數(shù)據(jù)庫原理第四章數(shù)據(jù)庫安全性.ppt

數(shù)據(jù)庫系統(tǒng)概論 An Introduction to Database System 第四章 數(shù)據(jù)庫安全性,第四章 數(shù)據(jù)庫安全性,問題的提出 數(shù)據(jù)庫的一大特點(diǎn)是數(shù)據(jù)可以共享 但數(shù)據(jù)共享必然帶來數(shù)據(jù)庫的安全性問題 數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)共享不能是無條件的共享 例：軍事秘密、 國家機(jī)密、 新產(chǎn)品實(shí)驗(yàn)數(shù)據(jù)、 市場需求分析、市場營銷策略、銷售計(jì)劃、 客戶檔案、 醫(yī)療檔案、 銀行儲(chǔ)蓄數(shù)據(jù),數(shù)據(jù)庫安全性（續(xù)）,什么是數(shù)據(jù)庫的安全性 數(shù)據(jù)庫的安全性是指保護(hù)數(shù)據(jù)庫，防止因用戶非法使用數(shù)據(jù)庫造成數(shù)據(jù)泄露、更改或破壞。 各系統(tǒng)安全性之間是相互緊密聯(lián)系、相互支持的 數(shù)據(jù)庫安全的重要性,第四章 數(shù)據(jù)庫安全性,4.1 計(jì)算機(jī)安全性概述 4.2 數(shù)據(jù)庫安全性控制 4.3 視圖機(jī)制 4.4 審計(jì) 4.5 數(shù)據(jù)加密 4.6 統(tǒng)計(jì)數(shù)據(jù)庫安全性 4.7 小結(jié),4.1 計(jì)算機(jī)安全性概論,4.1.1 計(jì)算機(jī)系統(tǒng)的三類安全性問題 4.1.2 安全標(biāo)準(zhǔn)簡介,4.1.1 計(jì)算機(jī)系統(tǒng)的三類安全性問題,什么是計(jì)算機(jī)系統(tǒng)安全性 為計(jì)算機(jī)系統(tǒng)建立和采取的各種安全保護(hù)措施，以保護(hù)計(jì)算機(jī)系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。,計(jì)算機(jī)系統(tǒng)的三類安全性問題（續(xù)）,三類計(jì)算機(jī)系統(tǒng)安全性問題 技術(shù)安全類 管理安全類 政策法律類,計(jì)算機(jī)系統(tǒng)的三類安全性問題（續(xù)）,技術(shù)安全 指計(jì)算機(jī)系統(tǒng)中采用具有一定安全性的硬件、軟件來實(shí)現(xiàn)對(duì)計(jì)算機(jī)系統(tǒng)及其所存數(shù)據(jù)的安全保護(hù)，當(dāng)計(jì)算機(jī)系統(tǒng)受到無意或惡意的攻擊時(shí)仍能保證系統(tǒng)正常運(yùn)行，保證系統(tǒng)內(nèi)的數(shù)據(jù)不增加、不丟失、不泄露。,計(jì)算機(jī)系統(tǒng)的三類安全性問題（續(xù)）,管理安全 軟硬件意外故障、場地的意外事故、管理不善導(dǎo)致的計(jì)算機(jī)設(shè)備和數(shù)據(jù)介質(zhì)的物理破壞、丟失等安全問題,計(jì)算機(jī)系統(tǒng)的三類安全性問題（續(xù)）,政策法律類 政府部門建立的有關(guān)計(jì)算機(jī)犯罪、數(shù)據(jù)安全保密的法律道德準(zhǔn)則和政策法規(guī)、法令,4.1.2 安全標(biāo)準(zhǔn)簡介,為降低進(jìn)而消除對(duì)系統(tǒng)的安全攻擊，各國引用或制定了一系列安全標(biāo)準(zhǔn) TCSEC (桔皮書) TDI (紫皮書),安全標(biāo)準(zhǔn)簡介（續(xù)）,1985年美國國防部（DoD）正式頒布 DoD可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)（簡稱TCSEC或DoD85） TCSEC又稱桔皮書 TCSEC標(biāo)準(zhǔn)的目的 提供一種標(biāo)準(zhǔn)，使用戶可以對(duì)其計(jì)算機(jī)系統(tǒng)內(nèi)敏感信息安全操作的可信程度做評(píng)估。 