档案数据库安全
数据库是在计算机内的有结构的数据集合。形象地说数据库是存放数据的仓库。严格地说,数据库是指按照一定的数据结构来组织、存储和管理数据的仓库。数据库可分为:关系式数据库、网状数据库和层次数据库。数据库的安全性是指数据库的任何部分都不允许受到恶意的侵害或未经授权的存取与修改。
数据库的破坏主要来自:系统故障;并发所引起的数据的不一致;转入或更新数据库的数据有错误,更新事务时未遵守保持数据库一致的原则;人为的破坏,如数据被非法访问,甚至被篡改或破坏。
数据库是从操作系统的文件系统基础上派生出来的用于大量数据管理的系统。数据库的全部数据都记录在存储媒体上,并由数据库管理系统( DBMS)统一管理。DBMS为用户及应用程序提供一种访问数据的方法,并且对数据库进行组织和管理,对数据库进行维护和恢复。数据库系统的安全策略,部分由操作系统来完成,部分由强化DBMS自身安全措施来完成。数据库系统存放的数据往往比计算机系统本身的价值大得多,档案数据库中存放的档案信息价值更是远远超过系统本身的价值,因此,档案数据库的安全及档案数据库系统的安全是绝对应该重视和必须加以特别保护的。
1 数据库系统概述
一般地讲,数据库系统由三部分组成:数据库、数据库管理系统和用户。数据库采取集中存储、集中维护的方法存放数据,为多个用户提供数据共享服务。数据库管理系统是一个数据库管理软件,其职能是维护数据库,接受和完成用户程序、命令提出的数据访问的各种请求。数据库管理系统应当为用户及应用程序提供一种访问数据的方法,并且应具有对数据库进行组织、管理、维护和恢复的能力。
数据库具有多用户、高可靠性、可频繁更新和文件大等特性,具有如下特点:结构化,数据将按照一定的数据结构来组织和存放;独立性,数据的组织方式和存储方式与应用程序有关;共享性,数据能够为多用户所共享;冗余度,数据的重复程度小;可扩充性,易于添加和插入新数据;完整性,数据维护时易于保持数据的完整一致。
数据库管理系统的主要职能为:有正确的编译功能,能正确执行规定的操作;能正确执行数据库命令;保证数据的安全性、完整性,能抵御一定程度的物理破坏,能维护和提交数据库内容;能识别用户,分配授权和进行访问控制,包括身份识别和验证;顺利执行数据库访问,保证网络通信功能。
形象地说,数据库相当于图书馆中的书库,数据库管理系统相当于图书的书卡,用户相当于读者。数据库系统的优点主要有:共享访问;多个用户可以共享公用的集中数据集;最小冗余;单个用户不必组织并维护自己的数据集,从而避免了公用数据重复所产生的冗余;数据一致性;集中管理和维护数据,易于达到数据的一致性。
从操作系统的角度看,数据库管理系统只是一个大型的应用程序。数据库系统的安全策略,部分由操作系统来完成,部分由强化数据库管理系统的自身安全措施完成。数据库管理系统自身的安全措施在许多方而类似于操作系统的安全措施。但是,由于数据库系统本身的特点,其中,信息的完整性和保密性的实现方法有所不同,其安全措施与操作系统的安全措施也有本质区别。
2 案数据库系统安全的特点
在系统安全方面档案数据库具有:数据独立性、数据安全性、数据的完整性、并发控制和故障恢复等特点:
(1)在数据库中要保护的客体比较多;
(2)数据库中数据的生存期限较长,对保护的精度要求更高;
(3)数据库的安全涉及信息在不同程度上的安全;
(4)数据库系统中受保护的客体可能是复杂的逻辑结构,若干复杂的逻辑结构可能映射到同一物理数据客体上;
(5)数据库的安全与数据的语法有关。
数据库的安全还应当考虑到对推理攻击的防范。推理攻击是指从非敏感的数据推理得出敏感数据的攻击方式。由于对数据库构成的威胁主要有篡改、损坏和窃取三种情况,所以加强对数据库的数据保护尤为重要。
在数据库的安全性方面要采取用户标识和鉴定、存取控制、数据分级以及数据加密等手段。数据库中的所有数据都必须满足自己的完整性约束条件,这些约束包括:数据类型与值域的约束,关键字约束,数据联系的约束。
