第九部分?jǐn)?shù)據(jù)庫安全市公開課金獎市賽課一等獎?wù)n件

第九章數(shù)據(jù)庫安全性數(shù)據(jù)庫安全性是指保護(hù)數(shù)據(jù)庫以預(yù)防不合法使用所造成數(shù)據(jù)泄露、更改或破壞.數(shù)據(jù)庫安全性和計算機(jī)系統(tǒng)安全性，包括操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)安全性是緊密聯(lián)系、互相支持.9．1．1計算機(jī)系統(tǒng)三類安全性問題所謂計算機(jī)系統(tǒng)安全性，是指為計算機(jī)系統(tǒng)建立和采用各種安全保護(hù)辦法，以保護(hù)計算機(jī)系統(tǒng)中硬件、軟件及數(shù)據(jù)，預(yù)防因偶然或歹意原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。第1頁第1頁計算機(jī)安全涉及:計算機(jī)系統(tǒng)本身技術(shù)問題、管理問題，法學(xué)、犯罪學(xué)、心理學(xué)問題其內(nèi)容涉及:計算機(jī)安全理論與策略、計算機(jī)安全技術(shù)、安全管理、安全評價、安全產(chǎn)品以及計算機(jī)犯罪與偵察、計算機(jī)安全法律、安全監(jiān)察等。計算機(jī)系統(tǒng)安全性問題可分為三大類:技術(shù)安全類、管理安全類、政策法律類第2頁第2頁9．1．2可信計算機(jī)系統(tǒng)評測原則1985年美國國防部(DoD)正式頒布《DoD可信計算機(jī)系統(tǒng)評估原則》(TrustedComputerSystemEvaluationCriteria，簡稱TCSEC或DOD85)。TCSEC又稱桔皮書；

制定這個原則目的主要有：(1)提供各種原則，使用戶能夠?qū)ζ溆嬎銠C(jī)系統(tǒng)內(nèi)敏感信息安全操作可信程度做評估。(2)給計算機(jī)行業(yè)制造商提供一個可循指導(dǎo)規(guī)則，使其產(chǎn)品能夠更加好地滿足敏感應(yīng)用安全需求。第3頁第3頁?1991年4月美國NCSC(國家計算機(jī)安全中心)頒布了《可信計算機(jī)系統(tǒng)評估原則關(guān)于可信數(shù)據(jù)庫系統(tǒng)解釋》(TrustedDatabaseInterpretation，簡稱TDI，即紫皮書)，將TCSEC擴(kuò)展到數(shù)據(jù)庫管理系統(tǒng)。?TDI中定義了數(shù)據(jù)庫管理系統(tǒng)設(shè)計與實現(xiàn)中需滿足和用以進(jìn)行安全性級別評估原則。?四個方面來描述安全性級別劃分指標(biāo)：安全策略、責(zé)任、確保、文檔。第4頁第4頁第5頁第5頁第6頁第6頁第7頁第7頁第8頁第8頁TCSEC(TDl)將系統(tǒng)劃分為四組(division)七個等級，依次是D；C(C1，C2)；B(BI，B2，B3)；A(A1)，按系統(tǒng)可靠或可信程度逐步增高，第9頁第9頁第10頁第10頁D級

?D級是最低檔別。?保留D級目的是為了將一切不符合更高原則系統(tǒng)，統(tǒng)統(tǒng)歸于D組。?如DOS就是操作系統(tǒng)中安全原則為D典型例子。它含有操作系統(tǒng)基本功效，如文獻(xiàn)系統(tǒng)，進(jìn)程調(diào)度等，但在安全性方面幾乎沒有什么專門機(jī)制來保障第11頁第11頁C1級

?只提供了非常初級自主安全保護(hù)。?能夠?qū)崿F(xiàn)對用戶和數(shù)據(jù)分離，進(jìn)行自主存取控制(DAC)，保護(hù)或限制用戶權(quán)限傳播。?既有商業(yè)系統(tǒng)往往稍作改進(jìn)即可滿足要求。第12頁第12頁C2級

