1、第四章 數(shù)據(jù)庫安全性 問題的提出數(shù)據(jù)庫的一大特點是數(shù)據(jù)可以共享但數(shù)據(jù)共享必然帶來數(shù)據(jù)庫的安全性問題數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)共享不能是無條件的共享例：軍事秘密、 國家機密、 新產(chǎn)品實驗數(shù)據(jù)、 市場需求分析、市場營銷策略、銷售計劃、 客戶檔案、 醫(yī)療檔案、 銀行儲蓄數(shù)據(jù)7/27/20221數(shù)據(jù)庫安全性（續(xù)）什么是數(shù)據(jù)庫的安全性數(shù)據(jù)庫的安全性是指保護數(shù)據(jù)庫，防止因用戶非法使用數(shù)據(jù)庫造成數(shù)據(jù)泄露、更改或破壞。各系統(tǒng)安全性之間是相互緊密聯(lián)系、相互支持的數(shù)據(jù)庫安全的重要性7/27/202224.1 計算機安全性概論4.1.1 計算機系統(tǒng)的三類安全性問題 4.1.2 安全標準簡介7/27/202234.1.1 計

2、算機系統(tǒng)的三類安全性問題 什么是計算機系統(tǒng)安全性為計算機系統(tǒng)建立和采取的各種安全保護措施，以保護計算機系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。7/27/20224計算機系統(tǒng)的三類安全性問題（續(xù)） 三類計算機系統(tǒng)安全性問題技術安全類管理安全類政策法律類7/27/20225計算機系統(tǒng)的三類安全性問題（續(xù)） 技術安全指計算機系統(tǒng)中采用具有一定安全性的硬件、軟件來實現(xiàn)對計算機系統(tǒng)及其所存數(shù)據(jù)的安全保護，當計算機系統(tǒng)受到無意或惡意的攻擊時仍能保證系統(tǒng)正常運行，保證系統(tǒng)內(nèi)的數(shù)據(jù)不增加、不丟失、不泄露。7/27/20226計算機系統(tǒng)的三類安全性問題（續(xù)） 管理

3、安全軟硬件意外故障、場地的意外事故、管理不善導致的計算機設備和數(shù)據(jù)介質(zhì)的物理破壞、丟失等安全問題7/27/20227計算機系統(tǒng)的三類安全性問題（續(xù)） 政策法律類政府部門建立的有關計算機犯罪、數(shù)據(jù)安全保密的法律道德準則和政策法規(guī)、法令7/27/202284.1 計算機安全性概論4.1.1 計算機系統(tǒng)的三類安全性問題 4.1.2 安全標準簡介7/27/202294.1.2 安全標準簡介為降低進而消除對系統(tǒng)的安全攻擊，各國引用或制定了一系列安全標準TCSEC (桔皮書)TDI (紫皮書)7/27/202210安全標準簡介（續(xù)）1985年美國國防部（DoD）正式頒布 DoD可信計算機系統(tǒng)評估標準（簡稱

4、TCSEC或DoD85）TCSEC又稱桔皮書TCSEC標準的目的提供一種標準，使用戶可以對其計算機系統(tǒng)內(nèi)敏感信息安全操作的可信程度做評估。給計算機行業(yè)的制造商提供一種可循的指導規(guī)則，使其產(chǎn)品能夠更好地滿足敏感應用的安全需求。7/27/202211安全標準簡介（續(xù)）1991年4月美國NCSC（國家計算機安全中心）頒布了可信計算機系統(tǒng)評估標準關于可信數(shù)據(jù)庫系統(tǒng)的解釋（ Trusted Database Interpretation 簡稱TDI）TDI又稱紫皮書。它將TCSEC擴展到數(shù)據(jù)庫管理系統(tǒng)。TDI中定義了數(shù)據(jù)庫管理系統(tǒng)的設計與實現(xiàn)中需滿足和用以進行安全性級別評估的標準。7/27/202212

