驟，同時(shí)也是進(jìn)行安全評(píng)估、發(fā)現(xiàn)和解決信息系統(tǒng)安全問題的先決條件。

構(gòu)造信息系統(tǒng)安全基線是對(duì)信息系統(tǒng)及其內(nèi)外部環(huán)境進(jìn)行系統(tǒng)的安全分析，最終確定系統(tǒng)需要保護(hù)的安全目標(biāo)以及對(duì)這些安全目標(biāo)的保護(hù)程度。由此可見，構(gòu)造信息系統(tǒng)安全基線的過程也是對(duì)信息系統(tǒng)進(jìn)行安全需求分析的過程，也就是說在著手解決信息系統(tǒng)安全性問題前應(yīng)該首先構(gòu)造信息系統(tǒng)的安全基線，只有建立在安全基線基礎(chǔ)之上，才能夠進(jìn)一步建立信息系統(tǒng)安全解決方案和實(shí)施系統(tǒng)安全工程。

3.1 數(shù)據(jù)庫安全基線分類

根據(jù)信息系統(tǒng)安全基線的定義和數(shù)據(jù)庫安全的實(shí)際需求，我們把數(shù)據(jù)庫安全基線分為五類，即物理安全基線、數(shù)據(jù)庫補(bǔ)丁基線、數(shù)據(jù)庫配置基線、數(shù)據(jù)庫健康基線、數(shù)據(jù)庫業(yè)務(wù)基線，如圖2所示。

(1)數(shù)據(jù)庫系統(tǒng)物理安全基線是如對(duì)設(shè)備和數(shù)據(jù)資源的物理保護(hù)以及對(duì)自然災(zāi)害或常規(guī)犯罪活動(dòng)的防范等；

(2)數(shù)據(jù)庫配置基線是指數(shù)據(jù)庫在賬戶、口令、權(quán)限、日志、默認(rèn)存儲(chǔ)過程等方面的最基礎(chǔ)配置要求。例如針對(duì)數(shù)據(jù)庫進(jìn)行默認(rèn)賬號(hào)和口令的探測，以發(fā)現(xiàn)數(shù)據(jù)庫是否存在默認(rèn)口令的不安全配置；

公路沿線地處黃土丘陵溝壑區(qū)，地形起伏，溝壑縱橫，自然植被較少，水土流失類型以水力侵蝕為主，兼有少量的重力侵蝕。屬黃河干流省級(jí)水土流失重點(diǎn)治理區(qū)。

(3)數(shù)據(jù)庫補(bǔ)丁基線是指數(shù)據(jù)庫必須達(dá)到的漏洞補(bǔ)丁要求，通常，每個(gè)版本的數(shù)據(jù)庫默認(rèn)安裝時(shí)都存在一些高危漏洞，補(bǔ)丁基線就是各種版本的數(shù)據(jù)庫必須要修補(bǔ)的最基本漏洞補(bǔ)丁；

(4)數(shù)據(jù)庫健康基線是指數(shù)據(jù)庫在運(yùn)行過程中的狀態(tài)指標(biāo)是否達(dá)到閾值要求。數(shù)據(jù)庫運(yùn)行狀態(tài)指標(biāo)包括數(shù)據(jù)庫運(yùn)行環(huán)境的資源狀況(CPU、內(nèi)存、磁盤空間)，數(shù)據(jù)庫連接時(shí)間、用戶活動(dòng)、數(shù)據(jù)庫明晰、數(shù)據(jù)庫狀態(tài)、表空間明細(xì)、表空間狀態(tài)等信息。

