數(shù)據(jù)庫安全性

數(shù)據(jù)庫安全性數(shù)據(jù)庫安全性問題的提出數(shù)據(jù)庫的一大特點是數(shù)據(jù)可以共享數(shù)據(jù)共享必然帶來數(shù)據(jù)庫的安全性問題：因為數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)共享不能是無條件的共享例：軍事秘密、國家機密、新產(chǎn)品實驗數(shù)據(jù)、市場需求分析、市場營銷策略、銷售計劃、客戶檔案、醫(yī)療檔案、銀行儲蓄數(shù)據(jù)數(shù)據(jù)庫中數(shù)據(jù)的共享是在DBMS統(tǒng)一的嚴格的控制之下的共享，即只允許有合法使用權(quán)限的用戶訪問允許他存取的數(shù)據(jù)數(shù)據(jù)庫系統(tǒng)的安全保護措施是否有效是數(shù)據(jù)庫系統(tǒng)主要的性能指標之一數(shù)據(jù)庫安全性（續(xù)）什么是數(shù)據(jù)庫的安全性數(shù)據(jù)庫的安全性是指保護數(shù)據(jù)庫，防止因用戶非法使用數(shù)據(jù)庫造成數(shù)據(jù)泄露、更改或破壞。什么是數(shù)據(jù)的保密數(shù)據(jù)保密是指用戶合法地訪問到機密數(shù)據(jù)后能否對這些數(shù)據(jù)保密。通過制訂法律道德準則和政策法規(guī)來保證。目錄計算機安全性概論數(shù)據(jù)庫安全性控制視圖機制審計數(shù)據(jù)加密統(tǒng)計數(shù)據(jù)庫安全性計算機安全性概論什么是計算機系統(tǒng)安全性為計算機系統(tǒng)建立和采取的各種安全保護措施，以保護計算機系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。計算機安全涉及問題計算機系統(tǒng)本身的技術(shù)問題計算機安全理論與策略計算機安全技術(shù)管理問題安全管理安全評價安全產(chǎn)品法學(xué)計算機安全法律犯罪學(xué)計算機犯罪與偵察安全監(jiān)察心理學(xué)計算機安全性概論（續(xù)）三類計算機系統(tǒng)安全性問題技術(shù)安全類指計算機系統(tǒng)中采用具有一定安全性的硬件、軟件來實現(xiàn)對計算機系統(tǒng)及其所存數(shù)據(jù)的安全保護，當(dāng)計算機系統(tǒng)受到無意或惡意的攻擊時仍能保證系統(tǒng)正常運行，保證系統(tǒng)內(nèi)的數(shù)據(jù)不增加、不丟失、不泄露。管理安全類軟硬件意外故障、場地的意外事故、管理不善導(dǎo)致的計算機設(shè)備和數(shù)據(jù)介質(zhì)的物理破壞、丟失等安全問題政策法律類政府部門建立的有關(guān)計算機犯罪、數(shù)據(jù)安全保密的法律道德準則和政策法規(guī)、法令數(shù)據(jù)庫安全性控制數(shù)據(jù)庫安全性控制概述用戶標識與鑒別存取控制自主存取控制方法強制存取控制方法數(shù)據(jù)庫安全性控制概述非法使用數(shù)據(jù)庫的情況用戶編寫一段合法的程序繞過DBMS及其授權(quán)機制，通過操作系統(tǒng)直接存取、修改或備份數(shù)據(jù)庫中的數(shù)據(jù)；直接或編寫應(yīng)用程序執(zhí)行非授權(quán)操作；通過多次合法查詢數(shù)據(jù)庫從中推導(dǎo)出一些保密數(shù)據(jù)

例：某數(shù)據(jù)庫應(yīng)用系統(tǒng)禁止查詢單個人的工資，但允許查任意一組人的平均工資。用戶甲想了解張三的工資，于是他：首先查詢包括張三在內(nèi)的一組人的平均工資然后查用自己替換張三后這組人的平均工資從而推導(dǎo)出張三的工資破壞安全性的行為可能是無意的，故意的，惡意的。數(shù)據(jù)庫安全性控制概述（續(xù)）計算機系統(tǒng)中的安全模型數(shù)據(jù)庫安全性控制的常用方法用戶標識和鑒定存取控制視圖審計密碼存儲應(yīng)用OSDBMSDB

