大數(shù)據(jù)庫地安全系統(tǒng)性課程設(shè)計

1、課程設(shè)計說明書課程名稱：數(shù)據(jù)庫安全學(xué)生姓名：東曉洋學(xué)生班級：KT974-1扌旨導(dǎo)老師： 完成時間：2011-01-10 至 201-01-15目 錄計算機(jī)安全性概論文案大全1討論計算機(jī)安全性的目的 22計算機(jī)系統(tǒng)的定義和三類安全性問題2.1三類計算機(jī)系統(tǒng)安全性問題 23可信計算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)3.1桔皮書 23.2紫皮書 33.3 TDI/TCSEC標(biāo)準(zhǔn)的基本內(nèi)容 33.4四組(division)七個等級 4二數(shù)據(jù)庫安全性控制1數(shù)據(jù)庫安全 52數(shù)據(jù)庫安全性控制的常用方法2.1用戶標(biāo)識與鑒別 62.2存取控制 72.3視圖機(jī)制 82.4 審計(Audit) 82.5數(shù)據(jù)加密 88三統(tǒng)計數(shù)據(jù)庫安全性

2、1統(tǒng)計數(shù)據(jù)庫中特殊的安全性問題 82 Oracle數(shù)據(jù)庫的安全性措施2.1用戶標(biāo)識和鑒定 92.2授權(quán)與檢查機(jī)制 92.3 Oracle 審計 92.4用戶定義的安全性措施 10四小結(jié)一計算機(jī)安全性概論1討論計算機(jī)安全性的目的（包括操作系統(tǒng)、網(wǎng)為何要討論計算機(jī)安全性？數(shù)據(jù)庫的安全性與計算機(jī)系統(tǒng)絡(luò)系統(tǒng)等）的安全性密切相關(guān)，相互支持的。2計算機(jī)系統(tǒng)的定義和三類安全性問題為計算機(jī)系統(tǒng)建立和采取的各種安全保護(hù)措施，以保護(hù)計算機(jī)系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。2.1三類計算機(jī)系統(tǒng)安全性問題a）技術(shù)安全指計算機(jī)系統(tǒng)中采用具有一定安全性的硬件、軟件來實

3、現(xiàn)對計算機(jī)系統(tǒng)及其所存數(shù)據(jù)的安全保護(hù)，當(dāng)計算機(jī)系統(tǒng)受到無意或惡意的攻擊時仍能保證系統(tǒng)正常運行，保證系統(tǒng)內(nèi)的數(shù)據(jù)不增加、不丟失、不泄露。b）管理安全軟硬件意外故障、場地的意外事故、管理不善導(dǎo)致的計算機(jī)設(shè)備和數(shù)據(jù)介質(zhì)的物理破壞、丟失等安全問題c）政策法律類政府部門建立的有關(guān)計算機(jī)犯罪、數(shù)據(jù)安全保密的法律道德準(zhǔn)則和政策法規(guī)、法令3可信計算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)為降低進(jìn)而消除對系統(tǒng)的安全攻擊，各國引用或制定了一系列安全標(biāo)準(zhǔn)3.1桔皮書1985年美國國防部（DoD正式頒布DoD可信計算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)（簡稱TCSEC或 DoD85TCSEC又稱桔皮書TCSEC標(biāo)準(zhǔn)的目的1) 提供一種標(biāo)準(zhǔn)，使用戶可以對其計算機(jī)系統(tǒng)

