數(shù)據(jù)庫技術及應用第5章 數(shù)據(jù)庫安全技術

5.1.1計算機系統(tǒng)的三類安全性問題安全性問題不是數(shù)據(jù)庫系統(tǒng)所獨有的，所有計算機系統(tǒng)都有這個問題。只是在數(shù)據(jù)庫系統(tǒng)中安全性問題更為突出。數(shù)據(jù)庫的安全性已成為評價數(shù)據(jù)庫系統(tǒng)性能的一個重要指標。數(shù)據(jù)庫的安全性是指保護數(shù)據(jù)庫以防止不合法的使用所造成的數(shù)據(jù)泄漏、更改或破壞。

計算機系統(tǒng)的安全性問題可分為三大類：(1)技術安全是指采用具有一定安全性的硬件、軟件來保護計算機系統(tǒng)中的硬件、軟件及數(shù)據(jù)。當計算機系統(tǒng)受到無意或惡意的攻擊時仍能保證系統(tǒng)正常運行，保證系統(tǒng)內的數(shù)據(jù)不丟失、不泄露。(2)管理安全是指管理不善所導致的計算機設備和數(shù)據(jù)介質的物理破壞或丟失，防止軟硬件意外故障以及場地的意外事故。(3)政策法規(guī)是指政府部門建立的有關計算機犯罪、數(shù)據(jù)安全保密的法律道德準則和政策法規(guī)、法令等。這里只討論技術安全。

5.1.2安全標準簡介1985年美國國防部（DoD）頒布的《DoD可信計算機系統(tǒng)評估標準》（TCSEC）和1991年美國國家計算機安全中心（NCSC）頒布的《可信計算機系統(tǒng)評估標準關于可信數(shù)據(jù)庫系統(tǒng)的解釋》（TDI）。TDI將TCSEC擴展到數(shù)據(jù)庫管理系統(tǒng)，定義了數(shù)據(jù)庫系統(tǒng)設計與實現(xiàn)中需要滿足和用以進行安全性級別評估的標準。TCSEC/TDI將系統(tǒng)劃分為DCBA四組，D、C1、C2、B1、B2、B3和A1從低到高七個等級。(1)D級為最低級別，提供最小保護。如DOS。(2)C1級只提供了非常初級的自主安全保護。能夠實現(xiàn)用戶與數(shù)據(jù)的分離，進行自主存取控制（DAC），保護或限制用戶權限的傳播。(3)C2級是安全產(chǎn)品的最低檔次，提供受控的存取保護。將C1級的DAC進一步細化，以個人身份注冊負責，并實施審計和資源隔離。如Windows2000，Oracle7等。(4)B1級提供標記安全保護。對系統(tǒng)的數(shù)據(jù)加以標記，并對標記的主體和客體實施強制存取控制（MAC），是真正意義上的安全產(chǎn)品。滿足B1級的產(chǎn)品出售時，允許冠以“安全”或“可信的”字樣

。

5.1.2安全標準簡介(5)B2級提供結構化保護。建立形式化的安全策略模型并對系統(tǒng)內的所有主體和客體實施DAC和MAC。(6)B3級提供安全域保護。要求可信任的運算基礎必須滿足訪問監(jiān)控器的要求，審計跟蹤能力更強，并提供系統(tǒng)恢復過程。(7)A1級為驗證設計。提供B3級保護的同時給出系統(tǒng)的形式化設計說明和驗證以確保各安全保護的真正實現(xiàn)。在TCSEC推出后，不同國家都開始啟動開發(fā)建立在TCSEC概念上的評估準則。

1993年CTCPEC、FC、TCSEC和ITSEC的發(fā)起組織開始聯(lián)合行動，解決原標準中概念和技術上的差異，將各自獨立的準則集合成一組單一的、能被廣泛使用的IT安全準則（

CC通用準則），歷經(jīng)多次討論和修改，CCV2.1版于1999年被ISO采用為國際標準，2001年被我國采用為國家標準。目前CC已經(jīng)基本取代了TCSEC，成為評估信息產(chǎn)品安全性的主要標準。