5、安全標準簡介（續(xù)）TDI/TCSEC標準的基本內(nèi)容TDI與TCSEC一樣，從四個方面來描述安全性級別劃分的指標安全策略責任保證文檔7/27/202213安全標準簡介（續(xù)）R1 安全策略（Security Policy） R1.1 自主存取控制 （Discretionary Access Control，簡記為DAC） R1.2 客體重用（Object Reuse） R1.3 標記（Labels） R1.4 強制存取控制（Mandatory Access Control，簡記為MAC）7/27/202214安全標準簡介（續(xù)）R2 責任（Accountability） R2.1 標識與鑒別（Ide

6、ntification & Authentication） R2.2 審計（Audit）R3 保證（Assurance） R3.1 操作保證（Operational Assurance） R3.2 生命周期保證（Life Cycle Assurance）7/27/202215安全標準簡介（續(xù)）R4 文檔（Documentation） R4.1 安全特性用戶指南（Security Features Users Guide） R4.2 可信設施手冊（Trusted Facility Manual） R4.3 測試文檔（Test Documentation） R4.4 設計文檔（Design Doc

7、umentation）7/27/202216安全標準簡介（續(xù)） TCSEC/TDI安全級別劃分安 全 級 別 定 義A1驗證設計（Verified Design） B3安全域（Security Domains） B2結構化保護（Structural Protection） B1標記安全保護（Labeled Security Protection） C2受控的存取保護（Controlled Access Protection） C1自主安全保護（Discretionary Security Protection） D最小保護（Minimal Protection）7/27/202217安全標準簡

8、介（續(xù)）四組(division)七個等級 D C（C1，C2） B（B1，B2，B3） A（A1）按系統(tǒng)可靠或可信程度逐漸增高各安全級別之間具有一種偏序向下兼容的關系，即較高安全性級別提供的安全保護要包含較低級別的所有保護要求，同時提供更多或更完善的保護能力。7/27/202218安全標準簡介（續(xù)）D級將一切不符合更高標準的系統(tǒng)均歸于D組典型例子：DOS是安全標準為D的操作系統(tǒng) DOS在安全性方面幾乎沒有什么專門的機制來保障7/27/202219安全標準簡介（續(xù)）C1級非常初級的自主安全保護能夠?qū)崿F(xiàn)對用戶和數(shù)據(jù)的分離，進行自主存取控制（DAC），保護或限制用戶權限的傳播。7/27/202220

9、安全標準簡介（續(xù)）C2級安全產(chǎn)品的最低檔次提供受控的存取保護，將C1級的DAC進一步細化，以個人身份注冊負責，并實施審計和資源隔離達到C2級的產(chǎn)品在其名稱中往往不突出“安全”(Security)這一特色7/27/202221安全標準簡介（續(xù)）典型例子 操作系統(tǒng)Microsoft的Windows NT 3.5，數(shù)字設備公司的Open VMS VAX 6.0和6.1 數(shù)據(jù)庫Oracle公司的Oracle 7Sybase公司的 SQL Server 11.0.67/27/202222安全標準簡介（續(xù)）B1級標記安全保護?！鞍踩?Security)或“可信的”(Trusted)產(chǎn)品。對系統(tǒng)的數(shù)據(jù)加以

10、標記，對標記的主體和客體實施強制存取控制（MAC）、審計等安全機制7/27/202223安全標準簡介（續(xù)）典型例子 操作系統(tǒng)數(shù)字設備公司的SEVMS VAX Version 6.0惠普公司的HP-UX BLS release 9.0.9+ 數(shù)據(jù)庫Oracle公司的Trusted Oracle 7Sybase公司的Secure SQL Server version 11.0.6Informix公司的Incorporated INFORMIX-OnLine / Secure 5.07/27/202224安全標準簡介（續(xù)）B2級結構化保護建立形式化的安全策略模型并對系統(tǒng)內(nèi)的所有主體和客體實施DAC和

