數(shù)據(jù)庫(kù)系統(tǒng)原理-4

1/66數(shù)據(jù)庫(kù)系統(tǒng)原理第四章數(shù)據(jù)庫(kù)安全性黃穗副教授主講暨南大學(xué)信息學(xué)院計(jì)算機(jī)系2/66【教學(xué)目標(biāo)】

通過(guò)認(rèn)識(shí)計(jì)算機(jī)面臨的各種安全危險(xiǎn)，了解安全的基本問(wèn)題，評(píng)價(jià)體系。掌握DAC和MAC的控制方法。了解視圖在安全上的作用

【教學(xué)重點(diǎn)】安全系統(tǒng)的分類標(biāo)準(zhǔn)，DAC控制方法和MAC控制方法。

【教學(xué)難點(diǎn)】MAC控制方法的讀寫規(guī)則與實(shí)現(xiàn)基礎(chǔ)。角色控制思想與用法。3/66第一節(jié)、計(jì)算機(jī)安全概述【教學(xué)目標(biāo)】了解計(jì)算機(jī)系統(tǒng)的三類安全性問(wèn)題了解安全系統(tǒng)的標(biāo)準(zhǔn)教學(xué)進(jìn)度4/66

問(wèn)題的提出數(shù)據(jù)庫(kù)的一大特點(diǎn)是數(shù)據(jù)可以共享但數(shù)據(jù)共享必然帶來(lái)數(shù)據(jù)庫(kù)的安全性問(wèn)題數(shù)據(jù)庫(kù)系統(tǒng)中的數(shù)據(jù)共享不能是無(wú)條件的共享例：軍事秘密、國(guó)家機(jī)密、新產(chǎn)品實(shí)驗(yàn)數(shù)據(jù)、市場(chǎng)需求分析、市場(chǎng)營(yíng)銷策略、銷售計(jì)劃、客戶檔案、醫(yī)療檔案、銀行儲(chǔ)蓄數(shù)據(jù)5/66數(shù)據(jù)庫(kù)中數(shù)據(jù)的共享是在DBMS統(tǒng)一的嚴(yán)格的控制之下的共享，即只允許有合法使用權(quán)限的用戶訪問(wèn)允許他存取的數(shù)據(jù)數(shù)據(jù)庫(kù)系統(tǒng)的安全保護(hù)措施是否有效是數(shù)據(jù)庫(kù)系統(tǒng)主要的性能指標(biāo)之一什么是數(shù)據(jù)庫(kù)的安全性數(shù)據(jù)庫(kù)的安全性是指保護(hù)數(shù)據(jù)庫(kù)，防止因用戶非法使用數(shù)據(jù)庫(kù)造成數(shù)據(jù)泄露、更改或破壞。什么是數(shù)據(jù)的保密數(shù)據(jù)保密是指用戶合法地訪問(wèn)到機(jī)密數(shù)據(jù)后能否對(duì)這些數(shù)據(jù)保密。通過(guò)制訂法律道德準(zhǔn)則和政策法規(guī)來(lái)保證。6/66計(jì)算機(jī)安全性概論1、計(jì)算機(jī)系統(tǒng)的三類安全性問(wèn)題2可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)標(biāo)準(zhǔn)什么是計(jì)算機(jī)系統(tǒng)安全性為計(jì)算機(jī)系統(tǒng)建立和采取的各種安全保護(hù)措施，以保護(hù)計(jì)算機(jī)系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。

