數(shù)據(jù)庫安全性課件

數(shù)據(jù)庫系統(tǒng)概論1第四章數(shù)據(jù)庫安全性4.1計算機安全性概述4.2數(shù)據(jù)庫安全性控制4.3視圖機制4.4審計4.5數(shù)據(jù)加密

24.1計算機安全性概述

什么是數(shù)據(jù)庫的安全性數(shù)據(jù)庫的安全性是指保護數(shù)據(jù)庫，防止因用戶非法使用

數(shù)據(jù)庫造成數(shù)據(jù)泄露、更改或破壞。

什么是計算機系統(tǒng)安全性為計算機系統(tǒng)建立和采取的各種安全保護措施，以保護計算機系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。

數(shù)據(jù)庫的安全性和計算機系統(tǒng)的安全性是緊密聯(lián)系、相互支持的。34.1計算機安全性概述（續(xù)）2.安全標(biāo)準(zhǔn)簡介TCSEC標(biāo)準(zhǔn)(桔皮書)，四組7級/TDI(紫皮書)（數(shù)據(jù)庫安全常用的級別是C2級、B1級和B2級）安全級別定義A1驗證設(shè)計（VerifiedDesign）B3安全域（SecurityDomains）B2結(jié)構(gòu)化保護（StructuralProtection）B1標(biāo)記安全保護（LabeledSecurityProtection）C2受控的存取保護（ControlledAccessProtection）C1自主安全保護（DiscretionarySecurityProtection）D最小保護（MinimalProtection）5(1)D級標(biāo)準(zhǔn)，為基本無安全保護的系統(tǒng)。如DOS就是操作系統(tǒng)中安全標(biāo)準(zhǔn)為D的典型例子。它具有操作系統(tǒng)的基本功能，如文件系統(tǒng)，進程調(diào)度等等，但在安全性方面幾乎沒有什么專門的機制來保障。(3)C1級標(biāo)準(zhǔn)只提供了非常初級的自主安全保護。能夠?qū)崿F(xiàn)對用戶和數(shù)據(jù)的分離，進行自主存取控制（DAC），保護或限制用戶權(quán)限的傳播?，F(xiàn)有的商業(yè)系統(tǒng)往往稍作改進即可滿足要求。(3)C2級標(biāo)準(zhǔn)是實際安全產(chǎn)品的最低檔次，提供受控的存取保護，即將C1級的DAC進一步細化，以個人身份注冊負(fù)責(zé)，并實施審計和資源隔離。很多商業(yè)產(chǎn)品已得到該級別的認(rèn)證。達到C2級的產(chǎn)品在其名稱中往往不突出“安全”(Security)這一特色，如操作系統(tǒng)中Microsoft的WindowsNT3.5，數(shù)字設(shè)備公司的OpenVMSVAX6.0和6.1。數(shù)據(jù)庫產(chǎn)品有Oracle公司的Oracle7，Sybase公司的SQLServer11.0.6等。6(4)B1級標(biāo)記安全保護。對系統(tǒng)的數(shù)據(jù)加以標(biāo)記，并對標(biāo)記的主體和客體實施強制存取控制（MAC）以及審計等安全機制。B1級能夠較好地滿足大型企業(yè)或一般政府部門對于數(shù)據(jù)的安全需求，這一級別的產(chǎn)品才認(rèn)為是真正意義上的安全產(chǎn)品。滿足此級別的產(chǎn)品前一般多冠以“安全”(Security)或“可信的”(Trusted)字樣，作為區(qū)別于普通產(chǎn)品的安全產(chǎn)品出售。例如，操作系統(tǒng)方面，典型的有數(shù)字設(shè)備公司的SEVMSVAXVersion6.0，惠普公司的HP-UXBLSrelease9.0.9+。數(shù)據(jù)庫方面則有Oracle公司的TrustedOracle7，Sybase公司的SecureSQLServerversion11.0.6，Informix公司的IncorporatedINFORMIX-OnLine/Secure5.0等。(5)B2級結(jié)構(gòu)化保護。建立形式化的安全策略模型并對系統(tǒng)內(nèi)的所有主體和客體實施DAC和MAC。從互連網(wǎng)上的最新資料[2]看，經(jīng)過認(rèn)證的、B2級以上的安全系統(tǒng)非常稀少。例如，符合B2標(biāo)準(zhǔn)的操作系統(tǒng)只有TrustedInformationSystems公司的TrustedXENIX一種產(chǎn)品，符合B2標(biāo)準(zhǔn)的網(wǎng)絡(luò)產(chǎn)品有CryptekSecureCommunications公司的LLCVSLAN一種產(chǎn)品，而數(shù)據(jù)庫方面目前沒有符合B2標(biāo)準(zhǔn)的產(chǎn)品。74.2數(shù)據(jù)庫安全性控制在一般計算機系統(tǒng)中，安全措施是一級一級層層設(shè)置的：圖4.2計算機系統(tǒng)的安全模型

