1、某某石油管理局企業標準 數據庫系統平安開發和改造標準 某某石油管理局 發布、/. 前言本標準由某某石油管理局計算機應用及信息專業標準化委員會提出并歸口 本標準由某某石油管理局信息中心起草。本標準的主要內容包括：適用范圍、術語定義、數據庫的開發和改造等幾局部。1 范圍本標準規定了局某某石油管理局某某油田數據庫系統平安開發與改造規 范。本標準適用于某某油田 企業內部 數據庫系統平安開發與改造的全過程2 標準解釋權某某油田信息中心網絡標準和標準小組3 根本原那么本標準是參考國家相應標準，并參考相應國際標準，并結合某某油田的 相應實際而制定4 使用說明1本標準所提到的重要數據應用部門，如無特別說明，均

2、指某某油田范圍內 各個有重要數據如生產數據，管理數據等的部門，這里不具體指明， 各單位可以參照執行。2本標準說明了如何在現有數據庫系統上應用的開發與改造方法，但不包括數據系統的應用與管理。也不說明數據庫系統本身的開發與改造方法。5 總那么1為加強某某油田各單位數據庫技術管理， 有效地保護和利用數據庫技術資 源，最大程度地防范技術風險，保護使用者的合法權益，根據?中華人民 共和國計算機信息系統平安保護條例? 及國家有關法律、 法規和政策， 結 合油田的實際情況，制定本標準。2) 本標準所稱的數據庫，是指所有與油田業務相關的信息存儲體的集合。3) 某某油田中從事數據庫開發與改造的人員，均須遵守本標

3、準。6 數據庫系統的根本概念數據、數據庫、數據庫管理系統和數據庫系統是與數據庫技術密切相關 的四個根本概念。數據是數據庫中存儲的根本對象。數據在大多數人的頭腦中第一個反響 就是數字。其實數字只是最簡單的一種數據，是數據的一種傳統和狹義的理 解。廣義的理解，數據的種類很多，文字、圖形、圖像、聲音、學生的檔案 記錄、貨物的運輸情況等等，這些都是數據。我們可以對數據做如下定義：描述事物的符號記錄稱為數據。描述事物 的符號可以是數字，也可以是文字、圖形、圖像、聲音、語言等，數據有多 種表現形式，它們都可以經過數字化后存入計算機。數據庫，是存放數據的倉庫。只不過這個倉庫是在計算機存儲設備上， 而且數據是

4、按一定的格式存放的。所謂數據庫中，是指長期存儲在計算機內、 有組織的、可共享的數據集合。數據庫中的數據按一定的數據模型組織、描 述和存儲，具有較小的冗余度、較高的數據獨立性和易擴展性，并可為各種 用戶共享。數據庫管理系統是位于用戶與操作系統之間的一層數據管理軟件， 它負責科學地組織和存儲數據以及如何高效地獲取和維護數據。7 數據庫系統的分類7.1 集中型 在這種結構中，客戶程序連接某臺指定的機器并通過其完成 交易。數據庫放置在同一臺機器上，或指定一臺專門的機器充當數據 庫效勞器。7.2 數據分布型 數據分布型結構類似前一種結構，只是數據庫分布在每 臺效勞器上。它具有的優點是：無單點失敗且可獨立

5、進行管理。我們 可以將這種結構用于數據分割，例如邏輯分割和地理分割。7.3 數據集中型 這種結構是對集中型的一種增強，由其中的一臺機器作 為數據存取效勞器，而在前臺提供更多的應用效勞器，共享一個數據 庫效勞器。這種情況下，必須使用數據庫軟件提供的并行處理功能及 硬件廠商提供的硬件集群策略。7.4 高可用性 現在，所有用戶都希望在硬件出現錯誤時，應用的遷移能更加 簡單，并且在遷移的同時能保證系統繼續運行且盡量減少人工干預。中間件可 以提供這樣的功能，它可以幫助操作系統自動遷移關鍵組件到正常的機器上。 8數據庫類型的開發方式與訪問接口數據庫類型的開發方式主要是用分布式組件技術。組件是獨立于特定的

