1、數(shù)據(jù)庫系統(tǒng)的安全機(jī)制數(shù)據(jù)庫系統(tǒng)的安全機(jī)制是用于實現(xiàn)數(shù)據(jù)庫的各種安全策略的功能集 合，正是由這些安全機(jī)制來實現(xiàn)安全模型，進(jìn)而實現(xiàn)保護(hù)數(shù)據(jù)庫 系統(tǒng)安 全的目標(biāo)。保證數(shù)據(jù)庫安全的安全機(jī)制一般包括：用戶的標(biāo)識 與鑒別、 存取控制、數(shù)據(jù)庫加密、推理控制和審計跟蹤等。近年來，對用戶的標(biāo) 識與鑒別、存取控制、數(shù)據(jù)庫加密及推理控制等安全機(jī)制的研究取得了 不少新的進(jìn)展。（一）用戶標(biāo)識與鑒別用戶標(biāo)識與鑒別是安全系統(tǒng)的第一道防線，以防止非法用戶訪 問系 統(tǒng)。用戶身份標(biāo)識與鑒別是數(shù)據(jù)庫管理系統(tǒng)對訪問者授權(quán)的前 提，數(shù)據(jù) 庫系統(tǒng)必須建立嚴(yán)格的用戶標(biāo)識與鑒別機(jī)制。用戶標(biāo)識是指 用戶向系統(tǒng) 出示自己的身份證明，最簡單的方法

2、是輸入用戶ID和密碼，系統(tǒng)驗證其是否合法。標(biāo)識機(jī)制用于唯一標(biāo)志進(jìn)入系統(tǒng)的每個用戶 的身份，因此必須保證用戶身份的唯一性。鑒別是指系統(tǒng)檢查驗證用戶 的身份證明，用于檢驗用戶身份的合法性。標(biāo)識和鑒別功能保證了只有 合法的用戶才能訪問系統(tǒng)中的資源。由于數(shù)據(jù)庫用戶的安全等級是不同的，因此分配給他們的權(quán)限也是 不一樣的，數(shù)據(jù)庫系統(tǒng)必須建立嚴(yán)格的用戶認(rèn)證機(jī)制。身份的標(biāo)識和鑒 別是DBMS對訪問者授權(quán)的前提，并且通過審計機(jī)制使DBMS保留追究用 戶行為責(zé)任的能力。功能完善的標(biāo)識與鑒別機(jī)制也是訪問控制機(jī)制有效 實施的基礎(chǔ)，倚別是在一個開放的多用戶系統(tǒng)的網(wǎng)絡(luò)環(huán)境中，識別與鑒 別用戶是構(gòu)筑DBMS安全防線的第一個

3、重要環(huán)節(jié)。近年來標(biāo)識與鑒別技術(shù)發(fā)展迅速，一些實體認(rèn)證的新技術(shù)在數(shù) 據(jù)庫系統(tǒng)中得到應(yīng)用。目前，常用的方法有口令認(rèn)證、數(shù)字正書認(rèn)證、 智能卡認(rèn)證和個人特征識別等。(二) 存取控制數(shù)據(jù)庫中存放著許多數(shù)據(jù)，也有很多不同的用戶。實際上，大多數(shù)用戶只需要訪問數(shù)據(jù)庫中的一部分?jǐn)?shù)據(jù)，允許用戶對所有數(shù)據(jù)無 限 制地訪問是不安全的，因此DEMS應(yīng)提供一種機(jī)制來控制用戶對數(shù)據(jù)的訪 問。存取控制的目的是確保用戶對數(shù)據(jù)庫只能進(jìn)行經(jīng)過授權(quán)的有尖操 作，防止非法用戶進(jìn)入系統(tǒng)以及合法用戶對系統(tǒng)資源的非法使用。存取控制機(jī)制主要包括兩部分：(1) 定義用戶權(quán)限，并將用戶權(quán)限登記到數(shù)據(jù)字典中。用戶對某一數(shù)據(jù)對象的操作權(quán)利稱為權(quán)限。

4、某個用戶應(yīng)該具有何種權(quán)限是管理和政策問題而不是技術(shù)問題，DBMS的功能是保證這些決 定的執(zhí)行。為此DBMS必須提供適當(dāng)?shù)恼Z言來定義用戶權(quán)限，這 些定義 經(jīng)過編譯后存放在數(shù)據(jù)字典中，被稱為安全規(guī)則或授權(quán)規(guī)則。(2) 合法權(quán)限檢查。每當(dāng)用戶發(fā)出存取數(shù)據(jù)庫的操作請求后(請求一般應(yīng)包括操作類型、操作對象和操作用戶等信息)，DBMS查找數(shù)據(jù)字典，根據(jù)安全規(guī)則 進(jìn)行合法權(quán)限檢查，若用戶的操作請求超出了定義的權(quán)限，系統(tǒng)將拒絕 執(zhí)行此項操作。用戶權(quán)限定義和合法權(quán)限檢查機(jī)制一起組成了DBMS的安全子系統(tǒng)在存取控制機(jī)制中，一般把被訪問的資源，如數(shù)據(jù)、表、記錄、元 組、字段等稱為“客體”，把以用戶名義進(jìn)行資源訪問的

