王 雪

（國(guó)家新聞出版廣電總局202臺(tái)，西藏拉薩 850030）

0 引言

數(shù)據(jù)庫(kù)的安全性是信息安全的重要方面之一。數(shù)據(jù)庫(kù)安全的重點(diǎn)是如何有效地保護(hù)數(shù)據(jù)的機(jī)密性和完整性，其所使用的技術(shù)有訪問(wèn)控制、防火墻、認(rèn)證、入侵檢測(cè)、加密等。這些安全技術(shù)的目的是對(duì)攻擊或入侵進(jìn)行防御，然而，有時(shí)這些技術(shù)對(duì)于某些惡意攻擊是無(wú)效的。于是，在防御無(wú)效的條件下，如何有效保障數(shù)據(jù)庫(kù)的生存性成為了數(shù)據(jù)庫(kù)安全的一個(gè)突出問(wèn)題。

1 入侵容忍技術(shù)的目標(biāo)、實(shí)現(xiàn)機(jī)制及安全策略

入侵容忍技術(shù)是一種保障數(shù)據(jù)庫(kù)生存性的技術(shù)。依據(jù)數(shù)據(jù)庫(kù)安全需要，入侵容忍技術(shù)需達(dá)到的目標(biāo)是：（1）能有效預(yù)防并阻止針對(duì)數(shù)據(jù)庫(kù)的攻擊；（2）能檢測(cè)出攻擊行為并估計(jì)破壞性；（3）在遭到攻擊時(shí)，能保障并恢復(fù)數(shù)據(jù)庫(kù)中的關(guān)鍵數(shù)據(jù)。

要想實(shí)現(xiàn)入侵容忍技術(shù)的目標(biāo)，就必須有一套安全機(jī)制，當(dāng)前安全機(jī)制有入侵檢測(cè)機(jī)制、入侵遏制機(jī)制、錯(cuò)誤處理機(jī)制及恢復(fù)機(jī)制等。由于錯(cuò)誤處理的方法可靠性不高及不實(shí)時(shí)，就使錯(cuò)誤恢復(fù)機(jī)制無(wú)法有效發(fā)揮作用，所以錯(cuò)誤屏蔽機(jī)制是需要首先保證的機(jī)制。

入侵容忍技術(shù)的安全策略是指當(dāng)數(shù)據(jù)庫(kù)遭受入侵時(shí)，數(shù)據(jù)庫(kù)采取某些安全策略達(dá)到入侵容忍的目的，避免數(shù)據(jù)庫(kù)失效情況的發(fā)生。入侵容忍技術(shù)的安全策略是在評(píng)估入侵成本及數(shù)據(jù)庫(kù)價(jià)值的基礎(chǔ)上確定，主要包括幾個(gè)方面：故障預(yù)警及容錯(cuò)、機(jī)密性操作、防失敗操作、可恢復(fù)操作、可重配操作。

2 入侵容忍技術(shù)的特點(diǎn)

入侵容忍技術(shù)的最重要的特點(diǎn)是要求數(shù)據(jù)庫(kù)中任何單點(diǎn)失效或故障不會(huì)對(duì)整個(gè)數(shù)據(jù)庫(kù)的運(yùn)轉(zhuǎn)產(chǎn)生影響。入侵容忍技術(shù)不會(huì)信任每一個(gè)單獨(dú)系統(tǒng)，因?yàn)榭赡苣承﹩为?dú)系統(tǒng)已經(jīng)被入侵了。

入侵容忍技術(shù)的另一特點(diǎn)是抵御內(nèi)部的攻擊。入侵容忍技術(shù)通過(guò)分散數(shù)據(jù)庫(kù)權(quán)限以及防御單獨(dú)系統(tǒng)失效等手段，就能夠保證少量設(shè)備、局部網(wǎng)絡(luò)、單獨(dú)系統(tǒng)的失效都不能使數(shù)據(jù)庫(kù)出現(xiàn)崩潰和泄密情況發(fā)生。

3 多層次入侵容忍技術(shù)

