OpenBASE审计系统原型和审计服务器的实现技术.pdfVIP

OpenBASB审计系统原型与审计服务器的实现技术 孙超彭成宝张谊岩张霞 10006) (东北大学软件中心数据库系统部沈阳1 摘要本文介绍了数据库管理系统0penB^sE安全达到c2级时审计系统的原型和审计的内 容．重点就审计服务器实现过程中遇到的关键技术问题提出了解决的方案。 一前言 随着计算机在社会各个领域的广泛应用，信息系统中的数据库管理系统担负着储存和健 理信息的使命。因为对信息系统的攻击，包括：对数据库系统的额繁攻击；对数据库中信息 的窃取、篡改和破坏；计算机病毒、特洛伊木马等对数据库系统的渗透、攻击部严重地危j# 着信息系统的安全性。所以．为了适应现代社会信息处理的要求．保证政府、金融及国防4争 要害部门中信息的安全．数据库管理系统的安全性就显得尤为重要。 目前，尽管存在着许客的计算机安全评估标准，但比较有权威的当推19踮年t2月珈 c¨I】Ilter crit打in)．即¨I 日美国国防部公布的TcsEc【Trustedsyst口Evaluation 信计算机系统评估准则》．又称拮皮书。在此基础上．荑国国家计算机安全中心{Ⅻ’÷、I‘ 、atio¨al(：∞putersuritvfⅫter)于1H91年发布了T(jsEf扩展到数据库管理乐统l}勺 Datilb∞e 1nInrustPdII·tPrI)retation)，即可信数据库解释．它定义了数据库管理系统1lf】 设计与实现中需要满足和用以进行安全性级别评估的标准。在Tcs日f’中．将可信系统划分勺 四类匕个等级，即D．c【细分为C1。c2两个等级)，B(细分为叭，B2，B：{三个等级)和、 类【^l是目前已制定的规范中最高的一缎)，每一类部代表一个保护敏感信息的评判准91{|． 并且一类比一类严格．A类是级别最高的一粪。 审计是安全数据库中的关键问题，是安全级别达到c2级以上的数据库的必备特征+当 server等均为实现数据库安全管理提 今比较流行的数据库产品如oracle、syhase和sqL 供丁审计机制．为实现数据库应用系统的安全管理提供了良好的支持。 本文介绍了数据库安全管理系统0peI、B^sEc2级中审计系统的原型设计．并就审计服吾 器实现过程中遇到的关键技术问题提出了解决的方案。 二openB^sE审计系统的原型 1．审计简介 广义上讲．审计是～个集合和对该集合的再检查．该集合是以文件的形式记录了乐统’电 用情况的历史．目的在于验证系统的完整性和工作的有效性． 数据库审计是对涉及数据库系统安全的用户操作过程做一个完整的记录。其目的是为’蕾 全管理员提供一组可进行分析的、便于管理的详细数据，由此来发现对数据库进行的各种懈 作． 数据库审计跟踪表是对数据库中以往的数据库活动进行i己录豹结果。它在审计过程中J2 生．审计之后被使用。在数据库管理系统中，通过审计跟踪记录的信息可以在事后分析和耋 22 现针对数据库的活动．即谁在什么时候什么地方对什么对象进行了什么操作等。其中包括r 对违法事件的记录．困此，审计除了提供事后分析的作用外．特别具备一种成慑作用。 在具备安全审计功能的op∞B^sE中．除了数据库原有的角色不变外．又新增了敦据库 安全管理员(DBss(1)和审计员(A【】DITOR)遮两种角色，作为数据库审计的使用对象。 2．0penBAsE审计的体系结构 o”11B^sE的审计体系结构如图l所示．它主要由审计服务器、审计分析工具和通讯等模 块组成。而NsQL解释器与Ns扎编译器则是open卧sE固有的．只是稍微进行了修改。 图l审计实现体系结构 · 用户接口模块： “旷I·l{^sE数据库审计的用户接口是审计sql．语句．在任何其他可以使用∽L语句的地 方部可以使用审计sqL语句，包括审计蛐L语句的静态和动态执行。 · 审计设置模块 实现审计选项的建立和删除．井将审计设置存储在数据库的数据字典中．． · 审计服务器：