11、MAC。經(jīng)過認證的B2級以上的安全系統(tǒng)非常稀少7/27/202225安全標準簡介（續(xù)）典型例子 操作系統(tǒng)只有Trusted Information Systems公司的Trusted XENIX一種產(chǎn)品 標準的網(wǎng)絡產(chǎn)品只有Cryptek Secure Communications公司的LLC VSLAN一種產(chǎn)品 數(shù)據(jù)庫沒有符合B2標準的產(chǎn)品7/27/202226安全標準簡介（續(xù)）B3級安全域。該級的TCB必須滿足訪問監(jiān)控器的要求，審計跟蹤能力更強，并提供系統(tǒng)恢復過程。7/27/202227安全標準簡介（續(xù)）A1級驗證設計，即提供B3級保護的同時給出系統(tǒng)的形式化設計說明和驗證以確信各安全保護真正

12、實現(xiàn)。7/27/202228安全標準簡介（續(xù)）B2以上的系統(tǒng)還處于理論研究階段應用多限于一些特殊的部門如軍隊等美國正在大力發(fā)展安全產(chǎn)品，試圖將目前僅限于少數(shù)領域應用的B2安全級別下放到商業(yè)應用中來，并逐步成為新的商業(yè)標準。7/27/202229安全標準簡介（續(xù)） 表示該級不提供對該指標的支持； 表示該級新增的對該指標的支持； 表示該級對該指標的支持與相鄰低一級的 等級一樣；表示該級對該指標的支持較下一級有所增 加或改動。7/27/202230第四章 數(shù)據(jù)庫安全性4.1 計算機安全性概論4.2 數(shù)據(jù)庫安全性控制4.3視圖機制4.4審計4.5 數(shù)據(jù)加密4.6統(tǒng)計數(shù)據(jù)庫安全性4.7 小結7/27/2

13、022314.2 數(shù)據(jù)庫安全性控制4.2.1 用戶標識與鑒別4.2.2 存取控制4.2.3 自主存取控制方法4.2.4 授權與回收4.2.5 數(shù)據(jù)庫角色4.2.6 強制存取控制方法7/27/202232計算機系統(tǒng)中的安全模型 應用DBMSOS DB 低 高安全性控制層次 方法： 用戶標識和鑒定 存取控制審計視圖 操作系統(tǒng) 安全保護 密碼存儲 7/27/2022334.2.1 用戶標識與鑒別用戶標識與鑒別（Identification & Authentication）系統(tǒng)提供的最外層安全保護措施7/27/202234用戶標識與鑒別基本方法系統(tǒng)提供一定的方式讓用戶標識自己的名字或身份；系統(tǒng)內(nèi)部記

14、錄著所有合法用戶的標識；每次用戶要求進入系統(tǒng)時，由系統(tǒng)核對用戶提供的身份標識；通過鑒定后才提供機器使用權。用戶標識和鑒定可以重復多次7/27/202235用戶標識自己的名字或身份用戶名/口令簡單易行，容易被人竊取每個用戶預先約定好一個計算過程或者函數(shù)系統(tǒng)提供一個隨機數(shù)用戶根據(jù)自己預先約定的計算過程或者函數(shù)進行計算系統(tǒng)根據(jù)用戶計算結果是否正確鑒定用戶身份7/27/2022364.2.2 存取控制存取控制機制的功能存取控制機制的組成 定義存取權限 檢查存取權限用戶權限定義和合法權檢查機制一起組成了DBMS的安全子系統(tǒng)7/27/202237存取控制（續(xù)）定義存取權限在數(shù)據(jù)庫系統(tǒng)中，為了保證用戶只能訪

15、問他有權存取的數(shù)據(jù)，必須預先對每個用戶定義存取權限。檢查存取權限對于通過鑒定獲得上機權的用戶（即合法用戶），系統(tǒng)根據(jù)他的存取權限定義對他的各種操作請求進行控制，確保他只執(zhí)行合法操作。7/27/202238存取控制（續(xù)）常用存取控制方法自主存取控制（Discretionary Access Control ，簡稱DAC） C2級 靈活強制存取控制（Mandatory Access Control，簡稱 MAC） B1級嚴格7/27/202239自主存取控制方法同一用戶對于不同的數(shù)據(jù)對象有不同的存取權限不同的用戶對同一對象也有不同的權限用戶還可將其擁有的存取權限轉授給其他用戶7/27/202240

