范莉　林敏　師偉

摘要：該文通過分析數(shù)據(jù)庫安全的現(xiàn)狀，針對目前內(nèi)部人員是影響信息安全的最大威脅，引出了提高數(shù)據(jù)庫安全的解決方案即使用數(shù)據(jù)庫安全網(wǎng)關(guān)；并對數(shù)據(jù)庫安全網(wǎng)關(guān)的總體結(jié)構(gòu)和一些關(guān)鍵技術(shù)進(jìn)行了相關(guān)討論。

關(guān)鍵詞：數(shù)據(jù)庫；安全；網(wǎng)關(guān)；C/S模式；審計(jì)；效率

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2015）27-0005-03

信息技術(shù)行業(yè)是一個飛速發(fā)展和變化的行業(yè)，目前已經(jīng)成為國民經(jīng)濟(jì)建設(shè)的基礎(chǔ)，在這個行業(yè)中所有的應(yīng)用都是以信息為中心，信息是現(xiàn)代信息技術(shù)應(yīng)用的中心。伴隨著信息技術(shù)的發(fā)展，全球信息安全事件頻發(fā)不斷，信息的安全越來越受到關(guān)注。但是作為整個信息系統(tǒng)最重要的信息資源的數(shù)據(jù)庫系統(tǒng)卻沒有受到應(yīng)有的重視，為了提高信息的安全性，必須提高數(shù)據(jù)庫的安全防護(hù)。

目前主流數(shù)據(jù)庫系統(tǒng)在應(yīng)用中存在以下幾個安全問題：系統(tǒng)認(rèn)證的不可靠、加解密技術(shù)的固定、系統(tǒng)管理員權(quán)限過大、審計(jì)數(shù)據(jù)結(jié)果易受攻擊等。為此，人們已經(jīng)提出了一些解決方案，如采用多級安全數(shù)據(jù)庫，數(shù)據(jù)庫整體加密，網(wǎng)絡(luò)傳輸加密，用戶身份認(rèn)證等。但是由于目前的主流的數(shù)據(jù)庫系統(tǒng)如SQL Server，Oracle，Sybase等，大都是基于C/S方式的，這些安全技術(shù)在這樣的數(shù)據(jù)庫系統(tǒng)中難以直接應(yīng)用。

數(shù)據(jù)庫安全網(wǎng)關(guān)正是為了試圖解決上述問題而提出的，下面將從幾個方面闡述數(shù)據(jù)庫安全網(wǎng)關(guān)的設(shè)計(jì)方案和部分關(guān)鍵技術(shù)。

1 背景

隨著現(xiàn)代社會信息化進(jìn)程的發(fā)展，軍事單位、政府機(jī)關(guān)、各企事業(yè)單位紛紛建立各自的網(wǎng)站與信息系統(tǒng)，數(shù)據(jù)庫系統(tǒng)已經(jīng)成為信息化建設(shè)的基礎(chǔ)設(shè)施。數(shù)據(jù)庫系統(tǒng)管理和存放著單位、部門、個人的重要信息，如軍事情報、政府文件、技術(shù)資料等等， 這些信息往往具有極其重要的社會和經(jīng)濟(jì)價值，一旦遭到攻擊，信息被竊取或破壞，都會產(chǎn)生嚴(yán)重的后果。

據(jù)近年來一些國內(nèi)外權(quán)威機(jī)構(gòu)的統(tǒng)計(jì)報告，有近70%的網(wǎng)絡(luò)攻擊是來自內(nèi)部的，同時還有57%的公司認(rèn)為內(nèi)部人員利用職務(wù)之便實(shí)施計(jì)算機(jī)犯罪的威脅最大。以上數(shù)據(jù)充分說明了信息安全不僅僅要防止外部黑客的入侵，更重要的是要防止內(nèi)部管理人員的破壞。在信息系統(tǒng)建設(shè)中，一個重要安全問題是系統(tǒng)管理員的權(quán)限過大，因而常常會出現(xiàn)一些近乎荒謬的現(xiàn)象。數(shù)據(jù)庫安全網(wǎng)關(guān)的設(shè)計(jì)出發(fā)點(diǎn)之一正是為了防止內(nèi)部網(wǎng)絡(luò)攻擊和限制系統(tǒng)管理員的權(quán)力，以提高數(shù)據(jù)庫系統(tǒng)中存放的信息的安全性。