低

高安全性控制層次

方法：

用戶標識和鑒定

操作系統(tǒng)安全保護存取控制審計、視圖數(shù)據(jù)密碼存儲用戶標識與鑒別用戶標識與鑒別(Identification&Authentication)系統(tǒng)提供的最外層安全保護措施基本方法系統(tǒng)提供一定的方式讓用戶標識自己的名字或身份；系統(tǒng)內(nèi)部記錄著所有合法用戶的標識；每次用戶要求進入系統(tǒng)時，由系統(tǒng)核對用戶提供的身份標識；通過鑒定后才提供機器使用權(quán)。用戶標識和鑒定可以重復(fù)多次用戶名/口令簡單易行，容易被人竊取存取控制存取控制機制的功能存取控制機制的組成定義存取權(quán)限檢查存取權(quán)限用戶權(quán)限定義和合法權(quán)檢查機制一起組成了DBMS的安全子系統(tǒng)定義存取權(quán)限在數(shù)據(jù)庫系統(tǒng)中，為了保證用戶只能訪問他有權(quán)存取的數(shù)據(jù)，必須預(yù)先對每個用戶定義存取權(quán)限，并將用戶權(quán)限登記到數(shù)據(jù)字典中。檢查存取權(quán)限對于通過鑒定獲得上機權(quán)的用戶（即合法用戶），系統(tǒng)根據(jù)他的存取權(quán)限定義對他的各種操作請求進行控制，確保他只執(zhí)行合法操作。存取控制（續(xù)）常用存取控制方法自主存取控制(DiscretionaryAccessControl，簡稱DAC)同一用戶對于不同的數(shù)據(jù)對象有不同的存取權(quán)限不同的用戶對同一對象也有不同的權(quán)限用戶還可將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶強制存取控制(MandatoryAccessControl，簡稱MAC)每一個數(shù)據(jù)對象被標以一定的密級每一個用戶也被授予某一個級別的許可證對于任意一個對象，只有具有合法許可證的用戶才可以存取自主存取控制方法自主存取控制(DAC)大型數(shù)據(jù)庫幾乎都支持自主存取控制SQL標準也支持自主存取控制存取權(quán)限定義存取權(quán)限由兩個要素組成數(shù)據(jù)對象數(shù)據(jù)本身—基本表中的數(shù)據(jù)、屬性列上的數(shù)據(jù)數(shù)據(jù)庫模式—數(shù)據(jù)庫schema、基本表table、視圖view、索引index操作類型不同的數(shù)據(jù)對象有不同的操作類型自主存取控制方法（續(xù)）數(shù)據(jù)對象

操作類型數(shù)據(jù)庫(模式)createdatabase(schema)

基本表

createtable,altertable

視圖

createview

索引

createindex基本表和視圖

select,insert,update,delete,referencesallprivileges

屬性列

select,insert,update,referencesallprivileges數(shù)據(jù)庫模式數(shù)據(jù)本身關(guān)系數(shù)據(jù)庫中的存取權(quán)限授權(quán)與回收授權(quán)命令

grant<表級權(quán)限>

on{表名|視圖名}

to{用戶[，用戶]…|public}

[withgrantoption]表級權(quán)限包括：select,update,insert,delete,index,alter,drop,resource等以及它們的總和all，其中對select,update可指定列名withgrantoption表示獲得權(quán)限的用戶可以把權(quán)限再授予其它用戶發(fā)出該grant語句的可以是DBA，也可是此表的創(chuàng)建者，也可是擁有該權(quán)限用戶授權(quán)與回收(例)例1:把查詢Student表的權(quán)限授給用戶U1GrantselectonStudenttoU1例2:把對Student表和Course表的全部操作權(quán)限授予所有用戶GrantallprivilegesonStudent,Coursetopublic例3:把查詢Student表和修改學(xué)生學(xué)號的權(quán)限授給用戶U2Grantupdate(Sno),selectonstudenttoU2例4:把對表Student的insert權(quán)限授予U3用戶，并允許將此權(quán)限再授予其他用戶GrantinsertonStudenttoU3withgrantoption授權(quán)與回收(續(xù))回收權(quán)限

revoke<表級權(quán)限>on{表名|視圖名}

from{用戶[，用戶]…|public}[cascade|restrict]