16、強制存取控制方法每一個數(shù)據(jù)對象被標以一定的密級每一個用戶也被授予某一個級別的許可證對于任意一個對象，只有具有合法許可證的用戶才可以存取7/27/2022414.2.3自主存取控制方法優(yōu)點能夠通過授權機制有效地控制其他用戶對敏感數(shù)據(jù)的存取缺點可能存在數(shù)據(jù)的“無意泄露”原因：這種機制僅僅通過對數(shù)據(jù)的存取權限來進行安全控制，而數(shù)據(jù)本身并無安全性標記。 解決：對系統(tǒng)控制下的所有主客體實施強制存取控制策略7/27/2022424.2.4 授權與回收誰定義？ DBA和表的建立者（即表的屬主）如何定義？ SQL語句： GRANT REVOKE7/27/202243一 授 權 (GRANT)GRANT語句的一

17、般格式： GRANT ,. ON TO ,. WITH GRANT OPTION;誰定義？DBA和表的建立者（即表的屬主）GRANT功能：將對指定操作對象的指定操作權限授予指定的用戶。7/27/202244(1) 用戶的權限建表（CREATETAB）的權限:屬于DBADBA授予-普通用戶基本表或視圖的屬主擁有對該表或視圖的一切操作權限接受權限的用戶: 一個或多個具體用戶 PUBLIC（全體用戶）7/27/202245(2) WITH GRANT OPTION子句指定了WITH GRANT OPTION子句: 獲得某種權限的用戶還可以把這種權限再授予別的用戶。沒有指定WITH GRANT OPT

18、ION子句: 獲得某種權限的用戶只能使用該權限，不能傳播該權限7/27/202246例題 例1 把查詢Student表權限授給用戶U1 GRANT SELECT ON TABLE Student TO U1;7/27/202247例題（續(xù)）例2 把對Student表和Course表的全部權限授予用戶U2和U3 GRANT ALL PRIVILIGES ON TABLE Student, Course TO U2, U3;例47/27/202248例題（續(xù)）例3 把對表SC的查詢權限授予所有用戶 GRANT SELECT ON TABLE SC TO PUBLIC;7/27/202249例題（續(xù)

19、）例4 把查詢Student表和修改學生學號的權限授給用戶U4 GRANT UPDATE(Sno), SELECT ON TABLE Student TO U4;7/27/202250例題（續(xù)） 例5 把對表SC的INSERT權限授予U5用戶，并允許他再將此權限授予其他用戶 GRANT INSERT ON TABLE SC TO U5 WITH GRANT OPTION;7/27/202251傳播權限 執(zhí)行例5后，U5不僅擁有了對表SC的INSERT權限， 還可以傳播此權限： 例6 GRANT INSERT ON TABLE SC TO U6 WITH GRANT OPTION; 同樣，U6還

20、可以將此權限授予U7： 例7 GRANT INSERT ON TABLE SC TO U7; 但U7不能再傳播此權限。 U5- U6- U77/27/202252例題（續(xù)）例6 DBA把在數(shù)據(jù)庫S_C中建立表的權限授予用戶U8GRANT CREATETABON DATABASE S_C TO U8;7/27/202253二 收回權限(REVOKE)REVOKE語句的一般格式為： REVOKE ,. ON FROM ,.;功能：從指定用戶那里收回對指定對象的指定權限7/27/202254例題例8 把用戶U4修改學生學號的權限收回REVOKE UPDATE(Sno)ON TABLE Student

21、 FROM U4;7/27/202255例題（續(xù)）例9 收回所有用戶對表SC的查詢權限REVOKE SELECT ON TABLE SC FROM PUBLIC; 7/27/202256例題（續(xù)）例10 把用戶U5對SC表的INSERT權限收回REVOKE INSERT ON TABLE SC FROM U5;7/27/202257權限的級聯(lián)回收系統(tǒng)將收回直接或間接從U5處獲得的對SC表的INSERT權限: -U5- U6- U7收回U5、U6、U7獲得的對SC表的INSERT權限: -U5- U6- U77/27/202258三 創(chuàng)建數(shù)據(jù)庫模式的權限對數(shù)據(jù)庫模式的授權由DBA在創(chuàng)建用戶時授權

