大數(shù)據(jù)庫地安全系統(tǒng)性課程設計

1、課程設計說明書課程名稱：數(shù)據(jù)庫安全學生姓名：東曉洋學生班級：KT974-1扌旨導老師： 完成時間：2011-01-10 至 201-01-15目 錄計算機安全性概論文案大全1討論計算機安全性的目的 22計算機系統(tǒng)的定義和三類安全性問題2.1三類計算機系統(tǒng)安全性問題 23可信計算機系統(tǒng)評測標準3.1桔皮書 23.2紫皮書 33.3 TDI/TCSEC標準的基本內(nèi)容 33.4四組(division)七個等級 4二數(shù)據(jù)庫安全性控制1數(shù)據(jù)庫安全 52數(shù)據(jù)庫安全性控制的常用方法2.1用戶標識與鑒別 62.2存取控制 72.3視圖機制 82.4 審計(Audit) 82.5數(shù)據(jù)加密 88三統(tǒng)計數(shù)據(jù)庫安全性

2、1統(tǒng)計數(shù)據(jù)庫中特殊的安全性問題 82 Oracle數(shù)據(jù)庫的安全性措施2.1用戶標識和鑒定 92.2授權(quán)與檢查機制 92.3 Oracle 審計 92.4用戶定義的安全性措施 10四小結(jié)一計算機安全性概論1討論計算機安全性的目的（包括操作系統(tǒng)、網(wǎng)為何要討論計算機安全性？數(shù)據(jù)庫的安全性與計算機系統(tǒng)絡系統(tǒng)等）的安全性密切相關(guān)，相互支持的。2計算機系統(tǒng)的定義和三類安全性問題為計算機系統(tǒng)建立和采取的各種安全保護措施，以保護計算機系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。2.1三類計算機系統(tǒng)安全性問題a）技術(shù)安全指計算機系統(tǒng)中采用具有一定安全性的硬件、軟件來實

3、現(xiàn)對計算機系統(tǒng)及其所存數(shù)據(jù)的安全保護，當計算機系統(tǒng)受到無意或惡意的攻擊時仍能保證系統(tǒng)正常運行，保證系統(tǒng)內(nèi)的數(shù)據(jù)不增加、不丟失、不泄露。b）管理安全軟硬件意外故障、場地的意外事故、管理不善導致的計算機設備和數(shù)據(jù)介質(zhì)的物理破壞、丟失等安全問題c）政策法律類政府部門建立的有關(guān)計算機犯罪、數(shù)據(jù)安全保密的法律道德準則和政策法規(guī)、法令3可信計算機系統(tǒng)評測標準為降低進而消除對系統(tǒng)的安全攻擊，各國引用或制定了一系列安全標準3.1桔皮書1985年美國國防部（DoD正式頒布DoD可信計算機系統(tǒng)評估標準（簡稱TCSEC或 DoD85TCSEC又稱桔皮書TCSEC標準的目的1) 提供一種標準，使用戶可以對其計算機系統(tǒng)

4、內(nèi)敏感信息安全操作的可信程度做評估。2) 給計算機行業(yè)的制造商提供一種可循的指導規(guī)則，使其產(chǎn)品能夠更好地滿足敏感應用的安全需求。3.2紫皮書1991年4月美國NCS(國家計算機安全中心)頒布了可信計算機系統(tǒng)評估標準關(guān)于可信數(shù)據(jù)庫系統(tǒng)的解釋( Trusted Database Interpretation簡稱TDI)TDI又稱紫皮書。它將 TCSECT展到數(shù)據(jù)庫管理系統(tǒng)。TDI中定義了數(shù)據(jù)庫管理系統(tǒng)的設計與實現(xiàn)中需滿足和用以進行安全性級別評估的標準。3.3 TDI/TCSEC 標準的基本內(nèi)容TDI與TCSEC-樣，從四個方面來描述安全性級別劃分的指標安全策略責任保證文檔R1 安全策略(Secur

5、ity Policy )R1.1 自主存取控制(Discretionary Access Control，簡記為 DACR1.2 客體重用(Object Reuse )R1.3 標記(Labels)R1.4 強制存取控制(Mandatory Access Control，簡記為 MACR2 責任(Accountability)R2.1 標識與鑒別(Identification & Authentication)R2.2 審計(Audit)R3 保證(Assuranee )R3.1 操作保證(Operational Assuranee)R3.2 生命周期保證(Life Cycle Ass