收回權(quán)限用cascade時，則若該用戶已將權(quán)限授予其它用戶，則也一并收回。例Revokeupdate(Sno)onStudentfromU2;RevokeinsertonStudentfromU3cascade;創(chuàng)建數(shù)據(jù)庫模式的權(quán)限數(shù)據(jù)的操作授權(quán)與數(shù)據(jù)庫模式授權(quán)的區(qū)別Grant和revoke語句用于向用戶授予或收回對數(shù)據(jù)的操作權(quán)限，而對數(shù)據(jù)庫模式的授權(quán)則由DBA在創(chuàng)建用戶時實現(xiàn)創(chuàng)建用戶語句一般格式Createuser<username>[with][DBA|resource|connect]說明：只有系統(tǒng)的超級用戶才有權(quán)創(chuàng)建新的用戶新建用戶有三種權(quán)限：connect、resource和DBA創(chuàng)建數(shù)據(jù)庫模式的權(quán)限（續(xù)）權(quán)限與可執(zhí)行操作創(chuàng)建用戶命令中若沒指定建新用戶的權(quán)限，默認該用戶擁有connect權(quán)限。不能創(chuàng)建新用戶、不能創(chuàng)建模式、不能創(chuàng)建基本表；只能登錄數(shù)據(jù)庫Resource權(quán)限能創(chuàng)建基本表和視圖不能創(chuàng)建模式，也不能創(chuàng)建新的用戶DBA權(quán)限的用戶是系統(tǒng)中的超級用戶，擁有一切權(quán)限，還可以把這些權(quán)限授予一般用戶。數(shù)據(jù)庫角色角色是一組相關(guān)權(quán)限的結(jié)合，即將多個不同的權(quán)限集合在一起就形成了角色用戶權(quán)限用戶權(quán)限角色數(shù)據(jù)庫角色（續(xù)）數(shù)據(jù)庫角色（續(xù)）角色的創(chuàng)建Createrole<rolename>給角色授權(quán)Grant<權(quán)限>[,<權(quán)限>]…on<對象類型><對象名>to<角色>[,<角色>]將角色授予其它角色或用戶Grant<角色1>[,<角色2>]… to<角色3>[,<用戶>][withadminoption]角色權(quán)限的收回Revoke<權(quán)限>[,<權(quán)限>]…On<對象類型><對象名>From<角色>[,<角色>]示例

CreateroleR1Grantselect,update,insertonStudenttoR1GrantR1 tozheng,zhang,wangwithadminoptionRevokeselectOnStudentfromR1RevokeR1fromzheng自主存取控制小結(jié)自主存取控制小結(jié)定義存取權(quán)限用戶檢查存取權(quán)限D(zhuǎn)BMS授權(quán)粒度數(shù)據(jù)對象粒度：數(shù)據(jù)庫、表、屬性列、行數(shù)據(jù)值粒度授權(quán)粒度越細，授權(quán)子系統(tǒng)就越靈活，能夠提供的安全性就越完善。但另一方面，因數(shù)據(jù)字典變大變復(fù)雜，系統(tǒng)定義與檢查權(quán)限的開銷也會相應(yīng)地增大。自主存取控制小結(jié)（續(xù)）自主存取控制優(yōu)缺點優(yōu)點能夠通過授權(quán)機制有效地控制其他用戶對敏感數(shù)據(jù)的存取缺點可能存在數(shù)據(jù)的“無意泄露”原因：這種機制僅僅通過對數(shù)據(jù)的存取權(quán)限來進行安全控制，而數(shù)據(jù)本身并無安全性標記。解決：對系統(tǒng)控制下的所有主客體實施強制存取控制策略強制存取控制方法什么是強制存取控制強制存取控制(MAC)是指系統(tǒng)為保證更高程度的安全性，按照安全策略的要求，所采取的強制存取檢查手段。MAC適用于對數(shù)據(jù)有嚴格而固定密級分類的部門軍事部門政府部門在MAC中，DBMS所管理的全部實體被分為主體和客體兩大類主體是系統(tǒng)中的活動實體

DBMS所管理的實際用戶代表用戶的各進程客體是系統(tǒng)中的被動實體，是受主體操縱的文件、基表、索引、視圖強制存取控制方法（續(xù)）敏感度標記對于主體和客體，DBMS為它們每個實例（值）指派一個敏感度標記（Label）敏感度標記分成若干級別絕密（TopSecret）機密（Secret）可信（Confidential）公開（Public）主體的敏感度標記稱為許可證級別（ClearanceLevel）客體的敏感度標記稱為密級（ClassificationLevel）MAC機制就是通過對比主體的Label和客體的Label，最終確定主體是否能夠存取客體強制存取控制方法（續(xù)）強制存取控制規(guī)則當(dāng)某一用戶（或某一主體）以標記label注冊入系統(tǒng)時，系統(tǒng)要求他對任何客體的存取必須遵循下面兩條規(guī)則：僅當(dāng)主體的許可證級別大于或等于客體的密級時，該主體才能讀取相應(yīng)的客體；僅當(dāng)主體的許可證級別等于客體的密級時，該主體才能寫相應(yīng)的客體。強制存取控制的特點MAC是對數(shù)據(jù)本身進行密級標記無論數(shù)據(jù)如何復(fù)制，標記與數(shù)據(jù)是一個不可分的整體只有符合密級標記要求的用戶才可以操縱數(shù)據(jù)從而提供了更高級別的安全性MAC與DACDAC與MAC共同構(gòu)成DBMS的安全機制先進行DAC檢查，通過DAC檢查的數(shù)據(jù)對象再由系統(tǒng)進行MAC檢查，只有通過MAC檢查的數(shù)據(jù)對象方可存取。DAC+MAC安全檢查示意圖

