第四章數(shù)據(jù)庫安全性

第四章數(shù)據(jù)庫安全性1數(shù)據(jù)庫安全性數(shù)據(jù)庫的一大特點是數(shù)據(jù)可以共享，然而有些數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)（軍事秘密、國家機密、新產品實驗數(shù)據(jù)、市場需求分析、市場營銷策略、銷售計劃、客戶檔案、醫(yī)療檔案、銀行儲蓄數(shù)據(jù)等）的共享不能是無條件的共享。因此，對數(shù)據(jù)庫中數(shù)據(jù)共享的限制帶來數(shù)據(jù)庫的安全性問題。計算機安全性概述數(shù)據(jù)庫安全性控制視圖機制審計（Audit）數(shù)據(jù)加密統(tǒng)計數(shù)據(jù)庫安全性2計算機安全性概述數(shù)據(jù)庫系統(tǒng)安全性與計算機系統(tǒng)安全性緊密聯(lián)系，相互支持。計算機系統(tǒng)安全性是指為計算機系統(tǒng)建立和采取的各種安全保護措施，以保護計算機系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。內容

計算機安全性包括計算機安全理論與策略、計算機安全技術、安全管理、安全評價、安全產品以及計算機犯罪與偵察、計算機安全法律、安全監(jiān)察等。分類計算機系統(tǒng)安全性問題包括3類。

技術安全類：計算機系統(tǒng)內部采用具有一定安全性的硬件、軟件來實現(xiàn)對系統(tǒng)的保護；管理安全類：系統(tǒng)責任/所有方防止因管理不善導致系統(tǒng)的設備和數(shù)據(jù)介質的物理破壞、丟失等軟硬件意外故障以及場地的意外事故；政策法律類：社會/國家等政府部門建立的法律道德準則和政策、法令、法規(guī)等。3計算機安全性概述安全標準

計算機安全性問題越來越得到人們的重視，對各種計算機及其相關產品、信息系統(tǒng)的安全性要求越來越高。為此在計算機安全技術方面逐步建立了一套可信機選幾系統(tǒng)的概念和標準，以規(guī)范和指導安全計算機系統(tǒng)部件的生產，比較準確地測定產品的安全性能指標。安全標準發(fā)展過程4我國2001年采用為國家標準計算機安全性概述安全標準

計算機以及信息安全技術方面有一系列的安全標準，最有影響的是TCSEC和CC。

TCSEC標準TCSEC是指1985年美國國防部正式頒布的《DoD可信計算機系統(tǒng)評估準則》。1991年4月美國NCSC（美國計算機安全中心）頒布了《可信計算機系統(tǒng)評估準則關于可信數(shù)據(jù)庫系統(tǒng)的解釋》（簡稱TDI），將TCSEC擴展到數(shù)據(jù)庫管理系統(tǒng)。TDI中定義了數(shù)據(jù)庫管理系統(tǒng)的設計與實現(xiàn)中需要滿足和用以進行安全性級別評估的標準。TCSEC/TDI從安全策略、責任、保證、文檔等四個方面來描述安全性級別劃分的指標。同時根據(jù)計算機系統(tǒng)對各項指標的支持情況，將系統(tǒng)劃分為四組七個等級，依次是D、C（C1，C2）、B（B1，B2，B3）、A（A1）。按系統(tǒng)可靠或可信程度逐漸增高。B2以上的系統(tǒng)還處于理論研究階段，應用多限于一些特殊的部門，如軍隊等。美國正在大力發(fā)展安全產品，試圖將目前僅限于少數(shù)領域應用的B2安全級別下放到商業(yè)應用中來，并逐步成為新的商業(yè)標準。5計算機安全性概述CC標準提出國際公認的表述信息技術安全性的結構，即把信息產品的安全要求分為安全功能要求和安全保證要求。安全功能要求解決如何正確有效的實施這些功能；安全保障要求用以規(guī)范產品和系統(tǒng)的安全行為。CC文本由三部分組成：

