張敏

（中國科學(xué)院軟件研究所信息安全國家重點實驗室 北京 100190）

1 概述

數(shù)據(jù)庫系統(tǒng)是當(dāng)今大多數(shù)信息系統(tǒng)中數(shù)據(jù)存儲和處理的核心。由于數(shù)據(jù)庫中常常含有各類重要或敏感數(shù)據(jù)，如商業(yè)機密數(shù)據(jù)、個人隱私數(shù)據(jù)、甚至是涉及國家或軍事秘密的重要數(shù)據(jù)等，且存儲相對集中，因而針對數(shù)據(jù)庫的攻擊往往能達到最為直接的效果。例如，Verizon Business的年度計算機破壞報告中提到，在近年的數(shù)據(jù)丟失案中，數(shù)據(jù)庫破壞占據(jù)了30%；而在數(shù)據(jù)入侵的統(tǒng)計中，數(shù)據(jù)庫入侵則高達75%。不僅如此，針對數(shù)據(jù)庫系統(tǒng)的成功攻擊往往導(dǎo)致黑客獲得所在操作系統(tǒng)的管理權(quán)限，從而為整個信息系統(tǒng)帶來更大程度的破壞，如服務(wù)器癱瘓、數(shù)據(jù)無法恢復(fù)等等。因此，及時開展數(shù)據(jù)庫安全的理論與技術(shù)研究，實現(xiàn)數(shù)據(jù)庫系統(tǒng)的安全防護，是數(shù)據(jù)庫自出現(xiàn)以來就一直存在的迫切需求。

數(shù)據(jù)庫安全研究的基本目標(biāo)是研究如何利用信息安全及密碼學(xué)技術(shù)，實現(xiàn)數(shù)據(jù)庫內(nèi)容的機密性、完整性與可用性保護，防止非授權(quán)的信息泄露、內(nèi)容篡改以及拒絕服務(wù)。數(shù)據(jù)庫安全是涉及信息安全技術(shù)領(lǐng)域與數(shù)據(jù)庫技術(shù)領(lǐng)域的一個典型交叉學(xué)科，其發(fā)展歷程與同時代的數(shù)據(jù)庫技術(shù)、信息安全技術(shù)的發(fā)展趨勢息息相關(guān)。在計算機單機時代、互聯(lián)網(wǎng)時代以及當(dāng)前的云計算時代，數(shù)據(jù)庫安全需求發(fā)生了極大的變化，其內(nèi)涵也更加豐富。本文將簡要回顧數(shù)據(jù)庫安全研究的發(fā)展歷程與當(dāng)前現(xiàn)狀，并提出相關(guān)發(fā)展建議，希望對其未來發(fā)展起到一定參考與借鑒作用。

2 安全數(shù)據(jù)庫管理系統(tǒng):計算機時代的數(shù)據(jù)庫安全

早在上個世紀70年代，國際上數(shù)據(jù)庫技術(shù)與計算機安全研究剛剛起步之時，數(shù)據(jù)庫安全問題就引發(fā)了研究者的關(guān)注，相關(guān)研究幾乎同步啟動。當(dāng)時的研究重點集中于設(shè)計安全的數(shù)據(jù)庫管理系統(tǒng)，又稱為多級安全數(shù)據(jù)庫管理系統(tǒng) （Multi-Level Secure DBMS）。眾所周知，數(shù)據(jù)庫管理系統(tǒng)是負責(zé)數(shù)據(jù)存儲、訪問與管理的核心平臺軟件。因而它也理所當(dāng)然成為維護數(shù)據(jù)庫系統(tǒng)的安全核心。早期的數(shù)據(jù)庫安全研究的核心目標(biāo)在于，通過設(shè)計符合特定安全策略模型的安全數(shù)據(jù)庫管理系統(tǒng)，嚴格實施訪問控制策略、控制數(shù)據(jù)庫內(nèi)容的操作與訪問，從而實現(xiàn)整個數(shù)據(jù)庫系統(tǒng)的安全。相關(guān)研究大致可劃分為如下幾個重要階段：

