多數(shù)據(jù)庫系統(tǒng)中的安全審計策略研究

施永清

摘要：按照CC準(zhǔn)則構(gòu)造了多數(shù)據(jù)庫系統(tǒng)的安全審計體系結(jié)構(gòu)，描述了各組成部分的功能和安全審計流程，分析了身份認(rèn)證服務(wù)、訪問控制服務(wù)和安全審計服務(wù)三者之間的關(guān)系，并提出幾種安全審計策略，增強(qiáng)系統(tǒng)的整體安全性。

關(guān)鍵詞：多數(shù)據(jù)庫系統(tǒng)；CC準(zhǔn)則；安全審計；審計事件；審計日志

DOIDOI：10.11907/rjdk.151504

中圖分類號：TP301

文獻(xiàn)標(biāo)識碼：A 文章編號文章編號：16727800（2015）008006704

0 引言

多數(shù)據(jù)庫系統(tǒng)（Multidatabase Systems，MDBSs）是由一些預(yù)先存在的、分布的、異構(gòu)的和自治的數(shù)據(jù)庫系統(tǒng)組成的一個協(xié)作的數(shù)據(jù)庫系統(tǒng)。由于其能夠充分利用已有數(shù)據(jù)資源，重新構(gòu)造跨系統(tǒng)、可協(xié)同工作的互操作平臺，多數(shù)據(jù)庫系統(tǒng)在當(dāng)前許多領(lǐng)域中具有迫切的應(yīng)用需求和廣闊的應(yīng)用前景。

多數(shù)據(jù)庫系統(tǒng)所具有的分布、異構(gòu)和自治等特性給其安全管理帶來了很多困難[1]。各局部數(shù)據(jù)源的安全管理策略和安全級別存在很大差異，如何集成這些不同的安全管理策略，建立全局高效和可靠的安全管理機(jī)制，值得深入研究[2]。

雖然采用身份鑒別、訪問控制和密碼技術(shù)等安全措施能夠在很大程度上提高系統(tǒng)的安全保障，但由于系統(tǒng)復(fù)雜性和一些人為因素，系統(tǒng)總是存在安全上的薄弱環(huán)節(jié)，安全漏洞和安全隱患不可能從根本上消除。因此，除了進(jìn)行傳統(tǒng)的安全保護(hù)之外，實施安全審計機(jī)制非常必要。審計作為安全管理的重要組成部分，能夠?qū)ι矸菡J(rèn)證和訪問控制起到補(bǔ)充和完善作用，從而增強(qiáng)系統(tǒng)的整體安全性[3]。

國際標(biāo)準(zhǔn)化組織（ISO）和國際電工委員會（IEC）發(fā)表的《信息技術(shù)安全性評估通用準(zhǔn)則》（Common Criteria for Information Technology Security Evaluation，簡稱CC準(zhǔn)則或CC標(biāo)準(zhǔn)），對安全審計定義了一套完整的功能[4]。目前，許多軟件系統(tǒng)的安全審計設(shè)計都借鑒了其中一些建議。本文按照CC準(zhǔn)則，構(gòu)造了多數(shù)據(jù)庫系統(tǒng)的安全審計體系結(jié)構(gòu)，并提出了幾種安全審計策略。

1 多數(shù)據(jù)庫系統(tǒng)中的安全審計體系

由CC準(zhǔn)則對安全審計功能的定義來看，安全審計需記錄和監(jiān)視用戶對系統(tǒng)資源的訪問，從中發(fā)現(xiàn)攻擊行為和安全隱患，及時對攻擊行為進(jìn)行控制，消除和堵塞安全漏洞，避免和減少損失，防止以后發(fā)生類似安全事故。