給計(jì)算機(jī)行業(yè)的制造商提供一種可循的指導(dǎo)規(guī)則，使其產(chǎn)品能夠更好地滿足敏感應(yīng)用的安全需求。,安全標(biāo)準(zhǔn)簡介（續(xù)）,1991年4月美國NCSC（國家計(jì)算機(jī)安全中心）頒布了可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)關(guān)于可信數(shù)據(jù)庫系統(tǒng)的解釋（ Trusted Database Interpretation 簡稱TDI） TDI又稱紫皮書。它將TCSEC擴(kuò)展到數(shù)據(jù)庫管理系統(tǒng)。 TDI中定義了數(shù)據(jù)庫管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)中需滿足和用以進(jìn)行安全性級(jí)別評(píng)估的標(biāo)準(zhǔn)。,安全標(biāo)準(zhǔn)簡介（續(xù)）,TDI/TCSEC標(biāo)準(zhǔn)的基本內(nèi)容 TDI與TCSEC一樣，從四個(gè)方面來描述安全性級(jí)別劃分的指標(biāo) 安全策略 責(zé)任 保證 文檔,安全標(biāo)準(zhǔn)簡介（續(xù)）,R1 安全策略（Security Policy） R1.1 自主存取控制 （Discretionary Access Control，簡記為DAC） R1.2 客體重用（Object Reuse） R1.3 標(biāo)記（Labels） R1.4 強(qiáng)制存取控制（Mandatory Access Control，簡記為MAC）,安全標(biāo)準(zhǔn)簡介（續(xù)）,R2 責(zé)任（Accountability） R2.1 標(biāo)識(shí)與鑒別（Identification & Authentication） R2.2 審計(jì)（Audit） R3 保證（Assurance） R3.1 操作保證（Operational Assurance） R3.2 生命周期保證（Life Cycle Assurance）,安全標(biāo)準(zhǔn)簡介（續(xù)）,R4 文檔（Documentation） R4.1 安全特性用戶指南（Security Features Users Guide） R4.2 可信設(shè)施手冊（Trusted Facility Manual） R4.3 測試文檔（Test Documentation） R4.4 設(shè)計(jì)文檔（Design Documentation）,安全標(biāo)準(zhǔn)簡介（續(xù)）,TCSEC/TDI安全級(jí)別劃分,安全標(biāo)準(zhǔn)簡介（續(xù)）,四組(division)七個(gè)等級(jí) D C（C1，C2） B（B1，B2，B3） A（A1） 按系統(tǒng)可靠或可信程度逐漸增高 各安全級(jí)別之間具有一種偏序向下兼容的關(guān)系，即較高安全性級(jí)別提供的安全保護(hù)要包含較低級(jí)別的所有保護(hù)要求，同時(shí)提供更多或更完善的保護(hù)能力。,安全標(biāo)準(zhǔn)簡介（續(xù)）,D級(jí) 將一切不符合更高標(biāo)準(zhǔn)的系統(tǒng)均歸于D組 典型例子：DOS是安全標(biāo)準(zhǔn)為D的操作系統(tǒng) DOS在安全性方面幾乎沒有什么專門的機(jī)制來保障,安全標(biāo)準(zhǔn)簡介（續(xù)）,C1級(jí) 非常初級(jí)的自主安全保護(hù) 能夠?qū)崿F(xiàn)對(duì)用戶和數(shù)據(jù)的分離，進(jìn)行自主存取控制（DAC），保護(hù)或限制用戶權(quán)限的傳播。