一種基于訪問標記的安全數(shù)據(jù)庫審計方法
0 引言
隨著信息技術(shù)的高速發(fā)展,各類計算機應(yīng)用系統(tǒng)活躍在各個行業(yè)的不同領(lǐng)域。盡管各類系統(tǒng)實現(xiàn)的功能各不相同,但無論是部署于大型企業(yè)和商業(yè)組織的企業(yè)級應(yīng)用,還是開發(fā)者出于興趣編寫的個人應(yīng)用,數(shù)據(jù)庫系統(tǒng)是所有應(yīng)用系統(tǒng)數(shù)據(jù)存儲和管理的核心,存儲著整個應(yīng)用系統(tǒng)中最重要的數(shù)據(jù)。然而,數(shù)據(jù)庫系統(tǒng)往往面臨許多的安全威脅,不僅外部攻擊者會攻擊應(yīng)用系統(tǒng)所在服務(wù)器,一些擁有特權(quán)的內(nèi)部人員也有可能從內(nèi)部對應(yīng)用系統(tǒng)進行破壞,采用實時審計技術(shù)來對數(shù)據(jù)庫用戶操作進行快速準確的權(quán)限審計,能夠有效防范內(nèi)部管理人員的越權(quán)操作。
目前,在數(shù)據(jù)庫系統(tǒng)領(lǐng)域,現(xiàn)有的成熟商用數(shù)據(jù)庫系統(tǒng)包括Oracle、Microsoft SQL Server、DB2等,它們都有各自的高效安全的審計系統(tǒng),但這類審計方案往往應(yīng)用于國外廠商的數(shù)據(jù)庫管理系統(tǒng)中。而在國內(nèi),在很多高機密級別的應(yīng)用場景中,出于對高安全性要求的考慮,無法直接使用國外廠商提供的技術(shù)解決方案,因此在國產(chǎn)自主研發(fā)的數(shù)據(jù)庫系統(tǒng)中研究并部署數(shù)據(jù)庫審計系統(tǒng)則成為亟待解決的問題。國網(wǎng)數(shù)據(jù)庫管理軟件SG-RDB是基于開源數(shù)據(jù)庫PostgreSQL內(nèi)核系統(tǒng)進行的二次開發(fā)和封裝,SG-RDB具備關(guān)系型數(shù)據(jù)庫的基本功能,通過數(shù)據(jù)庫安全標記和三權(quán)分立實現(xiàn)了強制訪問控制,并開發(fā)定制了一系列異構(gòu)數(shù)據(jù)庫接口和主從讀寫分離等高可用集群功能。但SG-RDB在數(shù)據(jù)庫審計方面依舊存在PostgreSQL本身數(shù)據(jù)庫審計功能不足的問題,基于國產(chǎn)數(shù)據(jù)庫SG-RDB進行安全數(shù)據(jù)審計方案的研究與開發(fā),成為亟待解決的課題。
審計功能主要是為了確認數(shù)據(jù)庫系統(tǒng)中用戶對數(shù)據(jù)庫進行訪問時所遵守的訪問策略的合法性[1]。如果只是對用戶操作結(jié)果進行審計,往往會有許多不足之處,一方面用戶可能通過多次合法操作來實現(xiàn)不合法的目的,另一方面過于細粒度的審計往往也會帶來效率的降低。目前存在很多種針對數(shù)據(jù)庫的審計方式,如基于推理的審計[2]、基于網(wǎng)絡(luò)偵聽的審計[3-4]、面向數(shù)據(jù)操作的審計[5-9]、基于日志的審計等[10]。在基于網(wǎng)絡(luò)偵聽的審計方式中,審計系統(tǒng)會捕獲、過濾、分析數(shù)據(jù)庫系統(tǒng)中服務(wù)器和客戶端通信的數(shù)據(jù),根據(jù)分析結(jié)果按照策略分類進行審計操作。這類審計操作對于數(shù)據(jù)包的分析方式有較高要求,同時這類系統(tǒng)不利于推廣,解析和審計策略必須針對不同的數(shù)據(jù)庫進行調(diào)整[11-12],不易針對用戶的詳細操作進行審計。在面向數(shù)據(jù)操作的審計操作中,審計系統(tǒng)會通過觸發(fā)器在發(fā)生數(shù)據(jù)操作時檢查數(shù)據(jù)操作語句是否擁有操作數(shù)據(jù)的權(quán)限,或某些操作是否處理了特定數(shù)據(jù),這類審計直接基于常規(guī)的數(shù)據(jù)操作[13],審計粒度較小,但是這類審計操作往往只能針對操作進行審計,如果多個用戶通過共謀或者單用戶通過多次查詢往往會造成數(shù)據(jù)信息的泄露[14-15]?;谌罩镜膶徲嬛荒茉谑潞笞匪輹r對數(shù)據(jù)庫操作及處理結(jié)果進行審計,審計操作只能在事后對系統(tǒng)中的非法操作進行跟蹤定位,難以滿足高效準確的實時審計需求。
