數(shù)據(jù)庫(kù)安全防控綜述

呂永國(guó)，張永棠

（廣東東軟學(xué)院計(jì)算機(jī)學(xué)院，廣東 佛山 528225）

0 引言

數(shù)據(jù)庫(kù)在生產(chǎn)和生活中得到了廣泛的應(yīng)用，但是數(shù)據(jù)池面臨著嚴(yán)重的安全威脅。目前，由于計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，技術(shù)漏洞等因素，數(shù)據(jù)庫(kù)經(jīng)常受到攻擊。

隨著數(shù)據(jù)和數(shù)據(jù)庫(kù)功能的日益復(fù)雜，攻擊者攻擊方式的改變和技術(shù)的進(jìn)步，傳統(tǒng)的攻擊方法已經(jīng)不能滿足實(shí)際需要。機(jī)器學(xué)習(xí)(ML)可以將順序掃描轉(zhuǎn)化為計(jì)算模型，將 DBA(數(shù)據(jù)庫(kù)管理員)經(jīng)驗(yàn)轉(zhuǎn)化為預(yù)測(cè)模型，使入侵檢測(cè)更加智能化和動(dòng)態(tài)化，以適應(yīng)快速的工作量變化[1-4]?，F(xiàn)在計(jì)算能力可以滿足機(jī)器學(xué)習(xí)的需要。因此，將機(jī)器學(xué)習(xí)應(yīng)用于數(shù)據(jù)庫(kù)安全威脅響應(yīng)的文章越來越多，但很少有人對(duì)這些應(yīng)對(duì)方法進(jìn)行梳理，這反映了機(jī)器學(xué)習(xí)在處理某些威脅類型方面的優(yōu)勢(shì)。

主流數(shù)據(jù)庫(kù)一般采用訪問控制、信息流控制、密碼控制和推理控制等方法來保障數(shù)據(jù)庫(kù)安全性。訪問控制機(jī)制能確保用戶只有在授權(quán)的情況下，才能訪問數(shù)據(jù)庫(kù)資源。制定正確的信息流策略，對(duì)信息的收集、存儲(chǔ)、傳輸和處理采用不同的安全等級(jí)，確保受保護(hù)的數(shù)據(jù)和不受保護(hù)的數(shù)據(jù)不相互干擾，能有效減低重要數(shù)據(jù)信息泄露或有缺陷的訪問控制風(fēng)險(xiǎn)。數(shù)據(jù)庫(kù)加密技術(shù)是另外一種常用的主動(dòng)防御機(jī)制，基于對(duì)關(guān)鍵信息存儲(chǔ)的加密，加強(qiáng)應(yīng)用訪問的安全性，可以有效防止突破防御界限的外部黑客攻擊或者內(nèi)部高權(quán)限用戶的信息泄密，從根本上實(shí)現(xiàn)數(shù)據(jù)高度安全。運(yùn)用數(shù)據(jù)庫(kù)推理控制策略，分析用戶行為，重要系統(tǒng)命令運(yùn)行和系統(tǒng)資源異常等情況，再依據(jù)相關(guān)的監(jiān)視信息，就能有效對(duì)異常情況進(jìn)行及時(shí)的處理防范。

本文對(duì)數(shù)據(jù)庫(kù)安全的研究進(jìn)行了梳理，找出了與數(shù)據(jù)庫(kù)安全密切相關(guān)的因素：數(shù)據(jù)、角色、防御系統(tǒng)、外部因素。因此，我們劃分了四個(gè)主要的威脅來源：數(shù)據(jù)保護(hù)無(wú)效、用戶異常、防御系統(tǒng)脆弱和外部攻擊。數(shù)據(jù)可進(jìn)一步分為三類：數(shù)據(jù)篡改、數(shù)據(jù)暴露、監(jiān)測(cè)或收集的數(shù)據(jù)。用戶異常被細(xì)分為：非法行為、未經(jīng)授權(quán)的訪問、弱安全性。

1 數(shù)據(jù)庫(kù)的安全風(fēng)險(xiǎn)

數(shù)據(jù)庫(kù)系統(tǒng)在正常的運(yùn)行當(dāng)中，可能會(huì)遭受軟硬件攻擊、組織管理體系漏洞和自然災(zāi)害等各種因素的影響，造成數(shù)據(jù)庫(kù)數(shù)據(jù)損失或崩潰，影響數(shù)據(jù)庫(kù)提供正常服務(wù)。數(shù)據(jù)庫(kù)系統(tǒng)提供數(shù)據(jù)給應(yīng)用程序，它出問題會(huì)影響整個(gè)計(jì)算機(jī)系統(tǒng)提供服務(wù)的可靠性和安全性，因此保證數(shù)據(jù)庫(kù)安全非常重要。隨著科技的不斷進(jìn)步，新攻擊手段和方法持續(xù)增加，數(shù)據(jù)庫(kù)安全性受到的挑戰(zhàn)也愈嚴(yán)峻。本文將重點(diǎn)從數(shù)據(jù)庫(kù)的安全屬性及主要安全技術(shù)進(jìn)行重點(diǎn)分析，探索實(shí)現(xiàn)數(shù)據(jù)庫(kù)系統(tǒng)可靠安全性的策略。

