王 雪

（國家新聞出版廣電總局202臺，西藏拉薩 850030）

0 引言

數(shù)據(jù)庫的安全性是信息安全的重要方面之一。數(shù)據(jù)庫安全的重點是如何有效地保護數(shù)據(jù)的機密性和完整性，其所使用的技術(shù)有訪問控制、防火墻、認證、入侵檢測、加密等。這些安全技術(shù)的目的是對攻擊或入侵進行防御，然而，有時這些技術(shù)對于某些惡意攻擊是無效的。于是，在防御無效的條件下，如何有效保障數(shù)據(jù)庫的生存性成為了數(shù)據(jù)庫安全的一個突出問題。

1 入侵容忍技術(shù)的目標、實現(xiàn)機制及安全策略

入侵容忍技術(shù)是一種保障數(shù)據(jù)庫生存性的技術(shù)。依據(jù)數(shù)據(jù)庫安全需要，入侵容忍技術(shù)需達到的目標是：（1）能有效預防并阻止針對數(shù)據(jù)庫的攻擊；（2）能檢測出攻擊行為并估計破壞性；（3）在遭到攻擊時，能保障并恢復數(shù)據(jù)庫中的關(guān)鍵數(shù)據(jù)。

要想實現(xiàn)入侵容忍技術(shù)的目標，就必須有一套安全機制，當前安全機制有入侵檢測機制、入侵遏制機制、錯誤處理機制及恢復機制等。由于錯誤處理的方法可靠性不高及不實時，就使錯誤恢復機制無法有效發(fā)揮作用，所以錯誤屏蔽機制是需要首先保證的機制。

入侵容忍技術(shù)的安全策略是指當數(shù)據(jù)庫遭受入侵時，數(shù)據(jù)庫采取某些安全策略達到入侵容忍的目的，避免數(shù)據(jù)庫失效情況的發(fā)生。入侵容忍技術(shù)的安全策略是在評估入侵成本及數(shù)據(jù)庫價值的基礎上確定，主要包括幾個方面：故障預警及容錯、機密性操作、防失敗操作、可恢復操作、可重配操作。

2 入侵容忍技術(shù)的特點

入侵容忍技術(shù)的最重要的特點是要求數(shù)據(jù)庫中任何單點失效或故障不會對整個數(shù)據(jù)庫的運轉(zhuǎn)產(chǎn)生影響。入侵容忍技術(shù)不會信任每一個單獨系統(tǒng)，因為可能某些單獨系統(tǒng)已經(jīng)被入侵了。

入侵容忍技術(shù)的另一特點是抵御內(nèi)部的攻擊。入侵容忍技術(shù)通過分散數(shù)據(jù)庫權(quán)限以及防御單獨系統(tǒng)失效等手段，就能夠保證少量設備、局部網(wǎng)絡、單獨系統(tǒng)的失效都不能使數(shù)據(jù)庫出現(xiàn)崩潰和泄密情況發(fā)生。

3 多層次入侵容忍技術(shù)

當前，國內(nèi)外很多研究機構(gòu)都在進行入侵容忍技術(shù)研究。國際上主要的入侵容忍技術(shù)有：OASIS，MAFTIA，DARPA，ITUA，ITTC，SRI等。這些入侵容忍技術(shù)均使用了系統(tǒng)自適應、冗余、事物級入侵容忍、間接訪問等多種技術(shù)，均是利用攻擊遮蔽和攻擊響應等方法來達到入侵容忍的目的。

目前，數(shù)據(jù)庫的入侵容忍技術(shù)存在幾個問題：（1）沒有站在數(shù)據(jù)庫整體結(jié)構(gòu)的高度來制定容忍入侵方案；（2）數(shù)據(jù)庫安全成本太高。針對這些問題，本文提出了一種多級入侵容忍的數(shù)據(jù)庫安全技術(shù)，結(jié)合冗余技術(shù)和多樣性技術(shù)，使用事物級入侵容忍技術(shù)，有效實現(xiàn)數(shù)據(jù)庫的完整性、可用性。

多級入侵容忍技術(shù)由以下4級構(gòu)成：

第1級：對于用戶，采取訪問控制、間接訪問、認證、消息過濾、加密、防火墻等技術(shù)，用于防范沒有得到授權(quán)的用戶的攻擊。當客戶訪問數(shù)據(jù)庫時，必須經(jīng)過防火墻檢測，而客戶和數(shù)據(jù)庫間需相互認證，必要的時候可加密機密信息。

第2級：采用不同種類的操作系統(tǒng)，如Windows，Linux等。因為某種惡意入侵或攻擊一般是針對某種特定的操作系統(tǒng)，采用多種操作系統(tǒng)可以有效防止惡意入侵或攻擊對數(shù)據(jù)庫數(shù)據(jù)的破壞。

