多级入侵容忍技术研究

王 雪

（国家新闻出版广电总局202台，西藏拉萨 850030）

0 引言

数据库的安全性是信息安全的重要方面之一。数据库安全的重点是如何有效地保护数据的机密性和完整性，其所使用的技术有访问控制、防火墙、认证、入侵检测、加密等。这些安全技术的目的是对攻击或入侵进行防御，然而，有时这些技术对于某些恶意攻击是无效的。于是，在防御无效的条件下，如何有效保障数据库的生存性成为了数据库安全的一个突出问题。

1 入侵容忍技术的目标、实现机制及安全策略

入侵容忍技术是一种保障数据库生存性的技术。依据数据库安全需要，入侵容忍技术需达到的目标是：（1）能有效预防并阻止针对数据库的攻击；（2）能检测出攻击行为并估计破坏性；（3）在遭到攻击时，能保障并恢复数据库中的关键数据。

要想实现入侵容忍技术的目标，就必须有一套安全机制，当前安全机制有入侵检测机制、入侵遏制机制、错误处理机制及恢复机制等。由于错误处理的方法可靠性不高及不实时，就使错误恢复机制无法有效发挥作用，所以错误屏蔽机制是需要首先保证的机制。

入侵容忍技术的安全策略是指当数据库遭受入侵时，数据库采取某些安全策略达到入侵容忍的目的，避免数据库失效情况的发生。入侵容忍技术的安全策略是在评估入侵成本及数据库价值的基础上确定，主要包括几个方面：故障预警及容错、机密性操作、防失败操作、可恢复操作、可重配操作。

2 入侵容忍技术的特点

入侵容忍技术的最重要的特点是要求数据库中任何单点失效或故障不会对整个数据库的运转产生影响。入侵容忍技术不会信任每一个单独系统，因为可能某些单独系统已经被入侵了。

入侵容忍技术的另一特点是抵御内部的攻击。入侵容忍技术通过分散数据库权限以及防御单独系统失效等手段，就能够保证少量设备、局部网络、单独系统的失效都不能使数据库出现崩溃和泄密情况发生。

3 多层次入侵容忍技术

当前，国内外很多研究机构都在进行入侵容忍技术研究。国际上主要的入侵容忍技术有：OASIS，MAFTIA，DARPA，ITUA，ITTC，SRI等。这些入侵容忍技术均使用了系统自适应、冗余、事物级入侵容忍、间接访问等多种技术，均是利用攻击遮蔽和攻击响应等方法来达到入侵容忍的目的。

目前，数据库的入侵容忍技术存在几个问题：（1）没有站在数据库整体结构的高度来制定容忍入侵方案；（2）数据库安全成本太高。针对这些问题，本文提出了一种多级入侵容忍的数据库安全技术，结合冗余技术和多样性技术，使用事物级入侵容忍技术，有效实现数据库的完整性、可用性。

多级入侵容忍技术由以下4级构成：

第1级：对于用户，采取访问控制、间接访问、认证、消息过滤、加密、防火墙等技术，用于防范没有得到授权的用户的攻击。当客户访问数据库时，必须经过防火墙检测，而客户和数据库间需相互认证，必要的时候可加密机密信息。

第2级：采用不同种类的操作系统，如Windows，Linux等。因为某种恶意入侵或攻击一般是针对某种特定的操作系统，采用多种操作系统可以有效防止恶意入侵或攻击对数据库数据的破坏。

第3级：DBMS冗余异构，采用Oracle，SQL Server，Sybase等不同数据库管理系统对数据进行存储。因为入侵者一般不能熟悉所有种类的DBMS，某种恶意入侵或攻击一般仅仅针对某种DBMS，所以采用不同DBMS存储数据可以有效防止恶意入侵或攻击对数据库数据的破坏。

第4级：采用事物级入侵容忍技术。入侵容忍技术最为核心的是数据库遭到入侵时能够保障数据库的生存，维护数据库核心功能和数据的安全性及完整性。数据库安全问题中最难以防御的就是恶意或者非恶意的内部攻击。恶意内部攻击主要指数据库的内部人员有预谋地监控、窃取甚至损毁数据。联邦调查局（FBI）提供的数据显示约80%以上的攻击均来自于内部人员，因为他们熟知数据库结构、数据存储及安全系统设置等情况，这种入侵的监测及防御是非常困难的。非恶意内部攻击是指由于粗心大意或者为了某种原因跳过安全策略等，对数据库的安全和数据造成了损坏的行为。事物级入侵容忍技术能较好地监测、防御内部攻击，维护数据库安全。

采用多级入侵容忍技术的数据库安全体系由5部分构成：策略管理、Proxy（对终端用户提供服务的服务器）、冗余异构数据库服务器、事物级入侵容忍、入侵检测系统（IDS）。当Proxy收到应用请求的时候，会首先检查请求的合法性，然后再把请求发到数据库服务器上。数据库服务器的数量由用户安全需求决定，对于一般的数据操作，只需一个或少数几个数据库服务器处理；对于机密数据的操作，就需多个数据库服务器共同处理。策略管理用于监控Proxy和用户间、Proxy和Proxy的通信，若发现某代理服务器出现故障，则需对安全策略进行调整，从而保证服务继续进行。若策略管理中，安全策略确认数据库处于事物级恶意攻击威胁的情况，则需启用事物级入侵容忍。入侵检测系统负责监控Proxy、用户、数据库服务器的运转，检查用户事务日志是否有异常情况发生。

入侵容忍技术放弃了以前绝对安全的目标，实现安全的机制是针对数据库的使用和数据安全等目的进行的，并不需要维护数据库本身的完整。本文给出的数据库入侵容忍技术采用间接访问、冗余等技术，具备冗余、安全等特点，它并不依赖单个独立系统的安全，即使某些独立系统被入侵并也不会造成整个数据库的瘫痪。此外，采用入侵容忍技术的数据库具有成本低、开发周期短、易扩展等特点。

［1］李庆华，张撤，赵峰.一种基于CORBA分布式对象的容侵［J］.计算机工程，2006（20）：138-139.

［2］贾超，薛继华.基于容忍技术的入侵检测系统研究［J］.微处理机，2006（6）：41-43.

［3］曹军梅，徐静荣.基于冗余技术入侵容忍系统的设计与实现［J］.延安大学学报，2007（3）：17-19.

［4］黄建华，杨天扬.入侵容忍系统的安全性量化方法分析［J］.信息网络安全，2009（7）：77-79.