数据库系统中的自主安全策略概述

### 数据库系统中的自主安全策略概述 在数据库系统的安全管理中，自主安全策略起着至关重要的作用。它涵盖了多个方面，包括访问控制策略、管理策略、身份识别与认证、审计以及视图安全等。下面将详细介绍这些方面的内容。 #### 1. 访问控制策略 访问控制策略最初是为操作系统设计的，其核心问题是确定一个进程是否可以访问某个文件，访问类型包括读取和写入，写入操作又可细分为修改、追加或删除。这些原则随后被应用到数据库系统中，如Ingres和System R。如今，已经研究出了多种形式的访问控制策略，其中基于角色的访问控制策略在多个商业系统中得到了广泛应用。访问控制策略包括强制策略和自主访问控制策略，这里主要讨论自主访问控制策略。 ##### 1.1 基于授权的访问控制策略 许多访问控制策略基于授权策略，即根据授权规则授予用户对数据的访问权限。以下是几种常见的授权规则： - **正授权**：早期系统主要关注正授权规则，例如用户John被授予对关系EMP的访问权限，或者用户Jane被授予对关系DEPT的访问权限。也可以授予对其他实体（如属性和元组）的访问权限，如John对关系EMP中的Salary属性具有读取权限，对Name属性具有写入权限，写入权限包括追加、修改或删除操作。 - **负授权**：当未明确指定John对某个对象的访问权限时，不同系统有不同的处理方式。有些系统将未指定的授权规则隐式视为负授权，而另一些系统则明确指定负授权规则，如John没有对关系EMP的访问权限。 - **冲突解决**：当存在冲突规则时，通常系统会执行最小权限规则。例如，若有规则授予John对关系EMP的读取权限，但同时又有规则禁止他读取EMP中Salary属性的值，那么John可以访问EMP，但不能访问Salary属性的值。 - **强授权和弱授权**：系统还会执行强授权和弱授权。强授权规则在冲突情况下仍然有效，而弱授权规则在冲突时则无效。例如，如果授予John对EMP的访问权限是强授权规则，而禁止他访问Salary属性的规则是弱授权规则，那么在发生冲突时，强授权规则将生效。 - **授权规则的传播**：授权规则的传播问题是指，如果John对关系EMP具有读取权限，是否意味着他自动对EMP中的每个元素都有读取权限。通常情况下是这样的，除非有规则禁止授权规则的自动传播。若存在这样的规则，则必须明确指定John有权访问的对象。 - **特殊规则**：在强制策略扩展的研究中，广泛探索了基于内容和上下文的约束规则。这些规则根据数据的内容或数据显示的上下文来授予访问权限，也可用于自主安全。例如，基于内容的约束规则可以规定John只能读取DEPT D100中的元组；基于上下文或关联的约束规则可以规定John不能同时读取姓名和工资信息，但可以分别访问它们；基于事件的约束规则可以规定在选举后，John可以访问关系EMP中的所有元素。 - **规则的一致性和完整性**：确保约束规则的一致性和完整性是一个挑战。如果规则不一致，需要有冲突解决规则来解决冲突。同时，要确保访问控制规则涵盖了所有实体（如属性、关系、元素等），若规则不完整，需要明确对未指定正授权或负授权的实体做出何种假设。 以下是一些授权规则的示例： | 用户 | 授权规则 | | ---- | ---- | | John | 对员工关系具有读取权限；对部门关系没有写入权限 | | Jane | 对员工关系中的姓名值具有读取权限；对部门关系没有读取权限 | ##### 1.2 基于角色的访问控制 基于角色的访问控制（RBAC）是一种流行的访问控制方法，已在包括Trusted Oracle在内的商业系统中得到应用。其核心思想是根据用户的角色和职能授予访问权限。例如，总裁可能有权访问副总裁和董事会成员的信息，首席财务官可能有权访问财务信息和向他汇报的人员的信息，部门经理可能有权访问其部门内人员的信息，人力资源总监可能有权访问公司员工的个人数据。 角色层次结构的研究也在不断发展，有一个名为SACMAT的会议系列就是从基于角色的访问控制研究发展而来的。在角色层次结构中，访问权限的传播是一个重要问题，例如，若授予某个节点访问权限，该权限是否会向上传播（如部门经理的访问权限是否会传播到上级的总监节点），是否会向下传播（如部门经理的访问权限是否会传播到下属节点）。此外，还存在一些复杂情况，如员工向多个上级汇报工作，或者角色之间存在循环关系。 基于角色的访问控制已经在关系系统、对象系统、分布式系统以及一些新兴技术（如数据仓库、知识管理系统、语义Web、电子商务系统和数字图书馆）中得到了研究和应用。最近，Sandhu等人还开发了一种名为UCON的使用控制模型，该模型