数据库系统安全开发和改造规范

1、某某石油管理局企业标准 数据库系统平安开发和改造标准 某某石油管理局 发布、/. 前言本标准由某某石油管理局计算机应用及信息专业标准化委员会提出并归口 本标准由某某石油管理局信息中心起草。本标准的主要内容包括：适用范围、术语定义、数据库的开发和改造等几局部。1 范围本标准规定了局某某石油管理局某某油田数据库系统平安开发与改造规 范。本标准适用于某某油田 企业内部 数据库系统平安开发与改造的全过程2 标准解释权某某油田信息中心网络标准和标准小组3 根本原那么本标准是参考国家相应标准，并参考相应国际标准，并结合某某油田的 相应实际而制定4 使用说明1本标准所提到的重要数据应用部门，如无特别说明，均

2、指某某油田范围内 各个有重要数据如生产数据，管理数据等的部门，这里不具体指明， 各单位可以参照执行。2本标准说明了如何在现有数据库系统上应用的开发与改造方法，但不包括数据系统的应用与管理。也不说明数据库系统本身的开发与改造方法。5 总那么1为加强某某油田各单位数据库技术管理， 有效地保护和利用数据库技术资 源，最大程度地防范技术风险，保护使用者的合法权益，根据?中华人民 共和国计算机信息系统平安保护条例? 及国家有关法律、 法规和政策， 结 合油田的实际情况，制定本标准。2) 本标准所称的数据库，是指所有与油田业务相关的信息存储体的集合。3) 某某油田中从事数据库开发与改造的人员，均须遵守本标

3、准。6 数据库系统的根本概念数据、数据库、数据库管理系统和数据库系统是与数据库技术密切相关 的四个根本概念。数据是数据库中存储的根本对象。数据在大多数人的头脑中第一个反响 就是数字。其实数字只是最简单的一种数据，是数据的一种传统和狭义的理 解。广义的理解，数据的种类很多，文字、图形、图像、声音、学生的档案 记录、货物的运输情况等等，这些都是数据。我们可以对数据做如下定义：描述事物的符号记录称为数据。描述事物 的符号可以是数字，也可以是文字、图形、图像、声音、语言等，数据有多 种表现形式，它们都可以经过数字化后存入计算机。数据库，是存放数据的仓库。只不过这个仓库是在计算机存储设备上， 而且数据是

4、按一定的格式存放的。所谓数据库中，是指长期存储在计算机内、 有组织的、可共享的数据集合。数据库中的数据按一定的数据模型组织、描 述和存储，具有较小的冗余度、较高的数据独立性和易扩展性，并可为各种 用户共享。数据库管理系统是位于用户与操作系统之间的一层数据管理软件， 它负责科学地组织和存储数据以及如何高效地获取和维护数据。7 数据库系统的分类7.1 集中型 在这种结构中，客户程序连接某台指定的机器并通过其完成 交易。数据库放置在同一台机器上，或指定一台专门的机器充当数据 库效劳器。7.2 数据分布型 数据分布型结构类似前一种结构，只是数据库分布在每 台效劳器上。它具有的优点是：无单点失败且可独立

5、进行管理。我们 可以将这种结构用于数据分割，例如逻辑分割和地理分割。7.3 数据集中型 这种结构是对集中型的一种增强，由其中的一台机器作 为数据存取效劳器，而在前台提供更多的应用效劳器，共享一个数据 库效劳器。这种情况下，必须使用数据库软件提供的并行处理功能及 硬件厂商提供的硬件集群策略。7.4 高可用性 现在，所有用户都希望在硬件出现错误时，应用的迁移能更加 简单，并且在迁移的同时能保证系统继续运行且尽量减少人工干预。中间件可 以提供这样的功能，它可以帮助操作系统自动迁移关键组件到正常的机器上。 8数据库类型的开发方式与访问接口数据库类型的开发方式主要是用分布式组件技术。组件是独立于特定的

