管理安全信息是最難于有效實施和維護的任務(wù)之一。在當(dāng)前以網(wǎng)絡(luò)為中心的業(yè)務(wù)模型中，驗證個人身份、控制訪問和維護數(shù)據(jù)的完整性與保密性變得越來越難。安全是一個涉及多方面的問題，需要對業(yè)務(wù)基礎(chǔ)設(shè)施中所有容易受到危害的因素加以分析。在進(jìn)行認(rèn)證的時候，單純的加密并不能涵蓋信息管理的所有方面，安全信息管理涉及三個主要領(lǐng)域，本文將對這些領(lǐng)域進(jìn)行探討。

認(rèn)證

認(rèn)證方法試圖保證系統(tǒng)用戶的身份。如今，對于大型的基礎(chǔ)設(shè)施來說，安全是需要重點考慮的一個問題，傳統(tǒng)的使用用戶 ID 和密碼進(jìn)行驗證的方法不再有效，或者說這種方法不再能包辦一切。新的挑戰(zhàn)是，應(yīng)用程序常常需要能將安全策略與應(yīng)用程序分離開來的認(rèn)證模型，例如 Lightweight Directory Access Protocol (LDAP) 或 Kerberos。

企業(yè)要求認(rèn)證框架易于維護和更新。由于發(fā)現(xiàn)了認(rèn)證算法中存在的缺點，或者由于系統(tǒng)認(rèn)證需求的變化，有時候需要更改認(rèn)證框架的組件。對這一問題的解決方案必須考慮應(yīng)用程序如何以通用方式使用新的認(rèn)證框架，還應(yīng)考慮認(rèn)證框架如何以通用方式對用戶進(jìn)行認(rèn)證。

目前有兩個主要框架支持應(yīng)用程序插入不同的認(rèn)證模型，它們是 Generic Security Services Application Programming Interface (GSS-API) 和 Pluggable Authentication Module (PAM)。DB2 UDB 支持 GSS-API，而 IBM IDS 則支持 PAM。

允許應(yīng)用程序控制安全。使用 GSS-API 的程序員編寫的應(yīng)用程序可以不知道關(guān)于保護網(wǎng)絡(luò)數(shù)據(jù)的細(xì)節(jié)。GSS-API 還提供了一個框架，該框架允許以一種通用的方式調(diào)用安全服務(wù)，它支持各種不同的技術(shù)，例如 Kerberos 或 Public Key Mechanism。

是一種認(rèn)證機制，它允許根據(jù)應(yīng)用程序要求的變化定制一些系統(tǒng)入口服務(wù)，例如 login、rlogin 和 telnet。通過使用 PAM 框架，可以添加多種認(rèn)證技術(shù)，而不必更改任何登錄服務(wù)，從而可以保留已有的系統(tǒng)環(huán)境。PAM 可用于將登錄服務(wù)與不同的認(rèn)證技術(shù)，例如 RSA、DCE、Kerberos、S/Key 和基于智能卡（smart card）的認(rèn)證系統(tǒng)進(jìn)行集成。因此，PAM 使聯(lián)網(wǎng)的計算機可以和平相處在一個異構(gòu)的環(huán)境中，同時在這個環(huán)境中還可以使用多種安全機制。

受信任上下文

在多層環(huán)境中，例如在事務(wù)處理環(huán)境中，有時候需要通過保留各層上每個終端用戶的身份和特權(quán)，并且對動作進(jìn)行審計，以此來控制中間層應(yīng)用程序的安全。在這種情況下可能出現(xiàn)很多問題，例如終端用戶身份丟失，終端用戶責(zé)任性減弱，過度為中間層認(rèn)證 ID 授予特權(quán)，以及由于中間層認(rèn)證 ID 必須獲得可能建立連接的終端用戶的所有特權(quán)而導(dǎo)致安全性降低。

引入了受信任上下文（trusted context）認(rèn)證，以允許中間層進(jìn)行這種類型的認(rèn)證。受信任上下文是一個對象，它為用戶提供一組特定的特權(quán)，當(dāng)用戶通過一個受信任的連接連接到數(shù)據(jù)庫時，便可以使用它。例如，在 Web 應(yīng)用程序環(huán)境中，中間層應(yīng)用程序通過一個受信任上下文建立受信任的連接，從而使終端用戶的身份得以傳遞到數(shù)據(jù)庫服務(wù)器。

