數(shù)據(jù)庫的安全性和完整性

第九章

數(shù)據(jù)庫的安全性和完整性計算機系統(tǒng)的安全性計算機系統(tǒng)的安全性是指為計算機系統(tǒng)建立和采取的各種安全保護措施，以保護計算機系統(tǒng)中的硬件、軟件和數(shù)據(jù)，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄漏等。計算機系統(tǒng)安全問題的分類技術安全類技術安全是指計算機系統(tǒng)中采用具有一定安全性的硬件、軟件來實現(xiàn)對計算機系統(tǒng)及其所存數(shù)據(jù)的安全保護，當計算機受到有意的或無意的攻擊時仍能保證系統(tǒng)的正常運行，保證系統(tǒng)內(nèi)的數(shù)據(jù)不增加、不丟失、不泄露。管理安全類技術安全之外的，諸如軟硬件意外故障、場地的意外事故、管理不善導致的計算機設備和數(shù)據(jù)介質的物理破壞、丟失等安全問題視為管理安全。政策法律類指政府部門建立的有關計算機犯罪、數(shù)據(jù)安全保密的法律道德準則和政策法規(guī)、法令。可信計算機評測標準1985年，美國國防部制定了可信計算機評估標準TCSEC（TrustedComputerSystemEvaluationCriteria)。1991年4月，美國國家計算機安全中心NCSC發(fā)布《可信計算機系統(tǒng)評估標準關于數(shù)據(jù)庫系統(tǒng)的解釋TDI（TrustedDatabaseInterpretation）,將TCSEC擴展到數(shù)據(jù)庫管理系統(tǒng)。它們從安全策略、責任、保證、文檔四個方面描述了安全級別劃分的指標?？尚庞嬎銠C評測標準（續(xù)I）安全級別定義A1驗證設計（VerifiedDesign）B3安全域（SecurityDomain）B2結構化保護（StructuralProtection）B1標記安全保護（LabeledSecurityProtection）C2受控存取保護（ControlledAccessProtection）C1自主安全保護（DiscretionarySecurityProtection）D最小保護（MinimalProtection）對數(shù)據(jù)庫的安全威脅原則上，凡是造成對數(shù)據(jù)庫內(nèi)存儲數(shù)據(jù)的非授權訪問–讀取，或非授權的寫入–增加、刪除、修改等，都屬于對數(shù)據(jù)庫的數(shù)據(jù)安全造成了威脅或破壞。另一方面，凡是影響授權用戶以正常方式使用數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)服務的，也稱之為造成侵犯，對數(shù)據(jù)庫的安全形成了威脅或破壞。對數(shù)據(jù)庫的安全威脅的分類偶然地、無意地接觸或修改DBMS管理下的數(shù)據(jù)自然的或意外的事故硬件或軟件的故障/錯誤導致數(shù)據(jù)丟失人為的失誤，如錯誤的輸入和應用系統(tǒng)的不正常使用。對數(shù)據(jù)庫的安全威脅的分類（I）蓄意的侵犯和敵意的攻擊授權用戶可能濫用其權力信息的非正常擴散-泄密由授權讀取的數(shù)據(jù)推論出不應訪問的數(shù)據(jù)對信息的非正常修改敵對方的攻擊，內(nèi)部的或外部的非授權用戶從不同渠道進行攻擊。敵對方對軟件和硬件的蠻力破壞繞過DBMS直接對數(shù)據(jù)進行讀寫病毒、特洛伊木馬、天窗通過各種途徑干擾DBMS的正常工作狀態(tài)，使之在正當用戶提出數(shù)據(jù)請求時，不能正常提供服務。數(shù)據(jù)庫的安全性數(shù)據(jù)庫的安全性是指保護數(shù)據(jù)庫以防止不合法的使用所造成的數(shù)據(jù)泄漏、更改和破壞。它包括兩個方面的含義：向授權用戶提供可靠的信息服務。同時，拒絕非授權的對數(shù)據(jù)的存取訪問請求，保證數(shù)據(jù)庫管理下的數(shù)據(jù)的可用性、完整性和一致性，進而保護數(shù)據(jù)庫所有者和使用者的合法權益。數(shù)據(jù)庫安全性控制管理、技術、操作多個方面物理、網(wǎng)絡、系統(tǒng)、應用多個層次設計、構建、運行、維護整個周期安全數(shù)據(jù)庫安全性控制數(shù)據(jù)庫安全控制涉及多個方面，它可分為內(nèi)部安全控制和外部安全控制。