數(shù)據(jù)庫(kù)的安全性課程設(shè)計(jì)

1、課程設(shè)計(jì)說(shuō)明書(shū)課程名稱：數(shù)據(jù)庫(kù)安全學(xué)生姓名：東曉洋學(xué)生班級(jí)： KT974-1指導(dǎo)老師：袁科完成時(shí)間： 2011-01-10 至 201-01-15目錄一 計(jì)算機(jī)安全性概論1 算機(jī)安全性的目的22 算機(jī)系 的定 和三 安全性 2.1 三 算機(jī)系 安全性 23 可信 算機(jī)系 準(zhǔn)3.1桔皮 23.2紫皮 33.3 TDI/TCSEC 準(zhǔn)的基本內(nèi)容 33.4四 (division)七個(gè)等 4二 數(shù)據(jù)庫(kù)安全性控制1 數(shù)據(jù) 安全52 數(shù)據(jù) 安全性控制的常用方法2.1用 與 62.2存取控制72.3 機(jī)制 82.4 （ Audit ）82.5數(shù)據(jù)加密88 三 統(tǒng)計(jì)數(shù)據(jù)庫(kù)安全性1 數(shù)據(jù) 中特殊的安全性 82

2、Oracle數(shù)據(jù) 的安全性措施2.1用 和 定92.2授 與 機(jī)制 92.3 Oracle 92.4用 定 的安全性措施 10四 小結(jié)一 計(jì)算機(jī)安全性概論1 算機(jī)安全性的目的為何要討論計(jì)算機(jī)安全性？數(shù)據(jù)庫(kù)的安全性與計(jì)算機(jī)系統(tǒng)（包括操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)等）的安全性密切相關(guān)，相互支持的。2 計(jì)算機(jī)系統(tǒng)的定義和三類安全性問(wèn)題為計(jì)算機(jī)系統(tǒng)建立和采取的各種安全保護(hù)措施，以保護(hù)計(jì)算機(jī)系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。2.1 三類計(jì)算機(jī)系統(tǒng)安全性問(wèn)題a) 技術(shù)安全指計(jì)算機(jī)系統(tǒng)中采用具有一定安全性的硬件、 軟件來(lái)實(shí)現(xiàn)對(duì)計(jì)算機(jī)系統(tǒng)及其所存數(shù)據(jù)的安全保護(hù)， 當(dāng)計(jì)

3、算機(jī)系統(tǒng)受到無(wú)意或惡意的攻擊時(shí)仍能保證系統(tǒng)正常運(yùn)行，保證系統(tǒng)內(nèi)的數(shù)據(jù)不增加、不丟失、不泄露。b) 管理安全軟硬件意外故障、 場(chǎng)地的意外事故、 管理不善導(dǎo)致的計(jì)算機(jī)設(shè)備和數(shù)據(jù)介質(zhì)的物理破壞、丟失等安全問(wèn)題c) 政策法律類政府部門建立的有關(guān)計(jì)算機(jī)犯罪、數(shù)據(jù)安全保密的法律道德準(zhǔn)則和政策法規(guī)、法令3 可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)標(biāo)準(zhǔn)為降低進(jìn)而消除對(duì)系統(tǒng)的安全攻擊，各國(guó)引用或制定了一系列安全標(biāo)準(zhǔn)3.1 桔皮書(shū)1985 年美國(guó)國(guó)防部 （DoD）正式頒布 DoD 可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)（簡(jiǎn)稱 TCSEC或 DoD85）TCSEC又稱桔皮書(shū)TCSEC標(biāo)準(zhǔn)的目的1) 提供一種標(biāo)準(zhǔn)，使用戶可以對(duì)其計(jì)算機(jī)系統(tǒng)內(nèi)敏感信息安全操