?實際是安全產(chǎn)品最低檔次，提供受控存取保護(hù)，即將C1級DAC進(jìn)一步細(xì)化，以個人身份注冊負(fù)責(zé)，并實行審計和資源隔離。?諸多商業(yè)產(chǎn)品已得到該級別認(rèn)證。?達(dá)到C2級產(chǎn)品在其名稱中往往不突出“安全”這一特色，如:操作系統(tǒng)中MicrosoftWindowsNT3．5，數(shù)字設(shè)備公司?OpenVMSVAX6．0和6．1。數(shù)據(jù)庫產(chǎn)品有Oracle公司racle7，Sybase公司SQLServer6．0．6等。第13頁第13頁BI級

?標(biāo)識安全保護(hù)。對系統(tǒng)數(shù)據(jù)加以標(biāo)識，并對標(biāo)識主體和客體實行強(qiáng)制存取控制(MAC)以及審計等安全機(jī)制。?B1級能夠較好地滿足大型公司或普通政府部門對于數(shù)據(jù)安全需求，這一級別產(chǎn)品才認(rèn)為是真正意義上安全產(chǎn)品。?滿足此級別產(chǎn)品前普通多冠以“安全”(Securiy)或“可信”(Trusted)字樣，作為區(qū)別于普通產(chǎn)品安全產(chǎn)品發(fā)售。?比如，操作系統(tǒng)方面，典型有數(shù)字設(shè)備公司SEVMSVAXVersion6．0，惠普公司HP-UXBLSrelease9．0．9+。第14頁第14頁數(shù)據(jù)庫方面則有Oracle公司TrustedOracle7，Sybase公司SecureSQLServerversion11．0．6，Informix公司IncorporatedINFORMIX-OnLin6／Secure5．0等第15頁第15頁B2級

?結(jié)構(gòu)化保護(hù)。建立形式化安全策略模型并對系統(tǒng)內(nèi)所有主體和客體實行DAC和MAC。?通過認(rèn)證、B2級以上安全系統(tǒng)非常稀少。?比如，符合B2原則操作系統(tǒng)只有TrustedlnformationSystems公司TrustedXENIX一個產(chǎn)品，符合B2原則網(wǎng)絡(luò)產(chǎn)品只有CryptekSecureCommunications公司LLCVSLAN一個產(chǎn)品，?而數(shù)據(jù)庫方面則沒有符合B2第16頁第16頁B3級