簡介和一般模型，介紹CC中的有關術語、基本概念和一般模型以及與評估有關的一些框架；

安全功能要求，列出一系列功能組件、子類和類。具體包括11大類，66個子類，135個組件，涵蓋審計、密碼支持、通信、數(shù)據(jù)保護等。

安全保證要求，列出了一系列保證組件、子類和類。具體包括7大類，26個子類，74個組件，涵蓋配置管理、開發(fā)、生命周期支持、測試、脆弱性評定等。

目前有許多信息產品，操作系統(tǒng)如Windows2000、SunSolaris8等，數(shù)據(jù)庫管理系統(tǒng)如Oracle9i、DB2V8.2、SybaseAdaptiveServerEnterpeiseV12.5.2等，都已通過了CC的EAL4。6數(shù)據(jù)庫安全性數(shù)據(jù)庫的一大特點是數(shù)據(jù)可以共享，然而有些數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)（軍事秘密、國家機密、新產品實驗數(shù)據(jù)、市場需求分析、市場營銷策略、銷售計劃、客戶檔案、醫(yī)療檔案、銀行儲蓄數(shù)據(jù)等）的共享不能是無條件的共享。因此，對數(shù)據(jù)庫中數(shù)據(jù)共享的限制帶來數(shù)據(jù)庫的安全性問題。計算機安全性概述數(shù)據(jù)庫安全性控制視圖機制審計（Audit）數(shù)據(jù)加密統(tǒng)計數(shù)據(jù)庫安全性7數(shù)據(jù)庫安全性控制計算機系統(tǒng)安全模型8用戶要求進入計算機系統(tǒng)時，系統(tǒng)首先根據(jù)輸入的用戶標識進行用戶身份鑒定，只有合法用戶才準許進入計算機系統(tǒng)。數(shù)據(jù)庫安全性控制計算機系統(tǒng)安全模型9操作系統(tǒng)設置一級安全保護措施數(shù)據(jù)庫安全性控制計算機系統(tǒng)安全模型10常見的非法使用數(shù)據(jù)庫的情況：編寫合法程序繞過DBMS及其授權機制；直接或編寫應用程序執(zhí)行非授權操作；通過多次合法查詢數(shù)據(jù)庫從中推導出一些保密數(shù)據(jù)。數(shù)據(jù)庫安全性控制計算機系統(tǒng)安全模型11除了OS的安全屏障外，DBMS為加強DB的安全性，亦建立有獨立的安全體系，不允許用戶繞過DBMS安全體系而直接訪問DB，OS的用戶要想訪問DBMS，必須由DBA設置成DBMS的用戶。數(shù)據(jù)庫安全性控制的常用方法：

用戶標識和鑒定

存取控制

視圖

審計

密碼存儲用戶標識與鑒別用戶標識與鑒別是系統(tǒng)提供的最外層安全保護措施。是由用戶提供一定的方式讓用戶標識自己的名字或身份，每次用戶要求進入系統(tǒng)時，由系統(tǒng)進行核對通過鑒定后才提供機器使用權。

實現(xiàn)方法：

用戶標識：用用戶名或ID號來標明用戶身份，系統(tǒng)內部記錄著所有合法用戶的標識，系統(tǒng)鑒別此用戶是否是合法用戶，若是，則可以進入下一步的核實；若不是，則不能使用系統(tǒng)?？诹睿合到y(tǒng)要求用戶輸入口令，系統(tǒng)核對口令以進一步核實用戶身份。此時需要防止口令與用戶名被竊取。12存取控制數(shù)據(jù)庫系統(tǒng)的存取控制機制就是確保只授權給有資格的用戶訪問數(shù)據(jù)庫的權限，同時令所有未授權的人員無法接近數(shù)據(jù)。

存取控制機制的組成

定義用戶權限，并將用戶權限登記到數(shù)據(jù)字典中。DBMS系統(tǒng)提供適當?shù)恼Z言來定義用戶權限，這些定義經(jīng)過編譯后存放在數(shù)據(jù)字典中，DBMS的功能是保證這些定義的執(zhí)行。合法權限檢查。