4、內(nèi)敏感信息安全操作的可信程度做評估。2) 給計算機(jī)行業(yè)的制造商提供一種可循的指導(dǎo)規(guī)則，使其產(chǎn)品能夠更好地滿足敏感應(yīng)用的安全需求。3.2紫皮書1991年4月美國NCS(國家計算機(jī)安全中心)頒布了可信計算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)關(guān)于可信數(shù)據(jù)庫系統(tǒng)的解釋( Trusted Database Interpretation簡稱TDI)TDI又稱紫皮書。它將 TCSECT展到數(shù)據(jù)庫管理系統(tǒng)。TDI中定義了數(shù)據(jù)庫管理系統(tǒng)的設(shè)計與實現(xiàn)中需滿足和用以進(jìn)行安全性級別評估的標(biāo)準(zhǔn)。3.3 TDI/TCSEC 標(biāo)準(zhǔn)的基本內(nèi)容TDI與TCSEC-樣，從四個方面來描述安全性級別劃分的指標(biāo)安全策略責(zé)任保證文檔R1 安全策略(Secur

5、ity Policy )R1.1 自主存取控制(Discretionary Access Control，簡記為 DACR1.2 客體重用(Object Reuse )R1.3 標(biāo)記(Labels)R1.4 強(qiáng)制存取控制(Mandatory Access Control，簡記為 MACR2 責(zé)任(Accountability)R2.1 標(biāo)識與鑒別(Identification & Authentication)R2.2 審計(Audit)R3 保證(Assuranee )R3.1 操作保證(Operational Assuranee)R3.2 生命周期保證(Life Cycle Ass

6、uraneeR4 文檔(Doeumentation )R4.1 安全特性用戶指南(Security Features User's Guide )R4.2 可信設(shè)施手冊(Trusted Facility Manual)R4.3 測試文檔(Test Doeumentation )R4.4 設(shè)計文檔(Design Doeumentation3.4四組(division)七個等級« D« C( C1, C2)« B( B1, B2, B3)« A( A1)按系統(tǒng)可靠或可信程度逐漸增高各安全級別之間具有一種偏序向下兼容的關(guān)系，即較高安全性級別提供的安全保

7、護(hù)要包含較低級別的所有保護(hù)要求，同時提供更多或更完善的保護(hù)能力。對等級做簡略的介紹D級：最低級別，一切不符合更高標(biāo)準(zhǔn)的系統(tǒng)C1級：能夠?qū)崿F(xiàn)對用戶和數(shù)據(jù)的分離，進(jìn)行自主存取控制(DAC)，保護(hù)或限制用戶權(quán)限的傳播。注：該級別的產(chǎn)品不是安全產(chǎn)品。C2級：是安全產(chǎn)品的最低檔次，提供受控的存取保護(hù)。女口： Windows NT3.5 ，Oraele7 ， Sybase SQL Server 11.0.6。 注：該級別的產(chǎn)品不貼安全標(biāo)記。B1級：標(biāo)記安全保護(hù)。對系統(tǒng)數(shù)據(jù)加以標(biāo)記，并對標(biāo)記的主體和客體實施強(qiáng)制存取控 制(MAC)和審計等安全機(jī)制。注：該級別的產(chǎn)品認(rèn)為是真正意義上安全產(chǎn)品的最低級別。B2級：

8、結(jié)構(gòu)化保護(hù)。建立形式化的安全策略模型，并對系統(tǒng)內(nèi)的所有主體和客體實施DAC和MAC。注：經(jīng)過認(rèn)證的、B2級以上的安全系統(tǒng)非常稀少。B3級：安全域。該級別的 TCB必須滿足訪問監(jiān)控器的要求，審計跟蹤能力更強(qiáng)，并提 供系統(tǒng)恢復(fù)過程。A1級：驗證設(shè)計。除具有 B3級的要求外，還要給出系統(tǒng)的形式化設(shè)計說明和驗證，以 確保各安全保護(hù)真正實現(xiàn)。二數(shù)據(jù)庫安全性控制1數(shù)據(jù)庫安全是指保護(hù)數(shù)據(jù)庫，防止因用戶非法使用數(shù)據(jù)庫造成數(shù)據(jù)泄漏、更改或破壞。數(shù)據(jù)庫的一大特點是數(shù)據(jù)可以共享，但數(shù)據(jù)共享必然帶來數(shù)據(jù)庫的安全性問題，數(shù)據(jù)庫系中的數(shù)據(jù)共享不能是無條件的共享。例：軍事秘密、國家機(jī)密、新產(chǎn)品試驗數(shù)據(jù)、銷售計劃、客戶檔案、