安全域。該級TCB必須滿足訪問監(jiān)控器要求，審計跟蹤能力更強(qiáng)，并提供系統(tǒng)恢復(fù)過程。，

A1級

驗證設(shè)計，即提供B3級保護(hù)同時給出系統(tǒng)形式化設(shè)計闡明和驗證以確信各安全保護(hù)真正實現(xiàn)。第17頁第17頁第18頁第18頁B2級以上系統(tǒng)原則更多地還處于理論研究階段支持自主存取控制DBMS大體屬于C級，而支持強(qiáng)制存取控制DBMS則能夠達(dá)到B1級。第19頁第19頁9．2數(shù)據(jù)庫安全性控制在普通計算機(jī)系統(tǒng)中，安全辦法是一級一級層層設(shè)置。比如能夠有下列模型：第20頁第20頁9．2．1用戶標(biāo)識與判別(Identification&Authentication)?用戶標(biāo)識和判別是系統(tǒng)提供最外層安全保護(hù)辦法。?其辦法是由系統(tǒng)提供一定方式讓用戶標(biāo)識自己名字或身份。每次用戶要求進(jìn)入系統(tǒng)時，由系統(tǒng)進(jìn)行核對，通過鑒定后才提供機(jī)器使用權(quán)。?慣用辦法有：用一個用戶名或者用戶標(biāo)識號來標(biāo)明用戶身份。口令(Password)為了進(jìn)一步核實用戶，系統(tǒng)經(jīng)常要求用戶輸入口令。為保密起見，用戶在終端上輸入口令不顯示在屏幕上。系統(tǒng)核對口令以判別用戶身份。第21頁第21頁9．2．2存取控制一、存取控制機(jī)制主要包含兩部分：1．定義用戶權(quán)限，并將用戶權(quán)限登記到數(shù)據(jù)字典中。?用戶權(quán)限是指不同用戶對于不同數(shù)據(jù)對象允許執(zhí)行操作權(quán)限。?系統(tǒng)必須提供適當(dāng)語言定義用戶權(quán)限，這些定義經(jīng)過編譯后存放在數(shù)據(jù)字典中，被稱作安全規(guī)則或授權(quán)規(guī)則。第22頁第22頁2．合法權(quán)限檢查?每當(dāng)用戶發(fā)出存取數(shù)據(jù)庫操作請求后(請求普通應(yīng)包括操作類型、操作對象和操作用戶等信息)，?DBMS查找數(shù)據(jù)字典，依據(jù)安全規(guī)則進(jìn)行合法權(quán)限檢查，?若用戶操作請求超出了定義權(quán)限，系統(tǒng)將回絕執(zhí)行此操作。用戶權(quán)限定義和合法權(quán)限檢查機(jī)制一起構(gòu)成了DBMS安全子系統(tǒng)。第23頁第23頁二、自主存取控制(DAC)\強(qiáng)制存取控制(MAC)(1)在自主存取控制方法中，用戶對于不同數(shù)據(jù)對象有不同存取權(quán)限，不同用戶對同一對象也有不同權(quán)限，而且用戶還可將其擁有存取權(quán)限轉(zhuǎn)授給其它用戶。因此自主存取控制非常靈活。(2)在強(qiáng)制存取控制方法中，每一個數(shù)據(jù)對象被標(biāo)以一定密級，每一個用戶也被授予某一個級別許可證。對于任意一個對象，只有含有合法許可證用戶才干夠存取。強(qiáng)制存取控制因此相對比較嚴(yán)格第24頁第24頁9．2．3自主存取控制(DAC)辦法?大型數(shù)據(jù)庫管理系統(tǒng)幾乎都支持自主存取控制.?當(dāng)前SQL原則也對自主存取控制提供支持，這主要通過SQLGRANT語句和REVOKE語句來實現(xiàn)。?用戶權(quán)限是由兩個要素構(gòu)成：數(shù)據(jù)對象和操作類型。第25頁第25頁第26頁第26頁第27頁第27頁?用戶權(quán)限定義中數(shù)據(jù)對象范圍越小授權(quán)子系統(tǒng)就越靈活。?授權(quán)粒度越細(xì)，授權(quán)子系統(tǒng)就越靈活，但系統(tǒng)定義與檢查權(quán)限開銷也會相應(yīng)地增大

?授權(quán)定義是獨(dú)立于數(shù)據(jù)值，即用戶能否對某類數(shù)據(jù)對象執(zhí)行操作與數(shù)據(jù)值無關(guān)，完全由數(shù)據(jù)名決定。如用戶王平能檢索關(guān)系Student，無論學(xué)生是哪個系。?若授權(quán)依賴于數(shù)據(jù)對象內(nèi)容，則稱為是與數(shù)據(jù)值相關(guān)

