數(shù)據(jù)庫的安全性1.ppt

第四章 數(shù)據(jù)庫安全性,4.1 計算機(jī)安全性概述 4.2 數(shù)據(jù)庫安全性控制 4.3 視圖機(jī)制 4.4 審計 4.5 數(shù)據(jù)加密 4.6 統(tǒng)計數(shù)據(jù)庫安全性,問題的提出,數(shù)據(jù)庫的一大特點(diǎn)是數(shù)據(jù)可以共享，但數(shù)據(jù)共享必然帶來數(shù)據(jù)庫的安全性問題； 數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)共享不能是無條件的共享； 例：軍事秘密、 國家機(jī)密、 新產(chǎn)品實驗數(shù)據(jù)、 市場需求分析、市場營銷策略、銷售計劃、 客戶檔案、 醫(yī)療檔案、 銀行儲蓄數(shù)據(jù) 數(shù)據(jù)庫中數(shù)據(jù)的共享是在DBMS統(tǒng)一的嚴(yán)格的控制之下的共享，即只允許有合法使用權(quán)限的用戶訪問允許他存取的數(shù)據(jù)； 數(shù)據(jù)庫系統(tǒng)的安全保護(hù)措施是否有效是數(shù)據(jù)庫系統(tǒng)主要的性能指標(biāo)之一。,什么是數(shù)據(jù)庫的安全性 什么是數(shù)據(jù)的保密,數(shù)據(jù)庫的安全性是指保護(hù)數(shù)據(jù)庫，防止因用戶非法使用數(shù)據(jù)庫造成數(shù)據(jù)泄露、更改或破壞。,數(shù)據(jù)保密是指用戶合法地訪問到機(jī)密數(shù)據(jù)后能否對這些數(shù)據(jù)保密。 通過制訂法律道德準(zhǔn)則和政策法規(guī)來保證。,4.1 計算機(jī)安全性概述,4.1.1 計算機(jī)系統(tǒng)的三類安全性問題,什么是計算機(jī)系統(tǒng)安全性 為計算機(jī)系統(tǒng)建立和采取的各種安全保護(hù)措施，以保護(hù)計算機(jī)系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。 計算機(jī)安全涉及問題 計算機(jī)系統(tǒng)本身的技術(shù)問題 管理問題 法學(xué)計算機(jī)安全法律 犯罪學(xué) 心理學(xué),計算機(jī)安全理論與策略 計算機(jī)安全技術(shù),安全管理 安全評價 安全產(chǎn)品,計算機(jī)犯罪與偵察 安全監(jiān)察,4.1 計算機(jī)安全性概論,4.1.1 計算機(jī)系統(tǒng)的三類安全性問題,三類計算機(jī)系統(tǒng)安全性問題,技術(shù)安全類 管理安全類 政策法律類,指計算機(jī)系統(tǒng)中采用具有一定安全性的硬件、軟件來實現(xiàn)對計算機(jī)系統(tǒng)及其所存數(shù)據(jù)的安全保護(hù)，當(dāng)計算機(jī)系統(tǒng)受到無意或惡意的攻擊時仍能保證系統(tǒng)正常運(yùn)行，保證系統(tǒng)內(nèi)的數(shù)據(jù)不增加、不丟失、不泄露。,軟硬件意外故障、場地的意外事故、管理不善導(dǎo)致的計算機(jī)設(shè)備和數(shù)據(jù)介質(zhì)的物理破壞、丟失等安全問題,政府部門建立的有關(guān)計算機(jī)犯罪、數(shù)據(jù)安全保密的法律道德準(zhǔn)則和政策法規(guī)、法令,4.1.2 安全標(biāo)準(zhǔn)介紹,計算機(jī)以及信息安全技術(shù)方面有一系列的安全標(biāo)準(zhǔn)，最有影響的是： TCSEC (桔皮書) TDI (紫皮書),1985年美國國防部（DOD）正式頒布的 DOD可信計算機(jī)系統(tǒng)評估準(zhǔn)則,1991年4月美國國家計算機(jī)安全中心（NCSC）頒布了 可信計算機(jī)系統(tǒng)評估準(zhǔn)則關(guān)于可信數(shù)據(jù)庫系統(tǒng)的解釋（ Trusted Database Interpretation 簡稱TDI），將TCSEC擴(kuò)展到數(shù)據(jù)庫管理系統(tǒng)。