（1）萌芽與初始時期：在上世紀70年代中期至80年代初，美國空軍、海軍資助的一批研究項目為多級安全數(shù)據(jù)庫的研究奠定了基礎(chǔ)。1975年，Hinke和Schaefer的報告給出了Hinke-Schaefer安全數(shù)據(jù)庫研究的內(nèi)容，實現(xiàn)了基于Multics操作系統(tǒng)的可信數(shù)據(jù)庫管理系統(tǒng)；1983年，Woods Hole研討班進一步提出了適用于多級安全數(shù)據(jù)庫系統(tǒng)的三種體系結(jié)構(gòu)：核心化（Hinke-Schaefer）結(jié)構(gòu)、完整性鎖結(jié)構(gòu)和分布式結(jié)構(gòu)。這個時期數(shù)據(jù)庫安全研究的主流是軍用安全數(shù)據(jù)庫，美國軍方的大力推動為研究工作涂上了一層濃重的軍方背景。在萌芽與初始時期，研究者對數(shù)據(jù)庫面臨的安全威脅、數(shù)據(jù)庫的安全需求以及安全數(shù)據(jù)庫的研究問題有了基本的認識，通過若干項目的研發(fā)形成了安全數(shù)據(jù)庫開發(fā)的方法論。

（2）標(biāo)準化時期：數(shù)據(jù)庫安全研究進入標(biāo)準化時期的重要標(biāo)志是美國國防部計算機安全中心在1983年發(fā)表的可信計算機評估準則（TCSEC）。該準則于1985年被確定為美國國防部標(biāo)準，是歷史上第一個計算機安全評估準則。這一段時期是多級安全數(shù)據(jù)庫系統(tǒng)發(fā)展的黃金時期，期間出現(xiàn)了一批達到高安全級別的數(shù)據(jù)庫管理系統(tǒng)。其中比較有代表性的研究項目包括Seaview[1]，ASD和LDV[2]。

Seaview（Secure Data View）是美國空軍資助，SRI和Gemini公司共同參與的研究項目。其研究目標(biāo)是實現(xiàn)一個達到TCSEC A1級的安全數(shù)據(jù)庫，訪問控制粒度達到字段級。Seaview采用了核心化的體系結(jié)構(gòu)，由操作系統(tǒng)提供強制訪問控制。ASD（Advanced Secure DBMS） 與 LDV（LOCK Data View）分別是美國TRW國防系統(tǒng)小組與美國空軍資助進行的項目，安全性均達到了TCSEC標(biāo)準A1級。此外，數(shù)據(jù)庫軟件開發(fā)商也積極響應(yīng)，開發(fā)出一些安全等級稍低的安全數(shù)據(jù)庫產(chǎn)品。如，Oracle的Trusted Oracle 7經(jīng)評估達到B1級；Sybase的SQL Server達到了 C2級，SQL Secure Server達到B1級且是最早通過B1級評估的安全數(shù)據(jù)庫系統(tǒng)；Informix的 INFORMIX-OnLine/Secure 5.0達到了B1級。

在標(biāo)準化時期，圍繞多級安全數(shù)據(jù)庫管理系統(tǒng)的設(shè)計，形成了安全數(shù)據(jù)庫的理論與技術(shù)基礎(chǔ)，包括如下重要研究內(nèi)容：①數(shù)據(jù)庫形式化安全數(shù)據(jù)模型分析及驗證[3]；②數(shù)據(jù)庫隱通道檢測及其分析[4]；③多級安全數(shù)據(jù)庫事務(wù)模型及其分析[5]；④數(shù)據(jù)庫安全體系結(jié)構(gòu)及實現(xiàn)技術(shù)；⑤數(shù)據(jù)庫審計[6]與數(shù)據(jù)庫加密等。

1991年，TCSEC關(guān)于數(shù)據(jù)庫評估的解釋（TNI）發(fā)表[7]。該文檔詳細說明了如何使用TCSEC標(biāo)準對數(shù)據(jù)庫管理系統(tǒng)和其他高級應(yīng)用進行評估。它標(biāo)志著研究者對于安全數(shù)據(jù)庫的需求、功能、保證等達成了共識，一些關(guān)鍵技術(shù)進入了成熟階段。

（3）多樣化時期：隨著計算機網(wǎng)絡(luò)技術(shù)的出現(xiàn)與發(fā)展，數(shù)據(jù)庫所處的環(huán)境更為復(fù)雜，人們從實踐中逐漸認識到，即使是嚴格按照數(shù)據(jù)模型設(shè)計實現(xiàn)的MLS-DBMS，也并不能徹底解決數(shù)據(jù)庫面臨的各種安全威脅。同時數(shù)據(jù)安全研究中軍方的色彩逐漸減退，而來自商業(yè)數(shù)據(jù)庫的安全需求占據(jù)了主流，用戶的安全需求也更為多樣化。從此多級安全數(shù)據(jù)庫步入了多樣化時期。