內(nèi)部安全控制由計算機系統(tǒng)的軟硬件實現(xiàn)。它必須與管理系統(tǒng)物理存取的適當?shù)耐獠堪踩刂葡嗯浜?。外部安全控制解決內(nèi)部安全控制不能解決的問題外部安全控制實體安全控制劃定安全區(qū)域，設置安全屏障和建立安全控制評估安全風險，將涉密設備和材料放置在不同的安全區(qū)域人員、組織安全控制建立安全管理機構和相應安全評估、管理制度明確組織間的訪問安全關系明確明確組織內(nèi)的安全角色和責任建立人員聘用和考察制度，通過合同條款和保密協(xié)議，明確每個人的安全保密責任建立責任追究制度外部安全控制過程安全控制確定業(yè)務操作過程的安全需求制訂訪問控制規(guī)則，并明確個人用戶（或組用戶）的權限建立訪問管理制度，確定用戶、特權、密碼等的管理措施和操作過程規(guī)定明確用戶在密碼使用和設備安全等方面的責任建立監(jiān)測和審查制度建立安全事故管理制度數(shù)據(jù)庫安全性控制數(shù)據(jù)庫系統(tǒng)的安全保護是由多個層次的構成的。本章只涉及由數(shù)據(jù)庫本身提供的安全機制。網(wǎng)絡DBMSOSDB用戶標識和鑒別網(wǎng)絡系統(tǒng)安全保護存取控制操作系統(tǒng)安全保護數(shù)據(jù)加密用戶標識與鑒別用戶標識和鑒別是系統(tǒng)提供的最外層安全保護措施。標識是指系統(tǒng)采用一定的方式標識其用戶或應用程序的名字或身份。鑒別是指系統(tǒng)在用戶或應用程序登錄時判斷其是否為合法的授權用戶。應用系統(tǒng)、網(wǎng)絡系統(tǒng)、操作系統(tǒng)、DBMS都可以進行用戶標識和鑒別，通常的做法是采用用戶名和口令。存取控制存取控制確保合法用戶按照指定的權限使用DBMS和訪問數(shù)據(jù)，而非法用戶或不具有相關權限的用戶則不能。存取控制機制主要包括兩個部分：定義用戶權限，并將用戶權限記錄到數(shù)據(jù)字典中，形成安全規(guī)則或授權規(guī)則。其中，用戶權限是指不同的用戶對于不同的數(shù)據(jù)對象允許執(zhí)行的操作權限。合法權限檢查，每當用戶發(fā)出數(shù)據(jù)庫操作請求后，DBMS根據(jù)數(shù)據(jù)字典中的安全規(guī)則進行合法權限檢查，決定是否接受用戶的操作請求。用戶權限定義和合法權限檢查機制一起組成了DBMS的安全子系統(tǒng)。DAC與MAC存取控制可以分為：自主存取控制(discretionaryaccesscontrol，簡稱DAC)。用戶對于不同的數(shù)據(jù)對象擁有不同的存取權限，不同的用戶對同一對象也有不同的權限，而且用戶還可以將其擁有的權限轉授給其他用戶。強制存取控制(mandatoryaccesscontrol，簡稱MAC)。每一個數(shù)據(jù)對象被標以一定的密級，每一個用戶也被授予某一個級別的許可證。對于任一個對象，只有具有合法許可證的用戶才可以存取。自主存取控制方法用戶權限由兩個要素組成，數(shù)據(jù)對象和操作類型。定義一個用戶的存取權限就是要定義這個用戶可以在哪些數(shù)據(jù)對象上進行哪些類型的操作，在數(shù)據(jù)庫系統(tǒng)中稱之為授權。數(shù)據(jù)對象操作類型模式概念模式外模式內(nèi)模式建立、修改、檢索建立、修改、檢索建立、修改、檢索數(shù)據(jù)表屬性列查找、插入、刪除、修改查找、插入、刪除、修改SQL的數(shù)據(jù)控制當數(shù)據(jù)庫管理員建立了一個新用戶之后,必須授予它一定的權限,該用戶才能使用數(shù)據(jù)庫。在數(shù)據(jù)庫系統(tǒng)中可以授予用戶兩類權限：用戶級權限用戶級權限是數(shù)據(jù)庫管理員為每個用戶授予的特定權限。這種權限與整個數(shù)據(jù)庫相關，與數(shù)據(jù)庫中具體的關系無關。這種權限是對用戶使用整個數(shù)據(jù)庫的權限的限定。關系級權限關系級權限是數(shù)據(jù)庫管理員或數(shù)據(jù)庫對象的擁有者為用戶授予的與關系或視圖有關的權限。這種權限是對用戶使用關系和視圖的權限的限定。角色與用戶組為了管理數(shù)據(jù)庫特權的方便，數(shù)據(jù)庫還支持角色和用戶組的概念。