在DB2和Informix Dynamic Server中管理信息安全
管理安全信息是最難于有效實施和維護的任務之一。在當前以網絡為中心的業務模型中,驗證個人身份、控制訪問和維護數據的完整性與保密性變得越來越難。安全是一個涉及多方面的問題,需要對業務基礎設施中所有容易受到危害的因素加以分析。在進行認證的時候,單純的加密并不能涵蓋信息管理的所有方面,安全信息管理涉及三個主要領域,本文將對這些領域進行探討。
認證
認證方法試圖保證系統用戶的身份。如今,對于大型的基礎設施來說,安全是需要重點考慮的一個問題,傳統的使用用戶 ID 和密碼進行驗證的方法不再有效,或者說這種方法不再能包辦一切。新的挑戰是,應用程序常常需要能將安全策略與應用程序分離開來的認證模型,例如 Lightweight Directory Access Protocol (LDAP) 或 Kerberos。
企業要求認證框架易于維護和更新。由于發現了認證算法中存在的缺點,或者由于系統認證需求的變化,有時候需要更改認證框架的組件。對這一問題的解決方案必須考慮應用程序如何以通用方式使用新的認證框架,還應考慮認證框架如何以通用方式對用戶進行認證。
目前有兩個主要框架支持應用程序插入不同的認證模型,它們是 Generic Security Services Application Programming Interface (GSS-API) 和 Pluggable Authentication Module (PAM)。DB2 UDB 支持 GSS-API,而 IBM IDS 則支持 PAM。
允許應用程序控制安全。使用 GSS-API 的程序員編寫的應用程序可以不知道關于保護網絡數據的細節。GSS-API 還提供了一個框架,該框架允許以一種通用的方式調用安全服務,它支持各種不同的技術,例如 Kerberos 或 Public Key Mechanism。
是一種認證機制,它允許根據應用程序要求的變化定制一些系統入口服務,例如 login、rlogin 和 telnet。通過使用 PAM 框架,可以添加多種認證技術,而不必更改任何登錄服務,從而可以保留已有的系統環境。PAM 可用于將登錄服務與不同的認證技術,例如 RSA、DCE、Kerberos、S/Key 和基于智能卡(smart card)的認證系統進行集成。因此,PAM 使聯網的計算機可以和平相處在一個異構的環境中,同時在這個環境中還可以使用多種安全機制。
受信任上下文
在多層環境中,例如在事務處理環境中,有時候需要通過保留各層上每個終端用戶的身份和特權,并且對動作進行審計,以此來控制中間層應用程序的安全。在這種情況下可能出現很多問題,例如終端用戶身份丟失,終端用戶責任性減弱,過度為中間層認證 ID 授予特權,以及由于中間層認證 ID 必須獲得可能建立連接的終端用戶的所有特權而導致安全性降低。
引入了受信任上下文(trusted context)認證,以允許中間層進行這種類型的認證。受信任上下文是一個對象,它為用戶提供一組特定的特權,當用戶通過一個受信任的連接連接到數據庫時,便可以使用它。例如,在 Web 應用程序環境中,中間層應用程序通過一個受信任上下文建立受信任的連接,從而使終端用戶的身份得以傳遞到數據庫服務器。
受信任上下文允許定義 DB2 與外部實體之間的一組惟一的交互。例如,一個外部實體,比如說一個中間件服務器,可以使用不同用戶名下已有的數據庫連接,而不需要對新的連接用戶進行認證的能力。受信任上下文還使 DB2 授權 ID 可以獲得特定受信任上下文中一組特殊的特權,而在這個受信任上下文之外,通過定義角色是無法獲得這些特權的。Websphere Application Server、PeopleSoft V7、Domino 和 SAP R/3 就屬于支持這種三層應用程序模型的軟件產品。當中間層建立一個與 DB2 的連接時,可使用中間層的用戶 ID 和密碼進行認證。而且,對于任何數據庫訪問,包括由中間層代表終端用戶執行的訪問所需的所有授權檢查,都可以使用與中間層授權 ID 相關的數據庫特權來解決。在應用程序已經建立與 DB2 服務器的連接之后,應用程序可以在后端切換與受信任上下文相關聯的用戶。
