摘要：在未來(lái)陸、海、空、天、電各維空間一體的現(xiàn)代戰(zhàn)爭(zhēng)中，制信息權(quán)將成為決定戰(zhàn)爭(zhēng)勝負(fù)的關(guān)鍵，研究如何保衛(wèi)信息系統(tǒng)的核心——數(shù)據(jù)庫(kù)，提高其安全性顯得尤為重要。本文分析了目前信息系統(tǒng)中數(shù)據(jù)庫(kù)在管理機(jī)制、系統(tǒng)軟件、技術(shù)手段等方面存在的安全隱患。從管理機(jī)制和技術(shù)手段兩方面入手，從健全完善管理、安全評(píng)估、審計(jì)等制度，加強(qiáng)各種加密手段、防火墻和入侵檢測(cè)、備份恢復(fù)等先進(jìn)有效技術(shù)手段方面進(jìn)行了研究和探討。

    關(guān)鍵詞：信息系統(tǒng)；數(shù)據(jù)庫(kù)；安全；策略

    Abstract: In the future modern war with the spatial integration of land, sea, skyand aerospace and eletromagnetism, information dominance plays a key role in thedecision of the outcome of the war. And in this case, it is of particular importanceto conduct reaserches on how to protect the core of the information system,i.e. database, and to increase its safety.This paper sets forth the potential safetyhazards existing in the management system, software system and technology ofthe database in the information system. And then, starting from the analysis ofthe management system and technology, we study and probe into improving themanagement, safety evaluation and audit system, and strenthening the variousadvanced tehcnologies such as encryption methods, firewall, intrusion detectionsystem and backup recovery.

    Key words: Information system; Database; Security; Strategy

    1 引言

    隨著信息技術(shù)的高速發(fā)展，信息系統(tǒng)在各個(gè)領(lǐng)域得到廣泛應(yīng)用。尤其在現(xiàn)代戰(zhàn)爭(zhēng)中，信息將陸、海、空、天、電各維空間聯(lián)結(jié)為一體化戰(zhàn)場(chǎng)，制信息權(quán)將成為作戰(zhàn)雙方爭(zhēng)奪的焦點(diǎn)，并成為決定戰(zhàn)爭(zhēng)勝負(fù)的關(guān)鍵，信息系統(tǒng)在現(xiàn)代戰(zhàn)爭(zhēng)中的重要性越來(lái)越突出，對(duì)信息系統(tǒng)的防護(hù)、攻擊和破壞將成為作戰(zhàn)雙方重點(diǎn)關(guān)注的問(wèn)題。

    如何保證信息系統(tǒng)中存儲(chǔ)信息不被竊取和破壞，如何保證存儲(chǔ)信息安全的可控性和容災(zāi)能力，是一個(gè)重要且亟待解決的課題。

    2 信息系統(tǒng)中數(shù)據(jù)庫(kù)面臨的安全威脅

    作為信息系統(tǒng)核心的數(shù)據(jù)庫(kù)系統(tǒng)， 集中存放了大量重要且敏感的數(shù)據(jù)。一旦數(shù)據(jù)庫(kù)中數(shù)據(jù)遭到破壞或竊取， 其損失難以估量。可以說(shuō)信息系統(tǒng)數(shù)據(jù)庫(kù)的安全直接影響系統(tǒng)的正常運(yùn)轉(zhuǎn)。

    在未來(lái)以信息為主導(dǎo)的作戰(zhàn)中，制信息權(quán)的攻防將圍繞信息獲取、信息傳輸、信息存取和處理等環(huán)節(jié)進(jìn)行，一方面，數(shù)據(jù)庫(kù)作為指揮信息系統(tǒng)的核心，是信息的重要集中地，所存儲(chǔ)數(shù)據(jù)的重要性和價(jià)值對(duì)攻擊者有強(qiáng)大的吸引力，往往成為攻擊的主要目標(biāo)。另一方面，信息系統(tǒng)軟件和硬件環(huán)境等因素決定了數(shù)據(jù)庫(kù)安全機(jī)制存在許多不足，數(shù)據(jù)庫(kù)系統(tǒng)本身的弱點(diǎn)也使其成為易受攻擊的目標(biāo)，數(shù)據(jù)庫(kù)的數(shù)據(jù)需要經(jīng)常更新等其它操作，這些都可能被攻擊者利用。同時(shí)，信息系統(tǒng)的網(wǎng)絡(luò)化也使數(shù)據(jù)庫(kù)受到攻擊的空間、時(shí)間和可能性都大大增加。

