安全生產(chǎn)_數(shù)據(jù)庫(kù)系統(tǒng)安全培訓(xùn)教材

第10章數(shù)據(jù)庫(kù)系統(tǒng)安全 數(shù)據(jù)庫(kù)是計(jì)算機(jī)科學(xué)的一個(gè)重要分支 任何信息管理的應(yīng)用都離不開(kāi)數(shù)據(jù)庫(kù)的支持 隨著網(wǎng)絡(luò)的發(fā)展 數(shù)據(jù)庫(kù)已經(jīng)與網(wǎng)絡(luò)緊密地結(jié)合起來(lái) 數(shù)據(jù)庫(kù)系統(tǒng)安全的重要性不亞于網(wǎng)絡(luò)安全的重要性 數(shù)據(jù)庫(kù)系統(tǒng)的安全有它獨(dú)有的特點(diǎn) 第10章數(shù)據(jù)庫(kù)系統(tǒng)安全 NetworkandInformationSecurity 10 1數(shù)據(jù)庫(kù)安全概述 第10章數(shù)據(jù)庫(kù)系統(tǒng)安全 NetworkandInformationSecurity 1 存取控制技術(shù) 2 隔離控制技術(shù) 3 加密技術(shù) 4 信息流向控制技術(shù) 5 推理控制技術(shù) 6 數(shù)據(jù)備份技術(shù) 第10章數(shù)據(jù)庫(kù)系統(tǒng)安全 NetworkandInformationSecurity 10 1 1數(shù)據(jù)庫(kù)安全技術(shù) 一般情況下 我們可以確定整個(gè)數(shù)據(jù)庫(kù)是敏感的 要求保密 或不敏感的 不要求保密 細(xì)一點(diǎn) 可以確定庫(kù)中的某個(gè)基表 對(duì)于關(guān)系型數(shù)據(jù)庫(kù) 是敏感的或不敏感的 但有時(shí)情況卻復(fù)雜得多 第10章數(shù)據(jù)庫(kù)系統(tǒng)安全 NetworkandInformationSecurity 10 1 2多級(jí)數(shù)據(jù)庫(kù) 姓名 部門(mén)和電話這三列是不需保密的 任何人都可以查詢 但是工資和績(jī)效考核卻是必須保密的 現(xiàn)在很多企業(yè)都搞所謂的 密薪制 這說(shuō)明基表中只有部分字段是敏感的 第10章數(shù)據(jù)庫(kù)系統(tǒng)安全 NetworkandInformationSecurity 也許李四是一個(gè)特殊人物 他的所有情況都要保密 甚至他的存在都是一個(gè)秘密 趙六的電話也許很重要 不想被別人知道 這些數(shù)據(jù)的安全要求與工資與績(jī)效考核兩個(gè)字段的安全要求是不一樣的 第10章數(shù)據(jù)庫(kù)系統(tǒng)安全 NetworkandInformationSecurity 1 一個(gè)元素的敏感度可能不同于同一記錄的其他元素或同一屬性的其他值 這要求應(yīng)該對(duì)每個(gè)元素單獨(dú)實(shí)行安全保護(hù) 2 敏感和不敏感兩種級(jí)別不足以描繪某些安全要求 需要多個(gè)安全級(jí)別 3 集合安全不同于單個(gè)元素的安全 如數(shù)據(jù)庫(kù)中的和 平均值 集合安全可能高于也可能低于單個(gè)元素的安全 第10章數(shù)據(jù)庫(kù)系統(tǒng)安全 NetworkandInformationSecurity 數(shù)據(jù)庫(kù)安全特點(diǎn) 雖然DBMS在操作系統(tǒng)的基礎(chǔ)上增加了不少安全措施 例如基于權(quán)限的訪問(wèn)控制等 但操作系統(tǒng)和DBMS對(duì)數(shù)據(jù)庫(kù)文件本身仍然缺乏有效的保護(hù)措施 有經(jīng)驗(yàn)的黑客會(huì) 繞道而行 直接利用操作系統(tǒng)工具竊取或篡改數(shù)據(jù)庫(kù)文件內(nèi)容 被稱為通向DBMS的 隱秘通道 