摘? 要: 對(duì)數(shù)據(jù)倉(cāng)庫(kù)安全模型進(jìn)行了分析,討論了現(xiàn)有的數(shù)據(jù)倉(cāng)庫(kù)安全模型,并對(duì)數(shù)據(jù)倉(cāng)庫(kù)安全模型的發(fā)展方向進(jìn)行了展望。
關(guān)鍵詞: 數(shù)據(jù)倉(cāng)庫(kù)? 數(shù)據(jù)倉(cāng)庫(kù)安全? 安全模型
?
數(shù)據(jù)倉(cāng)庫(kù)是在以事務(wù)處理為主要任務(wù)的數(shù)據(jù)庫(kù)基礎(chǔ)上發(fā)展起來(lái)的,但是它與數(shù)據(jù)庫(kù)有著根本的不同。數(shù)據(jù)倉(cāng)庫(kù)的主要特征是面向主題的、集成的、與時(shí)間相關(guān)的、不可修改的數(shù)據(jù)集合[1]。數(shù)據(jù)倉(cāng)庫(kù)是一種決策支持系統(tǒng),它主要是對(duì)企業(yè)決策提供強(qiáng)有力的支持,因此它的安全性更加重要。因?yàn)閿?shù)據(jù)倉(cāng)庫(kù)中數(shù)據(jù)的丟失將損害企業(yè)的決策,所以數(shù)據(jù)倉(cāng)庫(kù)的安全性相對(duì)于數(shù)據(jù)庫(kù)來(lái)說(shuō)更為重要。
近幾年來(lái),雖然對(duì)數(shù)據(jù)倉(cāng)庫(kù)的研究較多,但是控制對(duì)數(shù)據(jù)倉(cāng)庫(kù)的訪問(wèn)卻是一個(gè)正在發(fā)展的技術(shù)領(lǐng)域,對(duì)數(shù)據(jù)倉(cāng)庫(kù)的安全控制方面的研究仍舊涉及很少。對(duì)數(shù)據(jù)倉(cāng)庫(kù)的安全控制和對(duì)于傳統(tǒng)的操作型數(shù)據(jù)庫(kù)的安全控制是不同的。數(shù)據(jù)倉(cāng)庫(kù)的控制有著更高的復(fù)雜性,原因主要在于數(shù)據(jù)倉(cāng)庫(kù)的建立目的與限制對(duì)數(shù)據(jù)的訪問(wèn)是矛盾的;數(shù)據(jù)倉(cāng)庫(kù)中存在著不同粒度的數(shù)據(jù);數(shù)據(jù)倉(cāng)庫(kù)中的數(shù)據(jù)是以多維的方式存在的。這些因素決定了數(shù)據(jù)倉(cāng)庫(kù)安全的研究是一個(gè)復(fù)雜的領(lǐng)域。目前對(duì)于數(shù)據(jù)倉(cāng)庫(kù)安全性的研究還比較少,國(guó)內(nèi)還處于起步階段,但是它卻有著極其重要的現(xiàn)實(shí)意義。本文主要是通過(guò)對(duì)幾個(gè)數(shù)據(jù)倉(cāng)庫(kù)安全模型的研究,對(duì)數(shù)據(jù)倉(cāng)庫(kù)安全性目前研究的主要內(nèi)容、現(xiàn)狀和發(fā)展趨勢(shì)進(jìn)行了分析,并給出了一些模型的應(yīng)用實(shí)例。