6、程序设计语言和应用系统、可重用和自包含的软件成分。组件是基于面向对 象的，支持拖拽和即插即用的软件开发概念。基于组件技术的开发方法，具 有开放性、 易升级、易维护等优点。 它是以组合 (原样重用现存组件 ) 、继承 (扩 展地重用组件 ) 、设计(制作领域专用组件 )组件为根底， 按照一定的集成规那么， 分期、递增式开发应用系统，缩短开发周期。在开发过程中遵循以组件为核 心原那么、组件实现透明原那么及增量式设计原那么。基于组件开发方法的优点：1) 速度快。因为组件技术提供了很好的代码重用性，用组件开发应用 程序主要的工作是“配置应用，应用开发人员只需写业已有的组 件没有提供的应用新特征的代码，

7、这比写整个应用的代码快得多。2) 可靠性高。因为组件开发中所用的组件是已经测试过的，虽然整个 应用仍然需要测试，基于组件的应用还是要比使用传统技术开发的 应用要可靠的多。3) 编程语言和开发工具的透明性。基于组件的开发方法允许用不同的 语言编写的组件共存于同一应用中，这在大型的复杂应用开发中是 很重要的。4) 组件的积累。组件的积累就是财富的积累，可以为新系统提供一定 的支持。5) 提高系统互操作性。组件必须按照标准开发，而标准具有权威性和 指导作用，支持更广泛的代码重用。6) 开发者注意力更多地集中在商业问题上。基于组件的开发，使编程 人员将大多数时间用在所要解决的商业问题上，而不是用于担忧

8、低 级的编程细节问题。7) 为自己开发还是购置提供了最好的选择。购置组件装配到定制的系 统中的优势是，不必要购置一个不完全适合于自己的软件，还可以 减少风险，因为购置的组件已经经过广泛的使用与测试。目前，在组件技术标准化方面，主要有以下三个比拟有影响的标准：1) OMC起草与公布的CORB；2) 微软公司推出的 COM/DCOM/CO；M+SUN发表的 JavaBeans。异构数据源访问接口 在网络环境下，特别是分布式系统中，异构数据库的 访问是一个不可防止的问题，采用SQL语言的异构数据库为解决相互访问问 题提供了可能。目前最有影响的有两种标准是： 1)Microsoft 公司的 ODBC；

9、2) 以Sun和JavaSoft公司为代表的JDBC9 开发与改造管理 基于目前某某油田的应用实际，我们这里所说的平安开发与改造，并不 指对数据系统本身开发与改造，而是基于数据库上的相关应用的开发与改造。9.1 关于数据库开发与改造的保密管理的说明由于在某某油田中的数据库中的数据可能包括敏感数据，它的泄露与破 坏可能对某某油田甚至对国家、社会造成重大的人力、物力、财力损失，所 以，在涉密数据库系统的开发与改造过程中，应该对数据的保密性有特殊的 要求。1) 密数据库的开发与改造工程，必须经某某油田信息平安中心与数据应 用单位的主管部门的联合批准立项，同时要求对开发与改造过程中的 平安风险做出评估

10、，对需要保密的数据字段做出书面上的要求。对于 这种评估与要求应做出相应的存档备案。2) 在开发过程中，可能使用到的试验数据应该由开发部门自已生成模拟 数据，应用单位不应提供原有的可能涉密的真实数据做试验，以防泄 密。3) 系统在设计与开发时不应留有 “后门，即不应以维护、 支持或操作需 要为借口，设计有违反或绕过平安规那么的任何类型的入口和文档中未 说明的任何模式的入口。如有发现，应用方有权对系统设计与开发方 追究责任。4) 在数据系统的改造过程中， 系统的原有数据不得做新系统的试验数据， 以防数据被破坏与泄露。但系统改造完成之后，又要求能无缝地导入 原有的数据，保证系统的顺利运行。5) 在数