角色是一組權限的集合，可以把它授予用戶或其他角色。當把某個角色授予用戶（或角色）或從用戶（或角色）處收回時，就同時授予或收回了該角色代表的全部權限。用戶組是一組具有相同特性用戶的集合。在授權或收回權限時，可以以用戶組為單位進行。用戶級權限與角色的授予與收回在SQL語言中，通過Grant語句為用戶授予用戶級權限或角色，其語法格式為：Grant<用戶級權限>|<角色>[{,<用戶級權限>|<角色>}]To<用戶名>|<角色>|public[{,<用戶名>|<角色>}][WithGrantOption]其中，public指數(shù)據(jù)庫中的全部用戶。WithGrantOption則允許被授權的用戶將指定的用戶級權限或角色授予其他用戶。用戶級權限與角色的授予與收回為用戶授予用戶級權限GrantCreateSessiontoSCOTT;為用戶授予角色GrantConnecttoSCOTT;將權限授予角色GrantCreatetabletoStudent_role;將角色授予角色GrantResourcetoStudent_role;將角色授予用戶組GrantStudent_roletoPUBLIC;用戶級權限與角色的授予與收回當要取消一個用戶或角色的權限時，可以使用REVOKE語句將其收回：Revoke<用戶級權限>|<角色>[{,<用戶級權限>|<角色>}]From<用戶名>|<角色>|public[{,<用戶名>|<角色>}]例：取消用戶SCOTT的CreateTable權限。RevokeCreateTableFromSCOTT;關系級權限的授予與收回每一個用戶都擁有自己定義的數(shù)據(jù)庫對象如（基本表、視圖等），除了他自己和擁有DBA權限的用戶以外，其他用戶都不能訪問這些數(shù)據(jù)庫對象。如果想和其他用戶共享其中一部分數(shù)據(jù)庫對象，就必須將這些數(shù)據(jù)庫對象上的部分或全部權限授予其他用戶。其語法格式為：GrantALL|<權限>[{,<權限>}]On<表名>|<視圖名>[{,<表名>|<視圖名>}]To{<用戶>[{,<用戶>}]|public}[WithGrantOption]關系級權限的授予與收回授予用戶Liming在Student表上的Select和Insert權限。

GrantSelect,UpdateOnStudentToLimingWithGrantOption;Liming授予用戶SCOTT在Student表的Sno列上的Update權限。

GrantUpdate(Sno)OnStudentToSCOTT;將Student表上的全部權限授予全體用戶。

GrantALLOnStudentToPUBLIC;關系級權限的授予與收回回收權限RevokeALL|<表級權限>[{,<表級權限>}]On<表名>|<視圖名>[{,<表名>|<視圖名>}]

From{<用戶>[{,<用戶>}]|PUBLIC}例：收回Liming對Student表的全部權限RevokeALLOnStudentFromLiming;收回權限時，若該用戶已將權限授予其它用戶，則也一并收回。用戶權限定義表用戶名數(shù)據(jù)對象名允許的操作類型王平關系StudentSELECT張明霞關系StudentUPDATE張明霞關系CourseALL張明霞Sc.GradeUPDATE張明霞Sc.SnoSELECT張明霞Sc.CnoSELECT利用視圖實現(xiàn)安全控制為不同的用戶定義不同的視圖，可以將用戶對數(shù)據(jù)的訪問限制在一定的范圍內(nèi)。例：限制王平只能檢索Student表中計算機系學生的學號和姓名。CreateViewCS_StudentAsSelectSno,SnameFromStudentWhereSdept=‘CS’;GrantSelectOnCS_StudentToWangping;強制存取方法主體是系統(tǒng)中的活動實體，既包括DBMS所管理的實際用戶，也包括代表用戶的各進程?？腕w是系統(tǒng)中的被動實體，是受主體操縱的，包括文件、基本表、索引、視圖等對于主體和客體，DBMS為他們每個實例（值）指定一個敏感度標記。敏感度表被分為若干級別，如絕密、機密、可信、公開等。主體的敏感度標記稱為許可證級別，客體的敏感度標記稱為密級。