多數(shù)據(jù)庫系統(tǒng)所具有的分布性、異構(gòu)性和自治性給其安全審計功能的構(gòu)造增添了多方面的困難。這些困難體

現(xiàn)在：①成員數(shù)據(jù)源分布在網(wǎng)絡(luò)環(huán)境中，物理上是分散的，邏輯上具有獨(dú)立性。數(shù)據(jù)源的分布性使用戶繞過全局控制、直接訪問局部數(shù)據(jù)成為可能。審計系統(tǒng)應(yīng)能防止用戶繞過，保證所有用戶操作都能被監(jiān)視和記錄；②各成員數(shù)據(jù)源安全保護(hù)的級別和策略存在很大的差異，客體保護(hù)力度也不一樣。審計系統(tǒng)應(yīng)能屏蔽這些差異，實施統(tǒng)一的審計措施；③成員數(shù)據(jù)源大都建立了自己的審計保護(hù)體系，所審計的用戶包括局部用戶和全局用戶。多數(shù)據(jù)庫系統(tǒng)只對全局用戶的操作進(jìn)行審計，其審計的實施應(yīng)不影響成員數(shù)據(jù)源審計的自治性。

因此，在構(gòu)造多數(shù)據(jù)庫系統(tǒng)安全審計體系結(jié)構(gòu)時，既要參照CC準(zhǔn)則對安全審計系統(tǒng)的評估標(biāo)準(zhǔn)，同時也應(yīng)該綜合考慮上述三方面的問題。

1.1 體系結(jié)構(gòu)

如圖1所示，多數(shù)據(jù)庫系統(tǒng)安全審計體系包括審計設(shè)置、事件收集、事件記錄、監(jiān)視、告警與響應(yīng)、事件查詢與分析，以及審計信息數(shù)據(jù)庫等幾個部分。

圖1 多數(shù)據(jù)庫系統(tǒng)安全審計體系結(jié)構(gòu)

（1）審計設(shè)置。審計設(shè)置的主要功能包括：①建立和維護(hù)事件篩選表，用于選擇審計事件；②建立和維護(hù)攻擊行為規(guī)則，用來檢查審計事件，判斷事件中是否存在或隱藏攻擊行為；③建立和維護(hù)響應(yīng)預(yù)案，根據(jù)攻擊種類決定采取何種系統(tǒng)控制措施；④制定安全規(guī)則，在對審計日志進(jìn)行分析時，從審計日志中發(fā)現(xiàn)安全隱患或攻擊行為。

（2）事件收集。事件收集部件負(fù)責(zé)從系統(tǒng)中收集事件信息，進(jìn)行整理并傳送到事件記錄器。多數(shù)據(jù)庫系統(tǒng)中，事件收集部件主要用于身份認(rèn)證服務(wù)、訪問控制服務(wù)和局部代理服務(wù)。

（3）事件記錄。事件記錄器接收從事件收集部件發(fā)送過來的事件記錄，對審計事件進(jìn)行篩選，并整理事件記錄。一方面將整理好的事件記錄發(fā)給監(jiān)視器，另一方面在該事件記錄中加入時間戳，存儲到審計信息數(shù)據(jù)庫。

（4）監(jiān)視。監(jiān)視器按照攻擊行為規(guī)則對審計事件進(jìn)行檢查，從中發(fā)現(xiàn)攻擊行為并向告警與響應(yīng)部件發(fā)送安全控制信息。對于頻繁發(fā)生可能造成安全威脅的事件，監(jiān)視器將啟動計時器來進(jìn)行監(jiān)視。如果在監(jiān)視時間內(nèi)，該事件發(fā)生次數(shù)超過閾值，則向告警與響應(yīng)部件發(fā)送安全控制信息。

（5）告警與響應(yīng)。告警與響應(yīng)部件從監(jiān)視器和事件查詢分析器接收安全控制信息，按照響應(yīng)預(yù)案采取相應(yīng)的防范和控制措施，比如將用戶信息庫中對應(yīng)用戶記錄標(biāo)記為可疑攻擊者，或修改訪問控制的存取規(guī)則，限制用戶的訪問權(quán)限。

（6）事件查詢與分析。事件查詢分析器具有兩方面功能，一方面提供對審計數(shù)據(jù)的各類查詢功能，另一方面采用數(shù)據(jù)挖掘的方法對審計數(shù)據(jù)進(jìn)行綜合分析，從中發(fā)現(xiàn)審計事件記錄不同屬性之間的關(guān)系模式，擴(kuò)充和調(diào)整攻擊行為規(guī)則集，提高實時審計效率。