具體來說，多樣化體現(xiàn)在如下幾個方面：①數(shù)據(jù)庫應(yīng)用環(huán)境和安全需求的多樣化?；谲姺桨踩枨蟮亩嗉壈踩Ｐ蜔o法滿足用戶多樣化、靈活的訪問控制需求，出現(xiàn)基于角色的訪問控制、基于屬性的訪問控制等細粒度訪問控制，以及多策略訪問控制框架等新型安全策略模型；②數(shù)據(jù)模型多樣化。面向?qū)ο蟮臄?shù)據(jù)庫、XML數(shù)據(jù)庫等一批新型數(shù)據(jù)庫系統(tǒng)的出現(xiàn)，打破了長期占據(jù)主流的關(guān)系數(shù)據(jù)模型，帶動了半結(jié)構(gòu)化數(shù)據(jù)訪問控制模型研究；③信息安全技術(shù)體系多樣化。隨著信息保障（IA）概念的出現(xiàn)，以保護、檢測、響應(yīng)、恢復(fù)為核心內(nèi)容的全生命周期的保護，取代了以往單一防護思想，引發(fā)了數(shù)據(jù)庫入侵檢測、可信恢復(fù)等相關(guān)研究內(nèi)容。

在多樣化時期，數(shù)據(jù)庫安全研究內(nèi)容更為廣泛，典型的例子包括：①數(shù)據(jù)庫細粒度訪問控制模型研究[8]；②數(shù)據(jù)庫入侵檢測與恢復(fù)研究[9]；③數(shù)據(jù)庫漏洞掃描技術(shù)研究；④SQL注入攻擊及防范技術(shù)研究等。

3 安全的數(shù)據(jù)庫服務(wù):互聯(lián)網(wǎng)時代的數(shù)據(jù)庫安全

互聯(lián)網(wǎng)作為上世紀最偉大的發(fā)明之一，給社會帶來了巨大的變化。在互聯(lián)網(wǎng)時代，軟件服務(wù)化逐漸發(fā)展成為一種為IT業(yè)界所廣泛接受的工作模式。隨著“軟件-即-服務(wù)”理念的推廣，越來越多的IT廠商選擇將其非核心業(yè)務(wù)外包，從而集中更多的資源與精力投入到核心業(yè)務(wù)，達到降低成本、提高服務(wù)質(zhì)量的目的。此外，近年來還出現(xiàn)了一批直接面對普通用戶的數(shù)據(jù)庫服務(wù)（或稱“數(shù)據(jù)庫-即-服務(wù)”，簡稱 DAS），如亞馬遜公司提供的SimpleDB[10]與Relational Database Service (RDS)[11]服務(wù)；谷歌公司推出的Datastore[12]服務(wù)；以及微軟公司的 SQL Azure[13]服務(wù)等。這些數(shù)據(jù)庫服務(wù)平臺雖然采用不同的數(shù)據(jù)模型與實現(xiàn)技術(shù)，但都為用戶提供快速、便捷的數(shù)據(jù)庫服務(wù)，避免用戶花費時間或精力用于軟硬件采購與數(shù)據(jù)庫日常維護管理。

一個典型的數(shù)據(jù)庫服務(wù)場景由數(shù)據(jù)庫內(nèi)容提供者（簡稱所有者）、數(shù)據(jù)庫服務(wù)運營服務(wù)商（簡稱服務(wù)者）與數(shù)據(jù)庫使用者（用戶）三方構(gòu)成，如圖1所示。

圖1 典型外包數(shù)據(jù)庫場景及其安全需求

這種數(shù)據(jù)庫服務(wù)模式帶來了特殊的安全問題：數(shù)據(jù)庫用戶無法信賴安全數(shù)據(jù)庫系統(tǒng)實施數(shù)據(jù)安全保護。因為在數(shù)據(jù)庫服務(wù)模式下，由服務(wù)者負責(zé)維護數(shù)據(jù)庫管理系統(tǒng)（DBMS）軟件并提供數(shù)據(jù)庫查詢服務(wù)，但服務(wù)者并非完全可信，所以不僅外包數(shù)據(jù)庫面臨安全風(fēng)險，DBMS軟件也因其運行的環(huán)境不可信、不可控而自身面臨安全風(fēng)險，無法起到對數(shù)據(jù)的安全保護作用。這從根本上打破了以往的數(shù)據(jù)庫安全威脅模型，帶來了一系列安全問題。具體來說，“不可信的數(shù)據(jù)庫服務(wù)者”這一安全假定引發(fā)了如下新問題：

