基于Oracle的数据库安全审计的研究

研究背景 随着数据库技术的快速发展和广泛应用，数据库技术越来越多的参与到人们的生活和学习中，并发挥着巨大的作用。当前，绝大多数企业、组织以及政府部门的数据、档案以及记录都保存在各种数据库中。数据库服务器还涉及到储存着敏感的金融数据，例如银行存款，交易记录、和帐号密码以及各种专业的信息，比如专利、科学数据、各种知识产权、市场开发计划等等，这些信息是需要严格保护起来防止竞争者和其他非法者获取的资料。然而，在数据库系统担负着日益艰巨的集中处理大量信息的任务的同时，其安全问题日渐突出。 数据库作为数据存储系统和服务端，其安全性是十分重要的。任何数据损坏或非法操作都可能导致数据库乃至整个系统的崩溃，故其安全是系统设计是的重点。现有的关系数据库通常都提供基于用户名口令方式的身份鉴别和针对数据操纵的访问控制，普遍缺乏对数据库中敏感数据记录或字段的加密和数据完整性保护，也缺乏对用户操作的日志记录和审计。因此，任何具备数据库管理员或相应访问权限的人，都可以通过特殊的数据库浏览工具(如Oracle的SQLPlus或基于B/S的OEM)获取或任意篡改数据库中的敏感信息，使数据库的安全受到严重威胁。 数据库管理系统的安全控制包括数据库的安全性控制和用户权限控制两部分，数据库的安全性一般由数据库管理系统和操作系统平台提供，而用户权限控制功能必须由应用管理系统本身来提供。 随着数据库的应用规模越来越大，系统的用户越来越多，如何有效控制每个用户权限、防止用户非法操作数据的问题变得日益突出。但是，任何数据库系统的安全保护措施都不是完美无缺的，蓄意盗窃、破坏数据库的人总是想方设法打破控制。所以，只有安全防护是不够的，需要时刻了解数据库的使用状况，并在出现问题时能及时的发现问题所在，以便解决问题，避免和挽回不必要的损失。此时数据库系统需要有一个完备的审计系统。审计功能把用户对数据库的所有操作自动记录下来，记入审计日志中。审计跟踪记录一般包括以下内容：终端标识符、用户识别符、处理类型和修改文件或数据前、后的信息。数据库管理员可以利用审计跟踪的信息，重现导致数据库现有状况的一系列事件，找出可疑活动或者非法存取数据的人、时间和内容等，审计是很费时间和空间的，所以审计功能一般主要用于对安全性较高的数据部分。 1.2 数据库安全审计研究现状 审计作为一种安全保障机制，在最早的TCSEC中就己有了明确的要求。从C2级开始，TCSEC制定了详细的审计功能要求，并要求信息系统可以对审计数据进行查询、监视，以发现对系统发起的攻击和系统的安全漏洞。审计一般是收集软件执行过程中发生的各类(或所有)事件。这里的软件可以是一个操作系统，也可以是一个数据库系统[1]。 自70年代起，Bell，Biba，LaPadula和Denning等人对信息安全进行大量的基础研究，提出多种系统安全模型，并在多个系统中得以实现[2]。Bell等人为实现数据库安全提供了基础。1978年，Gudes等人提出数据库的多级安全模型，把计算机安全保密研究扩展到数据库领域[3]。1986年，Denning等人提出安全数据视图模型，该模型是针对关系数据库系统设计的，采用基于强制存取策略和自主存取策略控制对数据库进行访问控制。 80年代，美国国防部基于军事计算机系统的保密需要，制订了“可信计算机系统安全评价准则”(TCSEC)[4]，形成安全信息系统体系结构的最早原则。1994年，美国国家计算机安全中心颁布了TDI[5][6]，即“可信计算机评估标准在数据库管理系统的解释”，它将TCSEC扩展到数据库管理系统，并从安全策略、责任、保证和文档四个方面进一步描述每级的安全标准。这表明，到90年代数据库安全已引起人们足够重视。 按照TCSEC标准，安全数据库研究原型一般是指安全级别在Bl级以上的、以科研为目的、尚未产品化的数据库管理系统原型。至今美国已研究出达到TCSEC要求安全系统(包括安全操作系统、安全数据库、安全网络部件)的产品多达100多种。目前在国外已有不少上市的数据库管理系统得到Bl级认证，如Oracle，Sybase的SecureSQL server等，而B2级及以上认证的安全数据库产品尚属少见。在美国的大型DBMS中，多数产品已经通过美国NCSC安全认证，达到Bl或相当于Bl的级别，个别的系统已达到B2级。 90年代初，英、法、德、荷四国针对TCSEC准则只考虑保密性的局限，联合提出包括保密性、完整性、可用性概念的“信息技术安全评价准则”(TISFC)，但是该准则中并没有给出综合解决以上问题的理论模型和方案。 迄今，在数据库安全模型上国际上己做了很多工作，但许多难题尚未解决，如安全体系结构方面的研究工作刚刚开始;安全机制上仍保持着传统机制，未增加新的安全机制。90年代以来，数据库安全的主要工作围绕着关系数据库系统的访问控制模型展开，而对数据库审计的研究尚未全面展开。再加上，数据库安全研究的焦点主要集中在关系数据模型上，对非关系数据模型的数据库安全研究比较匾乏[7]。 我国在网络信息安全方面的研究起步较晚，投入少，研究力量分散，与技术先进国家有差距，特别是在系统安全和安全协议方面的工作与国外差距更大。国外对于安全产品的出口又有严格的限制，这些国外的高安全级产品即使能够出售给我们，其安全性也是令人担心。