（7）審計信息數(shù)據(jù)庫。審計信息數(shù)據(jù)庫用來存放審計日志、事件篩選表、攻擊行為規(guī)則、響應(yīng)預(yù)案、安全事故記錄、安全關(guān)聯(lián)規(guī)則、分析結(jié)果等數(shù)據(jù)。審計信息數(shù)據(jù)庫建有數(shù)據(jù)備份計劃，定時在本機(jī)和另一計算機(jī)上對數(shù)據(jù)庫進(jìn)行增量備份，保證審計數(shù)據(jù)不被丟失。

1.2 安全審計流程

審計分實時審計和事后審計兩部分。實時審計監(jiān)視正在進(jìn)行的用戶操作，事后審計定時或不定時地對審計日志信息進(jìn)行分析。

（1）實時審計流程。事件收集部件從身份認(rèn)證服務(wù)、訪問控制服務(wù)和局部代理服務(wù)獲得用戶登錄系統(tǒng)和數(shù)據(jù)操作等事件信息后，將信息發(fā)送給事件記錄器，置入事件處理隊列。事件記錄器從隊列中逐條取出事件信息進(jìn)行處理。首先利用事件篩選表判斷是否需要對該事件進(jìn)行審計，如果不需審計，則舍棄并繼續(xù)處理隊列中下一條事件信息；如果需要進(jìn)行審計，則對事件信息進(jìn)行整理和歸并，形成事件記錄，復(fù)制成兩份，一份發(fā)送給監(jiān)視器，另一份中加入時間戳，記為事件日志并存儲到數(shù)據(jù)庫。監(jiān)視器根據(jù)攻擊行為規(guī)則對事件記錄進(jìn)行檢查，一旦發(fā)現(xiàn)攻擊行為，立即向告警與響應(yīng)裝置發(fā)送安全控制信號。如果判斷某行為在一段時間內(nèi)多次發(fā)生會造成威脅，則對該行為啟動一個計數(shù)器，在規(guī)定時間內(nèi)達(dá)到閾值時向告警與響應(yīng)裝置發(fā)送安全控制信號。告警與響應(yīng)裝置接收到從監(jiān)視器發(fā)出的安全控制信號后，向系統(tǒng)發(fā)出攻擊警告，按照響應(yīng)預(yù)案采取相應(yīng)的防范和控制措施，并且將本次安全事故記錄下來存儲到數(shù)據(jù)庫，供安全審計員查詢和分析使用。

（2）事后審計流程。安全審計員可通過應(yīng)用程序接口設(shè)置定時啟動查詢分析器，或隨時啟動查詢分析器，對審計日志進(jìn)行分析。查詢分析器利用數(shù)據(jù)挖掘技術(shù)從大量的審計日志中提取出異常行為特征和規(guī)則，保存分析結(jié)果，并將這些特征和規(guī)則添加到攻擊行為規(guī)則中去，以改進(jìn)監(jiān)視器的工作效率。

1.3 全局審計服務(wù)與其它安全控制服務(wù)之間的關(guān)系

傳統(tǒng)的安全管理由身份認(rèn)證服務(wù)和訪問控制服務(wù)組成。本研究在傳統(tǒng)的安全管理中加入了安全審計服務(wù)，使安全管理整體性能得到增強(qiáng)，如圖2所示。

圖2 3種服務(wù)之間的關(guān)系

身份認(rèn)證是訪問控制的前提。用戶登錄系統(tǒng)時首先要對其進(jìn)行身份認(rèn)證，只有在確認(rèn)其為合法用戶的情況下，才能根據(jù)用戶所擔(dān)當(dāng)?shù)慕巧o用戶分配訪問權(quán)限，確定該用戶能夠做什么和不能夠做什么。同時，安全審計從身份認(rèn)證和訪問控制中獲取用戶操作信息，一旦發(fā)現(xiàn)攻擊行為或安全隱患，采取在用戶信息中做標(biāo)記和調(diào)整存取規(guī)則等措施，及時對身份認(rèn)證和訪問控制進(jìn)行補(bǔ)充和完善，起到強(qiáng)化整體安全性的作用。