,安全標(biāo)準(zhǔn)簡介（續(xù)）,C2級(jí) 安全產(chǎn)品的最低檔次 提供受控的存取保護(hù)，將C1級(jí)的DAC進(jìn)一步細(xì)化，以個(gè)人身份注冊負(fù)責(zé)，并實(shí)施審計(jì)和資源隔離 達(dá)到C2級(jí)的產(chǎn)品在其名稱中往往不突出“安全”(Security)這一特色,安全標(biāo)準(zhǔn)簡介（續(xù)）,典型例子 操作系統(tǒng) Microsoft的Windows NT 3.5， 數(shù)字設(shè)備公司的Open VMS VAX 6.0和6.1 數(shù)據(jù)庫 Oracle公司的Oracle 7 Sybase公司的 SQL Server 11.0.6,安全標(biāo)準(zhǔn)簡介（續(xù)）,B1級(jí) 標(biāo)記安全保護(hù)?！鞍踩?Security)或“可信的”(Trusted)產(chǎn)品。 對(duì)系統(tǒng)的數(shù)據(jù)加以標(biāo)記，對(duì)標(biāo)記的主體和客體實(shí)施強(qiáng)制存取控制（MAC）、審計(jì)等安全機(jī)制,安全標(biāo)準(zhǔn)簡介（續(xù)）,典型例子 操作系統(tǒng) 數(shù)字設(shè)備公司的SEVMS VAX Version 6.0 惠普公司的HP-UX BLS release 9.0.9+ 數(shù)據(jù)庫 Oracle公司的Trusted Oracle 7 Sybase公司的Secure SQL Server version 11.0.6 Informix公司的Incorporated INFORMIX-OnLine / Secure 5.0,安全標(biāo)準(zhǔn)簡介（續(xù)）,B2級(jí) 結(jié)構(gòu)化保護(hù) 建立形式化的安全策略模型并對(duì)系統(tǒng)內(nèi)的所有主體和客體實(shí)施DAC和MAC。 經(jīng)過認(rèn)證的B2級(jí)以上的安全系統(tǒng)非常稀少,安全標(biāo)準(zhǔn)簡介（續(xù)）,典型例子 操作系統(tǒng) 只有Trusted Information Systems公司的Trusted XENIX一種產(chǎn)品 標(biāo)準(zhǔn)的網(wǎng)絡(luò)產(chǎn)品 只有Cryptek Secure Communications公司的LLC VSLAN一種產(chǎn)品 數(shù)據(jù)庫 沒有符合B2標(biāo)準(zhǔn)的產(chǎn)品,安全標(biāo)準(zhǔn)簡介（續(xù)）,B3級(jí) 安全域。 該級(jí)的TCB必須滿足訪問監(jiān)控器的要求，審計(jì)跟蹤能力更強(qiáng)，并提供系統(tǒng)恢復(fù)過程。,安全標(biāo)準(zhǔn)簡介（續(xù)）,A1級(jí) 驗(yàn)證設(shè)計(jì)，即提供B3級(jí)保護(hù)的同時(shí)給出系統(tǒng)的形式化設(shè)計(jì)說明和驗(yàn)證以確信各安全保護(hù)真正實(shí)現(xiàn)。,安全標(biāo)準(zhǔn)簡介（續(xù)）,B2以上的系統(tǒng) 還處于理論研究階段 應(yīng)用多限于一些特殊的部門如軍隊(duì)等 美國正在大力發(fā)展安全產(chǎn)品，試圖將目前僅限于少數(shù)領(lǐng)域應(yīng)用的B2安全級(jí)別下放到商業(yè)應(yīng)用中來，并逐步成為新的商業(yè)標(biāo)準(zhǔn)。,安全標(biāo)準(zhǔn)簡介（續(xù)）,表示該級(jí)不提供對(duì)該指標(biāo)的支持； 表示該級(jí)新增的對(duì)該指標(biāo)的支持； 表示該級(jí)對(duì)該指標(biāo)的支持與相鄰低一級(jí)的等級(jí)一樣；表示該級(jí)對(duì)該指標(biāo)的支持較下一級(jí)有所增 加或改動(dòng)。