数据库安全概述

8.1　数据库安全概述

数据库是当今信息社会中数据存储和处理的核心，其安全性对于整个信息安全极为重要。首先，数据库安全对于保护组织的信息资产非常重要；其次，保护数据库系统所在网络系统和操作系统非常重要，但仅仅如此远不足以保证数据库系统的安全；此外，数据库安全的不足不仅会损害数据库本身，而且还会影响到操作系统和整个网络基础设施的安全；最后，数据库是电子商务、电子政务、ERP等关键应用系统的基础，它的安全也是这些应用系统的基础。

原则上，凡是造成对数据库内数据（包括敏感、非敏感的信息）的非授权访问——读取、增加、删除、修改等，都属于对数据库的数据安全造成了威胁或破坏。另一方面，凡是业务需要访问数据库，而授权用户不能正常得到数据库的数据服务时，也称之为对数据库的安全形成了威胁或破坏。

1.数据库系统安全与操作系统安全

数据库管理系统（DBMS）作为操作系统（OS）的应用程序，其库文件可以看作操作系统上的一个客体，其应用进程又是操作系统的主体。因此，数据库的安全是以操作系统的安全为基础的，没有操作系统的安全，绝对谈不上数据库的安全；反之，并不是说有了安全的操作系统，就能绝对保证数据库的安全。这是因为，操作系统的安全与数据库的安全存在如下区别。

（1）客体粒度不同。操作系统的客体是以文件为单位的，而数据库中的客体可分为库、关系、元组、字段，粒度更细。

（2）访问模式不同。数据库一大特点是多种数据类型，需要多种访问模式（如：统计模式，管理模式）。在OS级只有物理访问（读、写、执行）。

（3）数据间的语义互相关联。数据库中的数据具有一个语义并通过语义关系关联。因此，根据客体内容、上下文和访问历史，应使用不同类型的访问控制保证安全需求的正确实现，避免有关数据语义正确性的安全破坏即推理攻击。

（4）数据库中的超级数据。在DBMS中，存在超级数据，也叫元数据，提供数据库中数据的结构信息。元数据通常存储在与数据隔离的数据字典中。例如，在关系数据库中，元数据描述属性、属性的域、属性间的关系及数据库划分的位置。同普通数据一样，元数据需要保护。事实上，元数据可提供关于数据库内容的敏感信息（数据类型和关系），并能作为对底层数据访问控制的方法。在OS中没有元描述。

（5）逻辑和物理对象。OS中的客体是物理对象（如文件、设备、内存、进程），而DBMS中的客体是逻辑对象（如关系、视图）。DBMS逻辑对象独立于OS物理对象，因此需要面向数据库对象保护的特定安全机制。

（6）动态和静态数据。由OS管理的客体是静态的，并对应着实际的对象。在数据库中，客体是可以被创建的（如查询结果），可能不对应实际对象。例如，在关系数据库中视图是动态创建的，从数据库中实际存储的关系导出的虚拟关系。对于这些动态客体，必须提供特定的保护。

（7）多级事务。在一个DBMS中，通常需要执行包含不同安全级别数据的事务。DBMS必须保证多级事务以安全的方式运行。在OS级只有基本操作（如读、写、执行），涉及的数据具有相同级别。

（8）数据生命周期。在数据库中的数据有很长的生命周期，DBMS必须保证数据在整个生命周期内的安全。

2.数据库系统安全的特定问题

有些安全问题对操作系统来说是老问题，而对数据库系统来说是新问题，例如：

（1）安全级的完整性。由于数据库系统中的安全级分配粒度更小，如何保证不会引起由安全级带来的隐通道。

（2）多级数据库的恢复问题。在恢复过程中不能带来信息的错误流动。

（3）访问拒绝策略。如何防止由访问拒绝引起的信息泄露。

（4）隐通道。不同环境、不同粒度上的隐通道分析。

（5）支持安全的开发工具。

有些则是数据库特定的问题，例如：

（1）分级工具的开发。数据库中数据的相互依赖性强，使得手工划分和验证数据安全等级不能保证等级模式的正确性、一致性。这样，有必要开发帮助划分数据等级和保证等级模式正确性的软件工具。

（2）多级事务处理。由于数据库中数据是分级的，则事务同样需要根据主体的级别具有一定的访问级别。这样，不同级别事务间的信息流动控制就更加复杂。

（3）推理攻击问题。“推理”是指用户通过间接的方式获取本不该获取的信息。推理控制的目标是防止用户通过间接的方式获取本不该获取的信息。

（4）多级实例问题。为解决多级数据库中低级用户推理高级信息的问题而引入的概念，即在数据库中可能存在一个客体的不同级别的多个实例。多实例给数据库管理带来一些新的问题，需要进一步研究。

（5）特种数据库访问的安全问题。随着时态数据库、空间数据库和面向对象数据库等的广泛应用，作为以另一种数据模型为基础的数据库，其安全性、安全解决方案与关系数据库是不同的，因此，其安全机制的研究也是当前数据库安全的一个重要研究方向。