從某種意義上講，如果身份認(rèn)證和訪問控制是系統(tǒng)的第一道安全防線，則安全審計可以看作系統(tǒng)的第二道安全防線，而且能夠產(chǎn)生反饋以加強(qiáng)第一道安全防線。

2 安全審計策略

多數(shù)據(jù)庫系統(tǒng)面臨的安全威脅來自內(nèi)外兩個方面。外部攻擊者假冒合法用戶登錄系統(tǒng)，或繞過訪問控制進(jìn)行非法數(shù)據(jù)操作，內(nèi)部用戶惡意或無意的非法操作，都可能對系統(tǒng)造成危害。由于多數(shù)據(jù)庫系統(tǒng)具有分布、異構(gòu)和自治等特性，多數(shù)據(jù)庫系統(tǒng)安全審計的實施會遇到很多技術(shù)上的難點(diǎn)，可采用相應(yīng)策略予以解決。

2.1 事件獲取及防繞策略

事件（Event）用來描述用戶在系統(tǒng)中的操作過程。事件用多元組表示如下：

Event ∷=

事件的屬性包括主體SU、操作類型OP、客體OB、客體安全級別Lob、事件來源OR、事件發(fā)生日期和時間DT、事件是否符合存取規(guī)則RU、事件是否執(zhí)行成功SC和事件備注RE。事件的主體可以是用戶也可以是角色。事件客體可以是系統(tǒng)、數(shù)據(jù)文件、數(shù)據(jù)庫、關(guān)系、屬性、記錄以及記錄內(nèi)的屬性等。

用戶操作分為用戶登錄操作、數(shù)據(jù)訪問操作和數(shù)據(jù)定義操作3類。用戶登錄操作必須通過身份認(rèn)證，而用戶數(shù)據(jù)訪問操作和數(shù)據(jù)定義操作首先要通過訪問控制，然后在局部數(shù)據(jù)源得到執(zhí)行。因此，可以在身份認(rèn)證服務(wù)、訪問控制服務(wù)和局部代理中調(diào)用事件收集部件，由事件收集部件將用戶登錄事件和數(shù)據(jù)操作事件發(fā)送到事件記錄器，置入事件記錄隊列中。局部數(shù)據(jù)源如果具有日志記錄功能，可采用觸發(fā)器將局部數(shù)據(jù)源日志記錄表中全局用戶的訪問日志發(fā)給局部代理，局部代理調(diào)用事件收集部件將整理后的事件記錄傳給事件記錄器。

在正常情況下，一個數(shù)據(jù)操作會產(chǎn)生兩條事件記錄，一條在訪問控制時被獲取，另一條在局部數(shù)據(jù)源被執(zhí)行后，從局部代理處被獲取。一個數(shù)據(jù)操作只產(chǎn)生一條事件記錄的情形有兩種，一種情況是由于數(shù)據(jù)操作不符合存取規(guī)則，該操作在訪問控制時被終止；另一種情況是用戶竊取令牌，繞過訪問控制，直接對局部數(shù)據(jù)源進(jìn)行數(shù)據(jù)操作。防止繞過攻擊的辦法是，在事件記錄器整理事件記錄時，對于事件來源為局部代理的事件記錄，如果沒有事件來源為訪問控制的對應(yīng)記錄，則可斷定該事件對應(yīng)的操作實施了繞過攻擊，事件記錄器在此事件記錄中做標(biāo)記，并傳給監(jiān)視器，監(jiān)視器根據(jù)標(biāo)記向告警與控制部件發(fā)送安全控制信息，從而采取相應(yīng)的控制措施，如終止與該用戶的連接等。