1? 數(shù)據(jù)倉(cāng)庫(kù)安全模型
一個(gè)好的安全模型是數(shù)據(jù)倉(cāng)庫(kù)安全性的重要保障。現(xiàn)存的許多數(shù)據(jù)倉(cāng)庫(kù)在設(shè)計(jì)階段都沒(méi)有能夠很好地在數(shù)據(jù)倉(cāng)庫(kù)的安全方面進(jìn)行很好的設(shè)計(jì),這使得在數(shù)據(jù)倉(cāng)庫(kù)建成之后再添加關(guān)于安全方面的設(shè)計(jì)時(shí)成本大增,而且在數(shù)據(jù)倉(cāng)庫(kù)建成之后再實(shí)施安全策略時(shí)也比較困難。因此在設(shè)計(jì)階段就設(shè)計(jì)好數(shù)據(jù)倉(cāng)庫(kù)的安全模型對(duì)于構(gòu)建一個(gè)安全的數(shù)據(jù)倉(cāng)庫(kù)有著極其重要的意義。本文主要分析了四種關(guān)于數(shù)據(jù)倉(cāng)庫(kù)和OLAP的安全模型。
1.1 基于元數(shù)據(jù)的數(shù)據(jù)倉(cāng)庫(kù)安全模型設(shè)計(jì)
元數(shù)據(jù)是描述數(shù)據(jù)倉(cāng)庫(kù)內(nèi)數(shù)據(jù)的結(jié)構(gòu)和建立方法的數(shù)據(jù)。元數(shù)據(jù)是數(shù)據(jù)倉(cāng)庫(kù)中很重要的一部分,它將會(huì)影響數(shù)據(jù)倉(cāng)庫(kù)中所有的層次,常被開發(fā)者用來(lái)管理控制和開發(fā)數(shù)據(jù)倉(cāng)庫(kù)。元數(shù)據(jù)也是用戶訪問(wèn)數(shù)據(jù)倉(cāng)庫(kù)的一部分,它常被用來(lái)控制訪問(wèn)控制和分析數(shù)據(jù)。
通過(guò)對(duì)元數(shù)據(jù)的控制來(lái)加強(qiáng)數(shù)據(jù)倉(cāng)庫(kù)的安全性,這種情況下與安全主題和客體相關(guān)的訪問(wèn)規(guī)則被以元數(shù)據(jù)的形式存儲(chǔ)。當(dāng)一個(gè)用戶訪問(wèn)數(shù)據(jù)倉(cāng)庫(kù)中的數(shù)據(jù)時(shí),安全查詢機(jī)制層將會(huì)查詢這個(gè)訪問(wèn)是否被允許。為了保證查詢的正確進(jìn)行,可通過(guò)分析“安全元數(shù)據(jù)”來(lái)分析相應(yīng)的訪問(wèn)許可機(jī)制。
N.Katic于1998年提出一個(gè)基于元數(shù)據(jù)的安全模型[2]。這是通過(guò)“安全管理者”的方式來(lái)實(shí)現(xiàn)的。通過(guò)它可以管理、定義、描述用戶和用戶群體。此外還設(shè)置了一個(gè)安全查詢管理層(SQML),它的作用是通過(guò)檢查是否允許一個(gè)任務(wù)的執(zhí)行來(lái)過(guò)濾用戶的查詢。圖1描述了這個(gè)安全模型。
?
