盛 碩，車 堃，張 濤，葉 瑩

（1.證通股份有限公司，上海 201206；2.證券期貨行業(yè)網(wǎng)絡(luò)安全創(chuàng)新實(shí)驗(yàn)室，上海 200120）

數(shù)據(jù)庫(kù)安全是一種數(shù)據(jù)平臺(tái)共享關(guān)注點(diǎn)，可以防護(hù)業(yè)界惡意威脅和攻擊，應(yīng)用方向比較廣泛，主要涉及數(shù)據(jù)庫(kù)安全以及相對(duì)應(yīng)的底層環(huán)境[1-2]。所以應(yīng)該要有恰當(dāng)?shù)南到y(tǒng)理論化方法來(lái)加固數(shù)據(jù)庫(kù)軟硬件安全。基于目前現(xiàn)狀，幾乎涉及全行業(yè)領(lǐng)域的組織和機(jī)構(gòu)都在使用IT，并且全部日期都被保存到了數(shù)據(jù)庫(kù)。因此，進(jìn)一步設(shè)計(jì)安全加固策略優(yōu)化數(shù)據(jù)庫(kù)安全是非常必要的。

本文是一篇關(guān)于數(shù)據(jù)庫(kù)安全的理論性和必要的評(píng)價(jià)論文，目的是要認(rèn)識(shí)到數(shù)據(jù)庫(kù)安全本質(zhì)意義、性質(zhì)和趨勢(shì)，進(jìn)一步滿足不同類型數(shù)據(jù)庫(kù)的基本儲(chǔ)存機(jī)制和性能需求，同時(shí)在數(shù)據(jù)庫(kù)安全領(lǐng)域校驗(yàn)不同場(chǎng)景下數(shù)據(jù)庫(kù)存儲(chǔ)形態(tài)、攻擊安全風(fēng)險(xiǎn)等。

1 數(shù)據(jù)庫(kù)安全

數(shù)據(jù)庫(kù)安全是IT 安全的一個(gè)重要組成部分，其負(fù)責(zé)保護(hù)數(shù)據(jù)庫(kù)免于網(wǎng)絡(luò)等意外威脅。數(shù)據(jù)庫(kù)安全威脅破壞了對(duì)數(shù)據(jù)庫(kù)各個(gè)組件或相關(guān)分庫(kù)分表安全機(jī)制策略，最終可能對(duì)整個(gè)數(shù)據(jù)庫(kù)結(jié)構(gòu)產(chǎn)生嚴(yán)重影響。此外，數(shù)據(jù)庫(kù)安全涉及硬件、軟件程序應(yīng)用細(xì)節(jié)、人力資源和間接記錄的安全。針對(duì)不同數(shù)據(jù)格式，數(shù)據(jù)庫(kù)需要進(jìn)一步提供適當(dāng)?shù)脑L問(wèn)控制機(jī)制，同時(shí)需要進(jìn)一步應(yīng)對(duì)數(shù)據(jù)庫(kù)可能遇到的盜竊和欺詐等惡意攻擊，避免失去保密性、數(shù)據(jù)隱私安全、記錄和內(nèi)容材料的可用性丟失等特性。同時(shí)應(yīng)該注意減少威脅損失，類似于破壞數(shù)據(jù)庫(kù)內(nèi)部的記錄[3-4]。圖1 簡(jiǎn)要描述了數(shù)據(jù)庫(kù)安全領(lǐng)域涉及的安全風(fēng)險(xiǎn)。然而，除技術(shù)細(xì)節(jié)對(duì)于數(shù)據(jù)庫(kù)加固之外，物理機(jī)房、機(jī)架、可用資源和故障工具等都會(huì)影響數(shù)據(jù)庫(kù)的安全、穩(wěn)定、吞吐率等。

