在DB2和Informix Dynamic Server中管理信息安全
管理安全信息是最難于有效實施和維護的任務(wù)之一。在當前以網(wǎng)絡(luò)為中心的業(yè)務(wù)模型中,驗證個人身份、控制訪問和維護數(shù)據(jù)的完整性與保密性變得越來越難。安全是一個涉及多方面的問題,需要對業(yè)務(wù)基礎(chǔ)設(shè)施中所有容易受到危害的因素加以分析。在進行認證的時候,單純的加密并不能涵蓋信息管理的所有方面,安全信息管理涉及三個主要領(lǐng)域,本文將對這些領(lǐng)域進行探討。
認證
認證方法試圖保證系統(tǒng)用戶的身份。如今,對于大型的基礎(chǔ)設(shè)施來說,安全是需要重點考慮的一個問題,傳統(tǒng)的使用用戶 ID 和密碼進行驗證的方法不再有效,或者說這種方法不再能包辦一切。新的挑戰(zhàn)是,應(yīng)用程序常常需要能將安全策略與應(yīng)用程序分離開來的認證模型,例如 Lightweight Directory Access Protocol (LDAP) 或 Kerberos。
企業(yè)要求認證框架易于維護和更新。由于發(fā)現(xiàn)了認證算法中存在的缺點,或者由于系統(tǒng)認證需求的變化,有時候需要更改認證框架的組件。對這一問題的解決方案必須考慮應(yīng)用程序如何以通用方式使用新的認證框架,還應(yīng)考慮認證框架如何以通用方式對用戶進行認證。
目前有兩個主要框架支持應(yīng)用程序插入不同的認證模型,它們是 Generic Security Services Application Programming Interface (GSS-API) 和 Pluggable Authentication Module (PAM)。DB2 UDB 支持 GSS-API,而 IBM IDS 則支持 PAM。
允許應(yīng)用程序控制安全。使用 GSS-API 的程序員編寫的應(yīng)用程序可以不知道關(guān)于保護網(wǎng)絡(luò)數(shù)據(jù)的細節(jié)。GSS-API 還提供了一個框架,該框架允許以一種通用的方式調(diào)用安全服務(wù),它支持各種不同的技術(shù),例如 Kerberos 或 Public Key Mechanism。
是一種認證機制,它允許根據(jù)應(yīng)用程序要求的變化定制一些系統(tǒng)入口服務(wù),例如 login、rlogin 和 telnet。通過使用 PAM 框架,可以添加多種認證技術(shù),而不必更改任何登錄服務(wù),從而可以保留已有的系統(tǒng)環(huán)境。PAM 可用于將登錄服務(wù)與不同的認證技術(shù),例如 RSA、DCE、Kerberos、S/Key 和基于智能卡(smart card)的認證系統(tǒng)進行集成。因此,PAM 使聯(lián)網(wǎng)的計算機可以和平相處在一個異構(gòu)的環(huán)境中,同時在這個環(huán)境中還可以使用多種安全機制。
受信任上下文
在多層環(huán)境中,例如在事務(wù)處理環(huán)境中,有時候需要通過保留各層上每個終端用戶的身份和特權(quán),并且對動作進行審計,以此來控制中間層應(yīng)用程序的安全。在這種情況下可能出現(xiàn)很多問題,例如終端用戶身份丟失,終端用戶責(zé)任性減弱,過度為中間層認證 ID 授予特權(quán),以及由于中間層認證 ID 必須獲得可能建立連接的終端用戶的所有特權(quán)而導(dǎo)致安全性降低。
引入了受信任上下文(trusted context)認證,以允許中間層進行這種類型的認證。受信任上下文是一個對象,它為用戶提供一組特定的特權(quán),當用戶通過一個受信任的連接連接到數(shù)據(jù)庫時,便可以使用它。例如,在 Web 應(yīng)用程序環(huán)境中,中間層應(yīng)用程序通過一個受信任上下文建立受信任的連接,從而使終端用戶的身份得以傳遞到數(shù)據(jù)庫服務(wù)器。