此模型的主要作用是如果用戶企圖查詢他沒(méi)有訪問(wèn)權(quán)限的數(shù)據(jù),則由“安全管理者”和“信息服務(wù)器”可以把用戶想查詢而又沒(méi)有查詢權(quán)限的那部分?jǐn)?shù)據(jù)過(guò)濾掉,而只把他可以訪問(wèn)的那些數(shù)據(jù)返回給他。這種操作對(duì)于用戶來(lái)說(shuō)是透明的,用戶并不知道還有些數(shù)據(jù)他沒(méi)有訪問(wèn)到。數(shù)據(jù)倉(cāng)庫(kù)的信息對(duì)于用戶來(lái)說(shuō)好像是提供了他所需要的所有數(shù)據(jù)。這是一個(gè)很重要的安全策略,使用戶不知道自己被禁止了部分?jǐn)?shù)據(jù),因而他不會(huì)去試圖訪問(wèn)他原本看不到的數(shù)據(jù)。這樣也極大地增強(qiáng)了數(shù)據(jù)倉(cāng)庫(kù)中數(shù)據(jù)的安全性。
該模型主要特點(diǎn)是把數(shù)據(jù)倉(cāng)庫(kù)中的元數(shù)據(jù)擴(kuò)充為二類元數(shù)據(jù):結(jié)構(gòu)元數(shù)據(jù)和訪問(wèn)元數(shù)據(jù)。利用訪問(wèn)元數(shù)據(jù)來(lái)控制用戶對(duì)數(shù)據(jù)倉(cāng)庫(kù)的訪問(wèn)。充分利用了元數(shù)據(jù)在數(shù)據(jù)倉(cāng)庫(kù)中的作用。通過(guò)元數(shù)據(jù)減少了用戶試圖訪問(wèn)無(wú)權(quán)訪問(wèn)的數(shù)據(jù)的可能性,減少了攻擊數(shù)據(jù)倉(cāng)庫(kù)的行為,從而增強(qiáng)了安全性。
1.2 基于角色的數(shù)據(jù)倉(cāng)庫(kù)安全性模型設(shè)計(jì)
角色是數(shù)據(jù)庫(kù)中一個(gè)很重要的概念。通過(guò)角色的定義可以加強(qiáng)數(shù)據(jù)庫(kù)的安全性。由于數(shù)據(jù)倉(cāng)庫(kù)中的數(shù)據(jù)存儲(chǔ)與數(shù)據(jù)庫(kù)中的數(shù)據(jù)存儲(chǔ)有著諸多的不同,所以將數(shù)據(jù)庫(kù)中角色的實(shí)現(xiàn)照搬到數(shù)據(jù)倉(cāng)庫(kù)中是行不通的。
Remzi Kirkgoze,Nevena Katic于1997年提出一種基于角色的OLAP數(shù)據(jù)立方體訪問(wèn)控制策略[3]。這個(gè)模型是一個(gè)基于AMAC(Adapted Mandatory Access Control)的控制OLAP多維立方體的安全控制策略。
在這個(gè)模型中主要描述了數(shù)據(jù)倉(cāng)庫(kù)中每個(gè)角色的安全限制規(guī)則。每個(gè)用戶有一個(gè)角色,每個(gè)角色對(duì)應(yīng)一個(gè)安全規(guī)則表。這些規(guī)則表組成了角色的安全限制文件。根據(jù)這個(gè)角色安全限制文件,每個(gè)用戶可以訪問(wèn)到他被授權(quán)訪問(wèn)的數(shù)據(jù)。
這個(gè)模型是一個(gè)只有“角色”作為安全主體(Scurity Subject)的數(shù)據(jù)倉(cāng)庫(kù)安全模型,該模型權(quán)限只能賦予角色。安全對(duì)象(Secrtity Object)是安全系統(tǒng)中的客體,在OLAP環(huán)境中維表、事實(shí)表及它們的屬性都是安全對(duì)象。每一個(gè)安全主體被授權(quán)能對(duì)安全對(duì)象進(jìn)行某種操作,這些操作稱為訪問(wèn)類型。
把每個(gè)安全對(duì)象應(yīng)用分段策略得到所有單級(jí)片段后,應(yīng)用謂詞訪問(wèn)策略得出每種角色能訪問(wèn)的片段集。假設(shè)用戶現(xiàn)在的角色是R,如果他想訪問(wèn)某個(gè)對(duì)象,則該系統(tǒng)能產(chǎn)生訪問(wèn)該對(duì)象的片段集合A,并與安全限制規(guī)則表中R能訪問(wèn)的片段集合B進(jìn)行比較;如果A包含于B,則系統(tǒng)將處理查詢,否則將被拒絕訪問(wèn)。