,第四章 數(shù)據(jù)庫安全性,4.1 計(jì)算機(jī)安全性概論 4.2 數(shù)據(jù)庫安全性控制 4.3 視圖機(jī)制 4.4 審計(jì) 4.5 數(shù)據(jù)加密 4.6 統(tǒng)計(jì)數(shù)據(jù)庫安全性 4.7 小結(jié),4.2 數(shù)據(jù)庫安全性控制,4.2.1 用戶標(biāo)識(shí)與鑒別 4.2.2 存取控制 4.2.3 自主存取控制方法 4.2.4 授權(quán)與回收 4.2.5 數(shù)據(jù)庫角色 4.2.6 強(qiáng)制存取控制方法,計(jì)算機(jī)系統(tǒng)中的安全模型,方法：,用戶標(biāo)識(shí) 和鑒定,存取控制 審計(jì) 視圖,操作系統(tǒng) 安全保護(hù),密碼存儲(chǔ),4.2.1 用戶標(biāo)識(shí)與鑒別,用戶標(biāo)識(shí)與鑒別（Identification & Authentication） 系統(tǒng)提供的最外層安全保護(hù)措施,用戶標(biāo)識(shí)與鑒別,基本方法 系統(tǒng)提供一定的方式讓用戶標(biāo)識(shí)自己的名字或身份； 系統(tǒng)內(nèi)部記錄著所有合法用戶的標(biāo)識(shí)； 每次用戶要求進(jìn)入系統(tǒng)時(shí)，由系統(tǒng)核對(duì)用戶提供的身份標(biāo)識(shí)； 通過鑒定后才提供機(jī)器使用權(quán)。 用戶標(biāo)識(shí)和鑒定可以重復(fù)多次,用戶標(biāo)識(shí)自己的名字或身份,用戶名/口令 簡單易行，容易被人竊取 每個(gè)用戶預(yù)先約定好一個(gè)計(jì)算過程或者函數(shù) 系統(tǒng)提供一個(gè)隨機(jī)數(shù) 用戶根據(jù)自己預(yù)先約定的計(jì)算過程或者函數(shù)進(jìn)行計(jì)算 系統(tǒng)根據(jù)用戶計(jì)算結(jié)果是否正確鑒定用戶身份,4.2.2 存取控制,存取控制機(jī)制的功能 存取控制機(jī)制的組成 定義存取權(quán)限 檢查存取權(quán)限 用戶權(quán)限定義和合法權(quán)檢查機(jī)制一起組成了DBMS的安全子系統(tǒng),存取控制（續(xù)）,定義存取權(quán)限 在數(shù)據(jù)庫系統(tǒng)中，為了保證用戶只能訪問他有權(quán)存取的數(shù)據(jù)，必須預(yù)先對(duì)每個(gè)用戶定義存取權(quán)限。 檢查存取權(quán)限 對(duì)于通過鑒定獲得上機(jī)權(quán)的用戶（即合法用戶），系統(tǒng)根據(jù)他的存取權(quán)限定義對(duì)他的各種操作請求進(jìn)行控制，確保他只執(zhí)行合法操作。,存取控制（續(xù)）,常用存取控制方法 自主存取控制（Discretionary Access Control ，簡稱DAC） C2級(jí) 靈活 強(qiáng)制存取控制（Mandatory Access Control，簡稱 MAC） B1級(jí) 嚴(yán)格,自主存取控制方法,同一用戶對(duì)于不同的數(shù)據(jù)對(duì)象有不同的存取權(quán)限 不同的用戶對(duì)同一對(duì)象也有不同的權(quán)限 用戶還可將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶,強(qiáng)制存取控制方法,每一個(gè)數(shù)據(jù)對(duì)象被標(biāo)以一定的密級(jí) 每一個(gè)用戶也被授予某一個(gè)級(jí)別的許可證 對(duì)于任意一個(gè)對(duì)象，只有具有合法許可證的用戶才可以存取,4.2.3自主存取控制方法,優(yōu)點(diǎn) 能夠通過授權(quán)機(jī)制有效地控制其他用戶對(duì)敏感數(shù)據(jù)的存取 缺點(diǎn) 可能存在數(shù)據(jù)的“無意泄露” 原因：這種機(jī)制僅僅通過對(duì)數(shù)據(jù)的存取權(quán)限來進(jìn)行安全控制，而數(shù)據(jù)本身并無安全性標(biāo)記。 