第四章數(shù)據(jù)庫的安全性.

計算機安全性概論數(shù)據(jù)庫安全性控制視圖機制審計 Audit 數(shù)據(jù)加密統(tǒng)計安全性小結(jié) 第四章數(shù)據(jù)庫的安全性 數(shù)據(jù)庫的特點之一是DBMS提供統(tǒng)一的數(shù)據(jù)保護功能來保證數(shù)據(jù)的安全性可靠性和正確有效 數(shù)據(jù)庫的數(shù)據(jù)保護主要包括數(shù)據(jù)的安全性和數(shù)據(jù)的完整性 這一章我們討論數(shù)據(jù)的安全性問題 4 1計算機安全性概述 數(shù)據(jù)安全性是指保護數(shù)據(jù)庫以防止不合法的使用造成的數(shù)據(jù)泄露 更改或破壞 數(shù)據(jù)庫的安全性和計算機系統(tǒng)的安全性 包括操作系統(tǒng) 網(wǎng)絡(luò)系統(tǒng)的安全性是緊密聯(lián)系 相互支持的 因此在討論數(shù)據(jù)庫的安全性之前首先討論一下計算機系統(tǒng)安全性問題 4 1計算機安全性概述 一 計算機系統(tǒng)的三類安全性問題計算機系統(tǒng)的安全性是指計算機系統(tǒng)建立和采取的各種安全保護措施 以保護計算機系統(tǒng)中的硬件 軟件及數(shù)據(jù) 防止因偶然或惡意的原因使系統(tǒng)遭到破壞 數(shù)據(jù)遭到更改或泄露等 計算機系統(tǒng)的安全性問題可分為技術(shù)安全類 管理安全類和政策法律類三類 4 1計算機安全性概述 技術(shù)安全性是指計算機系統(tǒng)中采用具有一定安全性的硬件 軟件來實現(xiàn)對計算機系統(tǒng)及其所存數(shù)據(jù)的安全保護 當計算機系統(tǒng)受到無意或惡意的攻擊時仍能保證系統(tǒng)正常運行 保證系統(tǒng)能的數(shù)據(jù)不增加 不丟失 不泄露 管理安全性是指由于管理不善導致的計算機設(shè)備和數(shù)據(jù)介質(zhì)的物理破壞 丟失等軟硬件意外故障以及場地的意外事故等安全問題 政策法規(guī)則是指政府部門建立的有關(guān)計算機犯罪 數(shù)據(jù)安全保密的法律道德準則和政策法規(guī) 法令 4 1計算機安全性概述 二 計算機系統(tǒng)安全標準簡介在計算機安全技術(shù)方面逐步建立了一套可信標準 在目前各國所引用或制定的一系列安全標準中 最有影響的是TCSEC和CC 4 1計算機安全性概述 二 計算機系統(tǒng)安全標準簡介TCSEC是1985年美國國防部 DoD 正式頒布的 DoD可信計算機系統(tǒng)評估標準 TrustedComputerSystemEvaluationCriteria 簡稱TCSEC或DoD85 制定這個標準的目的主要有 提供一種標準 使用戶可以對其計算機系統(tǒng)內(nèi)敏感信息安全操作的可信程度作評估 給計算機行業(yè)的制造商提供一種可循的指導規(guī)則 使其產(chǎn)品能夠更好地滿足敏感應(yīng)用的安全需求 4 1計算機安全性概述 1991年4月美國NCSC 國家計算機安全中心 頒布了 可信計算機系統(tǒng)評估標準關(guān)于可信數(shù)據(jù)庫系統(tǒng)的解釋 TrustedDatabaseInterpretation 簡稱TDI 將TCSEC擴展到數(shù)據(jù)庫管理系統(tǒng) TDI中定義了數(shù)據(jù)庫管理系統(tǒng)的設(shè)計與實現(xiàn)中需要滿足和用以進行安全性級別評估的標準 TDI TCSEC標準從以下四個方面描述安全性級別劃分標準 安全策略 責任 保證和文檔 每個方面又細分為若干項 TDI TCSEC將系統(tǒng)劃分為四組 division 七個等級 依次是D C C1 C2 B B1 B2 B3 A A1 安全級別之間具有一種偏序向下兼容的關(guān)系 