1、引言

        隨著計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的發(fā)展和廣發(fā)應(yīng)用，越來(lái)越多的關(guān)鍵業(yè)務(wù)系統(tǒng)運(yùn)行在數(shù)據(jù)庫(kù)平臺(tái)上。數(shù)據(jù)庫(kù)中的數(shù)據(jù)作為一個(gè)組織中的數(shù)字財(cái)產(chǎn)，一旦泄露或丟失就可能讓組織蒙受經(jīng)濟(jì)損失，或者失去客戶和公眾的信任。本文將從實(shí)際安全保護(hù)經(jīng)驗(yàn)出發(fā)，結(jié)合《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》提出具體的數(shù)據(jù)庫(kù)系統(tǒng)安全保護(hù)措施。

2、數(shù)據(jù)庫(kù)系統(tǒng)安全保護(hù)機(jī)制

        GB/T 22239-2008《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》的技術(shù)基本要求中，為保證數(shù)據(jù)庫(kù)系統(tǒng)的安全，要求實(shí)現(xiàn)包括身份驗(yàn)證、訪問(wèn)控制、數(shù)據(jù)加密、審計(jì)跟蹤以及數(shù)據(jù)備份與恢復(fù)的安全功能。

         2.1 有效保護(hù)數(shù)據(jù)庫(kù)系統(tǒng)用戶口令認(rèn)證

        口令認(rèn)證方式是鑒別數(shù)據(jù)庫(kù)系統(tǒng)用戶身份最基本的方式。因此，實(shí)施嚴(yán)格的賬號(hào)和密碼管理機(jī)制是實(shí)現(xiàn)數(shù)據(jù)庫(kù)系統(tǒng)安全的重點(diǎn)。數(shù)據(jù)庫(kù)系統(tǒng)用戶安全策略包括以下幾方面。

     （1） 保護(hù)默認(rèn)的用戶賬號(hào)。在新的數(shù)據(jù)庫(kù)系統(tǒng)安裝時(shí)，通常會(huì)安裝若干默認(rèn)賬號(hào)，而這些賬號(hào)、密碼以及權(quán)限在互聯(lián)網(wǎng)上都是公開(kāi)的，恰恰為攻擊者提供了機(jī)會(huì)和目標(biāo)。因此，為確保賬號(hào)的安全，應(yīng)避免因安裝不需要的賬號(hào)而帶來(lái)不必要的危險(xiǎn)。

      （2） 管理并確保密碼安全。一個(gè)未經(jīng)慎重選擇又從未變更過(guò)的密碼對(duì)于數(shù)據(jù)庫(kù)系統(tǒng)來(lái)說(shuō)，是巨大的安全隱患之一。根據(jù)密碼復(fù)雜性規(guī)則，通常需要驗(yàn)證密碼是否和賬號(hào)一致、密碼是否超過(guò)一定字符長(zhǎng)度、密碼是否和過(guò)去的密碼一致、密碼是否很容易被猜測(cè)到。因此，在制定數(shù)據(jù)庫(kù)系統(tǒng)密碼規(guī)范時(shí)，應(yīng)該包括密碼生存周期。寬限時(shí)間、密碼重復(fù)使用（最大）時(shí)間、登錄失效、賬號(hào)鎖定和密碼驗(yàn)證功能。以O(shè)racle數(shù)據(jù)庫(kù)系統(tǒng)為例，設(shè)定用戶密碼規(guī)范的程序如下：

SQL>CREATE PROFILE strong_pwd LIMIT

PASSWORD_LIFE_TIME 90

PASSWORD_GRACE_TIME 15

PASSWORD_REUSE_TIME 180

PASSWORD_REUSE_MAX UNLIMITED

FALLED_LOGIN_ATTEMPTS 5

PASSWORD_LOCK_TIME 5

PASSWORD_VERIFY_FUNCTION password_strong_name

        （3） 刪除陳舊賬號(hào)。在確保數(shù)據(jù)庫(kù)系統(tǒng)安全的過(guò)程中，一個(gè)良好的習(xí)慣是刪除不再使用或不再需要的賬號(hào)，過(guò)期的賬號(hào)至少應(yīng)該被鎖定或被刪除。此外，之前在數(shù)據(jù)庫(kù)系統(tǒng)中已經(jīng)安裝但現(xiàn)在需要被刪除的數(shù)據(jù)庫(kù)應(yīng)用也會(huì)造成安全風(fēng)險(xiǎn)。

