系统运行环境
OpenBASE Secure兼容了OpenBASE系统的功能,继承了其良好的跨平台能力。考虑到国内现实的用户环境和需求,OpenBASE Secure即可以作为安全数据库系统运行在安全操作系统平台上,又可以作为安全增强的数据库管理系统运行在各种通用主流操作系统平台之上。
OpenBASE Secure可以运行在各种通用的硬件平台上,包括:PC机、工作站和小型机,如SGI、SUN、HP和IBM等。
在安全操作系统平台上,OpenBASE Secure服务器通过与安全操作系统的功能绑定,使安全数据库管理系统与安全操作系统相结合,共同组成安全信息系统的基础平台,使该平台成为安全信息系统整体解决方案的出发点和立足点。
运行在通用主流操作系统平台之上OpenBASE Secure将作为安全增强的数据库管理系统,为用户的数据存储、管理和访问提供增强的安全控制。这些通用主流UNIX操作系统平台包括:IRIX、Sun OS、Solaris、HP UX、SCO UNIX、AIX等。
OpenBASE Secure的客户端应用程序除了可以在上述安全操作系统或通用UNIX平台上运行之外,还可以在DOS、MS Windows等平台上运行;OpenBASE Secure支持TCP/IP网络通讯协议。用户在OpenBASE Secure上开发的应用程序可以很方便地从一种平台移植到另一种平台上。
应用开发接口
OpenBASE Secure提供的基本数据库语言是SQL语言。SQL是一种数据语言,包括数据定义、操作与控制,但它本身不具有计算完备性,如条件测试的IF 命令、GOTO命令和执行循环的FOR命令等。为了开发能访问数据库的应用程序,还必须使用普通的高级程序设计语言,如C、JAVA、FORTRA、COBOL等语言作为宿主语言,并把SQL以各种形式加入到这些宿主语言程序中构成数据库应用程序。
OpenBASE Secure提供了五种不同的数据库应用编程接口,即模块式SQL、嵌入式SQL、调用级接口、ODBC接口、JDBC接口。
模块式SQL
一个SQL模块可以包括一个应用程序中多个源程序调用的SQL命令。SQL模块中的每个命令与一个源程序名相关联,如果其中有源程序需要删除或改名,相应的SQL模块的命令必须通过执行实用程序nsqldrop进行删除。如果预编译同一应用系统中的其它源程序时有新的命令加入,不删除这些命令很可能导致标识符的重复。
创建一个数据库应用程序既要对SQL模块进行编译,又要对宿主语言程序进行编译,当SQL模块编译完成后,该SQL模块被编目在相应的数据库中,在这种方式中,一个应用程序通过它所引用的SQL模块与指定的数据库相关联。在嵌入式SQL中,上述整个过程是由预编译器自动完成的。
删除数据库中一个已经存在的模块的方法是使用nsqldrop 实用程序,但是应当指出,一旦模块被删除,与之相关的应用程序虽然依然存在,但是已不能再运行了,这是因为这个应用程序的SQL模块在数据库中的表示已经不再存在了。
用户可以对模块执行(进而与其相关的应用程序的执行)的权限进行授权和撤消,是通过实用程序nsqlgrant 和nsqlrevoke实现的。
目前SQL模块的宿主语言可以是C、JAVA、FORTRA、COBOL。
嵌入式SQL
嵌入式SQL(Embedded SQL) 在这种方式中,SQL命令被直接嵌入到应用程序的源代码中,与其它程序设计语言的语句一起使用这个方法的优势是把应用集中在一个源程序中。SQL语句可以用类似于ORA-CLE PRO*C的方式嵌入到C语言和OPUS语言中,使用这种方式程序员学习的曲线较短。
在处理过程中,嵌入式的SQL命令首先由编译器转变成SQL模块的形式,这样,每个应用程序与一个或几个SQL模块相关。对于含有嵌入式SQL命令的源程序,预编译器将产生一个源程序的拷贝,其中的SQL命令被替换成过程调用,并根据模块定义语法将SQL命令写入一个或几个SQL模块中,每个SQL命令与其中的一个过程相对应。