    通過(guò)分析可以認(rèn)為數(shù)據(jù)庫(kù)的安全面臨著前所未有的嚴(yán)峻形勢(shì)，以數(shù)據(jù)庫(kù)為基礎(chǔ)支撐的信息系統(tǒng)安全問(wèn)題也日益突出。信息系統(tǒng)中數(shù)據(jù)庫(kù)面臨的安全威脅主要體現(xiàn)在以下幾方面：軟件和硬件環(huán)境出現(xiàn)意外， 如磁盤(pán)損壞， 系統(tǒng)崩潰等；計(jì)算機(jī)病毒可能造成系統(tǒng)崩潰， 進(jìn)而破壞數(shù)據(jù)；對(duì)數(shù)據(jù)庫(kù)的不正確訪問(wèn)， 引起數(shù)據(jù)庫(kù)中數(shù)據(jù)的錯(cuò)誤；為了某種目的， 故意破壞數(shù)據(jù)庫(kù)；未經(jīng)授權(quán)非法訪問(wèn)數(shù)據(jù)庫(kù)信息， 竊取其中的數(shù)據(jù)；未經(jīng)授權(quán)非法修改數(shù)據(jù)庫(kù)中的數(shù)據(jù)， 使其數(shù)據(jù)失去真實(shí)性；通過(guò)網(wǎng)絡(luò)對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)遭到偵聽(tīng)；通過(guò)網(wǎng)絡(luò)對(duì)數(shù)據(jù)庫(kù)進(jìn)行各種非法存取；通過(guò)網(wǎng)絡(luò)破壞數(shù)據(jù)庫(kù)系統(tǒng)的完整性、可用性等；對(duì)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)進(jìn)行拒絕式服務(wù)攻擊。

    3 ORACLE數(shù)據(jù)庫(kù)系統(tǒng)安全分析

    美國(guó)ORACLE公司的ORACLE系統(tǒng)是當(dāng)前主要的數(shù)據(jù)庫(kù)管理系統(tǒng)之一，已被廣泛使用。該系統(tǒng)提供了多級(jí)安全管理機(jī)制，安全性上達(dá)到美國(guó)C2級(jí)標(biāo)準(zhǔn)，但仍存在許多安全隱患和不足。

    3.1 ORACLE系統(tǒng)的安全管理機(jī)制

    ORACLE系統(tǒng)主要提供了多級(jí)安全管理機(jī)制。

    數(shù)據(jù)庫(kù)級(jí)安全。即提供用戶(hù)名和口令控制對(duì)數(shù)據(jù)庫(kù)的操作。每個(gè)存取ORACLE數(shù)據(jù)庫(kù)的用戶(hù)，在存取數(shù)據(jù)庫(kù)前必須申請(qǐng)一個(gè)ORACLE系統(tǒng)用戶(hù)名和口令，用戶(hù)的注冊(cè)信息存放在ORACLE系統(tǒng)的數(shù)據(jù)字典中，例如：用戶(hù)是否有CONNECT，RESOURCE或者DBA特權(quán)；用戶(hù)缺省的表空間信息；在每個(gè)表空間中用戶(hù)的空間限額等。每當(dāng)一個(gè)用戶(hù)連接一個(gè)數(shù)據(jù)庫(kù)時(shí)，ORACLE系統(tǒng)自動(dòng)檢查用戶(hù)名和口令是否合法。

    表級(jí)的安全。ORACLE系統(tǒng)除了在數(shù)據(jù)庫(kù)級(jí)提供了安全存取機(jī)制外，在表級(jí)，行級(jí)，列級(jí)也有相應(yīng)的安全存取措施。表的擁有者可以把自己擁有表的操作權(quán)授予其它用戶(hù)或隨時(shí)回收這些權(quán)利。

    審計(jì)功能。ORACLE的審計(jì)功能是一種主要的安全措施，利用審計(jì)功能系統(tǒng)管理員可用來(lái)監(jiān)視用戶(hù)對(duì)ORACLE數(shù)據(jù)庫(kù)實(shí)施的操作及數(shù)據(jù)庫(kù)系統(tǒng)運(yùn)行中的有關(guān)情況。