它所帶來(lái)的危害一般數(shù)據(jù)庫(kù)用戶難以覺(jué)察 分析和堵塞 隱秘通道 被認(rèn)為是B2級(jí)的安全技術(shù)措施 對(duì)數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)進(jìn)行加密處理 是堵塞這一 隱秘通道 的有效手段 10 2數(shù)據(jù)庫(kù)加密 第10章數(shù)據(jù)庫(kù)系統(tǒng)安全 NetworkandInformationSecurity 80 的計(jì)算機(jī)犯罪來(lái)自系統(tǒng)內(nèi)部 在傳統(tǒng)的數(shù)據(jù)庫(kù)系統(tǒng)中 數(shù)據(jù)庫(kù)管理員的權(quán)力至高無(wú)上 他既負(fù)責(zé)各項(xiàng)系統(tǒng)管理工作 例如資源分配 用戶授權(quán) 系統(tǒng)審計(jì)等 又可以查詢數(shù)據(jù)庫(kù)中的一切信息 為此 可采用技術(shù)手段來(lái)削弱系統(tǒng)管理員的權(quán)力 如采用多權(quán)分立的策略 除了系統(tǒng)管理員以外 增加安全員和審計(jì)員 使系統(tǒng)管理員 安全員和審計(jì)員之間相互牽制 制約 實(shí)現(xiàn)數(shù)據(jù)庫(kù)加密以后 各用戶 或用戶組 的數(shù)據(jù)由用戶用自己的密鑰加密 數(shù)據(jù)庫(kù)管理員沒(méi)有密鑰無(wú)法進(jìn)行正常解密 從而保證了用戶信息的安全 另外 通過(guò)加密 數(shù)據(jù)庫(kù)的部分內(nèi)容成為密文 從而能減少因介質(zhì)失竊或丟失而造成的損失 數(shù)據(jù)庫(kù)加密對(duì)于企業(yè)內(nèi)部安全管理 也是不可或缺的 一般來(lái)說(shuō) 一個(gè)良好的數(shù)據(jù)庫(kù)加密系統(tǒng)應(yīng)該滿足以下基本要求 1 支持各種粒度加密2 良好的密鑰管理機(jī)制3 合理處理數(shù)據(jù)4 不影響合法用戶的操作 第10章數(shù)據(jù)庫(kù)系統(tǒng)安全 NetworkandInformationSecurity 10 2 1數(shù)據(jù)庫(kù)加密的基本要求 1 操作系統(tǒng)層加密2 DBMS內(nèi)核層實(shí)現(xiàn)加密3 DBMS外層實(shí)現(xiàn)加密 第10章數(shù)據(jù)庫(kù)系統(tǒng)安全 NetworkandInformationSecurity 10 2 2數(shù)據(jù)庫(kù)加密的方式 數(shù)據(jù)庫(kù)加密系統(tǒng)分成兩個(gè)功能獨(dú)立的主要部件 一個(gè)是加密字典及其管理程序 另一個(gè)是數(shù)據(jù)庫(kù)加 解密引擎 第9章數(shù)據(jù)庫(kù)系統(tǒng)安全 通過(guò)調(diào)用數(shù)據(jù)加 解密引擎實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)的加密 解密及數(shù)據(jù)轉(zhuǎn)換等功能 用戶對(duì)數(shù)據(jù)庫(kù)信息具體的加密要求以及參數(shù)信息保存在加密字典中 優(yōu)點(diǎn) 首先 系統(tǒng)對(duì)數(shù)據(jù)庫(kù)的最終用戶是完全透明的 系統(tǒng) 可以根據(jù)需要進(jìn)行明文和密文的轉(zhuǎn)換工作 其次 加密系統(tǒng)完全獨(dú)立于數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng) 無(wú)須改動(dòng)數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)就能實(shí)現(xiàn)數(shù)據(jù)加密功能 第三 加 