第3級：DBMS冗余異構(gòu)，采用Oracle，SQL Server，Sybase等不同數(shù)據(jù)庫管理系統(tǒng)對數(shù)據(jù)進行存儲。因為入侵者一般不能熟悉所有種類的DBMS，某種惡意入侵或攻擊一般僅僅針對某種DBMS，所以采用不同DBMS存儲數(shù)據(jù)可以有效防止惡意入侵或攻擊對數(shù)據(jù)庫數(shù)據(jù)的破壞。

第4級：采用事物級入侵容忍技術(shù)。入侵容忍技術(shù)最為核心的是數(shù)據(jù)庫遭到入侵時能夠保障數(shù)據(jù)庫的生存，維護數(shù)據(jù)庫核心功能和數(shù)據(jù)的安全性及完整性。數(shù)據(jù)庫安全問題中最難以防御的就是惡意或者非惡意的內(nèi)部攻擊。惡意內(nèi)部攻擊主要指數(shù)據(jù)庫的內(nèi)部人員有預謀地監(jiān)控、竊取甚至損毀數(shù)據(jù)。聯(lián)邦調(diào)查局（FBI）提供的數(shù)據(jù)顯示約80%以上的攻擊均來自于內(nèi)部人員，因為他們熟知數(shù)據(jù)庫結(jié)構(gòu)、數(shù)據(jù)存儲及安全系統(tǒng)設置等情況，這種入侵的監(jiān)測及防御是非常困難的。非惡意內(nèi)部攻擊是指由于粗心大意或者為了某種原因跳過安全策略等，對數(shù)據(jù)庫的安全和數(shù)據(jù)造成了損壞的行為。事物級入侵容忍技術(shù)能較好地監(jiān)測、防御內(nèi)部攻擊，維護數(shù)據(jù)庫安全。

采用多級入侵容忍技術(shù)的數(shù)據(jù)庫安全體系由5部分構(gòu)成：策略管理、Proxy（對終端用戶提供服務的服務器）、冗余異構(gòu)數(shù)據(jù)庫服務器、事物級入侵容忍、入侵檢測系統(tǒng)（IDS）。當Proxy收到應用請求的時候，會首先檢查請求的合法性，然后再把請求發(fā)到數(shù)據(jù)庫服務器上。數(shù)據(jù)庫服務器的數(shù)量由用戶安全需求決定，對于一般的數(shù)據(jù)操作，只需一個或少數(shù)幾個數(shù)據(jù)庫服務器處理；對于機密數(shù)據(jù)的操作，就需多個數(shù)據(jù)庫服務器共同處理。策略管理用于監(jiān)控Proxy和用戶間、Proxy和Proxy的通信，若發(fā)現(xiàn)某代理服務器出現(xiàn)故障，則需對安全策略進行調(diào)整，從而保證服務繼續(xù)進行。若策略管理中，安全策略確認數(shù)據(jù)庫處于事物級惡意攻擊威脅的情況，則需啟用事物級入侵容忍。入侵檢測系統(tǒng)負責監(jiān)控Proxy、用戶、數(shù)據(jù)庫服務器的運轉(zhuǎn)，檢查用戶事務日志是否有異常情況發(fā)生。

入侵容忍技術(shù)放棄了以前絕對安全的目標，實現(xiàn)安全的機制是針對數(shù)據(jù)庫的使用和數(shù)據(jù)安全等目的進行的，并不需要維護數(shù)據(jù)庫本身的完整。本文給出的數(shù)據(jù)庫入侵容忍技術(shù)采用間接訪問、冗余等技術(shù)，具備冗余、安全等特點，它并不依賴單個獨立系統(tǒng)的安全，即使某些獨立系統(tǒng)被入侵并也不會造成整個數(shù)據(jù)庫的癱瘓。此外，采用入侵容忍技術(shù)的數(shù)據(jù)庫具有成本低、開發(fā)周期短、易擴展等特點。

［1］李慶華，張撤，趙峰.一種基于CORBA分布式對象的容侵［J］.計算機工程，2006（20）：138-139.

［2］賈超，薛繼華.基于容忍技術(shù)的入侵檢測系統(tǒng)研究［J］.微處理機，2006（6）：41-43.

［3］曹軍梅，徐靜榮.基于冗余技術(shù)入侵容忍系統(tǒng)的設計與實現(xiàn)［J］.延安大學學報，2007（3）：17-19.

［4］黃建華，楊天揚.入侵容忍系統(tǒng)的安全性量化方法分析［J］.信息網(wǎng)絡安全，2009（7）：77-79.