受信任上下文允許定義 DB2 與外部實體之間的一組惟一的交互。例如,一個外部實體,比如說一個中間件服務(wù)器,可以使用不同用戶名下已有的數(shù)據(jù)庫連接,而不需要對新的連接用戶進行認證的能力。受信任上下文還使 DB2 授權(quán) ID 可以獲得特定受信任上下文中一組特殊的特權(quán),而在這個受信任上下文之外,通過定義角色是無法獲得這些特權(quán)的。Websphere Application Server、PeopleSoft V7、Domino 和 SAP R/3 就屬于支持這種三層應(yīng)用程序模型的軟件產(chǎn)品。當中間層建立一個與 DB2 的連接時,可使用中間層的用戶 ID 和密碼進行認證。而且,對于任何數(shù)據(jù)庫訪問,包括由中間層代表終端用戶執(zhí)行的訪問所需的所有授權(quán)檢查,都可以使用與中間層授權(quán) ID 相關(guān)的數(shù)據(jù)庫特權(quán)來解決。在應(yīng)用程序已經(jīng)建立與 DB2 服務(wù)器的連接之后,應(yīng)用程序可以在后端切換與受信任上下文相關(guān)聯(lián)的用戶。
當在應(yīng)用程序環(huán)境中介紹受信任上下文時,有一些隱含的意思要注意:
應(yīng)用程序可以通過將用戶的憑證直接傳遞給數(shù)據(jù)庫服務(wù)器來驗證用戶的憑證。還可以在后端服務(wù)器上認證每個用戶。這使得對每個用戶的動作進行審計以及提高責(zé)任性都變得更加容易。
數(shù)據(jù)庫管理員可以監(jiān)控哪些終端用戶被允許通過中間層應(yīng)用程序訪問數(shù)據(jù)庫服務(wù)器。
數(shù)據(jù)庫管理員可以對中間層應(yīng)用程序代表給定一組用戶執(zhí)行的動作進行審計。由于每個中間層都可以受委托而獲得認證的能力,可以代表一組特定的用戶,擁有一組特定的角色,因此受信任上下文支持中間層應(yīng)用程序的一種受限制的信任模型,從而避免在中間層出現(xiàn)擁有所有特權(quán)的超級用戶。
由于不必為每個終端用戶建立新的物理連接,因此可以顯著降低性能上的開銷。中間層只需建立一個受信任連接,就可以獲得通過受信任上下文切換終端用戶的能力。
授權(quán)
除了認證問題外,能夠?qū)?shù)據(jù)庫服務(wù)器的安全形成威脅的還包括對敏感信息未經(jīng)授權(quán)的訪問。在一個用戶通過認證之后,數(shù)據(jù)庫服務(wù)器為那個用戶授權(quán),使之可以執(zhí)行不同類型的操作。為了確保每個用戶擁有適當級別的訪問特權(quán),必須進行授權(quán)。例如,一家公司的 CFO 可能需要訪問全公司的財務(wù)記錄,而一個部門經(jīng)理的訪問權(quán)限就要受到更多的限制,也許他/她只能看到其管轄的員工的工資表記錄。細粒度的、基于特權(quán)的授權(quán)方式使公司可以根據(jù)訪問需求為用戶定制特定的特權(quán)和許可,從而有效地管理訪問控制。
和 IDS 已經(jīng)實現(xiàn)了 Role-Based Access Control (RBAC),這是用于只允許經(jīng)過授權(quán)的用戶進行系統(tǒng)訪問的一種解決方案。它將 Mandatory Access Control (MAC) 和 Discretionary Access Control (DAC) 的方法相結(jié)合。在公司中,角色是根據(jù)用戶所履行的職務(wù)職能來創(chuàng)建的。每個角色被賦予執(zhí)行某些操作的許可。而系統(tǒng)用戶則被賦予特定的角色,通過這些角色的賦予,用戶可以獲得適當?shù)脑S可來執(zhí)行系統(tǒng)功能。然而,有些環(huán)境需要多種級別的安全性,例如國防部(DoD)。在這種環(huán)境中,系統(tǒng)數(shù)據(jù)是根據(jù)用戶安全許可的級別而向用戶開放的。根據(jù)用戶可以看到的數(shù)據(jù)的敏感性級別,每個用戶都應(yīng)該可以訪問某個安全級別。為解決這一需求,DB2 實現(xiàn)了 Label Based Access Control (LBAC)。每一行或列都可以貼上一個安全標簽,標簽中存儲著關(guān)于數(shù)據(jù)的類別或敏感性的信息。類似地,每個數(shù)據(jù)庫用戶也都被賦予一個安全標簽,這個標簽將決定他/她可以訪問哪些貼了標簽的數(shù)據(jù)行或列。