即較高安全性級別提供的安全保護要包含較低級別的所有保護要求 同時提供更多或更完善的保護能力 4 1計算機安全性概述 D級最低級別 如DOS就是操作系統(tǒng)中安全標準為D的典型例子 它具有操作系統(tǒng)的基本功能 如文件系統(tǒng) 進程調(diào)度等 但在安全方面幾乎沒有什么專門的機制來保障 C1級只提供非常初級的自主安全保護 能夠?qū)崿F(xiàn)對用戶和數(shù)據(jù)的分離 進行自主存取控制 DAC 保護或限制用戶權(quán)限的傳播 C2級是安全產(chǎn)品的最低檔次 提供受控的存取保護 即將C1級的DAC進一步細化 以個人身份注冊負責 并實施審計和資源隔離 如操作系統(tǒng)中Microsoft的Windows2000 數(shù)據(jù)庫產(chǎn)品有Oracle公司的Oracle7等 4 1計算機安全性概述 B1級標記安全保護 對系統(tǒng)的數(shù)據(jù)加以標記 并對標記的主體和客體實施強制存取控制 MAC 以及審計等安全機制 B1級能夠較好地滿足大型企業(yè)或一般政府部門對數(shù)據(jù)的安全需求 這一級別的產(chǎn)品才認為是真正意義上的安全產(chǎn)品 例如 操作系統(tǒng)方面有惠普公司的HP UXBLSrelease9 0 9 等 數(shù)據(jù)庫方面擇優(yōu)Qracle公司的TrustedOracle7 Sybase公司的SecureSQLSever11 0 6B2級結(jié)構(gòu)化保護 建立形式化的安全策略模型并對系統(tǒng)內(nèi)的所有主體和客體實施自主存取控制DAC和強制存取控制MAC 4 1計算機安全性概述 B3級安全域 該級的TCB 可信計算基礎(chǔ) 必須滿足訪問監(jiān)控器的要求 審計跟蹤能力更強 并提供系統(tǒng)恢復過程 A1級驗證設(shè)計 即提供B3級保護的同時給出系統(tǒng)的形式化設(shè)計說明和驗證以確信各安全保護真正實現(xiàn) 4 1計算機安全性概述 CC是在上述各評估準則及具體實踐基礎(chǔ)上 通過相互總結(jié)和互補發(fā)展而來的 和早期的評估準則相比 CC只有結(jié)構(gòu)開放 表達方式通用等特點 CC提出了目前國際上公認的表述信息技術(shù)安全性的結(jié)構(gòu) 即把對信息產(chǎn)品的安全要求分為安全功能要求和安全保證要求 安全功能要求用以規(guī)范產(chǎn)品和系統(tǒng)的安全行為 安全保證要求解決如何正確有效地實施這些功能 安全功能要求和安全保證要求都以 類 子類 組件 的結(jié)構(gòu)表達 組件是安全要求的最小構(gòu)件塊 4 1計算機安全性概述 CC的文本由三都分組成 三個部分相互依存 缺一不可 第一部分是 簡介和一般模型 介紹CC中的有關(guān)術(shù)語 基本概念和一般模型以及與評估有關(guān)的一些框架 CC的附錄部分主要介紹 保護輪廓 ProtectionProfile 簡稱PP 和 安全目標 SecurityTarget 簡稱ST 的基本內(nèi)容 4 1計算機安全性概述 第二都分是安全功能要求 列出了一系列功能組件 子類和類 具體來說有11類 分別是安全審計 FAU 通信 FCO 密碼支持 FCS 用戶數(shù)據(jù)保護 FDP 標識和鑒別 FIA 安全管理 FMT 隱私 FPR TSF保護 FPT 資源利用 FRU TOE訪問 FTA 可信路徑和通信 FTP 這11大類分為66個子類 由135個組件構(gòu)成 4 1計算機安全性概述 第三部分是安全保證要求 列出了一系列保證組件 子類和類 包括7個類 分別是配置管理 ACM 交付和運行 ADO 開發(fā) ADV 指導性文檔 AGD 生命周期支持 ALC 測試 ATE 脆弱性評定 AVA 這7大類分為26個子類 由74個組件構(gòu)成 另外 第三部分中根據(jù)系統(tǒng)對安全保證要求的支持情況提出了評估保證級 