數(shù)據(jù)安全性控制

第四章數(shù)據(jù)庫(kù)安全性AnIntroductiontoDatabaseSystem數(shù)據(jù)庫(kù)安全性安全性指什么？數(shù)據(jù)庫(kù)安全性是指保護(hù)數(shù)據(jù)以防止不合法的使用所造成的數(shù)據(jù)泄密、更改或破壞。安全性問題的提出計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)共享機(jī)制必然帶來安全性問題；數(shù)據(jù)庫(kù)的一大特點(diǎn)是數(shù)據(jù)共享，但是不能無條件共享，例如：軍事機(jī)密、商業(yè)機(jī)密（市場(chǎng)營(yíng)銷策略、新產(chǎn)品實(shí)驗(yàn)數(shù)據(jù)等）AnIntroductiontoDatabaseSystem第四章數(shù)據(jù)庫(kù)安全性4.1計(jì)算機(jī)安全性概述4.2數(shù)據(jù)庫(kù)安全性控制4.3視圖機(jī)制4.4審計(jì)（Audit）4.5數(shù)據(jù)加密4.6統(tǒng)計(jì)數(shù)據(jù)庫(kù)安全性4.7小結(jié)AnIntroductiontoDatabaseSystem4.1計(jì)算機(jī)安全性概述4.1.1計(jì)算機(jī)系統(tǒng)的三類安全性問題4.1.2安全標(biāo)準(zhǔn)簡(jiǎn)介技術(shù)安全類問題管理安全類問題政策法律類問題教材P130頁(yè)美國(guó)國(guó)防部：1985年，TCSEC標(biāo)準(zhǔn)CC項(xiàng)目組織：CCV2.1版，1999年被ISO采用為國(guó)際標(biāo)準(zhǔn)AnIntroductiontoDatabaseSystem4.1計(jì)算機(jī)安全性概述----信息安全標(biāo)準(zhǔn)的發(fā)展歷史AnIntroductiontoDatabaseSystem4.1計(jì)算機(jī)安全性概述

1991年4月，美國(guó)NCSC（NationalComputerSecurityCenter）頒布了（TrustedDatabaseInterpretation），簡(jiǎn)稱TDI，將TCSEC擴(kuò)展到數(shù)據(jù)庫(kù)管理系統(tǒng)。

TDI定義了數(shù)據(jù)庫(kù)管理系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)中需要滿足和用以進(jìn)行安全性級(jí)別評(píng)估的標(biāo)準(zhǔn)。

TDI主要從以下四個(gè)方面來描述安全性級(jí)別劃分的指標(biāo)：安全策略、責(zé)任、保證和文檔。AnIntroductiontoDatabaseSystem4.1計(jì)算機(jī)安全性概述安全級(jí)別定義A1驗(yàn)證設(shè)計(jì)（VerifiedDesign）

B3安全域（SecurityDomains）

B2結(jié)構(gòu)化保護(hù)（StructuralProtection）

B1標(biāo)記安全保護(hù)（LabeledSecurityProtection）

C2受控的存取保護(hù)（ControlledAccessProtection）

C1自主安全保護(hù)（DiscretionarySecurityProtection）D最小保護(hù)（MinimalProtection）根據(jù)計(jì)算機(jī)系統(tǒng)對(duì)TDI各項(xiàng)指標(biāo)的支持情況，將系統(tǒng)劃分為四組七個(gè)等級(jí)，它們按照系統(tǒng)的可靠和可信程度遞增。AnIntroductiontoDatabaseSystem4.1計(jì)算機(jī)安全性概述針對(duì)B2以上的系統(tǒng)還處于理論研究階段應(yīng)用多限于一些特殊的部門，如軍隊(duì)等美國(guó)正在大力發(fā)展安全產(chǎn)品，試圖將目前僅限于少數(shù)領(lǐng)域應(yīng)用的B2安全級(jí)別下放到商業(yè)應(yīng)用中來，并逐步成為新的商業(yè)標(biāo)準(zhǔn)AnIntroductiontoDatabaseSystem