數(shù)據(jù)庫安全網(wǎng)關(guān)作為數(shù)據(jù)庫系統(tǒng)的配套安全設(shè)備，適用于各種使用數(shù)據(jù)庫系統(tǒng)并對其中信息安全有一定要求的部門和機(jī)構(gòu)，特別是在軍事單位、政府機(jī)關(guān)和一些大型的企事業(yè)單位中，計(jì)算機(jī)中心等計(jì)算機(jī)技術(shù)部門往往不是這些單位的主要業(yè)務(wù)部門，因此計(jì)算機(jī)工作人員不應(yīng)該涉及單位的核心業(yè)務(wù)資料。但是，利用計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)實(shí)施犯罪的又大多是這些人員，如何才能有效地限制計(jì)算機(jī)技術(shù)人員對數(shù)據(jù)庫系統(tǒng)的管理和訪問權(quán)限，是提高單位信息安全的重要課題。

為此，研究旨在提高數(shù)據(jù)庫系統(tǒng)安全性的數(shù)據(jù)庫安全網(wǎng)關(guān)，有著極其重要的實(shí)際意義。

2 系統(tǒng)結(jié)構(gòu)設(shè)計(jì)

總體結(jié)構(gòu)設(shè)計(jì)

數(shù)據(jù)庫安全網(wǎng)關(guān)顧名思義就是要在傳統(tǒng)的數(shù)據(jù)庫服務(wù)器和用戶客戶機(jī)之間增加一個應(yīng)用代理部件，如圖1所示。從圖中可以看出，與傳統(tǒng)基于數(shù)據(jù)庫的應(yīng)用系統(tǒng)的結(jié)構(gòu)相比，在用戶即客戶機(jī)與數(shù)據(jù)庫服務(wù)器之間增加了一個由網(wǎng)關(guān)客戶端和網(wǎng)關(guān)服務(wù)器端組成的部件，客戶一切與數(shù)據(jù)庫服務(wù)器的通信都必須經(jīng)過該部件，這個部件就是數(shù)據(jù)庫安全網(wǎng)關(guān)。

由于數(shù)據(jù)庫安全網(wǎng)關(guān)是連接數(shù)據(jù)庫服務(wù)器與客戶機(jī)的關(guān)鍵部件，因而它必須分為網(wǎng)關(guān)服務(wù)器端和網(wǎng)關(guān)客戶端兩部分，分別對應(yīng)著數(shù)據(jù)庫服務(wù)器和客戶計(jì)算機(jī)。其中網(wǎng)關(guān)客戶端負(fù)責(zé)轉(zhuǎn)發(fā)客戶應(yīng)用系統(tǒng)向數(shù)據(jù)庫服務(wù)器發(fā)出的各種請求信息，同時將接收的數(shù)據(jù)庫服務(wù)器的應(yīng)答信息傳遞給客戶應(yīng)用系統(tǒng)，而網(wǎng)關(guān)服務(wù)器端則需要接收并分析從網(wǎng)關(guān)客戶端發(fā)來的信息，通過檢查并記錄后，將其轉(zhuǎn)發(fā)給數(shù)據(jù)庫服務(wù)器，同時要將數(shù)據(jù)庫服務(wù)器的應(yīng)答信息進(jìn)行記錄，并轉(zhuǎn)發(fā)給網(wǎng)關(guān)客戶端。