EvaluationAssuranceLevel EAL 并定義了保護輪廓PP和安全目標ST的評估準則 用于對PP和ST的評估 4 1計算機安全性概述 這三部分的有機結(jié)合具體體現(xiàn)在PP和ST中 CC提出的安全功能要求和安全保證要求都可以在具體的PP和ST中進一步細化和擴展 這種開放式的結(jié)構(gòu)更適應(yīng)信息安全技術(shù)的發(fā)展 CC的具體應(yīng)用也是通過PP和ST這兩種結(jié)構(gòu)來實現(xiàn)的 4 1計算機安全性概述 PP用于表達一類產(chǎn)品或系統(tǒng)的用戶需求 是CC在某一領(lǐng)域的具體化 CC針對不同領(lǐng)域產(chǎn)品的評估 就體現(xiàn)在開發(fā)該類產(chǎn)品的PP上 例如 針對操作系統(tǒng)產(chǎn)品的PP OSPP 針對數(shù)據(jù)庫產(chǎn)品的PP DBMSPP 等 CC并沒有專門針對DBMS的解釋 DBMSPP是CC在DBMS領(lǐng)域的具體化 相當于是對DBMS的解釋 換句話說 CC的DBMSPP就相當于TCSEC的TDl CC中規(guī)定了PP應(yīng)包含的基本內(nèi)容和格式 例如必須指明該PP符合哪一種評估保證級別 目前國外已開發(fā)多種不同EAL的DBMSPP ST是對特定的一種產(chǎn)品進行描述 參加CC評估的產(chǎn)品必須提供自己的ST 4 1計算機安全性概述 PP的編制有助于提高安全保護的針對性和有效性 ST在PP的基礎(chǔ)上 將安全要求進一步具體化 解決安全要求的具體實現(xiàn) 通過PP和ST這兩種結(jié)構(gòu) 能夠方便的將CC的安全性要求具體應(yīng)用到信息產(chǎn)品的開發(fā) 生產(chǎn) 測試 評估和信息系統(tǒng)的集成 運行 評估 管理中 4 1計算機安全性概述 除了PP和ST之外 還有一個重要的結(jié)構(gòu)是包 包是組件的特定組合 用來描述一組特定的安全功能和保證要求 評估保證級 EAL 是在CC第三部分中預先定義的由保證組件組成的保證包 每一保證包描述了一組特定的保證要求 對應(yīng)著一種評估保證級別 從EALl至EAL7共分為七級 按保證程度逐漸增高 4 1計算機安全性概述 目前有許多信息產(chǎn)品 操作系統(tǒng)如Windows2000 SunSolaris8等 數(shù)據(jù)庫管理系統(tǒng)如Oracle9i DB2V8 2 SybaseAdaptiveSeverEnterpriseVl2 5 2等 都已通過了CC的EAL4 4 2數(shù)據(jù)庫安全性控制 在一般計算機系統(tǒng)中 安全措施是一級一級層層設(shè)置的 例如可以有如下的模型 用戶 DBMS OS DB 用戶標識和鑒別存取控制操作系統(tǒng)安全保護數(shù)據(jù)密碼存儲 計算機系統(tǒng)的安全模型 系統(tǒng)首先根據(jù)輸入的用戶標識進行用戶身份鑒定 只有合法的用戶才準許進入計算機系統(tǒng) 對已進入系統(tǒng)的用戶 DBMS還要進行存取控制 只允許用戶執(zhí)行合法操作 操作系統(tǒng)一級也會有自己的保護措施 數(shù)據(jù)還可以以密碼形式存儲到數(shù)據(jù)庫中 4 2數(shù)據(jù)庫安全性控制 一 用戶標識與鑒定 Identification Authentication 用戶標識和鑒訂是系統(tǒng)提供的最外層安全措施 其方法是由系統(tǒng)提供一定的方式讓用戶標識自己的名字或身份 每次用戶要求進入系統(tǒng)時 由系統(tǒng)進行核對 通過鑒定后才提供機器使用權(quán) 二 存取控制數(shù)據(jù)庫安全最重要的一點就是確保只授權(quán)給有資格的用戶訪問數(shù)據(jù)庫的權(quán)限 