計(jì)算機(jī)系統(tǒng)的三類安全性問(wèn)題

7/66計(jì)算機(jī)安全涉及問(wèn)題計(jì)算機(jī)系統(tǒng)本身的技術(shù)問(wèn)題計(jì)算機(jī)安全理論與策略計(jì)算機(jī)安全技術(shù)管理問(wèn)題安全管理安全評(píng)價(jià)安全產(chǎn)品法學(xué)計(jì)算機(jī)安全法律犯罪學(xué)計(jì)算機(jī)犯罪、取證與偵察安全監(jiān)察心理學(xué)8/66三類計(jì)算機(jī)系統(tǒng)安全性問(wèn)題技術(shù)安全類管理安全類政策法律類技術(shù)安全指計(jì)算機(jī)系統(tǒng)中采用具有一定安全性的硬件、軟件來(lái)實(shí)現(xiàn)對(duì)計(jì)算機(jī)系統(tǒng)及其所存數(shù)據(jù)的安全保護(hù)，當(dāng)計(jì)算機(jī)系統(tǒng)受到無(wú)意或惡意的攻擊時(shí)仍能保證系統(tǒng)正常運(yùn)行，保證系統(tǒng)內(nèi)的數(shù)據(jù)不增加、不丟失、不泄露。9/66管理安全軟硬件意外故障、場(chǎng)地的意外事故、管理不善導(dǎo)致的計(jì)算機(jī)設(shè)備和數(shù)據(jù)介質(zhì)的物理破壞、丟失等安全問(wèn)題政策法律類政府部門建立的有關(guān)計(jì)算機(jī)犯罪、數(shù)據(jù)安全保密的法律道德準(zhǔn)則和政策法規(guī)、法令10/66可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)標(biāo)準(zhǔn)為降低進(jìn)而消除對(duì)系統(tǒng)的安全攻擊，各國(guó)引用或制定了一系列安全標(biāo)準(zhǔn)。評(píng)估與認(rèn)證標(biāo)準(zhǔn)大致分三個(gè)階段：80年代TCSEC，90年代初FC（美國(guó)）、CTCSEC（加拿大）、ITSEC（歐洲），90年代末CC（CommonCriteriaforInformationTechnologySecurityEvaluation），1999年12月ISO接受為國(guó)際標(biāo)準(zhǔn)ISO/IEC15408。TCSEC(桔皮書)TDI(紫皮書)11/661985年美國(guó)國(guó)防部（DoD）正式頒布《DoD可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)》（簡(jiǎn)稱TCSEC或DoD85）TCSEC又稱桔皮書TCSEC標(biāo)準(zhǔn)的目的提供一種標(biāo)準(zhǔn)，使用戶可以對(duì)其計(jì)算機(jī)系統(tǒng)內(nèi)敏感信息安全操作的可信程度做評(píng)估。給計(jì)算機(jī)行業(yè)的制造商提供一種可循的指導(dǎo)規(guī)則，使其產(chǎn)品能夠更好地滿足敏感應(yīng)用的安全需求。12/661991年4月美國(guó)NCSC（國(guó)家計(jì)算機(jī)安全中心）頒布了《可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)關(guān)于可信數(shù)據(jù)庫(kù)系統(tǒng)的解釋》（TrustedDatabaseInterpretation簡(jiǎn)稱TDI）TDI又稱紫皮書。它將TCSEC擴(kuò)展到數(shù)據(jù)庫(kù)管理系統(tǒng)。TDI中定義了數(shù)據(jù)庫(kù)管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)中需滿足和用以進(jìn)行安全性級(jí)別評(píng)估的標(biāo)準(zhǔn)。2001年3月我國(guó)正式接受CC作為國(guó)家標(biāo)準(zhǔn)，編號(hào)為GB/T18336-2001。CC分3個(gè)部分：第1部分“簡(jiǎn)介和一般模型”，介紹基本概念和基本原理；第2部分“安全功能要求”，提出了技術(shù)要求；第3部分“安全保證要求”，提出了非技術(shù)要求和對(duì)開(kāi)發(fā)過(guò)程、工程過(guò)程的要求。保護(hù)輪廓和安全目標(biāo)是CC中的重要概念。13/66TDI/TCSEC標(biāo)準(zhǔn)的基本內(nèi)容TDI與TCSEC一樣，從四個(gè)方面來(lái)描述安全性級(jí)別劃分的指標(biāo)安全策略責(zé)任保證文檔?信息系統(tǒng)安全等級(jí)保護(hù)安全管理測(cè)評(píng)14/66R1安全策略（SecurityPolicy）

R1.1自主存取控制DACR1.2客體重用（ObjectReuse）

R1.3標(biāo)記（Labels）

R1.4強(qiáng)制存取控制MACR2責(zé)任（Accountability）

R2.1標(biāo)識(shí)與鑒別（Identification&Authentication）

R2.2審計(jì)（Audit）R3保證（Assurance）

R3.1操作保證（OperationalAssurance）

R3.2生命周期保證（LifeCycleAssurance）15/66R4文檔（Documentation）

R4.1安全特性用戶指南R4.2可信設(shè)施手冊(cè)