CC在安全保證要求部分定義了七種評估保證級別，從EAL1至EAL7，按保證程度逐漸增高。粗略而言，TCSEC的C1到A1級分別相當于EAL2到EAL7。

5.1.3數(shù)據(jù)庫安全性控制概述在網(wǎng)絡環(huán)境下，數(shù)據(jù)庫的安全體系涉及三個層次：網(wǎng)絡系統(tǒng)層、操作系統(tǒng)層和數(shù)據(jù)管理系統(tǒng)層。數(shù)據(jù)庫安全性控制是指為防止數(shù)據(jù)庫的不合法使用和因偶然或惡意的原因，使數(shù)據(jù)庫中數(shù)據(jù)遭到泄露、更改或破壞等所采取的各種技術和安全保護措施的總稱。這里的討論只限于數(shù)據(jù)庫管理系統(tǒng)這一層次。1、用戶標識和鑒別是系統(tǒng)安全控制機制中最重要、最外層的安全保護措施。鑒別用戶最常用的方法是用一個用戶名（用戶標識符）來標識用戶，用口令來鑒別用戶身份的真?zhèn)巍?/p>

口令簡單易行，但容易被人竊取。一種可行的方法是，每個用戶預先約定好一個計算過程；另一種是動態(tài)口令。

5.1.3數(shù)據(jù)庫安全性控制概述2、存取控制數(shù)據(jù)庫安全最重要的是確保只授權給有資格的用戶訪問數(shù)據(jù)庫的權限，同時令所有未被授權的人員無法接近數(shù)據(jù)。這一點主要是通過RDBMS的存取控制機制實現(xiàn)。存取控制機制（安全子系統(tǒng)）主要包括兩部分：(1)定義用戶權限。用戶對某一數(shù)據(jù)庫對象的操作權力稱為權限。定義經(jīng)過編譯后存放在系統(tǒng)的數(shù)據(jù)字典中，被稱為安全規(guī)則或授權規(guī)則。(2)合法權限檢查。每當用戶發(fā)出存取數(shù)據(jù)庫的操作請求后，DBMS查找數(shù)據(jù)字典，根據(jù)安全規(guī)則進行合法權限檢查。若用戶的操作請求超出了定義的權限，系統(tǒng)將拒絕執(zhí)行此操作。常用的存取控制方法有C2級中的自主存取控制（DAC）和B1級中的強制存取控制（MAC）兩種。

5.1.3數(shù)據(jù)庫安全性控制概述2、存取控制自主存取控制非常靈活，但可能存在數(shù)據(jù)的“無意泄露”。要解決這一問題，就需要對系統(tǒng)控制下的所有主客體（主體可理解為用戶，客體可理解為數(shù)據(jù)庫對象）實施強制存取控制策略。在強制存取控制方法中，每一個數(shù)據(jù)庫對象被標以一定的密級，每一個用戶也被授予某一個級別的許可證。對于任意一個對象，只有具有合法許可證的用戶才可以存取。強制存取控制保證更高程度的安全性，適用于那些對數(shù)據(jù)有嚴格且固定密級分類的部門，例如軍事部門或政府部門。目前大型的DBMS一般都支持DAC，有些DBMS同時還支持MAC。本章稍后將討論DAC。

5.1.3數(shù)據(jù)庫安全性控制概述3、視圖機制通過為不同的用戶定義不同的視圖，可以把數(shù)據(jù)對象限制在一定的范圍內。也就是說，通過視圖機制把要保密的數(shù)據(jù)對無權存取的用戶隱藏起來，從而自動地對數(shù)據(jù)提供一定程度的安全保護。視圖機制間接地實現(xiàn)支持存取謂詞的用戶權限定義。例5.1