解密處理在客戶端進(jìn)行 不會(huì)影響數(shù)據(jù)庫(kù)服務(wù)器的效率 數(shù)據(jù)庫(kù)加 解密引擎是數(shù)據(jù)庫(kù)加密系統(tǒng)的核心部件 它位于客戶程序與數(shù)據(jù)庫(kù)服務(wù)器之間 負(fù)責(zé)在后臺(tái)完成數(shù)據(jù)庫(kù)信息的加 解密處理 對(duì)操作人員來(lái)說(shuō)是透明的 數(shù)據(jù)加 解密引擎沒(méi)有操作界面 在需要時(shí)由操作系統(tǒng)自動(dòng)加載并駐留在內(nèi)存中 數(shù)據(jù)庫(kù)加密如果采用序列密碼 那么同步將成為一個(gè)大問(wèn)題 需要對(duì)大片密文中的極小部分解密時(shí) 如何同步密文與密鑰呢 非對(duì)稱加密 所以數(shù)據(jù)庫(kù)加密一般采用分組密碼 對(duì)于分組密碼中常用的ECB和CBC兩種模式 又該如何確定呢 考慮到數(shù)據(jù)庫(kù)中會(huì)有大量相同的數(shù)據(jù) 比如性別 職務(wù) 年齡等信息 我們應(yīng)該采用CBC模式 對(duì)于在DBMS上實(shí)現(xiàn)的加密 加密粒度可以細(xì)分為基表 記錄 字段或數(shù)據(jù)元素 第10章數(shù)據(jù)庫(kù)系統(tǒng)安全 NetworkandInformationSecurity 10 2 3數(shù)據(jù)庫(kù)加密的方法及加密粒度 10 2 4數(shù)據(jù)庫(kù)加密系統(tǒng)的密鑰管理 第10章數(shù)據(jù)庫(kù)系統(tǒng)安全 NetworkandInformationSecurity 當(dāng)一用戶訪問(wèn)數(shù)據(jù)庫(kù)時(shí) 密鑰管理中心利用某種技術(shù)對(duì)用戶進(jìn)行身份認(rèn)證 如果是合法用戶 則允許訪問(wèn) 密鑰管理中心根據(jù)用戶的權(quán)限取出相應(yīng)的數(shù)據(jù)密鑰 根據(jù)用戶的請(qǐng)求對(duì)有關(guān)數(shù)據(jù)進(jìn)行加解密處理 其中密鑰的產(chǎn)生應(yīng)滿足下列條件 1 在產(chǎn)生大量密鑰的過(guò)程中 產(chǎn)生重復(fù)密鑰的概率要盡可能的低 2 從一個(gè)數(shù)據(jù)項(xiàng)的密鑰推導(dǎo)出另一個(gè)數(shù)據(jù)項(xiàng)的密鑰在計(jì)算上是不可行的 這樣 即使部分密鑰泄露 其他密鑰也是安全的 3 即使知道一些明文值的統(tǒng)計(jì)分布 要從密文中獲取未知明文 在計(jì)算上是不可行的 10 3 1統(tǒng)計(jì)數(shù)據(jù)庫(kù)的安全問(wèn)題具體地說(shuō) 統(tǒng)計(jì)數(shù)據(jù)庫(kù)是這樣一種數(shù)據(jù)庫(kù) 從庫(kù)中取得的信息是關(guān)于一實(shí)體集子集的匯總信息 統(tǒng)計(jì)數(shù)據(jù)庫(kù)只為提供統(tǒng)計(jì)數(shù)據(jù)所用 如人口普查數(shù)據(jù)庫(kù)就是這樣 在統(tǒng)計(jì)數(shù)據(jù)庫(kù)中 除了禁止非法存取等一般安全問(wèn)題外 還存在特殊的安全問(wèn)題 保護(hù)統(tǒng)計(jì)數(shù)據(jù)庫(kù)的目的是 由該數(shù)據(jù)庫(kù)發(fā)布統(tǒng)計(jì)信息時(shí) 保證不會(huì)使其中受保護(hù)的具體信息泄露 10 3統(tǒng)計(jì)數(shù)據(jù)庫(kù)的安全 第10章數(shù)據(jù)庫(kù)系統(tǒng)安全 NetworkandInformationSecurity 一般的統(tǒng)計(jì)數(shù)據(jù)庫(kù)有下面幾種統(tǒng)計(jì)信息類型 