同時令所有未被授權(quán)的人員無法接近數(shù)據(jù) 這主要是通過數(shù)據(jù)庫系統(tǒng)的存取控制機制實現(xiàn) 4 2數(shù)據(jù)庫安全性控制 存取控制機制主要包括兩部分 1 定義用戶權(quán)限 并將用戶權(quán)限登記到數(shù)據(jù)字典中 用戶權(quán)限是指不同用戶對于不同的數(shù)據(jù)對象允許執(zhí)行的操作權(quán)限 系統(tǒng)必須提供適當?shù)恼Z言定義用戶權(quán)限 這些定義經(jīng)過編譯后存放在數(shù)據(jù)字典中 被稱作安全規(guī)則或授權(quán)規(guī)則 2 合法權(quán)限檢查 每當用戶發(fā)出存取數(shù)據(jù)庫的操作請求后 DBMS查找數(shù)據(jù)字典 根據(jù)安全規(guī)則進行合法權(quán)限檢查 若用戶的操作請求超出了定義的權(quán)限 系統(tǒng)將拒絕執(zhí)行此操作 用戶權(quán)限定義和合法權(quán)限檢查機制一起組成了DBMS的安全子系統(tǒng) 4 2數(shù)據(jù)庫安全性控制 三 自主存取控制 DAC 方法在自主存取控制方法中 用戶對于不同的數(shù)據(jù)對象有不同的存取權(quán)限 不同的用戶對同一對象也有不同的權(quán)限 而且用戶還可以將其擁有的存取權(quán)限轉(zhuǎn)授予其他用戶 因此自主存取控制非常靈活 大型的數(shù)據(jù)庫管理系統(tǒng)幾乎都支持自主存取控制 在SQL中用GRANT語句和REVOKE語句來實現(xiàn) 用戶權(quán)限是有兩個要素組成的 數(shù)據(jù)對象和操作類型 定義一個用戶的存取權(quán)限就是要定義這個用戶可以在那些數(shù)據(jù)對象上進行哪些類型的操作 在數(shù)據(jù)庫系統(tǒng)中 定義存取權(quán)限稱為授權(quán) Authorization 4 2數(shù)據(jù)庫安全性控制 在非關(guān)系系統(tǒng)中 用戶只能對數(shù)據(jù)進行操作 存取控制的數(shù)據(jù)對象也僅限于數(shù)據(jù)本身 在關(guān)系系統(tǒng)中 DBA可以把建立 修改基本表的權(quán)限授予用戶 用戶獲得此權(quán)限后可以建立和修改基本表 索引 視圖 因此關(guān)系系統(tǒng)中存取控制的數(shù)據(jù)對象不僅有數(shù)據(jù)本身 如表 屬性列等 還有模式 外模式 內(nèi)模式等數(shù)據(jù)字典中的內(nèi)容 四授權(quán) Authorization 與回收語句SQL語言用GRANT語句向用戶授予操作權(quán)限 REVOKE語句收回授予的權(quán)限 一 授權(quán)語句GRANT語句的一般格式為 GRANT ON TO WITHGRANTOPTION 其語義為 將對指定操作對象的指定操作權(quán)限授予指定的用戶 4 2數(shù)據(jù)庫安全性控制 4 2數(shù)據(jù)庫安全性控制 接受權(quán)限的用戶可以是一個或多個具體用戶 也可以是PUBLIC即全體用戶 如果指定了WITHGRANTOPTION子句 則獲得某種權(quán)限的用戶還可以把這種權(quán)限再授予別的用戶 如果沒有指定WITHGRANTOPTION子句 則獲得某種權(quán)限的用戶只能使用該權(quán)限 但不能傳播該權(quán)限 例1把查詢Student表權(quán)限授給用戶U1GRANTSELECTONTABLEStudentTOU1例2把對Student表和Course表的全部權(quán)限授予用戶U2和U3GRANTALLPRIVILIGESONTABLEStudent CourseTOU2 U3例3把對表SC的查詢權(quán)限授予所有用戶GRANTSELECTONTABLESCTOPUBLIC 4 