云边协同环境下的数据库安全防护技术

伴随着数字化转型进程的高速发展，全球已经进入到智能的数字化时代。高效的云计算技术作为数字化时代下智能化实现的基本要素，对于形成体系化保障、推进数字化转型具有重要支撑作用。同时，边缘计算环境具有机动化、实时化和灵活化等特点，能够有效推动数字化与物联网的有机融合。

能源领域是国家关键基础设施领域。为充分提升其服务国家发展的能力，能源领域需要大力加强基于云边协同的数据保障手段，大幅提升数据的实时获取，高效处理和智能化应用能力水平。

在能源领域数字化转型的大背景下，由于数据价值的大幅提升，在巨大利益的驱使下，数据安全事件也呈现出逐年上升趋势。然而，能源基础设施在数字化转型过程中，信息系统日趋复杂，导致网络暴露面不断扩大，数据面临着严峻的安全挑战。

数据库系统是当今大多数能源领域信息系统中数据存储和处理的核心。由于数据库中常常含有各类重要或敏感数据，如组织机构人员数据、电力数据以及调度数据等各类高度机密数据，且存储相对集中，因而针对数据库的攻击往往能达到最为直接的效果。例如Verizon Business 的年度计算机破坏报告中提到，在近年的数据安全事件中，数据库破坏占据了30%，而在数据入侵的统计中，数据库入侵则高达75%。

不仅如此，针对数据库系统的成功攻击往往导致黑客获得所在操作系统的管理权限，从而为整个信息系统带来更大程度的破坏，如服务器瘫痪、数据无法恢复等等。因此，及时开展数据库安全的理论与技术研究，实现数据库系统的安全防护，是数据库自出现以来就一直存在的迫切需求。

数据库安全防护类软件能力实现的基础是对各类数据库访问行为的控制，它定义了软件最基本访问行为的访问粒度、访问逻辑和业务关系等内部遵从要求。同时，由于部署环境的特性，访问控制策略是数据库安全防护类软件研制工作中对于软件应用部署及提供服务情况的基础设计，对于数据库安全防护软件的研制工作来说具有十分重要的意义。

下面笔者将针对两种主流的访问控制策略进行详细的分析论证。

1.采用强制访问控制策略的数据库访问控制机制

强制访问控制依据主体和客体的安全级别来决定主体是否有对客体的访问权。强制访问控制本质上是基于规则的访问控制，系统中的每个进程、每个文件和每个 IPC 客体（消息队列、信号量集合和共享存储区）都被赋予了相应的安全属性。这些安全属性是不能改变的，它由管理部门（如安全管理员）或由操作系统自动地按照严格的规则来设置，不由用户或它们的程序直接或间接地修改。

强制访问控制最典型的策略是Bell 和 La Padula提出的BLP模型。在BLP模型中，主体包括所有能够发起访问操作的实体，如操作系统进程等；客体是被动接受访问的资源，如文件等。主体对客体的访问模式包括读、写、读写和执行。BLP模型赋予每个客体一个安全级别（Security Level），赋予每个主体一个安全通行证（Security Clearance），两者统称为安全标签。

BLP模型的主要特点如下。

（1）将主体和客体分级，根据主体和客体的安全标签来决定访问权限。BLP模型中的级别按从下到上的顺序包括4级：无密级（Unclassified）、机密级（Confidential）、秘密级（Secret）和绝密级（Top Secret）。

（2）从机密性的要求出发，遵循“下读/上写”的访问控制模式（也被分别称为简单安全—特性和*—特性），即：对于读操作，秘密级（S）的主体禁止读取绝密级（TS）客体中的内容，允许读取秘密级（S）、机密级（C）和无密级（U）客体中的内容；对于写操作，秘密级（S）的主体禁止向机密级（C）和无密级（U）客体中进行写入，允许向秘密级（S）、绝密级（TS）客体中进行写入。

（3）通过为每一个主体与客体赋予安全标签，实现单向的信息流通模式。BLP模型给出了系统状态的定义，并且把简单安全—特性和*—特性定义为状态不变量，把满足这两个特性的状态称为安全状态。

BLP模型通过形式化的证明，得到基本的安全定理：如果一个系统的初始状态是安全的，并且所有的状态转换操作保持状态的安全性，那么这个系统就是安全的。从直观上理解，即如果一个系统在初始状态已将主体和客体进行了正确的分级，并且系统中所有的主体和客体都严格遵循“下读/上写”的原则，那么信息将只能沿着（U）→（C）→（S）→（TS）的方向进行单向的流通（这是因为任何级别的主体都只能向高于或等于自身级别的客体中写入），从而确保系统保持安全的状态。

强制访问控制的优点是管理集中，根据事先定义好的安全级别实现严格的权限管理。因此，它适用于对安全性要求高的应用环境，是国防领域和政府机构安全系统中最为重要的访问控制模型。另外，强制访问控制通过信息的单向流动来防止信息扩散，可以有效抵御带有特洛伊木马的应用程序对系统保密性的攻击。

强制访问控制的缺点在于安全级别间强制性太强，权限的变更非常不方便，很多情况下主体或客体安全级别的划分与现实要求无法一致，造成系统管理不便。因此，其应用领域比较窄，使用不灵活，一般只适合政府机构和军事领域等具有严格机密性要求的行业或领域。

2.采用基于任务的访问控制策略的数据库访问控制机制

基于任务的访问控制（Task Based Access Control，TBAC）是从各个关系型数据库访问过程的工作流处理角度来解决安全问题的。当数据在工作流中流动时，执行相关任务活动操作的用户在改变，用户的权限也在改变，这些变化都与数据处理的上下文环境相关。因此，TBAC的目的是从任务的角度来建立安全模型和实现安全机制，在任务处理的过程中提供动态实时的安全管理。