(5)數(shù)據(jù)庫業(yè)務(wù)基線是指對(duì)數(shù)據(jù)庫當(dāng)前業(yè)務(wù)數(shù)據(jù)庫結(jié)構(gòu)信息進(jìn)行基線學(xué)習(xí)，例如正常運(yùn)行的業(yè)務(wù)系統(tǒng)，數(shù)據(jù)庫賬號(hào)，數(shù)據(jù)庫表結(jié)構(gòu)，數(shù)據(jù)庫存儲(chǔ)過程等應(yīng)該是比較穩(wěn)定不變化的。如果出現(xiàn)了數(shù)據(jù)庫賬號(hào)的增加或減少，存儲(chǔ)過程的增加或減少，有可能表示發(fā)生了異常行為，需要引起重視，追查是否存在異常行為。例如，數(shù)據(jù)庫管理員可以通過新建臨時(shí)賬號(hào)并進(jìn)行一些異常操作，然后刪除臨時(shí)賬號(hào)，以躲避審計(jì)的行為，需要能夠被基線審查發(fā)現(xiàn)。

圖2 數(shù)據(jù)庫安全基線類別圖

3.2 安全基線的建立和更新

在數(shù)據(jù)庫安全體系中，上面定義的數(shù)據(jù)庫安全基線需要按類別逐條加以定義，每條安全基線應(yīng)有目標(biāo)系統(tǒng)范圍內(nèi)唯一的標(biāo)識(shí)，該標(biāo)識(shí)可作為安全基線配置管理庫中的配置項(xiàng)標(biāo)識(shí)，基線分析主要是為了給數(shù)據(jù)庫安全狀態(tài)創(chuàng)建一個(gè)可信的安全基礎(chǔ)標(biāo)準(zhǔn)，一旦低于這個(gè)標(biāo)準(zhǔn)或者某些基線發(fā)生變更，則應(yīng)該通知安全管理員，并為管理員追查問題根源提供依據(jù)。

數(shù)據(jù)庫在使用開始可以通過表格、問卷和選擇題等方式收集基本所需要的信息，但在數(shù)據(jù)庫使用期間，還應(yīng)該對(duì)基線進(jìn)行定期的掃描，系統(tǒng)把當(dāng)前掃描結(jié)果跟基線進(jìn)行比較，以發(fā)現(xiàn)數(shù)據(jù)庫用戶及其權(quán)限、表對(duì)象、存儲(chǔ)過程等的變更情況，同時(shí)進(jìn)行預(yù)警。如果管理員接受了變更情況，可以把當(dāng)前狀態(tài)保存為基線，以保持基線能夠反映數(shù)據(jù)庫最新狀態(tài)?；€變更能夠保持歷史記錄，以便管理員追蹤變更情況。數(shù)據(jù)庫安全基線建立及更新模型如圖3所示。

圖3 數(shù)據(jù)庫安全基線建立及更新模型圖

3.3 數(shù)據(jù)庫安全基線檢測算法

數(shù)據(jù)庫安全基線建立后，則可以利用這些基準(zhǔn)數(shù)據(jù)進(jìn)行安全檢測。假設(shè)我們?cè)O(shè)定系統(tǒng)的初始安全基線為，然后對(duì)系統(tǒng)進(jìn)行安全檢測，第次檢測后所得的結(jié)果為，則將與前面次所檢測的值進(jìn)行比較，查看是否有異常。如果檢測結(jié)果落在可信區(qū)間內(nèi)[3]，則表示該系統(tǒng)在這個(gè)時(shí)期內(nèi)沒有引入新的風(fēng)險(xiǎn)；如果檢測結(jié)果落在可信區(qū)間之外，則表示該系統(tǒng)風(fēng)險(xiǎn)狀態(tài)發(fā)生了改變，需要進(jìn)行威脅評(píng)估并找出威脅點(diǎn)，同時(shí)進(jìn)行安全基線庫的變更并發(fā)出安全報(bào)警。其具體檢測過程如圖4所示。

