隨著計算機(jī)以及網(wǎng)絡(luò)的普及和廣泛應(yīng)用，信息系統(tǒng)的安全問題也變得越來越嚴(yán)重．雖然有很多安全技術(shù)，如加密、訪問控制、入侵檢測等可以用來應(yīng)對各種安全威脅，但是這些技術(shù)并不能完全保障系統(tǒng)的安全．事實上，在系統(tǒng)實際運行中，安全威脅中很大一部分都源于內(nèi)部人員攻擊，而入侵檢查和訪問控制等機(jī)制對這類攻擊的防范能力非常有限；另一方面，對于很多外部入侵事件，入侵檢測工具不能作出正確的響應(yīng)．在這些情況下，作為安全事件追蹤分析和責(zé)任追究的審計機(jī)制有著不可替代的作用．審計機(jī)制在多級安全數(shù)據(jù)庫中更為重要．因為在支持多級安全的數(shù)據(jù)庫系統(tǒng)中，隱通道可以繞過強(qiáng)制安全策略的限制，可能構(gòu)成對系統(tǒng)的嚴(yán)重安全威脅．有些隱通道很難在系統(tǒng)實現(xiàn)中完全消除，對這些隱通道一般可以采用審計的方法【1】．通過對構(gòu)成隱通道場景中操作序列進(jìn)行審計，可以威懾內(nèi)部人員利用隱通道進(jìn)行的非授權(quán)通信，也可以在事后檢查是否存在惡意代碼的攻擊．

因此。對多級數(shù)據(jù)庫設(shè)計靈活的審計機(jī)制更加必要．

對于審計子系統(tǒng)來說，一個簡單的審計策略是，對數(shù)據(jù)庫系統(tǒng)中發(fā)生的所有事件都審計，可以完全滿足安全分析和責(zé)任追蹤的需求．然而，這樣將大大降低系統(tǒng)的時間效率和空間效率，并且記錄大量無用的事件信息．因此，對系統(tǒng)中所有操作事件都審計是不現(xiàn)實的，也是不必要的．審計系統(tǒng)應(yīng)該具有配置審計事件的能力，靈活、有效的審計配置功能可以使得審計日志在盡量少占用時間和空間的前提下，為安全事件分析和責(zé)任追究提供足夠多的信息．然而，已有的商業(yè)化數(shù)據(jù)庫系統(tǒng)對靈活的審計設(shè)置的支持非常有限．因此，研究并提出具有靈活結(jié)構(gòu)、表達(dá)能力豐富、形式化的審計策略模型對多級安全系統(tǒng)的設(shè)計和開發(fā)都有著重要的意義．

針對目前實際系統(tǒng)對審計支持的局限性，本文提出的審計策略模型主要解決以下幾方面的問題：首先，對于大型的數(shù)據(jù)庫管理系統(tǒng)，由于包括了大量的數(shù)據(jù)對象和用戶，需要支持多個審計管理員進(jìn)行分布式管理，如何實施全局的審計策略設(shè)置以及如何協(xié)調(diào)各個審計管理員之間的關(guān)系是值得研究的．

其次，需要研究如何為審計管理提供靈活的基于時間的審計．這種功能是很有必要的．比如，審計策略要求在下班時間或者某些重要的時段發(fā)生的事件需要更全面和詳細(xì)的審計，這時就可以使用支持時間約束的審計規(guī)則．否則，需要審計管理員在不同的時段重新配置審計策略，給管理帶來很大的不便．

最后是細(xì)粒度審計設(shè)置的研究．在一些數(shù)據(jù)庫中，針對元組的細(xì)粒度審計一般是通過觸發(fā)器機(jī)制實現(xiàn)的．這種方式不利于審計管理員進(jìn)行全局的一致性的審計策略管理．在本文提出的模型中，我們通過引入審計對象屬性謂詞來實現(xiàn)靈活的細(xì)粒度的審計策略配置．

需要指出的是，在多級安全的數(shù)據(jù)庫中，一方面要求審計子系統(tǒng)應(yīng)該支持對隱通道的審計，另一方面，審計子系統(tǒng)本身在設(shè)計時也應(yīng)該盡量避免引入新的隱通道．本模型提出的細(xì)粒度審計策略設(shè)置可以用來輔助對隱通道的審計．本模型還規(guī)定審計策略的安全級別滿足一定的性質(zhì)以防止引入新的隱通道．