數(shù)據(jù)庫(kù)主要安全風(fēng)險(xiǎn)如圖1所示。

圖1 數(shù)據(jù)庫(kù)主要安全風(fēng)險(xiǎn)Fig.1 main database security risks

1.1 權(quán)限管理漏洞

一般而言，數(shù)據(jù)庫(kù)系統(tǒng)都提供對(duì)用戶賬號(hào)的權(quán)限控制。這些權(quán)限控制可以很好地限制用戶訪問權(quán)限以及數(shù)據(jù)庫(kù)操作。部分?jǐn)?shù)據(jù)庫(kù)甚至還提供專門的用戶資源控制文件，以限制用戶對(duì)數(shù)據(jù)庫(kù)資源的開銷。例如Oracle數(shù)據(jù)庫(kù)允許用戶建立自己獨(dú)特的概要文件，用于控制每個(gè)用戶可以使用的資源數(shù)量，包括連接的會(huì)話數(shù)量以及CPU使用時(shí)間等[5]。

但是在實(shí)際情況中，經(jīng)常會(huì)發(fā)生合法特權(quán)濫用問題。這種情況發(fā)生，往往是企事業(yè)單位對(duì)數(shù)據(jù)庫(kù)用戶職責(zé)梳理不到位。對(duì)部門、崗位角色和人員的分工、權(quán)利和職責(zé)劃分不清晰明確，導(dǎo)致在數(shù)據(jù)庫(kù)用戶的角色和權(quán)限劃分混亂。此情形下，用戶使用自己擁有的訪問權(quán)限，除了訪問本身業(yè)務(wù)范圍數(shù)據(jù)，也能訪問超越其業(yè)務(wù)范圍的資源數(shù)據(jù)，導(dǎo)致數(shù)據(jù)濫用。舉一個(gè)普通企業(yè)信息管理系統(tǒng)為例，假設(shè)普通的數(shù)據(jù)庫(kù)管理員，可以訪問數(shù)據(jù)庫(kù)所有記錄，擁有修改銷售和倉(cāng)庫(kù)的數(shù)據(jù)記錄權(quán)限。這樣的特權(quán)，會(huì)導(dǎo)致銷售或倉(cāng)庫(kù)數(shù)據(jù)被誤修改的風(fēng)險(xiǎn)。因此，不用用戶擁有不一樣的用戶權(quán)限，去執(zhí)行本身的任務(wù)。授權(quán)超出業(yè)務(wù)范圍的權(quán)限，會(huì)給數(shù)據(jù)庫(kù)帶來數(shù)據(jù)安全危險(xiǎn)。合法的特權(quán)濫用會(huì)帶來另一個(gè)問題，是會(huì)間接引誘數(shù)據(jù)庫(kù)用戶進(jìn)行非法不道德活動(dòng)，導(dǎo)致客戶敏感信息泄露。比如前段時(shí)間，國(guó)內(nèi)部分酒店由于內(nèi)部權(quán)限管理不到位，導(dǎo)致企業(yè)內(nèi)部員工把過億條酒店客戶個(gè)人隱私數(shù)據(jù)放到網(wǎng)上非法銷售。這些事件嚴(yán)重侵犯了客戶權(quán)益，受影響酒店遭受巨大的經(jīng)濟(jì)損失和聲譽(yù)下降。

其次是數(shù)據(jù)庫(kù)特權(quán)提升的安全問題。由于數(shù)據(jù)庫(kù)使用的時(shí)間較長(zhǎng)，在運(yùn)行的過程中，會(huì)出現(xiàn)部分用戶由于崗位業(yè)務(wù)變更，或者職責(zé)的臨時(shí)特殊要求，需要對(duì)這些用戶進(jìn)行業(yè)務(wù)權(quán)限的配置更改，或者對(duì)業(yè)務(wù)數(shù)據(jù)資源訪問操作行為的變動(dòng)。這種變化，會(huì)對(duì)初始規(guī)劃的數(shù)據(jù)庫(kù)用戶角色權(quán)限進(jìn)行變更。這些后期的權(quán)限改變，如果沒有很好的權(quán)限管理機(jī)制，缺乏有效的安全審計(jì)，很容易產(chǎn)生特殊身份濫用，甚至冒用的情形。粗放式的特權(quán)提升，例如輕易授予普通用戶管理員權(quán)限。會(huì)有權(quán)限過渡暴露的漏洞。這些漏洞一旦被攻擊者利用，就會(huì)篡改權(quán)限。擁有特殊權(quán)限的惡意用戶，可以對(duì)敏感信息進(jìn)行肆意攻擊。甚至利用漏洞，虛構(gòu)賬戶，轉(zhuǎn)移客戶資金等操作，給數(shù)據(jù)庫(kù)使用企業(yè)造成重大損失。

