潘　登

[摘要]简单介绍异构数据库平台知识，从数字图书馆数据库异构的体系特征出发，论述主要的安全技术及其在数字图书馆的应用策略

[关键词]异构数据库 数据库安全 数字图书馆 异构平台检索

中图分类号：TP3文献标识码：A文章编号：1671－7597（2009）0520066－02

近几年，图书馆通过引进和自建数据库，已使电子资源的建设具有相当规模，电子文献在文献服务中所占的比重也不断增加。在继续加强电子资源建设的同时，图书馆开始更加关注电子资源的安全和管理工作，由于数字图书馆实际的应用环境比较复杂，不同的数据库可能分布在不同的地理位置上，比如有些是国内的数字资源，有些是国外的全文期刊。他们使用着不同的数据组织形式和操作系统平台，加上应用不同所造成的数据不一致性问题。因此，在普通的应用环境中很难将这些高度分布的数据集中起来充分利用。面对当前信息资源和网络环境的复杂性，要实现异构数据库的跨库检索，传统的DBMS（数据库管理系统）已经很难胜任。图书馆要整合的数据库主要包括：书目数据库（OPAC）、题录／文摘数据库、全文数据库、电子期刊和电子图书、相关的WEB网站等。这些数据库分布在不同的服务器，成为各具不同特性的异构数据库。异构数据库系统平台是整合已有的资源，将不同类型、不同结构、不同环境、不同用法的各种异构数据库纳入统一的检索平台，以便于用户更方便，更高效地获取

信息。

一、异构数据库系统的异构特征

异构数据库系统是相关的多个数据库系统的集合，可以实现数据的共享和透明访问。每个数据库系统在加入异构数据库系统之前就已经存在，拥有自己的DBMS。异构数据库的各个组成部分具有自身的自治性，在实现数据共享的同时，每个数据库系统仍保有自己的应用特性、完整性控制和安全性控制，异构数据库系统的异构性主要体现在以下几个方面：

1．计算机体系结构的异构：各个参与数据库系统可以分别运行在大型机、小型机、工作站、PC或嵌入式系统中。

2．基础操作系统的异构：各个数据库系统的基础操作系统可以是UNIX、WINDOWS Server、Linux等。

3．DMBS本身的异构：可以是同为关系型数据库系统的Oracle、SQL Server等，也可以是不同数据类型的数据库，如关系、模式、层次、网络、面向对象、函数型数据库共同组成一个异构数据库系统。

二、图书馆异构数据库的安全性问题

数据库技术成为当今社会信息基础设施的核心技术，相应地，作为系统正常运行的保证，数据库的安全问题亦受到了广泛的关注。尤其是随着网络技术、通讯技术的发展，数据的集中管理、多用户存取及跨网络的分布式结构，使得应用系统的开发环境的开放性等要求越来越高，数据库的安全问题变得尤为突出。广义的数据库安全包括了安全保密性、完整性、可靠性、可用性、一致性等。安全保密性是防止非授权或不合法用户的使用和访问而造成数据泄漏、更改和破坏；完整性是指数据的正确性和相容性，防止合法用户无意中造成的破坏，保证数据在存储或传输过程中保持不被修改、破坏和丢失；可靠性是指对数据完整性的信赖程度；可用性是指需要时是否能存取所需数据；一致性是指数据在更新过程中数据更新的一致性。网络环境下图书馆的自动化系统多为分布式的C/S和流行的B/S模式。数据库的共享使多个用户处于并发状态，此时就要设法保证数据库中数据的一致性和完整性。因为一致性是数据可用性的前提，而完整性则涉及到数据库内容的正确性、有效性和一致性。图书馆的数据库安全保护要从以上几方面同时进行，以确保数据的正确、有效，使其免受无效更新的影响，这些无效更新包括数据的错误更改或输入、用户的误操作及机器故障等，还包括非法程序或外部力量（如断电、火灾等）篡改或干扰数据，使得整个数据库被破坏或单个数据项不可读。