授權(quán)。比如，用戶王平只能檢索計算機(jī)系學(xué)生信息第28頁第28頁第29頁第29頁?自主存取控制能夠通過授權(quán)機(jī)制有效地控制其它用戶對敏感數(shù)據(jù)存取。?但是由于用戶對數(shù)據(jù)存取權(quán)限是“自主”，用戶能夠自由地決定將數(shù)據(jù)存取權(quán)限授予何人、決定是否也將“授權(quán)”權(quán)限授予別人，而系統(tǒng)對此無法控制。?這種機(jī)制僅僅通過對數(shù)據(jù)存取權(quán)限來進(jìn)行安全控制，而數(shù)據(jù)本身并無安全性標(biāo)識。第30頁第30頁9．2．4強(qiáng)制存取控制(MAC)辦法1、所謂MAC是指系統(tǒng)為確保更高程度安全性，按照TDI／TCSEC原則中安全策略要求，所采用強(qiáng)制存取檢查手段。它不是用戶能直接感知或進(jìn)行控制。?MAC適合用于那些對數(shù)據(jù)有嚴(yán)格而固定密級分類部門，比如軍事部門或政府部門。2、在MAC中，DBMS所管理所有實體被分為主體和客體兩大類。?主體是系統(tǒng)中活動實體，既包括DBMS所管理實際用戶，也包括代表用戶各進(jìn)程。?客體是系統(tǒng)中被動實體，是受主體操縱，包括文獻(xiàn)、基表、索引、視圖等。?對于主體和客體，DBMS為它們每個實例(值)指派一個敏感度標(biāo)識(Label)。第31頁第31頁?敏感度標(biāo)識被分成若干級別，比如絕密(Top·Secret)、機(jī)密(Secret)、可信(Confidential)、公開(Public)等。?主體敏感度標(biāo)識稱為許可證級別(ClearanceLevel);?客體敏感度標(biāo)識稱為密級(ClassificationLevel)。?MAC機(jī)制就是通過對比主體Label和客體Label，最后擬定主體是否能夠存取客體。第32頁第32頁?當(dāng)某一用戶(或某一主體)以標(biāo)識label注冊入系統(tǒng)時，系統(tǒng)要求他對任何客體存取必須遵循下列規(guī)則：(1)僅當(dāng)主體許可證級別不小于或等于客體密級時，該主體才干讀取相應(yīng)客體；(2)僅當(dāng)主體許可證級別等于客體密級時，該主體才干寫相應(yīng)客體.嚴(yán)禁了擁有高許可證級別主體更新低密級數(shù)據(jù)對象，從而預(yù)防了敏感數(shù)據(jù)泄漏。第33頁第33頁?強(qiáng)制存取控制(MAC)是對數(shù)據(jù)本身進(jìn)行密級標(biāo)識，無論數(shù)據(jù)如何復(fù)制，標(biāo)識與數(shù)據(jù)是一個不可分整體，只有符合密級標(biāo)識要求用戶才干夠操縱數(shù)據(jù)，從而提供了更高級別安全性。?在實現(xiàn)MAC時要首先實現(xiàn)DAC第34頁第34頁9．2．5視圖機(jī)制通過視圖機(jī)制把要保密數(shù)據(jù)對無權(quán)存取用戶隱藏起來，從而自動地對數(shù)據(jù)提供一定程度安全保護(hù)。第35頁第35頁第36頁第36頁9．2．6審計(Audit)?審計功效把用戶對數(shù)據(jù)庫所有操作自動統(tǒng)計下來放入審計日記(AuditLog)中。?DBA能夠利用審計跟蹤信息，重現(xiàn)造成數(shù)據(jù)庫既有情況一系列事件，找出非法存取數(shù)據(jù)人、時間和內(nèi)容等。?審計通常是很費(fèi)時間和空間，因此DBMS往往都將其作為可選特性，允許DBA依據(jù)應(yīng)用對安全性要求，靈活地打開或關(guān)閉審計功效。?審計功效普通主要用于安全性要求較高部門。第37頁第37頁9．2．7數(shù)據(jù)加密1.數(shù)據(jù)加密是預(yù)防數(shù)據(jù)庫中數(shù)據(jù)在存放和傳輸中失密有效手段。2.加密基本思想是依據(jù)一定算法將原始數(shù)據(jù)(術(shù)語為明文，Plaintext)變換為不可直接識別格式(術(shù)語為密文，Ciphertext)，從而使得不知道解密算法人無法獲知數(shù)據(jù)內(nèi)容。3.加密方法主要有兩種:(1)替換方法，該方法使用密鑰(EncryptionKey)將明文中每一個字符轉(zhuǎn)換為密文中一個字符。(2)置換方法，該方法僅將明文字符按不同次序重新排列。4.單獨(dú)使用這兩種方法任意一個都是不夠安全。不過將這兩種方法結(jié)合起來就能提供相稱高安全程度。采取這種結(jié)合算法例子是美國1977年制訂官方加密標(biāo)準(zhǔn)，數(shù)據(jù)加密標(biāo)準(zhǔn)(DataEncryptionStandard，簡稱DES)。第38頁第38頁?數(shù)據(jù)庫產(chǎn)品提供了數(shù)據(jù)加密例行程序，可依據(jù)用戶要求自動對存儲和傳播數(shù)據(jù)進(jìn)行加密處理。?另一些數(shù)據(jù)庫產(chǎn)品提供了接口，允許用戶用其它廠商加密程序?qū)?shù)據(jù)加密。