6、程序設計語言和應用系統、可重用和自包含的軟件成分。組件是基于面向對 象的，支持拖拽和即插即用的軟件開發概念。基于組件技術的開發方法，具 有開放性、 易升級、易維護等優點。 它是以組合 (原樣重用現存組件 ) 、繼承 (擴 展地重用組件 ) 、設計(制作領域專用組件 )組件為根底， 按照一定的集成規那么， 分期、遞增式開發應用系統，縮短開發周期。在開發過程中遵循以組件為核 心原那么、組件實現透明原那么及增量式設計原那么。基于組件開發方法的優點：1) 速度快。因為組件技術提供了很好的代碼重用性，用組件開發應用 程序主要的工作是“配置應用，應用開發人員只需寫業已有的組 件沒有提供的應用新特征的代碼，

7、這比寫整個應用的代碼快得多。2) 可靠性高。因為組件開發中所用的組件是已經測試過的，雖然整個 應用仍然需要測試，基于組件的應用還是要比使用傳統技術開發的 應用要可靠的多。3) 編程語言和開發工具的透明性。基于組件的開發方法允許用不同的 語言編寫的組件共存于同一應用中，這在大型的復雜應用開發中是 很重要的。4) 組件的積累。組件的積累就是財富的積累，可以為新系統提供一定 的支持。5) 提高系統互操作性。組件必須按照標準開發，而標準具有權威性和 指導作用，支持更廣泛的代碼重用。6) 開發者注意力更多地集中在商業問題上。基于組件的開發，使編程 人員將大多數時間用在所要解決的商業問題上，而不是用于擔憂

8、低 級的編程細節問題。7) 為自己開發還是購置提供了最好的選擇。購置組件裝配到定制的系 統中的優勢是，不必要購置一個不完全適合于自己的軟件，還可以 減少風險，因為購置的組件已經經過廣泛的使用與測試。目前，在組件技術標準化方面，主要有以下三個比擬有影響的標準：1) OMC起草與公布的CORB；2) 微軟公司推出的 COM/DCOM/CO；M+SUN發表的 JavaBeans。異構數據源訪問接口 在網絡環境下，特別是分布式系統中，異構數據庫的 訪問是一個不可防止的問題，采用SQL語言的異構數據庫為解決相互訪問問 題提供了可能。目前最有影響的有兩種標準是： 1)Microsoft 公司的 ODBC；

9、2) 以Sun和JavaSoft公司為代表的JDBC9 開發與改造管理 基于目前某某油田的應用實際，我們這里所說的平安開發與改造，并不 指對數據系統本身開發與改造，而是基于數據庫上的相關應用的開發與改造。9.1 關于數據庫開發與改造的保密管理的說明由于在某某油田中的數據庫中的數據可能包括敏感數據，它的泄露與破 壞可能對某某油田甚至對國家、社會造成重大的人力、物力、財力損失，所 以，在涉密數據庫系統的開發與改造過程中，應該對數據的保密性有特殊的 要求。1) 密數據庫的開發與改造工程，必須經某某油田信息平安中心與數據應 用單位的主管部門的聯合批準立項，同時要求對開發與改造過程中的 平安風險做出評估

10、，對需要保密的數據字段做出書面上的要求。對于 這種評估與要求應做出相應的存檔備案。2) 在開發過程中，可能使用到的試驗數據應該由開發部門自已生成模擬 數據，應用單位不應提供原有的可能涉密的真實數據做試驗，以防泄 密。3) 系統在設計與開發時不應留有 “后門，即不應以維護、 支持或操作需 要為借口，設計有違反或繞過平安規那么的任何類型的入口和文檔中未 說明的任何模式的入口。如有發現，應用方有權對系統設計與開發方 追究責任。4) 在數據系統的改造過程中， 系統的原有數據不得做新系統的試驗數據， 以防數據被破壞與泄露。但系統改造完成之后，又要求能無縫地導入 原有的數據，保證系統的順利運行。5) 在數