调用级接口
1)、C语言调用级接口
OpenBASE Secure为C/C++语言提供了调用级接口。C调用级接口提供了12个例行程序接口,支持用户很方便的用动态命令访问OpenBASE Secure数据库。
2)、JAVA语言调用级接口
JAVA调用级接口是OpenBASE Secure专用的JAVA应用程序接口,提供了两个类SYSDynamic和SQLConnect。该接口用于在JAVA程序中执行动态的SQL命令,该接口可用于客户/服务器结构,也可通过Java Servlet用于三层体系结构。
ODBC应用编程接口
OpenBASE Secure支持Microsoft的ODBC标准,提供了OpenBASE Secure的ODBC驱动程序,允许用户用标准的ODBC API编写C/C++、Visual BASIC、Delphi、PowerBuilder、Lotus Notes、Visual Foxpro、MS-Word宏、MS-EXCEL宏等的应用程序。
JDBC应用编程接口
OpenBASE Secure支持SUN公司的JDBC标准,提供了OpenBASE Secure的JDBC驱动程序,允许用户用标准的JDBC API编写Java应用程序。
功能概述
元组级安全标记
在OpenBASE Secure中,对数据库的主、客体按照敏感程度的不同增加了安全标记。因为标记是多级关系数据库系统中实现B1级安全以上的强制访问控制的特征,是实施强制访问的基础,所以在OpenBASE Secure中采用了基于元组的安全标记策略。
标识与鉴别功能
标识机制用于唯一标识进入系统的每个用户的身份,鉴别机制用于检验用户身份的合法性,标识和鉴别功能的存在保证了只有合法的用户才能存取数据库中的资源。在OpenBASE Secure中,用户通过输入登录用户名和口令进入系统,对数据库进行操作。为了更好地控制用户的权限,在用户登录过程中,除了要检查用户的登录名和口令外,还要检查用户的安全级,从而赋予用户进程安全级,以便更好地实施访问控制。功能完善的标识与鉴别机制,是强制访问控制机制有效实施的基础。
自主访问控制
存取访问控制就是对主体(如用户)访问客体(如数据库对象)的操作权限实施控制,即规定什么用户对那些数据对象可执行什么操作,其主要目的是要保证用户只能存取它有权存取的数据,不能够存取它无权存取的数据。自主访问控制(Discretionary Access Control,简称DAC)的含义是当你拥有数据库对象上的某些操作权限及相应授权权限时,你可以按照自己的意愿,自作主张地把这些操作权限部分或全部转授给其他的用户,从而使得其他用户获得在这些数据库对象上的使用权。
OpenBASE Secure系统根据用户的权限执行自主存取控制。用户的权限是指用户在数据对象上被允许执行的操作。其中,对用户存取权限的定义称为授权。值得一提的是,所有的用户权限都要记录在系统表(数据字典)中,当用户提出操作请求时,OpenBASE Secure根据授权情况进行检查,以决定是执行操作还是拒绝执行,从而保证了用户能够存取他有权存取的数据,不能够存取他无权存取的数据。
强制访问控制
强制访问控制( Mandatory Access Control,简称MAC)就是通过主体(用户)和客体(数据对象)安全级匹配原则来确定该主体是否被允许存取该客体。OpenBASE Secure系统根据用户的操作请求和安全级以及客体的安全级执行强制存取控制,以保证用户只能存取与其安全级相匹配的数据。OpenBASE Secure的安全模型符合著名的Bell-LaPadula模型,即其核心思想是在系统中设置多个安全等级,并要求系统中的所有存取操作必须遵守模型给出的保护信息安全的规则,以此实现强制存取控制,防止具有高安全级别的信息流入低安全级别的客体。同时在OpenBASE Secure中对Bell-LaPadula模型进行了适当的扩展,即考虑了同一安全级别信息流动的安全问题。