1 計(jì)數(shù) count c 求滿足特征表達(dá)式c的記錄個(gè)數(shù) 2 求和 sum c a 求滿足特征表達(dá)式c的記錄中字段a的和 3 求平均值 average c a 求滿足特征表達(dá)式c的記錄中字段a的平均值 4 求最大值 max c a 求滿足特征表達(dá)式c的記錄中字段a的最大值 5 求最小值 min c a 求滿足特征表達(dá)式c的記錄中字段a的最小值 第10章數(shù)據(jù)庫(kù)系統(tǒng)安全 NetworkandInformationSecurity 題庫(kù)分析人如果想知道第三章各題的分值 他直接查詢將會(huì)被拒絕 但他可以先查詢count 章 3 得到結(jié)果為2 他再查詢sum 章 3 分值 得到結(jié)果12 他再查詢max 章 3 分值 得到結(jié)果10 現(xiàn)在他已知道第三章有兩道題 一道10分 一道2分 用戶通過(guò)一些統(tǒng)計(jì)數(shù)據(jù)庫(kù)允許的合法查詢 可以得到本來(lái)對(duì)他保密的信息 統(tǒng)計(jì)數(shù)據(jù)庫(kù)遠(yuǎn)不是安全保密的 而且 前面介紹的一般數(shù)據(jù)庫(kù)的訪問(wèn)控制并不能解決統(tǒng)計(jì)數(shù)據(jù)庫(kù)的泄密問(wèn)題 因?yàn)樗饕窍拗朴脩舻拇嫒?quán)力 用戶只能對(duì)數(shù)據(jù)庫(kù)中的一部分?jǐn)?shù)據(jù)進(jìn)行訪問(wèn) 在統(tǒng)計(jì)數(shù)據(jù)庫(kù)中 保密的目標(biāo)應(yīng)該是防止用戶通過(guò)一系列 合法 的統(tǒng)計(jì)查詢 使 不合法 的要求得到滿足 也就是防止用戶從一系列查詢中推理出某些秘密信息 這時(shí)我們要實(shí)行的控制稱為 推理控制 第10章數(shù)據(jù)庫(kù)系統(tǒng)安全 NetworkandInformationSecurity 10 3 2安全性與精確度 第10章數(shù)據(jù)庫(kù)系統(tǒng)安全 NetworkandInformationSecurity 設(shè)S為全部統(tǒng)計(jì)信息 P為非機(jī)密統(tǒng)計(jì)信息子集 R為發(fā)布的子集 D是由R 也包括R在內(nèi)的統(tǒng)計(jì)信息 泄露的統(tǒng)計(jì)信息子集 發(fā)布R子集的目的是 全部非機(jī)密統(tǒng)計(jì)信息在R內(nèi)或可由R求得 當(dāng)D P時(shí) 精確度 發(fā)布的統(tǒng)計(jì)信息包含了全部非機(jī)密統(tǒng)計(jì)信息 因而可認(rèn)為發(fā)布的統(tǒng)計(jì)信息保證了精確度 精確度保證了最大限度地使用統(tǒng)計(jì)信息 而安全性則保證了秘密統(tǒng)計(jì)信息的秘密 如果滿足條件D P 安全性 則不會(huì)因R而使秘密統(tǒng)計(jì)信息泄露 可以看出 安全性與精確度的要求正好是相反的 二者都滿足的條件是D P 要做到既保證安全性 又保證精確度 即D P 是非常困難的 1 小查詢集和大查詢集攻擊2 跟蹤器攻擊3 插入和刪除攻擊4 對(duì)線性系統(tǒng)的攻擊 第10章數(shù)據(jù)庫(kù)系統(tǒng)安全 NetworkandInformationSecurity 10 3 3對(duì)統(tǒng)計(jì)數(shù)據(jù)庫(kù)的攻擊方式 1 小查詢集和大查詢集攻擊 現(xiàn)假設(shè)用戶的外部知識(shí)使其知道數(shù)據(jù)庫(kù)內(nèi)第i個(gè)記錄滿足特征表達(dá)式c 如果用戶以統(tǒng)計(jì)信息count c 查詢數(shù)據(jù)庫(kù) 并得到回答count c 1 則該用戶能夠確定該查詢集只含一個(gè)記錄 即第i個(gè)記錄 此時(shí) 