9、醫(yī)療檔案、銀 行儲蓄數(shù)據(jù)非法使用數(shù)據(jù)庫的情況用戶編寫一段合法的程序繞過DBMS及其授權(quán)機(jī)制，通過操作系統(tǒng)直接存取、修改或備份數(shù)據(jù)庫中的數(shù)據(jù)直接或編寫應(yīng)用程序執(zhí)行非授權(quán)操作通過多次合法查詢數(shù)據(jù)庫從中推導(dǎo)出一些保密數(shù)據(jù)破壞安全性的行為可能是無意的，故意的，惡意的。2數(shù)據(jù)庫安全性控制的常用方法用戶標(biāo)識和鑒定存取控制視圖審計密碼加密2.1用戶標(biāo)識與鑒別是系統(tǒng)提供的最外層安全保護(hù)措施基本方法1）系統(tǒng)提供一定的方式讓用戶標(biāo)識自己的名字或身份；2）系統(tǒng)內(nèi)部記錄著所有合法用戶的標(biāo)識；3）每次用戶要求進(jìn)入系統(tǒng)時，有系統(tǒng)核對用戶提供的身份標(biāo)識；4）通過鑒定后才提供機(jī)器使用權(quán)。5）用戶標(biāo)志和鑒定可以重復(fù)多次用戶標(biāo)識

10、自己的名字或身份a）用戶名/ 口令（簡單易行，容易被人竊取b）每個用戶預(yù)先約定好一個計算過程或者函數(shù)c）系統(tǒng)提供一個隨機(jī)數(shù)d）用戶根據(jù)自己預(yù)先約定的計算過程或者函數(shù)進(jìn)行計算e）系統(tǒng)根據(jù)用戶計算結(jié)果是否正確鑒定用戶身份2.2存取控制存取控制機(jī)制的功能、組成存取控制機(jī)制的功能：確保只授權(quán)給有資格的用戶訪問數(shù)據(jù)庫的權(quán)限，同時令所有 未被授權(quán)的人員無法接近數(shù)據(jù)。存取控制機(jī)制的組成定義存取權(quán)限在數(shù)據(jù)庫系統(tǒng)中，為了保證用戶只能訪問他有權(quán)存取的數(shù)據(jù)，必須預(yù)先 對每個用戶定義存取權(quán)限。檢查存取權(quán)限對于通過鑒定獲得上機(jī)權(quán)的用戶（即合法用戶），系統(tǒng)根據(jù)他的存取限定義對他的各種操作請求進(jìn)行控制，確保他只執(zhí)行合法操作

11、。用戶權(quán)限定義和合法權(quán)檢查機(jī)制一起組成了DBMS勺安全子系統(tǒng)222 常用存取控制方法：DAC MAC自主存取控制（Discretionary Access Control，簡稱 DACC2級靈活方法同一用戶對于不同的數(shù)據(jù)對象有不同的存取權(quán)限不同的用戶對同一對象也有不同的權(quán)限用戶還可將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶優(yōu)點能夠通過授權(quán)機(jī)制有效地控制其他用戶對敏感數(shù)據(jù)的存取缺點可能存在數(shù)據(jù)的“無意泄露”原因：這種機(jī)制僅僅通過對數(shù)據(jù)的存取權(quán)限來進(jìn)行安全控制，而數(shù)據(jù)本身 并無安全性標(biāo)記。解決：對系統(tǒng)控制下的所有主客體實施強(qiáng)制存取控制策略強(qiáng)制存取控制（Mandatory Access Control，簡稱