（1）數(shù)據(jù)庫所有者（DB Owner）的查詢結(jié)果正確性驗證需求。因為服務(wù)者不完全可信，所以用戶與所有者在得到查詢返回結(jié)果的同時，需要DBMS提供證據(jù)以表明結(jié)果的正確性。這包括兩個方面：真實性與完備性。真實性即數(shù)據(jù)確實來自于數(shù)據(jù)庫所有者，不是服務(wù)者偽造；完備性說明服務(wù)器返回了所有的正確內(nèi)容，它沒有為了提高系統(tǒng)吞吐率等原因只返回部分正確結(jié)果。

（2）數(shù)據(jù)庫內(nèi)容機密性保護需求。雖然數(shù)據(jù)庫所有者委托第三方提供服務(wù)，但并不希望服務(wù)者知道所有數(shù)據(jù)內(nèi)容，以防止其非授權(quán)泄漏并傳播重要內(nèi)容。因此要求服務(wù)者在部分內(nèi)容是密文的前提下，仍然能夠提供良好的數(shù)據(jù)庫服務(wù)。

（3）來自所有者的數(shù)據(jù)庫內(nèi)容訪問控制需求。數(shù)據(jù)庫管理系統(tǒng)的一個基本安全需求是支持屬主（所有者）對其內(nèi)容進行授權(quán)與訪問控制管理。在外包數(shù)據(jù)庫系統(tǒng)中，數(shù)據(jù)庫所有者需要技術(shù)證據(jù)證明第三方 （服務(wù)者）正確執(zhí)行了自己設(shè)定的訪問控制策略。

（4）來自所有者的數(shù)據(jù)庫內(nèi)容版權(quán)證明需求。為了防止服務(wù)者的非法傳播引發(fā)外包數(shù)據(jù)庫所屬權(quán)爭議，所有者希望能在數(shù)據(jù)庫中嵌入某些秘密，以向法庭證明自己對該數(shù)據(jù)庫的所有權(quán)。目前數(shù)字水印技術(shù)是對多媒體數(shù)字作品進行版權(quán)保護的一種基本方法，但關(guān)系數(shù)據(jù)庫是一種極為特殊的數(shù)據(jù)對象，是一個高度結(jié)構(gòu)化的數(shù)據(jù)集合，與多媒體數(shù)字資源（圖片、視頻）相比存在很大差別，因而數(shù)據(jù)庫水印與多媒體數(shù)據(jù)上的水印技術(shù)存在很大的不同。

目前，數(shù)據(jù)庫服務(wù)模式下的數(shù)據(jù)庫安全研究內(nèi)容包括：①外包數(shù)據(jù)庫安全檢索技術(shù)研究[14]；②外包數(shù)據(jù)庫查詢驗證技術(shù)研究[15]；③外包數(shù)據(jù)庫密文訪問控制技術(shù)研究[16]；④數(shù)據(jù)庫水印研究[17]等。

4 海量信息安全處理：云計算時代的數(shù)據(jù)庫安全

當(dāng)前，在Web2.0的背景下，互聯(lián)網(wǎng)用戶已由單純的信息消費者變成了信息生產(chǎn)者，因而互聯(lián)網(wǎng)上的信息呈爆炸式的速度增長。例如，F(xiàn)acebook創(chuàng)始人兼首席執(zhí)行官馬克·扎克伯格（Mark Zuckerberg）在倫敦“互聯(lián)網(wǎng)應(yīng)用之未來”大會上指出，F(xiàn)acebook用戶共享個人信息需求的增長或存在著和“摩爾定律”類似的規(guī)律。美國國際數(shù)據(jù)公司一項名為“數(shù)字世界”的調(diào)查顯示，2010年全球共產(chǎn)生近1.2澤它(zetta，10的21次方)字節(jié)的數(shù)字信息。而未來10年，全球總體信息量將是現(xiàn)在的44倍。毫無疑問，人類已經(jīng)進入信息爆炸時代。在此背景下，支持海量數(shù)據(jù)高效存儲與處理的云計算技術(shù)受到人們的廣泛關(guān)注與青睞，在世界范圍內(nèi)得到迅猛發(fā)展，被譽為“信息技術(shù)領(lǐng)域正在發(fā)生的工業(yè)化革命”。