解決：對(duì)系統(tǒng)控制下的所有主客體實(shí)施強(qiáng)制存取控制策略,4.2.4 授權(quán)與回收,誰定義？ DBA和表的建立者（即表的屬主） 如何定義？ SQL語句： GRANT REVOKE,一 授 權(quán) (GRANT),GRANT語句的一般格式： GRANT ,. ON TO ,. WITH GRANT OPTION; 誰定義？DBA和表的建立者（即表的屬主） GRANT功能：將對(duì)指定操作對(duì)象的指定操作權(quán)限授予指定的用戶。,(1) 用戶的權(quán)限,建表（CREATETAB）的權(quán)限:屬于DBA DBA授予普通用戶 基本表或視圖的屬主擁有對(duì)該表或視圖的一切操作權(quán)限 接受權(quán)限的用戶: 一個(gè)或多個(gè)具體用戶 PUBLIC（全體用戶）,(2) WITH GRANT OPTION子句,指定了WITH GRANT OPTION子句: 獲得某種權(quán)限的用戶還可以把這種權(quán)限再授予別的用戶。 沒有指定WITH GRANT OPTION子句: 獲得某種權(quán)限的用戶只能使用該權(quán)限，不能傳播該權(quán)限。 不允許循環(huán)授權(quán)。,例題,例1 把查詢Student表權(quán)限授給用戶U1 GRANT SELECT ON TABLE Student TO U1;,例題（續(xù)）,例2 把對(duì)Student表和Course表的全部權(quán)限授予用戶U2和U3 GRANT ALL PRIVILIGES ON TABLE Student, Course TO U2, U3;,例4,例題（續(xù)）,例3 把對(duì)表SC的查詢權(quán)限授予所有用戶 GRANT SELECT ON TABLE SC TO PUBLIC;,例題（續(xù)）,例4 把查詢Student表和修改學(xué)生學(xué)號(hào)的權(quán)限授給用戶U4 GRANT UPDATE(Sno), SELECT ON TABLE Student TO U4;,例題（續(xù)）,例5 把對(duì)表SC的INSERT權(quán)限授予U5用戶，并允許他再將此權(quán)限授予其他用戶 GRANT INSERT ON TABLE SC TO U5 WITH GRANT OPTION;,傳播權(quán)限,執(zhí)行例5后，U5不僅擁有了對(duì)表SC的INSERT權(quán)限， 還可以傳播此權(quán)限： 例6 GRANT INSERT ON TABLE SC TO U6 WITH GRANT OPTION; 同樣，U6還可以將此權(quán)限授予U7： 例7 GRANT INSERT ON TABLE SC TO U7; 但U7不能再傳播此權(quán)限。 U5 U6 U7,例題（續(xù)）,例6 DBA把在數(shù)據(jù)庫S_C中建立表的權(quán)限授予用戶U8 GRANT CREATETAB ON DATABASE S_C TO U8;,二 收回權(quán)限(REVOKE),REVOKE語句的一般格式為： REVOKE ,. ON FROM ,.; 功能：從指定用戶那里收回對(duì)指定對(duì)象的指定權(quán)限,例題,例8 把用戶U4修改學(xué)生學(xué)號(hào)的權(quán)限收回 REVOKE UPDATE(Sno) ON TABLE Student FROM U4;,例題（續(xù)）,例9 收回所有用戶對(duì)表SC的查詢權(quán)限 REVOKE SELECT ON TABLE SC FROM PUBLIC;,例題（續(xù)）,例10 把用戶U5對(duì)SC表的INSERT權(quán)限收回 REVOKE INSERT ON TABLE SC FROM U5;,權(quán)限的級(jí)聯(lián)回收,系統(tǒng)將收回直接或間接從U5處獲得的對(duì)SC 表的INSERT權(quán)限: U5 U6 U7 收回U5、U6、U7獲得的對(duì)SC表的INSERT 