數據庫自主安全防護技術(shù)的研究與實(shí)現

近年來(lái)，有關(guān)數據庫的安全事故不斷出現，例如銀行內部數據信息泄露造成的賬戶(hù)資金失密等。因此，高度重視數據庫安全防護很有必要。但一直以來(lái)，國內數據庫產(chǎn)業(yè)化發(fā)展緩慢，市場(chǎng)份額中較大一部分被國外大型數據庫企業(yè)占有。這對于國內用戶(hù)而言，信息的安全性、穩定性等方面都會(huì )受到威脅。有的系統涉及使用多個(gè)數據庫，并且對每個(gè)數據庫的安防功能要求各不相同。這樣，在保障整個(gè)系統安全的目標下就需要對每個(gè)數據庫進(jìn)行專(zhuān)門(mén)配置管理，不但維護難度很大，而且工作也比較繁重。面對這些實(shí)際問(wèn)題，目前的數據庫系統自帶的安全防護配置方式已不能勝任,如何提出一個(gè)靈活獨立的安全防護系統迫在眉睫。
1 相關(guān)安全防護技術(shù)介紹
目前，數據庫系統面臨的主要威脅有：(1)對數據庫的不正確訪(fǎng)問(wèn)引起數據庫數據的錯誤。(2)為了某種目的，故意破壞數據庫。(3)非法訪(fǎng)問(wèn)不該訪(fǎng)問(wèn)的信息，且又不留痕跡；未經(jīng)授權非法修改數據。(4)使用各種技術(shù)攻擊數據庫等。多年來(lái)，人們在理論和實(shí)踐上對數據庫系統安全的研究做出了巨大的努力，也取得了很多成果。參考文獻[1-2]介紹了保護數據庫安全的常用技術(shù)，包括：存取管理技術(shù)、安全管理技術(shù)、以及數據庫加密技術(shù)，并給出了一些實(shí)現途徑。其中，訪(fǎng)問(wèn)控制和安全審計作為數據庫安全的主要保障措施受到了人們廣泛關(guān)注，參考文獻[3]對訪(fǎng)問(wèn)控制技術(shù)中的基本策略進(jìn)行了總結，給出了實(shí)現技術(shù)及各自的優(yōu)缺點(diǎn)。參考文獻[4]主要針對權限建模過(guò)程中的權限粒度問(wèn)題做了分析，并提出一個(gè)基于角色的訪(fǎng)問(wèn)控制框架。進(jìn)入21世紀以后，訪(fǎng)問(wèn)控制模型的研究重點(diǎn)開(kāi)始逐漸由集中式封閉環(huán)境轉向開(kāi)放式網(wǎng)絡(luò )環(huán)境，一方面結合不同的應用，對原有傳統模型做改進(jìn)，另一方面，也提出一些新的訪(fǎng)問(wèn)控制技術(shù)和模型，比較著(zhù)名的有信任管理、數字版權管理和使用控制模型 [5]。審計通過(guò)對數據庫內活動(dòng)的記錄和分析來(lái)發(fā)現異常并產(chǎn)生報警的方式來(lái)加強數據庫的安全性[6]。目前，在我國使用的商品化關(guān)系數據庫管理系統大都提供了C2級的審計保護功能，但實(shí)現方式和功能側重有所不同。周洪昊等人[7]分析了Oracle、SQL Server、DB2、Sybase的審計功能，分別從審計系統的獨立性、自我保護能力、全面性和查閱能力四個(gè)方面對審計功能做出改進(jìn)[7]。參考文獻[8]則針對審計信息冗余、審計配置方式死板以及數據統計分析能力不足等問(wèn)題，在數據庫系統已有的審計模塊基礎上，重新設計和實(shí)現了一種新型的數據庫安全審計系統。
　但所有的這些工作都是從數據庫系統的角度出發(fā)，并沒(méi)有從本質(zhì)上解決安全防護對數據庫系統的依賴(lài)性問(wèn)題，用戶(hù)還是很難對數據庫提供自主的安全防護功能。如果能將安全防護從數據庫管理系統中徹底獨立出來(lái)，針對不同的應用需求允許用戶(hù)自己實(shí)現安全防護功能模塊并在邏輯上加入到數據庫應用系統中，這樣問(wèn)題也就迎刃而解了。
通過(guò)以上分析，本文提出一種獨立于具體數據庫、可組態(tài)的安全防護模型，并給出具體的實(shí)現方法。該模型將安全防護從數據庫完全獨立出來(lái)，在多數據庫應用中實(shí)現集中配置安防，滿(mǎn)足用戶(hù)對于自主防護功能的需求。并在開(kāi)源的嵌入式數據庫產(chǎn)品SQLITE中做了功能測試，實(shí)驗結果表明，該模型切實(shí)可行，達到了預想的效果，既能實(shí)現對系統的保護，又大大提高了系統的靈活性。
2 自主安全防護系統的設計與實(shí)現
　自主安全防護系統DSS(Discretionary Safety System)的主要功能是阻止用戶(hù)對信息的非法訪(fǎng)問(wèn)，在可疑行為發(fā)生時(shí)自動(dòng)啟動(dòng)預設的告警流程，盡可能防范數據庫風(fēng)險的發(fā)生，在非法操作發(fā)生時(shí)，觸發(fā)事先設置好的防御策略，實(shí)行阻斷，實(shí)現主動(dòng)防御，并按照設置對所發(fā)生的操作進(jìn)行詳細記錄，以便事后的分析和追查。
2.1 系統結構
　在DSS中，安全管理員使用角色機制對用戶(hù)的權限進(jìn)行管理，通過(guò)制定安全策略來(lái)設置核心部件Sensor以及訪(fǎng)問(wèn)控制部件。核心部件Sensor偵聽(tīng)用戶(hù)的數據庫操作請求，采用命令映射表將不同的命令映射為系統識別的命令，提取出安全檢查所需要的信息，發(fā)送到訪(fǎng)問(wèn)控制模塊進(jìn)行安檢。安檢通過(guò)了則允許用戶(hù)訪(fǎng)問(wèn)數據庫，否則拒絕訪(fǎng)問(wèn)，同時(shí)根據審計規則生成記錄存入審計日志。DSS結構如圖1所示。