當(dāng)前，國(guó)內(nèi)外很多研究機(jī)構(gòu)都在進(jìn)行入侵容忍技術(shù)研究。國(guó)際上主要的入侵容忍技術(shù)有：OASIS，MAFTIA，DARPA，ITUA，ITTC，SRI等。這些入侵容忍技術(shù)均使用了系統(tǒng)自適應(yīng)、冗余、事物級(jí)入侵容忍、間接訪問(wèn)等多種技術(shù)，均是利用攻擊遮蔽和攻擊響應(yīng)等方法來(lái)達(dá)到入侵容忍的目的。

目前，數(shù)據(jù)庫(kù)的入侵容忍技術(shù)存在幾個(gè)問(wèn)題：（1）沒(méi)有站在數(shù)據(jù)庫(kù)整體結(jié)構(gòu)的高度來(lái)制定容忍入侵方案；（2）數(shù)據(jù)庫(kù)安全成本太高。針對(duì)這些問(wèn)題，本文提出了一種多級(jí)入侵容忍的數(shù)據(jù)庫(kù)安全技術(shù)，結(jié)合冗余技術(shù)和多樣性技術(shù)，使用事物級(jí)入侵容忍技術(shù)，有效實(shí)現(xiàn)數(shù)據(jù)庫(kù)的完整性、可用性。

多級(jí)入侵容忍技術(shù)由以下4級(jí)構(gòu)成：

第1級(jí)：對(duì)于用戶，采取訪問(wèn)控制、間接訪問(wèn)、認(rèn)證、消息過(guò)濾、加密、防火墻等技術(shù)，用于防范沒(méi)有得到授權(quán)的用戶的攻擊。當(dāng)客戶訪問(wèn)數(shù)據(jù)庫(kù)時(shí)，必須經(jīng)過(guò)防火墻檢測(cè)，而客戶和數(shù)據(jù)庫(kù)間需相互認(rèn)證，必要的時(shí)候可加密機(jī)密信息。

第2級(jí)：采用不同種類的操作系統(tǒng)，如Windows，Linux等。因?yàn)槟撤N惡意入侵或攻擊一般是針對(duì)某種特定的操作系統(tǒng)，采用多種操作系統(tǒng)可以有效防止惡意入侵或攻擊對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)的破壞。

第3級(jí)：DBMS冗余異構(gòu)，采用Oracle，SQL Server，Sybase等不同數(shù)據(jù)庫(kù)管理系統(tǒng)對(duì)數(shù)據(jù)進(jìn)行存儲(chǔ)。因?yàn)槿肭终咭话悴荒苁煜に蟹N類的DBMS，某種惡意入侵或攻擊一般僅僅針對(duì)某種DBMS，所以采用不同DBMS存儲(chǔ)數(shù)據(jù)可以有效防止惡意入侵或攻擊對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)的破壞。

第4級(jí)：采用事物級(jí)入侵容忍技術(shù)。入侵容忍技術(shù)最為核心的是數(shù)據(jù)庫(kù)遭到入侵時(shí)能夠保障數(shù)據(jù)庫(kù)的生存，維護(hù)數(shù)據(jù)庫(kù)核心功能和數(shù)據(jù)的安全性及完整性。數(shù)據(jù)庫(kù)安全問(wèn)題中最難以防御的就是惡意或者非惡意的內(nèi)部攻擊。惡意內(nèi)部攻擊主要指數(shù)據(jù)庫(kù)的內(nèi)部人員有預(yù)謀地監(jiān)控、竊取甚至損毀數(shù)據(jù)。聯(lián)邦調(diào)查局（FBI）提供的數(shù)據(jù)顯示約80%以上的攻擊均來(lái)自于內(nèi)部人員，因?yàn)樗麄兪熘獢?shù)據(jù)庫(kù)結(jié)構(gòu)、數(shù)據(jù)存儲(chǔ)及安全系統(tǒng)設(shè)置等情況，這種入侵的監(jiān)測(cè)及防御是非常困難的。非惡意內(nèi)部攻擊是指由于粗心大意或者為了某種原因跳過(guò)安全策略等，對(duì)數(shù)據(jù)庫(kù)的安全和數(shù)據(jù)造成了損壞的行為。事物級(jí)入侵容忍技術(shù)能較好地監(jiān)測(cè)、防御內(nèi)部攻擊，維護(hù)數(shù)據(jù)庫(kù)安全。