2數(shù)據(jù)庫安全性控制 例4把查詢Student表和修改學生學號的權(quán)限授給用戶U4這里實際上要授予U4用戶的是對基本表Student的SELECT權(quán)限和對屬性列Sno的UPDATE權(quán)限 授予關(guān)于屬性列的權(quán)限時必須明確指出相應(yīng)屬性列名 完成本授權(quán)操作的SQL語句為 GRANTUPDATE Sno SELECTONTABLEStudentTOU4 4 2數(shù)據(jù)庫安全性控制 例5把對表SC的INSERT權(quán)限授予U5用戶 并允許他再將此權(quán)限授予其他用戶GRANTINSERTONTABLESCTOU5WITHGRANTOPTION 執(zhí)行此SQL語句后 U5不僅擁有了對表SC的INSERT權(quán)限 還可以傳播此權(quán)限 即由U5用戶發(fā)上述GRANT命令給其他用戶 例如U5可以將此權(quán)限授予U6 GRANTINSERTONTABLESCTOU6WITHGRANTOPTION同樣 U6還可以將此權(quán)限授予U7 GRANTINSERTONTABLESCTOU7因為U6未給U7傳播的權(quán)限 因此U7不能再傳播此權(quán)限 4 2數(shù)據(jù)庫安全性控制 由上面的例子可以看到 GRANT語句可以一次向一個用戶授權(quán) 如例1所示 這是最簡單的一種授權(quán)操作 也可以一次向多個用戶授權(quán) 如例2 例3等所示 還可以一次傳播多個同類對象的權(quán)限 如例2所示 甚至一次可以完成對基本表 視圖和屬性列這些不同對象的授權(quán) 如例4所示 4 2數(shù)據(jù)庫安全性控制 二 收權(quán)語句授予的權(quán)限可以由DBA或其他授權(quán)者用REVOKE語句收回 REVOKE語句的一般格式為 REVOKE ON FROM 4 2數(shù)據(jù)庫安全性控制 例7把用戶U4修改學生學號的權(quán)限收回REVOKEUPDATE Sno ONTABLEStudentFROMU4 例8收回所有用戶對表SC的查詢權(quán)限REVOKESELECTONTABLESCFROMPUBLIC 4 2數(shù)據(jù)庫安全性控制 例9把用戶U5對SC表的INSERT權(quán)限收回REVOKEINSERTONTABLESCFROMU5 在例5中 U5又將對SC表的INSERT權(quán)限授予了U6 而U6又將其授予了U7 執(zhí)行此REVOKE語句后 DBMS在收回U5對SC表的INSERT權(quán)限的同時 還會自動收回U6和U7對SC表的INSERT權(quán)限 即收回權(quán)限的操作會級聯(lián)下去的 但如果U6或U7還從其他用戶處獲得對SC表的INSERT權(quán)限 則他們?nèi)跃哂写藱?quán)限 系統(tǒng)只收回直接或間接從U5處獲得的權(quán)限 4 2數(shù)據(jù)庫安全性控制 三 創(chuàng)建數(shù)據(jù)庫模式的權(quán)限GRANT和REVOKE語句向用戶授予或收回對數(shù)據(jù)的操作權(quán)限 對數(shù)據(jù)庫模式的授權(quán)則由DBA在創(chuàng)建用戶時實現(xiàn) CREATEUSER語句一般格式如下 CREATEUSER WITH DBA RESOURCE CONNECT 4 2數(shù)據(jù)庫安全性控制 對CREATEUSER語句說明如下 只有系統(tǒng)的超級用戶才有權(quán)創(chuàng)建一個新的數(shù)據(jù)庫用戶 新創(chuàng)建的數(shù)據(jù)庫用戶有三種權(quán)限 CONNECT RESOURCE和DBA CREATEUSER命令中如果沒有指定創(chuàng)建的新用戶的權(quán)限 默認該用戶擁有CONNECT權(quán)限 