數據存取的任務
數據存取是按照最佳化的存取按排進行實際的存取操作,它完成以下任務:
1.提供一次一個元組的查詢,插入、刪除、修改等基本操作。
2.提供元組查詢所循的存取路徑以及對存取路徑的維護操作。
3.對記錄和存取路徑封鎖,解鎖操作。
4.日誌檔案的登記和讀取操作。
5.輔助操作,如掃描、排序/合併等。
為了完成以上任務,數據存取包括以下子系統:
·記錄存取,事務管理子系統。
·排序/合併子系統
·存取路徑維護子系統
·封鎖子系統
·日誌檔案登記子系統
記錄存取,事務管理子系統提供按屬性值直接取一個元組或順序取一個元組的存取原語,以及控制事務的操作。存取原語包括:按屬性值找元組,按相對位置找元組,給關係增加一個元組,從元組中取一個屬性值,從關係中刪除一個元組,把修改的元組寫回關係中。控制事務的操作包括:定義事務開始、事務提交、事務滾回等。
排序/合併子系統提供對關係元組重新排序的功能。其主要用途如下:
·輸出有序結果。
·刪去重複值。
·支持合併掃描的連線操作。
·支持動態建立索引結構。
·減少數據塊的存取次數。
總之,排序操作是數據存取中經常調用的操作,它對提高系統效率具有關鍵的作用。因此,排序/合併子系統應儘量採用高效的算法。
存取路徑維護子系統是當對數據執行插入、刪除、修改操作時要對相應的存取路徑進行維護。例如,用B+樹索引作為存取路徑,則對元組進行插入、刪除、修改操作時要對元組所在的、表上已建的所有B+樹索引動態維護,插入,刪除相應的索引項,否則,就會造成B+樹索引與資料庫表的不一致。
解決並發控制帶來的問題最常見的方法是鎖的方法。一個對象一旦被一個事務(T1)用加鎖(LOCK)方式被鎖上,則另一個事務(T2)就不能存取它,除非該對象由T1通過解鎖(UNLOCK)將鎖釋放;鎖有各種類型,不準任何存取操作的鎖稱為排外鎖,只允許其它事務對加鎖對象進行讀的鎖稱為共享鎖。排外鎖與共享鎖不能同時加在一個對象上。當兩個事務都等待彼,此的解鎖時,則出現了死鎖現象,通過檢測、解鎖,可以避免這種現象。封鎖子系統就是完成封鎖、解鎖和死鎖處理。
日誌登記子系統是用記錄系統中發生的每一件事來表達系統活動的過程,在日誌檔案中記錄了存取的對象、改變的數據、事務代碼和/或斷言和所有其它並發活動及系統狀態變數的變化。當發生失敗事件時,資料庫系統要利用日誌檔案中這些信息進行恢複數據庫。其恢複方法有兩種,即向後恢復(利用日誌檔案來取消這些未完成事務所作的變化)和向前恢復(資料庫由最後一個備份版本恢復出來,再由日誌檔案重做自此版本後的所有改變)。
數據存取管理
根據業務和安全的要求,應當控制對信息的訪問和對業務程式的訪問。
(1)用戶訪問管理
用戶訪問管理的目的是防止對信息系統的未經授權的訪問。應當由正規的程式來控制對信息系統和服務的訪問許可權分配,這些程式應當覆蓋用戶訪問全過程的所有階段,從用戶的最初註冊到不再需要訪問信息系統和服務的用戶最終的註銷。適當的情況下,應當特別注意控制特權訪問許可權的分配,因為這些特權允許用戶超越系統控制。
1.用戶註冊
為了授予對一個多用戶的信息系統和服務的訪問許可權,應當由一個正式的用戶註冊和註銷程式,通過正式的用戶註冊程式來控制對於多用戶信息服務的訪問。對企業內部職工,如果有未經授權的訪問時要接受處罰,建議在員工契約和服務契約中包含相關規定的條款。
2.特權管理
對系統特權的不當使用經常成為導致信息系統產生故障的一個主要因素,所以應當通過正式的授權程式來控制對特權的分配。
3.用戶密碼管理