    系統(tǒng)備份與恢復(fù)功能。數(shù)據(jù)備份與恢復(fù)是實(shí)現(xiàn)數(shù)據(jù)庫(kù)系統(tǒng)安全運(yùn)行的重要技術(shù)。盡管采取了許多措施來(lái)保證數(shù)據(jù)庫(kù)系統(tǒng)的安全性， 然而計(jì)算機(jī)系統(tǒng)中的軟、硬件故障及操作的失誤和人為的破壞仍是不可避免的， 并且在網(wǎng)絡(luò)環(huán)境中還會(huì)產(chǎn)生一些通信故障， 如報(bào)文丟失和網(wǎng)絡(luò)分割等， 這經(jīng)常造成數(shù)據(jù)庫(kù)的破壞。為防止重要數(shù)據(jù)的丟失或損壞，數(shù)據(jù)庫(kù)管理員應(yīng)及早做好數(shù)據(jù)庫(kù)備份，當(dāng)系統(tǒng)發(fā)生故障時(shí)，管理員就能利用已有的數(shù)據(jù)備份，把數(shù)據(jù)庫(kù)恢復(fù)到原來(lái)的狀態(tài)，以便保持?jǐn)?shù)據(jù)的完整性和一致性。

    Or a c l e系統(tǒng)提供了三種備份辦法：導(dǎo)出/導(dǎo)入（Expor t /Import）、冷備份、熱備份。

    3.2 ORACLE系統(tǒng)自身存在的安全隱患分析

    ORACLE系統(tǒng)是外國(guó)公司開(kāi)發(fā)的數(shù)據(jù)庫(kù)管理系統(tǒng)，由于缺乏DBMS的源代碼和相關(guān)資料，外人無(wú)法對(duì)DBMS進(jìn)行代碼分析，更無(wú)從進(jìn)行安全性分析。更危險(xiǎn)的是在信息戰(zhàn)的條件下敵人完全可能根據(jù)我國(guó)的購(gòu)買(mǎi)部門(mén)、用途而故意在原有的標(biāo)準(zhǔn)DBMS上進(jìn)行修改，注入各種不同的惡意代碼，在特定條件下觸發(fā)危害數(shù)據(jù)庫(kù)安全。通過(guò)分析可以發(fā)現(xiàn)ORACLE系統(tǒng)可能存在以下安全隱患。

    （1）DBMS在身份認(rèn)證上留有后門(mén)，從而使敵人能夠繞過(guò)正常的身份認(rèn)證過(guò)程。而身份認(rèn)證本質(zhì)上是根據(jù)用戶(hù)帳號(hào)以及相應(yīng)的認(rèn)證信息賦予該用戶(hù)正確身份的過(guò)程，因此可能存在以下主要威脅：

    • 存在隱藏帳號(hào)。不管數(shù)據(jù)庫(kù)的安全管理員是如何設(shè)定帳號(hào)的，敵人都能夠通過(guò)它們輕松進(jìn)入系統(tǒng)，取得很高的系統(tǒng)權(quán)限。

    • 存在“萬(wàn)能鑰匙”。惡意的DBMS故意在身份認(rèn)證模塊中引入了某種形式的“萬(wàn)能鑰匙”。不管系統(tǒng)配置為通過(guò)口令驗(yàn)證或基于物理憑證驗(yàn)證，敵人只要輸入一組特殊的口令或插入特殊的物理憑證就能假冒任何用戶(hù)的身份。

    • 惡意模塊協(xié)作。惡意代碼可能觸發(fā)后端的訪問(wèn)控制模塊、處理模塊以及審計(jì)模塊，以協(xié)助、掩蓋敵人的行動(dòng)。例如通知訪問(wèn)控制模塊提供特權(quán)、通知處理模塊提升該用戶(hù)的優(yōu)先級(jí)使其盡快完成攻擊動(dòng)作，而且審計(jì)模塊將不記錄敵人的相關(guān)動(dòng)作或故意為敵人偽造一些“正常”的操作記錄。

    （2）DBMS在授權(quán)上留有后門(mén)，從而敵人進(jìn)行的某些操作可以繞過(guò)正常的訪問(wèn)控制機(jī)制。訪問(wèn)控制的本質(zhì)是根據(jù)給定主體、客體以及訪問(wèn)動(dòng)作的相關(guān)信息，做出是否允許訪問(wèn)的決定。因此惡意的訪問(wèn)控制模塊也可能造成以下威脅：