R4.3測(cè)試文檔（TestDocumentation）

R4.4設(shè)計(jì)文檔（DesignDocumentation）安全級(jí)別

定義A1驗(yàn)證設(shè)計(jì)（VerifiedDesign）B3安全域（SecurityDomains）

B2結(jié)構(gòu)化保護(hù)（StructuralProtection）

B1標(biāo)記安全保護(hù)（LabeledSecurityProtection）

C2受控的存取保護(hù)（ControlledAccessProtection）

C1自主安全保護(hù)（DiscretionarySecurityProtection）

D最小保護(hù)（MinimalProtection）TCSEC/TDI安全級(jí)別劃分16/66四組(division)七個(gè)等級(jí)

DC（C1，C2）

B（B1，B2，B3）

A（A1）按系統(tǒng)可靠或可信程度逐漸增高各安全級(jí)別之間具有一種偏序向下兼容的關(guān)系，即較高安全性級(jí)別提供的安全保護(hù)要包含較低級(jí)別的所有保護(hù)要求，同時(shí)提供更多或更完善的保護(hù)能力。17/66D級(jí)將一切不符合更高標(biāo)準(zhǔn)的系統(tǒng)均歸于D組典型例子：DOS是安全標(biāo)準(zhǔn)為D的操作系統(tǒng)

DOS在安全性方面幾乎沒(méi)有什么專門的機(jī)制來(lái)保障C1級(jí)非常初級(jí)的自主安全保護(hù)能夠?qū)崿F(xiàn)對(duì)用戶和數(shù)據(jù)的分離，進(jìn)行自主存取控制（DAC），保護(hù)或限制用戶權(quán)限的傳播。18/66C2級(jí)安全產(chǎn)品的最低檔次提供受控的存取保護(hù)，將C1級(jí)的DAC進(jìn)一步細(xì)化，以個(gè)人身份注冊(cè)負(fù)責(zé)，并實(shí)施審計(jì)和資源隔離達(dá)到C2級(jí)的產(chǎn)品在其名稱中往往不突出“安全”(Security)這一特色典型例子操作系統(tǒng)Microsoft的WindowsNT3.5，數(shù)字設(shè)備公司的OpenVMSVAX6.0和6.1

數(shù)據(jù)庫(kù)Oracle公司的Oracle7Sybase公司的SQLServer11.0.619/66B1級(jí)標(biāo)記安全保護(hù)?！鞍踩?Security)或“可信的”(Trusted)產(chǎn)品。對(duì)系統(tǒng)的數(shù)據(jù)加以標(biāo)記，對(duì)標(biāo)記的主體和客體實(shí)施強(qiáng)制存取控制（MAC）、審計(jì)等安全機(jī)制典型例子操作系統(tǒng)數(shù)字設(shè)備公司的SEVMSVAXVersion6.0惠普公司的HP-UXBLSrelease9.0.9+