比較以上兩類審計操作可以發(fā)現(xiàn),傳統(tǒng)的數(shù)據(jù)庫審計系統(tǒng)雖然能夠較好地實現(xiàn)數(shù)據(jù)庫審計功能,但在安全性方面的犧牲較大,一方面為了實現(xiàn)較為高效的審計操作,某些審計系統(tǒng)不得不犧牲針對系統(tǒng)用戶的身份審計等能夠提高安全保障的審計操作;另一方面,為了實現(xiàn)細粒度的審計操作,審計系統(tǒng)在性能上不得不犧牲較多資源來針對數(shù)據(jù)操作觸發(fā)審計操作。為了解決以上兩方面問題,本文提出了一種基于訪問標記的方法,可實現(xiàn)權(quán)限控制和系統(tǒng)開銷的平衡,提供高效和安全的細粒度權(quán)限實時審計功能。
1 系統(tǒng)及安全模型
1.1 系統(tǒng)模型
本文提出了一種基于訪問標記的安全數(shù)據(jù)庫審計方法,設(shè)計了一種數(shù)據(jù)庫實時審計模型,該模型設(shè)置了2種訪問標記方法以及對應(yīng)的權(quán)限審計流程?;谠L問標記的安全數(shù)據(jù)庫審計方法原理如
圖1 基于訪問標記的安全數(shù)據(jù)庫審計模型Fig.1 Security database auditing model based on access attribute
為簡化說明,以
此后用戶發(fā)送數(shù)據(jù)操作請求時,都將經(jīng)過權(quán)限審計環(huán)節(jié),根據(jù)用戶所屬角色的操作授權(quán)與用戶實際操作請求進行權(quán)限審計,若用戶擁有高安全級別數(shù)據(jù)的操作授權(quán),則審計系統(tǒng)通過用戶提交的訪問憑證獲得用戶的操作授權(quán),將用戶實際的操作請求與訪問憑證的授權(quán)進行比較,從而完成權(quán)限審計。
系統(tǒng)模型中的應(yīng)用簽名和用戶密鑰由系統(tǒng)與用戶共同維護,用戶可以擁有多個應(yīng)用簽名,并為每個簽名申請所需權(quán)限,由審計管理員進行審批和授權(quán),應(yīng)用簽名的權(quán)限矩陣通過線性數(shù)組進行存儲。
1.2 主要問題
在本文審計方法設(shè)計中,需要考慮以下幾個問題,這些問題是目前數(shù)據(jù)庫審計方案必須權(quán)衡的。
1)用戶權(quán)限過大。基于角色的權(quán)限標記方法會綜合考慮所有用戶的應(yīng)用需求,同時用戶與角色存在多對一的關(guān)聯(lián)關(guān)系,因此可能造成用戶獲得過多非必要的操作權(quán)限。在本文的審計模型中,由于隔離了高安全級別的數(shù)據(jù),同時結(jié)合審計日志的操作記錄,因此普通授權(quán)的用戶不會造成系統(tǒng)損失。
2)系統(tǒng)開銷?;谠L問憑證的權(quán)限標記方法由于進行了細粒度的權(quán)限設(shè)置,因此可能存在較大的系統(tǒng)開銷。在本文的審計模型中,對高安全級別的數(shù)據(jù)進行了程度較高的細粒度權(quán)限劃分,用戶只能獲得非常少的操作權(quán)限,并通過訪問憑證申請接口提前進行權(quán)限檢測,并存儲用戶獲得的操作授權(quán),在實際的權(quán)限審計過程中,只需根據(jù)訪問憑證即可獲得用戶的操作授權(quán),直接與用戶實際操作進行檢驗即可完成權(quán)限審計,大大降低了權(quán)限審計帶來的系統(tǒng)開銷。
3)內(nèi)部操作審計。審計系統(tǒng)管理員通過系統(tǒng)內(nèi)部通道獲得數(shù)據(jù)的操作權(quán)限,并且操作不受監(jiān)控。在本文的審計模型中,只存在一個超級管理員賬戶,審計管理員也要獲得用戶角色的授權(quán)才能進行相關(guān)操作,因此內(nèi)部管理員的操作也在審計范圍內(nèi)。