4.1計(jì)算機(jī)安全性概述CC標(biāo)準(zhǔn)簡(jiǎn)介

在上述各評(píng)估準(zhǔn)則和具體實(shí)踐的基礎(chǔ)上，通過相互總結(jié)和互補(bǔ)發(fā)展而來

結(jié)構(gòu)開放、表達(dá)方式通用、國(guó)際公認(rèn)產(chǎn)品的安全要求： 安全功能要求和安全保證要求

CC文本的構(gòu)成：簡(jiǎn)介和一般模型、安全功能要求、安全保證要求。AnIntroductiontoDatabaseSystem4.1計(jì)算機(jī)安全性概述評(píng)估保證級(jí)定義TCSEC安全級(jí)別（近似相當(dāng)）EAL1功能測(cè)試（functionallytested）EAL2結(jié)構(gòu)測(cè)試（structurallytested）C1EAL3系統(tǒng)地測(cè)試和檢查（methodicallytestedandchecked）C2EAL4系統(tǒng)地設(shè)計(jì)、測(cè)試和復(fù)查（methodicallydesigned，

tested，

andreviewed）B1EAL5半形式化設(shè)計(jì)和測(cè)試（semiformallydesignedandtested）B2EAL6半形式化驗(yàn)證的設(shè)計(jì)和測(cè)試（semiformallyverifieddesignandB3tested）EAL7形式化驗(yàn)證的設(shè)計(jì)和測(cè)試（formallyverifieddesignandtested）A1AnIntroductiontoDatabaseSystem第四章數(shù)據(jù)庫(kù)安全性4.1計(jì)算機(jī)安全性概述4.2數(shù)據(jù)庫(kù)安全性控制4.3視圖機(jī)制4.4審計(jì)（Audit）4.5數(shù)據(jù)加密4.6統(tǒng)計(jì)數(shù)據(jù)庫(kù)安全性4.7小結(jié)AnIntroductiontoDatabaseSystem非法使用數(shù)據(jù)庫(kù)的情況用戶編寫一段合法的程序繞過DBMS及其授權(quán)機(jī)制，通過操作系統(tǒng)直接存取、修改或備份數(shù)據(jù)庫(kù)中的數(shù)據(jù)；直接或編寫應(yīng)用程序執(zhí)行非授權(quán)操作；通過多次合法查詢數(shù)據(jù)庫(kù)從中推導(dǎo)出一些保密數(shù)據(jù)例：某數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)禁止查詢單個(gè)人的工資，但允許查任意一組人的平均工資。用戶甲想了解張三的工資，于是他?

破壞安全性的行為可能是無意的，故意的，惡意的AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫(kù)安全性控制

應(yīng)用DBMSOS

DB低高安全性控制層次實(shí)現(xiàn)方法用戶標(biāo)識(shí)和鑒定

存取控制審計(jì)視圖操作系統(tǒng)安全保護(hù)密碼存儲(chǔ)AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫(kù)安全性控制4.2.1用戶標(biāo)識(shí)與鑒別4.2.2存取控制4.2.3自主存取控制方法4.2.4授權(quán)與回收4.2.5數(shù)據(jù)庫(kù)角色4.2.6強(qiáng)制存取控制方法AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫(kù)安全性控制4.2.1用戶標(biāo)識(shí)和識(shí)別它是系統(tǒng)提供的最外層安全保護(hù)措施。其方法是由系統(tǒng)提供一定的方式讓用戶標(biāo)識(shí)自己的名字或身份。每次用戶進(jìn)入系統(tǒng)時(shí)，要求由系統(tǒng)進(jìn)行核對(duì)，通過鑒定后才提供機(jī)器使用權(quán)。對(duì)于獲得上機(jī)權(quán)的用戶若要使用數(shù)據(jù)庫(kù)時(shí)數(shù)據(jù)庫(kù)管理系統(tǒng)還要進(jìn)行用戶標(biāo)識(shí)和鑒定。

