異構平臺的數(shù)據(jù)庫安全技術

　　異構數(shù)據(jù)庫的安全性包括：機密性、完整性和可用性，數(shù)據(jù)庫在三個層次上的異構，客戶機 /服務器通過開放的網(wǎng)絡環(huán)境，跨不同硬件和軟件平臺通信，數(shù)據(jù)庫安全問題在異構環(huán)境下變得更加復雜。而且異構環(huán)境的系統(tǒng)具有可擴展性，能管理分布或聯(lián)邦數(shù)據(jù)庫環(huán)境，每個結點服務器還能自治實行集中式安全管理和訪問控制，對自己創(chuàng)建的用戶、規(guī)則、客體進行安全管理。如由DBA或安全管理員執(zhí)行本部門、本地區(qū)、或整體的安全策略，授權特定的管理員管理各組應用程序、用戶、規(guī)則和數(shù)據(jù)庫。因此訪問控制和安全管理尤為重要。異構環(huán)境的數(shù)據(jù)庫安全策略有：

　　全局范圍的身份驗證；
　　全局的訪問控制，以支持各類局部訪問控制（自主和強制訪問控制）；
　　全局完整性控制；
　　網(wǎng)絡安全管理，包括網(wǎng)絡信息加密、網(wǎng)絡入侵防護和檢測等；
　　審計技術；
　　數(shù)據(jù)庫及應用系統(tǒng)安全，如自動的應用系統(tǒng)集成、對象管理等。開發(fā)者能定義各個對象的安全性。根據(jù)定義的數(shù)據(jù)庫安全性，DBA能迅速準確地通過應用系統(tǒng)給所有數(shù)據(jù)庫對象授權和回收權限。

　　復雜的口令管理技術

　　復雜的口令管理技術。包括數(shù)據(jù)庫中多個事務的口令同步；異構數(shù)據(jù)庫間的口令同步，如Oracle 和Unix口令；用戶初始的口令更新；強制口令更新；口令可用性、口令的時間限制、口令的歷史管理、口令等級設置等。

　　口令安全漏洞檢查和系統(tǒng)終止。包括檢查系統(tǒng)終止前登錄失敗的次數(shù)，系統(tǒng)終止前登錄成功與登錄失敗間的時間間隔，跟蹤企圖登錄的站點地址。

　　口令加密、審計技術。包括發(fā)現(xiàn)口令漏洞,記錄口令歷史, 記錄對表、行、列的訪問,記錄應用系統(tǒng)的訪問等。

　　安全代理模型

　　異構數(shù)據(jù)庫是一個為用戶提供服務的網(wǎng)絡互聯(lián)的服務器集合。因此應提供全局訪問控制（GAC），并對原有安全策略重新進行異構描述。提供聯(lián)邦訪問表，為用戶訪問、更新存在于不同數(shù)據(jù)庫的數(shù)據(jù)信息（包括安全信息）提供服務。此表為聯(lián)邦中每個用戶指定對某個實體對象允許的操作，它由存放在某個數(shù)據(jù)庫中的安全信息創(chuàng)建。由于實體對象的集合可能被存放在許多數(shù)據(jù)庫中，應提供特定規(guī)則和過程將安全信息轉換集成為全局信息。

　　使用多種代理，全局訪問控制（GAC）的安全結構分為三層：協(xié)調層、任務層和數(shù)據(jù)庫層，每層有特定的代理強制執(zhí)行部分聯(lián)邦安全策略。協(xié)調層的任務由系統(tǒng)管理員的代理完成，負責管理整個環(huán)境，分派權限給稱作任務代理的其他代理，任務代理通過分派訪問單個數(shù)據(jù)庫的權限給數(shù)據(jù)庫代理，來控制對整個聯(lián)邦數(shù)據(jù)庫的訪問。比如，由系統(tǒng)管理員分派的完整性保證的任務由完整性管理員完成，數(shù)據(jù)庫功能（如獲得用戶信息）由用戶和數(shù)據(jù)代理完成。

　　頂層（Top Level）代理稱為委托代理。由它決定聯(lián)邦中執(zhí)行任務的類型。這一層的代理關心聯(lián)邦中所有發(fā)生或正在發(fā)生的活動。為了獲知“誰正在做什么”，不同代理的信息都存放在一特定的目錄里。根據(jù)這些信息，頂層代理，向適當?shù)拇�理委派任務�?