4、作的可信程度做評(píng)估。2) 給計(jì)算機(jī)行業(yè)的制造商提供一種可循的指導(dǎo)規(guī)則，使其產(chǎn)品能夠更好地滿足敏感應(yīng)用的安全需求。3.2 紫皮書(shū)1991 年 4 月美國(guó) NCSC（國(guó)家計(jì)算機(jī)安全中心）頒布了可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)關(guān)于可信數(shù)據(jù)庫(kù)系統(tǒng)的解釋（Trusted Database Interpretation簡(jiǎn)稱 TDI）TDI 又稱紫皮書(shū)。它將TCSEC擴(kuò)展到數(shù)據(jù)庫(kù)管理系統(tǒng)。TDI 中定義了數(shù)據(jù)庫(kù)管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)中需滿足和用以進(jìn)行安全性級(jí)別評(píng)估的標(biāo)準(zhǔn)。3.3 TDI/TCSEC 標(biāo)準(zhǔn)的基本內(nèi)容TDI 與 TCSEC一樣，從四個(gè)方面來(lái)描述安全性級(jí)別劃分的指標(biāo)安全策略責(zé)任保證文檔R1安全策略（ Secu

5、rity Policy）R1.1 自主存取控制（ Discretionary Access Control，簡(jiǎn)記為 DAC）R1.2客體重用（ Object Reuse ）R1.3標(biāo)記（ Labels ）R1.4強(qiáng)制存取控制（ Mandatory Access Control，簡(jiǎn)記為 MAC）R2責(zé)任（ Accountability）R2.1標(biāo)識(shí)與鑒別（ Identification & Authentication）R2.2 審計(jì)（ Audit ）R3保證（ Assurance ）R3.1操作保證（ Operational Assurance）R3.2生命周期保證（ Life Cycle A

6、ssuranceR4文檔（ Documentation ）R4.1安全特性用戶指南（ Security Features Users Guide）R4.2可信設(shè)施手冊(cè)（ Trusted Facility Manual）R4.3測(cè)試文檔（ Test Documentation ）R4.4設(shè)計(jì)文檔（ Design Documentation3.4 四組 (division)七個(gè)等級(jí)DC（ C1， C2）B（ B1， B2， B3）A（ A1）按系統(tǒng)可靠或可信程度逐漸增高各安全級(jí)別之間具有一種偏序向下兼容的關(guān)系，即較高安全性級(jí)別提供的安全保護(hù)要包含較低級(jí)別的所有保護(hù)要求，同時(shí)提供更多或更完善的保護(hù)能

7、力。對(duì)等級(jí)做簡(jiǎn)略的介紹D 級(jí)：最低級(jí)別，一切不符合更高標(biāo)準(zhǔn)的系統(tǒng)C1 級(jí)：能夠?qū)崿F(xiàn)對(duì)用戶和數(shù)據(jù)的分離，進(jìn)行自主存取控制(DAC)，保護(hù)或限制用戶權(quán)限的傳播。注：該級(jí)別的產(chǎn)品不是安全產(chǎn)品。C2 級(jí)：是安全產(chǎn)品的最低檔次，提供受控的存取保護(hù)。如： Windows NT 3.57 ， Sybase SQL Server 11.0.6。 注：該級(jí)別的產(chǎn)品不貼安全標(biāo)記。， OracleB1 級(jí)：標(biāo)記安全保護(hù)。對(duì)系統(tǒng)數(shù)據(jù)加以標(biāo)記，并對(duì)標(biāo)記的主體和客體實(shí)施強(qiáng)制存取控制 (MAC)和審計(jì)等安全機(jī)制。注：該級(jí)別的產(chǎn)品認(rèn)為是真正意義上安全產(chǎn)品的最低級(jí)別。B2 級(jí)：結(jié)構(gòu)化保護(hù)。 建立形式化的安全策略模型， 并對(duì)系統(tǒng)