的中心思想是,用戶沒有對企業(yè)對象的自主訪問權(quán)。相反,角色與訪問許可是相關(guān)聯(lián)的,用戶只能成為適當角色的一個成員。RBAC 大大簡化了對授權(quán)的管理,同時也使系統(tǒng)管理員可以在一個抽象層次上控制對企業(yè)對象的訪問,這種抽象與企業(yè)的結(jié)構(gòu)非常近似。RBAC 很快就被很多軟件產(chǎn)品采用,尤其是那些關(guān)系數(shù)據(jù)庫管理系統(tǒng)(Relational Database Management Systems,RDBMS)。
通過基于標簽的訪問控制(Label-Based Access Control)這種手段,數(shù)據(jù)庫系統(tǒng)可以根據(jù)對象中包含的安全標簽和為試圖訪問那個對象的用戶授予的安全標簽,控制對這個數(shù)據(jù)庫對象的訪問。DB2 LBAC 方法是允許用戶定義一組組件,以構(gòu)成一個安全標簽,并允許用戶指定訪問規(guī)則。它允許用戶定義要使用的安全標簽的結(jié)構(gòu)。LBAC 讓用戶定義確切地定義哪些人有對某行和列的寫訪問權(quán),哪些人又有讀訪問權(quán)。安全標簽組件是一個新的數(shù)據(jù)庫實體,可以被創(chuàng)建、刪除和修改。它被引入作為安全標簽的一個構(gòu)件。一個安全標簽由一個或多個安全標簽組件組成。一共有三種類型的安全標簽組件:數(shù)組、集合和樹。在定義了安全標簽組件后,用戶就可以定義安全標簽,并將安全標簽與一個用戶或一個(或多個)安全行相關(guān)聯(lián)。
加密
加密與認證和授權(quán)沒有直接的關(guān)系,但是,在保護傳輸中的或靜止的數(shù)據(jù)不受未經(jīng)授權(quán)用戶訪問的時候,它也是一個重要的方面。網(wǎng)絡(luò)協(xié)議,例如 HTTP、SMTP 和 FTP,并沒有為通過網(wǎng)絡(luò)傳輸?shù)拿舾袛?shù)據(jù)提供足夠的保護。在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)容易受到各種網(wǎng)絡(luò)攻擊,例如嗅探網(wǎng)絡(luò)傳輸、不可抵賴性、篡改數(shù)據(jù)、欺騙、攔截和捕捉回復(fù)。安全套接字層(Secure Socket Layer,SSL)大大改進了傳統(tǒng)協(xié)議。SSL 可以確保在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)的秘密性和完整性。IDS 通過 openSSL 庫為無線傳輸?shù)募用芴峁┝酥С帧?/p>
對于某些應(yīng)用程序,可以將數(shù)據(jù)加密作為安全性的一種附加措施。通過適當?shù)卣J證和訪問控制,確保只有具有適當身份和經(jīng)過授權(quán)的用戶可以訪問數(shù)據(jù),可以處理大多數(shù)數(shù)據(jù)安全問題。但是,數(shù)據(jù)庫中的數(shù)據(jù)在數(shù)據(jù)庫管理員面前通常會暴露無遺,因為 DBA 擁有無限的特權(quán)。同樣,公司可能關(guān)心離線存儲的敏感數(shù)據(jù)的安全,例如存儲在第三方的備份數(shù)據(jù)。為了保護靜止的數(shù)據(jù),DB2 和 IDS 都支持列級加密(CLE)。數(shù)據(jù)庫服務(wù)器可以使用 CLE 來以加密的格式存儲數(shù)據(jù),并提供基于密碼的訪問。
管理安全信息是最難于有效地實施和維護的任務(wù)之一。在本教程中,我們試圖為業(yè)務(wù)基礎(chǔ)設(shè)施中可能存在的安全問題提供解決方案。我們?yōu)檎J證、授權(quán)和通過加密保護數(shù)據(jù)這些方面的安全問題提供了解決方案。
對靜止數(shù)據(jù)的加密