密碼是一種訪問信息系統或者訪問時確認用戶身份的常用方式。應當通過正式的管理程式來控制密碼的分配,但無論如何,密碼都不能以一種未受保護的形式存儲在計算機上。可以使用其他的用戶識別和授權技術,如指紋鑑定、簽字確認和硬體標識等技術。
4.用戶訪問許可權的複查
為了保持對數據和信息服務的存取訪問的有效控制,管理層應當實施一個正式的程式蔫鬻臻來定期複查用戶的訪問許可權,使得用戶的訪問許可權得到定期複查(推薦周期是6個月)並在;做任何改動後進行複查;對特殊的特權訪問許可權應當以更高的頻率來檢查;推薦周期是3個月;定期核查特權分配,以確保無人得到未經授權的特權。
(2)用戶責任
得到授權的用戶進行合作是有效的安全基礎。為了維持有效的訪問控制,應當讓用戶知道他們的責任,尤其是有關密碼使用和用戶設備的安全方面的責任。
1.密碼使用
用戶應當按照良好的安全操作規程來選擇和使用密碼。密碼提供了一種驗證用戶身份的手段,從而建立了對信息處理設備和服務的訪問許可權。
2.無人值守用戶設備
用戶應當確保無人值守設備得到足夠的保護。應當讓所有的用戶和合作夥伴明白無人值守設備的安全要求和安全程式,並使其清楚自己的責任。
(3)網路訪問控制
網路訪問控制的目的是保護網路服務,控制對內部和外部網路服務的訪問,這對於確保有訪問許可權的用戶不損害這些系統的安全是必要的。為此,要確保在本組織的網路和其他組織的網路之間有適當的接口,對用戶和設備有適當的授權機制,以對用戶訪問信息服務進行控制。
1.網路服務的使用策略
與網路服務不安全的連結會影響到整個組織,只應當向用戶提供對那些特別授權他們使用的服務進行直接訪問。這種控制對於與敏感或者關鍵業務套用軟體的聯網或者與處於高風險地區的用戶的聯網都是十分重要的。其中高風險地區指公共的場所或者組織的安全管理範圍以外的區域。當然,這一策略應當與業務訪問控制策略相一致。
2.強制路徑
從用戶終端到伺服器的路徑需要進行控制。網路被設計成要允許最大程度的資源共享和最大程度的路徑選擇自由,而網路的這些特徵也可能為那些對業務套用軟體未經授權的訪問或者對信息設備未經授權的使用製造了機會。限制用戶終端與允許用戶訪問的伺服器之間路徑的聯合管理措施,能夠降低這種風險。
強制路徑的目的是防止用戶選擇了任何用戶終端與允許用戶訪問的伺服器之間路徑的其他路徑。
3.外部連線的用戶認證
外部連線可能導致對信息系統未經授權的訪問。因此,應當把遠程用戶的訪問置於比其他方式更為嚴密的保護之下,耍從風險評估中確定所需保護的等級,這點十分重要。而且選擇恰當的認證方法時也需要。
可以通過多種方式驗證遠程用戶的身份,例如加密技術、硬體標識或者詢問/應答協定。也可能用專用線路或者網路用戶地址檢查設備來確認連線的來源。
撥號回送程式和控制措施,能夠防止對一個組織的信息處理設備的未經授權的和有害的連線,這種控制能夠鑑別那些遠程訪問的用戶。
4.節點鑑別
自動連線到遠程計算機的設備能夠提供一種途徑,從中可以獲得對業務套用軟體的未經授權的訪問。因此應當認證連到遠程計算機系統的連線,如果連線使用的網路在組織的安全管理的控制範圍以外,這種做法就尤其重要了。
5.遠程診斷接口的保護
應當安全地控制對診斷接口的訪問。為了方便維護工程師的使用,許多計算機和通信系統安裝在一個撥號遠程診斷設備之中。如果未加保護,這些診斷接口就為未經授權的訪問提供了途徑。因此,應當用適當的安全機制對其加以保護,例如一個密碼鎖和一個保護程式。通過在管理員和需要訪問通路的硬體/軟體支持人員之間所做的安排,該程式確保了診斷接口只能由他們訪問。
6.網路隔離
