多級入侵容忍技術研究

王 雪

（國家新聞出版廣電總局202臺，西藏拉薩 850030）

0 引言

數(shù)據(jù)庫的安全性是信息安全的重要方面之一。數(shù)據(jù)庫安全的重點是如何有效地保護數(shù)據(jù)的機密性和完整性，其所使用的技術有訪問控制、防火墻、認證、入侵檢測、加密等。這些安全技術的目的是對攻擊或入侵進行防御，然而，有時這些技術對于某些惡意攻擊是無效的。于是，在防御無效的條件下，如何有效保障數(shù)據(jù)庫的生存性成為了數(shù)據(jù)庫安全的一個突出問題。

1 入侵容忍技術的目標、實現(xiàn)機制及安全策略

入侵容忍技術是一種保障數(shù)據(jù)庫生存性的技術。依據(jù)數(shù)據(jù)庫安全需要，入侵容忍技術需達到的目標是：（1）能有效預防并阻止針對數(shù)據(jù)庫的攻擊；（2）能檢測出攻擊行為并估計破壞性；（3）在遭到攻擊時，能保障并恢復數(shù)據(jù)庫中的關鍵數(shù)據(jù)。

要想實現(xiàn)入侵容忍技術的目標，就必須有一套安全機制，當前安全機制有入侵檢測機制、入侵遏制機制、錯誤處理機制及恢復機制等。由于錯誤處理的方法可靠性不高及不實時，就使錯誤恢復機制無法有效發(fā)揮作用，所以錯誤屏蔽機制是需要首先保證的機制。

入侵容忍技術的安全策略是指當數(shù)據(jù)庫遭受入侵時，數(shù)據(jù)庫采取某些安全策略達到入侵容忍的目的，避免數(shù)據(jù)庫失效情況的發(fā)生。入侵容忍技術的安全策略是在評估入侵成本及數(shù)據(jù)庫價值的基礎上確定，主要包括幾個方面：故障預警及容錯、機密性操作、防失敗操作、可恢復操作、可重配操作。

2 入侵容忍技術的特點

入侵容忍技術的最重要的特點是要求數(shù)據(jù)庫中任何單點失效或故障不會對整個數(shù)據(jù)庫的運轉產(chǎn)生影響。入侵容忍技術不會信任每一個單獨系統(tǒng)，因為可能某些單獨系統(tǒng)已經(jīng)被入侵了。

入侵容忍技術的另一特點是抵御內部的攻擊。入侵容忍技術通過分散數(shù)據(jù)庫權限以及防御單獨系統(tǒng)失效等手段，就能夠保證少量設備、局部網(wǎng)絡、單獨系統(tǒng)的失效都不能使數(shù)據(jù)庫出現(xiàn)崩潰和泄密情況發(fā)生。

3 多層次入侵容忍技術

當前，國內外很多研究機構都在進行入侵容忍技術研究。國際上主要的入侵容忍技術有：OASIS，MAFTIA，DARPA，ITUA，ITTC，SRI等。這些入侵容忍技術均使用了系統(tǒng)自適應、冗余、事物級入侵容忍、間接訪問等多種技術，均是利用攻擊遮蔽和攻擊響應等方法來達到入侵容忍的目的。

目前，數(shù)據(jù)庫的入侵容忍技術存在幾個問題：（1）沒有站在數(shù)據(jù)庫整體結構的高度來制定容忍入侵方案；（2）數(shù)據(jù)庫安全成本太高。針對這些問題，本文提出了一種多級入侵容忍的數(shù)據(jù)庫安全技術，結合冗余技術和多樣性技術，使用事物級入侵容忍技術，有效實現(xiàn)數(shù)據(jù)庫的完整性、可用性。

多級入侵容忍技術由以下4級構成：

第1級：對于用戶，采取訪問控制、間接訪問、認證、消息過濾、加密、防火墻等技術，用于防范沒有得到授權的用戶的攻擊。當客戶訪問數(shù)據(jù)庫時，必須經(jīng)過防火墻檢測，而客戶和數(shù)據(jù)庫間需相互認證，必要的時候可加密機密信息。

第2級：采用不同種類的操作系統(tǒng)，如Windows，Linux等。因為某種惡意入侵或攻擊一般是針對某種特定的操作系統(tǒng)，采用多種操作系統(tǒng)可以有效防止惡意入侵或攻擊對數(shù)據(jù)庫數(shù)據(jù)的破壞。