數(shù)據(jù)庫(kù)Oracle公司的TrustedOracle7Sybase公司的SecureSQLServerversion11.0.6Informix公司IncorporatedINFORMIX-OnLine/Secure5.020/66B2級(jí)結(jié)構(gòu)化保護(hù)建立形式化的安全策略模型并對(duì)系統(tǒng)內(nèi)的所有主體和客體實(shí)施DAC和MAC。經(jīng)過(guò)認(rèn)證的B2級(jí)以上的安全系統(tǒng)非常稀少典型例子操作系統(tǒng)只有TrustedInformationSystems公司的TrustedXENIX一種產(chǎn)品標(biāo)準(zhǔn)的網(wǎng)絡(luò)產(chǎn)品只有CryptekSecureCommunications公司的LLCVSLAN一種產(chǎn)品數(shù)據(jù)庫(kù)沒(méi)有符合B2標(biāo)準(zhǔn)的產(chǎn)品21/66B3級(jí)安全域。該級(jí)的TCB必須滿足訪問(wèn)監(jiān)控器的要求，審計(jì)跟蹤能力更強(qiáng)，并提供系統(tǒng)恢復(fù)過(guò)程。A1級(jí)驗(yàn)證設(shè)計(jì)，即提供B3級(jí)保護(hù)的同時(shí)給出系統(tǒng)的形式化設(shè)計(jì)說(shuō)明和驗(yàn)證以確信各安全保護(hù)真正實(shí)現(xiàn)。22/66B2以上的系統(tǒng)還處于理論研究階段應(yīng)用多限于一些特殊的部門如軍隊(duì)等美國(guó)正在大力發(fā)展安全產(chǎn)品，試圖將目前僅限于少數(shù)領(lǐng)域應(yīng)用的B2安全級(jí)別下放到商業(yè)應(yīng)用中來(lái)，并逐步成為新的商業(yè)標(biāo)準(zhǔn)。23/66表示該級(jí)不提供對(duì)該指標(biāo)的支持；表示該級(jí)新增的對(duì)該指標(biāo)的支持；表示該級(jí)對(duì)該指標(biāo)的支持與相鄰低一級(jí)的等級(jí)一樣；表示該級(jí)對(duì)該指標(biāo)的支持較下一級(jí)有所增加或改動(dòng)。24/66第二節(jié)、數(shù)據(jù)庫(kù)安全性控制【教學(xué)目標(biāo)】了解用戶標(biāo)識(shí)與鑒別方法了解自主存取控制方法了解強(qiáng)制存取控制方法了解角色存取控制方法25/66數(shù)據(jù)庫(kù)安全性控制概述非法使用數(shù)據(jù)庫(kù)的情況用戶編寫一段合法的程序繞過(guò)DBMS及其授權(quán)機(jī)制，通過(guò)操作系統(tǒng)直接存取、修改或備份數(shù)據(jù)庫(kù)中的數(shù)據(jù)；直接或編寫應(yīng)用程序執(zhí)行非授權(quán)操作；26/66通過(guò)多次合法查詢數(shù)據(jù)庫(kù)從中推導(dǎo)出一些保密數(shù)據(jù)例：某數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)禁止查詢單個(gè)人的工資，但允許查任意一組人的平均工資。用戶甲想了解張三的工資，于是他： 首先查詢包括張三在內(nèi)的一組人的平均工資 然后查用自己替換張三后這組人的平均工資從而推導(dǎo)出張三的工資破壞安全性的行為可能是無(wú)意的，故意的，惡意的。27/66計(jì)算機(jī)系統(tǒng)中的安全模型

應(yīng)用DBMSOS

DB

高

低安全性控制層次

方法：

用戶標(biāo)識(shí)和鑒定

存取控制審計(jì)視圖

操作系統(tǒng)安全保護(hù)

密碼存儲(chǔ)ISO7498-2定義的安全服務(wù)5個(gè)層次：身份認(rèn)證、訪問(wèn)控制、數(shù)據(jù)保密、數(shù)據(jù)完整、不可否認(rèn)。28/66數(shù)據(jù)庫(kù)安全性控制的常用方法用戶標(biāo)識(shí)和鑒定存取控制視圖審計(jì)密碼存儲(chǔ)29/66用戶標(biāo)識(shí)與鑒別用戶標(biāo)識(shí)與鑒別（Identification&Authentication）系統(tǒng)提供的最外層安全保護(hù)措施基本方法系統(tǒng)提供一定的方式讓用戶標(biāo)識(shí)自己的名字或身份；系統(tǒng)內(nèi)部記錄著所有合法用戶的標(biāo)識(shí)；每次用戶要求進(jìn)入系統(tǒng)時(shí)，由系統(tǒng)核對(duì)用戶提供的身份標(biāo)識(shí)；通過(guò)鑒定后才提供機(jī)器使用權(quán)。用戶標(biāo)識(shí)和鑒定可以重復(fù)多次30/66用戶名/口令簡(jiǎn)單易行，容易被人竊取每個(gè)用戶預(yù)先約定好一個(gè)計(jì)算過(guò)程或者函數(shù)系統(tǒng)提供一個(gè)隨機(jī)數(shù)用戶根據(jù)自己預(yù)先約定的計(jì)算過(guò)程或者函數(shù)進(jìn)行計(jì)算系統(tǒng)根據(jù)用戶計(jì)算結(jié)果是否正確鑒定用戶身份身份鑒別防止冒牌貨。比如銀行的U盾與手機(jī)確認(rèn)短信。31/66存取控制存取控制機(jī)制的功能存取控制機(jī)制的組成定義存取權(quán)限檢查存取權(quán)限用戶權(quán)限定義和合法權(quán)檢查機(jī)制一起組成了DBMS的安全子系統(tǒng)32/66定義存取權(quán)限在數(shù)據(jù)庫(kù)系統(tǒng)中，為了保證用戶只能訪問(wèn)他有權(quán)存取的數(shù)據(jù)，必須預(yù)先對(duì)每個(gè)用戶定義存取權(quán)限。檢查存取權(quán)限對(duì)于通過(guò)鑒定獲得上機(jī)權(quán)的用戶（即合法用戶），系統(tǒng)根據(jù)他的存取權(quán)限定義對(duì)他的各種操作請(qǐng)求進(jìn)行控制，確保他只執(zhí)行合法操作。33/66存取控制方法自主存取控制（DiscretionaryAccessControl，簡(jiǎn)稱DAC）