當在應用程序環境中介紹受信任上下文時,有一些隱含的意思要注意:
應用程序可以通過將用戶的憑證直接傳遞給數據庫服務器來驗證用戶的憑證。還可以在后端服務器上認證每個用戶。這使得對每個用戶的動作進行審計以及提高責任性都變得更加容易。
數據庫管理員可以監控哪些終端用戶被允許通過中間層應用程序訪問數據庫服務器。
數據庫管理員可以對中間層應用程序代表給定一組用戶執行的動作進行審計。由于每個中間層都可以受委托而獲得認證的能力,可以代表一組特定的用戶,擁有一組特定的角色,因此受信任上下文支持中間層應用程序的一種受限制的信任模型,從而避免在中間層出現擁有所有特權的超級用戶。
由于不必為每個終端用戶建立新的物理連接,因此可以顯著降低性能上的開銷。中間層只需建立一個受信任連接,就可以獲得通過受信任上下文切換終端用戶的能力。
授權
除了認證問題外,能夠對數據庫服務器的安全形成威脅的還包括對敏感信息未經授權的訪問。在一個用戶通過認證之后,數據庫服務器為那個用戶授權,使之可以執行不同類型的操作。為了確保每個用戶擁有適當級別的訪問特權,必須進行授權。例如,一家公司的 CFO 可能需要訪問全公司的財務記錄,而一個部門經理的訪問權限就要受到更多的限制,也許他/她只能看到其管轄的員工的工資表記錄。細粒度的、基于特權的授權方式使公司可以根據訪問需求為用戶定制特定的特權和許可,從而有效地管理訪問控制。
和 IDS 已經實現了 Role-Based Access Control (RBAC),這是用于只允許經過授權的用戶進行系統訪問的一種解決方案。它將 Mandatory Access Control (MAC) 和 Discretionary Access Control (DAC) 的方法相結合。在公司中,角色是根據用戶所履行的職務職能來創建的。每個角色被賦予執行某些操作的許可。而系統用戶則被賦予特定的角色,通過這些角色的賦予,用戶可以獲得適當的許可來執行系統功能。然而,有些環境需要多種級別的安全性,例如國防部(DoD)。在這種環境中,系統數據是根據用戶安全許可的級別而向用戶開放的。根據用戶可以看到的數據的敏感性級別,每個用戶都應該可以訪問某個安全級別。為解決這一需求,DB2 實現了 Label Based Access Control (LBAC)。每一行或列都可以貼上一個安全標簽,標簽中存儲著關于數據的類別或敏感性的信息。類似地,每個數據庫用戶也都被賦予一個安全標簽,這個標簽將決定他/她可以訪問哪些貼了標簽的數據行或列。
的中心思想是,用戶沒有對企業對象的自主訪問權。相反,角色與訪問許可是相關聯的,用戶只能成為適當角色的一個成員。RBAC 大大簡化了對授權的管理,同時也使系統管理員可以在一個抽象層次上控制對企業對象的訪問,這種抽象與企業的結構非常近似。RBAC 很快就被很多軟件產品采用,尤其是那些關系數據庫管理系統(Relational Database Management Systems,RDBMS)。
通過基于標簽的訪問控制(Label-Based Access Control)這種手段,數據庫系統可以根據對象中包含的安全標簽和為試圖訪問那個對象的用戶授予的安全標簽,控制對這個數據庫對象的訪問。DB2 LBAC 方法是允許用戶定義一組組件,以構成一個安全標簽,并允許用戶指定訪問規則。它允許用戶定義要使用的安全標簽的結構。LBAC 讓用戶定義確切地定義哪些人有對某行和列的寫訪問權,哪些人又有讀訪問權。安全標簽組件是一個新的數據庫實體,可以被創建、刪除和修改。它被引入作為安全標簽的一個構件。一個安全標簽由一個或多個安全標簽組件組成。一共有三種類型的安全標簽組件:數組、集合和樹。在定義了安全標簽組件后,用戶就可以定義安全標簽,并將安全標簽與一個用戶或一個(或多個)安全行相關聯。
加密
加密與認證和授權沒有直接的關系,但是,在保護傳輸中的或靜止的數據不受未經授權用戶訪問的時候,它也是一個重要的方面。網絡協議,例如 HTTP、SMTP 和 FTP,并沒有為通過網絡傳輸的敏感數據提供足夠的保護。在網絡上傳輸的數據容易受到各種網絡攻擊,例如嗅探網絡傳輸、不可抵賴性、篡改數據、欺騙、攔截和捕捉回復。安全套接字層(Secure Socket Layer,SSL)大大改進了傳統協議。SSL 可以確保在網絡上傳輸的數據的秘密性和完整性。IDS 通過 openSSL 庫為無線傳輸的加密提供了支持。
