数据库系统之推理安全测评研究.pdfVIP

数据库系统之推理安全测评研究 陈文放 周学锋 解放军信息安全测评认证中心 各国政府和军队等重要部门为了提高霪大决 时可以从一组统计数据推导出来。数据库管理系统 策的科学性和准确性，都要利用存储在计算机数据 必须防止用户访问或推导出微数据。下边举例说明 库内的大量信息。由于数据库中有大量的秘密和敏 统计数据库中的推理安全问题： 感信息，它是有各种动机的人攻击和窃取信息的主 要目标。因此，确保数据库安全是军队整个信息安 全保密工作的关键之一。 这个关系是人口统计数据库的一个关系。PERSON 在进行安全数据库管理系统的测评过程中，我 关系上的每个选择条件确定一个人的子集合。例 们发现一个普遍性存在的问题即推理安全问题。国 如，条件“SEX=‘M”确定了由男人组成的子集 内对这个问题都不怎么重视，但其危害性是相当大 的。美军1985年就发布了《可信计算机系统评估 准贝U)(Trusmd evMuafioncriteria，为硕士或博士的女人组成的子集合。 computersystem DOD 人口统计数据库只允许用户把统计函数应用 5200．28一STD，简称TCSEC)，但直到1996 年才有关于数据库推理安全的技术报告问世，可见 于某个子集合，不允许用户存取任何个人的详细信 他们对这个问题的认识也经历了一个相当长的过 息。例如，我们可以获得一个子集合的人数和平均 程。一般地说，数据库的安全性是指保护数据库以 收入，但不能存取某个人的收入。为了防止对个人 防止不合法的使用所造成的数据泄露、更改或破 详细数据的存取，可以通过禁止用户存取关系的属 坏。数据库的安全性主要包括完整性、保密性和可 性值、只允许用户执行统计查询来实现。统计查询 用性。数据库推理安全性指防止合法用户通过推理 得到非授权信息，它属于保密性问题，与完整性、 StandardDeviation等统计聚集函数。 可用性无关。这也与1991年4月美国国家计算机 只允许用户执行统计查询还不能完全保证统 安全中心(简称NCSC)颁布的《可信计算机系统计数据库的安全性。在某些情况下，用户可以根据 评估标准关于可信数据库系统的解释》(Trusted一下列查询的统计结果推导出微数据。当满足查询 Database Interpretation，简称TDI)相符。条件的元组个数较少时，微数据很容易被推导出 来。看下面的统计查询模式： 1一个实例 PERSON Count(·)FROM QI：SELECT 推理安全性问题在统计数据库中表现得犹为 WHEI乇Econdition 突出。我们知道，统计数据库中的数据分为两类。 Q2：SELECT 一类是微数据，即描述现实世界的实体、概念或事 PERSON 件的数据。另一类是统计或综合数据，即对微数据 WHEREcondition 进行综合处理而得到的结果数据。例如，在人口统 假定已知李红(女)获博士学位且住在北京市 计数据库中，微数据是每个人的详细信息，统计数 的西城区。现在想要违规地查出李红的SALARY 据包括关于不同性别、不同收入级别、不同教育级 植，可以用如