    • 特殊主體觸發(fā)。某些訪問(wèn)控制的主體能夠觸發(fā)訪問(wèn)控制模塊產(chǎn)生錯(cuò)誤的決定。

    • 特殊動(dòng)作觸發(fā)。某些訪問(wèn)控制的動(dòng)作能夠觸發(fā)訪問(wèn)控制模塊產(chǎn)生錯(cuò)誤的決定。

    • 特殊客體觸發(fā)。某些訪問(wèn)控制的客體能夠觸發(fā)訪問(wèn)控制模塊產(chǎn)生錯(cuò)誤的決定。

    • 完全繞過(guò)整個(gè)訪問(wèn)控制模塊。敵人還可能采取措施繞過(guò)整個(gè)訪問(wèn)控制模塊，直接進(jìn)入數(shù)據(jù)處理模塊，操作客體。

    （3）DBMS的數(shù)據(jù)處理模塊中有惡意代碼，可能造成以下威脅：

    • 能夠在關(guān)鍵時(shí)刻自動(dòng)(或由某些符合SQL語(yǔ)法的特殊的數(shù)據(jù)處理指令激活)改動(dòng)、插入或刪除數(shù)據(jù)。或自動(dòng)將高級(jí)別的數(shù)據(jù)復(fù)制為低級(jí)別的數(shù)據(jù)。

    • 通過(guò)特殊數(shù)據(jù)處理指令，觸發(fā)其它模塊的惡意動(dòng)作。例如觸發(fā)身份認(rèn)證模塊動(dòng)態(tài)修改該Session對(duì)應(yīng)的身份，從而由訪問(wèn)控制模塊中取得特權(quán)，同時(shí)審計(jì)模塊不記載敵人的后繼攻擊活動(dòng)。

    （4）DBMS在審計(jì)上留有后門(mén)，從而：

    • 不記載敵人的攻擊活動(dòng)。使得敵人的攻擊活動(dòng)不留下任何痕跡。

    • 將攻擊活動(dòng)偽造為某些正常的活動(dòng)。

    • 陷害好人。故意偽造審計(jì)記錄，說(shuō)明某人曾進(jìn)行了某些惡意動(dòng)作。

    3.3 數(shù)據(jù)庫(kù)系統(tǒng)日常管理中的安全隱患分析

    信息系統(tǒng)數(shù)據(jù)庫(kù)在日常維護(hù)使用中，由于數(shù)據(jù)庫(kù)系統(tǒng)自身原因、應(yīng)用軟件的問(wèn)題、維護(hù)使用管理制度的漏洞以及使用人員的不同情況，使數(shù)據(jù)庫(kù)系統(tǒng)存在許多安全隱患。

    （1）數(shù)據(jù)管理上存在安全隱患。為安全起見(jiàn)，數(shù)據(jù)庫(kù)的數(shù)據(jù)必須進(jìn)行定期備份，但是如何進(jìn)行定期備份，備份后的數(shù)據(jù)如何存放和管理的相關(guān)制度不夠完善，這些都直接關(guān)系到數(shù)據(jù)的安全。

    （2）人員配置上存在安全隱患。由于系統(tǒng)超級(jí)管理員權(quán)限過(guò)大，而對(duì)ORACLE數(shù)據(jù)庫(kù)編程和瀏覽的一般用戶(hù)常常具有數(shù)據(jù)庫(kù)管理員權(quán)限，能瀏覽所有數(shù)據(jù)并對(duì)數(shù)據(jù)庫(kù)系統(tǒng)做任何修改或刪除。因此如何選配系統(tǒng)超級(jí)管理員以及如何合理分配用戶(hù)權(quán)限都直接關(guān)系到數(shù)據(jù)庫(kù)的安全。

    （3）數(shù)據(jù)庫(kù)管理、維護(hù)人員業(yè)務(wù)能力也關(guān)系到數(shù)據(jù)庫(kù)的安全。由于操作不當(dāng)，或維護(hù)軟件、硬件出現(xiàn)故障時(shí)處置錯(cuò)誤將造成數(shù)據(jù)出錯(cuò)、丟失甚至數(shù)據(jù)庫(kù)系統(tǒng)崩潰。

    4 數(shù)據(jù)庫(kù)系統(tǒng)安全策略探討

    數(shù)據(jù)庫(kù)的安全策略主要是維護(hù)數(shù)據(jù)信息的完整性、保密性和可用性。雖然數(shù)據(jù)庫(kù)存在各種不安全因素，但是采取科學(xué)有效的安全防護(hù)策略將極大提高數(shù)據(jù)庫(kù)的安全性。各種安全防護(hù)策略一般可歸納為管理機(jī)制和技術(shù)手段兩方面。