,TCSEC/TDI安全級別劃分,可信計算機(jī)系統(tǒng)評測標(biāo)準(zhǔn),四組(division)七個等級； D C（C1，C2） B（B1，B2，B3） A（A1） 按系統(tǒng)可靠或可信程度逐漸增高； 各安全級別之間具有一種偏序向下兼容的關(guān)系，即較高安全性級別提供的安全保護(hù)要包含較低級別的所有保護(hù)要求，同時提供更多或更完善的保護(hù)能力。,可信計算機(jī)系統(tǒng)評測標(biāo)準(zhǔn),D級 將一切不符合更高標(biāo)準(zhǔn)的系統(tǒng)均歸于D組 典型例子：DOS是安全標(biāo)準(zhǔn)為D的操作系統(tǒng) DOS在安全性方面幾乎沒有什么專門的機(jī)制來保障 C1級 非常初級的自主安全保護(hù) 能夠?qū)崿F(xiàn)對用戶和數(shù)據(jù)的分離，進(jìn)行自主存取控制（DAC），保護(hù)或限制用戶權(quán)限的傳播。,可信計算機(jī)系統(tǒng)評測標(biāo)準(zhǔn),C2級 安全產(chǎn)品的最低檔次 提供受控的存取保護(hù)，將C1級的DAC進(jìn)一步細(xì)化，以個人身份注冊負(fù)責(zé)，并實施審計和資源隔離 達(dá)到C2級的產(chǎn)品在其名稱中往往不突出“安全”(Security)這一特色 典型例子 操作系統(tǒng) Microsoft的Windows NT 3.5， 數(shù)字設(shè)備公司的Open VMS VAX 6.0和6.1 數(shù)據(jù)庫 Oracle公司的Oracle 7 Sybase公司的 SQL Server 11.0.6,可信計算機(jī)系統(tǒng)評測標(biāo)準(zhǔn),B1級 標(biāo)記安全保護(hù)?！鞍踩?Security)或“可信的”(Trusted)產(chǎn)品。 對系統(tǒng)的數(shù)據(jù)加以標(biāo)記，對標(biāo)記的主體和客體實施強(qiáng)制存取控制（MAC）、審計等安全機(jī)制 典型例子 操作系統(tǒng) 數(shù)字設(shè)備公司的SEVMS VAX Version 6.0 惠普公司的HP-UX BLS release 9.0.9+ 數(shù)據(jù)庫 Oracle公司的Trusted Oracle 7 Sybase公司的Secure SQL Server version 11.0.6 Informix公司的Incorporated INFORMIX-OnLine / Secure 5.0,可信計算機(jī)系統(tǒng)評測標(biāo)準(zhǔn),B2級 結(jié)構(gòu)化保護(hù) 建立形式化的安全策略模型并對系統(tǒng)內(nèi)的所有主體和客體實施DAC和MAC。 經(jīng)過認(rèn)證的B2級以上的安全系統(tǒng)非常稀少 典型例子 操作系統(tǒng) 只有Trusted Information Systems公司的Trusted XENIX一種產(chǎn)品 標(biāo)準(zhǔn)的網(wǎng)絡(luò)產(chǎn)品 只有Cryptek Secure Communications公司的LLC VSLAN一種產(chǎn)品 數(shù)據(jù)庫 沒有符合B2標(biāo)準(zhǔn)的產(chǎn)品,可信計算機(jī)系統(tǒng)評測標(biāo)準(zhǔn),B3級 安全域。 該級的TCB必須滿足訪問監(jiān)控器的要求，審計跟蹤能力更強(qiáng)，并提供系統(tǒng)恢復(fù)過程。 A1級 驗證設(shè)計，即提供B3級保護(hù)的同時給出系統(tǒng)的形式化設(shè)計說明和驗證以確信各安全保護(hù)真正實現(xiàn)。 B2以上的系統(tǒng) 還處于理論研究階段 應(yīng)用多限于一些特殊的部門如軍隊等 美國正在大力發(fā)展安全產(chǎn)品，試圖將目前僅限于少數(shù)領(lǐng)域應(yīng)用的B2安全級別下放到商業(yè)應(yīng)用中來，并逐步成為新的商業(yè)標(biāo)準(zhǔn)。,4.2 數(shù)據(jù)庫安全性控制,在一般計算機(jī)系統(tǒng)中，安全措施是一級一級層層設(shè)置的。如：,4.2.1 用戶標(biāo)識與鑒別(Identification & Authentication）,是系統(tǒng)提供的最外層安全保護(hù)措施。 基本方法: 系統(tǒng)提供一定的方式讓用戶標(biāo)識自己的名字或身份，系統(tǒng)內(nèi)部記錄著所有合法用戶的標(biāo)識。