此模型的特點(diǎn)是能為不同的子立方體賦予不同角色,并能為系統(tǒng)用戶賦予不同角色,達(dá)到靈活性與安全性的統(tǒng)一。此模型是對(duì)于關(guān)系型數(shù)據(jù)庫(kù)中基于角色的訪問(wèn)控制的一種擴(kuò)展,是角色的訪問(wèn)控制在數(shù)據(jù)倉(cāng)庫(kù)中的應(yīng)用。
1.3 基于授權(quán)的安全模型
授權(quán)是指一個(gè)對(duì)象對(duì)系統(tǒng)對(duì)象或者系統(tǒng)本身所擁有的合法訪問(wèn)權(quán)限。Edgar Weippl等人提出了一種對(duì)數(shù)據(jù)倉(cāng)庫(kù)和OLAP的一個(gè)授權(quán)模型[4],他們通過(guò)一種簡(jiǎn)單的描述符號(hào)來(lái)描述這種訪問(wèn)授權(quán),它比用SQL的授權(quán)機(jī)制更直觀。
在這個(gè)授權(quán)模型中包括主體對(duì)象、訪問(wèn)類型、客體對(duì)象和謂詞。對(duì)象指的是數(shù)據(jù)倉(cāng)庫(kù)中多維立方體中的維度、維度中的層次、事實(shí)表。訪問(wèn)類型主要考慮六種基本的操作:read,drill-down,roll-up,slice,dice,drill-through。
模型中以用戶而不是角色作為授權(quán)對(duì)象。本文通過(guò)下面的例子來(lái)說(shuō)明這個(gè)模型。例如數(shù)據(jù)倉(cāng)庫(kù)中的一個(gè)銷售鏈包括四個(gè)維度:時(shí)間、地理位置、商品、銷售度量。
時(shí)間:日-月-年
商品:產(chǎn)品-子類別-類別
地理位置:鄉(xiāng)鎮(zhèn)-縣市-地區(qū)-省份
銷售度量:單價(jià)、利潤(rùn)
考慮地方經(jīng)理和產(chǎn)品經(jīng)理二個(gè)不同的角色,他們職責(zé)不同,地方經(jīng)理可能是一個(gè)地方的管理者,而一個(gè)產(chǎn)品經(jīng)理可能主要是負(fù)責(zé)一個(gè)單獨(dú)的商品銷售情況和各種商品的銷售情況。
下面通過(guò)一個(gè)例子來(lái)說(shuō)明此模型的使用。例如:
(張三,{單價(jià)},{(時(shí)間,{(Drill-Down,月)}),(地理位置,{(Drill-Down,省份),(Roll-Up,地區(qū))}),(商品,{(Drill-Down,類別),(Roll-Up,產(chǎn)品)})})。
這說(shuō)明允許張三訪問(wèn)每種產(chǎn)品的單價(jià),但是不允許訪問(wèn)每種產(chǎn)品的利潤(rùn),允許訪問(wèn)子類別或者類別。同時(shí),他也不能檢索基于每年或者每天的合成數(shù)據(jù),但是允許訪問(wèn)每個(gè)城市或商店的數(shù)據(jù)。如果加上下面的集合:
(張三,{單價(jià),利潤(rùn)},{(時(shí)間,{(Drill-Down,年)}),(地理位置,{(Drill-Down,省份),(Roll-Up,商店),(Slice,地區(qū)=“濟(jì)南”)}),(商品,{(Drill-Down,類別),(Roll-Up,商品)})})。
這樣,張三就能夠完全訪問(wèn)濟(jì)南地區(qū)的所有商店的數(shù)據(jù)。由這二個(gè)數(shù)據(jù)集他就能夠完成他的工作:監(jiān)督濟(jì)南地區(qū)的商店并且能以綜合的方式比較它們的性能如何。