當用戶發(fā)出存取數(shù)據(jù)庫的操作請求后，DBMS查找數(shù)據(jù)字典，根據(jù)安全規(guī)則進行合法權限檢查，若用戶的請求超出定義的權限，系統(tǒng)將拒絕此操作。常用的存取控制方法

自主存取控制。強制存取控制。13數(shù)據(jù)庫安全子系統(tǒng)存取控制——自主存取控制方法自主存取控制方法即是DBA擁有對數(shù)據(jù)庫中所有對象的所有權限，并可根據(jù)實際情況將不同的權限授予不同的用戶。用戶可以“自主”地決定將數(shù)據(jù)的操作權限授予何人、決定是否也將“授權”的權限授予別人。

理解

用戶對自己建立的基本表和視圖擁有全部的操作權限，對于不同的數(shù)據(jù)庫對象有不同的存取權限，不同的用戶對同一對象也有不同的權限；

用戶還可將其擁有的某些權限轉授給其他用戶，被授權的用戶如果有“繼續(xù)授權”的許可，還可以把獲得的權限再授予其他用戶。

所有授予出去的權力在必要時可以收回。

實現(xiàn)方法GRANT：授權REVOKE：回收CREATEUSER：數(shù)據(jù)庫模式權限數(shù)據(jù)庫角色管理14自主存取控制方法——GRANT

GRANT語句的一般格式為：GRANT<權限>[,<權限>]...[ON<對象類型><對象名>]TO<用戶>[,<用戶>]...[WITHGRANTOPTION];語義：將對指定操作對象的指定操作權限授予指定的用戶，即定義用戶可以在哪些數(shù)據(jù)庫對象上進行哪些類型的操作。其中：發(fā)出該語句的可以是DBA，也可以使該數(shù)據(jù)庫對象的創(chuàng)建者，也可以使已經(jīng)擁有該權限的用戶。

<權限>：用戶對某一數(shù)據(jù)對象的操作權力。用戶權限由數(shù)據(jù)庫對象和操作類型組成。定義存取權限稱為授權。

<用戶>：接受權限的用戶可以是一個或多個具體用戶，也可以是PUBLIC，即全體用戶。

WITHGRANTOPTION子句:指定了該子句則可以再授予給其他用戶，否則不能傳播。15自主存取控制方法——GRANT16對象類型對象操作類型數(shù)據(jù)庫模式模式CREATESCHEMA基本表CREATETABLE，ALTERTABLE視圖CREATEVIEW索引CREATEINDEX數(shù)據(jù)基本表和視圖SELECT，INSERT，UPDATE，DELETE，REFERENCES，ALLPRIVILEGES屬性列SELECT，INSERT，UPDATE，REFERENCESALLPRIVILEGES關系數(shù)據(jù)庫系統(tǒng)中的存取權限自主存取控制方法——GRANT例1：把查詢Student表權限授給用戶U1GRANTSELECTONTABLEStudentTOU1;例2：把查詢Student表和修改學生學號的權限授給用戶U4

GRANTUPDATE(Sno),SELECT ONTABLEStudent TOU4;例3：把對表SC的INSERT權限授予U5用戶，并允許他再將此權限授予其他用戶

GRANTINSERTONTABLESCTOU5WITHGRANTOPTION;17自主存取控制方法——REVOKE

REVOKE語句的一般格式為：

REVOKE<權限>[,<權限>]...[ON<對象類型><對象名>]FROM<用戶>[,<用戶>]...[RESTRICT|CASCADE];語義：將對指定操作對象的指定操作權限收回。其中：發(fā)出該語句的可以是DBA，也可以使該數(shù)據(jù)庫對象的創(chuàng)建者，也可以使已經(jīng)擁有該權限的用戶。