每次用戶要求進(jìn)入系統(tǒng)時，由系統(tǒng)核對用戶提供的身份標(biāo)識，通過鑒定后才提供機(jī)器使用權(quán)。 用戶標(biāo)識 用一個用戶名或者用戶標(biāo)識號來標(biāo)明用戶身份。 口令,用戶標(biāo)識和鑒定可以重復(fù)多次,4.2.2 存取控制,數(shù)據(jù)庫安全最重要的一點(diǎn)就是確保只授權(quán)給有資格的用戶訪問數(shù)據(jù)庫的權(quán)限，同時令所有未授權(quán)的人員無法接近數(shù)據(jù)。這主要是通過DBMS提供的存取控制機(jī)制實現(xiàn)的。,在數(shù)據(jù)庫系統(tǒng)中，為了保證用戶只能訪問他有權(quán)存取的數(shù)據(jù)，必須預(yù)先對每個用戶定義存取權(quán)限。這些定義放在數(shù)據(jù)字典中，被稱為安全規(guī)則或授權(quán)規(guī)則。,對于通過鑒定獲得上機(jī)權(quán)的用戶（即合法用戶），系統(tǒng)根據(jù)他的存取權(quán)限定義對他的各種操作請求進(jìn)行控制，確保他只執(zhí)行合法操作,用戶權(quán)限定義和合法權(quán)檢查機(jī)制一起組成了DBMS的安全子系統(tǒng),存取控制機(jī)制主要包括兩部分： 定義存取權(quán)限 合法權(quán)限檢查,常用存取控制方法 自主存取控制（簡稱DAC） C2級 靈活,強(qiáng)制存取控制（簡稱 MAC） B1級 嚴(yán)格,同一用戶對于不同的數(shù)據(jù)對象有不同的存取權(quán)限 不同的用戶對同一對象也有不同的權(quán)限 用戶還可將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶,每一個數(shù)據(jù)對象被標(biāo)以一定的密級 每一個用戶也被授予某一個級別的許可證 對于任意一個對象，只有具有合法許可證的用戶才可以存取,4.2.3 自主存取控制（DAC）方法,大型數(shù)據(jù)庫管理系統(tǒng)幾乎都支持自主存取控制，標(biāo)準(zhǔn)SQL用GRANT語句和REVOKE來實現(xiàn)自主存取控制。 存取權(quán)限由兩個要素組成 數(shù)據(jù)對象 操作類型,表4.3 關(guān)系數(shù)據(jù)庫系統(tǒng)中的存取權(quán)限,自主存取控制方法的優(yōu)缺點(diǎn),優(yōu)點(diǎn) 能夠通過授權(quán)機(jī)制有效地控制其他用戶對敏感數(shù)據(jù)的存取 缺點(diǎn) 可能存在數(shù)據(jù)的“無意泄露” 原因：這種機(jī)制僅僅通過對數(shù)據(jù)的存取權(quán)限來進(jìn)行安全控制，而數(shù)據(jù)本身并無安全性標(biāo)記。 解決：對系統(tǒng)控制下的所有主客體實施強(qiáng)制存取控制策略,4.2.4 授權(quán)與回收,一、授權(quán)： GRANT GRANT語句的一般格式： GRANT ,. ON TO ,. WITH GRANT OPTION; 功能：將對指定操作對象的指定操作權(quán)限授予指定的用戶。 接受權(quán)限的用戶可以是一個或多個具體用戶或PUBLIC（全體用戶） 誰定義？DBA和表的建立者（即表的屬主）也可以是已經(jīng)擁有該權(quán)限的用戶。 指定了WITH GRANT OPTION子句: 獲得某種權(quán)限的用戶還可以把這種權(quán)限再授予別的用戶。 沒有指定WITH GRANT OPTION子句: 獲得某種權(quán)限的用戶只能使用該權(quán)限，不能傳播該權(quán)限。 不允許循環(huán)授權(quán)。