    4.1 建立科學(xué)、完善的數(shù)據(jù)庫(kù)管理機(jī)制

    嚴(yán)格的科學(xué)管理可極大提高數(shù)據(jù)庫(kù)的安全性。科學(xué)、完善的管理制度可堵塞許多安全上的漏洞，消除安全隱患。

    制定數(shù)據(jù)庫(kù)軟硬件管理制度。針對(duì)數(shù)據(jù)庫(kù)軟硬件管理制定嚴(yán)格規(guī)定，有關(guān)數(shù)據(jù)庫(kù)的設(shè)備及標(biāo)準(zhǔn)、軟件、文檔等必須按保密規(guī)定進(jìn)行安全管理；數(shù)據(jù)庫(kù)服務(wù)器應(yīng)當(dāng)安置在由技術(shù)保障單位管理和使用、有人24小時(shí)全時(shí)值守、并具備防電磁輻射設(shè)施或者干擾設(shè)備的機(jī)房?jī)?nèi)；采集設(shè)備應(yīng)當(dāng)安置在具備保密安全設(shè)施的場(chǎng)所；應(yīng)用設(shè)備應(yīng)安置在指定場(chǎng)所，并配備必要的防電磁輻射干擾設(shè)備。

    制定管理人員和終端用戶(hù)安全管理制度。針對(duì)管理人員和終端用戶(hù)制定安全性管理規(guī)定，要求必須嚴(yán)格按保密規(guī)定配備作戰(zhàn)數(shù)據(jù)庫(kù)的系統(tǒng)管理員；系統(tǒng)管理員、數(shù)據(jù)維護(hù)人員和使用人員的安全管理權(quán)限嚴(yán)格區(qū)分；除系統(tǒng)管理員外，任何人嚴(yán)禁操作數(shù)據(jù)庫(kù)服務(wù)器、網(wǎng)絡(luò)服務(wù)器和系統(tǒng)管理終端。使用“角色”對(duì)終端用戶(hù)進(jìn)行權(quán)限管理。作戰(zhàn)數(shù)據(jù)庫(kù)的任何操作，必須通過(guò)“用戶(hù)名”和“口令”的核查，并自動(dòng)記錄使用情況；用戶(hù)及口令的建立、分配、使用和注銷(xiāo)由使用管理工作主管部門(mén)確定并授權(quán)技術(shù)保障單位統(tǒng)一管理，過(guò)期用戶(hù)應(yīng)當(dāng)及時(shí)注銷(xiāo)，有效用戶(hù)的口令應(yīng)當(dāng)定期更新。同時(shí)限制遠(yuǎn)程訪問(wèn)的超級(jí)用戶(hù)權(quán)限。

    制定定期的安全評(píng)估和檢測(cè)的制度。通過(guò)定期的安全評(píng)估了解目前數(shù)據(jù)庫(kù)安全的現(xiàn)狀，了解安全對(duì)策的執(zhí)行情況。通常，評(píng)估的內(nèi)容采用基本安全對(duì)策中的項(xiàng)目，以及相關(guān)環(huán)境的一些安全漏洞。定期查看所有日志和日志記錄機(jī)制以檢測(cè)數(shù)據(jù)庫(kù)使用情況。

    制訂完善的數(shù)據(jù)庫(kù)備份制度。定期的進(jìn)行數(shù)據(jù)備份是減少數(shù)據(jù)損失的有效手段，能讓數(shù)據(jù)庫(kù)遭到破壞（惡意或者誤操作）后，恢復(fù)數(shù)據(jù)資源。同時(shí)嚴(yán)格按保密規(guī)定存儲(chǔ)和使用備份的數(shù)據(jù)。

    建立完善的審計(jì)制度。針對(duì)現(xiàn)有的數(shù)據(jù)庫(kù)管理系統(tǒng)的審計(jì)保護(hù)功能存在不足，可實(shí)施安全對(duì)策加以改進(jìn)，提高安全性：設(shè)置審計(jì)員、數(shù)據(jù)庫(kù)用戶(hù)、系統(tǒng)安全員3類(lèi)，這三者相互牽制，各司其職，分別在3個(gè)地方進(jìn)行審計(jì)控制。為了保證數(shù)據(jù)庫(kù)系統(tǒng)的安全審計(jì)功能，還需要考慮到系統(tǒng)能夠?qū)Π踩趾κ录龀鲎詣?dòng)響應(yīng)，提供審計(jì)自動(dòng)報(bào)警功能。當(dāng)系統(tǒng)檢測(cè)到有危害到系統(tǒng)安全的事件發(fā)生并達(dá)到預(yù)定的閾值時(shí)，要給出報(bào)警信息，同時(shí)還會(huì)自動(dòng)斷開(kāi)用戶(hù)的連接，終止服務(wù)器端的相應(yīng)線程，并阻止該用戶(hù)再次登錄系統(tǒng)。