受信任上下文允許定義 DB2 與外部實體之間的一組惟一的交互。例如，一個外部實體，比如說一個中間件服務(wù)器，可以使用不同用戶名下已有的數(shù)據(jù)庫連接，而不需要對新的連接用戶進(jìn)行認(rèn)證的能力。受信任上下文還使 DB2 授權(quán) ID 可以獲得特定受信任上下文中一組特殊的特權(quán)，而在這個受信任上下文之外，通過定義角色是無法獲得這些特權(quán)的。Websphere Application Server、PeopleSoft V7、Domino 和 SAP R/3 就屬于支持這種三層應(yīng)用程序模型的軟件產(chǎn)品。當(dāng)中間層建立一個與 DB2 的連接時，可使用中間層的用戶 ID 和密碼進(jìn)行認(rèn)證。而且，對于任何數(shù)據(jù)庫訪問，包括由中間層代表終端用戶執(zhí)行的訪問所需的所有授權(quán)檢查，都可以使用與中間層授權(quán) ID 相關(guān)的數(shù)據(jù)庫特權(quán)來解決。在應(yīng)用程序已經(jīng)建立與 DB2 服務(wù)器的連接之后，應(yīng)用程序可以在后端切換與受信任上下文相關(guān)聯(lián)的用戶。

當(dāng)在應(yīng)用程序環(huán)境中介紹受信任上下文時，有一些隱含的意思要注意：

應(yīng)用程序可以通過將用戶的憑證直接傳遞給數(shù)據(jù)庫服務(wù)器來驗證用戶的憑證。還可以在后端服務(wù)器上認(rèn)證每個用戶。這使得對每個用戶的動作進(jìn)行審計以及提高責(zé)任性都變得更加容易。

數(shù)據(jù)庫管理員可以監(jiān)控哪些終端用戶被允許通過中間層應(yīng)用程序訪問數(shù)據(jù)庫服務(wù)器。

數(shù)據(jù)庫管理員可以對中間層應(yīng)用程序代表給定一組用戶執(zhí)行的動作進(jìn)行審計。由于每個中間層都可以受委托而獲得認(rèn)證的能力，可以代表一組特定的用戶，擁有一組特定的角色，因此受信任上下文支持中間層應(yīng)用程序的一種受限制的信任模型，從而避免在中間層出現(xiàn)擁有所有特權(quán)的超級用戶。

由于不必為每個終端用戶建立新的物理連接，因此可以顯著降低性能上的開銷。中間層只需建立一個受信任連接，就可以獲得通過受信任上下文切換終端用戶的能力。

授權(quán)

除了認(rèn)證問題外，能夠?qū)?shù)據(jù)庫服務(wù)器的安全形成威脅的還包括對敏感信息未經(jīng)授權(quán)的訪問。在一個用戶通過認(rèn)證之后，數(shù)據(jù)庫服務(wù)器為那個用戶授權(quán)，使之可以執(zhí)行不同類型的操作。為了確保每個用戶擁有適當(dāng)級別的訪問特權(quán)，必須進(jìn)行授權(quán)。例如，一家公司的 CFO 可能需要訪問全公司的財務(wù)記錄，而一個部門經(jīng)理的訪問權(quán)限就要受到更多的限制，也許他/她只能看到其管轄的員工的工資表記錄。細(xì)粒度的、基于特權(quán)的授權(quán)方式使公司可以根據(jù)訪問需求為用戶定制特定的特權(quán)和許可，從而有效地管理訪問控制。

和 IDS 已經(jīng)實現(xiàn)了 Role-Based Access Control (RBAC)，這是用于只允許經(jīng)過授權(quán)的用戶進(jìn)行系統(tǒng)訪問的一種解決方案。它將 Mandatory Access Control (MAC) 和 Discretionary Access Control (DAC) 的方法相結(jié)合。在公司中，角色是根據(jù)用戶所履行的職務(wù)職能來創(chuàng)建的。每個角色被賦予執(zhí)行某些操作的許可。而系統(tǒng)用戶則被賦予特定的角色，通過這些角色的賦予，用戶可以獲得適當(dāng)?shù)脑S可來執(zhí)行系統(tǒng)功能。然而，有些環(huán)境需要多種級別的安全性，例如國防部（DoD）。在這種環(huán)境中，系統(tǒng)數(shù)據(jù)是根據(jù)用戶安全許可的級別而向用戶開放的。根據(jù)用戶可以看到的數(shù)據(jù)的敏感性級別，每個用戶都應(yīng)該可以訪問某個安全級別。為解決這一需求，DB2 實現(xiàn)了 Label Based Access Control (LBAC)。每一行或列都可以貼上一個安全標(biāo)簽，標(biāo)簽中存儲著關(guān)于數(shù)據(jù)的類別或敏感性的信息。類似地，每個數(shù)據(jù)庫用戶也都被賦予一個安全標(biāo)簽，這個標(biāo)簽將決定他/她可以訪問哪些貼了標(biāo)簽的數(shù)據(jù)行或列。

