摘要:计算机系统的安全现在变得日益重要,特别是使用大型数据库的应用系统。由于数据大量集中存放,而且数据库为众多用户直接共享,安全问题更为突出。本文结合税收应用系统描述怎样加强应用系统中数据库安全。
关键词: 数据库;安全机制;系统安全;加密
中图分类号:TP309 文献标识码:A 文章编号:1009-3044(2008)31-0781-02
Study of the Database Security Mechanism Applied in the Revenue Application
GAO Zhao-qian
(Institute of Network Security, Shandong University, Jinan 250100, China)
Abstract: The security of the computer system becomes important day by day, specially in the application system which uses the large-scale database.Because there is massive data to be stored in the database and the database is shared directly by a good many users, the security problem become more prominent. Strengthen the security of the database with reference to the revenue application will be discussed in this paper.
Key words: database; security mechnism; system security; encrypt
1 引言
税务系统正在应用的电子申报软件、财税库银联网系统、税收征收管理信息系统及税收票证系统都采用大型数据库,如Oracle和Sybase。数据库中存储海量的纳税人税务登记信息、银行扣款信息和申报征收数据、税务稽查文书信息,数据库安全要求很高,而且税务部门信息化程度在提高,信息化应用不断深化,已经与人民银行、财政、商业银行(社)、工商、质检等部门建立了信息共享机制。如何通过应用数据库安全机制来提高税务系统信息安全,防范信息系统被入侵成为我们亟待解决的问题。
2 网络传输数据安全
数据库安全首先需要保证网络传输安全,根据网络的应用现状情况和网络的结构,我们需要保证物理环境安全、网络传输安全、应用安全并且做到安全管理。
2.1 物理环境的安全
物理环境的安全包括通信线路的安全、物理设备的安全、机房的安全等。我们可以保证24小时通信线路可靠、软硬件设备安全、设备能够备份及具有防灾害能力、防干扰能力,保证数据库设备的运行环境适宜(温度、湿度、烟尘)、不间断电源保障等。
2.2 网络的安全
网络的安全主要包括网络层身份认证,网络资源的访问控制,数据传输的保密与完整性,远程接入的安全,域名系统的安全,路由系统的安全,入侵检测的手段,网络设施防病毒等。在这一层面上,我们主要利用防火墙、VPN(虚拟专用网)和IPSec(安全信道)等手段保证可信系统及安全的IP连接,阻止DoS(拒绝服务攻击)攻击、过滤IP及数据包,用DMZ(非军事区)将面向外部广域网的服务器和后端的数据库、支持服务系统隔离。
2.3 应用软件的安全
软件的安全问题主要由提供服务所采用的应用软件和数据的安全性产生,数据库服务器安装的软件包括Web服务、电子邮件系统、DNS等。此外,还包括计算机病毒对系统的威胁。
3 操作系统安全
我们数据库服务器安装的操作系统包括Windows NT、Windows 2000等。操作系统的安全问题主要表现在三方面,一是操作系统本身的缺陷带来的不安全因素,主要包括身份认证、访问控制、系统漏洞等,我们必须对操作系统及时更新升级;二是对操作系统的安全配置问题,我们可以使用强度大的操作系统 登陆口令、禁止Guest用户等方法进行安全配置,同时可以部署专业的入侵检测系统用于监测和阻止各种攻击,实时地阻止TCP/IP数据包;三是防范病毒对操作系统的威胁,可以安装防病毒软件及定时查杀病毒、及时升级病毒特征库防范病毒危害操作系统。
4 数据库管理系统安全
我们在网络传输、操作系统层次安全被突破的时候,通过数据库管理系统安全技术依然可以保证应用系统的信息安全。数据库管理系统的安全机制主要包括:
4.1 用户名和口令验证
数据库管理系统必须建立严格的用户认证机制。身份的标识和鉴别是数据库管理系统对访问者授权的前提,并且通过数据库审计机制使数据库管理系统保留追究用户行为责任的能力。功能完善的标识与鉴别机制也是访问控制机制有效实施的基础,特别是在一个开放的多用户系统的网络环境中,识别与鉴别用户是构筑数据库安全防线的第1个重要环节。