第3級：DBMS冗余異構，采用Oracle，SQL Server，Sybase等不同數(shù)據(jù)庫管理系統(tǒng)對數(shù)據(jù)進行存儲。因為入侵者一般不能熟悉所有種類的DBMS，某種惡意入侵或攻擊一般僅僅針對某種DBMS，所以采用不同DBMS存儲數(shù)據(jù)可以有效防止惡意入侵或攻擊對數(shù)據(jù)庫數(shù)據(jù)的破壞。

第4級：采用事物級入侵容忍技術。入侵容忍技術最為核心的是數(shù)據(jù)庫遭到入侵時能夠保障數(shù)據(jù)庫的生存，維護數(shù)據(jù)庫核心功能和數(shù)據(jù)的安全性及完整性。數(shù)據(jù)庫安全問題中最難以防御的就是惡意或者非惡意的內部攻擊。惡意內部攻擊主要指數(shù)據(jù)庫的內部人員有預謀地監(jiān)控、竊取甚至損毀數(shù)據(jù)。聯(lián)邦調查局（FBI）提供的數(shù)據(jù)顯示約80%以上的攻擊均來自于內部人員，因為他們熟知數(shù)據(jù)庫結構、數(shù)據(jù)存儲及安全系統(tǒng)設置等情況，這種入侵的監(jiān)測及防御是非常困難的。非惡意內部攻擊是指由于粗心大意或者為了某種原因跳過安全策略等，對數(shù)據(jù)庫的安全和數(shù)據(jù)造成了損壞的行為。事物級入侵容忍技術能較好地監(jiān)測、防御內部攻擊，維護數(shù)據(jù)庫安全。

采用多級入侵容忍技術的數(shù)據(jù)庫安全體系由5部分構成：策略管理、Proxy（對終端用戶提供服務的服務器）、冗余異構數(shù)據(jù)庫服務器、事物級入侵容忍、入侵檢測系統(tǒng)（IDS）。當Proxy收到應用請求的時候，會首先檢查請求的合法性，然后再把請求發(fā)到數(shù)據(jù)庫服務器上。數(shù)據(jù)庫服務器的數(shù)量由用戶安全需求決定，對于一般的數(shù)據(jù)操作，只需一個或少數(shù)幾個數(shù)據(jù)庫服務器處理；對于機密數(shù)據(jù)的操作，就需多個數(shù)據(jù)庫服務器共同處理。策略管理用于監(jiān)控Proxy和用戶間、Proxy和Proxy的通信，若發(fā)現(xiàn)某代理服務器出現(xiàn)故障，則需對安全策略進行調整，從而保證服務繼續(xù)進行。若策略管理中，安全策略確認數(shù)據(jù)庫處于事物級惡意攻擊威脅的情況，則需啟用事物級入侵容忍。入侵檢測系統(tǒng)負責監(jiān)控Proxy、用戶、數(shù)據(jù)庫服務器的運轉，檢查用戶事務日志是否有異常情況發(fā)生。

入侵容忍技術放棄了以前絕對安全的目標，實現(xiàn)安全的機制是針對數(shù)據(jù)庫的使用和數(shù)據(jù)安全等目的進行的，并不需要維護數(shù)據(jù)庫本身的完整。本文給出的數(shù)據(jù)庫入侵容忍技術采用間接訪問、冗余等技術，具備冗余、安全等特點，它并不依賴單個獨立系統(tǒng)的安全，即使某些獨立系統(tǒng)被入侵并也不會造成整個數(shù)據(jù)庫的癱瘓。此外，采用入侵容忍技術的數(shù)據(jù)庫具有成本低、開發(fā)周期短、易擴展等特點。

［1］李慶華，張撤，趙峰.一種基于CORBA分布式對象的容侵［J］.計算機工程，2006（20）：138-139.

［2］賈超，薛繼華.基于容忍技術的入侵檢測系統(tǒng)研究［J］.微處理機，2006（6）：41-43.

［3］曹軍梅，徐靜榮.基于冗余技術入侵容忍系統(tǒng)的設計與實現(xiàn)［J］.延安大學學報，2007（3）：17-19.

［4］黃建華，楊天揚.入侵容忍系統(tǒng)的安全性量化方法分析［J］.信息網(wǎng)絡安全，2009（7）：77-79.