12、MAC）B1級嚴(yán)格方法每一個數(shù)據(jù)對象被標(biāo)以一定的密級 每一個用戶也被授予某一個級別的許可證 對于任意一個對象，只有具有合法許可證的用戶才可以存取優(yōu)點對數(shù)據(jù)本身進(jìn)行秘密級標(biāo)記， 無論數(shù)據(jù)如何復(fù)制，標(biāo)記與數(shù)據(jù)是一個不可分 割的整體，只有符合密級標(biāo)記要求的用戶才可以操縱數(shù)據(jù)，從而提供了更高級別的安全性。2.3視圖機(jī)制進(jìn)行存取權(quán)限控制時可以為不同的用戶定義不同的視圖，把數(shù)據(jù)對象限制在一定的范 圍內(nèi)，也就是說，通過視圖機(jī)制把要保密的數(shù)據(jù)對無權(quán)存取的用戶隱藏起來，從而自 動地對數(shù)據(jù)提供一定程度的安全保護(hù)。視圖機(jī)制間接地實現(xiàn)了支持存取謂詞的用戶權(quán)限定義。2.4 審計(Audit)“審計”功能是 DBMS到C

13、2以上安全級別必不可少的一項指標(biāo)。審計功能把用戶對數(shù)據(jù)庫的所有操作自動記錄下來放入審計日志(Audit Log)中。DBA可以利用審計跟蹤的信息，重現(xiàn)導(dǎo)致數(shù)據(jù)庫現(xiàn)有狀況的一系列事件，找出非法存取數(shù)據(jù) 的人、時間和內(nèi)容等。審計通常是很費時間和空間的，所以DBM卑往都將其作為可選特征，允許DDA根據(jù)應(yīng)用對安全性的要求，靈活地打開或關(guān)閉審計功能。審計功能一般主要用于安全性要求較 高的部門。2.5數(shù)據(jù)加密對高度敏感的數(shù)據(jù)采用數(shù)據(jù)加密技術(shù)。是防止數(shù)據(jù)庫中數(shù)據(jù)在存儲和傳輸中失密的有效手段。方法：替換：將明文中的每一個字符轉(zhuǎn)換為密文中的一個字符。置換：將明文的字符按不同的順序重新排列。混合：可以提供相當(dāng)高的

14、安全度例：美國1977年制定的官方加密標(biāo)準(zhǔn)，數(shù)據(jù)加密標(biāo)準(zhǔn)（Data Encryption Standard , DES對數(shù)據(jù)加密和解密也是比較費時的操作，加密解密程序也會占用系統(tǒng)大量的資源。因此此功能作為可選特征，允許用戶自由選擇。三統(tǒng)計數(shù)據(jù)庫安全性1統(tǒng)計數(shù)據(jù)庫中特殊的安全性問題一般地，統(tǒng)計數(shù)據(jù)庫 允許用戶查詢聚集類型的信息 （例如合計、乎均值等），但是不允 許查詢單個記錄信息。例如：查詢“程序員的平均工資是多少 ？” 一一合法。查詢“程序員張勇的工資是多少 ？” 一一非法。在統(tǒng)計數(shù)據(jù)庫中存在著特殊的安全性問題，即可能存在著隱蔽的信息通道，使得可以從合法的查詢中推導(dǎo)出不合法的信息。例如：本公司

15、共有多少女高級程序員？-合法。本公司女高級程序員的工資總額是多少？-合法。如果第1個查詢的結(jié)果是“ 1”，那么第2個查詢的結(jié)果顯然就是這個程序員的工資數(shù)。 這樣統(tǒng)計數(shù)據(jù)庫的安全性機(jī)制就失效了。為了解殃這個問題，可以規(guī)定 任何查詢至少要涉及 N個以上的記錄（N足夠大）。但是 即使這樣，還是存在另外的泄密途徑，看下面的例子：某個用戶A想知道另一用戶 B的工資數(shù)額他可以通過下列兩個合法查詢獲取：.用戶A和其他N個程序員的工資總額是多少？.用戶B和其他N個程序員的工資總額是多少 ？假設(shè)第1個查詢的結(jié)果是 X,第2個查詢的結(jié)果是 Y自己的工資是Z,那么他可以計算 出用戶B的工資=Y-(X-Z)；這個例子