8、內(nèi)的所有主體和客體實(shí)施 DAC 和 MAC 。 注：經(jīng)過(guò)認(rèn)證的、 B2 級(jí)以上的安全系統(tǒng)非常稀少。B3 級(jí)：安全域。該級(jí)別的TCB 必須滿足訪問(wèn)監(jiān)控器的要求，審計(jì)跟蹤能力更強(qiáng)，并提供系統(tǒng)恢復(fù)過(guò)程。A1 級(jí)：驗(yàn)證設(shè)計(jì)。除具有B3 級(jí)的要求外，還要給出系統(tǒng)的形式化設(shè)計(jì)說(shuō)明和驗(yàn)證，以確保各安全保護(hù)真正實(shí)現(xiàn)。二 數(shù)據(jù)庫(kù)安全性控制1 數(shù)據(jù)庫(kù)安全 是指保護(hù)數(shù)據(jù)庫(kù)，防止因用戶非法使用數(shù)據(jù)庫(kù)造成數(shù)據(jù)泄漏、更改或破壞。數(shù)據(jù)庫(kù)的一大特點(diǎn)是數(shù)據(jù)可以共享，但數(shù)據(jù)共享必然帶來(lái)數(shù)據(jù)庫(kù)的安全性問(wèn)題，數(shù)據(jù)庫(kù)系中的數(shù)據(jù)共享不能是無(wú)條件的共享。例：軍事秘密、國(guó)家機(jī)密、新產(chǎn)品試驗(yàn)數(shù)據(jù)、銷售計(jì)劃、客戶檔案、醫(yī)療檔案、銀行儲(chǔ)蓄數(shù)據(jù)非法

9、使用數(shù)據(jù)庫(kù)的情況用戶編寫(xiě)一段合法的程序繞過(guò)DBMS及其授權(quán)機(jī)制，通過(guò)操作系統(tǒng)直接存取、修改或備份數(shù)據(jù)庫(kù)中的數(shù)據(jù)直接或編寫(xiě)應(yīng)用程序執(zhí)行非授權(quán)操作通過(guò)多次合法查詢數(shù)據(jù)庫(kù)從中推導(dǎo)出一些保密數(shù)據(jù)破壞安全性的行為可能是無(wú)意的，故意的，惡意的。2 數(shù)據(jù)庫(kù)安全性控制的常用方法用戶標(biāo)識(shí)和鑒定存取控制視圖審計(jì)密碼加密2.1 用戶標(biāo)識(shí)與鑒別是系統(tǒng)提供的最外層安全保護(hù)措施基本方法1) 系統(tǒng)提供一定的方式讓用戶標(biāo)識(shí)自己的名字或身份；2) 系統(tǒng)內(nèi)部記錄著所有合法用戶的標(biāo)識(shí)；3) 每次用戶要求進(jìn)入系統(tǒng)時(shí)，有系統(tǒng)核對(duì)用戶提供的身份標(biāo)識(shí)；4) 通過(guò)鑒定后才提供機(jī)器使用權(quán)。5) 用戶標(biāo)志和鑒定可以重復(fù)多次用戶標(biāo)識(shí)自己的名字或身

10、份a) 用戶名 / 口令（簡(jiǎn)單易行，容易被人竊取b) 每個(gè)用戶預(yù)先約定好一個(gè)計(jì)算過(guò)程或者函數(shù)c) 系統(tǒng)提供一個(gè)隨機(jī)數(shù)d) 用戶根據(jù)自己預(yù)先約定的計(jì)算過(guò)程或者函數(shù)進(jìn)行計(jì)算e) 系統(tǒng)根據(jù)用戶計(jì)算結(jié)果是否正確鑒定用戶身份2.2 存取控制2.2.1存取控制機(jī)制的功能、組成存取控制機(jī)制的功能：確保只授權(quán)給有資格的用戶訪問(wèn)數(shù)據(jù)庫(kù)的權(quán)限，同時(shí)令所有未被授權(quán)的人員無(wú)法接近數(shù)據(jù)。存取控制機(jī)制的組成定義存取權(quán)限在數(shù)據(jù)庫(kù)系統(tǒng)中，為了保證用戶只能訪問(wèn)他有權(quán)存取的數(shù)據(jù)，必須預(yù)先對(duì)每個(gè)用戶定義存取權(quán)限。檢查存取權(quán)限對(duì)于通過(guò)鑒定獲得上機(jī)權(quán)的用戶（即合法用戶），系統(tǒng)根據(jù)他的存取限定義對(duì)他的各種操作請(qǐng)求進(jìn)行控制，確保他只執(zhí)行合