權(quán)限: -U5- U6- U7,三 創(chuàng)建數(shù)據(jù)庫模式的權(quán)限,對(duì)數(shù)據(jù)庫模式的授權(quán)由DBA在創(chuàng)建用戶時(shí)授權(quán) CREATE USER格式 CREATE USER WITHDBA|RESOURCE|CONNECT,4.2.5數(shù)據(jù)庫角色,數(shù)據(jù)庫角色是被命名的一組與數(shù)據(jù)庫操作相關(guān)的權(quán)限,是權(quán)限的集合 角色的創(chuàng)建 CREATE ROLE 給角色授權(quán) 將一個(gè)角色授予其他的角色或用戶 角色權(quán)限的回收,4.2.6 強(qiáng)制存取控制方法,強(qiáng)制存取控制的特點(diǎn) MAC是對(duì)數(shù)據(jù)本身進(jìn)行密級(jí)標(biāo)記 無論數(shù)據(jù)如何復(fù)制，標(biāo)記與數(shù)據(jù)是一個(gè)不可分的整體 只有符合密級(jí)標(biāo)記要求的用戶才可以操縱數(shù)據(jù) 從而提供了更高級(jí)別的安全性,MAC與DAC,DAC與MAC共同構(gòu)成DBMS的安全機(jī)制 原因：較高安全性級(jí)別提供的安全保護(hù)要包含較低級(jí)別的所有保護(hù) 先進(jìn)行DAC檢查，通過DAC檢查的數(shù)據(jù)對(duì)象再由系統(tǒng)進(jìn)行MAC檢查，只有通過MAC檢查的數(shù)據(jù)對(duì)象方可存取。,強(qiáng)制存取控制方法（續(xù)）,DAC + MAC安全檢查示意圖 SQL語法分析 & 語義檢查 DAC 檢 查 安全檢查 MAC 檢 查 繼 續(xù),4.3 視圖機(jī)制,視圖機(jī)制把要保密的數(shù)據(jù)對(duì)無權(quán)存取這些數(shù)據(jù)的用戶隱藏起來， 視圖機(jī)制更主要的功能在于提供數(shù)據(jù)獨(dú)立性，其安全保護(hù)功能太不精細(xì)，往往遠(yuǎn)不能達(dá)到應(yīng)用系統(tǒng)的要求。,視圖機(jī)制（續(xù)）,例：王平只能檢索計(jì)算機(jī)系學(xué)生的信息 先建立計(jì)算機(jī)系學(xué)生的視圖CS_Student CREATE VIEW CS_Student AS SELECT FROM Student WHERE Sdept=CS；,視圖機(jī)制（續(xù)）,在視圖上進(jìn)一步定義存取權(quán)限 GRANT SELECT ON CS_Student TO 王平 ；,4.4 審計(jì),什么是審計(jì) 啟用一個(gè)專用的審計(jì)日志（Audit Log） 將用戶對(duì)數(shù)據(jù)庫的所有操作記錄在上面 DBA可以利用審計(jì)日志中的追蹤信息 找出非法存取數(shù)據(jù)的人 C2以上安全級(jí)別的DBMS必須具有審計(jì)功能,審計(jì)（續(xù)）,審計(jì)功能的可選性 審計(jì)很費(fèi)時(shí)間和空間 DBA可以根據(jù)應(yīng)用對(duì)安全性的要求，靈活地打開或關(guān)閉審計(jì)功能。,審計(jì)（續(xù)）,強(qiáng)制性機(jī)制: 用戶識(shí)別和鑒定、存取控制、視圖 預(yù)防監(jiān)測手段: 審計(jì)技術(shù),4.5 數(shù)據(jù)加密,數(shù)據(jù)加密 防止數(shù)據(jù)庫中數(shù)據(jù)在存儲(chǔ)和傳輸中失密的有效手段 加密的基本思想 根據(jù)一定的算法將原始數(shù)據(jù)（術(shù)語為明文，Plain text）變換為不可直接識(shí)別的格式（術(shù)語為密文，Cipher text） 不知道解密算法的人無法獲知數(shù)據(jù)的內(nèi)容,數(shù)據(jù)加密（續(xù)）,加密方法 替換方法 使用密鑰（Encryption Key）將明文中