11、據系統的運行維護過程中，技術維護人員不應得到系統的最高權 限。同時為了防止由于系統管理人員或特權用戶的權限過于集中所帶 來的平安隱患，應將數據庫系統的常規管理、與平安有關的管理以及 審計管理，分別由系統管理員、系統平安員和系統審計員來承當，并 按最小授權原那么分別授予它們各自為完成自己所承當任務所需的最小 權限，還應在三者之間形成相互制約的關系。6) 對于涉密系統，我們要求相應要求保密的數據不能以明文的形式存儲 在物理介質上。這可能采用兩種方法， 一種是由數據庫系統本身提供的加密方法(如果具體采用的產品提 供)，另一種是經過應用系統加密之后再交數據庫系統操作。7) 對于涉密系統，我們要求相應要

12、求保密的數據不能以明文的形式在網 絡介質上傳輸。其目的是防止被動攻擊。所采用的方法如下 : ? 可以是對數據進行軟件應用層加密；? 也可以在相應的網絡硬件中參加加解密設施 ;? 現在許多數據庫在傳輸過程中也能用相應加密模塊加密后再 傳輸;如果傳輸經過的網絡范圍較小 (如一個機房內 ) ，那么物理介質隔離是一種有效的方法。9.2 關于數據庫開發與改造的功能要求標準對于開發與改造后的數據庫應用系統的功能，我們提出以下要求：9.2.1 身份鑒別9.2.1.1 用戶標識應對注冊到數據庫管理系統中的用戶進行唯一性標識。用戶標識信息是 公開信息， 一般以用戶名和 / 或用戶 ID 實現。為了管理方便， 可

13、將用戶分組， 也可使用別名。無論用戶名、用戶 ID 、用戶組還是用戶別名，都要遵守標識 的唯一性原那么。9.2.1.2 用戶鑒別應對登錄到數據庫管理系統的用戶進行身份真實性鑒別。通過對用戶所 提供的“鑒別信息的驗證，證明該用戶確有所聲稱的某種身份，這些“鑒 別信息必須是保密的，不易偽造的。用戶進入數據庫管理系統時的身份鑒別，并按以下要求進行設計：1凡需進入數據庫管理系統的用戶， 可以選擇采用該用戶在操作系統 中的標識信息， 也可以重新進行用戶標識。 重新進行用戶標識應在用戶注冊 建 立賬號時進行。2當用戶登錄到數據庫管理系統或與數據庫效勞器 如通過網絡 進 行訪問連接時，應進行用戶鑒別。這可以

14、參考某某油田的CA認證與授權系統的相關要求進行設計。3數據庫管理系統用戶標識一般使用用戶名和用戶標識UID。為在整個數據庫系統范圍實現用戶的唯一性， 應確保數據庫管理系統建立的用戶在系統中 的標識SID與在各數據庫系統中的標識用戶名或別名，UID等之間的一致性。4分布式數據庫系統中，全局應用的用戶標識信息和鑒別信息應存放 在全局數據字典中， 由全局數據庫管理平安機制完成全局用戶的身份鑒別。 局部 應用的用戶標識信息和鑒別信息應存放于局部數據字典中， 由局部數據庫平安機制完成局部用戶的身份鑒別。5數據庫用戶的標識和鑒別信息應受到操作系統 包括網絡操作系統 和數 據庫系統的雙重保護。 操作系統應確

15、保任何用戶不能通過數據庫以外的使用方式 獲取和破壞數據庫用戶的標識和鑒別信息。 數據庫系統應保證用戶以平安的方式 和途徑使用數據庫系統的標識和鑒別信息。6) 數據庫用戶標識信息應在數據庫系統的整個生命期有效，被撤消的用戶 賬號的 UID 不得再次使用。9.2.2 標記與訪問控制9.2.2.1 標記與平安屬性管理應通過標記為 TCB 平安功能控制范圍內的主體與客體設置平安屬性。具體要求為：1) 對于自主訪問控制，標記以某種方式說明主體與客體的訪問關系；2) 對于強制訪問控制，不同的訪問控制模型有不同的標記方法。基于多 級平安模型的強制訪問控制，標記過程授予主體與客體一定的平安屬 性，這些平安屬性