1.2 數(shù)據(jù)庫(kù)平臺(tái)漏洞

數(shù)據(jù)庫(kù)系統(tǒng)的運(yùn)行，需要有計(jì)算機(jī)操作系統(tǒng)的支持，主流操作系統(tǒng)有Windows、Linux、Unix和MacOS等。 底層的操作系統(tǒng)有各種漏洞，如DoS、權(quán)限管理不當(dāng)、遠(yuǎn)程代碼執(zhí)行和憑證保護(hù)不充分等[6]。其次是數(shù)據(jù)庫(kù)本身系統(tǒng)的漏洞，如數(shù)據(jù)信道漏洞等。這些漏洞，會(huì)導(dǎo)致數(shù)據(jù)庫(kù)數(shù)據(jù)丟失或者損壞，嚴(yán)重會(huì)導(dǎo)致拒絕提供服務(wù)的情況。由于各類操作系統(tǒng)使用廣泛，用戶數(shù)據(jù)量基數(shù)大，因此出現(xiàn)相關(guān)的漏洞，會(huì)引起相當(dāng)大的損失和危害。

以最常用的Linux和Windows操作系統(tǒng)為例，Linux是廣受歡迎免費(fèi)使用的操作系統(tǒng)，安裝在全球眾多的企業(yè)、組織的服務(wù)器以及個(gè)人電腦上，但是它的安全漏洞不少。以2020年為例，其主要的漏洞原因是內(nèi)核技術(shù)開發(fā)人員失誤，例如邏輯和類型轉(zhuǎn)換錯(cuò)誤，導(dǎo)致其內(nèi)核經(jīng)常會(huì)出現(xiàn)邏輯實(shí)現(xiàn)不正確，類型轉(zhuǎn)換溢出等問題[7]。在此類問題上，Linux藍(lán)牙模塊和eBPF模塊漏洞較嚴(yán)重。這兩個(gè)模塊可以實(shí)施本地提權(quán)和遠(yuǎn)程代碼執(zhí)行，利用寄存器范圍錯(cuò)誤，繞過檢查，出現(xiàn)非常規(guī)的越界讀寫。由于上述模塊在內(nèi)核運(yùn)行，漏洞技術(shù)難度低，常被黑客利用，且成功率高。Windows操作系統(tǒng)比較復(fù)雜，涵蓋系統(tǒng)組件、驅(qū)動(dòng)程序、應(yīng)用程序等，每年都有大量的系統(tǒng)漏洞，微軟公司為了應(yīng)付眾多的漏洞，每隔一段時(shí)間，就會(huì)發(fā)布系統(tǒng)補(bǔ)丁以供用戶升級(jí)。微軟持續(xù)的補(bǔ)丁升級(jí)，并沒有有效抑制漏洞的數(shù)量和危險(xiǎn)性。以2020年為例，Windows系統(tǒng)的高危險(xiǎn)漏洞主要是協(xié)議漏洞，該漏洞導(dǎo)致各種畸形的數(shù)據(jù)包未能正確被解析，進(jìn)入到錯(cuò)誤的流程處理或者直接繞過處理。該漏洞容易被攻擊者利用遠(yuǎn)程代碼執(zhí)行，變成極具危害和傳播性的蠕蟲攻擊。

對(duì)數(shù)據(jù)庫(kù)系統(tǒng)本身漏洞的攻擊，是黑客慣用手段，例如SQL注入攻擊。入侵者將未經(jīng)授權(quán)的語(yǔ)句添加到存儲(chǔ)過程或者 Web應(yīng)用程序的參數(shù)中，然后這些額外語(yǔ)句被傳入數(shù)據(jù)庫(kù)中并執(zhí)行。如果沒有對(duì)應(yīng)防御措施，入侵者使用這種技術(shù)，就可以輕易訪問整個(gè)數(shù)據(jù)庫(kù)的數(shù)據(jù)。SQL注入是正常的Web端口訪問，表面上和其他正常的頁(yè)面訪問一致，故服務(wù)器的防火墻不會(huì)識(shí)別并抵御此類攻擊。如果系統(tǒng)管理員工作不嚴(yán)謹(jǐn)?shù)轿?，沒有時(shí)常查看日志的習(xí)慣，有可能不知曉數(shù)據(jù)庫(kù)系統(tǒng)被長(zhǎng)期攻擊，數(shù)據(jù)已經(jīng)產(chǎn)生嚴(yán)重泄露的情形。

1.3 審計(jì)記錄不足

很多主流數(shù)據(jù)庫(kù)，提供審計(jì)功能，用于監(jiān)控所有用戶對(duì)數(shù)據(jù)庫(kù)的各項(xiàng)操作。數(shù)據(jù)庫(kù)會(huì)將監(jiān)控的相關(guān)記錄放在特定的文件中。數(shù)據(jù)庫(kù)管理員可以根據(jù)相關(guān)查閱，跟蹤記錄進(jìn)行審核，用于調(diào)查數(shù)據(jù)庫(kù)可疑的異?；顒?dòng)，例如非正常刪除表的操作或者連接數(shù)據(jù)庫(kù)異常等。如果數(shù)據(jù)庫(kù)審計(jì)策略缺陷，不能夠自動(dòng)記錄必要的數(shù)據(jù)庫(kù)異?；蛘呙舾惺聞?wù)，將會(huì)對(duì)在用的數(shù)據(jù)庫(kù)構(gòu)成嚴(yán)重風(fēng)險(xiǎn)。審計(jì)機(jī)制是數(shù)據(jù)庫(kù)防御機(jī)制的重要一環(huán)。如果黑客能夠突破數(shù)據(jù)庫(kù)其他的防御機(jī)制，成功攻擊數(shù)據(jù)庫(kù)。事后可跟蹤審核記錄，識(shí)別沖突，再確定特定用戶和沖突的關(guān)聯(lián)，以修復(fù)系統(tǒng)[8]。

