數(shù)據(jù)庫系統(tǒng)的安全.ppt

第5章 數(shù)據(jù)庫系統(tǒng)的安全,5.1 數(shù)據(jù)庫安全概述 5.2 數(shù)據(jù)庫安全的威脅 5.3 數(shù)據(jù)庫的數(shù)據(jù)保護 5.4 數(shù)據(jù)庫的備份和恢復(fù),5.1 數(shù)據(jù)庫安全概述,5.1.1 簡介 數(shù)據(jù)庫系統(tǒng)的安全需求與其他系統(tǒng)大致相同，要求其完整性、可靠性、有效性、保密性、可審計性及可存取控制與用戶身份鑒別等。,5.1.2 數(shù)據(jù)庫系統(tǒng)的特性 操作系統(tǒng)并不直接提供對數(shù)據(jù)庫系統(tǒng)的保護，數(shù)據(jù)庫文件的保護主要由數(shù)據(jù)管理系統(tǒng)完成。其安全使用特性有以下幾點要求。 1多用戶 2高可用性 3頻繁地更新 4大文件 5安全性與可靠性問題,5.1.3 數(shù)據(jù)庫系統(tǒng)的安全性要求 數(shù)據(jù)庫系統(tǒng)的基本安全性要求主要是訪問控制、偽裝數(shù)據(jù)的排除、用戶的認證和可靠性等. 1數(shù)據(jù)庫的完整性 2元素的完整性 3可審計性 4訪問控制 5用戶認證 6可用性,5.1.4 數(shù)據(jù)庫系統(tǒng)安全的含義 1系統(tǒng)運行安全 2系統(tǒng)信息安全,5.1.5 數(shù)據(jù)庫系統(tǒng)的安全架構(gòu) 數(shù)據(jù)庫系統(tǒng)信息安全性依賴于兩個層次：一層是數(shù)據(jù)庫管理系統(tǒng)本身提供的用戶名和口令的認證、視圖、訪問權(quán)限控制和審計等管理措施；另一層就是靠應(yīng)用程序設(shè)置的控制管理。 1用戶分類 2數(shù)據(jù)分類 3審計功能,5.1.6 數(shù)據(jù)庫安全系統(tǒng)特性 1數(shù)據(jù)獨立性 （1）物理獨立性是指用戶的應(yīng)用程序與存儲在磁盤上的數(shù)據(jù)庫中的數(shù)據(jù)是相互獨立的。 （2）邏輯獨立性是指用戶的應(yīng)用程序與數(shù)據(jù)庫的邏輯結(jié)構(gòu)是相互獨立的。,2數(shù)據(jù)安全性 操作系統(tǒng)中的對象一般情況下是文件，粒度較粗，而數(shù)據(jù)庫支持的應(yīng)用要求更為精細的數(shù)據(jù)粒度。 通常，比較完整的數(shù)據(jù)庫對數(shù)據(jù)安全性采取以下措施。 （1）將數(shù)據(jù)庫中需要保護的部分與其他部分相隔離。 （2）使用授權(quán)規(guī)則。 （3）將數(shù)據(jù)進行加密。,3數(shù)據(jù)的完整性 4并發(fā)控制 5故障恢復(fù),5.1.7 多層數(shù)據(jù)庫系統(tǒng)的安全 多層數(shù)據(jù)庫系統(tǒng)就是把操作系統(tǒng)的多級安全模型引入安全數(shù)據(jù)庫設(shè)計之中的一種構(gòu)想。多層數(shù)據(jù)庫對訪問進行控制的一種簡單方法是使用“分區(qū)”。 多層數(shù)據(jù)庫對訪問控制的另一種方法是利用視圖。,5.2 數(shù)據(jù)庫安全的威脅,對數(shù)據(jù)庫安全的威脅主要有以下3種：數(shù)據(jù)篡改、數(shù)據(jù)損壞和數(shù)據(jù)竊取。 5.2.1 數(shù)據(jù)篡改 數(shù)據(jù)篡改指的是對數(shù)據(jù)庫中的數(shù)據(jù)未經(jīng)授權(quán)就進行修改或刪除，使其失去原來的真實性。 數(shù)據(jù)篡改可以通過限制對特定數(shù)據(jù)的訪問來遏制這個問題。,發(fā)生這種人為篡改的原因主要有以下幾種。 （1）個人利益的驅(qū)動 （2）隱藏證據(jù) （3）惡作劇 （4）無知,5.2.2 數(shù)據(jù)損壞 1破壞 破壞可分為下列3種情況。 （1）偶然或無意的。 （2）硬件或軟件的故障/錯誤。 （3）人為的破壞。 2惡作劇 3計算機病毒,5.2.3 數(shù)據(jù)竊取 導(dǎo)致竊取的原因如下。 （1）被竊取的數(shù)據(jù)可能比想象中更有價值。 （2）不滿和將要離開的員工的惡意行為。 （3）工商業(yè)間諜竊取數(shù)據(jù)。