用戶利用統(tǒng)計(jì)信息sum c a 的查詢 可求得第i個(gè)記錄的字段a的值 也可以以統(tǒng)計(jì)信息count candd 查詢數(shù)據(jù)庫(kù)內(nèi)第i個(gè)記錄是否滿足特征表達(dá)式d 若值為0則說(shuō)明不滿足 值為1則說(shuō)明滿足 甚至在查詢集記錄個(gè)數(shù)不唯一的情況下 這類攻擊有時(shí)仍然是可行的 假設(shè)已知第i個(gè)記錄滿足c 且count c 1 如果count candd count c 則第i個(gè)記錄當(dāng)然也滿足d 如果count candd count c 則不能確定第i個(gè)記錄是否滿足d 2 跟蹤器攻擊 利用所謂 跟蹤器 的手段 也可使統(tǒng)計(jì)數(shù)據(jù)庫(kù)泄密 跟蹤器有多種 假設(shè)用戶已知第i個(gè)記錄唯一滿足特征表達(dá)式c 如果想通過(guò)統(tǒng)計(jì)查詢sum c a 求得第i個(gè)記錄的字段a的值 在系統(tǒng)實(shí)施了查詢集控制后 由于查詢集過(guò)小將遭拒絕 故用戶不能直接得到結(jié)果 但是 如果特征表達(dá)式c可由多個(gè)表達(dá)式組合而成 即將c分成c1 c2 使得c c1 c2 同時(shí) count c1 和count c2 都大小適中 不受限 此時(shí) 由于count c1 和count c2 均不受查詢集限制 所以用戶可用count c count c1 count c2 來(lái)驗(yàn)證count c 1 然后可利用sum c a sum c1 a sum c2 a 來(lái)求得第i個(gè)記錄的字段a的值 3 插入和刪除攻擊 插入和刪除攻擊是攻擊者通過(guò)插入自己所知的假記錄來(lái)觀察統(tǒng)計(jì)信息的變化情況 從而分析出秘密信息 例如 如果查詢集過(guò)小 用戶可以將一些滿足條件的假記錄插入統(tǒng)計(jì)數(shù)據(jù)庫(kù) 使得查詢集變大 從而使查詢得以進(jìn)行 只需從查詢集中除去那些假記錄的信息 即可得到真實(shí)信息 顯然 如果要求只對(duì)統(tǒng)計(jì)信息有查詢權(quán)的用戶不能插入或刪除記錄 或雖然能夠插入刪除 但對(duì)數(shù)據(jù)庫(kù)出現(xiàn)的變化加以控制 則插入刪除攻擊并不會(huì)構(gòu)成嚴(yán)重威脅 4 對(duì)線性系統(tǒng)的攻擊 可以對(duì)統(tǒng)計(jì)數(shù)據(jù)庫(kù)進(jìn)行多次相關(guān)的查詢 把查詢條件 查詢結(jié)果和秘密信息構(gòu)成一個(gè)線性方程組 通過(guò)解線性方程組的方法來(lái)求得秘密信息 第一類 對(duì)統(tǒng)計(jì)數(shù)據(jù)庫(kù)的查詢加以限制 1 限制查詢集的大小2 單元隱蔽 能夠幫助用戶推導(dǎo)出秘密信息的有關(guān)統(tǒng)計(jì)信息單元應(yīng)該隱去 3 最大階控制 如果一個(gè)統(tǒng)計(jì)查詢恰好涉及到m個(gè)互不相同的屬性 那么這樣的統(tǒng)計(jì)稱為m階統(tǒng)計(jì) 所謂最大階控制就是要限制m的值 4 數(shù)據(jù)庫(kù)分割 將數(shù)據(jù)庫(kù)分割成一個(gè)個(gè)記錄組 規(guī)定用戶只能以這些記錄組作為基本單元進(jìn)行統(tǒng)計(jì)查詢 亦即同一記錄組中的數(shù)據(jù) 或者全部在查詢集中 或者全部不在其中 第9章數(shù)據(jù)庫(kù)系統(tǒng)安全 NetworkandInformationSecurity 10 3 4統(tǒng)計(jì)數(shù)據(jù)庫(kù)的安全措施 第二類 數(shù)據(jù)攪亂方式 對(duì)統(tǒng)計(jì)數(shù)據(jù)庫(kù)的幾種查詢限制方式是以限制用戶的統(tǒng)計(jì)查詢要求為代價(jià)的 