实施强制存取控制必须事先定义主体和客体的安全级,其中,安全级是由密级和范围组成,所有的主体和客体的安全级都要记录在系统表(数据字典)中。当用户提出操作请求时,OpenBASE Secure首先检查该用户对所操作的数据对象是否具有相应的操作权限,然后检查该用户的操作请求及安全级与所操作的数据对象的安全级别是否匹配,当两个条件都满足时,OpenBASE Secure才执行用户的操作请求,否则拒绝执行。
高效完备的审计机制
OpenBASE Secure具有灵活高效的审计机制。它可以从数据库系统本身、主体和客体三个方面来设置审计,记录对数据库对象的访问以及与安全相关的事件。安全相关的事件包括:一个试图改变系统安全状态的事件(如,改变自主访问控制,改变主体安全级别,改变口令等),任何试图损害系统安全策略的事件(如,多次登录,试图损害一个设备的强制访问控制,降低文件级别等)。数据库审计员可以通过设置审计选项有选择地确定对哪些用户或哪些事件进行审计,审计的结果放在审计数据库文件中,审计的结果也可以以一定的格式打印出来。一旦出现问题,数据库审计员就可以分析审计信息,跟踪审计事件,查出原因,及时阻止和惩罚犯罪。
提供完善的审计分析工具
OpenBASE Secure提供了客户端图形界面审计分析工具,该审计分析工具是为系统安全管理员-审计员提供对审计结果的查询、统计、跟踪和分析,为系统安全管理员提供对系统安全责任事件、人员进行追查的参考。其主要的功能包括:
a. 数据库审计记录的查询和删除,包括各种复合条件的查询和删除。
b. 审计记录的统计。
c. 审计记录的分析,主要指在查询和统计结果之上,责任动作的查找及报告。
d. 指定记录、表内容的导出。
e. 指定审计信息文件的导入。
完整性控制
在传统的DBMS中,系统必须保证数据库中实体的完整性规则。理论上讲安全数据库系统也必须保证实体完整性要求,但由于提供了多级安全,因此可能会发生冲突。OpenBASE Secure也不例外,尽管也存在着多重实例和隐蔽通道的问题,但已经采取了相应的解决方案,如为了实现多重实例的同时又要保证主码的唯一,需要扩展码概念为复合主码。对于系统中可能存在的隐蔽信道,可以通过设定系统的审计选项来加以跟踪。
OpenBASE Secure支持多种完整性约束,主要的数据完整性约束有:
PRIMARY KEY:
定义主关键字。主关键字可以由一个字段组成,也可以由多个字段组成。由多个字段组成的主关键字称为复合主关键字。每个表最多有一个主关键字,组成主关键字的所有字段不能为空值。
UNIQUE:
它要求每个值在给定的字段或者字段的集合中是唯一的,也就是在一个字段或者字段的集合中没有相同的值。
NOT NULL:
字段非空约束。
FOREIGN KEY:
引用约束,以及引用完整性的各种级联操作。
CHECK:
其条件可以是涉及被插入或更新的记录中各字段值的布尔表达式。除了CHECK约束的标准用途之外,能够用多级安全数据库中的CHECK约束来限定表中包含特有的标记序列。
备份和恢复
为了防止失败,OpenBASE Secure提供了完备的日志、备份恢复机制,对于事务故障、系统故障和介质故障均能够进行有效的恢复,从而为用户提供可靠一致的数据库。
由于磁介质是不可靠的,所以对数据库定期做备份是非常必要的。OpenBASE Secure都提供了相应的备份与恢复工具。除了可以将数据库的一个表或所有表进行备份/恢复以外,还可以将数据库模式和已编目的SQL模块一起进行备份/恢复。另外,OpenBASE Secure支持联机备份功能。