數(shù)據(jù)庫(kù)軟件提供的審計(jì)功能本身存在不少弱點(diǎn)或者限制，使得審核功能失效。首先，數(shù)據(jù)庫(kù)審計(jì)功能有缺陷，當(dāng)啟用審計(jì)機(jī)制，會(huì)消耗計(jì)算機(jī)資源，如CPU和硬盤，從而導(dǎo)致數(shù)據(jù)庫(kù)服務(wù)性能下降。這種情形會(huì)導(dǎo)致不少數(shù)據(jù)庫(kù)管理員減少或者不使用該功能。另一個(gè)問題是本身的審計(jì)記錄細(xì)化度不夠，記錄信息不詳盡，不足以支持攻擊檢測(cè)、分析與修復(fù)。例如不少審計(jì)機(jī)制沒有記錄數(shù)據(jù)庫(kù)客戶端的應(yīng)用程序，IP地址等關(guān)鍵信息。這就不能提供充足的信息給后期的審核分析。其次，擁有數(shù)據(jù)庫(kù)管理員權(quán)限的用戶，進(jìn)行惡意操作的時(shí)候，可以直接先關(guān)閉審計(jì)功能，使得事后的推理追責(zé)審核功能失效。還有，對(duì)于多種數(shù)據(jù)庫(kù)混合的綜合平臺(tái)，審計(jì)流程存在不一致問題。常用的數(shù)據(jù)庫(kù)，Oracle、SQL Server和DB2等，它們的日志各不相同，因此無(wú)法在數(shù)據(jù)庫(kù)使用組織中，綜合各個(gè)數(shù)據(jù)庫(kù)，執(zhí)行統(tǒng)一的審計(jì)流程[9]。

1.4 身份驗(yàn)證缺陷

身份驗(yàn)證是數(shù)據(jù)庫(kù)安全防范的第一道防線。用戶登錄的身份，后續(xù)連接著訪問數(shù)據(jù)庫(kù)權(quán)限，可以明確該身份可以使用的功能及相關(guān)資源。因此攻擊身份驗(yàn)證方案，獲取登錄數(shù)據(jù)庫(kù)的憑證，從而獲取合法數(shù)據(jù)庫(kù)用戶身份，成為攻擊者常用的方法。數(shù)據(jù)庫(kù)身份被不法分子獲取的原因中，弱密碼是最常見的。由于人天生的惰性或者記憶的限制，人們喜歡使用簡(jiǎn)單，容易記憶的密碼，例如數(shù)字的連號(hào)，重復(fù)號(hào)等。部分?jǐn)?shù)據(jù)庫(kù)有密碼規(guī)則的限制，比如要求使用大小寫字母加數(shù)字的方式，以減輕弱密碼的使用。但實(shí)際應(yīng)用中，民眾偏愛使用簡(jiǎn)單的密碼。這類密碼，較容易被破解，致使數(shù)據(jù)庫(kù)身份被盜用。

用戶缺乏安全意識(shí)，是密碼經(jīng)常泄露的另一種方式。不少用戶直接把登錄用戶名與密碼寫在紙條上，或者粘貼到計(jì)算機(jī)的文本文件中。這給攻擊者直接竊取用戶憑證提供便利。還有惡意者，利用電話騙術(shù)，冒充專業(yè)人員，以系統(tǒng)故障，提供維護(hù)服務(wù)等編造出來的理由，非法獲取受害人的登錄憑證。

網(wǎng)絡(luò)不法分子，常利用計(jì)算機(jī)技術(shù)非法獲取用戶憑證。比如采用自動(dòng)化程序，不斷嘗試輸入不同用戶名和密碼的組合，循環(huán)登錄，直到獲取正確的登錄信息。這種暴力破解的方式，有時(shí)候會(huì)利用用戶曾用密碼做參考，加快效率，以縮短破解時(shí)間[10]。部分網(wǎng)絡(luò)犯罪者采用網(wǎng)絡(luò)釣魚電子郵件的方式獲取用戶的敏感信息。他們使用各種犯罪心理技巧，引誘受害者進(jìn)行交流，以索要相關(guān)數(shù)據(jù)。這種方式隱蔽可怕，很多受害人被騙以后，對(duì)信息泄露卻全然不覺。