11、据系统的运行维护过程中，技术维护人员不应得到系统的最高权 限。同时为了防止由于系统管理人员或特权用户的权限过于集中所带 来的平安隐患，应将数据库系统的常规管理、与平安有关的管理以及 审计管理，分别由系统管理员、系统平安员和系统审计员来承当，并 按最小授权原那么分别授予它们各自为完成自己所承当任务所需的最小 权限，还应在三者之间形成相互制约的关系。6) 对于涉密系统，我们要求相应要求保密的数据不能以明文的形式存储 在物理介质上。这可能采用两种方法， 一种是由数据库系统本身提供的加密方法(如果具体采用的产品提 供)，另一种是经过应用系统加密之后再交数据库系统操作。7) 对于涉密系统，我们要求相应要

12、求保密的数据不能以明文的形式在网 络介质上传输。其目的是防止被动攻击。所采用的方法如下 : ? 可以是对数据进行软件应用层加密；? 也可以在相应的网络硬件中参加加解密设施 ;? 现在许多数据库在传输过程中也能用相应加密模块加密后再 传输;如果传输经过的网络范围较小 (如一个机房内 ) ，那么物理介质隔离是一种有效的方法。9.2 关于数据库开发与改造的功能要求标准对于开发与改造后的数据库应用系统的功能，我们提出以下要求：9.2.1 身份鉴别9.2.1.1 用户标识应对注册到数据库管理系统中的用户进行唯一性标识。用户标识信息是 公开信息， 一般以用户名和 / 或用户 ID 实现。为了管理方便， 可

13、将用户分组， 也可使用别名。无论用户名、用户 ID 、用户组还是用户别名，都要遵守标识 的唯一性原那么。9.2.1.2 用户鉴别应对登录到数据库管理系统的用户进行身份真实性鉴别。通过对用户所 提供的“鉴别信息的验证，证明该用户确有所声称的某种身份，这些“鉴 别信息必须是保密的，不易伪造的。用户进入数据库管理系统时的身份鉴别，并按以下要求进行设计：1凡需进入数据库管理系统的用户， 可以选择采用该用户在操作系统 中的标识信息， 也可以重新进行用户标识。 重新进行用户标识应在用户注册 建 立账号时进行。2当用户登录到数据库管理系统或与数据库效劳器 如通过网络 进 行访问连接时，应进行用户鉴别。这可以

14、参考某某油田的CA认证与授权系统的相关要求进行设计。3数据库管理系统用户标识一般使用用户名和用户标识UID。为在整个数据库系统范围实现用户的唯一性， 应确保数据库管理系统建立的用户在系统中 的标识SID与在各数据库系统中的标识用户名或别名，UID等之间的一致性。4分布式数据库系统中，全局应用的用户标识信息和鉴别信息应存放 在全局数据字典中， 由全局数据库管理平安机制完成全局用户的身份鉴别。 局部 应用的用户标识信息和鉴别信息应存放于局部数据字典中， 由局部数据库平安机制完成局部用户的身份鉴别。5数据库用户的标识和鉴别信息应受到操作系统 包括网络操作系统 和数 据库系统的双重保护。 操作系统应确

15、保任何用户不能通过数据库以外的使用方式 获取和破坏数据库用户的标识和鉴别信息。 数据库系统应保证用户以平安的方式 和途径使用数据库系统的标识和鉴别信息。6) 数据库用户标识信息应在数据库系统的整个生命期有效，被撤消的用户 账号的 UID 不得再次使用。9.2.2 标记与访问控制9.2.2.1 标记与平安属性管理应通过标记为 TCB 平安功能控制范围内的主体与客体设置平安属性。具体要求为：1) 对于自主访问控制，标记以某种方式说明主体与客体的访问关系；2) 对于强制访问控制，不同的访问控制模型有不同的标记方法。基于多 级平安模型的强制访问控制，标记过程授予主体与客体一定的平安属 性，这些平安属性