         2.2 加強(qiáng)對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的訪問(wèn)控制

        訪問(wèn)控制是允許或禁止訪問(wèn)資源的過(guò)程?；诮巧脑L問(wèn)控制是一種數(shù)據(jù)庫(kù)權(quán)限管理機(jī)制，它根據(jù)不同的職能崗位劃分角色，資源訪問(wèn)權(quán)限被封裝在角色中，而用戶被賦予角色，通過(guò)角色來(lái)間接訪問(wèn)資源。在給角色或用戶授權(quán)時(shí)，必須遵循最小權(quán)限和特權(quán)分離的基本安全原則。

      （1） 最小權(quán)限原則是只需授予列級(jí)權(quán)限的不授予表級(jí)權(quán)限，只需授予表級(jí)權(quán)限的不授予庫(kù)級(jí)權(quán)限，只需授予對(duì)象權(quán)限的不授予系統(tǒng)權(quán)限。此外，在確定不需要使用某種權(quán)限時(shí)要及時(shí)收回角色和權(quán)限。最小權(quán)限原則有效地限制、分割了用戶對(duì)數(shù)據(jù)資源進(jìn)行訪問(wèn)時(shí)的權(quán)限，降低了非法用戶或非法操作可能給系統(tǒng)及數(shù)據(jù)帶來(lái)的損失。

      （2） 特權(quán)分離原則是利用角色間約束能力實(shí)現(xiàn)權(quán)利之間的制約，即數(shù)據(jù)庫(kù)管理員、系統(tǒng)安全員和系統(tǒng)審計(jì)員三個(gè)角色是互斥的，一個(gè)用戶最多擁有這三個(gè)角色之一。特權(quán)分離原則有利于保證權(quán)力之間的制衡和監(jiān)督，能減少未經(jīng)授權(quán)訪問(wèn)和欺詐行為發(fā)生的概率。

        在《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》第三級(jí)以上要求中，提出實(shí)現(xiàn)強(qiáng)制訪問(wèn)控制功能。強(qiáng)制訪問(wèn)控制機(jī)制對(duì)數(shù)據(jù)庫(kù)系統(tǒng)中的每個(gè)存取對(duì)象指派一個(gè)密級(jí)，對(duì)每個(gè)用戶授予一個(gè)存取級(jí)，任意一個(gè)對(duì)象，只有具有合法存取級(jí)的用戶才可以存取，可以有效地防止木馬類的惡意攻擊。目前，實(shí)現(xiàn)強(qiáng)制訪問(wèn)控功能要求的方法除采用安全數(shù)據(jù)庫(kù)管理系統(tǒng)外，還可以通過(guò)部署第三方安全增強(qiáng)產(chǎn)品實(shí)現(xiàn)數(shù)據(jù)庫(kù)強(qiáng)制存取控制機(jī)制。

         2.3 確保重要數(shù)據(jù)的加密

        數(shù)據(jù)加密是保證數(shù)據(jù)庫(kù)系統(tǒng)中數(shù)據(jù)保密性和完整性的有效手段。數(shù)據(jù)庫(kù)系統(tǒng)的加密措施是指對(duì)數(shù)據(jù)庫(kù)系統(tǒng)中的重要數(shù)據(jù)進(jìn)行加密處理，確保只有當(dāng)系統(tǒng)的合法用戶訪問(wèn)有權(quán)限的數(shù)據(jù)時(shí)，系統(tǒng)才把相應(yīng)的數(shù)據(jù)進(jìn)行解密操作，否則，數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)當(dāng)保持重要數(shù)據(jù)的加密狀態(tài)，以防止非法用戶利用竊取到的明文信息對(duì)系統(tǒng)進(jìn)行攻擊。