16、構成采用多級平安模型的強制訪問控制機制的屬性 庫強制訪問控制的根底數據。數據庫管理系統需要對主、客體獨 立進行標記。3) 用戶平安屬性應在用戶建立注冊帳戶后由系統平安員通過 TCB 所提 供的平安員界面進行標記并維護；4) 客體平安屬性應在數據輸入到由 TCB 平安功能所控制的范圍內時以 缺省方式生成或由平安員進行標記并維護；5) 系統管理員、系統平安員和審計員的平安屬性應通過相互標記形成制 約關系。9.2.2.2 訪問控制應根據數據庫特點和要求，實現不同粒度的訪問控制。這些特點主要是：1) 數據以特定結構格式存放，客體的粒度可以是：關系數據庫的表、 視圖、元組(記錄)、列(字段)、元素(每個

17、元組的字段) 、日志、 片段、分區、快照、約束和規那么、DBMS核心代碼、用戶應用程序、 存儲過程、觸發器、各種訪問接口等；2) 數據庫系統有完整定義的訪問操作；3) 數據庫是數據與邏輯的統一，數據庫中不僅存放了數據，還存放了 大量的用于管理和使用這些數據的程序， 這些程序和數據同樣需要 進行保護，以防止未授權的使用、篡改、增加或破壞；4) 數據量大、客體豐富是數據庫的又一特點，考慮到性能和代價，應 對于不同客體給予不同程度的保護，如對敏感字段加密，對敏感表 建立視圖等。5) 數據庫系統具有數據生命周期長、用戶分散、組成復雜等特點，要 求長期的平安保護；6) 數據庫中的三級結構(物理結構、邏輯

18、結構、概念模型結構)和兩 種數據獨立性(物理獨立性、邏輯獨立性)大大減輕數據庫應用程 序的維護工作量， 但是由于不同的邏輯結構可能對應于相同的物理 結構，給訪問控制帶來新的問題，應對訪問規那么進行一致性檢查；7) 數據庫管理系統的訪問控制是在 OS 之上實現的，考慮到效率因 素，數據庫管理系統的訪問控制應在外層實現；8) 數據庫系統中客體具有相互聯系的特點，這些“聯系本身也是一 種非常有效的信息，防止未授權用戶獲得或利用這些“聯系 ，需 要進行“推理控制；9) 分布式數據庫管理系統中，全局應用的訪問控制應在全局 DBMS 層實現，局部應用的訪問控制應在局部 DBMS 層實現，并根據需 要各自選

19、擇不同的訪問控制策略；10)9.2.2.3 自主訪問控制1) 訪問操作應由數據庫子語言定義，并與數據一起存放在數據字典中。對任何 SQL 對 象進行操作應有明確的權限許可， 并且權限隨著操作和對象的變化而變化， 平安 系統應有能力判斷這種權限許可。操作與對象緊密相聯，即把“操作+對象作為一個授權。2) 訪問規那么應以訪問控制表或訪問矩陣的形式表示， 并通過執行相應的訪問控制程序實 現。每當執行 SQL 語句、有訪問要求出現時，通過調用相應的訪問控制程序， 實現對訪問要求的控制。3) 授權傳播限制應限制具有某一權限的用戶將該權限傳給其他用戶。 當一個用戶被授予某權 限，同時擁有將該權限授予其它用

20、戶的權力時， 該用戶就會擁有對該授權的傳播 權。為了增強數據庫系統的平安性，需要對授權傳播進行某些限制。9.2.2.4 強制訪問控制應采用確定的平安策略模型實現強制訪問控制。當前常用的平安策略模 型是多級平安模型。該模型將可信計算基平安控制范圍內的所有主、客體成 分通過標記方式設置平安屬性(等級和范疇) 。該模型并按由簡單保密性原那么 確定的規那么從下讀、向上寫，根據訪問者主體和被訪問者客體的平安屬 性，實現主、客體之間每次訪問的強制性控制。根據數據庫管理系統的運行 環境的不同，強制訪問控制分為：1) 在單一計算機系統上或網絡環境的多機系統上運行的單一數據庫管理系 統，訪問控制所需的平安屬性存