有時(shí)會(huì)影響正常用戶的使用 數(shù)據(jù)攪亂方式的原理與此則完全不相同 所謂數(shù)據(jù)攪亂 就是系統(tǒng)在發(fā)布統(tǒng)計(jì)信息之前 使統(tǒng)計(jì)值發(fā)生變化 當(dāng)然 攪亂的目的是使用戶無(wú)法從統(tǒng)計(jì)值中推斷出秘密信息 而不能破壞整個(gè)數(shù)據(jù)庫(kù)數(shù)據(jù)的統(tǒng)計(jì)規(guī)律 10 4 1Web數(shù)據(jù)庫(kù)概述由于Web的易用性 實(shí)用性 它很快占據(jù)了Internet服務(wù)的主導(dǎo)地位 已經(jīng)成為使用最為廣泛 最有前途 最有魅力的信息傳播技術(shù) 不過(guò) Web服務(wù)只是提供了Internet上信息交互的平臺(tái) 隨著Internet技術(shù)的興起與發(fā)展和Web技術(shù)的蓬勃發(fā)展 人們已不滿足于只在Web瀏覽器上獲取靜態(tài)的信息 人們需要通過(guò)它發(fā)表意見(jiàn) 查詢數(shù)據(jù) 甚至進(jìn)行網(wǎng)上購(gòu)物 這就迫切需要實(shí)現(xiàn)動(dòng)態(tài)的Web信息服務(wù) 10 4Web數(shù)據(jù)庫(kù)的安全 第10章數(shù)據(jù)庫(kù)系統(tǒng)安全 NetworkandInformationSecurity 當(dāng)前比較流行的Web數(shù)據(jù)庫(kù)主要有 1 SQLServer2 MySQL3 Oracle這3種數(shù)據(jù)庫(kù)適應(yīng)性強(qiáng) 性能優(yōu)異 容易使用 在國(guó)內(nèi)得到了廣泛的應(yīng)用 第10章數(shù)據(jù)庫(kù)系統(tǒng)安全 NetworkandInformationSecurity 10 4 2常用的幾種Web數(shù)據(jù)庫(kù) 1 突破客戶端腳本的限制 2 對(duì)SQL語(yǔ)句的攻擊程序中的SQL查詢語(yǔ)句 以ASP net為例 username Text與passwd Text是用戶名與口令兩個(gè)文本框的值 可能是 sql select fromuserwhereusername username Text andpasswd passwd Text 執(zhí)行的時(shí)候就是 select fromuserwhereusername cheng andpasswd 1234 第10章數(shù)據(jù)庫(kù)系統(tǒng)安全 NetworkandInformationSecurity 9 4 3Web數(shù)據(jù)庫(kù)安全簡(jiǎn)介 根據(jù)返回的數(shù)據(jù)集是否為空來(lái)判斷是否能夠登錄 如果攻擊者在passwd文本框里輸入的不是1234 而是1111 or 1 1 SQL語(yǔ)句就成為 select fromuserwhereusername cheng andpasswd 1111 or 1 1 由于 1 1 恒為真 即使口令不對(duì)也沒(méi)關(guān)系 這條語(yǔ)句肯定能返回?cái)?shù)據(jù)集 實(shí)際上 用戶名對(duì)不對(duì)也沒(méi)有關(guān)系 這就是著名且古老的1 1攻擊 安全的辦法是在程序中增加對(duì)單引號(hào)等特殊字符的過(guò)濾 第10章數(shù)據(jù)庫(kù)系統(tǒng)安全 NetworkandInformationSecurity 3 利用多SQL語(yǔ)句執(zhí)行漏洞select frombookwherebookname linux入門(mén) 如果我們輸入的不是linux入門(mén)而是linux入門(mén) deletebook 則執(zhí)行語(yǔ)句變?yōu)?select fromb