         2.4 保護(hù)訪問(wèn)數(shù)據(jù)庫(kù)的進(jìn)出網(wǎng)絡(luò)通道

         雖然防病毒軟件和防火墻提供了一定級(jí)別的安全防護(hù)，但并不能因此認(rèn)為網(wǎng)絡(luò)通信就是安全的。數(shù)據(jù)庫(kù)監(jiān)聽(tīng)器作為連接數(shù)據(jù)庫(kù)服務(wù)端得網(wǎng)絡(luò)進(jìn)程，正經(jīng)受著巨大的攻擊風(fēng)險(xiǎn)。首要的任務(wù)是對(duì)監(jiān)聽(tīng)過(guò)程進(jìn)行密碼保護(hù)，而改變默認(rèn)端口也是確保數(shù)據(jù)庫(kù)監(jiān)聽(tīng)器安全的一種好辦法。通過(guò)配置數(shù)據(jù)庫(kù)監(jiān)聽(tīng)器，可以使其允許或不允許客戶IP地址的訪問(wèn)。這也是保護(hù)數(shù)據(jù)庫(kù)不受非預(yù)期用戶訪問(wèn)的簡(jiǎn)單而有效的方法。

         2.5 建立安全的審計(jì)機(jī)制

        審計(jì)就是對(duì)指定用戶在數(shù)據(jù)庫(kù)系統(tǒng)中的操作進(jìn)行監(jiān)控和記錄的一種數(shù)據(jù)庫(kù)功能。審計(jì)功能在數(shù)據(jù)庫(kù)系統(tǒng)中運(yùn)行時(shí)，自動(dòng)將對(duì)數(shù)據(jù)庫(kù)的所有操作記錄在審計(jì)日志中，包括用戶登錄操作、對(duì)數(shù)據(jù)庫(kù)的操作及系統(tǒng)功能的使用等。審計(jì)日志記錄可用于事后監(jiān)督，同時(shí)對(duì)日志的分析還可用于預(yù)防入侵，從而提高數(shù)據(jù)庫(kù)系統(tǒng)的安全。

         以O(shè)racle數(shù)據(jù)庫(kù)系統(tǒng)為例，以下程序可實(shí)現(xiàn)對(duì)用戶author執(zhí)行SELECT操作的審計(jì)：audit SELECT table by author；

          2.6 實(shí)施備份與故障恢復(fù)措施

         備份與恢復(fù)是實(shí)現(xiàn)數(shù)據(jù)庫(kù)系統(tǒng)安全運(yùn)行的重要技術(shù)之一，是確保數(shù)據(jù)庫(kù)系統(tǒng)因各種原因發(fā)生系統(tǒng)故障時(shí)，能盡快投入再使用的重要保證。按照數(shù)據(jù)庫(kù)系統(tǒng)所遭受破壞程度的不同，備份與恢復(fù)措施又分為災(zāi)難性備份和非災(zāi)難性備份。

        （1） 災(zāi)難性備份措施是通過(guò)設(shè)置主數(shù)據(jù)庫(kù)系統(tǒng)的遠(yuǎn)程異地備份，以備數(shù)據(jù)庫(kù)系統(tǒng)不能正常運(yùn)行時(shí)啟用。

        （2） 非災(zāi)難性備份措施是采用數(shù)據(jù)庫(kù)標(biāo)準(zhǔn)備份、專用備份設(shè)備等方式進(jìn)行全系統(tǒng)備份、差異備份和增量備份，以確保在數(shù)據(jù)庫(kù)系統(tǒng)失效時(shí)，利用已有的數(shù)據(jù)備份能盡快有效地把數(shù)據(jù)庫(kù)還原到錯(cuò)誤發(fā)生的前一刻上，同時(shí)保持?jǐn)?shù)據(jù)的完整性和一致性。

3、結(jié)語(yǔ)

         本文依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，從數(shù)據(jù)庫(kù)系統(tǒng)的身份驗(yàn)證、訪問(wèn)控制、數(shù)據(jù)加密、審計(jì)跟蹤以及數(shù)據(jù)備份與恢復(fù)等方面提出了具體的安全保護(hù)措施，這些措施在實(shí)際運(yùn)用中還應(yīng)該根據(jù)具體應(yīng)用環(huán)境的安全需要，緊密結(jié)合網(wǎng)絡(luò)安全、操作系統(tǒng)安全進(jìn)行分析，并制定統(tǒng)一的安全管理策略。數(shù)據(jù)庫(kù)系統(tǒng)安全防范是一個(gè)永久性的問(wèn)題，只有通過(guò)不斷的改進(jìn)和完善安全手段，才能保證系統(tǒng)的正常運(yùn)行，以及提高系統(tǒng)的可靠性。