　　中間層（Middle Level）代理稱為安全代理。特定的任務（如保持全局完整性）由安全代理完成，它在聯(lián)邦中可見的范圍比頂層代理要窄，完成的任務更具體。安全代理只能看到和它完成同一任務的其他代理。

　　底層（Bottom Level）代理稱為數(shù)據(jù)代理。由更高層代理指定完成訪問、更新信息任務的代理組成。這些代理是共享數(shù)據(jù)庫和頂層、中間層代理的接口。如用戶代理記錄某個用戶的所有信息，如他/她的標識、對不同對象的不同訪問權限等。

　　DM3的安全技術

　　可信數(shù)據(jù)庫管理系統(tǒng)的體系結構分為兩類，第一類是 TCB子集DBMS結構，用DBMS以外的可信計算基(TCB)實現(xiàn)對數(shù)據(jù)庫對象的強制訪問控制，此時多級關系被分解成單級或系統(tǒng)級片斷，多級安全DBMS將這些片斷存在物理上分離的單級對象（如文件、段或物理上分離的硬件設備）中，再對這些分離的單級或系統(tǒng)級對象的訪問實行強制訪問控制。第二類是可信主體DBMS，由DBMS本身實現(xiàn)強制訪問控制的一些或全部責任。

　　DM3采用可信主體DBMS體系結構，由數(shù)據(jù)庫管理系統(tǒng)實現(xiàn)強制訪問控制的功能，它要求操作系統(tǒng)能提供控制，防止繞過DBMS直接對數(shù)據(jù)庫的訪問，將概念上的多級數(shù)據(jù)庫存于一個或多個操作系統(tǒng)對象（如文件）中。由多級安全DBMS 給每個數(shù)據(jù)庫對象進行標記，這些數(shù)據(jù)庫對象對操作系統(tǒng)是不可見的，操作系統(tǒng)不能直接對數(shù)據(jù)庫對象進行訪問，多級安全DBMS有跨操作系統(tǒng)安全級范圍操作的特權。

　　DM3在安全管理體制方面與其他數(shù)據(jù)庫管理系統(tǒng)不同。絕大多數(shù)數(shù)據(jù)庫管理系統(tǒng)采用的是由數(shù)據(jù)庫管理員DBA負責系統(tǒng)的全部管理工作(包括安全管理)。顯然，這種管理機制使得DBA的權力過于集中，存在安全隱患。DM3在安全管理方面采用了三權分立的安全管理體制，把系統(tǒng)管理員分為數(shù)據(jù)庫管理員DBA，數(shù)據(jù)庫安全管理員SSO，數(shù)據(jù)庫審計員Auditor三類。DBA負責自主存取控制及系統(tǒng)維護與管理方面的工作，SSO負責強制存取控制，Auditor負責系統(tǒng)的審計。這種管理體制真正做到三權分立，各行其責，相互制約，可靠地保證了數(shù)據(jù)庫的安全性。

　　自主訪問控制就是對主體(用戶)訪問客體(數(shù)據(jù)庫對象) 的操作權限實施控制，目的就是要保證用戶只能存取他有權存取的數(shù)據(jù)，當用戶擁有數(shù)據(jù)庫對象上的某些操作權限及相應的轉授權時，可以自由地把這些操作權限部分或全部轉授給其他用戶，從而使得其他用戶也獲得在這些數(shù)據(jù)庫對象上的使用權限。DM3系統(tǒng)根據(jù)用戶的權限執(zhí)行自主訪問控制。規(guī)定用戶權限要考慮三個因素：用戶、數(shù)據(jù)對象和操作。所有的用戶權限都要記錄在系統(tǒng)表(數(shù)據(jù)字典)中，對用戶存取權限的定義稱為授權，當用戶提出操作請求時，DM3根據(jù)授權情況進行檢查，以決定是執(zhí)行操作還是拒絕執(zhí)行，從而保證用戶能夠存取他有權存取的數(shù)據(jù)。

　　所謂強制訪問控制是通過給主體(用戶)和客體(數(shù)據(jù)對象) 指定安全級，并根據(jù)安全級匹配規(guī)則來確定某主體是否被準許訪問某客體。DM3系統(tǒng)根據(jù)用戶的操作請求、安全級和客體的安全級執(zhí)行強制訪問控制，保證用戶只能訪問與其安全級相匹配的數(shù)據(jù)。強制訪問控制必須事先定義主體和客體的安全級，所有主體和客體的安全級都要記錄在系統(tǒng)中。當用戶提出操作請求時，DM3首先檢查用戶對所操作的數(shù)據(jù)對象是否具有相應的操作權限，然后檢查該用戶的操作請求及安全級與所操作的數(shù)據(jù)對象的安全級是否匹配，當兩個條件都滿足時，DM3才執(zhí)行用戶的操作請求，否則拒絕執(zhí)行。