6、uraneeR4 文檔(Doeumentation )R4.1 安全特性用戶指南(Security Features User's Guide )R4.2 可信設施手冊(Trusted Facility Manual)R4.3 測試文檔(Test Doeumentation )R4.4 設計文檔(Design Doeumentation3.4四組(division)七個等級« D« C( C1, C2)« B( B1, B2, B3)« A( A1)按系統(tǒng)可靠或可信程度逐漸增高各安全級別之間具有一種偏序向下兼容的關(guān)系，即較高安全性級別提供的安全保

7、護要包含較低級別的所有保護要求，同時提供更多或更完善的保護能力。對等級做簡略的介紹D級：最低級別，一切不符合更高標準的系統(tǒng)C1級：能夠?qū)崿F(xiàn)對用戶和數(shù)據(jù)的分離，進行自主存取控制(DAC)，保護或限制用戶權(quán)限的傳播。注：該級別的產(chǎn)品不是安全產(chǎn)品。C2級：是安全產(chǎn)品的最低檔次，提供受控的存取保護。女口： Windows NT3.5 ，Oraele7 ， Sybase SQL Server 11.0.6。 注：該級別的產(chǎn)品不貼安全標記。B1級：標記安全保護。對系統(tǒng)數(shù)據(jù)加以標記，并對標記的主體和客體實施強制存取控 制(MAC)和審計等安全機制。注：該級別的產(chǎn)品認為是真正意義上安全產(chǎn)品的最低級別。B2級：

8、結(jié)構(gòu)化保護。建立形式化的安全策略模型，并對系統(tǒng)內(nèi)的所有主體和客體實施DAC和MAC。注：經(jīng)過認證的、B2級以上的安全系統(tǒng)非常稀少。B3級：安全域。該級別的 TCB必須滿足訪問監(jiān)控器的要求，審計跟蹤能力更強，并提 供系統(tǒng)恢復過程。A1級：驗證設計。除具有 B3級的要求外，還要給出系統(tǒng)的形式化設計說明和驗證，以 確保各安全保護真正實現(xiàn)。二數(shù)據(jù)庫安全性控制1數(shù)據(jù)庫安全是指保護數(shù)據(jù)庫，防止因用戶非法使用數(shù)據(jù)庫造成數(shù)據(jù)泄漏、更改或破壞。數(shù)據(jù)庫的一大特點是數(shù)據(jù)可以共享，但數(shù)據(jù)共享必然帶來數(shù)據(jù)庫的安全性問題，數(shù)據(jù)庫系中的數(shù)據(jù)共享不能是無條件的共享。例：軍事秘密、國家機密、新產(chǎn)品試驗數(shù)據(jù)、銷售計劃、客戶檔案、

9、醫(yī)療檔案、銀 行儲蓄數(shù)據(jù)非法使用數(shù)據(jù)庫的情況用戶編寫一段合法的程序繞過DBMS及其授權(quán)機制，通過操作系統(tǒng)直接存取、修改或備份數(shù)據(jù)庫中的數(shù)據(jù)直接或編寫應用程序執(zhí)行非授權(quán)操作通過多次合法查詢數(shù)據(jù)庫從中推導出一些保密數(shù)據(jù)破壞安全性的行為可能是無意的，故意的，惡意的。2數(shù)據(jù)庫安全性控制的常用方法用戶標識和鑒定存取控制視圖審計密碼加密2.1用戶標識與鑒別是系統(tǒng)提供的最外層安全保護措施基本方法1）系統(tǒng)提供一定的方式讓用戶標識自己的名字或身份；2）系統(tǒng)內(nèi)部記錄著所有合法用戶的標識；3）每次用戶要求進入系統(tǒng)時，有系統(tǒng)核對用戶提供的身份標識；4）通過鑒定后才提供機器使用權(quán)。5）用戶標志和鑒定可以重復多次用戶標識

10、自己的名字或身份a）用戶名/ 口令（簡單易行，容易被人竊取b）每個用戶預先約定好一個計算過程或者函數(shù)c）系統(tǒng)提供一個隨機數(shù)d）用戶根據(jù)自己預先約定的計算過程或者函數(shù)進行計算e）系統(tǒng)根據(jù)用戶計算結(jié)果是否正確鑒定用戶身份2.2存取控制存取控制機制的功能、組成存取控制機制的功能：確保只授權(quán)給有資格的用戶訪問數(shù)據(jù)庫的權(quán)限，同時令所有 未被授權(quán)的人員無法接近數(shù)據(jù)。存取控制機制的組成定義存取權(quán)限在數(shù)據(jù)庫系統(tǒng)中，為了保證用戶只能訪問他有權(quán)存取的數(shù)據(jù)，必須預先 對每個用戶定義存取權(quán)限。檢查存取權(quán)限對于通過鑒定獲得上機權(quán)的用戶（即合法用戶），系統(tǒng)根據(jù)他的存取限定義對他的各種操作請求進行控制，確保他只執(zhí)行合法操作