擁有CONNECT權(quán)限的用戶不能創(chuàng)建新用戶 不能創(chuàng)建模式 也不能創(chuàng)建基本表 只能登錄數(shù)據(jù)庫 然后由DBA或其他用戶授予他應(yīng)有的權(quán)限 根據(jù)獲得的授權(quán)情況他可以對數(shù)據(jù)庫對象進行權(quán)限范圍內(nèi)的操作 4 2數(shù)據(jù)庫安全性控制 對CREATEUSER語句說明如下 擁有RESOURCE權(quán)限的用戶能創(chuàng)建基本表和視圖 成為所創(chuàng)建對象的屬主 但是不能創(chuàng)建模式 不能創(chuàng)建新的用戶 數(shù)據(jù)庫對象的屬主可以使用GRANT語句把該對象上的存取權(quán)限授予其他用戶 擁有DBA權(quán)限的用戶是系統(tǒng)中的超級用戶 可以創(chuàng)建新的用戶 創(chuàng)建模式 創(chuàng)建基本表和視圖等 DBA擁有對所有數(shù)據(jù)庫對象的存取權(quán)限 還可以把這些權(quán)限授予一般用戶 4 2數(shù)據(jù)庫安全性控制 一個DBA用戶可以擁有CREATEUSER CREATESCHEMA和CREATETABLE權(quán)限 一個RESOURCE用戶可以擁有CREATETABLE權(quán)限 有關(guān)CREATESCHEMA和CREATETABLE的語句在第3章中已經(jīng)講解了 4 2數(shù)據(jù)庫安全性控制 五 數(shù)據(jù)庫角色數(shù)據(jù)庫角色是被命名的一組與數(shù)據(jù)庫操作相關(guān)的權(quán)限 角色是權(quán)限的集合 因此 可以為一組具有相同權(quán)限的用戶創(chuàng)建一個角色 使用角色來管理數(shù)據(jù)庫權(quán)限可以簡化授權(quán)的過程 在SQL中首先用CREATEROLE語句創(chuàng)建角色 然后用GRANT語句給角色授權(quán) 4 2數(shù)據(jù)庫安全性控制 一 角色的創(chuàng)建創(chuàng)建角色的SQL語句格式是CREATEROLE剛剛創(chuàng)建的角色是空的 沒有任何內(nèi)容 可以用GRANT為角色授權(quán) 二 給角色授權(quán)GRANT ON對象名TO DBA和用戶可以利用GRANT語句將權(quán)限授予某一個或幾個角色 4 2數(shù)據(jù)庫安全性控制 三 將一個角色授子其他的角色或用戶GRANT TO WITHADMINOPTION 該語句把角色授予某用戶 或授予另一個角色 這樣 一個角色 例如角色3 所擁有的權(quán)限就是授予它的全部角色 例如角色1和角色2 所包含的權(quán)限的總和 授予者或者是角色的創(chuàng)建者 或者擁有在這個角色上的ADMINOPTION 如果指定了WITHADMINOPTION子句 則獲得某種權(quán)限的角色或用戶還可以把這種權(quán)限再授予其他的角色 一個角色包含的權(quán)限包括直接授予這個角色的全部權(quán)限加上其他角色授予這個角色的全部權(quán)限 4 2數(shù)據(jù)庫安全性控制 四 角色權(quán)限的收回REVOKE ONFROM 用戶可以回收角色的權(quán)限 從而修改角色擁有的權(quán)限 REVOKE動作的執(zhí)行者或者是角色的創(chuàng)建者 或者擁有在這個 些 角色上的ADMINOPTION 4 2數(shù)據(jù)庫安全性控制 例11 通過角色來實現(xiàn)將一組權(quán)限授予一個用戶 步驟如下1 首先創(chuàng)建一個角色Rl CREATEROLERl2 然后使用GRANT語句 使角色Rl擁有Student表的SELECT UPDATE INSERT權(quán)限GRANTSELECT UPDATE