在云計算時代，信息的海量規(guī)模及快速增長為傳統(tǒng)的數(shù)據(jù)庫技術(shù)帶來了巨大的沖擊，主要挑戰(zhàn)在于新的數(shù)據(jù)庫應(yīng)具備如下特性：①支持快速讀寫、快速響應(yīng)以提升用戶的滿意度；②支撐PB級數(shù)據(jù)與百萬級流量的海量信息處理能力；③具有高擴展性，易于大規(guī)模部署與管理；④成本低廉。在上述目標(biāo)的驅(qū)使下，各類非關(guān)系型數(shù)據(jù)庫（簡稱NoSQL數(shù)據(jù)庫）應(yīng)運而生，如：BigTable、HBase、Cassandra、SimpleDB、CouchDB、MongoDB和Redis等。顧名思義，NoSQL數(shù)據(jù)庫為獲得速度、可伸縮性及成本上的優(yōu)勢，放棄了關(guān)系數(shù)據(jù)庫強大的SQL查詢語言和事務(wù)機制。目前數(shù)據(jù)庫領(lǐng)域關(guān)于未來SQL與NoSQL之中誰會消亡的討論尚無定論，但近來Twitter、Digg和Reddit等多家Web 2.0企業(yè)宣布從MySQL轉(zhuǎn)而使用NoSQL數(shù)據(jù)庫，至少說明后者在現(xiàn)階段更具商業(yè)潛力。

具體來說，在云計算時代，數(shù)據(jù)庫安全研究面臨如下新問題：

（1）海量信息安全檢索需求。數(shù)據(jù)檢索是用戶最基本的需求之一，如關(guān)鍵詞檢索、全文檢索、數(shù)據(jù)庫SQL查詢等。而海量數(shù)據(jù)的安全檢索面臨諸多挑戰(zhàn)。一方面，現(xiàn)有的信息安全技術(shù)無法支持海量信息處理，例如數(shù)據(jù)經(jīng)加密后喪失了許多原有特性，除非經(jīng)過特殊設(shè)計，否則難以支持用戶的各種檢索；另一方面，當(dāng)前的海量信息檢索方法缺乏安全保護能力，例如當(dāng)前的搜索引擎等不支持不同用戶具有不同的檢索權(quán)限。因此，如何在保證數(shù)據(jù)私密性的前提下，支持用戶快速查詢與搜索，是當(dāng)前亟待解決的問題。

（2）海量信息存儲驗證需求。經(jīng)典的簽名算法與HMAC算法等均可用于驗證某數(shù)據(jù)片段的完整性，但是當(dāng)所需要驗證的內(nèi)容是海量信息時，上述驗證方法需耗費大量的時間與帶寬資源，以至于用戶難以承受。因而在云計算環(huán)境下，數(shù)據(jù)庫系統(tǒng)安全的需求之一是數(shù)據(jù)存在性與正確性的可信、高效的驗證方法，能夠以較少的帶寬消耗和計算代價，通過某種知識證明協(xié)議或概率分析手段，以高置信概率判斷遠端數(shù)據(jù)是否存在并且未被破壞。

（3）海量數(shù)據(jù)隱私保護需求。海量信息帶來的另一個重要問題就是隱私保護。與敏感信息不同，任何個體內(nèi)容獨立來看并不敏感，但是大量信息所代表的規(guī)律也屬于用戶隱私。例如，用戶網(wǎng)上行為信息已成為一個潛力巨大的“金礦”。各大網(wǎng)站通過網(wǎng)絡(luò)追蹤技術(shù)記錄用戶的上網(wǎng)行為，分析用戶偏好，并將上述信息高價出售給廣告商，后者據(jù)此推送更精確的廣告。因而在云計算環(huán)境下，研究如何抵抗從海量數(shù)據(jù)挖掘出隱私信息的方法，例如，將數(shù)據(jù)泛化、匿名化或加入適量噪聲等等，對防止用戶隱私信息泄露，具有重要的現(xiàn)實意義。

綜上所述，在當(dāng)前云計算模式下，數(shù)據(jù)庫安全研究內(nèi)容多集中在如下方面：①海量信息安全檢索關(guān)鍵技術(shù)研究[18]；②海量數(shù)據(jù)完整性驗證研究[19]；③海量數(shù)據(jù)隱私保護技術(shù)研究[20]。