網路日益被擴展到傳統的組織邊界以外,例如業務夥伴關係的形成可能需要互聯或者共享信息處理和網路設備。網路的這種擴展可能加大使用網路的現有信息系統受未經授權的訪問的風險,由於有些網路的敏感性或者關鍵性,它們可能需要其他網路用戶的保護。在這種情形下,應當考慮在網路中引入管理措施來隔離不同的信息服務、用戶和信息系統。
大型網路安全管理的方法之一就是將其分解為獨立的邏輯網域,再將被連線起來以控制兩個域之問的訪問和信息流的兩個網路之間安裝一個安全網閘,形成安全邊界。安全網閘可以用來過濾這些域之間的通信,並能夠按照訪問管理措施堵住未經授權的訪問。
7.網路連線管理
共享網路訪問控制策略的要求,特別是那些跨越組織界線的關係網路,可能需要把控制措施結合起來以約束用戶的連線能力。這種控制措施可以由一個用預先擬定的表格或者規則過濾通信的網路門路來實現。所用的這種約束措施應當基於訪問控制策略和業務套用軟體的需要,因此應當加以維護和更新。
8.網路路徑選擇控制
共享的網路,尤其是那些跨越組織邊界的網路,可能需要把路徑選擇管理措施結合起來以確保計算機連線和信息流不會破壞業務套用軟體的訪問控制策略。
路徑選擇控制應當基於確定的來源和目標地址檢測機制。網路地址翻譯對於隔離網路和防止路徑從一個組織的網路延伸到另一個網路中也是一種非常有用的機制,它們能夠在軟體和硬體中實現,實施者應當清楚所配備的任何機制的作用強度。
(4)作業系統訪問管理
作業系統水平的安全設備應當用於限制對計算機資源的訪問,這些設備應當能夠鑑別和驗證身份,甚至能夠鑑別和驗證每個經授權用戶的位置和終端;記錄對系統的成功訪問和失敗訪問;提供適當的授權方式;如果使用了密碼管理系統,應當能夠確保使用的是優質密碼;在適當的地方,限制用戶的連線次數。
1.自動終端識別
為了鑑別連到特殊地點和便攜設備的連線應當考慮自動終端識別技術。如果一個會話只能從特殊的地點或者計算機終端上啟動,那么自動終端識別就是一種可以考慮的方法。終端內或者貼到終端上的一個標識可以用來指示是否允許這個特定的計算機終端啟動或者;接收特殊事項。為保持終端標識的安全,可能需要對計算機終端進行物理保護,也可以用其他的技術鑑別計算機終端。
2.終端登錄程式
一個安全的終端登錄程式應當能夠獲得對信息服務的訪問,這一登錄到計算機系統的過程的設計應當把對系統未經授權的訪問的機會降到最低限度。因此為了避免給未經授權的用戶以不必要的幫助,該登錄程式只會透露出最少的系統信息。一個好的登錄程式應當做到符合相關規範,如在登錄程式中不提供可能會幫助未經授權的用戶的信息;能夠限制所允許失敗登錄的次數,並記錄失敗的嘗試;在重新登錄之前強制等待一段時間或者拒絕任何沒有特殊授權的進一步嘗試,限制所允許的登錄程式的最長和最短時問,如果超過了這個範圍,系統應當終止登錄等。
3.用戶識別和鑑定
所有的用戶應當有唯一的標識(用戶ID)供他們個人並且只供他們個人使用,這樣就可以追蹤各種活動到負有責任的個人身上。在例外的情況之下,可能會讓一個用戶群或者特殊的工種共享一個用戶ID,管理層對這種情況的批准應當記錄在案。
需要有各種授權程式來證實用戶所聲稱的真實身份。密碼是一種非常通用的進行識別和鑑定的方法,這一方法基於一個只有用戶才知道的秘密。利用加密技術和鑑別協定也可以達到同樣的目的。存儲標識或者用戶擁有的智慧卡這類物品也可以用來進行識別和鑑定。利用個人的唯一特徵或者屬性的生物鑑別技術也可以用來鑑別一個人的身份。將鑑別技術和管理機制妥善地結合到一起能夠得到更為強大的鑑定能力。
4.密碼口令管理系統