本文第1節(jié)詳細(xì)描述基于多級安全數(shù)據(jù)庫管理系統(tǒng)的通用審計策略模型的框架結(jié)構(gòu)．第2節(jié)討論審計策略模型的核心結(jié)構(gòu)審計策略規(guī)則庫的組成以及策略表達(dá)語言．第3節(jié)給出保證模型安全性必須滿足的不變量．第4節(jié)討論審計策略規(guī)則庫的可判定性問題并給出了判定算法．第5節(jié)介紹與本文相關(guān)的研究工作．第6節(jié)總結(jié)全文．1多級審計策略模型基本框架多級安全數(shù)據(jù)庫是實施多級強(qiáng)制安全策略(比如BellLaPadula模型【21)的數(shù)據(jù)庫管理系統(tǒng)．從抽象的模型層次來看，數(shù)據(jù)庫與操作系統(tǒng)的不同之處主要是數(shù)據(jù)庫中引入了事務(wù)以及數(shù)據(jù)模型，因此，在審計策略模型中包括了事務(wù)類型和會話類型．我們的審計策略模型中對客體對象抽象為樹狀結(jié)構(gòu)，與具體數(shù)據(jù)模型無關(guān)，因此既可以用于關(guān)系數(shù)據(jù)模型，也可以用于對象數(shù)據(jù)模型以及半結(jié)構(gòu)化數(shù)據(jù)模型，如XML文檔數(shù)據(jù)庫．多級安全的數(shù)據(jù)庫中所有的主客體都有相應(yīng)的安全級別標(biāo)簽，并且樹狀結(jié)構(gòu)的客體對象的安全級別滿足從樹根到葉子的升序關(guān)系．這樣，根據(jù)BLP模型的簡單安全特性(任何用戶只允許讀該用戶的安全級別支配的客體)，任何級別的用戶看到的對象視圖也構(gòu)成一棵樹．用戶的安全標(biāo)簽可以是TRUSTED，表明該用戶是可信的，可以違反強(qiáng)制安全策略．

引入可信主體的目的是為了方便管理員的操作．用戶也屬于一種特殊的客體對象，因為用戶屬性修改、刪除用戶等操作的對象就是用戶名．審計策略模型的核心是審計策略規(guī)則庫，實施審計的子系統(tǒng)將根據(jù)審計策略規(guī)則庫決定是否對一個事件審計．

2審計策略規(guī)則庫

審計策略規(guī)則庫是審計策略模型的核心部分，根據(jù)審計策略規(guī)則庫可以確定對任何一個事件是否應(yīng)該審計以及審計的頻度．實施審計的子系統(tǒng)將根據(jù)上述判定結(jié)果實施審計或者不審計．本節(jié)我們將依次給出審計策略規(guī)則庫各個組成部分的定義．

由于本模型支持時間約束的審計策略，我們先給出時間約束的定義．文獻(xiàn)[3】引入了周期時間的概念，由于該定義直觀上易于理解，并且能夠表達(dá)常見的時間約束。因此本模型也采用這種時間描述形式．

在審計策略中，我們可以根據(jù)一個操作的執(zhí)行結(jié)果決定是否進(jìn)行審計．常用的操作執(zhí)行結(jié)果有操作成功和操作失敗．為了進(jìn)一步控制對某些類型操作結(jié)果的審計，我們還定義了自主訪問控制不允許導(dǎo)致的操作失敗、強(qiáng)制訪問控制不允許導(dǎo)致的失敗，以及在系統(tǒng)禁止多實例時用戶企圖創(chuàng)建多實例對象導(dǎo)致的失敗．通過對操作失敗原因的細(xì)分，可以方便地按照違反安全策略的類型對操作進(jìn)行審計策略定義．

定義4(操作執(zhí)行結(jié)果ges)．操作執(zhí)行結(jié)果是操作執(zhí)行是否成功或者失敗以及失敗類型．操作執(zhí)行結(jié)果集合RES={fi,r2，吩，．．．)，并且基本操作執(zhí)行結(jié)果集合{SUCCESSFUL，uNSucCESSFUL，BOTH)cRES，以及操作失敗類型集合FRES={EDAC，EMAC，EPOL，．．．}cRES．其中SUCCESSFUL表示操作成功執(zhí)行，uNsuccEssFuL表示操作失敗，BOTH表示操作成功或者失敗，EDAC表示自主訪問失敗，EMAC表示強(qiáng)制訪問失敗，EPOL表示多實例失敗(當(dāng)系統(tǒng)禁止多實例時創(chuàng)建導(dǎo)致多實例的對象)．除了基本操作執(zhí)行結(jié)果以外，RES還可以包括其他類型的操作執(zhí)行結(jié)果．