11、法操作。用戶權(quán)限定義和合法權(quán)檢查機(jī)制一起組成了DBMS的安全子系統(tǒng)2.2.2常用存取控制方法：DAC、 MAC自主存取控制（Discretionary Access Control，簡(jiǎn)稱 DAC）C2 級(jí)靈活方法同一用戶對(duì)于不同的數(shù)據(jù)對(duì)象有不同的存取權(quán)限不同的用戶對(duì)同一對(duì)象也有不同的權(quán)限用戶還可將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶優(yōu)點(diǎn)能夠通過(guò)授權(quán)機(jī)制有效地控制其他用戶對(duì)敏感數(shù)據(jù)的存取缺點(diǎn)可能存在數(shù)據(jù)的“無(wú)意泄露”原因：這種機(jī)制僅僅通過(guò)對(duì)數(shù)據(jù)的存取權(quán)限來(lái)進(jìn)行安全控制，而數(shù)據(jù)本身并無(wú)安全性標(biāo)記。解決：對(duì)系統(tǒng)控制下的所有主客體實(shí)施強(qiáng)制存取控制策略強(qiáng)制存取控制（Mandatory Access Contr

12、ol，簡(jiǎn)稱 MAC）B1 級(jí)嚴(yán)格方法每一個(gè)數(shù)據(jù)對(duì)象被標(biāo)以一定的密級(jí)每一個(gè)用戶也被授予某一個(gè)級(jí)別的許可證對(duì)于任意一個(gè)對(duì)象，只有具有合法許可證的用戶才可以存取優(yōu)點(diǎn)對(duì)數(shù)據(jù)本身進(jìn)行秘密級(jí)標(biāo)記，無(wú)論數(shù)據(jù)如何復(fù)制，標(biāo)記與數(shù)據(jù)是一個(gè)不可分割的整體， 只有符合密級(jí)標(biāo)記要求的用戶才可以操縱數(shù)據(jù)， 從而提供了更高級(jí)別的安全性。2.3 視圖機(jī)制進(jìn)行存取權(quán)限控制時(shí)可以為不同的用戶定義不同的視圖，把數(shù)據(jù)對(duì)象限制在一定的范圍內(nèi)，也就是說(shuō)，通過(guò)視圖機(jī)制把要保密的數(shù)據(jù)對(duì)無(wú)權(quán)存取的用戶隱藏起來(lái)，從而自動(dòng)地對(duì)數(shù)據(jù)提供一定程度的安全保護(hù)。視圖機(jī)制間接地實(shí)現(xiàn)了支持存取謂詞的用戶權(quán)限定義。2.4 審計(jì)（ Audit ）“審計(jì)”功能是D