INSERTONTABLEStudentTOR13 將這個角色授予王平 張明 趙玲 使他們具有角色Rl所包含的全部權(quán)限GRANTRlTO王平 張明 趙玲4 當然 也可以一次性的通過R1來回收王平的這3個權(quán)限REVOKERlFROM王平 4 2數(shù)據(jù)庫安全性控制 例12 角色的權(quán)限修改GRANTDELETEONTABLEStudentTORl使角色Rl在原來的基礎(chǔ)上增加了Student表的DELETE權(quán)限 例13 收回R1對Student表的查詢權(quán)限REVOKESELECTONTABLEStudentFROMRl可以看出 通過角色的使用可以使自主授權(quán)的執(zhí)行更加靈活 方便 4 2數(shù)據(jù)庫安全性控制 4 2數(shù)據(jù)庫安全性控制 自主存取控制能夠通過授權(quán)機制有效地控制其他用戶對敏感數(shù)據(jù)的存取 但仍可能造成數(shù)據(jù)的 無意泄露 造成這一問題的根本原因就在于這種機制僅僅通過對數(shù)據(jù)的存取權(quán)限來進行安全控制 而數(shù)據(jù)本身并無標記 要解決這一問題 就需要對系統(tǒng)控制下的所有主客體實施強制存取策略 4 2數(shù)據(jù)庫安全性控制 六 強制存取控制 MAC 方法在強制存取方法中 每一個數(shù)據(jù)對象被標以一定的密級 每一個用戶也被授予某一級別的許可證 對于任一對象 只有具有合法許可證的用戶才可以存取 強制存取控制因此比較嚴格 MAC適用于那些對數(shù)據(jù)有嚴格而固定密級分類的部門 例如軍事部門或政府部門 在MAC中 DBMS所管理的全部實體被分為主體和客體兩大類 主體是系統(tǒng)中的活動實體 既包括DBMS所管理的實際用戶 也包括代表用戶的各進程 客體是系統(tǒng)中被動的實體 是受主體操縱的 包括文件 基表 索引 視圖等 4 2數(shù)據(jù)庫安全性控制 對于主體和客體 DBMS為它們每個實例 值 指派一個敏感度標記 Label 敏感度標記 Label 被分成若干級別 例如絕密 TopSecret 機密 Secret 可信 Confidential 公開 Public 等 主體的敏感度標記稱為許可證級別 ClearanceLevel 客體的敏感度標記稱為密級 ClassificationLevel MAC機制就是通過對比主體的Level和客體的Level 最終確定主體是否能夠存取客體 4 2數(shù)據(jù)庫安全性控制 當某一用戶 或某一主體 以標記Label注冊入系統(tǒng)時 系統(tǒng)要求他對任何客體的存取必須遵守如下規(guī)則 僅當主體的許可證級別大于或等于客體的密級時 該主體才能讀取客體 僅當主體的許可證級別等于客體的密級時 該主體才能寫相應(yīng)客體 對于第二條規(guī)則在某些系統(tǒng)中規(guī)定 僅當主體的許可證級別小于或等于客體的密級時 該主體才能寫相應(yīng)客體 即用戶可以為寫入的數(shù)據(jù)對象賦予高于自己的許可證級別的密級 這樣一旦數(shù)據(jù)被寫入 該用戶自己也不能再讀該數(shù)據(jù)對象了 4 2數(shù)據(jù)庫安全性控制 寫規(guī)則禁止了擁有高許可證級別的主體更新密級低的數(shù)據(jù)對象 強制存取控制 MAC 是對數(shù)據(jù)本身進行密級標記 無論數(shù)據(jù)如何復制 標記與數(shù)據(jù)是一個不可分的整體 只有復合密級標記要求的用戶才可以操縱數(shù)據(jù) 從而提供了更高級別的安全性 4 2數(shù)據(jù)庫安全性控制 因較高安全性級別提供的安全保護要包含較低級別的所有保護要求 因此在實現(xiàn)MAC時要首先實現(xiàn)DAC 即DAC與MAC共同構(gòu)成DBMS的安全機制 系統(tǒng)首先進行DAC檢查 