把檢索計算機專業(yè)學生信息的權限授予趙亮，把對計算機專業(yè)學生信息的所有操作權限授予朱偉強。

CREATEVIEWCS_SASSELECT*FROMSWHEREMajor='計算機'GRANTSELECTONCS_STO趙亮

GRANTALLPRIVILEGESONCS_STO朱偉強

5.1.3數(shù)據(jù)庫安全性控制概述4、審計審計功能是DBMS達到C2以上安全級必不可少的一項指標。安全保護措施都不是完美無缺的，審計功能把用戶對數(shù)據(jù)庫的所有操作自動記錄下來存放在審計日志中，DBA可以利用審計跟蹤信息，重現(xiàn)導致數(shù)據(jù)庫現(xiàn)有狀況的一系列事件，找出非法存取數(shù)據(jù)的人、時間和內容等。審計通常是很費時間和空間的，所以DBMS往往都將其作為可選特征。5、數(shù)據(jù)加密數(shù)據(jù)加密是防止數(shù)據(jù)庫中數(shù)據(jù)在存儲和傳輸中失密的有效手段。加密方法：一種是替換方法；另一種是置換方法。這兩種方法的結合的典型例子是美國的官方加密標準（DES）。數(shù)據(jù)加密與解密也是比較費時的操作，也作為可選特征。

5.2.1用戶管理在SQLServer中，有登錄名（LoginName）和數(shù)據(jù)庫用戶（DatabaseUser）兩個概念。DBA有權進行登錄名和數(shù)據(jù)庫用戶的管理。1、創(chuàng)建登錄名T-SQL語言中，創(chuàng)建登錄名用CREATELOGIN語句，其格式如下：

CREATELOGIN<登錄名>WITHPASSWORD='password'[,DEFAULT_DATABASE=<數(shù)據(jù)庫名>]

說明：在SQLServer中有四種類型的登錄名，這里只介紹SQLServer登錄名。有一個特殊的登錄名sa（即系統(tǒng)管理員），他擁有操作SQLServer系統(tǒng)的所有權限，該登錄名不能被刪除。數(shù)據(jù)庫名如果缺省，則默認打開的數(shù)據(jù)庫將設置為master。

5.2.1用戶管理例5.2

創(chuàng)建SQLServer登錄名carl，密碼為1234，默認打開的數(shù)據(jù)庫為master。

CREATELOGINcarlWITHPASSWORD='1234'2、刪除登錄名T-SQL語言中，刪除登錄名用DROPLOGIN語句，其格式如下：

DROPLOGIN<登錄名>例5.3

刪除SQLServer登錄名carl。

DROPLOGINcarl

說明：刪除登錄名，并不刪除該登錄名在各數(shù)據(jù)庫中對應的數(shù)據(jù)庫用戶。

5.2.1用戶管理3、創(chuàng)建數(shù)據(jù)庫用戶登錄名授予訪問某個數(shù)據(jù)庫的權限，需要在所要訪問的數(shù)據(jù)庫中為該登錄名創(chuàng)建一個數(shù)據(jù)庫用戶。在SQLServer中，每個數(shù)據(jù)庫中都有兩個特殊的數(shù)據(jù)庫用戶dbo和guest。dbo代表數(shù)據(jù)庫擁有者，sysadmin服務器角色成員都被自動映射成dbo用戶，dbo用戶默認是數(shù)據(jù)庫角色db_owner的成員，可以對數(shù)據(jù)庫進行所有操作。guest用戶是所有沒有屬于自己的用戶賬號的登錄名的默認數(shù)據(jù)庫用戶。T-SQL語言中，在當前數(shù)據(jù)庫中創(chuàng)建數(shù)據(jù)庫用戶用CREATEUSER語句，其格式如下：

CREATEUSER<用戶名>[{FOR|FROM}LOGIN<登錄名>][WITHDEFAULT_SCHEMA=<架構名>]

說明：如果缺省登錄名，則新建數(shù)據(jù)庫用戶將被映射到同名的登錄名。如果缺省架構名，則將使用dbo架構作為其默認架構。

5.2.1用戶管理例5.4

在數(shù)據(jù)庫test2中為SQLServer登錄名carl創(chuàng)建數(shù)據(jù)庫用戶carluser，默認架構為dbo。

USEtest2GOCREATEUSERcarluserFORLOGINcarl4、刪除數(shù)據(jù)庫用戶T-SQL語言中，刪除當前數(shù)據(jù)庫中的數(shù)據(jù)庫用戶用DROPUSER語句，其格式如下：

DROPUSER<用戶名>例5.5

刪除數(shù)據(jù)庫test2中的數(shù)據(jù)庫用戶carluser。

USEtest2GODROPUSERcarluser

5.2.2角色管理角色是被命名的一組與數(shù)據(jù)庫操作相關的權限，角色是權限的集合?？梢詾橐唤M具有相同權限的數(shù)據(jù)庫用戶創(chuàng)建一個角色，所以也可以說角色是具有相同權限的數(shù)據(jù)庫用戶組。對一個角色授權或收回權限適用于該角色的所有成員，因此使用角色來管理權限可以簡化授權的過程。