2 基于訪問標記的安全數(shù)據(jù)庫審計
2.1 整體描述
基于訪問標記的安全數(shù)據(jù)庫審計方法原理描述中涉及的變量定義見
表1 基于訪問標記的安全數(shù)據(jù)庫審計變量定義Tab.1 Definitions of system variables based on access attribute
針對上文討論的內(nèi)容,本文提出了基于訪問標記的安全數(shù)據(jù)庫審計方法,基于訪問標記的安全數(shù)據(jù)庫審計方法原理如
在初始化階段,用戶與數(shù)據(jù)庫建立連接,系統(tǒng)為每個用戶建立Session會話,并通過用戶的角色標記,提取用戶的授權(quán)矩陣,授權(quán)矩陣包括可操作類型矩陣
圖2 基于訪問標記的安全數(shù)據(jù)庫審計方法原理Fig.2 Principle of security database auditing method based on access attribute
2.2 一種基于訪問標記的安全數(shù)據(jù)庫審計
本節(jié)對基于訪問標記的安全數(shù)據(jù)庫審計方法的原理進行詳細介紹,依據(jù)訪問標記的生命周期依次進行原理闡述,具體分為訪問標記的初始化階段、訪問憑證的申請階段、操作請求的解析階段和權(quán)限審計階段。
2.2.1 訪問標記初始化階段
1)角色標記初始化。根據(jù)用戶實際需求、數(shù)據(jù)安全級別和系

責任編輯:售電衡衡
- 相關(guān)閱讀
- 泛在電力物聯(lián)網(wǎng)
- 電動汽車
- 儲能技術(shù)
- 智能電網(wǎng)
- 電力通信
- 電力軟件
- 高壓技術(shù)
-
權(quán)威發(fā)布 | 新能源汽車產(chǎn)業(yè)頂層設(shè)計落地:鼓勵“光儲充放”,有序推進氫燃料供給體系建設(shè)
2020-11-03新能源,汽車,產(chǎn)業(yè),設(shè)計 -
中國自主研制的“人造太陽”重力支撐設(shè)備正式啟運
2020-09-14核聚變,ITER,核電 -
探索 | 既耗能又可供能的數(shù)據(jù)中心 打造融合型綜合能源系統(tǒng)
2020-06-16綜合能源服務(wù),新能源消納,能源互聯(lián)網(wǎng)
-
新基建助推 數(shù)據(jù)中心建設(shè)將迎爆發(fā)期
2020-06-16數(shù)據(jù)中心,能源互聯(lián)網(wǎng),電力新基建 -
泛在電力物聯(lián)網(wǎng)建設(shè)下看電網(wǎng)企業(yè)數(shù)據(jù)變現(xiàn)之路
2019-11-12泛在電力物聯(lián)網(wǎng) -
泛在電力物聯(lián)網(wǎng)建設(shè)典型實踐案例
2019-10-15泛在電力物聯(lián)網(wǎng)案例
-
新基建之充電樁“火”了 想進這個行業(yè)要“心里有底”
2020-06-16充電樁,充電基礎(chǔ)設(shè)施,電力新基建 -
燃料電池汽車駛?cè)雽こ0傩占疫€要多久?
-
備戰(zhàn)全面電動化 多部委及央企“定調(diào)”充電樁配套節(jié)奏
-
權(quán)威發(fā)布 | 新能源汽車產(chǎn)業(yè)頂層設(shè)計落地:鼓勵“光儲充放”,有序推進氫燃料供給體系建設(shè)
2020-11-03新能源,汽車,產(chǎn)業(yè),設(shè)計 -
中國自主研制的“人造太陽”重力支撐設(shè)備正式啟運
2020-09-14核聚變,ITER,核電 -
能源革命和電改政策紅利將長期助力儲能行業(yè)發(fā)展
-
探索 | 既耗能又可供能的數(shù)據(jù)中心 打造融合型綜合能源系統(tǒng)
2020-06-16綜合能源服務(wù),新能源消納,能源互聯(lián)網(wǎng) -
5G新基建助力智能電網(wǎng)發(fā)展
2020-06-125G,智能電網(wǎng),配電網(wǎng) -
從智能電網(wǎng)到智能城市