對于某些應用程序,可以將數據加密作為安全性的一種附加措施。通過適當地認證和訪問控制,確保只有具有適當身份和經過授權的用戶可以訪問數據,可以處理大多數數據安全問題。但是,數據庫中的數據在數據庫管理員面前通常會暴露無遺,因為 DBA 擁有無限的特權。同樣,公司可能關心離線存儲的敏感數據的安全,例如存儲在第三方的備份數據。為了保護靜止的數據,DB2 和 IDS 都支持列級加密(CLE)。數據庫服務器可以使用 CLE 來以加密的格式存儲數據,并提供基于密碼的訪問。
管理安全信息是最難于有效地實施和維護的任務之一。在本教程中,我們試圖為業務基礎設施中可能存在的安全問題提供解決方案。我們為認證、授權和通過加密保護數據這些方面的安全問題提供了解決方案。
對靜止數據的加密
和 DB2 都支持 CLE。CLE 用于為包含敏感數據(例如信用卡號)的列設置加密密碼。有 ENCRYPT_TDES() 一些內置的加密函數,例如 ENCRYPT_AES() 和可用于對包含以下字符數據類型或智能大型對象數據類型的列中的數據進行加密:CHAR、NCHAR、VARCHAR、NVARCHAR、LVARCHAR、 BLOB、CLOB。數據經過加密后,只有能提供密碼的用戶可以解密數據。一個數據庫表中某個特定列中的所有值都以用戶提供的相同密碼、相同的加密算法和相同的加密方式進行加密。用戶還可以使用 SET ENCRYPTION PASSWORD 語句為一個會話設置一個加密密碼。只有能提供密碼的用戶可以查看、復制或修改被加密的數據。
傳輸中的數據
由 Netscape 公司開發的 SSL 是為業界所接受的一個標準,用于確保在一條安全通道上對數據進行網絡傳輸。SSL 受到當前可用的所有 Web 服務器和 Web 瀏覽器的支持。SSL 協議在一個公共密鑰基礎設施中提供認證、數據加密和數據完整性。在三層系統中,SSL 可以解決保護各層之間交換的用戶數據的問題。通過提供強大的、基于標準的加密和完整性算法,SSL 向系統開發人員和用戶保證數據在 Internet 上不會受到危害。基于密碼的認證只能進行客戶機到服務器的認證,而 SSL 則不同,它既可以進行客戶機到服務器的認證,也可以進行服務器到客戶機的認證。當構建一個基于 Web 的三層系統時,這是一個有用的特性,因為用戶常常堅持要在為服務器提供敏感信息(例如信用卡號)之前,對 Web 服務器的身份進行認證。IDS 通過使用加密通信支持模塊(ENCCSM),允許對在網絡上傳輸的數據進行加密。
安全方面的挑戰和解決方案矩陣
類別問題解決方案安全技術IBM DB2IBM IDSOracle
認證認證基礎設施的可維護性通過通用的認證機制將安全策略分離開來PAMGSS-API 可以解決應用程序如何以一種通用方式使用新的認證機制的問題PAM 可以解決如何以一種通用方式使用這些機制來對用戶進行認證的問題強認證:支持 Kerberos、DCE 和 RADIUS
上下文敏感的認證與服務器和應用程序建立信任關系信任關系受信任的上下文 代理認證
授權未經授權的對數據的訪問限制對數據行和列的訪問LBACDB2 9 中的 LBAC 可以限制對表中行和列的訪問 Oracle Label Security 可以基于安全標簽限制對表中行的訪問
限制用戶能獲得的特權RBACRBAC for DB2 9IDS 實現了角色Oracle 實現了角色
加密對通信的竊聽保護網絡SSL目前不支持。DB2 支持通過 Distributed Relational Database Architecture (DRDA) 加密和密碼加密方法進行加密通過 OpenSSL 的實現提供了支持Oracle 實現了 SSL 協議
對物理數據的未經授權的訪問保護靜止的數據數據加密DB2 通過內置函數 ENCRYPT、 DECRYPT_BIN、DECRYPT_CHAR 和 GETHINTNo 提供了對數據加密的支持列級加密Oracle 提供了一個 PL/SQL 包來加密和解密用 Obfuscation Toolkit 存儲的數據
【編輯推薦】