方法：用戶名+口令（容易泄漏）、密碼算法等。P135AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫(kù)安全性控制4.2.2存取控制數(shù)據(jù)庫(kù)安全性所關(guān)心的主要是：DBMS的存取控制機(jī)制。即：確保只授權(quán)給有資格的用戶訪問數(shù)據(jù)庫(kù)的權(quán)限，同時(shí)令所有未授權(quán)的人員無法接近數(shù)據(jù)。存取控制機(jī)制用戶權(quán)限定義用戶合法權(quán)限檢查安全子系統(tǒng)AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫(kù)安全性控制常用的存取控制方法（1）自主存取控制（DAC）（2）強(qiáng)制存取控制（MAC）用戶對(duì)不同的數(shù)據(jù)庫(kù)對(duì)象有不同的存取權(quán)限，不同的用戶對(duì)同一對(duì)象也有不同權(quán)限，用戶還可將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶，因此比較靈活方便：C2每一個(gè)數(shù)據(jù)庫(kù)對(duì)象被標(biāo)注為一定的密級(jí)，每一個(gè)用戶也被授予某一個(gè)級(jí)別的許可證。對(duì)于任一個(gè)對(duì)象，只有具有合法許可證的用戶才可以存取。因此相對(duì)比較嚴(yán)格：B1AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫(kù)安全性控制4.2.3自主存取控制（DiscretionaryAccessControl）SQL標(biāo)準(zhǔn)提供對(duì)自主存取控制的支持：Grant和Revoke。定義存取權(quán)限用戶權(quán)限二要素：數(shù)據(jù)庫(kù)對(duì)象和操作類型。定義用戶的權(quán)限：就是定義這個(gè)用戶可以在哪些數(shù)據(jù)庫(kù)對(duì)象上進(jìn)行哪些類型的操作。在DBMS中，定義存取權(quán)限稱為授權(quán)。AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫(kù)安全性控制4.2.3自主存取控制數(shù)據(jù)對(duì)象操作類型模式模式基本表視圖索引CreateSchemaCreate/AlterTableCreateViewCreateIndex數(shù)據(jù)表和視圖屬性列查找、插入、修改、刪除、引用查找、插入、修改、引用AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫(kù)安全性控制4.2.3自主存取控制_授權(quán)粒度授權(quán)粒度：指可以定義的數(shù)據(jù)對(duì)象的范圍，它是衡量授權(quán)機(jī)制是否靈活的一個(gè)重要指標(biāo)。授權(quán)定義中數(shù)據(jù)對(duì)象的粒度越細(xì)，即可以定義的數(shù)據(jù)對(duì)象范圍越小，授權(quán)子系統(tǒng)就越靈活，但系統(tǒng)定義與檢查權(quán)限的開銷會(huì)相應(yīng)增大。在數(shù)據(jù)庫(kù)系統(tǒng)中，授權(quán)粒度主要有：數(shù)據(jù)庫(kù)、模式、表和視圖、數(shù)據(jù)、屬性列、數(shù)據(jù)值等。AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫(kù)安全性控制4.2.3自主存取控制_實(shí)現(xiàn)與數(shù)據(jù)值有關(guān)的授權(quán)方法：利用存取謂詞說明：存取謂詞可以很復(fù)雜，例如它可以引用系統(tǒng)變量（終端設(shè)備號(hào)、系統(tǒng)時(shí)鐘等），實(shí)現(xiàn)與時(shí)間、地點(diǎn)等有關(guān)的存取權(quán)限控制，這樣用戶只能在某段時(shí)間內(nèi)、某臺(tái)終端上存取有關(guān)數(shù)據(jù)。例如：學(xué)校規(guī)定：教室只能在每年的1月份和7月份星期一至星期五的上午8點(diǎn)至下午17點(diǎn)之間登陸學(xué)生成績(jī)管理系統(tǒng)處理學(xué)生的成績(jī)數(shù)據(jù)。AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫(kù)安全性控制4.2.3自主存取控制_小結(jié)機(jī)制：用戶定義數(shù)據(jù)存取權(quán)限，DBMS檢查存取權(quán)限優(yōu)點(diǎn)：能夠通過授權(quán)機(jī)制有效地控制其他用戶對(duì)敏感數(shù)據(jù)的存取缺點(diǎn)：可能存在數(shù)據(jù)的“無意泄露”：P143頁(yè)原因：這種機(jī)制僅僅通過對(duì)數(shù)據(jù)的存取權(quán)限來進(jìn)行安全控制，而數(shù)據(jù)本身并無安全性標(biāo)記。解決：對(duì)系統(tǒng)控制下的所有主客體實(shí)施強(qiáng)制存取控制策略AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫(kù)安全性控制4.2.4授權(quán)與回收某個(gè)用戶對(duì)某類數(shù)據(jù)庫(kù)對(duì)象具有何種操作權(quán)力是個(gè)政策問題，而不是技術(shù)問題。數(shù)據(jù)庫(kù)管理系統(tǒng)的任務(wù)：保證權(quán)限控制體系正確執(zhí)行。轉(zhuǎn)入：SQL2005數(shù)據(jù)安全性控制之權(quán)限管理AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫(kù)安全性控制DBA：擁有所有對(duì)象的所有權(quán)限不同的權(quán)限授予不同的用戶用戶：擁有自己建立的對(duì)象的全部的操作權(quán)限GRANT：授予其他用戶被授權(quán)的用戶“繼續(xù)授權(quán)”許可：再授予所有授予出去的權(quán)力在必要時(shí)又都可用REVOKE語(yǔ)句收回