C2級(jí)

靈活強(qiáng)制存取控制（MandatoryAccessControl，簡(jiǎn)稱MAC）

B1級(jí)嚴(yán)格另外還有RBAC、OBAC和TBAC等方法。34/66自主存取控制方法DACDAC決定用戶能否訪問(wèn)某數(shù)據(jù)對(duì)象的依據(jù)是系統(tǒng)中是否存在明確的授權(quán)，即查看訪問(wèn)控制表ACL中的權(quán)限矩陣。每一個(gè)對(duì)象有且僅有一個(gè)屬主，屬主負(fù)責(zé)制定該對(duì)象的保護(hù)策略，又分三種情況：第一種，對(duì)象屬主不允許其它用戶代理管理權(quán)限；第二種，可以將權(quán)限授予其它用戶，也可將管理權(quán)交其它用戶代理；第三種，屬主權(quán)可以轉(zhuǎn)讓，甚至多次傳遞。同一用戶對(duì)于不同的數(shù)據(jù)對(duì)象有不同的存取權(quán)限不同的用戶對(duì)同一對(duì)象也有不同的權(quán)限用戶還可將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶35/66定義存取權(quán)限存取權(quán)限存取權(quán)限由兩個(gè)要素組成數(shù)據(jù)對(duì)象操作類型36/66關(guān)系系統(tǒng)中的存取權(quán)限類型

數(shù)據(jù)對(duì)象 操作類型模式 模式 建立、修改、刪除、檢索 外模式建立、修改、刪除、檢索 內(nèi)模式 建立、刪除、檢索數(shù)據(jù) 表 查找、插入、修改、刪除 屬性列 查找、插入、修改、刪除37/66定義方法GRANT/REVOKE例:一張授權(quán)表

用戶名數(shù)據(jù)對(duì)象名允許的操作類型王平關(guān)系StudentSELECT

張明霞關(guān)系StudentUPDATE

張明霞關(guān)系CourseALL

張明霞SC.GradeUPDATE

張明霞SC.SnoSELECT

張明霞SC.CnoSELECT38/66檢查存取權(quán)限對(duì)于獲得上機(jī)權(quán)后又進(jìn)一步發(fā)出存取數(shù)據(jù)庫(kù)操作的用戶DBMS查找數(shù)據(jù)字典，根據(jù)其存取權(quán)限對(duì)操作的合法性進(jìn)行檢查若用戶的操作請(qǐng)求超出了定義的權(quán)限，系統(tǒng)將拒絕執(zhí)行此操作39/66

授權(quán)粒度授權(quán)粒度是指可以定義的數(shù)據(jù)對(duì)象的范圍它是衡量授權(quán)機(jī)制是否靈活的一個(gè)重要指標(biāo)。授權(quán)定義中數(shù)據(jù)對(duì)象的粒度越細(xì)，即可以定義的數(shù)據(jù)對(duì)象的范圍越小，授權(quán)子系統(tǒng)就越靈活。40/66關(guān)系數(shù)據(jù)庫(kù)中授權(quán)的數(shù)據(jù)對(duì)象粒度數(shù)據(jù)庫(kù)表屬性列行能否提供與數(shù)據(jù)值有關(guān)的授權(quán)反映了授權(quán)子系統(tǒng)精巧程度41/66實(shí)現(xiàn)與數(shù)據(jù)值有關(guān)的授權(quán)利用存取謂詞存取謂詞可以很復(fù)雜可以引用系統(tǒng)變量，如終端設(shè)備號(hào)，系統(tǒng)時(shí)鐘等，實(shí)現(xiàn)與時(shí)間地點(diǎn)有關(guān)的存取權(quán)限，這樣用戶只能在某段時(shí)間內(nèi)，某臺(tái)終端上存取有關(guān)數(shù)據(jù)

例：規(guī)定“教師只能在每年1月份和7月份星期一至星期五上午8點(diǎn)到下午5點(diǎn)處理學(xué)生成績(jī)數(shù)據(jù)”。42/66例：擴(kuò)充后的授權(quán)表用戶名數(shù)據(jù)對(duì)象名允許的操作類型存取謂詞 王平關(guān)系StudentSELECTSdept=CS

