數(shù)據(jù)庫(kù)監(jiān)管體制的實(shí)現(xiàn)方式

時(shí)間:2022-12-02 09:20:00

導(dǎo)語:數(shù)據(jù)庫(kù)監(jiān)管體制的實(shí)現(xiàn)方式一文來源于網(wǎng)友上傳,不代表本站觀點(diǎn),若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

數(shù)據(jù)庫(kù)監(jiān)管體制的實(shí)現(xiàn)方式

1.加固型安全數(shù)據(jù)庫(kù)管理系統(tǒng)在實(shí)現(xiàn)安全的數(shù)據(jù)庫(kù)管理系統(tǒng)時(shí),我們有時(shí)候把安全子系統(tǒng)作為一個(gè)獨(dú)立的設(shè)施加在已有數(shù)據(jù)庫(kù)管理系統(tǒng)之上,進(jìn)行MAC檢查,稱之為加固型安全數(shù)據(jù)庫(kù)系統(tǒng).這種實(shí)現(xiàn)方式可以把一個(gè)普通的數(shù)據(jù)庫(kù)管理系統(tǒng)不做較大的修改(甚至可以不知道源碼)就改造成安全的數(shù)據(jù)庫(kù)系統(tǒng).在考慮實(shí)現(xiàn)安全數(shù)據(jù)庫(kù)管理系統(tǒng)時(shí),一方面我國(guó)自行研制的數(shù)據(jù)庫(kù)管理系統(tǒng)本身還不夠成熟,另一方面現(xiàn)有的大型信息系統(tǒng)大多已經(jīng)使用了國(guó)外產(chǎn)品;同時(shí)我們?cè)谶M(jìn)口國(guó)外安全數(shù)據(jù)庫(kù)系統(tǒng)時(shí)受到諸多限制.因此我們以這種加固安全子系統(tǒng)方式來提升現(xiàn)有數(shù)據(jù)庫(kù)系統(tǒng)的安全性,實(shí)現(xiàn)安全數(shù)據(jù)庫(kù)系統(tǒng)非常有用.加固型的安全數(shù)據(jù)庫(kù)在實(shí)現(xiàn)上又有兩種方式,一種稱為服務(wù)器式,一種稱為內(nèi)核式.

1.1服務(wù)器式(采用安全服務(wù)器的安全數(shù)據(jù)庫(kù))在客戶段與數(shù)據(jù)庫(kù)服務(wù)器之間有一個(gè)安全服務(wù)器,這個(gè)安全服務(wù)器的功能是:a、標(biāo)注主、客體,修改相應(yīng)標(biāo)記,存儲(chǔ)相關(guān)標(biāo)記信息;b、分析服務(wù)請(qǐng)求(這主要是指語法分析,服務(wù)請(qǐng)求一般都是SQL語句),取得主客體及其標(biāo)記,進(jìn)行強(qiáng)制訪問控制檢查;c、可能的其他安全功能(如審計(jì)等).任何對(duì)數(shù)據(jù)庫(kù)的服務(wù)請(qǐng)求,包括數(shù)據(jù)庫(kù)管理等,都將被強(qiáng)制通過這個(gè)服務(wù)器,進(jìn)行強(qiáng)制訪問控制檢查.并且任何可能引起相關(guān)安全信息改變的請(qǐng)求都被分析,引起相應(yīng)的修改,如增加客體、刪除客體等,引起相應(yīng)客體的標(biāo)記的增刪.

1.2內(nèi)核式(內(nèi)核式加固型安全數(shù)據(jù)庫(kù))在數(shù)據(jù)庫(kù)管理系統(tǒng)之外包裝一個(gè)強(qiáng)制訪問控制部件,作為真正的接口對(duì)外提供服務(wù).在這個(gè)部件中主要模塊包括語法分析部分、強(qiáng)制訪問控制等,還包括可能的其他安全功能(如審計(jì)等),強(qiáng)制訪問控制部件位于對(duì)外接口和原數(shù)據(jù)庫(kù)之間,它接受來在于對(duì)外接口的全部請(qǐng)求;經(jīng)過強(qiáng)制訪問控制檢查后,或者交給原數(shù)據(jù)庫(kù)系統(tǒng)處理,或者拒絕服務(wù);并且任何請(qǐng)求都只能通過這種方式到達(dá)數(shù)據(jù)庫(kù)存取數(shù)據(jù).這個(gè)部件的功能與上述的安全服務(wù)器類似,只是在實(shí)現(xiàn)上需要做的工作更多,而結(jié)構(gòu)上則更緊湊.