5 國內(nèi)研究現(xiàn)狀與對策建議

5.1 國內(nèi)研究現(xiàn)狀

與國際同行相比，國內(nèi)的數(shù)據(jù)庫安全研究工作起步較晚，但也已取得了一定成績。以安全數(shù)據(jù)庫管理系統(tǒng)來說，目前已經(jīng)達到國標(biāo)GB17859-1999第三級 （基本相當(dāng)于TCSEC B1級）的國產(chǎn)數(shù)據(jù)庫系統(tǒng)包括：可信COBASE（北京大學(xué)、華中科大、人大）、達夢數(shù)據(jù)庫系列 （華中科大）、LOIS安全數(shù)據(jù)庫（中科院軟件所信息安全國家重點實驗室）、Softbase （南京大學(xué)）、Openbase Secure（東北大學(xué)）、神舟 OSCAR、以及 BeyonDB（中科院地理所、中科院軟件所信息安全國家重點實驗室）等。此外，在國家“863”計劃的支持下，實現(xiàn)了國標(biāo)第四級與第五級（基本相當(dāng)于TCSEC B2級與A1級）安全數(shù)據(jù)庫管理系統(tǒng)的關(guān)鍵技術(shù)研究與原型系統(tǒng)研發(fā)。總體來說，我國的科研人員已經(jīng)掌握了數(shù)據(jù)庫和數(shù)據(jù)庫安全的關(guān)鍵技術(shù)，這為將來的研究開發(fā)工作奠定了基礎(chǔ)。

5.2 建議與對策

目前我國在數(shù)據(jù)庫安全領(lǐng)域的研究已經(jīng)有了一定的基礎(chǔ)，與國際差距正在逐漸縮小。但在基礎(chǔ)理論研究、人才隊伍建設(shè)以及成果轉(zhuǎn)化等方面仍面臨諸多困難。針對這些問題我們提出以下建議與對策：

（1）充分重視數(shù)據(jù)庫安全所代表的交叉學(xué)科建設(shè)。數(shù)據(jù)庫安全研究是涉及信息安全與數(shù)據(jù)庫技術(shù)一個典型的交叉學(xué)科，需要兩者之間的緊密結(jié)合。實際上，如未能充分理解數(shù)據(jù)庫理論與實現(xiàn)技術(shù)，就無法設(shè)計出實用的數(shù)據(jù)庫安全產(chǎn)品，如安全數(shù)據(jù)庫管理系統(tǒng)。因此，從事數(shù)據(jù)庫安全相關(guān)研究必須兼具兩個領(lǐng)域的基本知識。而目前高校尚沒有開設(shè)相關(guān)專業(yè)，信息安全專業(yè)學(xué)生普遍缺乏足夠的數(shù)據(jù)庫理論與技術(shù)基礎(chǔ)。在人才培養(yǎng)過程中，需要花費大量時間與精力令其補充相關(guān)數(shù)據(jù)庫知識。因此我們建議從學(xué)科建設(shè)角度出發(fā)，設(shè)立獨立的數(shù)據(jù)庫安全專業(yè)，組織出版相關(guān)的專業(yè)配套教材，這樣可大大縮短人才培養(yǎng)時間，從而為未來培養(yǎng)大量數(shù)據(jù)庫安全專門技術(shù)人才奠定基礎(chǔ)。

（2）結(jié)合信息安全等級保護需求，推動國產(chǎn)數(shù)據(jù)庫安全產(chǎn)品產(chǎn)業(yè)化。為切實提高我國信息安全保障水平，加強針對基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的安全保護及管控能力，我國確立了信息安全等級保護制度，制訂發(fā)布了一系列配套的標(biāo)準規(guī)范，并開始在政府部門和各行業(yè)進行大規(guī)模的部署實施。這對于我國數(shù)據(jù)庫安全技術(shù)研究以及國產(chǎn)安全數(shù)據(jù)庫系統(tǒng)的開發(fā)與產(chǎn)品推廣具有顯著的推動作用，同時也是推動我國數(shù)據(jù)庫安全產(chǎn)品自主化進程，提升自主安全產(chǎn)品和安全服務(wù)成熟度、適應(yīng)性和集成能力的有效途徑。