圖4 數(shù)據(jù)庫系統(tǒng)安全基線檢測算法

4.基于基線技術(shù)的數(shù)據(jù)庫安全測試

SQL Server是美國Microsoft公司推出的一個(gè)可擴(kuò)展的、高性能的、為分布式客戶機(jī)/服務(wù)器計(jì)算所設(shè)計(jì)的數(shù)據(jù)庫管理系統(tǒng)。下面從數(shù)據(jù)庫配置基線、數(shù)據(jù)庫補(bǔ)丁基線、數(shù)據(jù)庫健康基線和數(shù)據(jù)庫業(yè)務(wù)基線這4個(gè)方面，簡單分析安全基線技術(shù)在SQL Server數(shù)據(jù)庫系統(tǒng)[4]中的應(yīng)用。

4.1 數(shù)據(jù)庫配置基線

(1)賬戶身份認(rèn)證安全基線要求：當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過3次后，系統(tǒng)會(huì)自動(dòng)鎖定該賬號(hào)過幾分鐘后再允許登錄，以防止暴力猜測密碼；

(2)賬戶口令強(qiáng)度安全基線要求：數(shù)據(jù)庫要求每個(gè)用戶有一個(gè)強(qiáng)口令（口令長度至少為6位字符，并要求至少包括數(shù)字、小寫字母、大寫字母和特殊符號(hào)4類中的2類），并且不能明文傳輸用戶的賬戶口令；

(3)訪問權(quán)限安全基線要求：在對(duì)數(shù)據(jù)庫系統(tǒng)進(jìn)行訪問控制時(shí)，用戶根據(jù)其賬戶身份享有的權(quán)限進(jìn)行訪問，只能訪問授權(quán)范圍之內(nèi)的系統(tǒng)資源，不得跨權(quán)限查看其它用戶受保護(hù)的敏感信息；

(4)加密機(jī)制安全基線要求：系統(tǒng)應(yīng)當(dāng)加密存儲(chǔ)敏感信息，并且要求采用安全的加密算法和安全的密鑰管理辦法，不得使用已經(jīng)被證明為不安全的算法。

4.2 數(shù)據(jù)庫補(bǔ)丁基線

定時(shí)對(duì)數(shù)據(jù)庫進(jìn)行基線安全檢查和更新，及時(shí)安裝經(jīng)過安全測評(píng)的漏洞補(bǔ)丁和更新、升級(jí)病毒庫和惡意代碼庫；制定安全威脅掃描策略，定期掃描和清除病毒、木馬、后門、間諜軟件、網(wǎng)頁掛馬、網(wǎng)絡(luò)釣魚軟件等惡意軟件。

(1)防范注入安全基線要求：當(dāng)存在SQL注入、命令注入、跨站腳本、路徑遍歷等常見安全漏攻擊時(shí)，及時(shí)記錄分析攻擊操作命令，包括源IP地址、目的IP地址、訪問時(shí)間、用戶名、數(shù)據(jù)庫操作類型等，并實(shí)時(shí)報(bào)警；

(2)防釣魚安全基線要求：當(dāng)系統(tǒng)TCP/IP連接次數(shù)超出可信區(qū)間，則認(rèn)為存在防釣魚攻擊，應(yīng)及時(shí)更新安全基線庫；

(3)防垃圾郵件安全基線要求：當(dāng)同一個(gè)地址發(fā)出多個(gè)郵件且郵件附件容量過大且超出可信區(qū)間，則存在發(fā)送垃圾郵件，應(yīng)及時(shí)更新安全基線庫。

4.3 數(shù)據(jù)庫健康基線

綜合檢測數(shù)據(jù)庫狀態(tài)、表空間明細(xì)、表空間狀態(tài)、主機(jī)CPU、活動(dòng)會(huì)話數(shù)、磁盤I/O、實(shí)例吞吐量、負(fù)載及使用情況。

(1)I/O負(fù)荷基線要求：如果數(shù)據(jù)庫服務(wù)器處理buffers要比I/O系統(tǒng)返回的buffers要快，這暗示著I/O負(fù)載比較重，需要采取一定的措施；