2.自主型安全數(shù)據(jù)庫(kù)管理系統(tǒng)目前我們已經(jīng)發(fā)現(xiàn),以前從國(guó)外進(jìn)口的計(jì)算機(jī),從內(nèi)部編號(hào)到主板的內(nèi)藏信息,包括軟件的密碼,都存在著很多的泄密可能.由此我們不能忽視國(guó)外的主流關(guān)系數(shù)據(jù)庫(kù)產(chǎn)品潛在的安全隱患;另外國(guó)外成熟的安全技術(shù)和產(chǎn)品嚴(yán)格限制出口(目前在數(shù)據(jù)庫(kù)方面,美國(guó)最多允許C2級(jí)的產(chǎn)品出口到我國(guó)).這足以引起我們巨大的危機(jī)意識(shí):在強(qiáng)烈依賴信息技術(shù)的今天,千萬不能讓安全問題依賴于國(guó)外的技術(shù)產(chǎn)品上.

3.各種實(shí)現(xiàn)方式的比較上述幾種安全數(shù)據(jù)庫(kù)管理系統(tǒng)的實(shí)現(xiàn)方式,具有各自的特點(diǎn)和缺點(diǎn),適合于不同的實(shí)現(xiàn)基礎(chǔ)和要求.

a.加固型安全服務(wù)器式實(shí)現(xiàn)的安全數(shù)據(jù)庫(kù)系統(tǒng)結(jié)構(gòu)清晰、松散,易于添加與移去安全部件,其安全部件幾乎完全獨(dú)立于原數(shù)據(jù)庫(kù)管理系統(tǒng),無需任何其他部件的支持.實(shí)現(xiàn)時(shí)一般需要硬件的支持.這種系統(tǒng)一般針對(duì)具體應(yīng)用制定安全策略,并依此進(jìn)行管理和維護(hù).

b.加固型內(nèi)接式實(shí)現(xiàn)的安全數(shù)據(jù)庫(kù)系統(tǒng)結(jié)構(gòu)清晰,其安全部件與原數(shù)據(jù)庫(kù)管理系統(tǒng)相對(duì)獨(dú)立,實(shí)現(xiàn)后的數(shù)據(jù)庫(kù)系統(tǒng)一般作為通用(可針對(duì)不同應(yīng)用)的安全數(shù)據(jù)庫(kù);實(shí)現(xiàn)無需硬件的支持.與安全服務(wù)器式實(shí)現(xiàn)的系統(tǒng)相比,它的結(jié)構(gòu)更加簡(jiǎn)單、緊湊,強(qiáng)制訪問控制檢查不容易被旁路.

目前,國(guó)內(nèi)己經(jīng)有一些研究機(jī)構(gòu)在研發(fā)B1級(jí)數(shù)據(jù)庫(kù)管理系統(tǒng),華中理工大學(xué)多媒體和數(shù)據(jù)庫(kù)研究所開發(fā)了B1級(jí)數(shù)據(jù)庫(kù)管理系統(tǒng)DM2,東軟集團(tuán)中間件公司在大型數(shù)據(jù)庫(kù)管理系統(tǒng)OpenBASE的基礎(chǔ)上,自主研究開發(fā)了OpenBASESecuer1.0,北京大學(xué)牽頭研制了數(shù)據(jù)庫(kù)管理系統(tǒng)COBASE.這些研究工作為我國(guó)B級(jí)數(shù)據(jù)庫(kù)管理系統(tǒng)安全產(chǎn)品的研究工作打下了良好的基礎(chǔ),但由于存在眾所周知的數(shù)據(jù)庫(kù)本身技術(shù)問題和市場(chǎng)問題,短期內(nèi)還不能在國(guó)內(nèi)流行.而加固型安全數(shù)據(jù)庫(kù)管理系統(tǒng)的兩種實(shí)現(xiàn)方式中,服務(wù)器式結(jié)構(gòu)松散,在實(shí)現(xiàn)上與DBMS分離,受DBMS本身的限制較小,可擴(kuò)展性較大;內(nèi)核式則相對(duì)與原有數(shù)據(jù)庫(kù)系統(tǒng)結(jié)合較為緊密,且開發(fā)工作量大.為方便我們安全增強(qiáng)器的實(shí)現(xiàn)和今后的功能擴(kuò)充,我們可以采用服務(wù)器式的實(shí)現(xiàn)方法.