在TBAC中，对访问权限的控制并不是静止不变的，而是随着所执行任务的上下文环境发生变化。

首先，TBAC考虑的是在工作流的环境中对信息的保护问题，因为在工作流环境中，数据的处理都是与上一次的处理相关联的，所以相对应的访问控制机制也应是如此，因而TBAC是一种上下文相关的访问控制模型。

其次，TBAC不仅需要对不同工作流实行不同的访问控制策略，而且还要能对同一工作流的不同任务实例实行不同的访问控制策略。从这个意义上说，TBAC是一种基于实例（Instance Based）的访问控制模型。

最后，因为任务都有时效性，所以在基于任务的访问控制中，用户对授予他的权限的使用也是有时效性的。

为了实现对工作流的动态、有效控制，TBAC模型中引入了新的基本概念，主要包括授权步、授权结构体、任务和依赖。具体如下。

（1）授权步（Authorization Step）

授权步表示一个原始授权处理步骤，是指在一个工作流程中对客体（如数据访问流程中的一张表）的一次处理过程。授权步是TBAC中访问控制所能控制的最小单元。具体而言，授权步由受托人集（Trustee Set）和对应的多个权限集合（Permissions Set）组成，如下图所示。

其中，受托人集是可被授予执行授权步的所有用户的集合，权限集合则是受托人集中的成员被授予授权步时拥有的访问权限。当授权步初始化以后，受托人集中的某个成员将被授予授权步，称这个受托人为授权步的执行者，执行者在执行授权步过程中所需权限的集合称为执行者权限。在TBAC中，一个授权步的处理可以决定后续授权步对客体的操作权限，将这些权限称为激活权限。执行者权限和激活权限一起称为授权步的保护态。

授权步不是静态的，而是随着处理的进行动态地改变内部状态。授权步的状态变化一般是依据执行的条件而自动变迁状态进行自我管理，但有时也可以由管理员进行调配。

根据需要，授权步的保护态的权限中也可以加入使用次数限制。比如，保护态中的写权限只能使用3次，当授权步使用写权限3次以后，写权限自动从保护态中的执行者权限中去除。

授权步的生命期、权限的次数限制和授权步的自我动态管理，三者形成了TBAC的动态授权。

（2）授权结构体（Authorization Unit）

授权结构体是由一个或多个授权步组成的结构体，它们在逻辑上是联系在一起的。授权结构体分为一般授权结构体和原子授权结构体。一般授权结构体内的授权步依次执行，原子授权结构体内部的每个授权步紧密联系，其中任何一个授权步失败都会导致整个结构体的失败。

（3）任务（Task）

任务是工作流程中的一个逻辑单元，是一个可区分的动作，可能与多个用户相关，也可能包括几个子任务。例如，一个支票处理的流程包括3个任务：准备支票、批准支票和提交支票。批准支票的任务下面又包括几个批准的子任务。这样，一个工作流的业务流程就由多个任务构成，一个任务对应于一个授权结构体，每个授权结构体由特定的授权步组成，任务中的子任务对应于授权结构体中的授权步。授权结构体之间以及授权步之间通过依赖关系联系在一起。

（4）依赖（Dependency）

依赖是指授权步之间或授权结构体之间的相互关系，包括顺序依赖、失败依赖、分权依赖和代理依赖。依赖反映了基于任务的访问控制中对基本粒度的组合原则。

与传统访问控制模型相比，TBAC模型中增加了生命期L和授权步AS的概念，一般用五元组（S、O、P、L、AS）来表示。在授权步AS被激活之前，处于睡眠状态，它保护态中的权限P是无效的，这些权限不可使用。而当授权步AS被激活时，它的执行者开始拥有执行者权限集中的权限，同时它的生命期开始倒计时。在生命期期间，五元组（S、O、P、L、AS）有效。生命期终止时，五元组（S、O、P、L、AS）无效，执行者所拥有的权限被回收。

综上所述，TBAC的优势在于从工作流中的任务角度建模，可以依据任务和任务状态的不同，对权限进行动态管理。因此，TBAC非常适合分布式计算和多点访问控制的信息处理控制以及在工作流、分布式处理和事务管理系统中的访问控制。

在软件研制技术路线的选择上，通常首先考虑兼容性，其次是成熟性。技术路线的设计目标要确保系统稳定运行，在此基础上，再考虑其先进性和扩展性。

数据库安全防护类软件的研制是能源领域云边协同环境下数据安全防护能力建设的重要工作，访问控制是数据安全防护能力的核心。因此，在研制技术路线的选择上应综合考虑软件研制周期、研制资源、研制风险、研制目标及功能需求等多方面的因素，软件研制过程中面临的不同技术难点的攻克也需要综合考虑多方面的影响因素。

本方案的软件研制技术路线选择遵循“需求-场景-策略”的软件研制技术研判思路，根据数据库安全防护软件的具体应用场景，综合考虑到数据库安全防护类软件的总体技术发展情况、部署环境以及运用场景等问题。在数据库访问控制的关键技术上，建议软件选择采用强制访问控制策略与基于任务的访问控制策略相结合的访问控制策略作为软件访问控制总体策略模型，以此实现在云边协同的计算环境下对能源领域的数据库访问行为实现有效控制提供可靠的数据库安全防护能力。

来源：《网络安全和信息化》杂志

作者：宋宏钊  李鹏  吉雯龙