CASCADE：級聯(lián)。不同產品默認為RESTRICT還是CASCADE有差別，此處為RESTRICT。例如：把用戶U4修改學生學號的權限收回

REVOKEUPDATE(Sno) ONTABLEStudent FROMU4;18自主存取控制方法——創(chuàng)建數(shù)據(jù)庫模式的權限

DBA對數(shù)據(jù)庫模式的授權在創(chuàng)建用戶時由語句CREATEUSER語句實現(xiàn)。一般格式為：CREATEUSER<username>

［WITH］［DBA|RESOURCE|CONNECT］

這里：只有系統(tǒng)的超級用戶才有權創(chuàng)建一個新的數(shù)據(jù)庫用戶。新創(chuàng)建的數(shù)據(jù)庫用戶有三種權限：CONNECT、RESOURCE和DBA（超級用戶，擁有對所有數(shù)據(jù)庫對象的存取權限）。如果沒有明確指定權限，則默認該用戶擁有CONNECT權限。

CONNECT

：只能登錄數(shù)據(jù)庫而沒有創(chuàng)建數(shù)據(jù)庫對象的權限；RESOURCE：能創(chuàng)建基本表和視圖，不能創(chuàng)建模式和新用戶；DBA：超級用戶，擁有對所有數(shù)據(jù)庫對象的存取權限。19自主存取控制方法——創(chuàng)建數(shù)據(jù)庫模式的權限20擁有的權限可否執(zhí)行的操作CREATEUSERCREATESCHEMACREATETABLE/VIEW登錄數(shù)據(jù)庫執(zhí)行數(shù)據(jù)查詢和操縱DBA可以可以可以可以RESOURCE不可以不可以可以可以CONNECT不可以不可以不可以可以，但必須擁有相應權限權限與可執(zhí)行的操作對照表是授予最終用戶的典型權利一般是授予開發(fā)人員的一般是授予管理人員的自主存取控制方法——數(shù)據(jù)庫角色數(shù)據(jù)庫角色是被命名的一組與數(shù)據(jù)庫操作相關的權限，角色是權限的集合?？梢詾橐唤M具有相同權限的用戶創(chuàng)建一個角色，使用角色來管理數(shù)據(jù)庫權限可以簡化授權的過程。

角色創(chuàng)建CREATEROLE<角色名>

這里：剛剛創(chuàng)建的角色是空的。給角色授權

GRANT<權限>［，<權限>］…ON<對象類型>對象名

TO<角色>［，<角色>］…

這里：DBA和用戶可以將權限授予某一個或某幾個用戶。

21自主存取控制方法——數(shù)據(jù)庫角色將一個角色授予其他的角色或用戶GRANT<角色1>［，<角色2>］…TO<角色3>［，<用戶1>］…/**/［WITHADMINOPTION］

這里：角色3的權限是直接授予的全部權限加上角色1、2等的權限之和；

WITHADMINOPTION子句表示獲得某種權限的角色或用戶還可以把這種權限再授予其他的角色；

角色可以授予某用戶或另一個角色。角色權限的收回REVOKE<權限>［，<權限>］［，<角色>］…ON<對象類型><對象名>FROM<角色>［，<角色>］…其中：REVOKE動作的執(zhí)行者或者是角色的創(chuàng)建者，或者是擁有在這個角色上的ADMINOPTION。22自主存取控制方法——數(shù)據(jù)庫角色例如：通過角色來實現(xiàn)將一組權限授予一個用戶。步驟如下：