為了確保數(shù)據(jù)庫安全網(wǎng)關(guān)是客戶與數(shù)據(jù)庫服務(wù)器之間的唯一信道，可以將數(shù)據(jù)庫安全網(wǎng)關(guān)設(shè)計(jì)成一個軟、硬件相結(jié)合的部件。其中網(wǎng)關(guān)客戶端以簡單地軟件包的形式安裝在客戶機(jī)上；而網(wǎng)關(guān)服務(wù)器端則是為一個硬件設(shè)備，該設(shè)備作為數(shù)據(jù)庫服務(wù)器接入網(wǎng)絡(luò)的唯一橋梁。為了保證數(shù)據(jù)庫服務(wù)器的安全，用戶單位應(yīng)該通過采取一定的有效手段來保證數(shù)據(jù)庫服務(wù)器與網(wǎng)關(guān)服務(wù)器端的物理安全，即將數(shù)據(jù)庫安全網(wǎng)關(guān)的服務(wù)器端與數(shù)據(jù)庫服務(wù)器一起安全放置在中心網(wǎng)絡(luò)機(jī)房，并對該機(jī)房進(jìn)行嚴(yán)格行政管理。

網(wǎng)關(guān)客戶端

數(shù)據(jù)庫安全網(wǎng)關(guān)的內(nèi)部結(jié)構(gòu)分為兩個部分，本節(jié)首先討論網(wǎng)關(guān)客戶端。網(wǎng)關(guān)客戶端的功能主要包括：將與數(shù)據(jù)庫服務(wù)器通信的數(shù)據(jù)包從客戶機(jī)發(fā)出的各種數(shù)據(jù)包中提取出來，對其進(jìn)行各種必要的安全處理后發(fā)送到網(wǎng)關(guān)服務(wù)器端；接收網(wǎng)關(guān)服務(wù)器端發(fā)來的數(shù)據(jù)包，處理完成后，提交給客戶應(yīng)用系統(tǒng)。網(wǎng)關(guān)客戶端與客戶應(yīng)用系統(tǒng)和網(wǎng)關(guān)服務(wù)器端的一般通信過程如下：

l 客戶機(jī)向數(shù)據(jù)庫服務(wù)器發(fā)送請求數(shù)據(jù)包；

l 網(wǎng)關(guān)客戶端從各種數(shù)據(jù)包中提取客戶機(jī)發(fā)送給數(shù)據(jù)庫服務(wù)器的請求數(shù)據(jù)包；

l 網(wǎng)關(guān)客戶端對客戶發(fā)向數(shù)據(jù)庫服務(wù)器的請求數(shù)據(jù)包進(jìn)行安全處理；

l 網(wǎng)關(guān)客戶端向網(wǎng)關(guān)服務(wù)器端發(fā)送處理后的客戶請求數(shù)據(jù)包；

l 網(wǎng)關(guān)客戶端接收網(wǎng)關(guān)服務(wù)器端轉(zhuǎn)發(fā)來的數(shù)據(jù)庫服務(wù)器應(yīng)答數(shù)據(jù)包；

l 網(wǎng)關(guān)客戶端對數(shù)據(jù)庫服務(wù)器應(yīng)答數(shù)據(jù)包進(jìn)行處理；

l 網(wǎng)關(guān)客戶端將處理后的應(yīng)答數(shù)據(jù)包提交給客戶應(yīng)用系統(tǒng)（信息系統(tǒng)客戶端）使用。

網(wǎng)關(guān)服務(wù)器端

網(wǎng)關(guān)服務(wù)器端是數(shù)據(jù)庫安全網(wǎng)關(guān)最重要的組成部分，其內(nèi)部結(jié)構(gòu)如圖2所示。網(wǎng)關(guān)服務(wù)器端包含了數(shù)據(jù)庫安全網(wǎng)關(guān)的大部分功能模塊，主要有：DBMS代理模塊、客戶代理模塊、認(rèn)證模塊、權(quán)限控制模塊、審計(jì)模塊、加解密模塊等，其中加解密模塊包含在DBMS代理模塊中。下面分別討論上述模塊：