1.5 備份數(shù)據(jù)暴露

數(shù)據(jù)庫(kù)存儲(chǔ)的數(shù)據(jù)，是應(yīng)用程序正常運(yùn)行的基石，因此數(shù)據(jù)庫(kù)備份工作是正常的安全管理要求。一旦發(fā)生意外，導(dǎo)致數(shù)據(jù)庫(kù)數(shù)據(jù)丟失或系統(tǒng)崩潰，數(shù)據(jù)庫(kù)管理員可使用備份數(shù)據(jù)庫(kù)，迅速恢復(fù)其正常運(yùn)作。但數(shù)據(jù)庫(kù)外部存儲(chǔ)介質(zhì)，如磁帶、DVD、或移動(dòng)硬盤等備份的數(shù)據(jù)，如保管不善，也有暴露風(fēng)險(xiǎn)。不少公司發(fā)生備份數(shù)據(jù)暴露事件，其中一個(gè)主要原因是公司內(nèi)部備份數(shù)據(jù)管理不到位，內(nèi)部員工能輕易拷貝備份數(shù)據(jù)，外出泄露。這種行為，會(huì)給企業(yè)帶來無(wú)法挽回的損失，如制造業(yè)企業(yè)的機(jī)密圖紙或工藝流程等敏感數(shù)據(jù)流出。其次是數(shù)據(jù)庫(kù)管理員安全意識(shí)不足，導(dǎo)致備份數(shù)據(jù)暴露。例如粗心的管理員錯(cuò)誤將備份文件存放在網(wǎng)站目錄下，外部的黑客就可以訪問Web路徑，技術(shù)破解文件名等方式，下載該備份數(shù)據(jù)文件，從而導(dǎo)致泄露事件。

2 數(shù)據(jù)庫(kù)安全控制

數(shù)據(jù)庫(kù)的使用過程中，面臨各種風(fēng)險(xiǎn)等級(jí)不一的威脅。制定一個(gè)可靠的安全策略，并嚴(yán)格執(zhí)行，能有效防范內(nèi)外部人員對(duì)數(shù)據(jù)庫(kù)惡意攻擊，減輕所受威脅傷害。如何根據(jù)數(shù)據(jù)庫(kù)面臨不同攻擊手段，采用不同的技術(shù)及標(biāo)準(zhǔn)，制定有效的數(shù)據(jù)安全機(jī)制，保護(hù)數(shù)據(jù)庫(kù)信息安全，以下將分為四點(diǎn)，給以重點(diǎn)闡述。

2.1 訪問控制

如果數(shù)據(jù)庫(kù)用戶擁有超過其職能范圍的權(quán)限，就容易引起濫用權(quán)限的問題。這種問題的根源來自數(shù)據(jù)庫(kù)管理員在權(quán)限初始規(guī)劃的時(shí)候，沒有對(duì)數(shù)據(jù)庫(kù)全體用戶權(quán)限業(yè)務(wù)和職能范圍梳理到位，簡(jiǎn)單給用戶或者其角色賦予更高的訪問權(quán)限。解決該問題的方案是采用顆粒度小，細(xì)化的訪問控制機(jī)制。根據(jù)不同用戶，要求賦予其的權(quán)限不僅限定到最低要求的數(shù)據(jù)庫(kù)DML（數(shù)據(jù)庫(kù)操作語(yǔ)言）操作，而且數(shù)據(jù)控制到表的級(jí)別以下，細(xì)化到表里的字段。這種充分細(xì)化的控制手段，就可以有效避免超出職權(quán)范圍的惡意操作帶來的傷害。例如上文提及到超權(quán)限訪問的數(shù)據(jù)問題就不會(huì)發(fā)生，用戶查詢相關(guān)數(shù)據(jù)，想惡意修改字段數(shù)據(jù)的時(shí)候，系統(tǒng)就警報(bào)該用戶只有查詢權(quán)限，沒有修改該字段信息的權(quán)限。

用戶私自使用合法的數(shù)據(jù)庫(kù)權(quán)限，用于未經(jīng)正規(guī)授權(quán)的活動(dòng)，也會(huì)給數(shù)據(jù)庫(kù)安全帶來隱患。例如部分企業(yè)組織，由于數(shù)據(jù)庫(kù)存放的敏感數(shù)據(jù)，會(huì)對(duì)查詢記錄數(shù)進(jìn)行限制，并不允許復(fù)制相關(guān)數(shù)據(jù)。如果企業(yè)內(nèi)部，存在惡意盜取數(shù)據(jù)的工作人員，就可以采用使用外部的客戶端登錄系統(tǒng)，規(guī)避監(jiān)控獲取信息數(shù)據(jù)，以供售賣獲利。這些信息，也可能被臨時(shí)存放在非法計(jì)算機(jī)設(shè)備。這些設(shè)備一旦受到黑客攻擊，就有可能發(fā)生泄露。對(duì)此類風(fēng)險(xiǎn)，應(yīng)建立數(shù)據(jù)庫(kù)基于上下文的訪問控制，通過存儲(chǔ)用戶客戶端應(yīng)用程序、訪問時(shí)間、IP地址和端口數(shù)據(jù)等方式，匹配連接上下文。假若匹配信息不服，系統(tǒng)將會(huì)發(fā)出異常警報(bào)。