DSS作為獨立的功能模塊主要通過(guò)向Sensor提供數據庫的調用接口的方式保障對數據庫信息安全合理地訪(fǎng)問(wèn)。系統有一個(gè)默認的訪(fǎng)問(wèn)控制流程，用戶(hù)也可以自己設定安全策略，系統自動(dòng)生成相應訪(fǎng)問(wèn)控制流程。本文約定被訪(fǎng)問(wèn)的對象為客體，請求操作的用戶(hù)為主體，DSS訪(fǎng)問(wèn)控制流程如圖2所示。

2.2 系統實(shí)現
系統實(shí)現主要分為系統數據字典設計、用戶(hù)登錄與用戶(hù)管理、系統相關(guān)策略制定、偵聽(tīng)器（Sensor）的實(shí)現、訪(fǎng)問(wèn)控制以及日志審計六部分。原數據庫API信息（dll）、用戶(hù)的自主防護策略作為輸入，Sensor核心一方面將用戶(hù)的防護策略融合在原數據庫的API接口中，另一方面記錄用戶(hù)對數據庫的操作并生成日志，提供給用戶(hù)做審計。用戶(hù)在使用過(guò)程中不需要修改原有系統，即可實(shí)現自主防護。系統核心Sensor的結構如圖3所示。

Sensor由API處理模塊、訪(fǎng)問(wèn)控制模塊(Access Control)、Sensor核心模塊（Core）、注射模塊四部分組成。Core是Sensor的核心部件，主要負責攔截接口，解析并分離接口中的重要信息，使程序轉入自定義的安檢程序中執行安全檢查。Access Control組件實(shí)現不同級別的訪(fǎng)問(wèn)控制,根據用戶(hù)提供的安檢信息，組態(tài)出對應的安防模塊，并在合適的時(shí)候調用其進(jìn)行訪(fǎng)問(wèn)控制。API（dll）主要將數據庫系統提供的接口信息,轉化為dll以便Sensor偵聽(tīng)時(shí)使用。Inject/Eject為Sensor提供遠程注射的功能。
Core通過(guò)攔截對API的調用來(lái)實(shí)現定制功能。程序在調用API函數之前，首先要把API所在的動(dòng)態(tài)鏈接庫載入到程序中；然后將API函數的參數、返回地址（也就是函數執行完后，下一條語(yǔ)句的地址）、系統當前的環(huán)境（主要是一些寄存器的值）壓入系統調用棧；接著(zhù)，進(jìn)入到API函數的入口處開(kāi)始執行API函數，執行過(guò)程中從系統調用棧中取出參數，執行函數的功能，返回值存放在EAX寄存器中，最終從堆棧中取出函數的返回值并返回(參數壓棧的順序還要受到調用約定的控制，本文不詳細介紹）。
舉例說(shuō)明函數調用時(shí)堆棧的情況。假設調用約定采用_stdcall,堆棧由高向低遞減，API為Int func(int a, int b, int c)。系統調用棧的部分內容如表1所示。