數(shù)據(jù)庫監(jiān)管體制的實現(xiàn)方式

時間:2022-12-02 09:20:00

導語:數(shù)據(jù)庫監(jiān)管體制的實現(xiàn)方式一文來源于網(wǎng)友上傳,不代表本站觀點,若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

數(shù)據(jù)庫監(jiān)管體制的實現(xiàn)方式

1.加固型安全數(shù)據(jù)庫管理系統(tǒng)在實現(xiàn)安全的數(shù)據(jù)庫管理系統(tǒng)時,我們有時候把安全子系統(tǒng)作為一個獨立的設(shè)施加在已有數(shù)據(jù)庫管理系統(tǒng)之上,進行MAC檢查,稱之為加固型安全數(shù)據(jù)庫系統(tǒng).這種實現(xiàn)方式可以把一個普通的數(shù)據(jù)庫管理系統(tǒng)不做較大的修改(甚至可以不知道源碼)就改造成安全的數(shù)據(jù)庫系統(tǒng).在考慮實現(xiàn)安全數(shù)據(jù)庫管理系統(tǒng)時,一方面我國自行研制的數(shù)據(jù)庫管理系統(tǒng)本身還不夠成熟,另一方面現(xiàn)有的大型信息系統(tǒng)大多已經(jīng)使用了國外產(chǎn)品;同時我們在進口國外安全數(shù)據(jù)庫系統(tǒng)時受到諸多限制.因此我們以這種加固安全子系統(tǒng)方式來提升現(xiàn)有數(shù)據(jù)庫系統(tǒng)的安全性,實現(xiàn)安全數(shù)據(jù)庫系統(tǒng)非常有用.加固型的安全數(shù)據(jù)庫在實現(xiàn)上又有兩種方式,一種稱為服務器式,一種稱為內(nèi)核式.

1.1服務器式(采用安全服務器的安全數(shù)據(jù)庫)在客戶段與數(shù)據(jù)庫服務器之間有一個安全服務器,這個安全服務器的功能是:a、標注主、客體,修改相應標記,存儲相關(guān)標記信息;b、分析服務請求(這主要是指語法分析,服務請求一般都是SQL語句),取得主客體及其標記,進行強制訪問控制檢查;c、可能的其他安全功能(如審計等).任何對數(shù)據(jù)庫的服務請求,包括數(shù)據(jù)庫管理等,都將被強制通過這個服務器,進行強制訪問控制檢查.并且任何可能引起相關(guān)安全信息改變的請求都被分析,引起相應的修改,如增加客體、刪除客體等,引起相應客體的標記的增刪.

1.2內(nèi)核式(內(nèi)核式加固型安全數(shù)據(jù)庫)在數(shù)據(jù)庫管理系統(tǒng)之外包裝一個強制訪問控制部件,作為真正的接口對外提供服務.在這個部件中主要模塊包括語法分析部分、強制訪問控制等,還包括可能的其他安全功能(如審計等),強制訪問控制部件位于對外接口和原數(shù)據(jù)庫之間,它接受來在于對外接口的全部請求;經(jīng)過強制訪問控制檢查后,或者交給原數(shù)據(jù)庫系統(tǒng)處理,或者拒絕服務;并且任何請求都只能通過這種方式到達數(shù)據(jù)庫存取數(shù)據(jù).這個部件的功能與上述的安全服務器類似,只是在實現(xiàn)上需要做的工作更多,而結(jié)構(gòu)上則更緊湊.

2.自主型安全數(shù)據(jù)庫管理系統(tǒng)目前我們已經(jīng)發(fā)現(xiàn),以前從國外進口的計算機,從內(nèi)部編號到主板的內(nèi)藏信息,包括軟件的密碼,都存在著很多的泄密可能.由此我們不能忽視國外的主流關(guān)系數(shù)據(jù)庫產(chǎn)品潛在的安全隱患;另外國外成熟的安全技術(shù)和產(chǎn)品嚴格限制出口(目前在數(shù)據(jù)庫方面,美國最多允許C2級的產(chǎn)品出口到我國).這足以引起我們巨大的危機意識:在強烈依賴信息技術(shù)的今天,千萬不能讓安全問題依賴于國外的技術(shù)產(chǎn)品上.

3.各種實現(xiàn)方式的比較上述幾種安全數(shù)據(jù)庫管理系統(tǒng)的實現(xiàn)方式,具有各自的特點和缺點,適合于不同的實現(xiàn)基礎(chǔ)和要求.

a.加固型安全服務器式實現(xiàn)的安全數(shù)據(jù)庫系統(tǒng)結(jié)構(gòu)清晰、松散,易于添加與移去安全部件,其安全部件幾乎完全獨立于原數(shù)據(jù)庫管理系統(tǒng),無需任何其他部件的支持.實現(xiàn)時一般需要硬件的支持.這種系統(tǒng)一般針對具體應用制定安全策略,并依此進行管理和維護.

b.加固型內(nèi)接式實現(xiàn)的安全數(shù)據(jù)庫系統(tǒng)結(jié)構(gòu)清晰,其安全部件與原數(shù)據(jù)庫管理系統(tǒng)相對獨立,實現(xiàn)后的數(shù)據(jù)庫系統(tǒng)一般作為通用(可針對不同應用)的安全數(shù)據(jù)庫;實現(xiàn)無需硬件的支持.與安全服務器式實現(xiàn)的系統(tǒng)相比,它的結(jié)構(gòu)更加簡單、緊湊,強制訪問控制檢查不容易被旁路.

目前,國內(nèi)己經(jīng)有一些研究機構(gòu)在研發(fā)B1級數(shù)據(jù)庫管理系統(tǒng),華中理工大學多媒體和數(shù)據(jù)庫研究所開發(fā)了B1級數(shù)據(jù)庫管理系統(tǒng)DM2,東軟集團中間件公司在大型數(shù)據(jù)庫管理系統(tǒng)OpenBASE的基礎(chǔ)上,自主研究開發(fā)了OpenBASESecuer1.0,北京大學牽頭研制了數(shù)據(jù)庫管理系統(tǒng)COBASE.這些研究工作為我國B級數(shù)據(jù)庫管理系統(tǒng)安全產(chǎn)品的研究工作打下了良好的基礎(chǔ),但由于存在眾所周知的數(shù)據(jù)庫本身技術(shù)問題和市場問題,短期內(nèi)還不能在國內(nèi)流行.而加固型安全數(shù)據(jù)庫管理系統(tǒng)的兩種實現(xiàn)方式中,服務器式結(jié)構(gòu)松散,在實現(xiàn)上與DBMS分離,受DBMS本身的限制較小,可擴展性較大;內(nèi)核式則相對與原有數(shù)據(jù)庫系統(tǒng)結(jié)合較為緊密,且開發(fā)工作量大.為方便我們安全增強器的實現(xiàn)和今后的功能擴充,我們可以采用服務器式的實現(xiàn)方法.