13、BMS達(dá)到 C2以上安全級(jí)別必不可少的一項(xiàng)指標(biāo)。審計(jì)功能把用戶對(duì)數(shù)據(jù)庫(kù)的所有操作自動(dòng)記錄下來(lái)放入審計(jì)日志(AuditLog) 中。 DBA可以利用審計(jì)跟蹤的信息，重現(xiàn)導(dǎo)致數(shù)據(jù)庫(kù)現(xiàn)有狀況的一系列事件，找出非法存取數(shù)據(jù)的人、時(shí)間和內(nèi)容等。審計(jì)通常是很費(fèi)時(shí)間和空間的， 所以 DBMS往往都將其作為可選特征， 允許 DDA根據(jù)應(yīng)用對(duì)安全性的要求，靈活地打開(kāi)或關(guān)閉審計(jì)功能。審計(jì)功能一般主要用于安全性要求較高的部門。2.5 數(shù)據(jù)加密對(duì)高度敏感的數(shù)據(jù)采用數(shù)據(jù)加密技術(shù)。是防止數(shù)據(jù)庫(kù)中數(shù)據(jù)在存儲(chǔ)和傳輸中失密的有效手段。方法：替換：將明文中的每一個(gè)字符轉(zhuǎn)換為密文中的一個(gè)字符。置換：將明文的字符按不同的順序重新排列

14、?；旌希嚎梢蕴峁┫喈?dāng)高的安全度例：美國(guó) 1977 年制定的官方加密標(biāo)準(zhǔn)，數(shù)據(jù)加密標(biāo)準(zhǔn) （ Data EncryptionStandard ，DES）對(duì)數(shù)據(jù)加密和解密也是比較費(fèi)時(shí)的操作，加密解密程序也會(huì)占用系統(tǒng)大量的資源。因此此功能作為可選特征，允許用戶自由選擇。三 統(tǒng)計(jì)數(shù)據(jù)庫(kù)安全性1 統(tǒng)計(jì)數(shù)據(jù)庫(kù)中特殊的安全性問(wèn)題一般地， 統(tǒng)計(jì)數(shù)據(jù)庫(kù)允許用戶查詢聚集類型的信息( 例如合計(jì)、 乎均值等 ) ，但是 不允許查詢單個(gè)記錄信息。 例如： 查詢“程序員的平均工資是多少?” 合法。 查詢“程序員張勇的工資是多少?” 非法。在統(tǒng)計(jì)數(shù)據(jù)庫(kù)中存在著特殊的安全性問(wèn)題，即可能存在著隱蔽的信息通道，使得可以從合法的查詢

15、中推導(dǎo)出不合法的信息。例如：本公司共有多少女高級(jí)程序員？合法。本公司女高級(jí)程序員的工資總額是多少？合法。如果第 1 個(gè)查詢的結(jié)果是“ 1”，那么第2 個(gè)查詢的結(jié)果顯然就是這個(gè)程序員的工資數(shù)。這樣統(tǒng)計(jì)數(shù)據(jù)庫(kù)的安全性機(jī)制就失效了。為了解殃這個(gè)問(wèn)題，可以規(guī)定任何查詢至少要涉及N 個(gè)以上的記錄(N 足夠大 )。 但是即使這樣，還是存在另外的泄密途徑，看下面的例子：某個(gè)用戶A 想知道另一用戶B 的工資數(shù)額他可以通過(guò)下列兩個(gè)合法查詢獲?。河脩?A 和其他 N 個(gè)程序員的工資總額是多少？用戶 B 和其他 N 個(gè)程序員的工資總額是多少?假設(shè)第 1 個(gè)查詢的結(jié)果是X，第 2 個(gè)查詢的結(jié)果是Y 自己的工資是Z，那

16、么他可以計(jì)算出用戶 B 的工資 =Y-(X-Z) ；這個(gè)例子的關(guān)鍵之處在于兩個(gè)查詢之間有很多重復(fù)的數(shù)據(jù)項(xiàng)( 即其他 N個(gè)程序員的工資) 。因此可以再規(guī)定任意兩個(gè)查詢的相交數(shù)據(jù)項(xiàng)不能超過(guò)M個(gè) 。這樣就使得獲取他人的數(shù)據(jù)更加困難了?？梢宰C明，在上述兩條規(guī)定下，如果想獲知用戶B 的工資額， 用戶 A 至少需要進(jìn)行1+(N-2)/M次查詢。當(dāng)然可以繼續(xù)規(guī)定任一用戶的查詢次數(shù)不能超過(guò)1+(N-2)/M，但是如果兩個(gè)用戶合作查詢就可以使這一規(guī)定仍然失效。另外還有其他一些方法用于解決統(tǒng)計(jì)數(shù)據(jù)庫(kù)的安全性問(wèn)題，例如數(shù)據(jù)污染。但是無(wú)論采用什么安全性機(jī)制，都仍然會(huì)存在繞過(guò)這些機(jī)制的造徑。好的安全性措施應(yīng)該使得那些試