對通過DAC檢查的允許存取的數(shù)據(jù)對象再由系統(tǒng)自動進行MAC檢查 只有通過MAC檢查的數(shù)據(jù)對象方可存取 SQL語法分析 語義檢查 DAC檢查MAC檢查 繼續(xù)語義檢查 安全檢查 DAC MAC安全檢查示意圖 4 3視圖機制 進行存取權(quán)限控制時可以為不同的用戶定義不同的視圖 把數(shù)據(jù)對象限制在一定的范圍內(nèi) 也就是說 通過視圖機制把要保密的數(shù)據(jù)對無權(quán)存取的用戶隱藏起來 從而自動地對數(shù)據(jù)提供一定程度的安全保護 例如只允許王平檢索計算機系學生的信息 則可以先建立計算機系學生的視圖 然后把對視圖的查詢權(quán)限授予王平 CREATEVIEWCS StudentASSELECT FROMStudentWHERESdept CS GRANTSELECTONCS StudentTo王平 4 4審計 Audit 審計功能把用戶對數(shù)據(jù)庫的所有操作自動記錄下來放入審計日志 AuditLog 中 DBA可以利用審計跟蹤的信息 重現(xiàn)導致數(shù)據(jù)庫現(xiàn)狀的一系列事件 找出非法存取數(shù)據(jù)的人 時間和內(nèi)容等 審計通常是很費時間和空間的 所以DBMS往往都將其作為可選特征 允許DBA根據(jù)應(yīng)用對安全性要求靈活地打開或關(guān)閉審計功能 審計功能一般主要用于安全性要求較高的部門 審計一般可分為用戶級審計和系統(tǒng)級審計 用戶審計是任何用戶可設(shè)置的審計 主要是用戶針對自己創(chuàng)建的數(shù)據(jù)庫表或視圖進行審計 記錄所有用戶對這些表或視圖的一切成功和 或 不成功的訪問要求以及各種類型的SQL操作 4 4審計 Audit 系統(tǒng)級審計只能由DBA設(shè)置 用以監(jiān)測成功或失敗的登錄要求 監(jiān)測GRANT和REVOKE操作以及其他數(shù)據(jù)庫級權(quán)限下的操作 AUDIT語句用來設(shè)置審計功能 NOAUDlT語句取消審計功能 例15 對修改SC表結(jié)構(gòu)或修改SC表數(shù)據(jù)的操作進行審計 AUDITALTER UPDATEONSC 例16 取消對SC表的一切審計 NOAUDITALTER UPDATEONSC審計設(shè)置以及審計內(nèi)容一般都存放在數(shù)據(jù)字典中 必須把審計開關(guān)打開 即把系統(tǒng)參數(shù)audit trail設(shè)為true 才可以在系統(tǒng)表SYS AUDITTRAIL中查看審計信息 4 5數(shù)據(jù)加密 對于高度敏感數(shù)據(jù) 例如財務(wù)數(shù)據(jù) 軍事數(shù)據(jù) 國家機密 除以上安全性措施外 還可以采用數(shù)據(jù)加密技術(shù) 數(shù)據(jù)加密是防止數(shù)據(jù)庫中數(shù)據(jù)在存取和傳輸中失密的有效手段 加密的基本思想是根據(jù)一定的算法將原始數(shù)據(jù) 術(shù)語為明文 Plaintext 變換為不可直接識別的格式 術(shù)語為密文 Ciphertext 從而使得不知道解密算法的人無法獲知數(shù)據(jù)內(nèi)容 加密方法有兩種 一種是替換法 該方法使用密匙 EncryptionKey 將明文中的每個字符轉(zhuǎn)換為密文中的一個字符 另一種方法是置換法 該方法僅將明文的字符按不同的順序重新排列 單獨使用這兩種方法的任意一種都是不夠安全的 但是將這兩種方法結(jié)合起來就能提供相當高的安全程度 4 5數(shù)據(jù)加密 采用這種結(jié)合算法的例子是美國1977年制定的官方加密標準 數(shù)據(jù)加密標準 DataEncryptionStandard 簡稱DES 目前有些數(shù)據(jù)庫產(chǎn)品提供了數(shù)據(jù)加密例行