此模型的特點(diǎn)是:從邏輯上把授權(quán)模型分為二部分SUBJECT和OBJECT,通過(guò)一種簡(jiǎn)單的操作用戶可以方便地描述所需要的安全訪問(wèn)權(quán)限,從而增強(qiáng)了表述能力和安全的可用性。通過(guò)一套簡(jiǎn)單的描述符號(hào),對(duì)于任意一種給定的安全策略,都可以很容易地實(shí)現(xiàn)它的訪問(wèn)控制權(quán)限。此模型主要是作者通過(guò)對(duì)關(guān)系數(shù)據(jù)庫(kù)中SQL語(yǔ)言機(jī)制的演變,提出的一種更適合數(shù)據(jù)倉(cāng)庫(kù)中多維數(shù)據(jù)訪問(wèn)的策略。但是要實(shí)現(xiàn)此種控制還需要開發(fā)能夠解釋此種語(yǔ)言的機(jī)制。
1.4 基于視圖的數(shù)據(jù)倉(cāng)庫(kù)安全模型
A.Rosenthal等人在2000年提出了一種基于視圖的數(shù)據(jù)倉(cāng)庫(kù)安全模型[5]。這個(gè)模型是通過(guò)從數(shù)據(jù)庫(kù)與數(shù)據(jù)倉(cāng)庫(kù)的聯(lián)系方面來(lái)解決問(wèn)題的。現(xiàn)在,在數(shù)據(jù)倉(cāng)庫(kù)中訪問(wèn)控制的管理常常存在于一個(gè)與數(shù)據(jù)源策略相互獨(dú)立的地方。其結(jié)果是造成不一致性,對(duì)于變化反映滯后,并且浪費(fèi)管理工作。針對(duì)這種情況,本文提出把源數(shù)據(jù)所在的數(shù)據(jù)源和數(shù)據(jù)倉(cāng)庫(kù)都看作是同一個(gè)分布式數(shù)據(jù)庫(kù)的一部分。由于在數(shù)據(jù)庫(kù)中已經(jīng)有了比較成熟的依靠視圖機(jī)制來(lái)控制各個(gè)用戶的訪問(wèn)權(quán)限的方法,把數(shù)據(jù)倉(cāng)庫(kù)和數(shù)據(jù)源作為同一個(gè)分布式數(shù)據(jù)庫(kù)的一部分,這樣在數(shù)據(jù)倉(cāng)庫(kù)中就不用再單獨(dú)定義數(shù)據(jù)的視圖機(jī)制,而讓它延續(xù)用數(shù)據(jù)庫(kù)中的視圖訪問(wèn)機(jī)制即可。這就是說(shuō),允許自動(dòng)配置對(duì)數(shù)據(jù)倉(cāng)庫(kù)的許多訪問(wèn)控制。從某種意義上說(shuō),這樣減少了管理員學(xué)習(xí)過(guò)程中要走的曲線過(guò)程,同時(shí)也減少了軟件提供商需要實(shí)現(xiàn)的軟件數(shù)量。上述安全模型可用圖2描述。
?
這種安全模型的特點(diǎn)是系統(tǒng)易于管理,使得授權(quán)管理系統(tǒng)及其應(yīng)用更健壯。系統(tǒng)能夠自動(dòng)地從數(shù)據(jù)源分析用戶對(duì)于數(shù)據(jù)的訪問(wèn)權(quán)限,然后自動(dòng)地生成用戶在數(shù)據(jù)倉(cāng)庫(kù)中所能夠訪問(wèn)的數(shù)據(jù)。因?yàn)閿?shù)據(jù)倉(cāng)庫(kù)中的數(shù)據(jù)都是通過(guò)數(shù)據(jù)抽取轉(zhuǎn)換工具從數(shù)據(jù)源處得到的。這樣就減少了技術(shù)人員在數(shù)據(jù)倉(cāng)庫(kù)中在進(jìn)行相應(yīng)方位策略的配置問(wèn)題。同時(shí)能夠很好地解決變化之后的問(wèn)題。但是僅僅通過(guò)從數(shù)據(jù)庫(kù)沿用過(guò)來(lái)的視圖安全是不能夠滿足數(shù)據(jù)倉(cāng)庫(kù)需要的。因?yàn)閿?shù)據(jù)倉(cāng)庫(kù)的數(shù)據(jù)模型是多維數(shù)據(jù)和關(guān)系數(shù)據(jù)的混合,它要比數(shù)據(jù)庫(kù)中單純的關(guān)系型數(shù)據(jù)復(fù)雜得多。視圖機(jī)制對(duì)于數(shù)據(jù)庫(kù)中writeupdate操作機(jī)制很奏效,而在數(shù)據(jù)倉(cāng)庫(kù)中主要進(jìn)行的操作是讀取數(shù)據(jù)分析數(shù)據(jù),僅有此不能很好地滿足數(shù)據(jù)倉(cāng)庫(kù)的需要。但是這確實(shí)提供了一種安全機(jī)制。