16、构成采用多级平安模型的强制访问控制机制的属性 库强制访问控制的根底数据。数据库管理系统需要对主、客体独 立进行标记。3) 用户平安属性应在用户建立注册帐户后由系统平安员通过 TCB 所提 供的平安员界面进行标记并维护；4) 客体平安属性应在数据输入到由 TCB 平安功能所控制的范围内时以 缺省方式生成或由平安员进行标记并维护；5) 系统管理员、系统平安员和审计员的平安属性应通过相互标记形成制 约关系。9.2.2.2 访问控制应根据数据库特点和要求，实现不同粒度的访问控制。这些特点主要是：1) 数据以特定结构格式存放，客体的粒度可以是：关系数据库的表、 视图、元组(记录)、列(字段)、元素(每个

17、元组的字段) 、日志、 片段、分区、快照、约束和规那么、DBMS核心代码、用户应用程序、 存储过程、触发器、各种访问接口等；2) 数据库系统有完整定义的访问操作；3) 数据库是数据与逻辑的统一，数据库中不仅存放了数据，还存放了 大量的用于管理和使用这些数据的程序， 这些程序和数据同样需要 进行保护，以防止未授权的使用、篡改、增加或破坏；4) 数据量大、客体丰富是数据库的又一特点，考虑到性能和代价，应 对于不同客体给予不同程度的保护，如对敏感字段加密，对敏感表 建立视图等。5) 数据库系统具有数据生命周期长、用户分散、组成复杂等特点，要 求长期的平安保护；6) 数据库中的三级结构(物理结构、逻辑

18、结构、概念模型结构)和两 种数据独立性(物理独立性、逻辑独立性)大大减轻数据库应用程 序的维护工作量， 但是由于不同的逻辑结构可能对应于相同的物理 结构，给访问控制带来新的问题，应对访问规那么进行一致性检查；7) 数据库管理系统的访问控制是在 OS 之上实现的，考虑到效率因 素，数据库管理系统的访问控制应在外层实现；8) 数据库系统中客体具有相互联系的特点，这些“联系本身也是一 种非常有效的信息，防止未授权用户获得或利用这些“联系 ，需 要进行“推理控制；9) 分布式数据库管理系统中，全局应用的访问控制应在全局 DBMS 层实现，局部应用的访问控制应在局部 DBMS 层实现，并根据需 要各自选

19、择不同的访问控制策略；10)9.2.2.3 自主访问控制1) 访问操作应由数据库子语言定义，并与数据一起存放在数据字典中。对任何 SQL 对 象进行操作应有明确的权限许可， 并且权限随着操作和对象的变化而变化， 平安 系统应有能力判断这种权限许可。操作与对象紧密相联，即把“操作+对象作为一个授权。2) 访问规那么应以访问控制表或访问矩阵的形式表示， 并通过执行相应的访问控制程序实 现。每当执行 SQL 语句、有访问要求出现时，通过调用相应的访问控制程序， 实现对访问要求的控制。3) 授权传播限制应限制具有某一权限的用户将该权限传给其他用户。 当一个用户被授予某权 限，同时拥有将该权限授予其它用

20、户的权力时， 该用户就会拥有对该授权的传播 权。为了增强数据库系统的平安性，需要对授权传播进行某些限制。9.2.2.4 强制访问控制应采用确定的平安策略模型实现强制访问控制。当前常用的平安策略模 型是多级平安模型。该模型将可信计算基平安控制范围内的所有主、客体成 分通过标记方式设置平安属性(等级和范畴) 。该模型并按由简单保密性原那么 确定的规那么从下读、向上写，根据访问者主体和被访问者客体的平安属 性，实现主、客体之间每次访问的强制性控制。根据数据库管理系统的运行 环境的不同，强制访问控制分为：1) 在单一计算机系统上或网络环境的多机系统上运行的单一数据库管理系 统，访问控制所需的平安属性存