SQL語法分析&語義檢查DAC檢查MAC檢查繼續(xù)安全檢查視圖機制視圖機制把要保密的數(shù)據(jù)對無權(quán)存取這些數(shù)據(jù)的用戶隱藏起來主要的功能在于提供數(shù)據(jù)獨立性，其安全保護功能太不精細，往往遠不能達到應(yīng)用系統(tǒng)的要求。視圖機制與授權(quán)機制配合使用首先用視圖機制屏蔽掉一部分保密數(shù)據(jù)視圖上面再進一步定義存取權(quán)限間接實現(xiàn)了支持存取謂詞的用戶權(quán)限定義例：王平只能檢索計算機系學(xué)生的信息1、先建立計算機系學(xué)生的視圖CS_StudentCREATEVIEWCS_StudentASSELECTFROMStudentWHERESdept='CS'；

2、在視圖上進一步定義存取權(quán)

GRANTSELECTONCS_Student

TO王平；

數(shù)據(jù)加密數(shù)據(jù)加密防止數(shù)據(jù)庫中數(shù)據(jù)在存儲和傳輸中失密的有效手段加密的基本思想根據(jù)一定的算法將原始數(shù)據(jù)（術(shù)語為明文，Plaintext）變換為不可直接識別的格式（術(shù)語為密文，Ciphertext）不知道解密算法的人無法獲知數(shù)據(jù)的內(nèi)容加密方法

替換方法使用密鑰（EncryptionKey）將明文中的每一個字符轉(zhuǎn)換為密文中的一個字符置換方法將明文的字符按不同的順序重新排列混合方法美國1977年制定的官方加密標準：數(shù)據(jù)加密標準（DataEncryptionStandard，簡稱DES）數(shù)據(jù)加密（續(xù)）DBMS中的數(shù)據(jù)加密有些數(shù)據(jù)庫產(chǎn)品提供了數(shù)據(jù)加密例行程序有些數(shù)據(jù)庫產(chǎn)品本身未提供加密程序，但提供了接口數(shù)據(jù)加密功能通常也作為可選特征，允許用戶自由選擇數(shù)據(jù)加密與解密是比較費時的操作數(shù)據(jù)加密與解密程序會占用大量系統(tǒng)資源應(yīng)該只對高度機密的數(shù)據(jù)加密審計審計就是對指定用戶在數(shù)據(jù)庫中的操作情況進行監(jiān)控和記錄，用以審查用戶的相關(guān)活動數(shù)據(jù)被非授權(quán)用戶刪除，用戶越權(quán)管理，權(quán)限管理不正確，用戶獲得不應(yīng)有的系統(tǒng)權(quán)限等監(jiān)視和收集關(guān)于指定數(shù)據(jù)庫獲得的數(shù)據(jù)哪些表經(jīng)常被修改，用戶共執(zhí)行了多少次I/O操作等，為優(yōu)化提供依據(jù)審計審計級別語句級只審定某種類型的SQL語句權(quán)限級只審計某個系統(tǒng)權(quán)限的使用情況實體級只對一個指定模式上的實體的指定語句進行審計審計審計類別按語句執(zhí)行成功與否只審計成功語句(wheneversuccessful)只審計不成功語句(whenevernotsuccessful)不論成功與否都進行審計按語句執(zhí)行次數(shù)會話審計(bysession)語句每執(zhí)行一次就審計一次存取方式審計(byassess)多次執(zhí)行的同一語句只審計一次語句級審計語法

Audit[NoAudit]<SQL語句或選項>[by用戶名][bySession|Access][Whenever[NOT]Successful說明：選項：代表某一類SQL語句by用戶名：只審計特定用戶的SQL語句bySession：按會話方式審計byAccess：按存取方式審計Wheneve