2.2 數(shù)據(jù)庫(kù)平臺(tái)安全

隨著Windows與Linux等專業(yè)平臺(tái)功能愈加強(qiáng)大，復(fù)雜，覆蓋面越廣，系統(tǒng)平臺(tái)漏洞呈現(xiàn)出數(shù)據(jù)量逐年遞增，高風(fēng)險(xiǎn)性同比增長(zhǎng)的態(tài)勢(shì)。這些系統(tǒng)所存在的缺陷，容易被黑客采用技術(shù)手段利用，攻擊以獲取電腦的控制權(quán)，非法獲取其中的重要信息資料。防范此類風(fēng)險(xiǎn)，首先要加強(qiáng)組織的內(nèi)部計(jì)算機(jī)服務(wù)器的應(yīng)用軟件安裝和訪問網(wǎng)站的控制。組織內(nèi)部的機(jī)器，不能隨意安裝不明的應(yīng)用程序，不要使用企業(yè)計(jì)算機(jī)隨意瀏覽與業(yè)務(wù)無(wú)關(guān)的網(wǎng)站，以減少黑客通過網(wǎng)絡(luò)植入木馬和病毒的方式，攻擊企業(yè)服務(wù)器的風(fēng)險(xiǎn)。其次是系統(tǒng)管理員應(yīng)該及時(shí)更新軟件程序。軟件系統(tǒng)供應(yīng)商不定期提供的補(bǔ)丁程序，能有效修補(bǔ)已經(jīng)發(fā)現(xiàn)的各種平臺(tái)漏洞，增強(qiáng)系統(tǒng)防御攻擊的能力。

2.3 審核與問責(zé)機(jī)制

數(shù)據(jù)庫(kù)系統(tǒng)提供的審計(jì)功能，可以很好監(jiān)控用戶數(shù)據(jù)庫(kù)操作及其使用資源情況。但是由于系統(tǒng)的審計(jì)功能自身的缺陷，有時(shí)候會(huì)導(dǎo)致審計(jì)功能失效。要避免此類情況，企業(yè)組織要組建高性能的網(wǎng)絡(luò)審計(jì)設(shè)備，審計(jì)的流程，交由專門的審計(jì)設(shè)備執(zhí)行。數(shù)據(jù)庫(kù)運(yùn)行時(shí)，全程啟動(dòng)審計(jì)功能。這樣就能有效避免審計(jì)功能消耗系統(tǒng)資源，引起數(shù)據(jù)庫(kù)服務(wù)器性能下降的問題。對(duì)于有權(quán)限的管理員，私下關(guān)閉數(shù)據(jù)庫(kù)審計(jì)功能，而導(dǎo)致審查跟蹤失效的問題，可以采用審計(jì)責(zé)任與數(shù)據(jù)庫(kù)管理權(quán)限相互獨(dú)立的策略。網(wǎng)絡(luò)審計(jì)設(shè)備的運(yùn)行情況，不與數(shù)據(jù)庫(kù)管理員權(quán)限掛鉤。這種情況下，數(shù)據(jù)庫(kù)用戶沒有權(quán)限去關(guān)閉審計(jì)功能，就避免了數(shù)據(jù)庫(kù)用戶對(duì)審計(jì)功能的攻擊。對(duì)于上文提及的審計(jì)記錄不足的問題，可以采用細(xì)化數(shù)據(jù)庫(kù)事務(wù)的跟蹤信息。在對(duì)應(yīng)的日志里面，添加詳細(xì)的跟蹤項(xiàng)目信息，如源應(yīng)用程序名稱、源操作系統(tǒng)、源IP地址及其他關(guān)鍵數(shù)據(jù)。這些詳細(xì)的數(shù)據(jù)，就可以供后期的事務(wù)分析和修復(fù)使用。

除了在技術(shù)手段上完善審核策略，還有在組織機(jī)構(gòu)內(nèi)部建立健全的問責(zé)機(jī)制，規(guī)范約束內(nèi)部的操作以及失職行為的追究制度。從規(guī)章制度上面約束相關(guān)人員的誤操作或惡意操作，杜絕人為的技術(shù)性和非技術(shù)性錯(cuò)誤操作行為。為企業(yè)組織提供規(guī)范行為的依據(jù)，就能有效提高數(shù)據(jù)庫(kù)系統(tǒng)審計(jì)功能，從而提升其抵抗惡意攻擊的能力。

2.4 加密技術(shù)

加密是最常用的安全保密方法，運(yùn)用特殊的算法改變?cè)械男畔?shù)據(jù)。加密后的信息，傳送到目的地后，再采用技術(shù)手段還原到原始的信息。在信息傳遞的過程中非法獲取其中加密數(shù)據(jù)，如果不能正確的解密，也無(wú)法獲知其中的內(nèi)容。為此，加密技術(shù)被廣泛運(yùn)用在數(shù)據(jù)庫(kù)上，以保護(hù)其安全?，F(xiàn)今的加密算法很多，其中三種數(shù)據(jù)庫(kù)比較常用：對(duì)稱加密、非對(duì)稱加密和散列加密[11]。