21、储在统一的数据库字典中， 使用单一的访问规那么 实现；2) 在网络环境的多机系统上运行的分布式数据库系统， 全局应用的强制访问控制应在 全局 DBMS 层实现，局域应用的强制访问控制应在局部 DBMS 层实现。其所采用的访问 规那么应是一致的。9.2.3 数据完整性9.2.3.1 实体完整性和参照完整性1) 数据库管理系统应确保数据库中的数据具有实体完整性和参照完整性。关系 之间的参照完整性规那么是“连接关系运算正确执行的前提。2) 用户定义根本表时，应说明主键、外键，被引用表、列和引用行为。当数据 录入、更新、删除时，由数据库管理系统应根据说明自动维护实体完整性和参照 完整性。9.2.3.2

22、 用户定义完整性1) 数据库管理系统应提供支持用户定义完整性的功能。系统应提供定义 和 检查用户定义完整性规那么的机制， 其目的是用统一的方式由系统处理， 而不是由 应用程序完成，从而不仅可以简化应用程序，还提高了完整性保证的可靠性。2) 数据库管理系统应支持为约束或断言命名 (或提供默认名称) ，定义检查时间、 延迟模式或设置默认检查时间和延迟模式，支持约束和断言的撤消。9.2.3.3 数据操作的完整性数据操作的完整性约束为：1) 用户定义根本表时应定义主键和外键；2) 对于候选键，应由用户指明其唯一性；3) 对于外键，用户应指明被引用关系和引用行为；4) 应由数据库管理系统检查对主键、外键

23、、候选键数据操作是否符合完整性要 求，不允许提交任何违反完整性的事务； 删除或更新某元组时， 数据库管理系统 应检查该元组是否含有外键，假设有，应根据用户预定义的引用行为进行删除。9.2.4 数据库平安审计数据库管理系统的平安审计应：1) 建立独立的平安审计系统；2) 定义与数据库平安相关的审计事件；3) 设置专门的平安审计员；4) 设置专门用于存储数据库系统审计数据的平安审计库；5) 提供适用于数据库系统的平安审计设置、分析和查阅的工具。9.2.5 客体重用数据库系统大量使用的动态资源，多由操作系统分配。实现客体平安重 用的操作系统和数据库管理系统应满足以下要求：? 数据库管理系统提出资源分

24、配要求，如创立新库，数据库设备初始 化等，所得到的资源不应包含该客体以前的任何信息内容；? 数据库管理系统提出资源索回要求，应确保这些资源中的全部信息 被去除；? 数据库管理系统要求创立新的数据库用户进程，应确保分配给每个 进程的资源不包含残留信息；数据库管理系统应确保已经被删除或被释放的信息不再是可用的。9.2.6 数据库可信恢复数据库系统中的可信恢复具有特定含义，主要应包括：1) 确保能在确定不减弱保护的情况下启动平安数据库系统的 DBMS；2) 运行中发生故障或异常情况时，能够在尽量短的时间内恢复到正确、一致、 有效的状态，这个状态对于系统运行是正常、平安的状态，并且对于应用来 说是一个

25、真实、有意义的状态；3) 数据库系统可信恢复应由操作系统和数据库系统共同支持；4) 与可信恢复相关的数据库技术有：事务管理，日志，检查点，备份，分布式 数据库特殊处理。油田重要数据应用单位应按如下要求进行数据备份：1) 每个工作日结束后必须制作数据的备份， 数据应至少备份在两种不同的介质 上并异地存放，保证系统发生故障时能够快速恢复；2) 业务数据必须定期、完整、真实、准确地转储到不可更改的介质上，并要求 集中和异地保存；3) 备份的数据必须指定专人负责保管， 由数据库技术人员按规定的方法同数据 保管员进行数据的交接。 交接后的备份数据应在指定的数据保管室或指定的 场所保管；4) 数据保管员必须对备份数据进行标准的登记管理 ;5) 备份数据不得更改；备份数据