數(shù)據(jù)庫(kù)安全是信息技術(shù)安全的重要組成部分，因此數(shù)據(jù)庫(kù)安全也可以被視為一個(gè)網(wǎng)絡(luò)安全、IT 安全的子集，因此非常接近公共場(chǎng)景下的安全領(lǐng)域：網(wǎng)絡(luò)安全、新興云安全、新興的移動(dòng)安全和應(yīng)用程序安全等。隨著數(shù)據(jù)庫(kù)的使用，各種組織和機(jī)構(gòu)發(fā)展也在不斷涌現(xiàn)，伴隨而來(lái)的威脅和攻擊在威脅數(shù)據(jù)庫(kù)安全。

2 數(shù)據(jù)庫(kù)威脅和攻擊

如圖2 所示，通常計(jì)算機(jī)系統(tǒng)上存在著不同類型的威脅，數(shù)據(jù)庫(kù)管理系統(tǒng)（DBMS）的保護(hù)大致有：①訪問(wèn)授權(quán)；②訪問(wèn)控制；③備份事實(shí)；④恢復(fù)事實(shí)；⑤數(shù)據(jù)完整性；⑥加密事實(shí)；⑦與RAID 相關(guān)技術(shù)。

圖2 數(shù)據(jù)庫(kù)威脅攻擊

因此，如圖3、圖4 所示，數(shù)據(jù)庫(kù)安全除保護(hù)數(shù)據(jù)庫(kù)表、數(shù)據(jù)屬性、數(shù)據(jù)字段之外，作為一種擴(kuò)展方式，同時(shí)還關(guān)聯(lián)到機(jī)密性、完整性和可用性等。數(shù)據(jù)庫(kù)保護(hù)是需要通過(guò)以下方法來(lái)確定和測(cè)量：①黑客通過(guò)惡意攻擊未經(jīng)授權(quán)數(shù)據(jù)庫(kù)客戶端?？蛻舳藢?duì)象甚至還可能包括數(shù)據(jù)庫(kù)管理員、系統(tǒng)經(jīng)理、網(wǎng)絡(luò)管理員等。②未經(jīng)授權(quán)的內(nèi)部事件機(jī)制，包括各種布局在存儲(chǔ)庫(kù)或數(shù)據(jù)庫(kù)分布式事物事件表等，比如數(shù)據(jù)保護(hù)配置。③惡意軟件攻擊可以在未經(jīng)授權(quán)的執(zhí)行訪問(wèn)的前提下大概率刪除這些事實(shí)或程序，拒絕訪問(wèn)有時(shí)可能還會(huì)發(fā)起對(duì)數(shù)據(jù)庫(kù)系統(tǒng)攻擊，并導(dǎo)致數(shù)據(jù)庫(kù)故障。④對(duì)于數(shù)據(jù)庫(kù)保護(hù)方面，一般總體性能約束的過(guò)載會(huì)導(dǎo)致數(shù)據(jù)庫(kù)系統(tǒng)中的治理安全等問(wèn)題。⑤通過(guò)火災(zāi)或洪水等意外天氣引起數(shù)據(jù)庫(kù)物理服務(wù)器破壞。⑥設(shè)計(jì)缺陷，主要包括編程中的bug，還有數(shù)據(jù)庫(kù)程序停止最終導(dǎo)致事實(shí)損失，甚至能夠?qū)е抡w性能下降。⑦數(shù)據(jù)損壞，由于輸入無(wú)效事實(shí)或命令，系統(tǒng)內(nèi)部錯(cuò)誤會(huì)導(dǎo)致數(shù)據(jù)庫(kù)或存儲(chǔ)模塊出現(xiàn)讀寫異常等問(wèn)題，引起最終結(jié)果脆弱因素。⑧系統(tǒng)/數(shù)據(jù)庫(kù)恢復(fù)，數(shù)據(jù)庫(kù)管理系統(tǒng)（DBMS）應(yīng)提供備份介質(zhì)，以恢復(fù)所涉及數(shù)據(jù)庫(kù)表。同時(shí)備份副本也需要定期保存在一個(gè)顯著位置。⑨盡量減少未經(jīng)授權(quán)使用的數(shù)據(jù)庫(kù)系統(tǒng)通過(guò)確保類似于多因素組成的記錄管理訪問(wèn)。⑩負(fù)載平衡，進(jìn)一步查找在數(shù)據(jù)庫(kù)系統(tǒng)內(nèi)部涉及關(guān)鍵身份ID，以確保數(shù)據(jù)庫(kù)負(fù)載均衡穩(wěn)定。 11系統(tǒng)物理保護(hù)（數(shù)據(jù)庫(kù)），根據(jù)不同場(chǎng)景下進(jìn)行區(qū)分劃分不同服務(wù)器組成。 12監(jiān)控、評(píng)價(jià)數(shù)據(jù)庫(kù)工具，這些工具可以進(jìn)行多維度攻擊因素，并成為一個(gè)關(guān)鍵問(wèn)題。