SQL靈活的授權(quán)機(jī)制AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫(kù)安全性控制4.2.5數(shù)據(jù)庫(kù)角色管理數(shù)據(jù)庫(kù)角色是被命名的一組與數(shù)據(jù)庫(kù)操作相關(guān)的權(quán)限，即角色是權(quán)限的集合。因此，可以為一組具有相同權(quán)限的用戶創(chuàng)建一個(gè)角色，使用角色來管理數(shù)據(jù)庫(kù)權(quán)限可以簡(jiǎn)化授權(quán)的過程。轉(zhuǎn)入：SQL2005數(shù)據(jù)安全性控制之角色管理AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫(kù)安全性控制4.2.6強(qiáng)制存取控制自主存取控制的缺陷：P143頁(yè)。解決方案：對(duì)系統(tǒng)控制下的所有主客體實(shí)施MAC。

MAC的特點(diǎn)它是為了保證系統(tǒng)更高程度的安全性；在應(yīng)用過程中不是用戶能夠直接感知或進(jìn)行控制的；一般適用于哪些對(duì)數(shù)據(jù)有嚴(yán)格而固定密級(jí)分類的部門，例如：軍事部門、政府機(jī)要部門等。AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫(kù)安全性控制強(qiáng)制存取控制中的實(shí)體分類（1）主體（2）客體系統(tǒng)中的活動(dòng)實(shí)體，即包括DBMS所管理的實(shí)際用戶，也包括代表用戶的各種進(jìn)程。受主體操縱的被動(dòng)實(shí)體，包括：數(shù)據(jù)庫(kù)、模式、基本表、視圖、索引、數(shù)據(jù)列、表中數(shù)據(jù)等。對(duì)于主體和客體：DBMS為他們每個(gè)實(shí)例指派一個(gè)敏感度標(biāo)記。AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫(kù)安全性控制敏感度標(biāo)記（Label）絕密（TopSecret）機(jī)密（Secret）可信（Confidential）公開（Public）主體的敏感度標(biāo)記稱為許可證級(jí)別（ClearanceLevel）客體的敏感度標(biāo)記稱為密級(jí)（ClassificationLevel）MAC機(jī)制就是通過對(duì)比主體的Label和客體的Label，最終確定主體是否能夠存取客體。AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫(kù)安全性控制強(qiáng)制存取控制規(guī)則（原理）

(1)僅當(dāng)主體的許可證級(jí)別大于或等于客體的密級(jí)時(shí)，該主體才能讀取相應(yīng)的客體

(2)僅當(dāng)主體的許可證級(jí)別等于客體的密級(jí)時(shí)，該主體才能寫相應(yīng)的客體修正規(guī)則（實(shí)際應(yīng)用）

(1)主體的許可證級(jí)別<=客體的密級(jí)主體能寫客體規(guī)則的共同點(diǎn)：禁止了擁有高許可證級(jí)別的主體更新低密級(jí)的數(shù)據(jù)對(duì)象AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫(kù)安全性控制

MAC和DAC的關(guān)系（1）DAC與MAC共同構(gòu)成DBMS的安全機(jī)制（2）實(shí)現(xiàn)MAC時(shí)要首先實(shí)現(xiàn)DAC原因：較高安全性級(jí)別提供的安全保護(hù)要包含較低級(jí)別的所有保護(hù)。AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫(kù)安全性控制DAC+MAC安全檢查示意圖