三、异构数据库安全技术在数字图书馆的应用

异构数据库的安全性包括：机密性、完整性和可用性。数据库在三个层次上的异构，客户机/服务器通过开放的网络环境，跨不同硬件和软件平台通信，使数据库安全问题在异构环境下变得更加复杂。而且异构环境的系统具有可扩展性，能管理分布或数据库环境，每个结点服务器还能自治实行集中式安全管理和访问控制，对自己创建的用户、规则、客体进行安全管理。如由DBA或安全管理员执行本部门、本地区或整体的安全策略，授权特定的管理员管理各组应用程序、用户、规则和数据库，因此访问控制和安全管理尤为重要。

异构环境的数据库安全策略有：

（一）全局范围的身份验证策略

全局范围的身份验证策略是一种复杂的口令管理技术。包括数据库中多个事务的口令同步；异构数据库间的口令同步，如Oracle和Unix口令；用户初始的口令更新；强制口令更新；口令可用性、口令的时间限制、口令的历史管理、口令等级设置等。口令安全漏洞检查和系统终止。包括检查系统终止前登录失败的次数，系统终止前登录成功与登录失败的时间间隔，跟踪企图登录的站点地址。Web数据库系统中包含大量敏感和机密的数据，必须对来访的用户进行身份认证。建立在现有网络协议基础上的一些网络安全协议，如SSL和PCT等，这些协议既可用于保护机密信息，同时也用于防止其他非法用户侵入自己的主机，给自己带来安全威胁。对于ASP中绕过登录页面验证直接进入某页面的安全隐患，可利用Session对象和headers信息来认证用户的身份。

（二）全局的访问控制策略

全局的访问控制策略是以支持各类局部访问控制（包括自主和强制访问控制）。访问控制的主要功能是让经过身份认证的合法用户根据自己的权限来访问系统，其严密性将直接影响整个系统的安全。通常一个系统用访问控制表ACL（Access Control List）和权限表（Capacity List）来确定合法用户及权限。决定哪些用户指访问哪些文件夹，有什么权限。Web数据库交互中的许多安全威胁可以在这一环节得到解决，这要求含用户名和密码等机密信息的文件、脚本文件放在安全的位置，有些还需加密处理。

自主访问与强制访问控制：自主访问控制就是对主体（用户）访问客体（数据库对象）的操作权限实施控制，目的就是要保证用户只能存取他有权存取的数据，当用户拥有数据库对象上的某些操作权限及相应的转授权时，可以自由地把这些操作权限部分或全部转授给其他用户，从而使得其他用户也获得在这些数据库对象上的使用权限。DM3系统根据用户的权限执行自主访问控制。规定用户权限要考虑三个因素：用户、数据对象和操作。所有的用户权限都要记录在系统表（数据字典）中，对用户存取权限的定义称为授权，当用户提出操作请求时，DM3根据授权情况进行检查，以决定是执行操作还是拒绝执行，从而保证用户能够存取他有权存取的数据。全局访问控制（GAC）的安全结构分为三层：协调层、任务层和数据库层，每层有特定的代理强制执行部分安全策略，协调层的任务由系统管理员代理完成，负责管理整个环境，分派权限给称作任务代理的其他代理，任务代理通过分派访问单个数裾库的权限给数据库代理，来控制对整个数据库的访问。比如，由系统管理员分派的完整性保证的任务由完整性管理员完成，数据库功能（如获得用户信息）由用户和数据代理完成。

所谓强制访问控制是通过给主体（用户）和客体（数据对象）指定安全级，并根据安全级匹配规则来确定某主体是否被允许访问某客体。DM3系统根据用户的操作请求、安全级和客体的安全级执行强制访问控制，保证用户只能访问与其安全级相匹配的数据，强制访问控制必须事先定义主体和客体的安全级，所有主体和客体的安全级都要记录在系统中。当用户提出操作请求时，DM3首先检查用户对所操作的数据对象是否具有相应的操作权限，然后检查该用户的操作请求及安全级与所操作的数据对象的安全级是否匹配，当两个条件都满足时，DM3才执行用户的操作请求，否则拒绝执行。

（三）全局完整性控制策略

数据完整性认证，可以通过Hash函数对机密数据加密和数字签名来实现。进行数字签名时，可先用一个Hash函数对数据代码进行杂凑处理，然后再用用户的私钥对杂凑结果进行签名。当数据接收方验证时，也是用同样的Hash函数算出杂凑值，再对签名进行解密，如果两个结果一致，则说明数据没有被更改过，数据是完整的，否则，就说明数据在传输的过程中被非法更改了。跨平台检索数据完整性{DATA INTEGRITY）由于一般分布数据库系统中的数据，是重复地存放在不同的地点的（SIT