圖3 數(shù)據(jù)庫(kù)多維安全體系

圖4 分庫(kù)分表安全拆分

根據(jù)現(xiàn)有研究，常見(jiàn)地區(qū)數(shù)據(jù)庫(kù)保護(hù)問(wèn)題，涉及數(shù)據(jù)庫(kù)安全管理，其中一些關(guān)鍵點(diǎn)如下所述。

可用性?！翱捎眯浴币辉~討論了使用信息、并適當(dāng)準(zhǔn)確獲取信息的權(quán)利。如果聯(lián)系信息錯(cuò)位，這將導(dǎo)致可用性的損失，因此級(jí)別較高的安全標(biāo)準(zhǔn)是必要的。例如，缺乏可用性會(huì)妨礙網(wǎng)絡(luò)通信效率，從而破壞控制系統(tǒng)功能，而操作員系統(tǒng)則會(huì)阻止網(wǎng)絡(luò)的可用性?？捎眯怨艨赡軙?huì)扭曲、限制或阻礙數(shù)據(jù)傳輸。此外，智能電網(wǎng)中的可用性攻擊禁止并可能中斷授權(quán)訪問(wèn)。在大規(guī)模常規(guī)電網(wǎng)中定位資產(chǎn)可用性具有挑戰(zhàn)性。ICT 被嵌入智能電網(wǎng)的信息資產(chǎn)，可能受到攻擊和完全無(wú)法訪問(wèn)。DoS 攻擊被稱為可用性攻擊。DoS 攻擊試圖通過(guò)阻礙、破壞或停止數(shù)據(jù)傳輸來(lái)中斷數(shù)據(jù)傳輸。這使得網(wǎng)絡(luò)源無(wú)法訪問(wèn)?？捎眯怨舻脑O(shè)計(jì)使用了幾種方法來(lái)均衡網(wǎng)絡(luò)負(fù)擔(dān)以確保系統(tǒng)能否正確運(yùn)行。攻擊者傳輸大量的流量以壓倒網(wǎng)絡(luò)傳輸連接。此外，有效數(shù)據(jù)包將可能丟失，并且不會(huì)在網(wǎng)絡(luò)流量中進(jìn)行處理。IEC 61850 和IP/TCP 是基于IP 的協(xié)議系統(tǒng)，受可用性攻擊，必須執(zhí)行SG 技術(shù)中優(yōu)先級(jí)最高的標(biāo)準(zhǔn)，針對(duì)可用性攻擊進(jìn)行全面補(bǔ)救措施?？捎玫姆椒ò髁窟^(guò)濾、大管道、氣隙網(wǎng)絡(luò)和異常檢測(cè)方法。在SG 系統(tǒng)中，DoS 的攻擊對(duì)大數(shù)據(jù)的威脅巨大；因此，將軟件解決方案集成到不同的網(wǎng)絡(luò)層中可以顯著防止DoS 的攻擊。