和 DB2 都支持 CLE。CLE 用于為包含敏感數(shù)據(jù)(例如信用卡號)的列設(shè)置加密密碼。有 ENCRYPT_TDES() 一些內(nèi)置的加密函數(shù),例如 ENCRYPT_AES() 和可用于對包含以下字符數(shù)據(jù)類型或智能大型對象數(shù)據(jù)類型的列中的數(shù)據(jù)進行加密:CHAR、NCHAR、VARCHAR、NVARCHAR、LVARCHAR、 BLOB、CLOB。數(shù)據(jù)經(jīng)過加密后,只有能提供密碼的用戶可以解密數(shù)據(jù)。一個數(shù)據(jù)庫表中某個特定列中的所有值都以用戶提供的相同密碼、相同的加密算法和相同的加密方式進行加密。用戶還可以使用 SET ENCRYPTION PASSWORD 語句為一個會話設(shè)置一個加密密碼。只有能提供密碼的用戶可以查看、復(fù)制或修改被加密的數(shù)據(jù)。
傳輸中的數(shù)據(jù)
由 Netscape 公司開發(fā)的 SSL 是為業(yè)界所接受的一個標準,用于確保在一條安全通道上對數(shù)據(jù)進行網(wǎng)絡(luò)傳輸。SSL 受到當前可用的所有 Web 服務(wù)器和 Web 瀏覽器的支持。SSL 協(xié)議在一個公共密鑰基礎(chǔ)設(shè)施中提供認證、數(shù)據(jù)加密和數(shù)據(jù)完整性。在三層系統(tǒng)中,SSL 可以解決保護各層之間交換的用戶數(shù)據(jù)的問題。通過提供強大的、基于標準的加密和完整性算法,SSL 向系統(tǒng)開發(fā)人員和用戶保證數(shù)據(jù)在 Internet 上不會受到危害。基于密碼的認證只能進行客戶機到服務(wù)器的認證,而 SSL 則不同,它既可以進行客戶機到服務(wù)器的認證,也可以進行服務(wù)器到客戶機的認證。當構(gòu)建一個基于 Web 的三層系統(tǒng)時,這是一個有用的特性,因為用戶常常堅持要在為服務(wù)器提供敏感信息(例如信用卡號)之前,對 Web 服務(wù)器的身份進行認證。IDS 通過使用加密通信支持模塊(ENCCSM),允許對在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)進行加密。
安全方面的挑戰(zhàn)和解決方案矩陣
類別問題解決方案安全技術(shù)IBM DB2IBM IDSOracle
認證認證基礎(chǔ)設(shè)施的可維護性通過通用的認證機制將安全策略分離開來PAMGSS-API 可以解決應(yīng)用程序如何以一種通用方式使用新的認證機制的問題PAM 可以解決如何以一種通用方式使用這些機制來對用戶進行認證的問題強認證:支持 Kerberos、DCE 和 RADIUS
上下文敏感的認證與服務(wù)器和應(yīng)用程序建立信任關(guān)系信任關(guān)系受信任的上下文 代理認證
授權(quán)未經(jīng)授權(quán)的對數(shù)據(jù)的訪問限制對數(shù)據(jù)行和列的訪問LBACDB2 9 中的 LBAC 可以限制對表中行和列的訪問 Oracle Label Security 可以基于安全標簽限制對表中行的訪問
限制用戶能獲得的特權(quán)RBACRBAC for DB2 9IDS 實現(xiàn)了角色Oracle 實現(xiàn)了角色
加密對通信的竊聽保護網(wǎng)絡(luò)SSL目前不支持。DB2 支持通過 Distributed Relational Database Architecture (DRDA) 加密和密碼加密方法進行加密通過 OpenSSL 的實現(xiàn)提供了支持Oracle 實現(xiàn)了 SSL 協(xié)議
對物理數(shù)據(jù)的未經(jīng)授權(quán)的訪問保護靜止的數(shù)據(jù)數(shù)據(jù)加密DB2 通過內(nèi)置函數(shù) ENCRYPT、 DECRYPT_BIN、DECRYPT_CHAR 和 GETHINTNo 提供了對數(shù)據(jù)加密的支持列級加密Oracle 提供了一個 PL/SQL 包來加密和解密用 Obfuscation Toolkit 存儲的數(shù)據(jù)
【編輯推薦】