标记的操作
OpenBASE Secure提供了MLSLABEL数据类型。为了与OpenBASE Secure的应用软件兼容,在OpenBASE中也可以象在OpenBASE Secure中一样定义MLSLABEL类型的列。MLSLABEL数据类型存储了操作系统进程标记的二进制格式。MLSLABEL数据存储为字符形式。当你把一个标记插入MLSLABEL列时,OpenBASE Secure自动把数据转换成标记的二进制格式。
在OpenBASE Secure中提供的标记操作有:
1)、从表中检索某行或所有标记
如果用户没有明确指定,ROWLABEL列不会作为查询的内容自动返回。如果检索一行的标记,必须明确选择ROWLABEL列。这既提供了一种信息隐蔽,同时又保证了扩展SQL的兼容性。
2)、修改行标记
在多级安全数据库中,如果有适当的MAC特权就可以修改ROWLABEL列。
3)、提供转换函数
在OpenBASE Secure中,标记在内部以MLSLABLE数据类型存储。OpenBASE Secure系统函数允许将标记从内部MLSLABLE数据类型转换为外部的字符数据类型或从字符格式转换为MLSLABLE数据类型,用于显示、制造报表或应用程序最合适的格式。
转换函数包括:函数TO_CHAR,函数 TO_LABEL。
4)、标记比较
除了标记的格式化操作外,还可以对标记执行比较操作。OpenBASE Secure提供标准比较操作确定以下情况:
|
操作符 |
功 能 |
|
>= |
支配(大于或等于) |
|
> |
严格支配(大于) |
|
<= |
被支配(小于或等于) |
|
< |
严格被支配(小于) |
|
= |
匹配 |
|
!= |
不可比 |
5)、标记函数
OpenBASE Secure提供单行和聚集函数来确定以下情况:
a) 两个或多个标记的最小上界
b) 两个或多个标记的最大下界
安全数据库中的MAC特权
在OpenBASE Secure中,除了客体特权外,还存在MAC特权要求, 如执行一个完整的数据库的导入。所谓系统特权是指:当OpenBASE Secure中的主、客体都加上敏感度标记之后,主体的读写能力将大大受MAC的限制。为了实现在特殊情况下的跨密级存取,系统为用户提供了特权标识(如READUP,WRITEDOWN和WRITEUP),这就是系统特权。
用户一旦拥有了某些特权之后,可进行适当的跨密级存取操作。例如,可能在特殊情况下需要低级别用户访问高级别的数据,或高级别的用户需向低级别传递某些消息。这时就要给该用户赋予MAC特权,从而达到读高级别、写低级别数据等目的。在OpenBASE Secure中,提供了这三个特权,这三个特权具体是:READUP(上读)、WRITEDOWN(下写)和WRITEUP(上写)。
对标准SQL的支持
OpenBASE Secure100%兼容SQL92入门级标准,支持部分SQL92中间级标准,并对标准进行了一些扩展。为用户提供了标准、方便的应用开发接口。
事务管理
事务是数据库管理系统工作的一个逻辑单位,由一个或多个SQL语句组成。一个事务是一个原子单位,构成事务的全部SQL语句的结果可被全部提交或全部回滚。在执行一条SQL语句出现错误时,该语句所有影响被回滚,好象该语句没有被执行过一样,但它不会引起当前事务先前的工作的丢失。如果一个程序执行一个SQL操作并且该程序还没有处于一个事务的过程中,那么一个事务将自动被启动。程序中接下来的SQL的操作都将作为该事务的一部分直到事务结束。
一个事务可由COMMIT命令和ROLLBACK命令终止,当使用ROLLBACK命令时,事务对数据库所做的所有修改都将被取消;COMMIT命令则确认这些修改。
灵活的编程接口