2.2 審計事件選擇與防篡改策略

同傳統(tǒng)數(shù)據(jù)庫相比，多數(shù)據(jù)庫系統(tǒng)中的用戶操作更加頻繁，大量的事件記錄通過事件收集部件被傳送到事件記錄器的事件記錄隊列中。從安全管理角度看，其中一些事件記錄對審計沒有太大意義，比如對一般數(shù)據(jù)表的查詢等，這些記錄不必記入審計日志。因此，事件記錄器在處理事件記錄時，需要對事件記錄進(jìn)行篩選。利用事件篩選表可以有效去除不需審計的事件記錄。事件篩選表由安全管理員在進(jìn)行審計設(shè)置時設(shè)定。事件篩選表的每一條記錄包含一個由事件屬性字段組成的條件表達(dá)式，表示一類不需審計的事件。事件記錄器在篩選事件記錄時，提取事件屬性字段值代入所有條件表達(dá)式進(jìn)行算術(shù)比較和邏輯運(yùn)算。如果值為真，表示該事件不需審計，可予以去除。當(dāng)各表達(dá)式的值都為假時，可以將該事件記錄為審計事件，并記入審計日志。

審計日志可以作為追查攻擊行為的證據(jù)，前提是審計日志必須能夠防止被篡改并具有不可否認(rèn)性。在事件記錄中加入時間戳（Time-stamp）可以達(dá)到防止篡改和防止抵賴的目的。通常，時間戳由可信第三方（Trusted Third Party，TTP）產(chǎn)生，大部分CA（Certificate Authority）都能夠提供時間戳服務(wù)（Time Stamping Service）。時間戳的申請過程為：①事件記錄器從已整理好的事件記錄中提取各字段屬性值，拼接后得到信息M，用單向散列函數(shù)（比如：SHA-1）對M進(jìn)行運(yùn)算，得到信息摘要MD；②事件記錄器將MD發(fā)給CA，請求TSS服務(wù)；③CA在MD中加入本地系統(tǒng)日期和時間后，用自己的數(shù)字簽名私鑰進(jìn)行簽名，得到時間戳TS；④CA將TS和自己的簽名公鑰證書一起發(fā)給事件記錄器；⑤事件記錄器將事件記錄和TS、CA簽名公鑰證書一起作為一條日志記錄存入審計日志表。

2.3 監(jiān)視策略

一個事件被確定為審計事件后，需根據(jù)已有知識判斷其是否存在或隱藏攻擊性，也即判斷審計事件是否具有直接危害性或間接危害性。對于具有直接危害性的審計事件，監(jiān)視器立即向告警與響應(yīng)部件發(fā)出相應(yīng)安全控制信號。對于具有間接危害性的審計事件，監(jiān)視器啟動一個計數(shù)器對此類事件進(jìn)行監(jiān)視。如果在監(jiān)視時間內(nèi)，此類事件發(fā)生次數(shù)達(dá)到所設(shè)定的閾值，則向告警與響應(yīng)部件發(fā)出相應(yīng)安全控制信號。

審計事件的攻擊性根據(jù)攻擊行為規(guī)則來進(jìn)行判斷。攻擊行為規(guī)則表中的每一條記錄由一個邏輯表達(dá)式和一個攻擊類型代碼組成，描述了一類攻擊性事件所具有的共同屬性，這類事件的各個屬性取值存在一個范圍和一定的邏輯關(guān)系。這些規(guī)則按攻擊類型危害程度由高到低的順序存放，以提高處理效率。

2.4 告警與響應(yīng)策略

安全控制信號中包含事件的攻擊類型和事件記錄。告警與響應(yīng)部件根據(jù)攻擊類型按照響應(yīng)預(yù)案發(fā)出警告并采取控制措施。假如，安全控制信號記為S，攻擊類型記為T1，T2，T3，…，Tn，事件記錄記為E，警告和控制措施可以由過程Alarm和A1，A2，A3，…，An來實現(xiàn)。響應(yīng)預(yù)案可描述為：

（T，E） = Fetch（S）；——從S中取出T和E

switch （ T ）{ ——響應(yīng)預(yù)案

case T1 ： Alarm （ T1， E）； A1 （ E ）； break；

case T2 ： Alarm （ T2， E）； A2 （ E ）； break；

case T3 ： Alarm （ T3， E）； A3 （ E ）； break；

......