對(duì)稱加密要求發(fā)送方和接受方都有相同的密鑰。發(fā)送方用密鑰加密發(fā)送信息，接受方使用同樣的密鑰解密。這種加密方式加密和解密的速度較快，但需要雙方都確保密鑰的安全。對(duì)稱加密方式適用于入侵風(fēng)險(xiǎn)較低的封閉系統(tǒng)。非對(duì)稱加密在信息傳輸過程中，使用兩個(gè)不同的密鑰，公鑰和私鑰[12]。公鑰用于加密在傳送前加密的信息，為發(fā)送者擁有。私鑰用于接收信息的解密，為接收者擁有。這種加密方法，在安全性方面比對(duì)稱加密高，但是加密和解密的速度比前者低。散列加密，就是將數(shù)據(jù)信息通過哈希算法，生成一個(gè)固定長(zhǎng)度的哈希值。散列加密的數(shù)據(jù)，難以被破譯或者還原。上述的加密方法，經(jīng)常使用在數(shù)據(jù)庫(kù)敏感信息的保護(hù)中，比如用戶賬號(hào)及密碼。

數(shù)據(jù)庫(kù)在加密的顆粒度上，總共分為5個(gè)級(jí)別：數(shù)據(jù)庫(kù)級(jí)、表級(jí)、記錄級(jí)、字段級(jí)和數(shù)據(jù)項(xiàng)級(jí)。數(shù)據(jù)庫(kù)級(jí)別的加密就是將整個(gè)數(shù)據(jù)庫(kù)加密，讀取數(shù)據(jù)庫(kù)所在的物理塊號(hào)進(jìn)行加密。這種加密方式簡(jiǎn)單，但是效率比較低，對(duì)于數(shù)據(jù)庫(kù)來說，每次常規(guī)的操作，例如讀取數(shù)據(jù)，都要對(duì)數(shù)據(jù)庫(kù)進(jìn)行解密操作。表級(jí)加密類似數(shù)據(jù)庫(kù)級(jí)別加密，就是對(duì)特定的表進(jìn)行加密處理。相對(duì)之前加密方式，在靈活性和系統(tǒng)性能方面有提高，但是也可能加密非必要的額外信息，消耗系統(tǒng)資源。比如加密用戶信息表中，可以加密名字，身份證號(hào)，聯(lián)系方式等信息，但表中其他信息，如性別，年齡等信息則沒有必要。記錄級(jí)別是加密數(shù)據(jù)庫(kù)表中的一條完整的信息，加密后各個(gè)字段都是密文。該加密方式顆粒度更小，靈活度更好，但是缺點(diǎn)是記錄數(shù)比較大時(shí)，每條記錄都對(duì)應(yīng)一個(gè)密鑰，解密的過程也是逐條解密，效率比較低。字段級(jí)加密是加密數(shù)據(jù)庫(kù)表里面的某個(gè)字段。這種方式適合數(shù)據(jù)庫(kù)對(duì)特定字段的高頻率查詢，查詢效率高，系統(tǒng)開銷也比較小。

數(shù)據(jù)庫(kù)加密技術(shù)，歷經(jīng)多個(gè)階段，一直在持續(xù)改進(jìn)發(fā)展中。從加密的層次實(shí)現(xiàn)來看，如今主要有4個(gè)層次的5種加密方式（如圖2所示）：應(yīng)用層的應(yīng)用系統(tǒng)和專用數(shù)據(jù)庫(kù)中間件、數(shù)據(jù)庫(kù)系統(tǒng)層、操作系統(tǒng)層和存儲(chǔ)設(shè)備層。這幾個(gè)層次的加密方式都不相同，各有優(yōu)劣[13]。

圖2 數(shù)據(jù)庫(kù)加密層Fig.2 database encryption layer

應(yīng)用系統(tǒng)加密主要是應(yīng)用程序?qū)γ舾袛?shù)據(jù)進(jìn)行加密后，將加密的數(shù)據(jù)存入數(shù)據(jù)庫(kù)。數(shù)據(jù)檢索的時(shí)候，先從數(shù)據(jù)庫(kù)讀出數(shù)據(jù)到客戶端進(jìn)行解密。這種方式的優(yōu)點(diǎn)是加密實(shí)現(xiàn)靈活，可以根據(jù)業(yè)務(wù)選擇不同的加密函數(shù)與密鑰等。劣勢(shì)也比較明顯，因?yàn)榇嫒霐?shù)據(jù)庫(kù)是密文信息，數(shù)據(jù)庫(kù)系統(tǒng)原有對(duì)數(shù)據(jù)高效組織和檢索等功能嚴(yán)重受損。應(yīng)用系統(tǒng)因此額外承擔(dān)數(shù)據(jù)庫(kù)原有工作，如索引、查詢分析、執(zhí)行優(yōu)化等，這極大增加應(yīng)用程序的負(fù)擔(dān)和程序的復(fù)雜度。

專用數(shù)據(jù)庫(kù)中間件（前置代理加密技術(shù)）[14]在應(yīng)用程序和數(shù)據(jù)庫(kù)之間加一道安全代理服務(wù)。訪問數(shù)據(jù)庫(kù)服務(wù)前，先經(jīng)過該代理服務(wù)，對(duì)數(shù)據(jù)庫(kù)進(jìn)行加解密工作，然后再通過數(shù)據(jù)庫(kù)接口實(shí)現(xiàn)數(shù)據(jù)庫(kù)存儲(chǔ)。相比之前的技術(shù)，前置加密技術(shù)減輕客戶端應(yīng)用程序的壓力，應(yīng)用層更專注業(yè)務(wù)邏輯及其實(shí)現(xiàn)。但和前者應(yīng)用系統(tǒng)加密一樣，數(shù)據(jù)在存儲(chǔ)到數(shù)據(jù)庫(kù)前，已經(jīng)是密文的形式，數(shù)據(jù)庫(kù)因相同的原因，丟失本身的系統(tǒng)優(yōu)勢(shì)。