OpenBASE Secure为安全数据库应用的开发提供了灵活的应用编程接口。提供多种应用开发接口主要有:
1) C语言例行程序接口,提供一套存取数据库的例行程序接口。
2) SQL模块接口,支持C和JAVA调用。
3) 嵌入式C接口,与SQL模块基本相同。
产品特色
OpenBASE Secure除了具备大型通用数据库系统OpenBASE所具有的所有特色外,其本身还具有以下特色:
多级安全数据库管理系统
OpenBASE Secure是一个多级安全关系数据库管理系统。多级安全关系数据库管理系统在单一数据库系统中存储和管理不同敏感性的数据,同时通过自主访问控制和强制访问控制机制保持数据的安全性。OpenBASE Secure提供了中华人民共和国国家标准(GB 17859-1999)《计算机信息系统安全保护等级划分准则》的安全标记保护级所要求的安全特性。
提供元组级的安全标记
在OpenBASE Secure中,按照敏感程度的不同,元组具有不同的安全标记,使对数据库中客体的访问控制的最小粒度达到了元组级。
支持记录的多重实例
在传统的DBMS中,系统维护数据库中的数据完整性,安全数据库也应该维护数据库中的数据完整性。但是在安全数据库管理系统提供对MLS(多级安全)支持的时候,可能会和数据完整性发生冲突,导致隐蔽通道的暴露。
OpenBASE Secure支持记录的多重实例,避免了该种隐蔽通道的暴露。在不牺牲系统安全性的同时又保证了数据的完整性。
MAC特权
为了实现在特殊情况下的特别存取要求(例如数据的导入/导出),系统为用户提供了MAC特权。用户一旦拥有了某些特权之后,就可以进行适当的跨密级存取操作,方便了系统管理和维护。
OpenBASE Secure提供READUP、WRITEDOWN和WRITEUP特权,并支持MAC特权的授予,回收和使用。
丰富、实用的标记操作
OpenBASE Secure标记转换函数TO_CHAR和TO_LABEL:可以将标记从内部存储格式转化为外部的人可读格式,或从外部的人可读格式转化为内部存储格式。
OpenBASE Secure提供单行标记函数:计算连接行中两个或多个标记的最小上界或最大下界。
OpenBASE Secure提供聚集标记函数:计算一组标记的最小上界或最大下界。
数据库加密接口
在OpenBASE Secure中可以根据不同用户的需要以及数据库中数据的敏感度,提供加密接口,集成数据库存储和传输加密算法,从而保证数据存储和传输的安全,进一步提高了数据的安全性。
实用的数据迁移工具
OpenBASE Secure提供导入和导出实用程序,支持单级或多级导入/导出。可以在OpenBASE Secure数据库和OpenBASE 数据库之间迁移数据,也可以从一个OpenBASE Secure数据库将数据迁移到另一个OpenBASE Secure数据库,并支持标记映射。
灵活高效的审计机制
OpenBASE/Secure具有灵活的审计机制。它可以从数据库系统本身、主体和客体三个方面来设置审计选项,审计对数据库对象的访问以及与安全相关的事件。数据库审计员可以分析审计信息、跟踪审计事件、追查责任。OpenBASE Secure使用审计服务器记录审计跟踪,审计服务器采用数据缓冲技术,保证了审计机制的高效性,在增加审计功能后,对系统效率的影响降低到最小。
安全的审计信息访问
在OpenBASE/Secure中,审计跟踪存储在审计跟踪表中,每条记录都有相应的安全标记。具有不同安全标记的用户只能查询符合MAC控制的记录,从而保证了审计跟踪的安全性。
提供完善的审计分析工具
OpenBASE/Secure提供了客户端图形界面审计分析工具,该审计分析工具为系统安全管理员、审计员提供对审计结果的查询、统计、跟踪和分析,指导相关人员分析审计跟踪,入侵检测等。