用戶DBMSOSDB用戶標(biāo)識和鑒別存取控制操作系統(tǒng)安全保護數(shù)據(jù)密碼存儲*首先根據(jù)輸入的用戶標(biāo)識進行身份鑒定，只有合法的用戶才準(zhǔn)許進入計算機系統(tǒng)。*對已進入系統(tǒng)的用戶，DBMS進行存取控制，只允許用戶執(zhí)行合法操作。*操作系統(tǒng)一級也會有自己的保護措施。*數(shù)據(jù)最后還可以以密碼形式存儲到數(shù)據(jù)庫中。9數(shù)據(jù)庫安全性控制的常用方法4.2.1用戶標(biāo)識與鑒別4.2.2存取控制4.2.3自主存取控制方法DAC4.2.4授權(quán)與回收4.2.5數(shù)據(jù)庫角色4.2.6強制存取控制方法MAC4.3視圖4.4審計4.5密碼存儲4.2數(shù)據(jù)庫安全性控制（續(xù)）104.2.1用戶標(biāo)識與鑒別用戶標(biāo)識與鑒別（Identification&Authentication）系統(tǒng)提供的最外層安全保護措施用戶標(biāo)識

用戶名用戶標(biāo)識號口令

系統(tǒng)核對口令以鑒別用戶身份用戶名和口令易被竊取11DBMS實現(xiàn)數(shù)據(jù)安全性保護的過程用戶或DBA把授權(quán)決定告知系統(tǒng)通過SQL的GRANT和REVOKEDBMS把授權(quán)的結(jié)果存入數(shù)據(jù)字典當(dāng)用戶提出操作請求時，DBMS根據(jù)授權(quán)定義進行檢查，以決定是否執(zhí)行操作請求4.2.2存取控制13常用存取控制方法：1.自主存取控制DAC用戶對于不同的數(shù)據(jù)對象有不同的存取權(quán)限，不同的用戶對同一對象也有不同的權(quán)限，而且用戶還可將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶。當(dāng)前大型的DBMS一般都支持C2級中的自主存取控制，SQL標(biāo)準(zhǔn)也通過GRANT語句和REVOKE語句對其提供了支持。2.強制存取控制MAC每一數(shù)據(jù)對象被標(biāo)以一定的密級，每一個用戶也被授予某一個級別的許可證。對于任一個對象，只有具有合法許可證的用戶才可以存取。有些DBMS也支持B1級中的強制存取控制(MAC)。4.2.2存取控制（續(xù)）144.2.3自主存取控制(DAC)方法

通過SQL的GRANT語句和REVOKE語句實現(xiàn)

用戶權(quán)限由兩個要素組成

1.數(shù)據(jù)對象2.操作類型

定義用戶存取權(quán)限：定義用戶可以在哪些數(shù)據(jù)庫對象上進行哪些類型的操作

定義存取權(quán)限稱為授權(quán)

154.2.4授權(quán)(Authorization)與回收1.SQL的授權(quán)授權(quán)語句GRANT格式GRANT<權(quán)限>,[,<權(quán)限>]…

ON<對象類型><對象名>[,<對象類型><對象名>]…

TO<用戶>[,<用戶>]…[WITHGRANTOPTION];功能

將對指定操作對象的指定操作權(quán)限授予指定的用戶[例1]把查詢Student表的權(quán)限授給用戶U1。

GRANTSELECTONStudent

TOU1;17發(fā)出GRANT1)DBA2)數(shù)據(jù)庫對象創(chuàng)建者（即屬主Owner，DBO）3)擁有該權(quán)限的用戶按受權(quán)限的用戶1)一個或多個具體用戶2)PUBLIC（全體用戶）4.2.4授權(quán)(Authorization)與回收（續(xù)）18

WITHGRANTOPTION子句:指定：可以再授予其他的用戶沒有指定：不能傳播

不允許循環(huán)授權(quán)4.2.4授權(quán)(Authorization)與回收（續(xù)）19執(zhí)行例5后，U5不僅擁有了對表SC的INSERT權(quán)限，還可以傳播此權(quán)限：[例6]GRANTINSERTONTABLESCTOU6

WITHGRANTOPTION;同樣，U6還可以將此權(quán)限授予U7：[例7]GRANTINSERTONTABLESCTOU7;但U7不能再傳播此權(quán)限。

4.2.4授權(quán)(Authorization)與回收（續(xù)）212.SQL權(quán)限回收授予的權(quán)限可以由DBA或其他授權(quán)者用REVOKE語句收回格式REVOKE<權(quán)限>,[,<權(quán)限>]…