強制存取方法當某一主體以某一許可證級別注冊入系統(tǒng)時，系統(tǒng)要求他對任何客體的存取必須遵循如下規(guī)則：僅當主體的許可證級別大于或等于客體的密級時，該主體才能讀取相應的客體；僅當主體的許可證級別等于客體的密級時，該主體才能寫相應的客體；審計和數(shù)據(jù)加密審計功能把用戶對數(shù)據(jù)庫的所有操作都自動記錄下來放入審計日志中。DBA可以利用審計跟蹤的信息，重現(xiàn)導致數(shù)據(jù)庫現(xiàn)有狀況的一系列事件，找出非法存取數(shù)據(jù)的人、時間和內(nèi)容等。數(shù)據(jù)加密是防止數(shù)據(jù)庫中數(shù)據(jù)在存儲和傳輸中失密的有效手段。加密的基本思想是根據(jù)一定的算法將原始數(shù)據(jù)（明文）變換為不可識別的格式（密文），從而使得不知道解密算法的人無法獲知數(shù)據(jù)的內(nèi)容。統(tǒng)計數(shù)據(jù)庫安全性統(tǒng)計數(shù)據(jù)庫中的數(shù)據(jù)分為兩類，一類是微數(shù)據(jù)描述現(xiàn)實世界的實體、概念或事件的數(shù)據(jù)；另一類是統(tǒng)計或綜合數(shù)據(jù)，時對微數(shù)據(jù)進行綜合處理而得到的結果數(shù)據(jù)。統(tǒng)計數(shù)據(jù)庫只為用戶提供統(tǒng)計數(shù)據(jù)，不允許用戶訪問微數(shù)據(jù)。但微數(shù)據(jù)有時可以通過一組統(tǒng)計數(shù)據(jù)推導出來。統(tǒng)計數(shù)據(jù)庫安全性的目的就是防止用戶訪問或推導出統(tǒng)計數(shù)據(jù)庫的微數(shù)據(jù)。統(tǒng)計數(shù)據(jù)庫安全性例：關系PERSON(NAME,SSN,INCOME,ADDRESS,CITY,STATE,ZIP,SEX,LAST_DEGREE)為人口統(tǒng)計數(shù)據(jù)庫中的一個關系。假設已知王蘭獲博士學位，居住在黑龍江省哈爾濱市，現(xiàn)要查詢其收入，首先執(zhí)行：

SELECTCOUNT(*)FROMPERSONWHERELAST_DEGREE=‘PH.D’ANDSEX=‘F’ANDCITY=‘哈爾濱’

ANDSTATE=‘黑龍江’；統(tǒng)計數(shù)據(jù)庫安全性若返回結果為1，則在執(zhí)行以下查詢：SELECTAVG(INCOME)FROMPERSONWHERELAST_DEGREE=‘PH.D’ANDSEX=‘F’ANDCITY=‘哈爾濱’ANDSTATE=‘黑龍江’；就可獲得王蘭的收入。統(tǒng)計數(shù)據(jù)庫安全性為防止用戶推導出統(tǒng)計數(shù)據(jù)庫的微數(shù)據(jù)，可以采取以下方法：對統(tǒng)計結果的大小加以控制，將其限制在某一范圍之內(nèi)。這樣可以減小使用統(tǒng)計查詢推導微數(shù)據(jù)的可能性。禁止在相同元組集合上重復執(zhí)行一系列統(tǒng)計查詢。在統(tǒng)計查詢結果中加入噪聲，為推導微數(shù)據(jù)制造困難。完整性數(shù)據(jù)庫的完整性是指數(shù)據(jù)的正確性和相容性。其中，正確性是指數(shù)據(jù)應具有合法的類型，如數(shù)值型的字段只能含有0~9，不能包含其它符號；更進一步，數(shù)據(jù)還應在有效的取值范圍之內(nèi)，如一年最多只有12個月，不能出現(xiàn)13個月。相容性是指表示同一個事實的兩個數(shù)據(jù)應該相同，如一個人不應當存在兩個年齡。數(shù)據(jù)庫能否保持完整性關系到數(shù)據(jù)庫系統(tǒng)是否能夠真實的反映現(xiàn)實世界，因此維護數(shù)據(jù)庫的完整性十分重要。完整性與安全性數(shù)據(jù)庫的完整性與安全性是兩個不同的概念。前者是為了防止數(shù)據(jù)庫中存在不符合語義的數(shù)據(jù)，防止錯誤信息的輸入和輸出，即所謂的垃圾進垃圾出所造成的無效操作和錯誤結果。而后者是保護數(shù)據(jù)庫防止惡意的破壞和非法存取。也就是說，安全性防范的是非法用戶和非法操作，完整性措施的防范對象是不合語義的數(shù)據(jù)。完整性約束條件施加在數(shù)據(jù)庫數(shù)據(jù)之上的語義約束條件稱為數(shù)據(jù)庫完整性約束條件。