張明霞關(guān)系StudentUPDATESname=張明霞 張明霞關(guān)系CourseALL空自主存取控制小結(jié)優(yōu)點(diǎn)能夠通過(guò)授權(quán)機(jī)制有效地控制其他用戶對(duì)敏感數(shù)據(jù)的存取43/66缺點(diǎn)可能存在數(shù)據(jù)的“無(wú)意泄露”普遍難以解決有效抵御特洛伊木馬攻擊。原因：這種機(jī)制僅僅通過(guò)對(duì)數(shù)據(jù)的存取權(quán)限來(lái)進(jìn)行安全控制，而數(shù)據(jù)本身并無(wú)安全性標(biāo)記。解決：對(duì)系統(tǒng)控制下的所有主客體實(shí)施強(qiáng)制存取控制策略44/66強(qiáng)制存取控制方法MAC主體和客體均有相應(yīng)的安全屬性，如主體的可信度與客體的安全標(biāo)簽。每一個(gè)數(shù)據(jù)對(duì)象被標(biāo)以一定的密級(jí)每一個(gè)用戶也被授予某一個(gè)級(jí)別的許可證對(duì)于任意一個(gè)對(duì)象，只有具有合法許可證的用戶才可以存取45/66強(qiáng)制存取控制(MAC)是指系統(tǒng)為保證更高程度的安全性，按照TDI/TCSEC標(biāo)準(zhǔn)中安全策略的要求所采取的強(qiáng)制存取檢查手段。MAC不是用戶能直接感知或進(jìn)行控制的。MAC適用于對(duì)數(shù)據(jù)有嚴(yán)格而固定密級(jí)分類的部門。MAC能有效阻止“特洛伊木馬”病毒攻擊。->軍事部門->政府部門46/66主體與客體在MAC中，DBMS所管理的全部實(shí)體被分為主體和客體兩大類主體是系統(tǒng)中的活動(dòng)實(shí)體

DBMS所管理的實(shí)際用戶代表用戶的各進(jìn)程客體是系統(tǒng)中的被動(dòng)實(shí)體，是受主體操縱的*文件*基表*索引*視圖47/66敏感度標(biāo)記

對(duì)于主體和客體，DBMS為它們每個(gè)實(shí)例（值）指派一個(gè)敏感度標(biāo)記（Label）敏感度標(biāo)記分成若干級(jí)別絕密（TopSecret）機(jī)密（Secret）可信（Confidential）公開(kāi)（Public）48/66主體的敏感度標(biāo)記稱為許可證級(jí)別（ClearanceLevel）客體的敏感度標(biāo)記稱為密級(jí)（ClassificationLevel）MAC機(jī)制就是通過(guò)對(duì)比主體的Label和客體的Label，最終確定主體是否能夠存取客體主體的安全屬性一般由管理員指定。大量客體的安全屬性既可由管理員直接設(shè)定，也可以根據(jù)一定的規(guī)則自動(dòng)生成。一般主體不能隨意更改客體的安全屬性。典型的MAC模型包括BLP和Dion模型。49/66

強(qiáng)制存取控制規(guī)則當(dāng)某一用戶（或某一主體）以標(biāo)記label注冊(cè)入系統(tǒng)時(shí)，系統(tǒng)要求他對(duì)任何客體的存取必須遵循下面兩條規(guī)則：（1）僅當(dāng)主體的許可證級(jí)別大于或等于客體的密級(jí)時(shí)，該主體才能讀取相應(yīng)的客體；（2）僅當(dāng)主體的許可證級(jí)別等于客體的密級(jí)時(shí)，該主體才能寫相應(yīng)的客體。50/66修正規(guī)則：主體的許可證級(jí)別<=客體的密級(jí)主體能寫客體用戶可為寫入的數(shù)據(jù)對(duì)象賦予高于自己的許可證級(jí)別的密級(jí)一旦數(shù)據(jù)被寫入，該用戶自己也不能再讀該數(shù)據(jù)對(duì)象了。51/66規(guī)則的共同點(diǎn)禁止了擁有高許可證級(jí)別的主體更新低密級(jí)的數(shù)據(jù)對(duì)象強(qiáng)制存取控制的特點(diǎn)MAC是對(duì)數(shù)據(jù)本身進(jìn)行密級(jí)標(biāo)記無(wú)論數(shù)據(jù)如何復(fù)制，標(biāo)記與數(shù)據(jù)是一個(gè)不可分的整體只有符合密級(jí)標(biāo)記要求的用戶才可以操縱數(shù)據(jù)從而提供了更高級(jí)別的安全性52/66MAC與DACDAC與MAC共同構(gòu)成DBMS的安全機(jī)制原因：較高安全性級(jí)別提供的安全保護(hù)要包含較低級(jí)別的所有保護(hù)先進(jìn)行DAC檢查，通過(guò)DAC檢查的數(shù)據(jù)對(duì)象再由系統(tǒng)進(jìn)行MAC檢查，只有通過(guò)MAC檢查的數(shù)據(jù)對(duì)象方可存取。53/66DAC+MAC安全檢查示意圖