l DBMS代理模塊：

DBMS代理模塊主要負(fù)責(zé)模擬數(shù)據(jù)庫服務(wù)器接收來自網(wǎng)關(guān)客戶端的請求數(shù)據(jù)包并將數(shù)據(jù)庫服務(wù)器的應(yīng)答數(shù)據(jù)包轉(zhuǎn)發(fā)給網(wǎng)關(guān)客戶端。由于網(wǎng)關(guān)服務(wù)器端和客戶端之間的通信線路不能被保證是安全的，所以DBMS代理模塊接收來自網(wǎng)關(guān)客戶端的數(shù)據(jù)是經(jīng)過加密處理后的密文數(shù)據(jù)，當(dāng)密文數(shù)據(jù)包到達(dá)DBMS代理時，DBMS代理將對其進(jìn)行解密處理。同樣，DBMS代理模塊也應(yīng)對尚未轉(zhuǎn)發(fā)到網(wǎng)關(guān)客戶端的數(shù)據(jù)庫服務(wù)器明文應(yīng)答數(shù)據(jù)進(jìn)行加密處理后，才將其轉(zhuǎn)發(fā)到網(wǎng)關(guān)客戶端。

l 客戶代理模塊：

客戶代理模塊主要負(fù)責(zé)模擬客戶端接收來自數(shù)據(jù)庫服務(wù)器返回的應(yīng)答信息，以及將DBMS代理模塊接收的客戶請求信息轉(zhuǎn)發(fā)給數(shù)據(jù)庫服務(wù)器。

l 認(rèn)證模塊：

認(rèn)證模塊主要完成對客戶的身份認(rèn)證。當(dāng)客戶應(yīng)用系統(tǒng)向數(shù)據(jù)庫服務(wù)器發(fā)送請求信息時，認(rèn)證模塊通過檢查客戶IP、MAC地址以及用戶賬戶等信息，對比認(rèn)證模塊內(nèi)部的安全認(rèn)證數(shù)據(jù)庫中的相應(yīng)信息，判斷該客戶是否確實(shí)是其所自稱的客戶，以完成對其的身份認(rèn)證。

l 權(quán)限控制模塊：

權(quán)限控制模塊主要完成對客戶的權(quán)限控制。通?；跀?shù)據(jù)庫的信息系統(tǒng)不僅擁有應(yīng)用系統(tǒng)的權(quán)限控制模塊，還會利用數(shù)據(jù)庫系統(tǒng)提供的一些功能來加強(qiáng)對客戶的權(quán)限控制；但是為了防止惡意攻擊者采取各種不同手段繞過上述控制，如直接利用DBMS客戶端繞過應(yīng)用系統(tǒng)權(quán)限控制模塊直接與數(shù)據(jù)庫服務(wù)器進(jìn)行連接等，數(shù)據(jù)庫安全網(wǎng)關(guān)特別設(shè)置了權(quán)限控制模塊。權(quán)限控制模塊將利用網(wǎng)關(guān)內(nèi)部的權(quán)限控制數(shù)據(jù)庫，結(jié)合認(rèn)證模塊確認(rèn)的客戶身份，控制客戶只能進(jìn)行授權(quán)的訪問。

l 審計(jì)模塊：

審計(jì)模塊是針對目前多數(shù)信息系統(tǒng)的系統(tǒng)管理員權(quán)限過大而專門設(shè)置的，其目的是提供一個第三方的安全審計(jì)策略。在一個信息系統(tǒng)中，通常會有兩個審計(jì)日志，一個是信息系統(tǒng)的日志，另一個是數(shù)據(jù)庫系統(tǒng)的日志。但是，這兩個日志都可能被系統(tǒng)管理員修改或刪除。一旦系統(tǒng)管理員進(jìn)行了非法的訪問，而后對上述兩個日志的內(nèi)容進(jìn)行修改或刪除，則上述日志對系統(tǒng)管理員起不到任何約束作用。為了防止系統(tǒng)管理員或其他內(nèi)部人員非授權(quán)地對數(shù)據(jù)庫中各種信息的訪問，必須建立一個第三方的安全審計(jì)日志。這個安全審計(jì)日志原則上除了單位的最高領(lǐng)導(dǎo)外，任何人不能對其進(jìn)行各種訪問操作。為了確保上述要求得以實(shí)現(xiàn)，數(shù)據(jù)庫安全網(wǎng)關(guān)服務(wù)器端被設(shè)計(jì)成為一個硬件設(shè)備，該設(shè)備的管理由單位的主管領(lǐng)導(dǎo)直接完成。安全審計(jì)日志時刻威懾著那些企圖實(shí)施網(wǎng)絡(luò)攻擊的內(nèi)部人員，只要審計(jì)日志足夠安全，相信可以阻止大部分來自內(nèi)部的非授權(quán)方法和其他破壞性攻擊。

