多级安全数据库管理系统的军事运用分析

【摘要】本文针对军事需求的特点，分析了多级安全数据库系统在军事应用中的地位、功能需求和安全性等问题，并提出原则和建议，即要提高访问控制规则的强壮性，重点要放在数据库结构设计上，对保密信息可采用“密级透明内容保密”的原则。

【关键词】多级安全数据库；军事运用

信息是军队建设和作战的关键资源，如何处理好种类多、数量大、保密要求高的军事信息是目前人们研究的一个热点。多级安全数据库管理系统是上世纪60年代美国国防部为保护计算机中保密数据而提出的概念，它与普通数据库的区别在于该数据库中的数据和用户被赋予了不同的密级，只有拥有相应权限的用户才能访问相应的数据。尽管后来多级安全数据库技术在其他领域得到了深入研究和广泛应用，但军事多级安全数据库管理系统的技术要求更高，难度更大，军队应从发展策略、技术、人员和资金等方面着手，发展技术性能和作战效能良好的多级安全数据库管理系统，使其满足信息化战争的需求。

一、军事多级安全数据库管理系统的地位

与其他领域的信息相比，军事信息三个特点。一是种类多，军事信息可以分为军事思想、科学、战争、战略、战役、战术、教育训练、政治工作、后勤、法律、历史、人物、环境、技术、装备和工程等大类。每个大类又可分为许多子类。总之，类别非常多。二是时效性强。多数战术信息和指挥控制命令要在几秒或几分钟内处理和分发完毕。三是保密要求高。军事上需要保密的信息比率高，密级也高。一些在其他领域通常不需要保密的信息在军事上往往需要保密。如地方单位的教育训练计划通常是不需要保密的，而军队的教育训练计划是需要保密的。因而，部队中的很多文件和资料都规定有密级，而且密级还比较高。

未来的战争是信息化战争，也是网络化战争，战场上的各种信息系统和武器将互连互通，形成一个网络。这对军事多级安全数据库管理系统提出了更高的要求。其中的主要原因有两点。一是安全威胁增加。系统的互连互通增加了系统的访问路径和用户数量等，因而增加了系统被入侵、攻击和滥用的概率。二是标准化要求提高。为了保证系统的互连互通，实现信息共享，各个系统采用的信息分类和格式标准要统一，通信协议等也要统一。

基于军事信息的特点，军事多级安全数据库管理系统应在两个方面进行改进。一是要规划好数据库的结构，以便处理多种类的信息。二是系统的安全性要足够高，以满足军队建设安全和作战安全的要求。

二、军事多级安全数据库管理系统的功能需求

在信息化战争中，系统的网络化互连是实现共享信息、快速战场感知、精确交战、聚焦后勤、主导机动和全面防护的基础，不连网的系统将基本失去作用，因此提出网络化军事多级安全数据库管理系统的功能需求，这些需求是设计和实现多级安全数据库管理系统的目标依据。

1、　数据库功能需求

数据库应能够处理和存放军事信息、类别信息和访问控制规则等。军事信息指使用者可以直接使用的信息，如武器部署情况、训练计划、气象信息等。类别信息是指维护和方便使用数据库信息的信息，主要包括索引信息、分类信息、交互信息和用户状态信息等。访问控制规则指用于对用户实施MLS访问控制的规则集，包括访问者的身份、读/写权限和范围等。如果系统采用安全审计机制，数据库中还应包括审计规则和审计数据。

2、　联邦功能需求

联邦是实现不同MLS/DBMS之间互连互通的机制，它必须解决好以下几个问题：

（1）互连互通。依据网络软硬件资源，在不同MLS/DBMS之间建立满足性能要求的信道及支持多种数据标准的接口等，使得不同MLS/DBMS里的数据能够互相传递和转换等。

（2）信任与安全。不同MLS/DBMS的简单互连会降低整个网络的安全性。比如，一个数据库的用户可能会滥用或破坏另一个数据库里的数据。为此，联邦管理者要与各个数据库的管理者协调，在联邦中采取数据密级转换和加密等安全措施，保证网络中数据的安全性。

（3）其他角色功能。对联邦下属的数据库而言，联邦还扮演着其他角色，如作为数据使用者和生产者，把一个数据库里的数据拷贝到另一个数据库里；作为系统管理者对数据定位。联邦应具有数据生产者、数据使用者和系统管理者的部分或全部功能。

3、系统管理者功能需求

多级安全数据库管理系统应支持管理人员完成以下几项主要任务：

（1）军事信息管理。根据军事信息的潜在价值和应用环境，设计数据存储格式，合理分配密级，建立多级安全数据库。对数据库进行整理、修改和清除等。

（2）类别信息管理。根据数据、系统和人员的状态变化，及时对数据库中的类别信息进行添加、更改和删除等操作。

（3）安全管理。对数据库中的军事信息和类别信息等设计和实施安全策略，主要是访问控制策略和规则。

（4）用户反馈。收集数据使用者和生产者的意见，改善系统的服务质量。

三、军事多级安全数据库管理系统的安全问题

多级安全数据库管理系统技术要解决的根本问题是数据库的用户不能超越系统设计者或管理者为其指定的安全级别，获得数据库中的密级或高密级信息。为此，多级安全数据库管理系统主要采用访问控制机制（控制规则、加密和认证）来保证数据库中秘密信息的安全。这样，多级安全数据库管理系统的安全性就需要从两方面来考虑，一是通过访问控制的合法访问，二是绕过访问控制的非法访问。合法访问不一定能保证信息的安全，这取决于访问控制机制（设计和实施的）强壮性。如果访问控制机制“强壮”，则合法访问不会获得越级秘密，多级安全数据库管理系统是安全的。如果访问控制机制“不强壮”（或者说有安全漏洞，如推理通道），则合法访问会获得越级秘密，多级安全数据库管理系统是不安全的。

访问控制规则的漏洞会导致控制机制的“不强壮”，因而使多级安全数据库管理系统不安全。规则漏洞产生的原因主要有两点。一是数据库的安全策略（比如，元组或元素的保密策略）不合理，导致容易产生主键漏洞和推理通道等问题，从而增加了访问控制规则制定、检验和实现的难度。二是访问控制规则的设计和实现有缺陷。设计缺陷包括有些推理通道在规则设计时就没有考虑到，给用户分配了过高的写数据权限和范围等。实现缺陷包括程序实现上的漏洞或操作员对规则的使用（如设置）不当等。

要提高访问控制规则的强壮性，必须从以上两个方面入手。其中的重点要放在数据库结构设计上。因为主键漏洞和推理通道是

固有难题，如果在设计阶段不能尽量避免主键漏洞和推理通道问题的产生，以后会使访问控制规则的设计和实现事倍功半。为此，我们提出在军事多级安全数据库管理系统设计时，对保密信息可采用“密级透明内容保密”的原则。提出“密级透明内容保密”原则的依据是，对保密信息，内容保密是必须的，但军事上很多信息都定有密级，这是个常识，所以密级的存在和高低不很重要，如果要求信息的密级也保密，则会引发MLS/DBMS的主键漏洞和多实例等难题，增加其访问控制规则设计和实现的难度，而且还可能增加整个系统的安全漏洞，降低整个系统的安全性。

总而言之，信息化战争对军事影响是深刻而全面的，它对军事多级安全数据库管理系统的技术和应用也带来了新的挑战和发展机会。信息是信息化战争的主要资源和战斗力，随着军队信息化建设和信息战争步伐的加快，军事多级安全数据库管理系统的地位也会愈来愈重要。

【作者简介】

赵海燕（1978-）女，山西侯马人，讲师，硕士，研究方向：网络教学.