DBA有權進行角色的管理。1、創(chuàng)建角色T-SQL語言中，在當前數(shù)據(jù)庫中創(chuàng)建數(shù)據(jù)庫角色用CREATEROLE語句，其格式如下：

CREATEROLE<角色名>[AUTHORIZATION<所有者名>]

說明：所有者名是將擁有新角色的數(shù)據(jù)庫用戶或角色，如果缺省該選項，則執(zhí)行CREATEROLE的用戶將擁有該角色。例5.6

在數(shù)據(jù)庫test2中創(chuàng)建數(shù)據(jù)庫角色undergraduate，所有者為dbo。

USEtest2GOCREATEROLEundergraduateAUTHORIZATIONdbo

5.2.2角色管理2、為角色添加成員在SQLServer中，每個數(shù)據(jù)庫中都有一個特殊的public數(shù)據(jù)庫角色，數(shù)據(jù)庫中的每個用戶都是該角色的成員。在SQLServer2014中，使用系統(tǒng)存儲過程為某個數(shù)據(jù)庫角色添加成員，其格式如下：

EXECsp_addrolemember<角色名>,<成員名>

說明：添加到角色中的成員會繼承該角色的權限。角色不能將自身包含為成員（間接地循環(huán)定義也無效），也不能向角色中添加SQLServer固定角色或dbo用戶。例5.7

為數(shù)據(jù)庫角色undergraduate添加數(shù)據(jù)庫用戶carluser。

EXECsp_addrolememberundergraduate,carluser

5.2.2角色管理3、從角色刪除成員其格式如下：

EXECsp_droprolemember<角色名>,<成員名>

說明：刪除某個角色的成員后，該成員將失去作為該角色的成員身份所擁有的任何權限。不能刪除public角色的成員，也不能從任何角色中刪除dbo用戶。例5.8

從數(shù)據(jù)庫角色undergraduate中刪除數(shù)據(jù)庫用戶carluser。

EXECsp_droprolememberundergraduate,carluser4、刪除角色其格式如下：

DROPROLE<角色名>

說明：不能刪除擁有成員的數(shù)據(jù)庫角色，也不能固定角色。例5.9

刪除數(shù)據(jù)庫test2中的數(shù)據(jù)庫角色undergraduate。

USEtest2GODROPROLEundergraduate

5.3.1授予權限用戶權限由數(shù)據(jù)庫對象和操作類型兩個要素組成。定義一個用戶的存取權限就是定義這個用戶可以在哪些數(shù)據(jù)庫對象上進行哪些類型的操作，定義用戶的存取權限稱為授權。在SQLServer2014中，數(shù)據(jù)庫對象有許多種類，其中主要有模式對象（如基表TABLE、視圖VIEW等）和數(shù)據(jù)對象（如基表或視圖、基表或視圖中的某個列）兩類。1、授予模式對象權限在SQLServer2014中，要創(chuàng)建數(shù)據(jù)庫、基表或視圖，用戶必須擁有執(zhí)行相應語句的權限。T-SQL語言中，授予模式對象權限的語句格式如下：

GRANT{ALL[PRIVILEGES]|<權限>[,…n]}TO<用戶名或角色名>[,…n][WITHGRANTOPTION]

說明：DBA有權執(zhí)行該GRANT語句。模式對象的操作類型有：CREATETABLE、CREATEVIEW等。操作類型ALL不代表所有可能的權限。例5.10

授予用戶carluser在數(shù)據(jù)庫test2中創(chuàng)建基表和視圖的權限。

GRANTCREATETABLE,CREATEVIEWTOcarluser

5.3.1授予權限2、授予數(shù)據(jù)對象權限在SQLServer2014中，要查詢或者更新基表或視圖中的數(shù)據(jù)，用戶在該基表或視圖上必須擁有相應的權限。在T-SQL語言中，授予數(shù)據(jù)對象權限的語句格式如下：