密碼是驗證用戶訪問計算機許可權的主要形式之一,密碼管理系統應當提供一個有效的、互動的設備,這樣可以確保優質密碼。一些應用程式需要有獨立的職權來分配用戶密碼,在大多數情況下,密碼是由用戶選擇和維護的,一個好的密碼管理系統應當符合密碼管理的標準和規範。如輸入密碼時不要將其在螢幕上顯示出來,把密碼與套用軟體系統的數據分開存放,以使用單向加密算法的加密形式存儲密碼口令等。
5.系統實用程式的使用
大多數計算機安裝有一個或者更多系統實用程式,它們可能有能力超越系統和應用程式的控制,因此限制並嚴格控制對它們的使用是十分重要的。
系統實用程式的使用有必要配置認證程式,並把系統實用程式從套用軟體中分離出來;把使用系統實用程式的人限制在最少的值得信任的授權用戶之內,要為系統實用程式的特殊使用進行授權;需要限制系統實用程式的有效性,並要記錄系統實用程式的所有使用;所有基於軟體的多餘實用程式和系統軟體需要刪除。
6.終端暫停
為了防止未經授權人的訪問,在一段確定的休止期結束後,應當關閉在高風險地區的暫停終端或者是正在為高風險系統提供服務的終端。在一段確定的暫停期後,這一終端暫停手段應當清除終端螢幕內容並關閉應用程式和網路會話。
7.連線時問的限制
對連線時間的限制應當為高風險應用程式提供額外的安全保證,限制終端的連線時間可以減少未經授權訪問的空間。對於敏感的計算機應用程式,特別是那些安裝在高風險地區的終端,應當考慮這樣的管理措施。這樣約束措施的例子包括使用預先確定的時間段,例如批量的檔案傳送,或者定期的短時互動式對話;如果沒有逾時或者延時業務,限制連線到正常辦公時間的次數等。
(5)應用程式訪問控制
防止保存在信息系統內的信息被未經授權訪問,應當使用安全設施限制在應用程式系統中的訪問,對軟體和信息的邏輯訪問應當限制在經過授權的用戶之中。
1.套用軟體系統限制
能夠控制用戶對信息和應用程式系統功能的訪問,並要與確定的業務訪問控制策略相一致;為任何一個能夠超越系統或應用程式限制的實用程式和作業系統軟體提供保護,防止未經授權的訪問;不損害有共享信息資源的其他系統的安全;只能夠向所有權人、其他被指派和經授權的個人或者確定的用戶群提供對信息的訪問許可權。
2.信息訪問限制
按照確定的訪問控制策略,應當為套用軟體系統的用戶包括技術支持人員提供對信息和應用程式系統的訪問。
通過適當編輯用戶檔案,可以限制用戶對未得到授權訪問的信息或者應用程式系統功能的了解;控制用戶的訪問許可權,例如讀取、改寫、刪除和執行等許可權;確保處理敏感信息的應用程式系統的輸出只包括與使用相關的信息,而且只送到得到授權的終端和地點,包括對這種輸出周期性的複查,以確保多餘的信息被刪除。
3.敏感系統的隔離
敏感系統可能需要專用(隔離)的計算環境。有些應用程式系統對於潛在的損失如此敏感以至於需要對它們做專門處理,這種敏感性可能表示應用程式系統應當在專用計算機上運行,而且只同受信的應用程式系統共享資源,或者沒有限制。
對一個應用程式系統的敏感性應當做清楚的定義,並且應用程式的所有權人應該被記錄在案。當一個敏感的應用程式在共享的環境下運行時,應該能夠被識別,並獲得敏感應用程式的所有權人的準許。
(6)檢測系統訪問和使用
系統中偏離訪問控制策略的行為應能被監控和記錄,以便在發生安全事件時提供證據。系統檢測允許對所採用管理措施的有效性進行檢測,並允許對一個訪問策略模型的確認進行驗證。
1.事件記錄
應當編寫用來記錄異常現象和其他有關安全事件的審查日誌,並在各方同意的時間段內保持該日誌,以協助以後的調查研究和訪問控制監測。審核日誌需要放入檔案中,或作為記錄保留策略的一部分,或出於蒐集證據的需要。
2.檢測系統使用
(1)程式和風險區域