3 技術(shù)實(shí)現(xiàn)

從上述分析可以看出，數(shù)據(jù)庫安全網(wǎng)關(guān)是一個集中了各種技術(shù)的設(shè)備，其中包括安全操作系統(tǒng)技術(shù)、數(shù)據(jù)庫技術(shù)、數(shù)據(jù)加密技術(shù)、身份認(rèn)證技術(shù)、訪問控制技術(shù)以及審計(jì)技術(shù)等。同時，作為一個信息安全產(chǎn)品，處理速度等問題也是需要特別關(guān)注的。本文將僅對如何防止用戶繞過數(shù)據(jù)庫安全網(wǎng)關(guān)訪問數(shù)據(jù)庫、效率問題和當(dāng)前主流DBMS的通信協(xié)議等幾個關(guān)鍵技術(shù)進(jìn)行討論。

1）用戶繞過數(shù)據(jù)庫安全網(wǎng)關(guān)訪問數(shù)據(jù)庫問題解決

由于數(shù)據(jù)庫安全網(wǎng)關(guān)的客戶端直接安裝在信息系統(tǒng)的客戶機(jī)上，所以一般正常的應(yīng)用系統(tǒng)客戶請求都會通過網(wǎng)關(guān)。但是一些惡意的攻擊者還是有可能拋開應(yīng)用系統(tǒng)而利用其他手段與數(shù)據(jù)庫服務(wù)器連接。為了防止這些惡意攻擊者繞過數(shù)據(jù)庫安全網(wǎng)關(guān)訪問數(shù)據(jù)庫，在設(shè)計(jì)數(shù)據(jù)庫安全網(wǎng)關(guān)時，采用雙網(wǎng)卡技術(shù)即在網(wǎng)關(guān)服務(wù)器端設(shè)備上安裝雙網(wǎng)卡，其中一個網(wǎng)卡與需要訪問數(shù)據(jù)庫的客戶網(wǎng)絡(luò)相連接，另一個網(wǎng)卡與數(shù)據(jù)庫服務(wù)器相連接，同時要求數(shù)據(jù)庫服務(wù)器僅通過數(shù)據(jù)庫安全網(wǎng)關(guān)的服務(wù)器端與網(wǎng)絡(luò)相連，從而在物理上保證了任何客戶要訪問數(shù)據(jù)庫就必須通過數(shù)據(jù)庫網(wǎng)關(guān)。

因?yàn)閿?shù)據(jù)庫安全網(wǎng)關(guān)在客戶和服務(wù)器兩端都對原來數(shù)據(jù)庫系統(tǒng)的通信數(shù)據(jù)包進(jìn)行了處理，使得一些企圖直接與數(shù)據(jù)庫服務(wù)器連接的攻擊者由于不能得知數(shù)據(jù)庫網(wǎng)關(guān)內(nèi)部通信協(xié)議，所以即使一些攻擊者可以連接到網(wǎng)關(guān)服務(wù)器端，他們對數(shù)據(jù)庫的訪問也會因通信協(xié)議問題而被拒絕，從而確保數(shù)據(jù)庫服務(wù)器的安全性得到較大提高。