17、圖破壞安全的入所花費(fèi)的代價(jià)遠(yuǎn)遠(yuǎn)超過(guò)他們所得到的利益，這也是整個(gè)數(shù)據(jù)庫(kù)安全機(jī)制設(shè)計(jì)的目標(biāo)。2 Oracle數(shù)據(jù)庫(kù)的安全性措施2.1 用戶標(biāo)識(shí)和鑒定在 Oracle 中，最外層的安全性措施是讓用戶標(biāo)識(shí)自己的名字，然后由系統(tǒng)進(jìn)行核實(shí)。Oracle 允許用戶重復(fù)標(biāo)識(shí)三次，如果三次未通過(guò)，系統(tǒng)自動(dòng)退出。2.2 授權(quán)與檢查機(jī)制Oracle 的權(quán)限包括系統(tǒng)權(quán)限和 數(shù)據(jù)庫(kù)對(duì)象的權(quán)限兩類，采用非集中的授權(quán)機(jī)制（分散控制方式），即 DBA負(fù)責(zé)授予與回收系統(tǒng)權(quán)限，每個(gè)用戶授予與回收自己創(chuàng)建的數(shù)據(jù)庫(kù)對(duì)象的權(quán)限（但不允許循環(huán)授權(quán)）。Oracle 允許重復(fù)授權(quán)，即可將某一權(quán)限多次授予同一用戶，系統(tǒng)不會(huì)出錯(cuò)。Oracle

18、也允許無(wú)效回收，即用戶沒(méi)有某種權(quán)限，但回收此權(quán)限的操作仍算成功。2.3 Oracle的審計(jì)技術(shù)用戶級(jí)審計(jì)是任何 Oracle 用戶可設(shè)置的審計(jì)， 主要是用戶針對(duì)自己創(chuàng)建的數(shù)據(jù)庫(kù)表或視圖進(jìn)行審計(jì)， 記錄所有用戶對(duì)這些表或視圖的一切成功和 ( 或 ) 不成功的訪問(wèn)要求以及各種類型的 SQL操作。系統(tǒng)級(jí)審計(jì)只能由 DBA設(shè)置，用以監(jiān)測(cè)成功或失敗的登錄要求、監(jiān)測(cè)GMNT和REv0KE操作以及其他數(shù)據(jù)庫(kù)級(jí)權(quán)限下的操作。Oracle的審計(jì)功能很靈活，是否使用審計(jì)，對(duì)哪些表進(jìn)行審計(jì)，對(duì)哪些些操作進(jìn)行審計(jì)等都可以由用戶選擇。為此，Oracle 提供了 AUDIT 語(yǔ)句設(shè)置審計(jì)功能， NOAUDIT語(yǔ)句取消審計(jì)功能。設(shè)置審計(jì)時(shí)，可以詳細(xì)指定對(duì)哪些SQL 操作進(jìn)行審計(jì)。如：AUDIT ALTER, UPDATE ON SC;NOAUDIT ALL ON SC;2.4 用戶定義的安全性措施Oracle 還允許用戶用數(shù)據(jù)庫(kù)觸發(fā)器定義特殊的更復(fù)雜的用戶級(jí)安全性措施。例：規(guī)定只能在工作時(shí)間內(nèi)更新Student表。CREATE 0R REPLACE TRIGGER secure_studentBEFORE INSERT OR UPDATE OR DELETE ON St