标识机制用于惟一标志进入系统的每个用户的身份,必须保证标识的惟一性。鉴别是指数据库管理系统检查验证用户的身份证明,用于检验用户身份的合法性。标识和鉴别功能保证了只有合法的用户才能存取系统中的资源。
我们可以在数据库系统中对“口令”采取一些控制措施,可以有最小长度限制、次数限定、选择字符、有效期、双口令和封锁用户系统等。“口令”多以加密形式存储,攻击者要得到用户的“口令”,必须知道加密算法和密钥。也可以存储“口令”的单向Hash值,即使得到密文也难以推出明文。
我们还可以应用数字证书来证明实体所宣称的身份与其持有的公钥的匹配关系,使得实体的身份与证书中的公钥相互绑定。
4.2 存取控制
4.2.1 授权
存取控制的目的是确保用户对数据库只能进行经过授权的有关操作。传统的存取控制机制有两种,自主存取控制和强制存取控制。在自主存取控制机制中,用户对不同的数据对象有不同的存取权限,而且还可以将其拥有的存取权限转授给其他用户。自主存取访问控制完全基于访问者和对象的身份;强制存取机制对于不同类型的信息采取不同层次的安全策略,对不同类型的数据来进行访问授权。
根据税务应用系统用户岗位职责明确的组织机构特点,我们普遍应用的是RBAC(Role-based Access Control,基于角色的存取控制)。RBAC在用户和权限之间增加了一个中间桥梁——角色。权限被授予角色,而管理员通过指定用户为特定角色来为用户授权。平时根据组织中的不同工作创建角色,然后根据用户的责任和资格分配角色,用户可以轻松地进行角色转换。而随着新应用和新系统的增加,角色可以分配更多的权限,也可以根据需要撤销相应的权限。
4.2.2 视图和存储过程
现在大型数据库中还提供了两种对象——视图和存储过程用于增强系统的安全性。视图和存储过程像数据库中的其他对象,也要进行权限设定,这样用户只能取得对视图和存储过程的授权,而无法访问底层表。视图、存储过程可以限制底层表的可见列,从而限制用户能查询的数据列的种类,还能通过应用Where子句限制表返回的行。
对程序资源的访问进行安全控制,服务端的控制是最重要和最可靠的保障方式,而客户端的控制仅仅是提高了用户界面的清洁度和友好性。所以,一个完善而友好的程序资源访问控制最好同时包括服务端和客户端两个层面的控制。
4.2.3 数据库加密
由于数据库在操作系统中以文件形式管理,为了防止入侵者利用操作系统的漏洞窃取数据库文件、篡改数据库文件内容。因此,需要对存储的敏感数据进行加密保护,即使数据泄露或者丢失,也难以造成泄密。同时,数据库加密可以由用户用自己的密钥加密自己的敏感信息,可以实现个性化的用户隐私保护。
我们在数据库加密系统需要考虑四个方面的问题:
1) 选择适合的数据库加密实现机制。
数据库加密机制可以分为库内加密和库外加密,根据执行加密部件在数据库系统中所处的层次和位置,通过对比各种体系结构的运行效率、可扩展性和安全性,我们选择库外加密的方式。库外加密的明显优点:加/解密过程在客户端或专门的加密服务器实现,减少了数据库服务器与DBMS的运行负担;可以将加密密钥与所加密的数据分开保存,提高安全性;由客户端与服务器配合,可以实现端到端的网上密文传输。
2) 选择合适的数据库加密的粒度
数据库加密的粒度可以有4种,即表、属性、记录和数据元素。加密粒度越小,则灵活性越好且安全性越高,但实现技术也更为复杂,对系统的运行效率影响也越大。在目前条件下,为了得到较高的安全性和灵活性,采用最多的加密粒度是数据元素。属性的个数少于记录的条数,需要的密钥数相对较少。如果只有少数属性需要加密,属性加密是可选的方法。为了使数据库中的数据能够充分而灵活地共享,加密后还应当允许用户以不同的粒度进行访问。
3) 选择合适的加密算法
常用的加密算法包括对称密钥算法和非对称密钥算法。选择的加密算法产生的密文应该频率平衡,随机无重码,周期很长而又不可能产生重复现象。窃密者很难通过对密文频率,或者重码等特征的分析获得成功。同时,算法必须适应数据库系统的特性,加解密尤其是解密响应迅速。一方面,对称密钥算法的运算速度比非对称密钥算法快很多,二者相差大约2~3个数量级;另一方面,在公开密钥算法中,每个用户有自己的密钥对,而作为数据库加密的密钥如果因人而异,将产生异常庞大的数据存储量。因此,在数据库加密中一般采取对称密钥的分组加密算法。
4) 在密钥管理上我们关注的是多级密钥管理体制
以加密粒度为数据元素的三级密钥管理体制为例,整个系统的密钥由一个主密钥、每个表上的表密钥,以及各个数据元素密钥组成。表密钥被主密钥加密后以密文形式保存在数据字典中,数据元素密钥由主密钥及数据元素所在行、列通过某种函数自动生成,一般不需要保存。在多级密钥体制中,主密钥是加密子系统的关键,系统的安全性在很大程度上依赖于主密钥的安全性实际应用当中,税务部门的大型管理信息系统可以采用外包数据库服务模式,数据库服务器委托给计算机公司和单位的信息中心,业务部门只是使用数据,同时根据库外加密方式加密数据,存储在数据库中的数据全部为加密数据,业务部门对数据有使用权。