,例1 把查詢Student表權(quán)限授給用戶U1 GRANT SELECT ON TABLE Student TO U1; 例2 把對Student表和Course表的全部權(quán)限授予用戶U2和U3 GRANT ALL PRIVILIGES ON TABLE Student, Course TO U2, U3; 例3 把對表SC的查詢權(quán)限授予所有用戶 GRANT SELECT ON TABLE SC TO PUBLIC;,例4 把查詢Student表和修改學(xué)生學(xué)號的權(quán)限授給用戶U4 GRANT UPDATE(Sno), SELECT ON TABLE Student TO U4; 例5 把對表SC的INSERT權(quán)限授予U5用戶，并允許他再將此權(quán)限授予其他用戶 GRANT INSERT ON TABLE SC TO U5 WITH GRANT OPTION; 例6 DBA把在數(shù)據(jù)庫S_C中建立表的權(quán)限授予用戶U8 GRANT CREATETAB ON DATABASE S_C TO U8;,執(zhí)行例5后，U5不僅擁有了對表SC的INSERT權(quán)限， 還可以傳播此權(quán)限： 例6GRANT INSERT ON TABLE SC TO U6 WITH GRANT OPTION; 同樣，U6還可以將此權(quán)限授予U7： 例7 GRANT INSERT ON TABLE SC TO U7; 但U7不能再傳播此權(quán)限。 U5 U6 U7,二、收回權(quán)限 REVOKE,一般格式： REVOKE ,. ON FROM ,.; 功能：從指定用戶那里收回對指定對象的指定權(quán)限,例8 把用戶U4修改學(xué)生學(xué)號的權(quán)限收回 REVOKE UPDATE(Sno) ON TABLE Student FROM U4; 例9 收回所有用戶對表SC的查詢權(quán)限 REVOKE SELECT ON TABLE SC FROM PUBLIC;,例10 把用戶U5對SC表的INSERT權(quán)限收回 REVOKE INSERT ON TABLE SC FROM U5;,權(quán)限的級聯(lián)回收 系統(tǒng)將收回直接或間接從U5處獲得的對SC表的INSERT權(quán)限: U5 U6 U7 收回U5、U6、U7獲得的對SC表的INSERT權(quán)限: -U5- U6- U7,三、創(chuàng)建數(shù)據(jù)庫模式的權(quán)限,一般格式： CREATE USER withDBA RESOURCE|CONNECT; 說明： 只有系統(tǒng)超級用戶才有權(quán)創(chuàng)建一個新的數(shù)據(jù)庫用戶。 新創(chuàng)建的數(shù)據(jù)庫用戶有三種權(quán)限RESOURCE、CONNECT和DBA。 CREATE USER命令中如果沒有指定創(chuàng)建新用戶的權(quán)限，默認(rèn)該用戶擁有CONNECT權(quán)限。,表4.6 權(quán)限與可執(zhí)行的操作對照表,4.2.5 數(shù)據(jù)庫角色,數(shù)據(jù)庫角色是被命名的一組與數(shù)據(jù)庫相關(guān)的權(quán)限，角色是權(quán)限的集合。因此可以為一組具有相同權(quán)限的用戶創(chuàng)建一個角色，使用角色來管理數(shù)據(jù)庫權(quán)限可以簡化授權(quán)的過程。,一、角色的創(chuàng)建 GREATE BOLE ； 二、給角色授權(quán) GRANT ,. ON TO ,.;,三、將一個角色授予其他角色或用戶 GRANT ,. TO ,.WITH GRANT OPTION； 四、角色權(quán)限的收回 REVOKE ,. ON FROM ,.;,4.2.6 強(qiáng)制存取（MAC）控制方法,一、什么是強(qiáng)制存取控制 強(qiáng)制存取控制(MAC)是指系統(tǒng)為保證更高程度的安全性，按照TDI/TCSEC標(biāo)準(zhǔn)中安全策略的要求，所采取的強(qiáng)制存取檢查手段。 MAC不是用戶能直接感知或進(jìn)行控制的。 MAC適用于對數(shù)據(jù)有嚴(yán)格而固定密級分類的部門 軍事部門 政府部門,二、主體與客體,在MAC中，DBMS所管理的全部實體被分為主體和客體兩大類。 主體是系統(tǒng)中的活動實體。 DBMS所管理的實際用戶； 代表用戶的各進(jìn)程。 客體是系統(tǒng)中的被動實體，是受主體操縱的。 文件 基表 索引 視圖,三、敏感度標(biāo)記,對于主體和客體，DBMS為它們每個實例（值）指派一個敏感度標(biāo)記（Label）。 