case Tn ： Alarm （ Tn， E）； An （ E ）； break；

}

2.5 審計分析策略

利用攻擊行為規(guī)則表對審計事件進(jìn)行監(jiān)視，實際上是一種基于模板的異常檢測分析方法。攻擊行為規(guī)則起初由安全管理員根據(jù)經(jīng)驗手工設(shè)置，這些規(guī)則對攻擊行為的描述存在模糊性和局限性，因此實時審計在開始一段時間內(nèi)效率不高。在積累了大量的審計數(shù)據(jù)后，可利用數(shù)據(jù)挖掘方法從中發(fā)現(xiàn)精確有效的檢測模型。審計數(shù)據(jù)的挖掘過程就是發(fā)現(xiàn)關(guān)聯(lián)規(guī)則的過程，目的是從審計數(shù)據(jù)中尋求審計事件記錄不同屬性之間的關(guān)系模式，擴(kuò)充和調(diào)整攻擊行為規(guī)則集，提高實時審計效率。

Apriori 算法是一種最有影響的挖掘關(guān)聯(lián)規(guī)則算法[5]。設(shè)I = {i1，i2，… ，im } 是數(shù)據(jù)項集合，D={T1，T2，…，Tn}是審計數(shù)據(jù)集合，其中每條審計記錄Ti是數(shù)據(jù)項的集合，TiI 。設(shè)A是I的一個子集， 審計記錄Ti包含A當(dāng)且僅當(dāng)ATi。包含k個數(shù)據(jù)項的集合稱為k-項集。關(guān)聯(lián)規(guī)則的表現(xiàn)形式是“A →B，C = c，S = s”，其中，A和B 是同一條記錄內(nèi)的數(shù)據(jù)項集且A ∩B=Φ；支持度S 是D 中記錄包含A ∪B 的百分比；置信度C是一條記錄包含A的情況下同時包含B的概率。挖掘關(guān)聯(lián)規(guī)則就是對審計數(shù)據(jù)D，找出所有滿足用戶指定的最小支持度閾值Smin和最小置信度閾值Cmin的關(guān)聯(lián)規(guī)則。

3 結(jié)語

本文提出的安全審計技術(shù)源于多數(shù)據(jù)庫系統(tǒng)的安全管理需要，盡管文中構(gòu)造了安全審計體系結(jié)構(gòu)，對各組成部件的功能和審計流程進(jìn)行了描述，并針對某些關(guān)鍵問題提出了相應(yīng)策略，但安全審計技術(shù)相關(guān)研究還有待進(jìn)一步深入：①提高事件記錄器對所收集事件信息的處理速度，以消除審計服務(wù)事件處理瓶頸，滿足繁忙系統(tǒng)的安全審計需要；②改進(jìn)數(shù)據(jù)挖掘算法，從審計日志中挖掘出更好的攻擊行為規(guī)則，從而提高監(jiān)視器的效率；③建立更加有效的用戶操作控制機(jī)制，以便及時阻止非法操作，盡量避免對系統(tǒng)造成危害。

參考文獻(xiàn)：

[1] 肖衛(wèi)軍，盧正鼎，洪帆.安全數(shù)據(jù)庫系統(tǒng)中的事務(wù)[J].小型微型計算機(jī)系統(tǒng)，2004（4）：591594.

[2] 魏允韜，王治綱，王曉剛.多數(shù)據(jù)庫系統(tǒng)安全體系研究[M].武漢：華中科技大學(xué)出版社，2002：5763.

[3] 趙久長，王曉剛，王治綱.多數(shù)據(jù)庫系統(tǒng)中的用戶管理與身份認(rèn)證[M].武漢：華中科技大學(xué)出版社，2002：4956.

[4] ISO.Common criteria for information technology security evaluation criteria[S].Version 2.1，1999.

[5] AGRAWAL R，IMIELINSKI T，SWAMI A.Mining association rules between sets of items in large databases[C].In Proceedings of the ACM SIGMOD Conference on Management of Data，1993：207216.

（責(zé)任編輯：孫 娟）