數(shù)據庫系統(tǒng)概論chp04

數(shù)據庫系統(tǒng)概論章數(shù)據庫安全性數(shù)據庫安全性問題的提出數(shù)據庫的一大特點是數(shù)據可以共享數(shù)據共享必然帶來數(shù)據庫的安全性問題數(shù)據庫系統(tǒng)中的數(shù)據共享不能是無條件的共享例：軍事秘密、國家機密、新產品實驗數(shù)據、市場需求分析、市場營銷策略、銷售計劃、客戶檔案、醫(yī)療檔案、銀行儲蓄數(shù)據數(shù)據庫安全性第四章數(shù)據庫安全性4.1計算機安全性概述4.2數(shù)據庫安全性控制4.3視圖機制4.4審計（Audit）4.5數(shù)據加密4.6統(tǒng)計數(shù)據庫安全性4.7小結4.1計算機安全性概述4.1.1計算機系統(tǒng)的三類安全性問題4.1.2安全標準簡介4.1.1計算機系統(tǒng)的三類安全性問題

計算機系統(tǒng)安全性為計算機系統(tǒng)建立和采取的各種安全保護措施，以保護計算機系統(tǒng)中的硬件、軟件及數(shù)據，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據遭到更改或泄露等。計算機系統(tǒng)的三類安全性問題（續(xù)）

三類計算機系統(tǒng)安全性問題技術安全類管理安全類政策法律類4.1計算機安全性概論4.1.1計算機系統(tǒng)的三類安全性問題4.1.2安全標準簡介4.1.2安全標準簡介TCSEC標準CC標準安全標準簡介（續(xù)）信息安全標準的發(fā)展歷史安全標準簡介（續(xù)）TCSEC/TDI標準的基本內容TCSEC/TDI，從四個方面來描述安全性級別劃分的指標安全策略責任保證文檔TCSEC/TDI安全級別劃分TCSEC/TDI安全級別劃分安全級別定義A1驗證設計（VerifiedDesign）B3安全域（SecurityDomains）B2結構化保護（StructuralProtection）B1標記安全保護（LabeledSecurityProtection）C2受控的存取保護（ControlledAccessProtection）C1自主安全保護（DiscretionarySecurityProtection）D最小保護（MinimalProtection）數(shù)據庫系統(tǒng)的安全模型數(shù)據庫的安全標準TCSEC(TDI)標準D級標準--無安全保護的系統(tǒng)C1級標準–具有自主訪問控制C2級標準–滿足C1級標準,并有審計功能B1級標準–滿足C2級標準,并有強制訪問控制B2級標準–滿足B1級標準,并解決隱蔽通道問題和具有數(shù)據庫安全的形式化B3級標準–滿足B2級標準,并具有訪問監(jiān)控器A級標準–滿足B3級標準,并具有較高的形式化TCSEC/TDI安全級別劃分（續(xù)）按系統(tǒng)可靠或可信程度逐漸增高各安全級別之間：偏序向下兼容TCSEC/TDI安全級別劃分（續(xù)）B2以上的系統(tǒng)還處于理論研究階段應用多限于一些特殊的部門，如軍隊等美國正在大力發(fā)展安全產品，試圖將目前僅限于少數(shù)領域應用的B2安全級別下放到商業(yè)應用中來，并逐步成為新的商業(yè)標準CCCC提出國際公認的表述信息技術安全性的結構把信息產品的安全要求分為安全功能要求安全保證要求CC（續(xù)）CC文本組成簡介和一般模型安全功能要求安全保證要求CC（續(xù)）CC評估保證級劃分評估保證級定義TCSEC安全級別（近似相當）EAL1功能測試（functionallytested）EAL2結構測試（structurallytested）C1EAL3系統(tǒng)地測試和檢查（methodicallytestedandchecked）C2EAL4系統(tǒng)地設計、測試和復查（methodicallydesigned，tested，andreviewed）B1EAL5半形式化設計和測試（semiformallydesignedandtested）B2EAL6EAL7半形式化驗證的設計和測試（semiformallyverifieddesignandtested）形式化驗證的設計和測試（formallyverifieddesignandtested）B3A1第四章數(shù)據庫安全性4.1計算機安全性概述4.2數(shù)據庫安全性控制4.3視圖機制4.4審計（Audit）4.5數(shù)據加密4.6統(tǒng)計數(shù)據庫安全性4.7小結4.2數(shù)據庫安全性控制概述非法使用數(shù)據庫的情況編寫合法程序繞過DBMS及其授權機制直接或編寫應用程序執(zhí)行非授權操作通過多次合法查詢數(shù)據庫從中推導出一些保密數(shù)據數(shù)據庫安全性控制概述（續(xù)）計算機系統(tǒng)中，安全措施是一級一級層層設置