GRANT{ALL[PRIVILEGES]|<權限>[(<列名>[,…n])][,…n]}ON<基表名或視圖名>TO<用戶名或角色名>[,…n][WITHGRANTOPTION]

說明：DBA和對象的所有者有權執(zhí)行該GRANT語句。數(shù)據(jù)對象的操作類型有：SELECT、INSERT、DELETE、UPDATE、REFERENCES。操作類型ALL代表上述五種權限。INSERT和DELETE權限會影響整行，因此只可以應用到基表或視圖上，而不能應用到某些列上。SELECT、UPDATE和REFERENCES權限可以有選擇性地應用到基表或視圖中的某些列上，如果未指定列，則應用到基表或視圖的所有列上。例5.11

授予角色public在數(shù)據(jù)庫test2中查詢基表C所有列的權限。

GRANTSELECTONCTOpublic

5.3.1授予權限2、授予數(shù)據(jù)對象權限例5.12

授予角色undergraduate在數(shù)據(jù)庫test2中只能查詢基表T中的Tno、Tname、Tsex和Title列的權限。

GRANTSELECT(Tno,Tname,Tsex,Title)ONTTOundergraduate例5.13

授予角色undergraduate在數(shù)據(jù)庫test2中查詢基表S所有列，但只能修改Mphone列的權限。

GRANTSELECT,UPDATE(Mphone)ONSTOundergraduate例5.14

授予用戶carluser在數(shù)據(jù)庫test2中查詢基表SC所有列的權限，同時允許他將該權限轉授給其他用戶。

GRANTSELECTONSCTOcarluserWITHGRANTOPTION例5.15

授予用戶carluser和maryuser在數(shù)據(jù)庫test2中查詢基表TC所有列的權限。

GRANTSELECTONTCTOcarluser,maryuser最后要說明的是：一個用戶擁有的全部操作權限包括直接授予該用戶的權限以及該用戶從他所屬的各個角色繼承得到的權限。

5.3.2收回權限1、收回模式對象權限在T-SQL語言中，收回模式對象權限的語句格式如下：

REVOKE[GRANTOPTIONFOR]{ALL[PRIVILEGES]|<權限>[,…n]}FROM<用戶名或角色名>[,…n][CASCADE]

說明：ALL和權限的含義同授予模式對象權限的GRANT語句。GRANTOPTIONFOR表示要收回向其他用戶或角色授予指定權限的權限，但不會收回該權限本身。如果用戶或角色具有不帶WITHGRANTOPTION選項的指定權限，則將收回該權限本身。CASCADE表示在收回用戶或角色該權限的同時，也會收回由其授予給其他用戶或角色的該權限。例5.16

收回用戶carluser在數(shù)據(jù)庫test2中創(chuàng)建基表和視圖的權限。

REVOKECREATETABLE,CREATEVIEWFROMcarluser2、收回數(shù)據(jù)對象權限在T-SQL語言中，收回數(shù)據(jù)對象權限的語句格式如下：

REVOKE[GRANTOPTIONFOR]{ALL[PRIVILEGES]|<權限>[(<列名>[,…n])][,…n]}ON<基表名或視圖名>FROM<用戶名或角色名>[,…n][CASCADE]

說明：GRANTOPTIONFOR和CASCADE的含義同上一個語句。

5.3.2收回權限2、收回數(shù)據(jù)對象權限例5.17

收回角色undergraduate在數(shù)據(jù)庫test2中查詢基表S所有列以及修改Mphone列的權限。

REVOKESELECT,UPDATE(Mphone)ONSFROMundergraduate例5.18

收回用戶carluser在數(shù)據(jù)庫test2中查詢基表SC所有列的權限，同時收回他將該權限轉授給其他用戶的權限。如果用戶carluser將查詢基表SC所有列的權限授予了其他用戶，也一并收回。首先假定用戶carluser在獲得例5.14中的授權后，通過執(zhí)行GRANTSELECTONSCTOmaryuser語句，給用戶maryuser也授予了查詢基表SC所有列的權限。則DBA通過執(zhí)行REVOKESELECTONSCFROMcarluserCASCADE語句，就完成了例5.18中的要求。如果DBA執(zhí)行的是REVOKEGRANTOPTIONFORSELECTONSCFROMcarluserCASCADE語句，則用戶carluser仍然擁有查詢基表SC所有列的權限，但他向其他用戶或角色授予該權限的權限被收回。同時carluser給用戶maryuser授予的查詢基表SC所有列的權限也被收回。