ON<對象類型><對象名>[,<對象類型><對象名>]…

FROM<用戶>[,<用戶>]…[CASCADE|RESTRICT];功能從指定用戶那里收回對指定對象的指定權(quán)限[例8]把用戶U4修改學(xué)生學(xué)號的權(quán)限收回 REVOKEUPDATE(Sno) ONTABLEStudent FROMU4;4.2.4授權(quán)(Authorization)與回收（續(xù)）22[例9]收回所有用戶對表SC的查詢權(quán)限 REVOKESELECT ONTABLESC FROMPUBLIC;[例10]把用戶U5對SC表的INSERT權(quán)限收回 REVOKEINSERT ONTABLESC FROMU5CASCADE;*系統(tǒng)將收回直接或間接從U5處獲得的對SC表的INSERT權(quán)限:-->U5-->U6-->U7*收回U5、U6、U7獲得的對SC表的INSERT權(quán)限:<--U5<--U6<--U74.3.4授權(quán)(Authorization)與回收（續(xù)）234.2.5數(shù)據(jù)庫角色數(shù)據(jù)庫角色：被命名的一組與數(shù)據(jù)庫操作相關(guān)的權(quán)限角色是權(quán)限的集合可以為一組具有相同權(quán)限的用戶創(chuàng)建一個角色簡化授權(quán)的過程25一、角色的創(chuàng)建CREATEROLE<角色名>二、給角色授權(quán)

GRANT<權(quán)限>［，<權(quán)限>］…ON<對象類型>對象名TO<角色>［，<角色>］…三、將一個角色授予其他的角色或用戶GRANT<角色1>［，<角色2>］…TO<角色3>［，<用戶1>］…［WITHADMINOPTION］四、角色權(quán)限的收回REVOKE<權(quán)限>［，<權(quán)限>］…ON<對象類型><對象名>FROM<角色>［，<角色>］…4.2.5數(shù)據(jù)庫角色（續(xù)）26

在強制存取控制(MAC)方法中，每一個數(shù)據(jù)對象被標(biāo)以一定的密級，每一個用戶也被授予某一個級別的許可證。

對于任意一個對象，只有具有合法許可證的用戶才可以存取。強制存取控制因此相對比較嚴(yán)格。

DBMS管理的全部實體分為主體和客體兩大類

主體是指數(shù)據(jù)庫中數(shù)據(jù)訪問者（用戶、DBA）、進程、線程等，是系統(tǒng)中的活動實體。

客體是指數(shù)據(jù)庫中數(shù)據(jù)及其載體（表、視圖、索引、存儲過程等），是系統(tǒng)中的被動實體。

MAC適用于對數(shù)據(jù)有嚴(yán)格而固定密級分類的部門。4.2.6強制存取控制(MAC)方法（續(xù)）29

對于主體和客體，DBMS為它們每個實例(值)指派一個敏感度標(biāo)記(Label)。

敏感度標(biāo)記被分成若干級別，例如絕密、機密、秘密、公開等。主體的敏感度標(biāo)記稱為許可證級別?？腕w的敏感度標(biāo)記稱為密級?？腕w子集主體子集訪問4.2.6強制存取控制(MAC)方法（續(xù)）30

MAC機制就是通過對比主體的Label和客體的Label，最終確定主體是否能夠存取客體。

當(dāng)某一主體以標(biāo)記label注冊入系統(tǒng)時，系統(tǒng)要求他對任何客體的存取必須遵循如下規(guī)則：

①僅當(dāng)主體的許可證級別大于或等于客體的密級時，該主體才能讀取相應(yīng)的客體；②僅當(dāng)主體的許可證級別等于客體的密級時，該主體才能

寫相應(yīng)的客體。這兩種規(guī)則均禁止了擁有高許可證級別的主體更新低密級的數(shù)據(jù)對象，從而防止了敏感數(shù)據(jù)的泄漏。4.2.6強制存取控制(MAC)方法（續(xù)）31自主訪問控制優(yōu)點：有高度的靈活性，這使得它適用于多個應(yīng)用領(lǐng)域。缺點：防范惡意攻擊的脆弱性。因為一旦被授權(quán)用戶訪問以后，自主授權(quán)模型就不能對如何傳播和如何使用信息進行任何的控制了。強制訪問控制優(yōu)點：可以保證更高程度的保護，防止了信息的非法流動。適用于需要高度保護的政府、軍事等應(yīng)用。缺點：過于嚴(yán)格，要求將主體和客體嚴(yán)格地劃分到安全級別中，因此僅適用于少數(shù)環(huán)境。4.2.6強制存取控制(MAC)方法（續(xù)）324.3視圖機制視圖是實施安全性控制的一種有效機制。通過視圖機制把要保密的數(shù)據(jù)對無權(quán)存取的用戶隱藏起來，從而自動地對數(shù)據(jù)提供一定程度的安全保護。視圖機制間接地實現(xiàn)了支持存取謂詞的用戶權(quán)限定義。通過為不同的用戶定義不同的視圖，可以限制各個用戶的訪問范圍。33[例14]建立計算機系學(xué)生的視圖，把對該視圖的SELECT權(quán)限授于王平，把該視圖上的所有操作權(quán)限授于張明1)先建立計算機系學(xué)生的視圖CS_StudentCREATEVIEWCS_StudentASSELECT*FROMStuden