計算機系統(tǒng)的安全模型數(shù)據庫安全性控制概述（續(xù)）數(shù)據庫安全性控制的常用方法用戶標識和鑒定存取控制視圖審計密碼存儲4.2數(shù)據庫安全性控制4.2.1用戶標識與鑒別4.2.2存取控制4.2.3自主存取控制方法4.2.4授權與回收4.2.5數(shù)據庫角色4.2.6強制存取控制方法4.2.1用戶標識與鑒別用戶標識與鑒別（Identification&Authentication）系統(tǒng)提供的最外層安全保護措施用戶標識與鑒別（續(xù)）用戶標識口令系統(tǒng)核對口令以鑒別用戶身份用戶名和口令易被竊取每個用戶預先約定好一個計算過程或者函數(shù)4.2.2存取控制存取控制機制組成定義用戶權限,并將用戶權限登記到數(shù)據字典（DD）中合法權限檢查用戶權限定義和合法權檢查機制一起組成了DBMS的安全子系統(tǒng)存取控制（續(xù)）常用存取控制方法自主存取控制（DiscretionaryAccessControl，簡稱DAC）C2級靈活強制存取控制（MandatoryAccessControl，簡稱MAC）B1級嚴格

用戶對于不同的數(shù)據對象有相應的存取權限，而且用戶還可以將其擁有的存取權限轉授給其他用戶。每一個數(shù)據對象被標以一定的密級，每一個用戶也被授予某一個級別的許可證。對于任意一個對象，只有具有合法許可證的用戶才可以存取。4.2數(shù)據庫安全性控制4.2.1用戶標識與鑒別4.2.2存取控制4.2.3自主存取控制方法4.2.4授權與回收4.2.5數(shù)據庫角色4.2.6強制存取控制方法4.2.3自主存取控制方法通過SQL的GRANT語句和REVOKE語句實現(xiàn)用戶權限組成數(shù)據對象操作類型定義用戶存取權限：定義用戶可以在哪些數(shù)據庫對象上進行哪些類型的操作定義存取權限稱為授權

自主存取控制方法（續(xù)）關系數(shù)據庫系統(tǒng)中存取控制對象對象類型對象操作類型數(shù)據庫模式CREATESCHEMA基本表CREATETABLE，ALTERTABLE模式視圖CREATEVIEW索引CREATEINDEX數(shù)據基本表和視圖SELECT，INSERT，UPDATE，DELETE，REFERENCES，ALLPRIVILEGES數(shù)據屬性列SELECT，INSERT，UPDATE，REFERENCESALLPRIVILEGES關系數(shù)據庫系統(tǒng)中的存取權限GRANT（續(xù)）發(fā)出GRANT：DBA數(shù)據庫對象創(chuàng)建者（即屬主Owner）擁有該權限的用戶按受權限的用戶

一個或多個具體用戶PUBLIC（全體用戶）REVOKE（續(xù)）[例10]把用戶U5對SC表的INSERT權限收回

REVOKEINSERT ONTABLESC FROMU5CASCADE;將用戶U5的INSERT權限收回的時候必須級聯(lián)（CASCADE）收回系統(tǒng)只收回直接或間接從U5處獲得的權限

小結:SQL靈活的授權機制DBA：擁有所有對象的所有權限不同的權限授予不同的用戶用戶：擁有自己建立的對象的全部的操作權限GRANT：授予其他用戶被授權的用戶“繼續(xù)授權”許可：再授予所有授予出去的權力在必要時又都可用REVOKE語句收回授權與回收（續(xù)）三、創(chuàng)建數(shù)據庫模式的權限DBA在創(chuàng)建用戶時實現(xiàn)CREATEUSER語句格式CREATEUSER<username>［WITH］［DBA|RESOURCE|CONNECT］授權與回收（續(xù)）擁有的權限可否執(zhí)行的操作CREATEUSERCREATESCHEMACREATETABLE登錄數(shù)據庫執(zhí)行數(shù)據查詢和操縱DBA可以可以可以可以RESOURCE不可以不可以不可以不可以CONNECT不可以不可以不可以可以，但必須擁有相應權限權限與可執(zhí)行的操作對照表