随着计算机在社会各个领域的广泛应用,信息系统中的数据库管理系统担负着储存和处理信息的使命。因此,对信息系统的攻击包括:对数据库系统的频繁攻击;对数据库中信息的窃取、篡改和破坏;计算机病毒、特洛伊木马等对数据库系统的渗透、攻击都严重地危害着信息系统的安全性。所以,为了适应现代社会信息处理的要求,保证政府、金融及国防等要害部门中信息的安全,作为负责集中存储和管理大量数据并为许多用户直接共享的数据库管理系统来讲,其安全性就显得尤为重要。
据报道,我国已经发现,早前由国外进囗的电脑,从内部编号到主机板内藏信息,包括软件密码,都存在多种泄密可能,更不用说国外流行的关系数据库产品了,其潜在的安全隐患也是不容忽视的,另外国外成熟的安全技术和产品严格限制出口。所有这些事实,足以唤醒每个从事信息行业的国人空前的安全危机意识和对国运民生更多的思考!在一个如此依赖信息技术的时代,如果把安全问题寄托在别人的身上,无异于拿国家的前途作赌注!为此,有专家呼吁,要尽快把发展信息系统安全防御放到"两弹一星"的高度去重视和认识,所以为了保障国家核心部门信息系统的安全运行,必须大力发展民族软件,尤其是各种平台软件系统,打破国外关键技术的垄断和限制。因此研究开发具有自主版权的安全数据库管理系统对保障国家安全具有重要的意义。
数据库安全性保护措施是否有效是衡量数据库系统的主要指标之一。OpenBASE Secure的安全管理就是为保护存储在OpenBASE数据库中的各类敏感数据的机密性、完整性和可用性提供必要的技术手段,用以防止对这些数据的非授权泄露、修改和破坏,并保证被授权用户能够按其授权范围访问所需要的数据。
目前,我国政府已经陆续出台了一系列信息系统安全方面的法律、法规,成立了安全产品测试、认证中心,第一批认证合格的安全产品即将推广、使用。政府对发展民族信息安全产品的紧迫性、重要性的认识和支持,必将为激烈市场竞争中的国内计算机企业提供新的发展契机和无比广阔的市场前景。
面对信息领域安全的需求,东软集团中间件公司凭借着多年积累的数据库系统的开发经验,在大型数据库管理系统OpenBASE的基础上,依据中华人民共和国国家标准(GB 17859-1999)《计算机信息系统安全保护等级划分准则》,同时参照TCSEC和TDI对B1级的要求进行设计,并结合OpenBASE的具体特点,自主研究开发了符合安全标记保护级的OpenBASE Secure 1.0。这一级别要求对数据库中的主客体按敏感程度加以分类并增强安全审计的能力。在OpenBASE Secure中,引入了基于元组的安全标记及MAC存取控制机制。在审计中,对用户或系统管理员关心的安全性相关事件加以审计并提供一定的系统体系保证。它提供了对标准SQL的支持;具有事务处理功能;具有强大的系统管理工具,方便实现系统的管理;由于引入MLS(Multilevel Security多级安全)而带来的新问题,例如:数据完整性及增加的隐蔽通道等,在安全数据库管理系统OpenBASE Secure中都提供了相应的解决方案。
安全数据库系统系统OpenBASE Secure具有安全、标准和易用等特点。安全就是为用户提供了完整的数据保护机制和安全可靠的系统管理手段;标准就是在其具体的设计和实现过程中严格依据了国内的安全标准,并支持目前国际通用的数据库标准,方便系统的开发和移植;易用就是系统维护方便、降低应用系统设计和开发的代价。
OpenBASE Secure是我国第一个实用化的安全数据库管理系统。它针对我国信息安全的需求而研究开发,是适合我国国情的安全数据库管理系统。OpenBASE Secure继承了OpenBASE 的高可靠性和高可用性,系统性能稳定,功能完善,为各类涉密系统提供了安全、可靠的数据保护和管理平台。OpenBASE Secure是我国信息化建设基础架构的重要组成部分,是国家信息安全的基础和可靠保障。
