基于事务级容侵数据库安全研究.docVIP

基于事务级容侵数据库安全研究 　　摘要：以数据库为基础的信息系统在政治、经济、军事及科研等各个领域得到广泛应用。数据库系统是信息系统中数据存储和处理的核心，一旦失效可能导致无法弥补的损失。事务级入侵容忍要解决的问题是在恶意事务被发现之前，保证由恶意事务造成的数据库损坏不会扩散，并在恶意事务被定位后及时修复损坏的数据，使系统在遭受攻击的情况下仍可正常运行，实现数据库的可用性、可生存性以及关键数据的机密性和完整性。 　　关键词：数据库安全；入侵检测；入侵容忍技术 　　DOIDOI：10.11907/rjdk.161013 　　中图分类号：TP309 　　文献标识码：A 文章编号：1672-7800（2016）005-0182-03 　　0 引言 　　数据库安全研究的基本目标是如何利用信息安全及密码学技术，实现数据库内容的机密性、完整性与可用性，防止非授权的信息泄露、 内容篡改以及拒绝服务[1]。传统的数据库安全技术，重点在于防御攻击或入侵，主要采用防火墙、访问控制、入侵检测、认证、加密等技术手段，将非法用户隔绝在外，这些防御措施并不能解决所有的入侵问题，特别是来自组织内部的攻击和入侵。因此，在防御失败的情况下，如何保障数据库系统的可生存性及抗毁能力，使系统在受攻击后仍然可以为合法用户提供不间断的服务，成为数据库安全的一个关键问题。入侵容忍系统的出现，使数据库系统具有弹性，能承受一定限度的攻击，且具备自诊断、修复和重构的能力，能够利用不可信的数据库管理系统构建可信的数据库应用系统，为上述问题提供了很好的解决方案。 　　据统计，在以往的数据库入侵事件中，事务级入侵发生频率最高，至少50%的入侵来自系统内部[2]。这些入侵者往往拥有（或盗用了）合法的用户身份和权限，通过运行包含恶意操作的数据库事务来实施攻击，而且攻击操作一般不会严重地偏离预期行为，也不会遵循某种固定的攻击模式，因此隐蔽性很强，难以防范。此外，还有一部分来自网络的攻击者，往往利用密码嗅探或会话骑劫等手段窃取或伪装成合法的身份及权限欺骗服务器，从事恶意活动。针对这一现状，本文主要探讨基于事务级入侵容忍的数据库安全解决方案。必须关注的一点是，该系统必须由硬件层、操作系统层、DBMS层和事务层的各个层面全方位地抵御入侵，唯有在其它各个层面均获得有效安全保证的大背景下，事务级入侵容忍方可真正实现。 　　1 入侵容忍 　　入侵容忍概念最早由J.Fraga等人于1985年提出。近年来，在入侵容忍技术领域，对于构建方法、实现原理、体系结构、入侵容忍协议及分析方法等研究越来越多，国外比较有代表性的项目或原型系统主要有：SITAR、MAFTIA、ITUA、ITTC、ITDB 、Phoenix、Blastema。国内入侵容忍研究主要有：系统建模方面的基于表决的分布式入侵容忍系统模型[3]、一种具有自律特征的入侵容忍系统模型[4]等，性能评估方面的自律入侵容忍系统模型构建与量化分析[5]、入侵容忍实时数据库的半马尔可夫生存能力评价[6]、基于表决的分布式入侵容忍系统模型及量化分析[7]等，实现技术方面的基于概率的入侵容忍系统表决机制设计[8]、可证安全的入侵容忍签名方案[9]、一种面向虚拟计算环境的入侵容忍方法[10]等。 　　入侵容忍技术是一种结合了密码和容错两大技术的全新网络安全技术。在所保护系统的一系列组件出现错误的情况下，尽可能地保障系统重要信息和服务的全面性和可使用性[11]，从而有效处理入侵检测系统误报警高、延时长、自适应性差及有效跟踪分析缺乏的问题。常用技术包括冗余技术、门限方案技术、间接访问技术和系统重构技术。作为网络信安保护之中的最终防线，其设计目的重点在4个方面：①保障系统的安全稳定运作；②确保系统服务的有效性；③确保服务器之中有关数据的保密性；④确保相关数据信息的完整性。这必须有对应的安全机制作为保障，具体包括：安全通信机制、入侵检测机制、入侵遏制机制和错误处理机制。根据解决思路的不同，入侵容忍可分为基于攻击屏蔽的入侵容忍和基于攻击响应的入侵容忍[12]。基于攻击屏蔽的入侵容忍，需要依靠系统设计时所预先采取的安全措施，基本思维是基于资源冗余措施并加强设计的多样性，从而提升入侵所需付出的代价，提高复杂度，增强系统弹性。通过可疑事务隔离、增加间接层、结构重配等一系列方式来加以隔离、更换受损组件，从而制约入侵，避免入侵问题再度扩大。后者需要通过对入侵的检测和响应来实现入侵容忍，总体思维是在系统中创建反应式响应、前瞻式响应及适应式响应等一系列响应机制，当发现系统遭受入侵时，入侵检测机制会立即实施相应措施，从而协助系统有效地处理入侵所产生的问题，保证系统正确工作。较之于入侵检测有一定差异的是，该系统不仅可以检测当前已经了解的、已经明确定义的入侵活动，还能在系