為了確保用戶只做得到明確授權的行為,信息處理設備使用的檢測程式是必需的,並應戮經風險評估以確定個人設備所需的監測等級,確定用戶得到授權的訪問細節,如:用戶ID、關鍵事件發生的日期和時間、事件的類型、訪問的檔案、使用的程式/實用程式、所有有特權的作業、未經授權的訪問嘗試、系統警報或者故障等。
(2)風險因素
應當定期檢查監測活動的結果,檢查的頻率取決於所涉及的風險。應當加以考慮的風險因素包括:套用進程的重要程度,所涉及信息的價值、敏感性和重要程度,以往的系統過濾和誤用的經驗教訓,系統互聯的程度等。
(3)記錄和檢查事件
日誌檢查涉及對於系統所面臨威脅的理解和對這些威脅可能的產生方式的認識。系統Et志常常包含大量的信息,其中很多信息與安全檢測無關。出於安全檢測的目的而幫助識別重要事件時,應當考慮把適當的信息類型自動複製到第二個日誌,或者使用適當的系統實用程式或檢測工具,以便進行檔案審查。
當為檢查日誌而分配責任時,應當考慮把執行檢查的人員和其活動被監測的人員的角色分離開。尤其應當注意日誌記錄設施的安全性,因為一旦遭到破壞可能給人一種十分安全的假象。
(7)移動計算和遠程工作
使用移動計算時,應當考慮在未經保護的環境下工作的風險,並且要採用適當的措施。在遠程工作時,應當為遠程工作地點提供保護,並且確保對這種工作方式有適當的安排。
1.移動計算
使用移動計算設備時,應當特別注意確保業務信息不受損害。應當採取正式策略來考慮使用移動計算設備的風險,特別是在未加保護的環境之中。例如,該策略應當涵蓋物理保護、訪問控制、加密技術、備份檔案和防範病毒等方面的需要。該策略還應當包括有關把設備連線到網路的規則和建議,以及對於在公共場所使用這些設備的指導。
在保護範圍之外的未受保護的區域,在適當的位置應當有保護措施,以避免未經授權的訪問或者泄露由這些設備存儲和處理的信息。對連線到網路的移動設備給以適當的保護,只有經過成功的識別和鑑定之後,才可以使用移動計算設備通過公眾網對業務信息進行訪問,並且有適當的訪問控制機制在。還應當對移動計算設備加以物理上的保護,以防在離開時被偷竊。應當訓練職工使用移動設備,提高他們對這種工作方式所帶來的額外風險和應當實行的管理措施的認識。
2.遠程工作
遠程通信技術能夠讓員工在組織之外的遠程地點工作,但應該對遠程工作進行保護,以防止設備和信息被盜走、信息未經授權就披露、對內部系統的未經授權的訪問或者設備的誤用。遠程工作不但需要授權,還要由管理層控制,而且對這種工作方式應當有適當的安排。應當考慮開發一種策略、程式和標準來控制遠程工作活動。
數據存取安全
數據存取安全主要考慮以下三個方面。
1.數據存儲安全
對有數據信息存儲的檔案或數據在訪問或輸入時均設定監控措施。
2.數據的存取控制安全
從信息系統處理角度對數據存取提供保護,存取控制需與作業系統密切配合,同時又與系統環境和操作方式的關係極大,時常會因為這方面出現問題而帶來損失和危害。在建立計算機系統時必須十分慎重地處理這方面的問題。
3.數據傳輸安全
數據傳輸安全是指確保在數據通信過程中,數據信息不被損壞或丟失,這方面的保護方法有以下幾種。
(1)鏈路加密。對通信網路中兩個節點之間的、單獨的通信線路上的數據進行加密保護。
(2)點到點保護。在網路中,數據提供從源點到目的地的加密保護。
(3)加密設備的管理。對加密設備的使用、管理、保護都有完整、有效的技術措施;同時,在數據傳輸的安全中,也必須防止通過各種線路與金屬管道的傳導泄漏電磁波形成的輻射泄漏。因此,必須採取相應的保護措施,包括選用低輻射顯示器、可靠的接地以及計算機的設計應符合國家安全標準的規定等。