5 数据库审计
数据库审计是指监视和记录用户对数据库所施加的各种操作的机制。审计功能是数据库系统达到C2以上安全级别必不可少的一项指标。
审计机制应该至少记录用户标识和认证、客体访问、授权用户进行并会影响系统安全的操作,以及其他安全相关事件。对于每个记录的事件,审计记录中需要包括事件时间、用户、时间类型、事件数据和事件的成功/失败情况。对于标识和认证事件,必须记录事件源的终端ID和源地址等;对于访问和删除对象的事件,则需要记录对象的名称。
为了达到审计目的,一般必须审计到对数据库记录与字段一级的访问。对于审计粒度与审计对象的选择,需要妥善解决系统运行效率与存储空间消耗之间的矛盾。
6 数据库备份与恢复
安全的数据库系统必须能在系统发生故障后利用已有的数据备份,恢复数据库到原来的状态,并保持数据的完整性和一致性。数据库系统所采用的备份与恢复技术,对系统的安全性与可靠性起着重要作用,也对系统的运行效率有着重大影响。
6.1 数据库备份
数据库备份的方法有3种,冷备份,热备份和逻辑备份。冷备份是在没有终端用户访问数据库的情况下关闭数据库并将其备份,又称为“脱机备份”。热备份是指当数据库正在运行时进行的备份,又称为“联机备份”。逻辑备份是指使用软件技术从数据库中导出数据并写入一个输出文件,该文件的格式一般与原数据库的文件格式不同,而是原数据库中数据内容的一个映像。我们根据税务部门及相关联网单位的实际应用情况,一般将3种方法结合使用,对于必须保持每天24小时、每周7天全天候运行的数据库服务器来说,一般采用热备份和逻辑备份。对于只在工作日固定时间段运行的服务器采取冷备份的方法。
6.2 数据库恢复
数据库恢复技术一般有3种策略,即基于备份的恢复、基于运行时日志的恢复和基于镜像数据库的恢复。
6.2.1 基于备份的恢复
基于备份的恢复是指周期性地备份数据库。当数据库失效时,可取最近一次的数据库备份来恢复数据库,即把备份的数据拷贝到原数据库所在的位置上。
6.2.2 基于运行时日志的恢复
基于运行时日志的恢复充分利用运行时日志,当系统突然失效而导致事务中断时,可重新装入数据库的副本,把数据库恢复到上一次备份时的状态。然后系统自动正向扫描日志文件,将故障发生前所有提交的事务放到重做队列,将未提交的事务放到撤销队列执行,这样就可把数据库恢复到故障前某一时刻的数据一致性状态。
6.2.3 基于镜像数据库的恢复
基于镜像数据库的恢复是在另一个磁盘上复制数据库作为实时副本,当主数据库更新时,DBMS自动把更新后的数据复制到镜像数据,始终使镜像数据和主数据保持一致性。当主库出现故障时,可由镜像磁盘继续提供使用,同时DBMS自动利用镜像磁盘数据进行数据库恢复。
在系统发生故障后,把数据库恢复到原来的某种一致性状态的关键是如何建立“冗余”并利用“冗余”实施数据库恢复,即恢复策略。为兼顾可靠性和可用性,我们可以结合使用的数据库产品有选择地使用以上各种恢复技术。
7 结束语
安全技术是彼此依赖并相互支持的。存取控制的正确性依赖于安全的用户名口令和验证机制,用户名口令和验证机制也是入侵检测和审计的基础。存取控制是数据库安全最基本,也是最核心的措施,数据库加密在带来更高安全性的同时必然带来运行效率和可用性的降低。我们普遍应用的是加密部分敏感信息。备份是数据库恢复的前提,恢复则是数据库安全的重要安全措施。在结合应用各种安全技术的同时,我们还需要重视安全管理,安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。只有将安全技术与安全管理制度结合,才能够最大程度上保证我们的系统安全。
参考文献:
[1] Li Gong,Gary Ellison,Mary Dageforde. 深入Java 2平台安全——体系架构、API设计和实现(第2版)[M].北京:电子工业出版社,2004.
[2] (加)Douglas R.Stinson. 密码学原理与实践(第2版)[M].北京:电子工业出版社,2006.
[3] 陈雄华. 应用软件系统安全性设计[EB/OL]. https://developer.51cto.com/art/200612/36416.htm
[4] 管有庆,王晓军,董小燕.电子商务安全技术[M].北京:北京邮电大学出版社,2005.
[5] Silberschatz,Hey F.Korth,S.Sudarsha.数据库系统概念(原书第四版)[M].北京:机械工业出版社,2003.3.
[6] W.Richard,Stevens.TCP/IP详解 卷1:协议[M].北京:机械工业出版社,2000.4.
[7] Wenbo Mao.现代密码学:理论与实践[M].北京:电子工业出版社,2004.7.