对于信息安全产品，我们必需走自主研究和开发之路。 我国政府对计算机系统的安全性给予高度重视。1994年2月国务院发布“中华人民共和国计算机系统信息安全保护条例”，1999年2月9日，正式成立“中国国家信息安全测评认证中心(CNISTEC)”，同时，国家质量技术监督局成立“国家信息安全测评认证管理委员会”，并批准《国家信息安全测评认证管理办法》、国家信息安全测评认证标志和《第一批实施测评认证的信息安全产品目录》。1999年10月发布“计算机信息系统安全保护等级划分标准”，该准则为安全产品的研制提供技术支持，同时也为安全系统的建设和管理提供技术指导。 数据库系统方面，我国已经根据TDI和TCSEC编制相应的适用于数据库管理系统安全标准的国标。目前国内系统软件和应用软件的安全性级别基本在CZ级，部分在Cl级，而B级尚处于开始研究阶段。总体来讲，我国自己的安全产品目前还基本是空白。 国产数据库软件，具有一定影响力的除国信贝斯公司的iBASE数据库外，还有国家早先立项支持的由中国人民大学、中软总公司合作完成的COBASE、东软公司的oPENBAsE、中国人民大学与知识工程研究所推出的EasyBASE/PBASE，华中理工大学的DM系统等。 目前，在我国国内使用的商品化关系数据库管理系统大都提供了C2级的审计保护功能，如Oraele，Sybase，DB2，SQLServer等，但实现方式和功能都存在着不同.Oracle提供的审计保护功能比较完整，Sybase具有独立的审计数据库，DBZ本身没有提供明确的审计保护功能，但可以通过其监控器来对发生在数据库系统内的事件进行监控，从而达到对数据库的运行使用进行审计的目的。DB2 Universal Database(DB2 UDB)加入了审计功能组件。 1.3 Oracle安全审计的不足 下面就Oraele审计功能模块进行一下分析，并分析其不足之处。 传统的Oracle数据库审计选件允许您在宏观级别上跟踪用户在对象上所执行的操作.例如审计对某个表的SELECT语句，可以跟踪是谁从表中选择了数据，但不知道选择了什么.利用DML(数据操作语言)，如INSERT、uPDAfE或DELETE，通过使用触发器或OracleLogMiner实用程序来分析归档日志，从而捕获任何的更改。因为SELECT语句是不操纵数据的，它们既不启动触发器，也不记入到那些以后可以进行挖掘的归档日志中，所以这两种技术在涉及到SELECT语句的地方无法满足要求。oraeleginat的ase推出了一种称为细粒度审计[8](Fine-Grain Audit)的新特性，它改变了这种局面。该特性允许您将单个的SELECT语句联同用户提交的确切语句一起进行审计。除了简单地跟踪语句之外，FGA还通过在每次用户选择特定的数据集时执行一段代码，提供了一种方法来模拟用于SELECT语句的触发器。在OracleDatabase10/9中，FGA可以处理DML语句，从而使其成为了比较完整的审计特性。 因此在Oracle有两种审计机制在起作用FGA和常规审计，因为两种方式各有利弊，所以使用起来比较困难，容易混淆。如FGA相对常规审计来说相对简单，但它会导致资源的浪费，因为每次访问FGA都要运行一次，无形中使得线索变的很大，并且记录了大量的无用信息。在Oracle中审计操作对非专业人士来说是一种挑战，因为其审计条件的设置全部是通过命令行来完成的，基本没有可视化的规则设置工具。同时，规则操作不够灵活，例如在FGA需要改变某条规则的参数，那么需要用命令行删除本条规则，然后再通过创建一条新规则的方式，改变其中的一个参数。 传统的审计保护功能存在以下五个方面的不足: (1)缺少方便的审计规则配制功能 在现有的数据库系统中，审计条件的设置全部都是通过命令行的方式完成的，基本上没有可视化的规则配置工具，并且规则操作灵活性差，冗余度高。 (2)缺少对审计系统自身的保护功能 在公安部计算机信息系统安全产品质量监督检验中心制定的《信息技术数据安全审计产品检验规范》中明确提出了对审计系统自身安全功能的要求。因此为审计系统设置专职的审计员(Auditor)，审计操作都是由DBA执行的，这样才能符合安全数据库系统必须三权分立的要求，才能实现真正的数据库安全。 (3)审计功能不够全面 从被审计事件来看，审计系统只能审计数据定义和数据访问操作，缺少对系统维护操作特别是与数据库安全管理有关的访问操作的审计;从被审计的用户来看，只能对普通数据库用户的访问操作进行审计，不能审计由数据库管理员、安全管理员和审计管理员提交的访问操作;从审计记录的记载内容来看，缺少与被审计对象(被审计的主体和客体)的安全属性有关的信息，不利于系统安全性的分析。 (4)缺少方便有效的审计数据的查询、分析和预警功能 在现有数据库的审计系统中，用户只有自己书写SQL命令才能查询数据库中的审计记录，没有提供对审计记录的分析工具，也缺少对数据库安全产生威胁情况下的自动报警功能。同时也没有提供对审计选项设置情况的查阅功能。 1.5 本文结构 论文的整体结构如下： 第1章 绪论 第2章 数据库的安全机制 第3章 数据库安全审计机制 第4章 数据库挖掘技术及其应用 第5章 Oracle数据库审计系统的实现 第6章 结论 对全文进行了总结，并对进一步的研究方向进行了展望。