的中心思想是，用戶沒有對企業(yè)對象的自主訪問權(quán)。相反，角色與訪問許可是相關(guān)聯(lián)的，用戶只能成為適當(dāng)角色的一個成員。RBAC 大大簡化了對授權(quán)的管理，同時也使系統(tǒng)管理員可以在一個抽象層次上控制對企業(yè)對象的訪問，這種抽象與企業(yè)的結(jié)構(gòu)非常近似。RBAC 很快就被很多軟件產(chǎn)品采用，尤其是那些關(guān)系數(shù)據(jù)庫管理系統(tǒng)（Relational Database Management Systems，RDBMS）。

通過基于標(biāo)簽的訪問控制（Label-Based Access Control）這種手段，數(shù)據(jù)庫系統(tǒng)可以根據(jù)對象中包含的安全標(biāo)簽和為試圖訪問那個對象的用戶授予的安全標(biāo)簽，控制對這個數(shù)據(jù)庫對象的訪問。DB2 LBAC 方法是允許用戶定義一組組件，以構(gòu)成一個安全標(biāo)簽，并允許用戶指定訪問規(guī)則。它允許用戶定義要使用的安全標(biāo)簽的結(jié)構(gòu)。LBAC 讓用戶定義確切地定義哪些人有對某行和列的寫訪問權(quán)，哪些人又有讀訪問權(quán)。安全標(biāo)簽組件是一個新的數(shù)據(jù)庫實體，可以被創(chuàng)建、刪除和修改。它被引入作為安全標(biāo)簽的一個構(gòu)件。一個安全標(biāo)簽由一個或多個安全標(biāo)簽組件組成。一共有三種類型的安全標(biāo)簽組件：數(shù)組、集合和樹。在定義了安全標(biāo)簽組件后，用戶就可以定義安全標(biāo)簽，并將安全標(biāo)簽與一個用戶或一個（或多個）安全行相關(guān)聯(lián)。

加密

加密與認(rèn)證和授權(quán)沒有直接的關(guān)系，但是，在保護傳輸中的或靜止的數(shù)據(jù)不受未經(jīng)授權(quán)用戶訪問的時候，它也是一個重要的方面。網(wǎng)絡(luò)協(xié)議，例如 HTTP、SMTP 和 FTP，并沒有為通過網(wǎng)絡(luò)傳輸?shù)拿舾袛?shù)據(jù)提供足夠的保護。在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)容易受到各種網(wǎng)絡(luò)攻擊，例如嗅探網(wǎng)絡(luò)傳輸、不可抵賴性、篡改數(shù)據(jù)、欺騙、攔截和捕捉回復(fù)。安全套接字層（Secure Socket Layer，SSL）大大改進(jìn)了傳統(tǒng)協(xié)議。SSL 可以確保在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)的秘密性和完整性。IDS 通過 openSSL 庫為無線傳輸?shù)募用芴峁┝酥С帧?/p>

對于某些應(yīng)用程序，可以將數(shù)據(jù)加密作為安全性的一種附加措施。通過適當(dāng)?shù)卣J(rèn)證和訪問控制，確保只有具有適當(dāng)身份和經(jīng)過授權(quán)的用戶可以訪問數(shù)據(jù)，可以處理大多數(shù)數(shù)據(jù)安全問題。但是，數(shù)據(jù)庫中的數(shù)據(jù)在數(shù)據(jù)庫管理員面前通常會暴露無遺，因為 DBA 擁有無限的特權(quán)。同樣，公司可能關(guān)心離線存儲的敏感數(shù)據(jù)的安全，例如存儲在第三方的備份數(shù)據(jù)。為了保護靜止的數(shù)據(jù)，DB2 和 IDS 都支持列級加密（CLE）。數(shù)據(jù)庫服務(wù)器可以使用 CLE 來以加密的格式存儲數(shù)據(jù)，并提供基于密碼的訪問。

管理安全信息是最難于有效地實施和維護的任務(wù)之一。在本教程中，我們試圖為業(yè)務(wù)基礎(chǔ)設(shè)施中可能存在的安全問題提供解決方案。我們?yōu)檎J(rèn)證、授權(quán)和通過加密保護數(shù)據(jù)這些方面的安全問題提供了解決方案。