    4.2 加強(qiáng)先進(jìn)有效技術(shù)手段的研究應(yīng)用

    目前，我們通常使用的操作系統(tǒng)平臺(tái)和數(shù)據(jù)庫(kù)管理系統(tǒng)是國(guó)外產(chǎn)品，其后端DBMS是不可信的。為保障數(shù)據(jù)庫(kù)安全，必須在DBMS加密、存儲(chǔ)干擾及對(duì)抗技術(shù)、入侵檢測(cè)和備份恢復(fù)技術(shù)等方面進(jìn)行研究，綜合采用有效手段，提高數(shù)據(jù)庫(kù)的安全性、可靠性。

    （1）研究并采用各種加密手段。ORACLE董事長(zhǎng)拉里•埃里森在Oracle OpenWorld大會(huì)上，談到了一個(gè)觀點(diǎn)——要保護(hù)數(shù)據(jù)庫(kù)安全，關(guān)鍵在于加密。他還認(rèn)為，我們不僅要為發(fā)往互聯(lián)網(wǎng)的數(shù)據(jù)庫(kù)中的數(shù)據(jù)加密，還要為從硬盤(pán)轉(zhuǎn)移到后端系統(tǒng)的過(guò)程中的數(shù)據(jù)加密。他還建議禁止用戶(hù)在沒(méi)有進(jìn)行加密的情況下實(shí)施數(shù)據(jù)備份。

    由于DBMS是國(guó)外產(chǎn)品，因此重點(diǎn)要研究DBMS加密。DBMS加密一般考慮在OS層、DBMS內(nèi)核層和DBMS外層三個(gè)不同層次實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)的加密。在OS層加密無(wú)法辨認(rèn)數(shù)據(jù)庫(kù)文件中的數(shù)據(jù)關(guān)系，從而無(wú)法產(chǎn)生合理的密鑰，對(duì)密鑰合理的管理和使用也很難，所以很難實(shí)現(xiàn)。在DBMS內(nèi)核層實(shí)現(xiàn)加密是指數(shù)據(jù)在物理存取之前完成加/解密工作。優(yōu)點(diǎn)是加密功能強(qiáng)，并且加密功能幾乎不會(huì)影響DBMS的功能，可以實(shí)現(xiàn)加密功能與數(shù)據(jù)庫(kù)管理系統(tǒng)之間的無(wú)縫耦合。缺點(diǎn)是加密運(yùn)算在服務(wù)器端進(jìn)行，加重了服務(wù)器的負(fù)載，而且DBMS和加密器之間的接口需要DBMS開(kāi)發(fā)商的支持。在DBMS外層實(shí)現(xiàn)加密。比較實(shí)際的做法是將數(shù)據(jù)庫(kù)加密系統(tǒng)做成DBMS的一個(gè)外層工具，根據(jù)加密要求自動(dòng)完成對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)的加/解密處理。采用這種加密方式進(jìn)行加密，加/解密運(yùn)算可在客戶(hù)端進(jìn)行，優(yōu)點(diǎn)是不會(huì)加重?cái)?shù)據(jù)庫(kù)服務(wù)器的負(fù)載并且可以實(shí)現(xiàn)網(wǎng)上傳輸?shù)募用埽秉c(diǎn)是加密功能會(huì)受到一些限制，與數(shù)據(jù)庫(kù)管理系統(tǒng)之間的耦合性稍差。因此，在DBMS外層實(shí)現(xiàn)加密方法目前研究使用較多，可以較好減少原DBMS在身份認(rèn)證等方面的安全隱患。