（3）加強先期項目投入與引導(dǎo)，把握重要歷史機遇期趕超國際先進水平。由于歷史原因，國外關(guān)系數(shù)據(jù)庫產(chǎn)品占據(jù)了我國數(shù)據(jù)庫市場的主要份額，這造成了我國的數(shù)據(jù)庫安全技術(shù)發(fā)展缺乏足夠的產(chǎn)業(yè)推動力。而當(dāng)前云計算技術(shù)被譽為繼互聯(lián)網(wǎng)之后IT產(chǎn)業(yè)的第四次革新浪潮，為我國IT產(chǎn)業(yè)跨越升級發(fā)展提供了一個很好的機會。從國家安全戰(zhàn)略角度出發(fā)，不應(yīng)盲目追求引進國外的技術(shù)與產(chǎn)品，而應(yīng)大力扶植發(fā)展具有我國自主知識產(chǎn)權(quán)的云數(shù)據(jù)安全管理技術(shù)，形成云計算數(shù)據(jù)安全國家標(biāo)準，為實現(xiàn)我國云計算產(chǎn)業(yè)自主、可控提前搶占技術(shù)制高點。中科院作為我國科技領(lǐng)域的“國家隊”，更應(yīng)該充分利用前期技術(shù)積累，鼓勵引導(dǎo)自主研發(fā)，培育云計算數(shù)據(jù)安全產(chǎn)學(xué)研聯(lián)盟，抓住數(shù)據(jù)庫技術(shù)升級換代的歷史機遇，縮小該領(lǐng)域與國際同行之間的差距，實現(xiàn)跨越式發(fā)展。

1 Lunt T F,Denning D E,Schell R R et al.The SeaView Security Model.IEEE Transactions of Software Engineering,1990,16(6):593-607.

2 Stachour P D,Thuraisingham B.Design of LDV:A Multilevel Secure Relational Database Management System.IEEE Transactions on Knowledge and Data Engineering,1990,2(2):190-209.

3 Jajodia S,Sandhu R S.Towards a Multilevel Secure Relational Model.SIGMOD,1991,20(2):50-59.

4 McHugh J.Covert channel analysis:A chapter of the handbook for the computer security certification of trusted system.NRL Technical Memorandum.1995,5540:062A.

5 Jajodia S,Atluri V,Keefe T F et al.Multilevel Security Transaction Processing.Journal of Computer Security,2001,9(3):165-195.

6 Agrawal R,Kiernan J,Srikant R et al.Hippocratic databases.In:proc.VLDB，2002.

7 National Computer Secuirty Center.Trusted Database Management System Interpretation of the TCSEC(TDI),NCSC-TG-021,1991.

8 Rizvi S,Mendelzon A O,Sudarshan S et al.Extending Query Rewriting Techniques for Fine-grained Access Control.SIGMOD Conference,2004,551-562.

9 Liu P.Architectures for Intrusion Tolerant Database Systems.Proc.18th Ann.Computer Security Applications Conf.(ACSAC 2002),2002.

10 http://aws.amazon.com/simpledb/

11 http://aws.amazon.com/rds/

12 http://code.google.com/appengine/docs/java/datastore/

13 https://sql.azure.com/

14 Hacigumus H,Iyer B,Li C et al.Executing SQL over Encrypted Data in the Database Service Provider Model,SIGMOD,Madison,Wisconsin,USA,2002.

15 Narasimha M,Tsudik G.DSAC:Integrity of outsourced databases with signature aggregation and chaining.In Proceedings of the ACM Conference on Information and Knowledge Management,2005.

16 Vimercati S D C,Foresti S,Jajodia S et al.Overencryption:Management of access control evolution on outsourced data.In Proc.of the 33rd VLDB Conference,Vienna,Austria,2007.

17 Agrawal R,Kiernan J.Watermarking relational databases.In 28th Int’l Conference on Very Large Databases,Hong Kong,China,2002.

18 Kamara S,Lauter K.Cryptographic cloud storage.Proceedings of the 14th international conference on Financial cryptograpy and data security.Tenerife.Canary Islands,Spain:Springer-Verlag,2010,136-149.

19 Bowers K D,Juels A,Oprea A.HAIL:a high availability and integrity layer for cloud storage.Proceedings of the 16th ACM conference on Computer and communications security.Chicago,Illinois,USA:ACM,2009,187-198.

20 Chang C C,Thompson B,Wang H et al.Towards Publishing Recommendation Data With Predictive Anonymization,ASIACCS,2010,24-35.