5、進(jìn)程、事 務(wù)等 實體稱為“主體”。（三）視圖機(jī)制視圖機(jī)制是指為不同的用戶定義不同的視圖，把數(shù)據(jù)對象限制 在一 定的范圍內(nèi)，從而限制各個用戶的訪問范圍。通過視圖機(jī)制把要 保護(hù)的 數(shù)據(jù)對無權(quán)存取的用戶隱藏起來，從而自動地對數(shù)據(jù)提供一定 程度的安 全保護(hù)。例如數(shù)據(jù)庫中的某個表（如“部門”表）涉及20個部門的職工 信息，可以在其上定義20個視圖，每個視圖只包含一個部門的職工信 息，并只允許每個部門的領(lǐng)導(dǎo)查詢和修改本部門的有尖職工信息的視 圖。但是視圖機(jī)制的安全性保護(hù)不太精細(xì)，往往不能達(dá)到應(yīng)用系統(tǒng) 的要求，其主要功能在于提供了數(shù)據(jù)庫的邏輯獨(dú)立性。在實際應(yīng)用中， 通常將視圖機(jī)制與授權(quán)機(jī)制結(jié)合起來使用，首先

6、用視圖機(jī)制屏蔽一部分 保密數(shù)據(jù)，然后在視圖機(jī)制上進(jìn)一步定義存取權(quán)限。（四）數(shù)據(jù)庫審計數(shù)據(jù)庫審計足指監(jiān)視和記錄用戶對數(shù)據(jù)庫所施加的各種操作的機(jī) 制。按照美國國防部標(biāo)準(zhǔn)中尖于安全策略的要求， 審計功能是數(shù)據(jù) 庫系統(tǒng)達(dá)到C2以上安全級別必不可少的一項指標(biāo)。審計功能自動記錄用戶對數(shù)據(jù)庫的所有操作，并且存入審計日志。 事后可以利用這些信息重現(xiàn)導(dǎo)致數(shù)據(jù)庫現(xiàn)有狀況的一系列事件， 提供分析攻擊者線索的依據(jù)。與前面介紹的保證數(shù)據(jù)庫安全的阻止技 術(shù)不同，通過審計技術(shù)數(shù)據(jù)庫管理員可以利用審計跟蹤的信息， 找出 非法存取數(shù)據(jù)的人、時間和內(nèi)容等，發(fā)現(xiàn)擁有合法權(quán)限的用戶的不合法 操作，這是阻止技術(shù)做不到的。審計的策略庫一

7、般由兩個方面因素構(gòu)成，即數(shù)據(jù)庫本身可選的審計 規(guī)則和管理員設(shè)計的觸發(fā)策略機(jī)制。當(dāng)這些審計規(guī)則或策略機(jī)制一旦被 觸發(fā)，則將引起相尖的表操作。這些表可能是數(shù)據(jù)庫自定義的，也可能 是管理員另外定義的，最終這些審計的操作都將被記錄在特定的表中以 備查證。一般地，將審計跟蹤和數(shù)據(jù)庫日志記錄結(jié)合起來，會達(dá)到更好 的安全審計效果。對于審計粒度與審計對象的選擇，需要考慮系統(tǒng)運(yùn)行效率與存 儲空 間消耗的問題。為了達(dá)到審計目的，一般必須審計到對數(shù)據(jù)庫記 錄與字 段一級的訪聞。但這種小粒度的審計需要消耗大量的存儲空間，同時使 系統(tǒng)的響應(yīng)速度降低，給系統(tǒng)運(yùn)行效率帶來影響。審計通常是很費(fèi)時間和空間的，所以DBMS往往都

8、將其作為可選特 征，允許DBA根據(jù)應(yīng)用對安全性的要求，靈活地打開或尖閉。審計功能 一般主要用于安全性要求較高的部門。（五）數(shù)據(jù)庫加密對于高度敏感性數(shù)據(jù)，例如財務(wù)數(shù)據(jù)、軍事數(shù)據(jù)、國家機(jī)密數(shù)據(jù) 等，除了以上安全性措施以外，還可以采用數(shù)據(jù)加密技術(shù)。一方面，由于數(shù)據(jù)庫在操作系統(tǒng)中以文件形式管理，所以入侵者可以直接利用操作系統(tǒng)的漏洞竊取數(shù)據(jù)庫文件，或者篡改數(shù)據(jù)庫文件內(nèi)容。另一方面，數(shù)據(jù)庫管理員可以任意訪問所有數(shù)據(jù)，往往超出了其職責(zé)范圍，同樣造成安全隱患。因此，數(shù)據(jù)庫的保密問題不僅包 括在 傳輸過程中采用加密保護(hù)和控制非法訪問，還包括對存儲的敏感數(shù)據(jù)進(jìn) 行加密保護(hù)，使得即使數(shù)據(jù)不幸泄露或者丟失，也難以造成泄密。同 時，數(shù)據(jù)庫加密可以由用戶用自己的密鑰加密自己的敏感信息，而不需 要了解數(shù)據(jù)內(nèi)容的數(shù)據(jù)庫管理員無法進(jìn)行正常解密，從而可以實現(xiàn)個性化的用戶隱私保護(hù)。目前有些數(shù)據(jù)庫產(chǎn)品提供了數(shù)據(jù)加密例行程序，可根據(jù)用戶的要求 自動對存儲和傳輸?shù)臄?shù)據(jù)進(jìn)行加密