電子商務中多級別安全數據庫模型設計

龔利，史楊 （鄖陽師范高等專科學校計算機科學系，湖北 十堰442000）

孫紅 （長江大學計算機科學學院，湖北 荊州434023）

數據庫系統中存儲著大量系統數據，是信息的聚集體，是計算機信息系統的核心部分。隨著電子商務技術的發展，越來越多的企業、商業、政府、金融等機構和部門將自己的數據庫連接到Internet上。數據庫安全在業界已經成為非常重要的方面。計算機軟件和硬件故障以及越來越多的非法入侵，造成數據庫系統不能正常工作，導致大量的數據和信息破壞，情況嚴重的甚至可能造成數據庫系統崩潰等后果。如何最大限度的保證數據庫系統的安全，實現數據的完整性、機密性和有效性，已經成為電子商務領域的技術探索重要的熱門的研究領域。在目前的電子商務系統中，數據庫安全結構主要采用入侵檢測系統和入侵容忍結構，要維護數據庫系統的安全，既要靠訪問控制，還需要綜合運用入侵檢測、防病毒、加密和解密、網絡監聽等技術。為此，筆者通過對入侵檢測系統和入侵容忍結構特點的分析，提出了多級安全數據庫模型。

1 數據庫系統安全及防范手段

數據庫系統信息的完整性、保密性和可用性是針對信息安全的3個目標［1－4］。數據庫系統的安全主要取決于以下3個屬性：數據的完整性、機密性和可用性。數據庫安全定義可以描述為以下幾個方面：保護數據庫中數據以防止對數據的非法存取或惡意破壞，防范非法用戶和非法操作；保證數據庫中數據的完整性，保證數據的正確性和相容性，防范不合語義的數據；保證數據庫中數據的一致性以及數據庫備份與恢復。電子商務系統是一種開放式的信息網絡系統，數據庫系統的安全有其自身的敏感性及其問題的深層性。數據庫系統一般需要對數據共享，操作系統并沒有對數據庫的安全設定特定的保護措施，數據庫系統將成為入侵者的焦點，威脅數據庫系統的安全性主要體現在：軟件沒有對關鍵數據庫文件進行加密，如缺少加密狗，硬件保護；入侵者非法存取、篡改數據庫文件；授權用戶設置了不安全的防護策略；管理員復制或泄漏機密的、敏感的數據系統信息。

數據庫系統安全是一個動態的、集成的系統工程。數據庫系統安全研究的重點應該為如何保護數據庫信息的完整性、機密性和有效性。目前防范的主要技術為入侵檢測、訪問控制、身份驗證、防火墻、加密等。

訪問控制是指對用戶、防火墻、身份鑒別與認證、存取權限和數據庫系統等方面進行跟蹤模塊設計。對系統的登錄嘗試、系統異常關閉及重啟等事件分析，以便采取相應的措施，訪問控制跟蹤模塊流程如圖1所示。

圖1 數據庫訪問控制模型

2 數據庫的入侵和防范

引入入侵檢測機制能有效地偵測入侵行為，提醒管理員及時發現入侵并恢復對主機的控制權，及時發現安全漏洞，增強安全性。

2.1 入侵檢測及其模型

入侵檢測這一功能十分類似于人體免疫系統，可以使入侵檢測系統獲得許多理想的特性，如分布性、魯棒性、自適應、靈活性和可擴展性等。從功能角度來分，入侵檢測系統模型可分為檢測模塊、監控模塊、響應模塊和控制中心4大模塊，如圖2所示。

入侵檢測技術本身對數據的安全性并沒有改善，其大多只能檢測出已知的、定義好的入侵行為。如果攻擊者在被偵測到之前就已經成功地控制了主機，仍然可能將秘密竊取走。

圖2 入侵檢測系統模型結構

2.2 入侵容忍系統和三級安全結構模型

入侵事件下入侵容忍系統一般有自我診斷、修復和重建。入侵容忍數據庫系統體系結構如圖3所示。

1）入侵檢測模塊。實時監控、分析數據庫系統中的會話、事務，盡早發現惡意事務。

2）破壞評估模塊。對于檢測出來的惡意事務，就會立刻發送警報到修復破壞管理器模塊，破壞評估器模塊會搜尋到破壞的位置。

3）修復破壞模塊。及時修復好由惡意事務造成的破壞。

實現入侵容忍數據庫安全架構的策略是：在系統結構中引入一些冗余度，實現數據庫系統的生存能力和機密數據的安全。入侵容忍的數據庫安全體系結構主要由外層、中間層和內層等3層構建。首先外層功能是防御，其主要防御策略有：身份認證、訪問控制、數據加密、消息過濾、功能隔離、防火墻等；其次是中間層，其功能為入侵檢測。入侵檢測系統隨時監控系統運行，分析系統日志文件和應用程序日志文件，并積極識別確定攻擊造成的后果；最后是內層，其功能為入侵容忍，該層主要在入侵時考驗系統生存能力，保證系統的安全性和健壯性。

圖3 入侵容忍數據庫體系結構

3 多級數據庫安全模型

通過上述對入侵檢測系統和入侵容忍結構特點的分析，筆者提出了多級數據庫安全模型的設想，將整體安全系統劃分為n個級別，每個級別的系統又可劃分為幾個等同的基本單元體，模型如圖4所示。對于數據庫系統基本單元只能存在2種狀態，可用狀態u（unbroken）與損壞狀態b（broken）。取4個方塊組成單元方陣，破壞概率P2可以由其構成的每個方塊的破壞概率P1計算得出。記陰影單元為b狀態，空白單元為u狀態。在圖4中，若新的單元若從左到右可以用b狀態連通則記為該單元整體為b狀態，用“＋”作為下標注；否則記為u狀態，用“－”作為下標注。給出了由a、b、c、d、e構成的新一級單元的破壞概率：

圖4 安全破壞的演化

當這種檢測機制進一步放大時，可以求得第n級單元的生存狀態Pn與第n＋1級單元的生存狀態Pn＋1之間的關系：

從圖4安全破壞的演化模型可知，只有入侵行為打入到內層時才會對系統構成危害。圖5顯示，系統整體破壞與系統內部b狀態單元之間存在一個突變相點Pc。在臨界點Pc附近，單元體的個性處于次要地位，共性顯得尤為突出，此時面臨的系統崩潰。通過第n級單元的生存狀態Pn與第n＋1級單元的生存狀態Pn＋1之間的關系，可以看到多種級安全模式下系統的破壞概率和前一級的生存狀態是緊密相關的，在這種模式下，針對每種級別的進行入侵檢測，則可以大大的提高系統的安全性能。

圖5 系統破壞演化

4 結語

數據庫系統的安全維護，在整個信息安全體系中非常重要。詳細介紹了計算機數據庫安全概念和重要性，同時分析了入侵檢測系統和容忍入侵結構特點，并提出了多級別安全數據安全的設想以保證數據庫安全。

［1］ 周樸雄 .訪問控制在數據庫安全系統中的應用 ［J］.中國圖書館學報，2004，30（151）：57－60.

［2］ 朱建明，馬建峰 .基于入侵容忍的數據庫安全體系機構 ［J］.西安電子科技大學學報，2003，30（1）：85－89.

［3］ 柯偉，孫玉梅，沙學軍 .基于多極入侵容忍的數據庫安全體系結構 ［J］.計算機工程，2006，32（8）：176－178.

［4］ 于堂輝，夢麗蓉，徐盛強 .入侵容忍技術在數據庫系統中的應用 ［J］.西安電子科技大學學報，2006，27（15）：2894－2896.