數(shù)據(jù)庫(kù)系統(tǒng)層（后置代理加密技術(shù)）是在數(shù)據(jù)庫(kù)內(nèi)部對(duì)數(shù)據(jù)進(jìn)行加密，應(yīng)用系統(tǒng)對(duì)數(shù)據(jù)的處理過程完全透明[15]。用戶不需要知道數(shù)據(jù)庫(kù)相關(guān)加密操作，就如正常的執(zhí)行SQL語(yǔ)句一樣[16]。應(yīng)用系統(tǒng)程序不需要做任何更改就能獲得數(shù)據(jù)加密功能。后置加密技術(shù)是通過視圖及觸發(fā)器加外部調(diào)用實(shí)現(xiàn)加解密工作。這種透明加密的技術(shù)比較成熟，被應(yīng)用在大型的商業(yè)數(shù)據(jù)庫(kù)中，如 Oracle和SQL Server[17]。但技術(shù)也有缺陷，假如業(yè)務(wù)要求觸發(fā)器運(yùn)行機(jī)制對(duì)每條數(shù)據(jù)的多列讀寫都要外部調(diào)用，或者查詢結(jié)果集中涉及加密數(shù)量比較大的時(shí)候，會(huì)導(dǎo)致數(shù)據(jù)庫(kù)性能下降。

操作系統(tǒng)層（文件系統(tǒng)加密技術(shù)）是通過對(duì)操作系統(tǒng)中數(shù)據(jù)庫(kù)文件進(jìn)行加密的方式實(shí)現(xiàn)，與數(shù)據(jù)庫(kù)系統(tǒng)類型無(wú)關(guān)[18]。因?yàn)閿?shù)據(jù)庫(kù)系統(tǒng)皆運(yùn)行在計(jì)算機(jī)操作系統(tǒng)上，數(shù)據(jù)庫(kù)就是存儲(chǔ)在操作系統(tǒng)上面的一系列文件。對(duì)這些文件加密，也就實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的加密。對(duì)文件加密的方式有一個(gè)嚴(yán)重缺陷，就是每次對(duì)數(shù)據(jù)庫(kù)的DML常規(guī)操作[19]，都需要對(duì)整個(gè)數(shù)據(jù)庫(kù)文件進(jìn)行加解密，系統(tǒng)開銷大，效率低。

存儲(chǔ)設(shè)備層加密（磁盤加密技術(shù)）是通過存儲(chǔ)設(shè)備物理結(jié)構(gòu)實(shí)現(xiàn)加密，能發(fā)揮設(shè)備硬件能力優(yōu)勢(shì)，同時(shí)對(duì)應(yīng)用層和數(shù)據(jù)庫(kù)本身沒有關(guān)聯(lián)[20]。磁盤加密技術(shù)與文件加密技術(shù)類似，不具備數(shù)據(jù)庫(kù)權(quán)限控制。但由于磁盤數(shù)據(jù)庫(kù)加密相關(guān)技術(shù)還沒有成熟，現(xiàn)今沒有進(jìn)入大規(guī)模實(shí)用化和產(chǎn)業(yè)化。

綜上所述，數(shù)據(jù)庫(kù)的加密技術(shù)，能夠顯著提高數(shù)據(jù)庫(kù)安全性，有效減輕上文提及的身份驗(yàn)證缺陷和備份數(shù)據(jù)暴露的風(fēng)險(xiǎn)。數(shù)據(jù)庫(kù)惡意攻擊者，通過非法手段獲取的加密數(shù)據(jù)，因不是明文方式，所以不清楚里面的具體內(nèi)容而無(wú)法利用。

3 結(jié)論

數(shù)據(jù)信息已經(jīng)成為企事業(yè)組織的重要財(cái)產(chǎn)。如何保護(hù)組織的敏感電子數(shù)據(jù)信息不被惡意攻擊而導(dǎo)致?lián)p失是一個(gè)巨大挑戰(zhàn)。本文重點(diǎn)分析了影響數(shù)據(jù)庫(kù)安全運(yùn)行的幾個(gè)主要因素，并詳細(xì)闡述數(shù)據(jù)庫(kù)相關(guān)的安全控制策略，以降低受攻擊的威脅，加強(qiáng)對(duì)數(shù)據(jù)的保護(hù)。隨著數(shù)據(jù)庫(kù)技術(shù)持續(xù)進(jìn)步，版本不斷更新，對(duì)數(shù)據(jù)庫(kù)攻擊手段亦發(fā)生變化。因此，應(yīng)繼續(xù)研究對(duì)數(shù)據(jù)庫(kù)攻擊方式方法，提高數(shù)據(jù)庫(kù)持續(xù)的防御能力。