SQL語(yǔ)法分析&語(yǔ)義檢查

DAC檢查安全檢查

MAC檢查

繼續(xù)54/66基于角色的訪問(wèn)控制模型RBAC相關(guān)研究始于上世紀(jì)90年代，F(xiàn)erraiolo和Kuhn92年發(fā)表的論文最早提出。比較完整的早期模型是RBAC96。其基本概念來(lái)自于商界，是角色-權(quán)限與用戶-角色，兩對(duì)都是多對(duì)多關(guān)聯(lián)。擁有某個(gè)角色的用戶自動(dòng)擁有角色所具有的權(quán)限。這樣就將授權(quán)過(guò)程分成了角色授權(quán)、用戶角色指派與角色管理等幾個(gè)部分。RBAC標(biāo)準(zhǔn)分為兩部分：參考模型與功能說(shuō)明。RBAC的五個(gè)基本元素：用戶、角色、操作、對(duì)象和權(quán)限。RBAC支持的三個(gè)著名的安全策略：數(shù)據(jù)抽象、最小特權(quán)與職責(zé)分離。55/66第三節(jié)、視圖、審計(jì)、加密及統(tǒng)計(jì)數(shù)據(jù)庫(kù)的安全問(wèn)題【教學(xué)目標(biāo)】了解視圖在安全中的用途了解審計(jì)的作用與實(shí)現(xiàn)方法了解加密用途了解統(tǒng)計(jì)數(shù)據(jù)庫(kù)的安全問(wèn)題56/66視圖機(jī)制視圖機(jī)制把要保密的數(shù)據(jù)對(duì)無(wú)權(quán)存取這些數(shù)據(jù)的用戶隱藏起來(lái)，視圖機(jī)制更主要的功能在于提供數(shù)據(jù)獨(dú)立性，其安全保護(hù)功能太不精細(xì)，往往遠(yuǎn)不能達(dá)到應(yīng)用系統(tǒng)的要求。視圖機(jī)制與授權(quán)機(jī)制配合使用:首先用視圖機(jī)制屏蔽掉一部分保密數(shù)據(jù)視圖上面再進(jìn)一步定義存取權(quán)限間接實(shí)現(xiàn)了支持存取謂詞的用戶權(quán)限定義57/66例：王平只能檢索計(jì)算機(jī)系學(xué)生的信息先建立計(jì)算機(jī)系學(xué)生的視圖CS_StudentCREATEVIEWCS_StudentASSELECTFROMStudentWHERESdept='CS'；在視圖上進(jìn)一步定義存取權(quán)限

GRANTSELECTONCS_StudentTO王平；58/66審計(jì)什么是審計(jì)啟用一個(gè)專用的審計(jì)日志（AuditLog）將用戶對(duì)數(shù)據(jù)庫(kù)的所有操作記錄在上面DBA可以利用審計(jì)日志中的追蹤信息找出非法存取數(shù)據(jù)的人C2以上安全級(jí)別的DBMS必須具有審計(jì)功能59/66審計(jì)功能的可選性審計(jì)很費(fèi)時(shí)間和空間DBA可以根據(jù)應(yīng)用對(duì)安全性的要求，靈活地打開(kāi)或關(guān)閉審計(jì)功能。強(qiáng)制性機(jī)制:

用戶識(shí)別和鑒定、存取控制、視圖預(yù)防監(jiān)測(cè)手段:

審計(jì)技術(shù)60/66數(shù)據(jù)加密數(shù)據(jù)加密防止數(shù)據(jù)庫(kù)中數(shù)據(jù)在存儲(chǔ)和傳輸中失密的有效手段加密的基本思想根據(jù)一定的算法將原始數(shù)據(jù)