21、儲在統一的數據庫字典中， 使用單一的訪問規那么 實現；2) 在網絡環境的多機系統上運行的分布式數據庫系統， 全局應用的強制訪問控制應在 全局 DBMS 層實現，局域應用的強制訪問控制應在局部 DBMS 層實現。其所采用的訪問 規那么應是一致的。9.2.3 數據完整性9.2.3.1 實體完整性和參照完整性1) 數據庫管理系統應確保數據庫中的數據具有實體完整性和參照完整性。關系 之間的參照完整性規那么是“連接關系運算正確執行的前提。2) 用戶定義根本表時，應說明主鍵、外鍵，被引用表、列和引用行為。當數據 錄入、更新、刪除時，由數據庫管理系統應根據說明自動維護實體完整性和參照 完整性。9.2.3.2

22、 用戶定義完整性1) 數據庫管理系統應提供支持用戶定義完整性的功能。系統應提供定義 和 檢查用戶定義完整性規那么的機制， 其目的是用統一的方式由系統處理， 而不是由 應用程序完成，從而不僅可以簡化應用程序，還提高了完整性保證的可靠性。2) 數據庫管理系統應支持為約束或斷言命名 (或提供默認名稱) ，定義檢查時間、 延遲模式或設置默認檢查時間和延遲模式，支持約束和斷言的撤消。9.2.3.3 數據操作的完整性數據操作的完整性約束為：1) 用戶定義根本表時應定義主鍵和外鍵；2) 對于候選鍵，應由用戶指明其唯一性；3) 對于外鍵，用戶應指明被引用關系和引用行為；4) 應由數據庫管理系統檢查對主鍵、外鍵

23、、候選鍵數據操作是否符合完整性要 求，不允許提交任何違反完整性的事務； 刪除或更新某元組時， 數據庫管理系統 應檢查該元組是否含有外鍵，假設有，應根據用戶預定義的引用行為進行刪除。9.2.4 數據庫平安審計數據庫管理系統的平安審計應：1) 建立獨立的平安審計系統；2) 定義與數據庫平安相關的審計事件；3) 設置專門的平安審計員；4) 設置專門用于存儲數據庫系統審計數據的平安審計庫；5) 提供適用于數據庫系統的平安審計設置、分析和查閱的工具。9.2.5 客體重用數據庫系統大量使用的動態資源，多由操作系統分配。實現客體平安重 用的操作系統和數據庫管理系統應滿足以下要求：? 數據庫管理系統提出資源分

24、配要求，如創立新庫，數據庫設備初始 化等，所得到的資源不應包含該客體以前的任何信息內容；? 數據庫管理系統提出資源索回要求，應確保這些資源中的全部信息 被去除；? 數據庫管理系統要求創立新的數據庫用戶進程，應確保分配給每個 進程的資源不包含殘留信息；數據庫管理系統應確保已經被刪除或被釋放的信息不再是可用的。9.2.6 數據庫可信恢復數據庫系統中的可信恢復具有特定含義，主要應包括：1) 確保能在確定不減弱保護的情況下啟動平安數據庫系統的 DBMS；2) 運行中發生故障或異常情況時，能夠在盡量短的時間內恢復到正確、一致、 有效的狀態，這個狀態對于系統運行是正常、平安的狀態，并且對于應用來 說是一個

25、真實、有意義的狀態；3) 數據庫系統可信恢復應由操作系統和數據庫系統共同支持；4) 與可信恢復相關的數據庫技術有：事務管理，日志，檢查點，備份，分布式 數據庫特殊處理。油田重要數據應用單位應按如下要求進行數據備份：1) 每個工作日結束后必須制作數據的備份， 數據應至少備份在兩種不同的介質 上并異地存放，保證系統發生故障時能夠快速恢復；2) 業務數據必須定期、完整、真實、準確地轉儲到不可更改的介質上，并要求 集中和異地保存；3) 備份的數據必須指定專人負責保管， 由數據庫技術人員按規定的方法同數據 保管員進行數據的交接。 交接后的備份數據應在指定的數據保管室或指定的 場所保管；4) 數據保管員必須對備份數據進行標準的登記管理 ;5) 備份數據不得更改；備份數據