    （2）運(yùn)用防火墻和入侵檢測(cè)技術(shù)構(gòu)建安全增強(qiáng)的數(shù)據(jù)庫(kù)系統(tǒng)。可在網(wǎng)絡(luò)層次上采用防火墻和入侵檢測(cè)技術(shù)等安全防范技術(shù)，同時(shí)考慮任何系統(tǒng)不可能保證完全不受攻擊，所以在保證系統(tǒng)有效的防御措施后，還需要保證系統(tǒng)在遭受到攻擊后，系統(tǒng)的自診斷、修復(fù)和重構(gòu)能力，可以保證數(shù)據(jù)的完整性和可用性，即數(shù)據(jù)庫(kù)系統(tǒng)的可生存能力。它使系統(tǒng)具有彈性，能承受一定限度的攻擊，在系統(tǒng)攻擊后仍然可以為合法用戶(hù)提供不間斷的服務(wù)。可考慮建立一種基于容忍入侵的數(shù)據(jù)庫(kù)安全體系結(jié)構(gòu)，即“外層防御+ 中間層入侵檢測(cè)+內(nèi)層容忍入侵”三層防御的數(shù)據(jù)庫(kù)系統(tǒng)，如圖1所示。

                    
                           圖1 三層防御的數(shù)據(jù)庫(kù)系統(tǒng)示意圖

    容忍入侵的數(shù)據(jù)庫(kù)安全體系結(jié)構(gòu)由三個(gè)層次構(gòu)成：外層－防御：防御的主要策略有防火墻、認(rèn)證、訪問(wèn)控制、加密、消息過(guò)濾、功能隔離等。客戶(hù)訪問(wèn)數(shù)據(jù)庫(kù)系統(tǒng)時(shí)，首先要經(jīng)過(guò)防火墻過(guò)濾，客戶(hù)與服務(wù)器進(jìn)行互相認(rèn)證，必要時(shí)對(duì)機(jī)密信息進(jìn)行加密。中間層－入侵檢測(cè)：入侵檢測(cè)系統(tǒng)(DIS) 監(jiān)視系統(tǒng)運(yùn)行情況，分析系統(tǒng)日志文件和應(yīng)用程序日志等信息檢測(cè)入侵，并對(duì)攻擊進(jìn)行識(shí)別以確定攻擊造成的影響。入侵檢測(cè)系統(tǒng)己經(jīng)成為安全防御系統(tǒng)的重要組成部分， 是對(duì)防火墻的一個(gè)重要補(bǔ)充。內(nèi)層－容忍入侵：容忍入侵技術(shù)主要考慮在入侵存在的情況下系統(tǒng)的生存能力，保證系統(tǒng)關(guān)鍵功能的安全性和健壯性。

    （3）加強(qiáng)備份、恢復(fù)技術(shù)的研究及應(yīng)用。數(shù)據(jù)庫(kù)系統(tǒng)運(yùn)行中，軟硬件發(fā)生故障，造成系統(tǒng)崩潰的情況是有可能的。因此研究數(shù)據(jù)備份、恢復(fù)技術(shù)，應(yīng)對(duì)系統(tǒng)崩潰的突發(fā)是必須的。信息戰(zhàn)條件下數(shù)據(jù)恢復(fù)機(jī)制與傳統(tǒng)的恢復(fù)機(jī)制有所不同。在數(shù)據(jù)庫(kù)領(lǐng)域，傳統(tǒng)的數(shù)據(jù)庫(kù)恢復(fù)機(jī)制是為了保持事務(wù)的連續(xù)性，并不是用來(lái)處理惡意事務(wù)的。而在信息戰(zhàn)中，在被檢測(cè)到之前，惡意事務(wù)可能已完成且已提交，可能已造成破壞，因此必須加強(qiáng)研究信息戰(zhàn)條件下的數(shù)據(jù)庫(kù)恢復(fù)技術(shù)。

    （4）研究使用存儲(chǔ)干擾及其對(duì)抗技術(shù)應(yīng)對(duì)信息攻擊。存儲(chǔ)干擾是指惡意地、悄悄地修改系統(tǒng)中保存的數(shù)據(jù)， 以便間接干擾依賴(lài)這些數(shù)據(jù)的關(guān)鍵應(yīng)用。例如，隱藏在DBMS或應(yīng)用程序中的惡意的存儲(chǔ)干擾軟件(Jammer) 在其宿主運(yùn)行過(guò)程中悄悄地修改數(shù)據(jù)庫(kù)中某些數(shù)據(jù)項(xiàng)， 經(jīng)過(guò)一段時(shí)間之后， 系統(tǒng)顯示我方的倉(cāng)庫(kù)中還有許多備有物資， 而實(shí)際上早已用完了。這里的存儲(chǔ)干擾與通訊干擾不同， 秘密性是它的一個(gè)重要特性，它一旦被發(fā)現(xiàn)， 很容易被終止。因而對(duì)抗技術(shù)的重點(diǎn)是如何發(fā)現(xiàn)Jammer的存在。