?由于數(shù)據(jù)加密與解密也是比較費(fèi)時操作，并且數(shù)據(jù)加密與解密程序會占用大量系統(tǒng)資源第39頁第39頁9．3統(tǒng)計數(shù)據(jù)庫安全性在統(tǒng)計數(shù)據(jù)庫中存在著特殊安全性問題，即也許存在著隱蔽信息通道，使得能夠從合法查詢中推導(dǎo)出不合法信息第40頁第40頁第41頁第41頁第42頁第42頁9·4、：Oracle數(shù)據(jù)庫安全性辦法Oracle安全辦法主要有三個方面:一是用戶標(biāo)識和鑒定;二是授權(quán)和檢查機(jī)制；三是審計技術(shù)(是否使用審計技術(shù)可由用戶靈活選擇)；除此之外，Oracle還允許用戶通過觸發(fā)器靈活定義自己安全性辦法。第43頁第43頁一、用戶標(biāo)識和鑒定在Oracle中，最外層安全性辦法是讓用戶標(biāo)識自己名字，然后由系統(tǒng)進(jìn)行核實。Oracle允許用戶重復(fù)標(biāo)識三次，假如三次未通過，系統(tǒng)自動退出第44頁第44頁二、授權(quán)與檢查機(jī)制?Oracle權(quán)限包括系統(tǒng)權(quán)限和數(shù)據(jù)庫對象權(quán)限兩類;?采用非集中授權(quán)機(jī)制，即DBA負(fù)責(zé)授予與回收系統(tǒng)權(quán)限，每個用戶授予與回收自己創(chuàng)建數(shù)據(jù)庫對象權(quán)限。

?Oracle允許重復(fù)授權(quán)，即可將某一權(quán)限多次授予同一用戶，系統(tǒng)不會犯錯。?Oracle也允許無效回收，即用戶沒有某種權(quán)限，但回收此權(quán)限操作仍算成功。第45頁第45頁1．系統(tǒng)權(quán)限?Oracle提供了80各種系統(tǒng)權(quán)限，如創(chuàng)建會話、創(chuàng)建表、創(chuàng)建視圖、創(chuàng)建用戶等。?DBA在創(chuàng)建一個用戶時需要將其中一些權(quán)限授予該用戶。?所謂角色就是一組系統(tǒng)權(quán)限集合，目的在于簡化權(quán)限管理。?Oracle除允許DBA定義角色外，還提供了預(yù)定義角色，如CONNECT，RESOURCE和DBA。

?含有CONNECT角色用戶能夠登錄數(shù)據(jù)庫，執(zhí)行數(shù)據(jù)查詢和操縱。即能夠執(zhí)行ALTERTABLE，CREATEVIEW，CREATEINDEX，DROPTABLE，DROPVIEW，DROPINDEX，GRANT，REVOKE