敏感度標(biāo)記分成若干級別： 絕密（Top Secret） 機(jī)密（Secret） 可信（Confidential） 公開（Public）,主體的敏感度標(biāo)記稱為許可證級別（Clearance Level）； 客體的敏感度標(biāo)記稱為密級（Classification Level）； MAC機(jī)制就是通過對比主體的Label和客體的Label，最終確定主體是否能夠存取客體。,四、強(qiáng)制存取控制規(guī)則,當(dāng)某一用戶（或某一主體）以標(biāo)記label注冊入系統(tǒng)時，系統(tǒng)要求他對任何客體的存取必須遵循下面兩條規(guī)則： （1）僅當(dāng)主體的許可證級別大于或等于客體的密級時，該主體才能讀取相應(yīng)的客體； （2）僅當(dāng)主體的許可證級別等于客體的密級時，該主體才能寫相應(yīng)的客體。,有些系統(tǒng)對(2)做了修正規(guī)則： 主體的許可證級別 =客體的密級 主體能寫客體 用戶可為寫入的數(shù)據(jù)對象賦予高于自己的許可證級別的密級一旦數(shù)據(jù)被寫入，該用戶自己也不能再讀該數(shù)據(jù)對象了。,規(guī)則的共同點(diǎn)： 禁止了擁有高許可證級別的主體更新低密級的數(shù)據(jù)對象,五、強(qiáng)制存取控制的特點(diǎn),MAC是對數(shù)據(jù)本身進(jìn)行密級標(biāo)記 無論數(shù)據(jù)如何復(fù)制，標(biāo)記與數(shù)據(jù)是一個不可分的整體 只有符合密級標(biāo)記要求的用戶才可以操縱數(shù)據(jù) 從而提供了更高級別的安全性,DAC與MAC DAC與MAC共同構(gòu)成DBMS的安全機(jī)制 原因：較高安全性級別提供的安全保護(hù)要包含較低級別的所有保護(hù) 先進(jìn)行DAC檢查，通過DAC檢查的數(shù)據(jù)對象再由系統(tǒng)進(jìn)行MAC檢查，只有通過MAC檢查的數(shù)據(jù)對象方可存取。,4.3 視圖機(jī)制,視圖機(jī)制把要保密的數(shù)據(jù)對無權(quán)存取這些數(shù)據(jù)的用戶隱藏起來， 視圖機(jī)制更主要的功能在于提供數(shù)據(jù)獨(dú)立性，其安全保護(hù)功能太不精細(xì)，往往遠(yuǎn)不能達(dá)到應(yīng)用系統(tǒng)的要求。,視圖機(jī)制與授權(quán)機(jī)制配合使用: 首先用視圖機(jī)制屏蔽掉一部分保密數(shù)據(jù) 視圖上面再進(jìn)一步定義存取權(quán)限 間接實現(xiàn)了支持存取謂詞的用戶權(quán)限定義,例14 王平只能檢索計算機(jī)系學(xué)生的信息 先建立計算機(jī)系學(xué)生的視圖CS_Student CREATE VIEW CS_Student AS SELECT FROM Student WHERE Sdept=CS； 在視圖上進(jìn)一步定義存取權(quán)限 GRANT SELECT ON CS_Student TO 王平 ；,4.4 審計,什么是審計 啟用一個專用的審計日志（Audit Log） 將用戶對數(shù)據(jù)庫的所有操作記錄在上面 DBA可以利用審計日志中的追蹤信息 找出非法存取數(shù)據(jù)的人 C2以上安全級別的DBMS必須具有審計功能 審計功能的可選性 審計很費(fèi)時間和空間 DBA可以根據(jù)應(yīng)用對安全性的要求，靈活地打開或關(guān)閉審計功能。 強(qiáng)制性機(jī)制: 用戶識別和鑒定、存取控制、視圖 預(yù)防監(jiān)測手段: 審計技術(shù),4.5 數(shù)據(jù)加密,數(shù)據(jù)加密 防止數(shù)據(jù)庫中數(shù)據(jù)在存儲和傳輸中失密的有效手段。 加密的基本思想 根據(jù)一定的算法將原始數(shù)據(jù)（術(shù)語為明文，Plain text）變換為不可直接識別的格式（術(shù)語為密文，Cipher text），不知道解密算法的人無法獲知數(shù)據(jù)的內(nèi)容。 加密方法 替換方法 使用密鑰（Encryption Key）將明文中的每一個字符轉(zhuǎn)換為密文中的一個字符。 置換方法將明文的字符按不同的順序重新排列。 混合方法 美國1977年制定的官方加密標(biāo)準(zhǔn)：數(shù)據(jù)加密標(biāo)準(zhǔn)（Data Encryption Standar