隨著計算機以及網絡的普及和廣泛應用，信息系統的安全問題也變得越來越嚴重．雖然有很多安全技術，如加密、訪問控制、入侵檢測等可以用來應對各種安全威脅，但是這些技術并不能完全保障系統的安全．事實上，在系統實際運行中，安全威脅中很大一部分都源于內部人員攻擊，而入侵檢查和訪問控制等機制對這類攻擊的防范能力非常有限；另一方面，對于很多外部入侵事件，入侵檢測工具不能作出正確的響應．在這些情況下，作為安全事件追蹤分析和責任追究的審計機制有著不可替代的作用．審計機制在多級安全數據庫中更為重要．因為在支持多級安全的數據庫系統中，隱通道可以繞過強制安全策略的限制，可能構成對系統的嚴重安全威脅．有些隱通道很難在系統實現中完全消除，對這些隱通道一般可以采用審計的方法【1】．通過對構成隱通道場景中操作序列進行審計，可以威懾內部人員利用隱通道進行的非授權通信，也可以在事后檢查是否存在惡意代碼的攻擊．

因此。對多級數據庫設計靈活的審計機制更加必要．

對于審計子系統來說，一個簡單的審計策略是，對數據庫系統中發生的所有事件都審計，可以完全滿足安全分析和責任追蹤的需求．然而，這樣將大大降低系統的時間效率和空間效率，并且記錄大量無用的事件信息．因此，對系統中所有操作事件都審計是不現實的，也是不必要的．審計系統應該具有配置審計事件的能力，靈活、有效的審計配置功能可以使得審計日志在盡量少占用時間和空間的前提下，為安全事件分析和責任追究提供足夠多的信息．然而，已有的商業化數據庫系統對靈活的審計設置的支持非常有限．因此，研究并提出具有靈活結構、表達能力豐富、形式化的審計策略模型對多級安全系統的設計和開發都有著重要的意義．

針對目前實際系統對審計支持的局限性，本文提出的審計策略模型主要解決以下幾方面的問題：首先，對于大型的數據庫管理系統，由于包括了大量的數據對象和用戶，需要支持多個審計管理員進行分布式管理，如何實施全局的審計策略設置以及如何協調各個審計管理員之間的關系是值得研究的．

其次，需要研究如何為審計管理提供靈活的基于時間的審計．這種功能是很有必要的．比如，審計策略要求在下班時間或者某些重要的時段發生的事件需要更全面和詳細的審計，這時就可以使用支持時間約束的審計規則．否則，需要審計管理員在不同的時段重新配置審計策略，給管理帶來很大的不便．

最后是細粒度審計設置的研究．在一些數據庫中，針對元組的細粒度審計一般是通過觸發器機制實現的．這種方式不利于審計管理員進行全局的一致性的審計策略管理．在本文提出的模型中，我們通過引入審計對象屬性謂詞來實現靈活的細粒度的審計策略配置．

需要指出的是，在多級安全的數據庫中，一方面要求審計子系統應該支持對隱通道的審計，另一方面，審計子系統本身在設計時也應該盡量避免引入新的隱通道．本模型提出的細粒度審計策略設置可以用來輔助對隱通道的審計．本模型還規定審計策略的安全級別滿足一定的性質以防止引入新的隱通道．

本文第1節詳細描述基于多級安全數據庫管理系統的通用審計策略模型的框架結構．第2節討論審計策略模型的核心結構審計策略規則庫的組成以及策略表達語言．第3節給出保證模型安全性必須滿足的不變量．第4節討論審計策略規則庫的可判定性問題并給出了判定算法．第5節介紹與本文相關的研究工作．第6節總結全文．1多級審計策略模型基本框架多級安全數據庫是實施多級強制安全策略(比如BellLaPadula模型【21)的數據庫管理系統．從抽象的模型層次來看，數據庫與操作系統的不同之處主要是數據庫中引入了事務以及數據模型，因此，在審計策略模型中包括了事務類型和會話類型．我們的審計策略模型中對客體對象抽象為樹狀結構，與具體數據模型無關，因此既可以用于關系數據模型，也可以用于對象數據模型以及半結構化數據模型，如XML文檔數據庫．多級安全的數據庫中所有的主客體都有相應的安全級別標簽，并且樹狀結構的客體對象的安全級別滿足從樹根到葉子的升序關系．這樣，根據BLP模型的簡單安全特性(任何用戶只允許讀該用戶的安全級別支配的客體)，任何級別的用戶看到的對象視圖也構成一棵樹．用戶的安全標簽可以是TRUSTED，表明該用戶是可信的，可以違反強制安全策略．

引入可信主體的目的是為了方便管理員的操作．用戶也屬于一種特殊的客體對象，因為用戶屬性修改、刪除用戶等操作的對象就是用戶名．審計策略模型的核心是審計策略規則庫，實施審計的子系統將根據審計策略規則庫決定是否對一個事件審計．

2審計策略規則庫

審計策略規則庫是審計策略模型的核心部分，根據審計策略規則庫可以確定對任何一個事件是否應該審計以及審計的頻度．實施審計的子系統將根據上述判定結果實施審計或者不審計．本節我們將依次給出審計策略規則庫各個組成部分的定義．

由于本模型支持時間約束的審計策略，我們先給出時間約束的定義．文獻[3】引入了周期時間的概念，由于該定義直觀上易于理解，并且能夠表達常見的時間約束。因此本模型也采用這種時間描述形式．

在審計策略中，我們可以根據一個操作的執行結果決定是否進行審計．常用的操作執行結果有操作成功和操作失敗．為了進一步控制對某些類型操作結果的審計，我們還定義了自主訪問控制不允許導致的操作失敗、強制訪問控制不允許導致的失敗，以及在系統禁止多實例時用戶企圖創建多實例對象導致的失敗．通過對操作失敗原因的細分，可以方便地按照違反安全策略的類型對操作進行審計策略定義．

定義4(操作執行結果ges)．操作執行結果是操作執行是否成功或者失敗以及失敗類型．操作執行結果集合RES={fi,r2，吩，．．．)，并且基本操作執行結果集合{SUCCESSFUL，uNSucCESSFUL，BOTH)cRES，以及操作失敗類型集合FRES={EDAC，EMAC，EPOL，．．．}cRES．其中SUCCESSFUL表示操作成功執行，uNsuccEssFuL表示操作失敗，BOTH表示操作成功或者失敗，EDAC表示自主訪問失敗，EMAC表示強制訪問失敗，EPOL表示多實例失敗(當系統禁止多實例時創建導致多實例的對象)．除了基本操作執行結果以外，RES還可以包括其他類型的操作執行結果．