完整性。在網(wǎng)絡(luò)系統(tǒng)中，完整性是保護(hù)數(shù)據(jù)防止未經(jīng)授權(quán)的修改或降級(jí)狀態(tài)的標(biāo)準(zhǔn)。當(dāng)數(shù)據(jù)存在被破壞、修改或被剝奪的可能時(shí)，會(huì)存在完整性缺失的潛在風(fēng)險(xiǎn)。例如，SQL 注入是針對(duì)對(duì)手破壞性攻擊，攻擊者可以訪問(wèn)、修改或刪除數(shù)據(jù)庫(kù)中的敏感信息，完整性威脅并不限于未經(jīng)授權(quán)的數(shù)據(jù)更改或注入。完整性攻擊包括設(shè)備模擬攻擊、稀疏攻擊和重放攻擊。通過(guò)加密技術(shù)和方法，可以防止數(shù)據(jù)完整性威脅。SQL 注入和MITM 攻擊使用數(shù)據(jù)庫(kù)操作進(jìn)一步改變、接管或破壞已授權(quán)操作。

在應(yīng)用系統(tǒng)中，數(shù)據(jù)集中器鏈接到SMHAN，攻擊者可以使用未經(jīng)授權(quán)的數(shù)據(jù)更改或MITM 攻擊來(lái)?yè)p害SM 和數(shù)據(jù)集中器單元之間的數(shù)據(jù)傳輸完整性，導(dǎo)致攻擊安全負(fù)載的下降。

在MITM 攻擊威脅場(chǎng)景下，安全網(wǎng)關(guān)支持目標(biāo)節(jié)點(diǎn)和源身份驗(yàn)證，以及數(shù)據(jù)傳輸?shù)臋C(jī)密性。TLS 協(xié)議還包括內(nèi)置的非對(duì)稱加密特性，可以有效地發(fā)現(xiàn)和解決漏洞，以防止MITM 攻擊。通過(guò)將腳本命令插入到數(shù)據(jù)庫(kù)中，SQL 注入攻擊會(huì)試圖操作數(shù)據(jù)庫(kù)。SQL 注入攻擊會(huì)在數(shù)據(jù)庫(kù)系統(tǒng)中插入欺詐性的需求，以維護(hù)控制系統(tǒng)，刪除或更改當(dāng)前信息，并插入偽造的數(shù)據(jù)。通過(guò)使用輸入類型檢查、匹配正則校驗(yàn)?zāi)Ｊ健Ⅱ?yàn)證靜態(tài)代碼、對(duì)遠(yuǎn)程用戶數(shù)據(jù)庫(kù)訪問(wèn)預(yù)防、動(dòng)態(tài)SQL 預(yù)防和進(jìn)行漏洞掃描等技術(shù)，可以減輕網(wǎng)絡(luò)系統(tǒng)中的SQL 注入攻擊。攻擊者可以使用分號(hào)等字符，因此，在類型驗(yàn)證期間應(yīng)監(jiān)視和排除這些字符。其他類型的完整性攻擊包括篡改SCADA 系統(tǒng)、重放攻擊和時(shí)間同步攻擊（TSA）。為了防止上述對(duì)SG 網(wǎng)絡(luò)的完整性攻擊，使用了身份驗(yàn)證方法和端到端加密建議。針對(duì)發(fā)起機(jī)密性或完整性攻擊，可以驗(yàn)證攻擊者的通信網(wǎng)絡(luò)訪問(wèn)和機(jī)密數(shù)據(jù)。因此，身份驗(yàn)證和訪問(wèn)控制是減少對(duì)通用網(wǎng)絡(luò)系統(tǒng)的完整性攻擊關(guān)鍵。