    存儲(chǔ)干擾的檢測(cè)技術(shù)主要有三種：①依據(jù)一些特殊的數(shù)據(jù)完整性約束， 檢測(cè)軟件可以很有效地校驗(yàn)這些約束；②將系統(tǒng)相關(guān)的數(shù)據(jù)依賴(lài)分布到多個(gè)程序和多個(gè)數(shù)據(jù)域， 使得處于單一區(qū)域的Jammer無(wú)法偽造出與其他域中的數(shù)據(jù)一致的干擾數(shù)據(jù)；③引進(jìn)一些偽造的檢測(cè)數(shù)據(jù)(Detection Ob2ject)，它們看起來(lái)像是應(yīng)用數(shù)據(jù)的一部分， 但是實(shí)際上從不使用。如果它們被更改了，判斷Jammer存在的可能性就很大。另外， 從防御性信息戰(zhàn)的角度看，存儲(chǔ)干擾技術(shù)也可以用于保護(hù)重要的數(shù)據(jù)庫(kù)。它通過(guò)故意在數(shù)據(jù)庫(kù)中引入一些偽造的數(shù)據(jù)目標(biāo)(Bogus Values) ，能夠有效地欺騙攻擊者， 使其無(wú)法確認(rèn)哪些數(shù)據(jù)是關(guān)鍵數(shù)據(jù)， 從而迷失攻擊目標(biāo)。DBMS負(fù)責(zé)確保這些偽造的數(shù)據(jù)不會(huì)返回給合法的用戶(hù)或應(yīng)用。如何合理地平衡系統(tǒng)欺騙敵人的能力和DBMS的復(fù)雜度代價(jià)是一個(gè)關(guān)鍵問(wèn)題， 尚在研究之中。

    5 結(jié)束語(yǔ)

    總之，信息戰(zhàn)的嚴(yán)峻形勢(shì)、數(shù)據(jù)庫(kù)結(jié)構(gòu)的復(fù)雜性，使數(shù)據(jù)庫(kù)的安全技術(shù)面臨著諸多的突破難點(diǎn)，目前數(shù)據(jù)庫(kù)安全技術(shù)和防護(hù)策略尚不夠成熟，還處在研究探討階段，信息戰(zhàn)條件下數(shù)據(jù)庫(kù)安全工作還需進(jìn)行更多更深入的研究。

    參考文獻(xiàn)：

    [1] Ammann P E, Jajodia S, McDermott C D. etal1Survivinginformation warfareattacks on databases [C]. 1Proceedings of the IEEE Symposium on Security andPrivacy, 1997, 6: 32–331.

    [2] Graubart R, Schlipper L. McCollum C1Defending data2base managementsystem against information warfare at2tacks [R]. 1TheM ITRE Corporation,1996.

    [3] Panda B. Sani T1Data dependency based logging for de2 fensiveinformation warfare [C]. 1Proceedings of the ACMS ymposium on App liedComputing, 2000.

    [4] 布里森（美）著, 王軍德, 王海峰譯.Oracle 9i Unix管理手冊(cè)[M]. 北京: 機(jī)械工業(yè)出版社.

   [5] 王海亮. 精通Oracle 10g SQL和PL/SQL. 水利水電出版社, 2007.

   [6] 王國(guó)鑫, 孟憲勇. 信息安全技術(shù)發(fā)展趨勢(shì)分析[J]. 辦公自動(dòng)化雜志,2008(3).

   [7] 李素華. 數(shù)據(jù)庫(kù)管理安全措施分析[J]. 黃河水利職業(yè)技術(shù)學(xué)院學(xué)報(bào),2007(10).

   [8] 李東風(fēng), 謝昕. 數(shù)據(jù)庫(kù)安全技術(shù)研究與應(yīng)用[J]. 計(jì)算機(jī)安全, 2008(1).

    吳遠(yuǎn)成（1973-）男，大專(zhuān)，助理工程師，湖北宜都人，現(xiàn)就職于中船重工集團(tuán)公司第七一零研究所，主要從事電子技術(shù)方面的研究。

   摘自《自動(dòng)化博覽》2011年第八期