2）效率問題解決

由于所有客戶對數(shù)據(jù)庫的訪問都必須通過數(shù)據(jù)庫安全網(wǎng)關(guān)，所以增加數(shù)據(jù)庫網(wǎng)關(guān)后會對基于數(shù)據(jù)庫的信息系統(tǒng)的效率產(chǎn)生一定的影響，甚至可能嚴(yán)重降低信息系統(tǒng)的響應(yīng)速度，從而會使信息系統(tǒng)原有的客戶產(chǎn)生反感，給信息系統(tǒng)的使用帶來負(fù)面影響。為了解決上述問題，一方面可以通過提高網(wǎng)關(guān)各模塊軟件的執(zhí)行效率以及網(wǎng)關(guān)硬件設(shè)備和數(shù)據(jù)庫服務(wù)器的處理效率，另一方面可以根據(jù)需要設(shè)置多個數(shù)據(jù)庫安全網(wǎng)關(guān)（服務(wù)器端）來均衡整個系統(tǒng)的負(fù)載，從而解決效率問題，如圖3所示。

從圖3可以看出，客戶機(jī)通過負(fù)載均衡器與網(wǎng)關(guān)服務(wù)器端連接，若當(dāng)前某一網(wǎng)關(guān)服務(wù)器端負(fù)載過大，則由負(fù)載均衡器根據(jù)網(wǎng)關(guān)服務(wù)器端的整體負(fù)載狀況，分配新到的客戶請求到相對負(fù)載較少的網(wǎng)關(guān)服務(wù)器端進(jìn)行處理。一個信息系統(tǒng)配置網(wǎng)關(guān)服務(wù)器端的數(shù)量由具體的應(yīng)用情況決定。這樣，就可以將由數(shù)據(jù)庫安全網(wǎng)關(guān)帶來的效率問題降低到最小程度。

3）當(dāng)前主流DBMS客戶端與服務(wù)器端之間的通信協(xié)議

由于數(shù)據(jù)庫安全網(wǎng)關(guān)是連接客戶與數(shù)據(jù)庫服務(wù)器的中間環(huán)節(jié)，所以要求網(wǎng)關(guān)必須能夠截獲并處理客戶機(jī)與數(shù)據(jù)庫服務(wù)器之間的正常信息流。這樣就必須針對當(dāng)前主流數(shù)據(jù)庫系統(tǒng)如Oracle、Sybase、MS SQL Server等進(jìn)行分析，了解各種數(shù)據(jù)庫系統(tǒng)的通信協(xié)議。以MS SQL Server為例，客戶機(jī)與數(shù)據(jù)庫服務(wù)器進(jìn)行簡單連接通常就需要52個數(shù)據(jù)包，所以分析主流數(shù)據(jù)庫系統(tǒng)的通信機(jī)制和協(xié)議是一項(xiàng)相當(dāng)艱苦的工作。但是，作為連接客戶機(jī)和數(shù)據(jù)庫服務(wù)器的橋梁，數(shù)據(jù)庫安全網(wǎng)關(guān)必須能夠?qū)χ髁鲾?shù)據(jù)庫系統(tǒng)的所有通信數(shù)據(jù)進(jìn)行處理。

4 結(jié)束語

數(shù)據(jù)庫安全是信息安全的一個重要環(huán)節(jié)，大多數(shù)重要的信息均存放在數(shù)據(jù)庫系統(tǒng)中，如何才能真正保證數(shù)據(jù)庫系統(tǒng)中各種信息的安全，是一個迫在眉睫的問題。數(shù)據(jù)庫安全網(wǎng)關(guān)正是在這種背景下提出的一個安全設(shè)備。

當(dāng)然，數(shù)據(jù)庫系統(tǒng)中的信息安全并不能僅僅依靠數(shù)據(jù)庫安全網(wǎng)關(guān)保證，研制國產(chǎn)的安全操作系統(tǒng)和安全數(shù)據(jù)庫系統(tǒng)是一個必需而有效地方法，同時輔之以各種安全策略和工具，才能真正保證數(shù)據(jù)庫系統(tǒng)中信息的安全。

參考文獻(xiàn)：

[1] Bruce Schneier.網(wǎng)絡(luò)信息安全的真相[M].吳世忠，馬芳，譯.北京：機(jī)械工業(yè)出版社，2000.

[2] 胡欣杰.Oracle 9i數(shù)據(jù)庫管理員指南（V9.0.1）[M].北京希望電子出版社，2002.