(2)硬盤可用空間基線要求：當(dāng)硬盤空間使用率超過90%的分區(qū)，則需要引起注意并且及時(shí)增加硬盤空間的容量；

(3)CPU利用率基線要求：CPU使用率如果超過90%，要注意監(jiān)控是否有僵死進(jìn)程，如果有僵死進(jìn)程占用CPU，需要將僵死進(jìn)程終止。如果有正常進(jìn)程占用大量CPU，需要查看是否屬于正常業(yè)務(wù)進(jìn)程等；

(4)表空間檢查基線要求：檢查表空間使用百分率，確保表空間使用率不要超過80%，并且數(shù)據(jù)庫系統(tǒng)表空間不能處在脫機(jī)狀態(tài)。

4.4 數(shù)據(jù)庫業(yè)務(wù)基線

(1) 數(shù)據(jù)備份業(yè)務(wù)基線需求：定期對(duì)數(shù)據(jù)庫做安全備份，防止因硬件故障導(dǎo)致數(shù)據(jù)無法使用；

(2)數(shù)據(jù)庫日志業(yè)務(wù)基線要求：數(shù)據(jù)庫設(shè)應(yīng)配置日志功能，對(duì)用戶登錄進(jìn)行記錄，如用戶登錄使用的賬號(hào)、登錄是否成功、登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶使用的IP地址；

(3)數(shù)據(jù)庫審計(jì)業(yè)務(wù)基線要求：對(duì)設(shè)定目錄文件的操作進(jìn)行審計(jì)，包括文件創(chuàng)建、拷貝、讀寫、復(fù)制、修改、刪除、移動(dòng)等的記錄，跟蹤和記錄與數(shù)據(jù)庫安全性相關(guān)的所有數(shù)據(jù)庫操作，有助于事后追蹤和審計(jì)用戶非法訪問。

5.結(jié)語

本文研究了基于基線技術(shù)的數(shù)據(jù)庫安全分析，數(shù)據(jù)庫可以根據(jù)自己的實(shí)際情況，對(duì)數(shù)據(jù)庫進(jìn)行安全基線檢查，得出基本的安全需求，通過選擇并實(shí)施標(biāo)準(zhǔn)的安全措施來消減和控制風(fēng)險(xiǎn)，同時(shí)還大大減少了系統(tǒng)安全成本。一個(gè)可操作的安全基線構(gòu)造過程或框架以及它的具體實(shí)施，在整個(gè)數(shù)據(jù)庫安全工程中具有重要意義和不可替代的作用。當(dāng)然，基線檢測也有其難以避免的缺點(diǎn)，比如基線水平的高低難以設(shè)定，如果過高，可能導(dǎo)致資源浪費(fèi)和限制過度，如果過低，可能難以達(dá)到充分的安全。然而隨著云計(jì)算時(shí)代的到來，對(duì)數(shù)據(jù)庫的安全提出了新的要求[5]，如海量信息安全檢索、海量信息存儲(chǔ)驗(yàn)證、海量數(shù)據(jù)隱私保護(hù)等問題，這些問題具有廣泛性和復(fù)雜性，因此數(shù)據(jù)庫安全問題仍是一個(gè)很有挑戰(zhàn)性的研究方向。

[1]方舟，黃俊強(qiáng).數(shù)據(jù)庫安全測評(píng)通用模型的設(shè)計(jì)與實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全，2011，9(10)：91—93.

[2]劉彤.構(gòu)造復(fù)雜信息系統(tǒng)安全基線的研究[J].中國管理科學(xué)，2000，8(11)：636—644.

[3]王靜，易軍凱.基于入侵檢測的數(shù)據(jù)庫安全模型研究[J].微計(jì)算機(jī)信息，2006，27(22)：84—86.

[4]劉瑜，陳鐵英.Microsoft SQL Server數(shù)據(jù)庫的安全策略及實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2003，24(1)：68—71.

[5]張敏.數(shù)據(jù)庫安全研究現(xiàn)狀與展望[J].中國科學(xué)院院刊，2011，26(3)：303—309.