对不同的数据库,根据使用要求和安全要求有不同的控制策略。数据库的控制方式可分为集中化控制和分散性控制两类。集中化控制指系统只有一个授权者,他控制着整个数据库系统的安全。分散性控制是指数据库应该用许多数据库安全员,每人控制着不同的数据库安全策略。
3 数据库的备份与恢复
数据库的的备份与恢复是数据库管理员维护数据库安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。没有备份,所有的数据都可能会丢失。备份可以防止表和数据库遭受破坏、介质失效或用户错误而造成数据灾难。恢复是在意外后,利用备份来恢复数据库的操作。
数据库的失效往往导致一个机构的瘫痪,然而,任何一个数据库系统总不可能不发生故障。数据库系统对付故障有两种办法:一种办法是尽可能提高系统的可靠性;另一种办法是在系统发生故障后,把数据库恢复至原来的状态。
数据库系统如果发生故障可能会导致数据的丢失,要恢复丢失的数据,必须对数据库系统作备份。在制订数据库备份方案之前必须对下列问题进行分析,在分析的基础上作出评估:对数据库保护的内容;对数据被丢失的可能性分析;如数据丢失必须作出其损失的评估;备份所需的费用的评估。
常用的数据库备份的方法有冷备份、热备份和逻辑备份三种。提高数据库备份性能的办法有:升级数据库管理系统、使用更快的备份设备、备份到磁盘上、使用本地备份设备以及使用原始磁盘分区备份等。
数据库的恢复也称为重载或重入,是指当磁盘损坏或数据库崩溃时,通过转储或卸载的备份重新安装数据库的过程。恢复技术大致可以分为:纯以备份为基础的恢复技术、以备份和运行日志为基础的恢复技术以及基于多备份的恢复技术等三种。
数据库恢复技术是一种可采取的补救措施。具体可采用:利用操作系统提供的功能,将被错误删除或修改的数据恢复,或将送到回收站的数据恢复;定期地将整个数据库复制到软盘上保存起来,或刻录到光盘上保存起来,当数据库遭到破坏后,就可以利用备份将数据恢复;利用各数据库之间的关系,用未遭到破坏的数据库恢复已遭到破坏的数据库。良好的备份与恢复策略是保证数据库安全运行的保证。
4 档案数据库系统的安全措施
档案数据库作为一种特殊的信息系统,它的安全保密措施与普通的网络信息系统的安全措施有许多共同之处,当然也有自身的一些特点。档案数据库的安全措施的主要目的在于:
(1)保证档案数据库的完整性。包括物理上的完整性(数据不受物理故障(如掉电)的影响,并有可能在灾难性毁坏后重组数据库)、逻辑上的完整性(保护档案数据库的逻辑结构)、档案数据库中元素的完整性(保证每个元素所含的数据准确无误)。
(2)保证档案数据库的保密性。包括用户身份鉴别(保证每个用户是绝对可识别的,从而可对它进行审计跟踪,并可以保证对特定数据的访问保护)、访问控制(保证用户仅能访问授权数据,并保证同一组数据的不同用户可以被赋予不同的访问权限)、可审计性(有能力跟踪谁访问了数据库中的哪些元素)。
(3)保证档案数据库的可用性。档案数据库系统对用户应该有友好的界面,可用简单方法访问档案数据库中所有授权访问数据。
为达到上述安全目的,档案数据库系统需要采取一系列的安全策略:
(1)为了防止档案数据库中的数据受到物理破坏,应当对档案数据库系统采取定期备份系统中所有文件的方法来保护系统的完整性。
(2)为了在系统出错时可以重组数据库,档案数据库管理系统应当维护数据库系统的事务日志,以便用这种日志恢复系统故障时丢失的数据。
(3)如果在数据修改期间系统发生故障,档案数据库管理系统将会面临严重的问题。此时,一个记录甚至一个字段中,有的部分得到修改而其余部分维持原样。为了避免这种错误,大多数档案数据库管理系统都采用两阶段修改技术来保护数据的完整性。两阶段修改技术的第一阶段叫做准备阶段。这时,档案数据库管理系统完成修改所需的信息,进行修改前的准备工作。在此阶段,档案数据库管理系统收集数据,建立记录,打开文件并且封锁其他用户,然后计算最后结果。简言之,档案数据库管理系统完成修改所需的一切准备工作,但未对数据库作任何修改。第一阶段的最后一步叫做“提交”,它的任务是把“提交”标志写入数据库。提交标志是两阶段修改技术中两阶段的分界点,它意味着一旦数据库管理系统通过这个分界点后就不再返回,也就是说,一旦进入提交阶段档案数据库管理系统将开始进行永久性的修改。第二阶段叫做永久性修改阶段。在此阶段中,凡是属于提交前的任何动作都是不可重复的,但本阶段的修改活动本身则可重复多次。因此,若在第二阶段系统发生故障,则数据库中可能包含非完整的数据,但可以重复所有第二阶段的活动,使数据恢复完成。第二阶段完成以后,档案数据库管理系统将把“事务完成”标志写入系统的日志,并清除数据库中的“提交”标志。