11、。用戶權(quán)限定義和合法權(quán)檢查機制一起組成了DBMS勺安全子系統(tǒng)222 常用存取控制方法：DAC MAC自主存取控制（Discretionary Access Control，簡稱 DACC2級靈活方法同一用戶對于不同的數(shù)據(jù)對象有不同的存取權(quán)限不同的用戶對同一對象也有不同的權(quán)限用戶還可將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶優(yōu)點能夠通過授權(quán)機制有效地控制其他用戶對敏感數(shù)據(jù)的存取缺點可能存在數(shù)據(jù)的“無意泄露”原因：這種機制僅僅通過對數(shù)據(jù)的存取權(quán)限來進行安全控制，而數(shù)據(jù)本身 并無安全性標記。解決：對系統(tǒng)控制下的所有主客體實施強制存取控制策略強制存取控制（Mandatory Access Control，簡稱

12、MAC）B1級嚴格方法每一個數(shù)據(jù)對象被標以一定的密級 每一個用戶也被授予某一個級別的許可證 對于任意一個對象，只有具有合法許可證的用戶才可以存取優(yōu)點對數(shù)據(jù)本身進行秘密級標記， 無論數(shù)據(jù)如何復制，標記與數(shù)據(jù)是一個不可分 割的整體，只有符合密級標記要求的用戶才可以操縱數(shù)據(jù)，從而提供了更高級別的安全性。2.3視圖機制進行存取權(quán)限控制時可以為不同的用戶定義不同的視圖，把數(shù)據(jù)對象限制在一定的范 圍內(nèi)，也就是說，通過視圖機制把要保密的數(shù)據(jù)對無權(quán)存取的用戶隱藏起來，從而自 動地對數(shù)據(jù)提供一定程度的安全保護。視圖機制間接地實現(xiàn)了支持存取謂詞的用戶權(quán)限定義。2.4 審計(Audit)“審計”功能是 DBMS到C

13、2以上安全級別必不可少的一項指標。審計功能把用戶對數(shù)據(jù)庫的所有操作自動記錄下來放入審計日志(Audit Log)中。DBA可以利用審計跟蹤的信息，重現(xiàn)導致數(shù)據(jù)庫現(xiàn)有狀況的一系列事件，找出非法存取數(shù)據(jù) 的人、時間和內(nèi)容等。審計通常是很費時間和空間的，所以DBM卑往都將其作為可選特征，允許DDA根據(jù)應用對安全性的要求，靈活地打開或關(guān)閉審計功能。審計功能一般主要用于安全性要求較 高的部門。2.5數(shù)據(jù)加密對高度敏感的數(shù)據(jù)采用數(shù)據(jù)加密技術(shù)。是防止數(shù)據(jù)庫中數(shù)據(jù)在存儲和傳輸中失密的有效手段。方法：替換：將明文中的每一個字符轉(zhuǎn)換為密文中的一個字符。置換：將明文的字符按不同的順序重新排列?；旌希嚎梢蕴峁┫喈敻叩?/p>

14、安全度例：美國1977年制定的官方加密標準，數(shù)據(jù)加密標準（Data Encryption Standard , DES對數(shù)據(jù)加密和解密也是比較費時的操作，加密解密程序也會占用系統(tǒng)大量的資源。因此此功能作為可選特征，允許用戶自由選擇。三統(tǒng)計數(shù)據(jù)庫安全性1統(tǒng)計數(shù)據(jù)庫中特殊的安全性問題一般地，統(tǒng)計數(shù)據(jù)庫 允許用戶查詢聚集類型的信息 （例如合計、乎均值等），但是不允 許查詢單個記錄信息。例如：查詢“程序員的平均工資是多少 ？” 一一合法。查詢“程序員張勇的工資是多少 ？” 一一非法。在統(tǒng)計數(shù)據(jù)庫中存在著特殊的安全性問題，即可能存在著隱蔽的信息通道，使得可以從合法的查詢中推導出不合法的信息。例如：本公司