2? 總結(jié)與展望
本文分析的幾種數(shù)據(jù)倉(cāng)庫(kù)安全模型具有很強(qiáng)的代表性。它們分別以不同的方式達(dá)到了增強(qiáng)數(shù)據(jù)倉(cāng)庫(kù)安全性的目的。基于元數(shù)據(jù)的模型,充分考慮了元數(shù)據(jù)在數(shù)據(jù)倉(cāng)庫(kù)中的重要作用。通過(guò)一些限制對(duì)元數(shù)據(jù)訪問(wèn)的方法來(lái)減少數(shù)據(jù)倉(cāng)庫(kù)受攻擊的可能性。其他幾種基于角色的模型、基于授權(quán)的模型以及基于視圖的模型也都有其各自的特點(diǎn)。但是可以看出,這些安全模型大部分都是在數(shù)據(jù)庫(kù)安全模型方面的擴(kuò)展。當(dāng)然這也是一種理所當(dāng)然的趨勢(shì),因?yàn)楫吘箶?shù)據(jù)庫(kù)的安全理論已經(jīng)比較成熟。可是由于數(shù)據(jù)倉(cāng)庫(kù)的建立目的、數(shù)據(jù)模型、訪問(wèn)策略等與數(shù)據(jù)庫(kù)不同,二者的安全策略也是有相應(yīng)區(qū)別。從數(shù)據(jù)倉(cāng)庫(kù)本身的特點(diǎn)出發(fā),利用一些已經(jīng)成熟的安全理論來(lái)構(gòu)造一種更加安全的、實(shí)施更加方便的安全模型,這也是下一步工作的重點(diǎn)。
總之,數(shù)據(jù)倉(cāng)庫(kù)是一項(xiàng)基于數(shù)據(jù)管理和利用的綜合性技術(shù)和解決方案,它將成為數(shù)據(jù)庫(kù)市場(chǎng)的新一輪的增長(zhǎng)點(diǎn)。對(duì)數(shù)據(jù)倉(cāng)庫(kù)的安全性訪問(wèn)作為數(shù)據(jù)倉(cāng)庫(kù)技術(shù)與信息安全技術(shù)的結(jié)合點(diǎn),必將會(huì)面臨更大的挑戰(zhàn)和機(jī)遇。
?
參考文獻(xiàn)
1? Inmon W H著,王志海譯.Building the Data Warehouse. 北京:機(jī)械工業(yè)出版社,2000
2? Katic N,Quirchmayr G,Schiefer J et al.A Prototype Model for DataWarehouse Security based on Metadata.
IEEE Computer Society,1998;8
3? Kirkgoze R,Katic N,Stolba M et al.A Security Concept for OLAP.in:Proceedings of the 8th.International
Workshop on Database and Expert Systems Applications(DEXA′97),IEEE Computer Society,1997
4? Weippl E,Mangisengi O,Essmayr W et al.An Autho rization Model for Data Warehouses and OLAP.in:
Proceedings of the Workshop on Security in Distributed Data Warehousing,in Conjunction with 2th.IEEE Symposium Reliable Distributed Systems (SRDS′2001),2001
5? Rosenthal A,Sciore E.View Security asthe Basis for Data Warehouse Security.in:Proceedings of the International Workshop on Design and Management of Data? Warehouse(DMDW′2000),Sweden,2000