采用多級(jí)入侵容忍技術(shù)的數(shù)據(jù)庫(kù)安全體系由5部分構(gòu)成：策略管理、Proxy（對(duì)終端用戶提供服務(wù)的服務(wù)器）、冗余異構(gòu)數(shù)據(jù)庫(kù)服務(wù)器、事物級(jí)入侵容忍、入侵檢測(cè)系統(tǒng)（IDS）。當(dāng)Proxy收到應(yīng)用請(qǐng)求的時(shí)候，會(huì)首先檢查請(qǐng)求的合法性，然后再把請(qǐng)求發(fā)到數(shù)據(jù)庫(kù)服務(wù)器上。數(shù)據(jù)庫(kù)服務(wù)器的數(shù)量由用戶安全需求決定，對(duì)于一般的數(shù)據(jù)操作，只需一個(gè)或少數(shù)幾個(gè)數(shù)據(jù)庫(kù)服務(wù)器處理；對(duì)于機(jī)密數(shù)據(jù)的操作，就需多個(gè)數(shù)據(jù)庫(kù)服務(wù)器共同處理。策略管理用于監(jiān)控Proxy和用戶間、Proxy和Proxy的通信，若發(fā)現(xiàn)某代理服務(wù)器出現(xiàn)故障，則需對(duì)安全策略進(jìn)行調(diào)整，從而保證服務(wù)繼續(xù)進(jìn)行。若策略管理中，安全策略確認(rèn)數(shù)據(jù)庫(kù)處于事物級(jí)惡意攻擊威脅的情況，則需啟用事物級(jí)入侵容忍。入侵檢測(cè)系統(tǒng)負(fù)責(zé)監(jiān)控Proxy、用戶、數(shù)據(jù)庫(kù)服務(wù)器的運(yùn)轉(zhuǎn)，檢查用戶事務(wù)日志是否有異常情況發(fā)生。

入侵容忍技術(shù)放棄了以前絕對(duì)安全的目標(biāo)，實(shí)現(xiàn)安全的機(jī)制是針對(duì)數(shù)據(jù)庫(kù)的使用和數(shù)據(jù)安全等目的進(jìn)行的，并不需要維護(hù)數(shù)據(jù)庫(kù)本身的完整。本文給出的數(shù)據(jù)庫(kù)入侵容忍技術(shù)采用間接訪問(wèn)、冗余等技術(shù)，具備冗余、安全等特點(diǎn)，它并不依賴單個(gè)獨(dú)立系統(tǒng)的安全，即使某些獨(dú)立系統(tǒng)被入侵并也不會(huì)造成整個(gè)數(shù)據(jù)庫(kù)的癱瘓。此外，采用入侵容忍技術(shù)的數(shù)據(jù)庫(kù)具有成本低、開(kāi)發(fā)周期短、易擴(kuò)展等特點(diǎn)。

［1］李慶華，張撤，趙峰.一種基于CORBA分布式對(duì)象的容侵［J］.計(jì)算機(jī)工程，2006（20）：138-139.

［2］賈超，薛繼華.基于容忍技術(shù)的入侵檢測(cè)系統(tǒng)研究［J］.微處理機(jī)，2006（6）：41-43.

［3］曹軍梅，徐靜榮.基于冗余技術(shù)入侵容忍系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)［J］.延安大學(xué)學(xué)報(bào)，2007（3）：17-19.

［4］黃建華，楊天揚(yáng).入侵容忍系統(tǒng)的安全性量化方法分析［J］.信息網(wǎng)絡(luò)安全，2009（7）：77-79.