5.4.1SQLServer2014的身份驗證模式1、Windows身份驗證模式Windows作為網(wǎng)絡操作系統(tǒng)本身就具備管理登錄、驗證賬戶合法性的能力。

(1)數(shù)據(jù)庫管理員可以集中管理數(shù)據(jù)庫，而無需管理用戶賬戶。

(2)Windows有更強的用戶賬戶管理工具，身份驗證使用Kerberos安全協(xié)議。

(3)Windows的組策略支持多個用戶同時被授權訪問SQLServer。2、混合身份驗證模式混合驗證模式對于可信用戶的連接請求，系統(tǒng)采用Windows身份驗證模式；而對于非可信用戶的連接請求，則采用SQLServer身份驗證模式。

(1)支持那些需要進行SQLServer身份驗證的舊版應用程序或由第三方提供的應用程序。

(2)支持具有混合操作系統(tǒng)的環(huán)境，在這種環(huán)境中并不是所有用戶均由Windows進行驗證。

5.4.1SQLServer2014的身份驗證模式2、混合身份驗證模式

(3)支持基于Web的應用程序，在這些應用程序中，用戶可創(chuàng)建自己的標識。

(4)允許軟件開發(fā)人員通過使用基于已知的預設SQLServer登錄名的復雜權限層次結構來分發(fā)應用程序。但SQLServer身份驗證模式也存在著不能使用Kerberos安全協(xié)議、必須在連接時通過網(wǎng)絡傳遞已加密的登錄密碼。3、配置身份驗證模式兩種方法配置身份驗證模式。一種是在安裝SQLServer2014系統(tǒng)時，另一種是對已經(jīng)安裝并選擇好驗證模式的SQLServer2014服務器，可以修改其驗證模式。

5.4.2SQLServer2014的固定角色在SQLServer2014中角色分服務器角色和數(shù)據(jù)庫角色兩種類型，而數(shù)據(jù)庫角色又分為固定數(shù)據(jù)庫角色和用戶自定義數(shù)據(jù)庫角色。1、固定服務器角色服務器角色是指被授予管理SQLServer服務器權限的角色，它獨立于各個數(shù)據(jù)庫，其成員是登錄名。服務器角色是內置的（固定的），即不能添加、修改或刪除服務器角色，只能修改角色的成員。SQLServer2014共定義了9種固定服務器角色，如表5.1所示。

5.4.2SQLServer2014的固定角色1、固定服務器角色在SQLServer2014中，可以使用系統(tǒng)存儲過程為某個固定服務器角色添加成員，其格式如下：

EXECsp_addsrvrolemember<登錄名>,<角色名>例5.19

將登錄名carl添加為固定服務器角色sysadmin的成員。

EXECsp_addsrvrolemembercarl,sysadmin可以使用系統(tǒng)存儲過程將固定服務器角色中的某個成員刪除，其格式如下：

EXECsp_dropsrvrolemember<登錄名>,<角色名>例5.20

從固定服務器角色sysadmin中刪除成員carl。

EXECsp_dropsrvrolemembercarl,sysadmin

5.4.2SQLServer2014的固定角色2、固定數(shù)據(jù)庫角色數(shù)據(jù)庫角色定義在數(shù)據(jù)庫級別上，它可以對數(shù)據(jù)庫進行特定的管理和操作。固定數(shù)據(jù)庫角色是內置的（固定的），即不能添加、修改或刪除固定數(shù)據(jù)庫角色，只能修改角色的成員。每個數(shù)據(jù)庫都有一系列固定數(shù)據(jù)庫角色，盡管在不同的數(shù)據(jù)庫中它們的名稱相同，但各個角色的作用域都在各自所屬的數(shù)據(jù)庫范圍內。SQLServer2014共定義了10種固定數(shù)據(jù)庫角色，如表5.2所示。public是一個特殊的數(shù)據(jù)庫角色，每個數(shù)據(jù)庫用戶都會自動成為public角色的成員，并且不能從pub