SQL語(yǔ)法分析&語(yǔ)義檢查

DAC檢查安全檢查

MAC檢查

繼續(xù)先進(jìn)行DAC檢查，通過DAC檢查的數(shù)據(jù)對(duì)象再由系統(tǒng)進(jìn)行MAC檢查，只有通過MAC檢查的數(shù)據(jù)對(duì)象方可存取。AnIntroductiontoDatabaseSystem4.3視圖機(jī)制通過視圖機(jī)制把要保密的數(shù)據(jù)對(duì)無權(quán)存取的用戶隱藏起來，從而自動(dòng)地對(duì)數(shù)據(jù)提供一定程度的安全保護(hù)。視圖的主要功能是提供數(shù)據(jù)邏輯獨(dú)立性，無法完全滿足安全性控制要求，但它可以間接的實(shí)現(xiàn)支持“存取謂詞”的用戶權(quán)限定義。關(guān)系級(jí)的安全性和視圖級(jí)的安全性可以結(jié)合起來，用于限制用戶只能訪問所需要的數(shù)據(jù)。AnIntroductiontoDatabaseSystem4.3視圖機(jī)制例題：（1）建立計(jì)算機(jī)系學(xué)生的選修課程的成績(jī)記錄。列出學(xué)生的學(xué)號(hào)、姓名、課程號(hào)、課程名稱、學(xué)分、成績(jī)等信息。（2）將該視圖的查詢權(quán)限授予Smith。操作：（1）企業(yè)管理器中創(chuàng)建該視圖。（2）將該視圖的查詢權(quán)限授予Smith。注意：用戶僅擁有視圖的操作權(quán)限，不一定就能正常使用該視圖；除非該用戶擁有該視圖涉及所有數(shù)據(jù)來源基本表的相應(yīng)權(quán)限才可以正常操作。AnIntroductiontoDatabaseSystem4.4審計(jì)什么是審計(jì)?它是DBMS系統(tǒng)C2以上安全級(jí)別必不可少的指標(biāo)。審計(jì)功能就是將用戶對(duì)數(shù)據(jù)庫(kù)的所有操作自動(dòng)記錄下來放入審計(jì)日志（AuditLog）。

DBA可以利用審計(jì)跟蹤的信息，找出非法存取數(shù)據(jù)的人、時(shí)間和內(nèi)容等。審計(jì)通常很費(fèi)時(shí)間和空間，故DBMS一般將其作為可選特征，允許DBA根據(jù)應(yīng)用對(duì)安全性的要求，靈活的打開或關(guān)閉審計(jì)功能。AnIntroductiontoDatabaseSystem4.4審計(jì)審計(jì)類型用戶級(jí)審計(jì)系統(tǒng)級(jí)審計(jì)只能由DBA設(shè)置用于監(jiān)測(cè)成功或失敗的登錄要求監(jiān)測(cè)Grant和Revoke操作以及其他數(shù)據(jù)庫(kù)級(jí)權(quán)限的操作任何用戶可設(shè)置的審計(jì)針對(duì)自己創(chuàng)建的數(shù)據(jù)庫(kù)表或視圖進(jìn)行審計(jì)記錄所有用戶對(duì)這些表或視圖的所有訪問要求以及各種類型的SQL操作AnIntroductiontoDatabaseSystem4.4審計(jì)審計(jì)功能的設(shè)置與取消Audit語(yǔ)句和NoAudit語(yǔ)句：參照教材P146頁(yè)SQL2005的系統(tǒng)級(jí)審計(jì)只需設(shè)置服務(wù)器的安全性屬性即可SQLServer中的審計(jì)功能（1）SQL2005只有系統(tǒng)級(jí)審計(jì)，用戶級(jí)審計(jì)需要借助第三方軟件來實(shí)現(xiàn)。（2）SQL2008則完善了審計(jì)功能，允許監(jiān)控?cái)?shù)據(jù)的更改或訪問，并且提供了完善的數(shù)據(jù)加密功能。AnIntroductiontoDatabaseSystem4.5數(shù)據(jù)加密防止數(shù)據(jù)庫(kù)中數(shù)據(jù)在存儲(chǔ)和傳輸中失密的有效手段數(shù)據(jù)加密的基本思想根據(jù)一定的算法將原始數(shù)據(jù)（明文）變換為不可直接識(shí)別的格式（密文），從而使不知道解密算法的人無法獲知數(shù)據(jù)的內(nèi)容。數(shù)據(jù)加密的方法替換算法、置換算法、混合使用（DES算法）、非對(duì)稱加密算法（數(shù)字證書應(yīng)用）AnIntroductiontoDatabaseSystem4.5數(shù)據(jù)加密下圖就是一個(gè)很典型的加密碼過程圖：AnIntroductiontoDatabaseSystem4.5數(shù)據(jù)加密有關(guān)數(shù)據(jù)加密問題的處理：有關(guān)DES密鑰加密技術(shù)以及密鑰管理問題請(qǐng)閱讀數(shù)據(jù)加密的有關(guān)文獻(xiàn)。目前SQL2008和Oracle中提供了數(shù)據(jù)加密例行程序，可根據(jù)用戶的要求自動(dòng)對(duì)存儲(chǔ)和傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理。

SQL2000和2005以及其他一些