22、CREATE USER格式 CREATE USER WITHDBA|RESOURCE|CONNECTCONNECT:不能創(chuàng)建新用戶,不能創(chuàng)建模式,也不能創(chuàng)建基本表,只能登錄數(shù)據(jù)庫RESOURCE:只能創(chuàng)建基本表和視圖,成為所創(chuàng)建對象的屬主,不能創(chuàng)建模式,不能創(chuàng)建新用戶,可用revoke把該對象的存取權限授予其他用戶DBA:系統(tǒng)中的超級用戶,可以創(chuàng)建新用戶,創(chuàng)建模式,創(chuàng)建基本表視圖等,擁有所有數(shù)據(jù)庫對象的存取權限,還可把這些權限授予其他用戶7/27/2022594.2.5數(shù)據(jù)庫角色數(shù)據(jù)庫角色是被命名的一組與數(shù)據(jù)庫操作相關的權限,是權限的集合角色的創(chuàng)建 CREATE ROLE 給角色授權將一個角色

23、授予其他的角色或用戶角色權限的回收7/27/2022604.2.6 強制存取控制方法強制存取控制的特點MAC是對數(shù)據(jù)本身進行密級標記無論數(shù)據(jù)如何復制，標記與數(shù)據(jù)是一個不可分的整體只有符合密級標記要求的用戶才可以操縱數(shù)據(jù)從而提供了更高級別的安全性7/27/202261MAC與DACDAC與MAC共同構成DBMS的安全機制原因：較高安全性級別提供的安全保護要包含較低級別的所有保護先進行DAC檢查，通過DAC檢查的數(shù)據(jù)對象再由系統(tǒng)進行MAC檢查，只有通過MAC檢查的數(shù)據(jù)對象方可存取。7/27/202262強制存取控制方法（續(xù)）DAC + MAC安全檢查示意圖 SQL語法分析 & 語義檢查 DAC 檢

24、 查 安全檢查 MAC 檢 查 繼 續(xù)7/27/2022634.3 視圖機制視圖機制把要保密的數(shù)據(jù)對無權存取這些數(shù)據(jù)的用戶隱藏起來， 視圖機制更主要的功能在于提供數(shù)據(jù)獨立性，其安全保護功能太不精細，往往遠不能達到應用系統(tǒng)的要求。7/27/202264視圖機制（續(xù)）例：王平只能檢索計算機系學生的信息 先建立計算機系學生的視圖CS_Student CREATE VIEW CS_Student AS SELECT FROM Student WHERE Sdept=CS；7/27/202265視圖機制（續(xù)）在視圖上進一步定義存取權限 GRANT SELECT ON CS_Student TO 王平 ；

25、7/27/2022664.4 審計什么是審計啟用一個專用的審計日志（Audit Log） 將用戶對數(shù)據(jù)庫的所有操作記錄在上面DBA可以利用審計日志中的追蹤信息 找出非法存取數(shù)據(jù)的人C2以上安全級別的DBMS必須具有審計功能7/27/202267審計（續(xù)）審計功能的可選性審計很費時間和空間DBA可以根據(jù)應用對安全性的要求，靈活地打開或關閉審計功能。7/27/202268審計（續(xù)）強制性機制:用戶識別和鑒定、存取控制、視圖預防監(jiān)測手段: 審計技術7/27/2022694.5 數(shù)據(jù)加密數(shù)據(jù)加密防止數(shù)據(jù)庫中數(shù)據(jù)在存儲和傳輸中失密的有效手段加密的基本思想根據(jù)一定的算法將原始數(shù)據(jù)（術語為明文，Plain text）變換為不可直接識別的格式（術語為密文，Cipher text）不知道解密算法的人無法獲知數(shù)據(jù)的內(nèi)容7/27/2022