保密性。保密性保護(hù)了對(duì)記錄的獲取和傳播的允許限制。保密標(biāo)準(zhǔn)包括防止未經(jīng)授權(quán)的個(gè)人、組織或系統(tǒng)披露或訪問(wèn)專有或敏感的細(xì)節(jié)。如果信息被釋放而被剝奪了許可，保密性就會(huì)受到損害。例如，信息在客戶和多個(gè)機(jī)構(gòu)之間傳播，計(jì)量使用、計(jì)量管理和計(jì)費(fèi)信息可以是私人的和保護(hù)性的；否則，客戶的信息可以被利用和更改，或其他惡意用途。機(jī)密性攻擊還會(huì)對(duì)通信網(wǎng)絡(luò)的功能產(chǎn)生負(fù)面影響。保密攻擊尋求獲取應(yīng)在受信任各方之間保密或披露的數(shù)據(jù)，非法訪問(wèn)設(shè)備內(nèi)存、重放攻擊、欺騙有效負(fù)載及改變軟件控制都是保密攻擊的實(shí)例。密碼攻擊通常包括社交操縱、字典攻擊、密碼嗅和密碼猜測(cè)。竊聽(tīng)是一種被動(dòng)攻擊，也損害了的數(shù)據(jù)保密性。在SG 網(wǎng)絡(luò)系統(tǒng)中對(duì)局域網(wǎng)（LAN）的竊聽(tīng)攻擊嗅探IP 包或攔截?zé)o線傳輸，對(duì)系統(tǒng)的問(wèn)責(zé)和透明度造成損害。加密保護(hù)敏感信息免受竊聽(tīng)攻擊。流量分析攻擊是一種被動(dòng)的保密性攻擊，通過(guò)解釋和嗅探這些消息，可以讓攻擊者圍繞網(wǎng)絡(luò)之間的通信模式獲取關(guān)鍵數(shù)據(jù)。偽裝攻擊，也被稱為模仿或身份欺騙，是其他保密攻擊。其他機(jī)密性攻擊包括未經(jīng)授權(quán)的訪問(wèn)、MITM 攻擊和外部數(shù)據(jù)注入公司攻擊。針對(duì)防止保密攻擊，智能電網(wǎng)相關(guān)設(shè)備必須包括身份驗(yàn)證、數(shù)據(jù)加密和對(duì)隱私協(xié)議等。

3 數(shù)據(jù)庫(kù)安全策略

行業(yè)領(lǐng)域各公司機(jī)構(gòu)都必須采取合規(guī)的法規(guī)標(biāo)準(zhǔn)措施，以實(shí)現(xiàn)高標(biāo)準(zhǔn)、高優(yōu)先級(jí)和適當(dāng)規(guī)模的數(shù)據(jù)庫(kù)系統(tǒng)控制。數(shù)據(jù)庫(kù)控制在保護(hù)完整的數(shù)據(jù)庫(kù)系統(tǒng)和控制方面起著重要的作用，特別是在分布式事務(wù)加鎖場(chǎng)景下。在數(shù)據(jù)庫(kù)管理員進(jìn)行數(shù)據(jù)庫(kù)權(quán)限加權(quán)過(guò)程中主要包括如下原則。

1）控制對(duì)數(shù)據(jù)庫(kù)訪問(wèn)權(quán)限。

2）為消費(fèi)者或用戶提供手動(dòng)服務(wù)。管理適當(dāng)策略備份，比如治療記錄和內(nèi)容，以確保記錄完整性。

3）控制記錄保護(hù)。

4）設(shè)置記錄隱私。

5）制定IT 規(guī)范和指南。

此外，仔細(xì)控制對(duì)記錄的訪問(wèn)，允許更好記錄保護(hù)，比如敏感信息記錄等。

4 結(jié)束語(yǔ)

數(shù)據(jù)庫(kù)和主系統(tǒng)通常面臨著許多安全威脅。這些威脅在小組織中是常見(jiàn)的，但在大組織和機(jī)構(gòu)中，漏洞可能是非常關(guān)鍵的威脅因素，因?yàn)槠浔４媪嗣舾行畔⒑秃诵牟块T人員的使用記錄。在數(shù)據(jù)丟失的情況下，無(wú)法檢索數(shù)據(jù)庫(kù)中的核心參數(shù)，因此，對(duì)于一致安全事實(shí)場(chǎng)景下非常重要。物理?yè)p壞也是數(shù)據(jù)庫(kù)安全的一個(gè)關(guān)鍵困難，包括人為錯(cuò)誤或硬件故障等。此外，就數(shù)據(jù)庫(kù)系統(tǒng)而言，這些規(guī)范和指南還希望成為云原生場(chǎng)景下數(shù)據(jù)安全的廣泛依賴項(xiàng)。