E）。当查询处理子系统分析出查询所需要的数据后，还需要确定将该数据的哪一部分复制文本供给该查询使用，以及该文本位于哪一个地点。这是完整性子系统（INTEGRITY SUBSYSTYEM）的任务之一。它使用系统数据字典（SYSTEM DATA DICTIONARY）并计算相应的代价，来确定这个具体文本，以使得所花费的代价可以小一些（例如这个文本距离要取得查询结果的地点最近）。同时，该子系统还负责维护数据库的完整性和一致性，即处理并行操作的有关问题，以及保证在修改数据时各重复文本的一致性。

（四）网络安全管理策略

包括网络信息加密、网络入侵防护和检测等。对机密信息实施加密保护，对机密信息进行加密存储和传输是传统而有效的方法，这种方法对保护机密信息的安全特别有效，能够防止搭线窃听和黑客入侵，即使非法得到数据也无法解读其中的内容。加密保护在目前基于Web服务的一些网络安全协议中得到了广泛的应用。在Web服务中的传输加密一般在应用层实现。WWW服务器在发送机密信息时，首先根据接收方的地址或其他标识，选取密钥对信息进行加密运算；浏览器在接收到加密数据后，根据包中信息的源地址或其他标识对加密数据进行解密运算，从而得到所需的数据。在目前流行的服务器和浏览器中，如微软公司的IIS服务器和浏览器，都可以对信息进行加解密运算，同时也留有接口，用户可以对这些加解密算法进行重载，构造自己的加解密模块。为有效地防止ASP源代码泄露，可以对ASP页面进行加密。一般有两种方法对ASP页面进行加密。一种是使用组件技术将编程逻辑封装入DLL之中；另一种是使用微软的Script Encoder对ASP页面进行加密。

（五）审计技术策略

审计分为两个级别，称为低敏感级和高敏感级。处于低敏感级别时，系统只关心流过网关的域名或IP地址是否符合规则的要求，当一个新的IP包被捕获以后，数据采集服务台将这个IP包的详细信息：包括源地址、源端口、目地址、目的端口，记录到数据库中，通过触发器的设定，数据库系统会自动启动一个规则比对的过程，发现问题后及时处理。系统处于高敏感级别时，除了关心IP地址的合法性之外，还关心流过的数据包中的内容是否合法，是否含有敏感字句。由于数据采集服务采集到的是单个的IP包的序列，要得到数据包中内容，必须对TCP的会话过程进行再现，也就是说，必须将会话中涉及到的全部IP包进行重新组装，并得到一个可以理解的TCP过程。TCP会话的还原过程由实时审计系统内部的模拟TCP／IP栈来实现。通过TCP／IP栈的模拟，并结合应用协议的分析，所有的TCP应用协议，如TELNET、HTT'P、FTP、SMTP，POP3、IMAP，以及基于UDP的ICQ、OICQ等等都可以在实时审计系统面前一览无遗。最后，规则控制模块对协议的会话内容进行检查，完成实时审计过程。如果发现非法情况，通知数据库服务记录下给定时间段某个用户的数据流，为日后的动作回放做准备，同时，以告警灯、告警声音，告警级别（从颜色上反映）、以及告警分析等方式通知监控中心。

当前图书馆界对实现异构数据库跨库检索的兴趣日益增涨，国外有很多图书馆成立专门的项目小组对目前的相关技术和产品进行考察，我国有的图书馆已经实现了异构数据库的跨库检索。后PC时代的数字图书馆，随着网络环境的不断发展和完善，网络安全环境日趋复杂，安全而完整的实用异构数据库是数字图书馆自动化管理正常开展的保证，因此国内对异构数据库安全技术策略应用方面的研发也越来越迫切。

参考文献：

[1]赵晓玲，图书馆数据库的安全保护，图书馆工作与研究，2004（1）.

[2]钱菁，网络数据库安全机制研究，计算机应用研究，2003（12）.

[3]吴刚等，异构网络安全管理的设计，计算机工程，1999（10）.

[4]陈秀萍、郭朝晖，图书馆的网络信息安全及对策，农业图书情报学刊，2004（7）.