15、共有多少女高級程序員？-合法。本公司女高級程序員的工資總額是多少？-合法。如果第1個查詢的結(jié)果是“ 1”，那么第2個查詢的結(jié)果顯然就是這個程序員的工資數(shù)。 這樣統(tǒng)計數(shù)據(jù)庫的安全性機制就失效了。為了解殃這個問題，可以規(guī)定 任何查詢至少要涉及 N個以上的記錄（N足夠大）。但是 即使這樣，還是存在另外的泄密途徑，看下面的例子：某個用戶A想知道另一用戶 B的工資數(shù)額他可以通過下列兩個合法查詢獲?。?用戶A和其他N個程序員的工資總額是多少？.用戶B和其他N個程序員的工資總額是多少 ？假設第1個查詢的結(jié)果是 X,第2個查詢的結(jié)果是 Y自己的工資是Z,那么他可以計算 出用戶B的工資=Y-(X-Z)；這個例子

16、的關(guān)鍵之處在于兩個查詢之間有很多重復的數(shù)據(jù)項(即其他N個程序員的工資)。因此可以再規(guī)定任意兩個查詢的相交數(shù)據(jù)項不能超過M個。這樣就使得獲取他人的數(shù)據(jù)更加困難了?？梢宰C明，在上述兩條規(guī)定下，如果想獲知用戶 B的工資額，用戶A至少需要進行1+(N-2)/M 次查詢。當然可以繼續(xù)規(guī)定任一用戶的查詢次數(shù)不能超過1+(N-2)/M ，但是如果兩個用戶合作查詢就可以使這一規(guī)定仍然失效。另外還有其他一些方法用于解決統(tǒng)計數(shù)據(jù)庫的安全性問題，例如數(shù)據(jù)污染。但是無論采用什么安全性機制，都仍然會存在繞過這些機制的造徑。好的安全性措施應該使得那些試圖破壞安全的入所花費的代價遠遠超過他們所得到的利益，這也是整個數(shù)據(jù)庫安

17、全機制設計的目標。2 Oracle數(shù)據(jù)庫的安全性措施2.1用戶標識和鑒定在Oracle中，最外層的安全性措施是讓用戶標識自己的名字，然后由系統(tǒng)進行核實。Oracle允許用戶重復標識三次，如果三次未通過，系統(tǒng)自動退出。2.2授權(quán)與檢查機制Oracle的權(quán)限包括 系統(tǒng)權(quán)限和數(shù)據(jù)庫對象的權(quán)限兩類，采用 非集中的授權(quán)機制(分散控制方式)，即DBA負責授予與回收系統(tǒng)權(quán)限，每個用戶授予與回收自己創(chuàng)建的數(shù) 據(jù)庫對象的權(quán)限(但不允許循環(huán)授權(quán))。Oracle允許重復授權(quán)，即可將某一權(quán)限多次授予同一用戶，系統(tǒng)不會出錯。Oracle也允許無效回收，即用戶沒有某種權(quán)限，但回收此權(quán)限的操作仍算成功。2.3 Oracle

18、 的審計技術(shù)用戶級審計 是任何Oracle用戶可設置的審計，主要是用戶針對自己創(chuàng)建的數(shù)據(jù)庫表或視 圖進行審計，記錄所有用戶對這些表或視圖的一切成功和(或)不成功的訪問要求以及各種類型的SQL操作。系統(tǒng)級審計 只能由DBA設置，用以監(jiān)測成功或失敗的登錄要求、監(jiān)測GMNT和REvOKE操作以及其他數(shù)據(jù)庫級權(quán)限下的操作。Oracle的審計功能很靈活，是否使用審計，對哪些表進行審計，對哪些些操作進行審計等都可以由用戶選擇。為此，Oracle提供了 AUDIT語句設置審計功能，NOAUDIT語句取 消審計功能。設置審計時，可以詳細指定對哪些SQL操作進行審計。如：AUDIT ALTER, UPDATE ON SC;NOAUDIT ALL ON SC;2.4用戶定義的安全性措施Oracle還允許用戶用數(shù)據(jù)庫觸發(fā)器定義特殊的更復雜的用戶級安全性措施。例：規(guī)定只能在工作時間內(nèi)更新Student表。CREATE 0R REPLACE TRIGGER secure_stude ntBEFORE INSERT OR UPDATE OR DELETE ON Stude ntBEGINIF(TO_CHAR(sysdate,'DY') IN (&