創(chuàng)建角色R1CREATEROLER1；使用GRANT語句使角色R1擁有Student表的SELECT、UPDATE、INSERT權限

GRANTSELECT，UPDATE，INSERTONTABLEStudentTOR1；將這個角色授予王平，張明，趙玲。使他們具有角色R1所包含的全部權限

GRANTR1TO王平，張明，趙玲；可以一次性通過R1來回收王平的這3個權限

REVOKER1FROM王平；23存取控制——自主存取控制方法自主存取控制方法能夠通過授權機制有效地控制對敏感數(shù)據(jù)的存取。但是一方面由于用戶對數(shù)據(jù)的存取權限是“自主的”，用戶可以自由地決定將數(shù)據(jù)的存取權限授予他人；另一方面由于這種機制僅僅通過對數(shù)據(jù)的存取權限來進行安全控制，而數(shù)據(jù)本身并無安全性標記，存在數(shù)據(jù)的“無意泄露”的可能。因此需要對系統(tǒng)控制下的所有主客體實施強制存取控制策略。24存取控制——強制存取控制方法強制存取控制方法是指系統(tǒng)為保證更高程度的安全性，按照TDI/TCSEC標準中安全策略的要求，對每一個數(shù)據(jù)庫對象標以一定的密級，每一個用戶被授予某一個級別的許可證。對于任意一個對象，只有具有合法許可證的用戶才可以存取。這種強制存取檢查手段適用于那些對數(shù)據(jù)有嚴格而固定密級分類的部門。

MAC中DBMS的實體

主體：主體是系統(tǒng)中的活動實體，包括DBMS所管理的實際用戶、代表用戶的各進程等。

客體是系統(tǒng)中的被動實體，是受主體操縱的文件、基表、索引和視圖等。敏感度標記（Label）對于主體和客體系統(tǒng)為它們的每個實例（值）指派一個敏感度標記（Label）。包括絕密（TopSecret）、機密（Secret）、可信（Confidential）、公開（Public）。主體的敏感度標記稱為許可證級別（ClearanceLevel），客體的敏感度標記稱為密級（ClassificationLevel）。25存取控制——強制存取控制方法強制存取控制規(guī)則

僅當主體的許可證級別大于或等于客體的密級時，該主體才能讀取相應的客體；

僅當主體的許可證級別等于客體的密級時，該主體才能寫相應的客體。

修正規(guī)則主體的許可證級別<=客體的密級主體能寫客體這兩個規(guī)則的共同點（看寫分離）在于：

禁止了擁有高許可證級別的主體更新低密級的數(shù)據(jù)對象

禁止了擁有低許可證級別的主體看高密級的數(shù)據(jù)對象在復制時，標記與數(shù)據(jù)不可分，即標記隨數(shù)據(jù)走且始終有效（只有持有原系統(tǒng)DBMS頒發(fā)的許可證，才可以按上述規(guī)則查看數(shù)據(jù)，否則不能），這樣提供了更高級別的安全性。26兩種存取控制方法DAC與MAC共同構成DBMS的安全機制。實現(xiàn)MAC時要首先實現(xiàn)DAC，較高安全性級別提供的安全保護要包含較低級別的所有保護。DAC+MAC安全檢查如下圖所示。27SQL語法分析&語義檢查DAC檢查MAC檢查繼續(xù)語義檢查安全檢查先進行DAC檢查，通過DAC檢查的數(shù)據(jù)對象再由系統(tǒng)進行MAC檢查，只有通過MAC檢查的數(shù)據(jù)對象方可存取。數(shù)據(jù)庫安全性數(shù)據(jù)庫的一大特點是數(shù)據(jù)可以共享，然而有些數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)（軍事秘密、國家機密、新產品實驗數(shù)據(jù)、市場需求分析、市場營銷策略、銷售計劃、客戶檔案、醫(yī)療檔案、銀行儲蓄數(shù)據(jù)等）的共享不能是無條件的共享。因此，對數(shù)據(jù)庫中數(shù)據(jù)共享的限制帶來數(shù)據(jù)庫的安全性問題。計算機安全性概述數(shù)據(jù)庫安全性控制視圖機制審計（Audit）數(shù)據(jù)加密統(tǒng)計數(shù)據(jù)庫安全性28視圖機制視圖機制即是把要保密的數(shù)據(jù)對無權存取這些數(shù)據(jù)的用戶隱藏起來，對數(shù)據(jù)提供一定程度的安全保護。