數(shù)據(jù)庫系統(tǒng)依據(jù)完整性約束條件進行完整性檢查。完整性約束條件作用的對象可以是關系、元組、列三種。其中列約束主要是列的類型、取值范圍、精度等約束條件。元組的約束是元組中各個字段間聯(lián)系的約束。關系的約束是若干元組間、關系集合上以及關系之間的聯(lián)系的約束。完整性約束條件涉及這三類對象的完整性約束又可分為靜態(tài)約束和動態(tài)約束。靜態(tài)約束是指數(shù)據(jù)庫每一確定狀態(tài)（在某一時刻數(shù)據(jù)庫中的所有數(shù)據(jù)實例構成了數(shù)據(jù)庫的一個狀態(tài)）時，數(shù)據(jù)對象所應滿足的約束條件，它是反映數(shù)據(jù)庫狀態(tài)合理性的約束。動態(tài)約束是指數(shù)據(jù)庫從一個中狀態(tài)轉變?yōu)榱硪环N狀態(tài)時，新、舊值之間所應滿足的約束條件，它是反映數(shù)據(jù)庫狀態(tài)變遷的約束。靜態(tài)約束固有約束指數(shù)據(jù)模型固有的約束，如關系的屬性應當是原子的。隱含約束指隱含于數(shù)據(jù)模式的約束，一般用DDL語句說明，并存于數(shù)據(jù)字典中。如實體完整性約束。顯式約束指固有約束，隱含約束之外，依賴于數(shù)據(jù)的語義和應用，需要顯式定義的完整性約束。靜態(tài)約束靜態(tài)列級約束是對一個列的取值域的說明，包括：對數(shù)據(jù)類型的約束（包括數(shù)據(jù)的類型、長度、單位、精度等）對數(shù)據(jù)格式的約束對取值范圍或取值集合的約束對空值的約束其他約束靜態(tài)約束靜態(tài)元組約束規(guī)定了組成一個元組的各個列之間的約束關系。靜態(tài)關系約束規(guī)定了一個關系的若干元組或者若干關系之間常常存在的各種聯(lián)系或約束。包括：實體完整性約束參照完整性約束函數(shù)依賴統(tǒng)計約束動態(tài)約束動態(tài)列級約束是修改列定義或列值時應滿足的約束條件，包括：修改列定義時的約束修改列值時的約束動態(tài)元組約束指修改元組值時元組中各個字段間需要滿足的約束。動態(tài)關系約束是加在關系變化前后狀態(tài)上的限制條件。數(shù)據(jù)庫的完整性控制機制為保護數(shù)據(jù)庫的完整性，防止錯誤的數(shù)據(jù)進入數(shù)據(jù)庫，數(shù)據(jù)庫提供了完整性控制機制。它包括三個方面的功能：定義功能，提供定義完整性約束條件的機制。檢查功能，檢查用戶發(fā)出的操作請求是否違背了完整性約束條件。違約響應，若違背了完整性約束條件，則采取一定措施來保證數(shù)據(jù)的完整性。完整性檢查的時機立即執(zhí)行約束是指在執(zhí)行用戶事務的過程中，在一條語句執(zhí)行完后立即進行完整性約束的檢查。若違背了完整性約束，系統(tǒng)將拒絕該操作。延遲執(zhí)行約束是指在整個用戶事務執(zhí)行完畢后，再進行完整性約束的檢查，若正確方允許提交事務。若違背了完整性約束，系統(tǒng)將拒絕整個事務。完整性規(guī)則一條完整性規(guī)則可以用一個五元組（D，O，A，C，P）來描述，其中：D（Data）約束所作用的數(shù)據(jù)對象O（Operation）觸發(fā)完整性檢查的數(shù)據(jù)庫操作，即當用戶發(fā)出什么操作請求時需要檢查該完整性規(guī)則，是立即檢查還是延遲檢查。A（Assertion）數(shù)據(jù)對象必須滿足的斷言或語義約束。C（Condition）選擇A作用的數(shù)據(jù)對象值的謂詞。P（Procedure）違反完整性規(guī)則時觸發(fā)的過程。完整性規(guī)則教授的工資不得低于1000元。D約束作用的對象為工資Sal屬性O插入或修改職工元組時ASal不能小于1000C職稱=‘教授’P拒絕執(zhí)行該操作完整性約束的說明固有約束在DBMS實現(xiàn)時已經(jīng)考慮，不必特殊說明。隱含約束的說明可以通過DDL語句來定義實現(xiàn)。顯式完整性約束的說明一般有過程說明方式，斷言說明方式，觸發(fā)器說明方式等幾種。顯式完整性約束的說明用過程說明約束把約束的說明和檢驗作為一個過程，由程序員編碼到每個更新數(shù)據(jù)庫的事務中。用以檢驗數(shù)據(jù)庫更新是否違反了給定約