對靜止數(shù)據(jù)的加密

和 DB2 都支持 CLE。CLE 用于為包含敏感數(shù)據(jù)（例如信用卡號）的列設(shè)置加密密碼。有 ENCRYPT_TDES() 一些內(nèi)置的加密函數(shù)，例如 ENCRYPT_AES() 和可用于對包含以下字符數(shù)據(jù)類型或智能大型對象數(shù)據(jù)類型的列中的數(shù)據(jù)進(jìn)行加密：CHAR、NCHAR、VARCHAR、NVARCHAR、LVARCHAR、 BLOB、CLOB。數(shù)據(jù)經(jīng)過加密后，只有能提供密碼的用戶可以解密數(shù)據(jù)。一個數(shù)據(jù)庫表中某個特定列中的所有值都以用戶提供的相同密碼、相同的加密算法和相同的加密方式進(jìn)行加密。用戶還可以使用 SET ENCRYPTION PASSWORD 語句為一個會話設(shè)置一個加密密碼。只有能提供密碼的用戶可以查看、復(fù)制或修改被加密的數(shù)據(jù)。

傳輸中的數(shù)據(jù)

由 Netscape 公司開發(fā)的 SSL 是為業(yè)界所接受的一個標(biāo)準(zhǔn)，用于確保在一條安全通道上對數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)傳輸。SSL 受到當(dāng)前可用的所有 Web 服務(wù)器和 Web 瀏覽器的支持。SSL 協(xié)議在一個公共密鑰基礎(chǔ)設(shè)施中提供認(rèn)證、數(shù)據(jù)加密和數(shù)據(jù)完整性。在三層系統(tǒng)中，SSL 可以解決保護各層之間交換的用戶數(shù)據(jù)的問題。通過提供強大的、基于標(biāo)準(zhǔn)的加密和完整性算法，SSL 向系統(tǒng)開發(fā)人員和用戶保證數(shù)據(jù)在 Internet 上不會受到危害?；诿艽a的認(rèn)證只能進(jìn)行客戶機到服務(wù)器的認(rèn)證，而 SSL 則不同，它既可以進(jìn)行客戶機到服務(wù)器的認(rèn)證，也可以進(jìn)行服務(wù)器到客戶機的認(rèn)證。當(dāng)構(gòu)建一個基于 Web 的三層系統(tǒng)時，這是一個有用的特性，因為用戶常常堅持要在為服務(wù)器提供敏感信息（例如信用卡號）之前，對 Web 服務(wù)器的身份進(jìn)行認(rèn)證。IDS 通過使用加密通信支持模塊（ENCCSM），允許對在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)進(jìn)行加密。

安全方面的挑戰(zhàn)和解決方案矩陣

類別問題解決方案安全技術(shù)IBM DB2IBM IDSOracle

認(rèn)證認(rèn)證基礎(chǔ)設(shè)施的可維護性通過通用的認(rèn)證機制將安全策略分離開來PAMGSS-API 可以解決應(yīng)用程序如何以一種通用方式使用新的認(rèn)證機制的問題PAM 可以解決如何以一種通用方式使用這些機制來對用戶進(jìn)行認(rèn)證的問題強認(rèn)證：支持 Kerberos、DCE 和 RADIUS

上下文敏感的認(rèn)證與服務(wù)器和應(yīng)用程序建立信任關(guān)系信任關(guān)系受信任的上下文 代理認(rèn)證

授權(quán)未經(jīng)授權(quán)的對數(shù)據(jù)的訪問限制對數(shù)據(jù)行和列的訪問LBACDB2 9 中的 LBAC 可以限制對表中行和列的訪問 Oracle Label Security 可以基于安全標(biāo)簽限制對表中行的訪問

限制用戶能獲得的特權(quán)RBACRBAC for DB2 9IDS 實現(xiàn)了角色Oracle 實現(xiàn)了角色

加密對通信的竊聽保護網(wǎng)絡(luò)SSL目前不支持。DB2 支持通過 Distributed Relational Database Architecture (DRDA) 加密和密碼加密方法進(jìn)行加密通過 OpenSSL 的實現(xiàn)提供了支持Oracle 實現(xiàn)了 SSL 協(xié)議

對物理數(shù)據(jù)的未經(jīng)授權(quán)的訪問保護靜止的數(shù)據(jù)數(shù)據(jù)加密DB2 通過內(nèi)置函數(shù) ENCRYPT、 DECRYPT_BIN、DECRYPT_CHAR 和 GETHINTNo 提供了對數(shù)據(jù)加密的支持列級加密Oracle 提供了一個 PL/SQL 包來加密和解密用 Obfuscation Toolkit 存儲的數(shù)據(jù)

【編輯推薦】

1. 數(shù)據(jù)庫安全最佳實踐：數(shù)據(jù)庫審計工具調(diào)優(yōu)
2. 甲骨文數(shù)據(jù)庫安全面臨五大難題