主要功能

提供數(shù)據(jù)獨立性；

間接實現(xiàn)了支持存取謂詞的用戶權限定義實現(xiàn)方法

為不同的用戶定義不同的視圖，把數(shù)據(jù)對象限制在一定的范圍內。例如：建立計算機系學生的視圖，把對該視圖的SELECT權限授于王平，把該視圖上的所有操作權限授于張明。

建立計算機系學生的視圖CS_StudentCREATEVIEWCS_StudentASSELECT*FROMStudentWHERESdept='CS'；29在視圖上進一步定義存取權限

GRANTSELECTONCS_StudentTO王平；

GRANTALLPRIVILEGESONCS_StudentTO張明；數(shù)據(jù)庫安全性數(shù)據(jù)庫的一大特點是數(shù)據(jù)可以共享，然而有些數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)（軍事秘密、國家機密、新產品實驗數(shù)據(jù)、市場需求分析、市場營銷策略、銷售計劃、客戶檔案、醫(yī)療檔案、銀行儲蓄數(shù)據(jù)等）的共享不能是無條件的共享。因此，對數(shù)據(jù)庫中數(shù)據(jù)共享的限制帶來數(shù)據(jù)庫的安全性問題。計算機安全性概述數(shù)據(jù)庫安全性控制視圖機制審計（Audit）

數(shù)據(jù)加密統(tǒng)計數(shù)據(jù)庫安全性30審計任何系統(tǒng)的安全保護措施都不是完美無缺的。審計功能把用戶對數(shù)據(jù)庫的所有操作自動記錄下來放入審計日志中。DBA可以利用審計跟蹤的信息，重現(xiàn)導致數(shù)據(jù)庫現(xiàn)有狀況的一系列事件，找出非法存取數(shù)據(jù)的人、時間和內容等。是DBMS達到C2以上安全級別必不可少的一項指標。

分類

用戶級審計。用戶自己設置的、針對用戶自己創(chuàng)建的數(shù)據(jù)庫表或視圖的審計，記錄所有用戶對這些表或視圖的一切成功和（或）不成功的訪問要求以及各種類型的SQL操作。

系統(tǒng)級審計。由DBA設置，監(jiān)測成功或失敗的登錄要求，監(jiān)測GRANT和REVOKE操作以及其他數(shù)據(jù)庫級權限下的操作。31審計實現(xiàn)方法審計功能的運行代價比較大，所以產品中一般將其作為可選特征（即可以開啟或關閉）。

AUDIT語句：設置/開啟審計功能。

NOAUDIT語句：取消審計功能。例如：對修改SC表結構或修改SC表數(shù)據(jù)的操作進行審計

AUDITALTER，UPDATEONSC；例如：取消對SC表的一切審計

NOAUDITALTER，UPDATEONSC；32數(shù)據(jù)庫安全性數(shù)據(jù)庫的一大特點是數(shù)據(jù)可以共享，然而有些數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)（軍事秘密、國家機密、新產品實驗數(shù)據(jù)、市場需求分析、市場營銷策略、銷售計劃、客戶檔案、醫(yī)療檔案、銀行儲蓄數(shù)據(jù)等）的共享不能是無條件的共享。因此，對數(shù)據(jù)庫中數(shù)據(jù)共享的限制帶來數(shù)據(jù)庫的安全性問題。計算機安全性概述數(shù)據(jù)庫安全性控制視圖機制審計（Audit）數(shù)據(jù)加密統(tǒng)計數(shù)據(jù)庫安全性33數(shù)據(jù)加密對于高度敏感性數(shù)據(jù)，還可以采取數(shù)據(jù)加密技術。加密的基本思想是根據(jù)一定的算法將原始數(shù)據(jù)變換為不可直接識別的格式，從而使得不知道解密算法的人無法獲知數(shù)據(jù)的內容。數(shù)據(jù)加密是防止數(shù)據(jù)庫中數(shù)據(jù)在存儲和傳輸中失密的有效手段。

加密方法

替換方