(4)为了保证数据库元素的完整性,档案数据库管理系统应当在数据输入时帮助用户发现错误和修改错误。常用的方法有三种:首先,档案数据库管理系统利用字段检查,测试某一位置的值是否正确;其次,档案数据库管理系统利用访问控制的机制来维护数据的完整性,以防止非授权用户对主体数据的访问;第三种办法是档案数据库管理系统维持一个数据库的修改日志。修改日志记录数据库的每次修改,既有修改前的值也有修改后的值。借助于修改日志,数据库管理员可以在出错时“废除”任何修改而恢复数据的原值。
(5)档案数据库管理系统要求严格的用户身份鉴别。为了进一步加强数据库系统的安全性和保密性,必须对使用数据库的时间甚至地点加以限制。有的档案数据库管理系统要求用户只能在指定时间、指定的终端上,对数据库系统进行指定的操作。因此,在指定时间、指定终端上登录上机的用户进行身份标识( ID)和口令的鉴别。
(6)档案数据库管理系统应采取适当的访问控制机制。既可以是任意访问控制,又可以是强制访问控制。任意访问控制可以通过控制矩阵进行。强制访问控制通过与军事安全策略类似的方法来实现。具体地讲,在档案数据库管理系统的安全控制上引入级和范围(类别)的概念,每个主体制订一个范围许可级别,每个客体有相应的保密级别。范围许可级别和保密级别一般有四类:公开、秘密、机密和绝密。在服从强制控制的前提下,还可以结合任意控制访问机制,形成一种比较安全又比较灵活的多级安全模型。
(7)采用多层档案数据库系统,即把操作系统的多级安全模型引入安全数据库系统设计之中。多层数据库对访问进行控制的一种简单方法是“分区”。数据库被划分为不同的子库(分区),每个子库都拥有各自的安全层次。这种方法破坏了数据库的基本优点,增加了设计的冗余,而且在对某个字段进行修改时,可能要同时查询并修改其他分区中的相同字段,以维持设计的一致性。
多层数据库对访问控制的另一种方法是利用视图这个抽象概念。简言之,视图是数据库的一个子集,它仅包含用户有权访问的信息。这样单个用户的所有查询仅在自己的数据库子集上进行。子集视图保证用户不会访问允许范围之外的其他设计。除了元素之外,视图由数据库中相应的一系列关系构成。用户可以在已有的属性元素上进行相应的操作。
多层数据库的第一层完成访问控制,并进行档案数据库系统需要的用户身份鉴别,还应当完成数据传输给高层时的筛选工作。第二层完成基本的数据库索引及其计算功能。第三层把用户的视图转化为数据库的基本关系。
与多层档案数据库系统安全有关的还有并发控制、数据恢复、审计跟踪等技术。这些技术是一般数据库系统必备的安全措施,而不是安全数据库系统的特有技术。
涉及档案信息安全的策略及安全技术还有很多,本节只做一些简单的基本介绍。应该说,随着档案信息网络技术的普及和档案信息上网工程的展开,各级档案部门对网络的依赖程度越来越深,高度的依赖性会使国家和档案部门变得十分“脆弱”,万一出现问题,所带来的将是社会性和国家性的危机。
影响档案信息安全的因素很多,保证档案信息安全的策略也不是单一的,而是需要多种策略的综合作用,需要多项对策和措施的协调、合作,构成一个有机的档案信息安全防护体系。所以,维护档案信息安全,确保档案信息的安全运行至关重要。档案信息安全策略具有较强的生命周期性。因此,要注意定期根据相关因素变化,进行安全策略的修改,保证安全策略的可用性。
各级档案部门必须加大档案信息安全技术的投入,采用适合我国国情的安全产品,为国家档案信息化进程提供强有力的安全保障。