4.2數(shù)據庫安全性控制4.2.1用戶標識與鑒別4.2.2存取控制4.2.3自主存取控制方法4.2.4授權與回收4.2.5數(shù)據庫角色4.2.6強制存取控制方法自主存取控制缺點可能存在數(shù)據的“無意泄露”原因：這種機制僅僅通過對數(shù)據的存取權限來進行安全控制，而數(shù)據本身并無安全性標記解決：對系統(tǒng)控制下的所有主客體實施強制存取控制策略

4.2.6強制存取控制方法強制存取控制（MAC)保證更高程度的安全性用戶不能直接感知或進行控制適用于對數(shù)據有嚴格而固定密級分類的部門軍事部門政府部門強制存取控制方法（續(xù)）主體是系統(tǒng)中的活動實體DBMS所管理的實際用戶代表用戶的各進程客體是系統(tǒng)中的被動實體，是受主體操縱的文件基表索引視圖強制存取控制方法（續(xù)）敏感度標記（Label）絕密（TopSecret）機密（Secret）可信（Confidential）公開（Public）主體的敏感度標記稱為許可證級別（ClearanceLevel）客體的敏感度標記稱為密級（ClassificationLevel）強制存取控制方法（續(xù)）強制存取控制規(guī)則(1)僅當主體的許可證級別大于或等于客體的密級時，該主體才能讀取相應的客體（即不能向上讀）(2)僅當主體的許可證級別等于客體的密級時，該主體才能寫相應的客體（即不能向下寫）修正規(guī)則主體的許可證級別<=客體的密級

主體能寫客體強制存取控制方法（續(xù)）規(guī)則的共同點禁止了擁有高許可證級別的主體更新低密級的數(shù)據對象主體絕密機密可信公開客體絕密機密可信公開讀取寫強制存取控制方法（續(xù)）MAC與DACDAC與MAC共同構成DBMS的安全機制實現(xiàn)MAC時要首先實現(xiàn)DAC原因：較高安全性級別提供的安全保護要包含較低級別的所有保護強制存取控制方法（續(xù)）DAC+MAC安全檢查示意圖

SQL語法分析&語義檢查

DAC檢查安全檢查MAC檢查

繼續(xù)第四章數(shù)據庫安全性4.1計算機安全性概述4.2數(shù)據庫安全性控制4.3視圖機制4.4審計（Audit）4.5數(shù)據加密4.6統(tǒng)計數(shù)據庫安全性4.7小結4.3視圖機制把要保密的數(shù)據對無權存取這些數(shù)據的用戶隱藏起來，對數(shù)據提供一定程度的安全保護主要功能是提供數(shù)據獨立性間接實現(xiàn)了支持存取謂詞的用戶權限定義視圖機制（續(xù)）[例14]建立計算機系學生的視圖，把對該視圖的SELECT權限授于王平，把該視圖上的所有操作權限授于張明先建立計算機系學生的視圖CS_Student

CREATEVIEWCS_StudentASSELECT*FROMStudentWHERESdept='CS'；視圖機制（續(xù)）在視圖上進一步定義存取權限GRANTSELECTONCS_StudentTO王平；

GRANTALLPRIVILIGESONCS_StudentTO張明；4.2數(shù)據庫安全性控制4.1計算機安全性概述4.2數(shù)據庫安全性控制4.3視圖機制4.4審計（Audit）4.5數(shù)據加密4.6統(tǒng)計數(shù)據庫安全性4.7小結4.4審計什么是審計審計日志（AuditLog）將用戶對數(shù)據庫的所有操作記錄在上面DBA利用審計日志找出非法存取數(shù)據的人、時間和內容C2以上安全級別的DBMS必須具有審計（續(xù)）審計分為用戶級審計針對自己創(chuàng)建的數(shù)據庫表或視圖進行審計記錄所有用戶對這些表或視圖的一切成功和（或）不成功的訪問要求以及各種類型的SQL操作系統(tǒng)級審計DBA設置監(jiān)測成功或失敗的登錄要求監(jiān)測GRANT和REVOKE操作以及其他數(shù)據庫級權限下的操作審計（續(xù)）AUDIT語句：設置審計功能NOAUDIT語句：取消審計功能審計（續(xù)）［例15］對修改SC表結構或修改SC表數(shù)據的操作進行審計AUDITALTER，