16、的關(guān)鍵之處在于兩個查詢之間有很多重復(fù)的數(shù)據(jù)項(即其他N個程序員的工資)。因此可以再規(guī)定任意兩個查詢的相交數(shù)據(jù)項不能超過M個。這樣就使得獲取他人的數(shù)據(jù)更加困難了?？梢宰C明，在上述兩條規(guī)定下，如果想獲知用戶 B的工資額，用戶A至少需要進(jìn)行1+(N-2)/M 次查詢。當(dāng)然可以繼續(xù)規(guī)定任一用戶的查詢次數(shù)不能超過1+(N-2)/M ，但是如果兩個用戶合作查詢就可以使這一規(guī)定仍然失效。另外還有其他一些方法用于解決統(tǒng)計數(shù)據(jù)庫的安全性問題，例如數(shù)據(jù)污染。但是無論采用什么安全性機(jī)制，都仍然會存在繞過這些機(jī)制的造徑。好的安全性措施應(yīng)該使得那些試圖破壞安全的入所花費的代價遠(yuǎn)遠(yuǎn)超過他們所得到的利益，這也是整個數(shù)據(jù)庫安

17、全機(jī)制設(shè)計的目標(biāo)。2 Oracle數(shù)據(jù)庫的安全性措施2.1用戶標(biāo)識和鑒定在Oracle中，最外層的安全性措施是讓用戶標(biāo)識自己的名字，然后由系統(tǒng)進(jìn)行核實。Oracle允許用戶重復(fù)標(biāo)識三次，如果三次未通過，系統(tǒng)自動退出。2.2授權(quán)與檢查機(jī)制Oracle的權(quán)限包括 系統(tǒng)權(quán)限和數(shù)據(jù)庫對象的權(quán)限兩類，采用 非集中的授權(quán)機(jī)制(分散控制方式)，即DBA負(fù)責(zé)授予與回收系統(tǒng)權(quán)限，每個用戶授予與回收自己創(chuàng)建的數(shù) 據(jù)庫對象的權(quán)限(但不允許循環(huán)授權(quán))。Oracle允許重復(fù)授權(quán)，即可將某一權(quán)限多次授予同一用戶，系統(tǒng)不會出錯。Oracle也允許無效回收，即用戶沒有某種權(quán)限，但回收此權(quán)限的操作仍算成功。2.3 Oracle

18、 的審計技術(shù)用戶級審計 是任何Oracle用戶可設(shè)置的審計，主要是用戶針對自己創(chuàng)建的數(shù)據(jù)庫表或視 圖進(jìn)行審計，記錄所有用戶對這些表或視圖的一切成功和(或)不成功的訪問要求以及各種類型的SQL操作。系統(tǒng)級審計 只能由DBA設(shè)置，用以監(jiān)測成功或失敗的登錄要求、監(jiān)測GMNT和REvOKE操作以及其他數(shù)據(jù)庫級權(quán)限下的操作。Oracle的審計功能很靈活，是否使用審計，對哪些表進(jìn)行審計，對哪些些操作進(jìn)行審計等都可以由用戶選擇。為此，Oracle提供了 AUDIT語句設(shè)置審計功能，NOAUDIT語句取 消審計功能。設(shè)置審計時，可以詳細(xì)指定對哪些SQL操作進(jìn)行審計。如：AUDIT ALTER, UPDATE ON SC;NOAUDIT ALL ON SC;2.4用戶定義的安全性措施Oracle還允許用戶用數(shù)據(jù)庫觸發(fā)器定義特殊的更復(fù)雜的用戶級安全性措施。例：規(guī)定只能在工作時間內(nèi)更新Student表。CREATE 0R REPLACE TRIGGER secure_stude ntBEFORE INSERT OR UPDATE OR DELETE ON Stude ntBEGINIF(TO_CHAR(sysdate,'DY') IN (&