,5.3 數(shù)據(jù)庫的數(shù)據(jù)保護,5.3.1 數(shù)據(jù)庫的故障類型 1事務(wù)內(nèi)部的故障 事務(wù)（Transaction）是構(gòu)成單一邏輯工作單元的操作集合，它是一個不可分割的單位。事務(wù)內(nèi)部的故障多發(fā)生于數(shù)據(jù)的不一致性。 （1）丟失修改。 （2）不能重復(fù)讀取。 （3）“臟”數(shù)據(jù)的讀出，即不正確數(shù)據(jù)的讀出。,2系統(tǒng)范圍內(nèi)的故障 系統(tǒng)故障是指造成系統(tǒng)停止運轉(zhuǎn)的任何事件，從而使得系統(tǒng)必須重新啟動。 系統(tǒng)故障主要有以下兩種情況。 （1）發(fā)生故障時，一些尚未完成的事務(wù)的部分結(jié)果已送入物理數(shù)據(jù)庫。 （2）發(fā)生系統(tǒng)故障時，有些已完成的事務(wù)有一部分甚至全部留在緩沖區(qū)，尚未寫回到磁盤上的物理數(shù)據(jù)庫中。,3介質(zhì)故障 4黑客和計算機病毒 總結(jié)各種故障，對數(shù)據(jù)庫的影響有兩種可能性。一是數(shù)據(jù)庫結(jié)構(gòu)本身被破壞，二是數(shù)據(jù)庫的結(jié)構(gòu)沒有破壞，但數(shù)據(jù)內(nèi)容可能不正確，這是因為事務(wù)的運行被正常中止造成的?；謴?fù)的基本原理十分簡單，即冗余。,5.3.2 數(shù)據(jù)庫的數(shù)據(jù)保護 數(shù)據(jù)庫保護主要是指數(shù)據(jù)庫的安全性、完整性、并發(fā)控制和數(shù)據(jù)庫恢復(fù)。 1數(shù)據(jù)庫的安全性 在一般的計算機系統(tǒng)中，安全措施是一級一級層層設(shè)置的，如圖5.1所示。,圖5.1 數(shù)據(jù)庫安全控制模型,（1）用戶標識和鑒定 （2）存取控制 對于獲得訪問權(quán)的用戶還要根據(jù)預(yù)先定義好的用戶權(quán)限進行存取控制，保證用戶只能存取他有權(quán)存取的數(shù)據(jù)。,表5.1 授權(quán)規(guī)則表,（3）數(shù)據(jù)庫加密 有必要對數(shù)據(jù)庫中存儲的重要數(shù)據(jù)進行加密處理，以實現(xiàn)數(shù)據(jù)存儲的安全保護。 數(shù)據(jù)庫密碼系統(tǒng)應(yīng)采取公開密鑰。 多級密鑰結(jié)構(gòu)。 加密機制。 數(shù)據(jù)庫加解密密鑰應(yīng)該是相同，公開的，而加密算法應(yīng)該是絕對保密的。, 數(shù)據(jù)庫加密的范圍 只能對數(shù)據(jù)庫中的數(shù)據(jù)進行部分加密。數(shù)據(jù)庫中不能加密的部分包括以下內(nèi)容。 數(shù)據(jù)庫加密對數(shù)據(jù)庫管理系統(tǒng)原有功能的影響 然而，數(shù)據(jù)庫數(shù)據(jù)加密以后，數(shù)據(jù)庫管理系統(tǒng)的一些功能將無法使用。,2數(shù)據(jù)庫中數(shù)據(jù)的完整性 數(shù)據(jù)的完整性主要是指防止數(shù)據(jù)庫中存在不符合語義的數(shù)據(jù)，防止錯誤信息的輸入和輸出。 數(shù)據(jù)庫中的所有數(shù)據(jù)都必須滿足自己的完整性約束條件，這些約束包括以下幾種。 （1）數(shù)據(jù)類型與值域的約束 （2）關(guān)鍵字約束 （3）數(shù)據(jù)聯(lián)系的約束 3數(shù)據(jù)庫并發(fā)控制,（1）未加控制的并發(fā)控制，如表5.2所示。 表5.2 未加控制的并發(fā)操作過程,（2）未加控制的并發(fā)操作讀取造成數(shù)據(jù)不一致，如表5.3所示。,表5.3 并發(fā)操作造成數(shù)據(jù)不一致,（3）未提交更新發(fā)生的并發(fā)操作錯誤，如表5.4所示。,表5.4 未提交更新而發(fā)生的并發(fā)操作,表5.5 原表5.2加鎖后的執(zhí)行狀態(tài),表5.6 原表5.3加鎖后的執(zhí)行狀態(tài),表5.7 原表5.4加鎖后的執(zhí)行狀態(tài),5.4 數(shù)據(jù)庫的備份和恢復(fù),5.4.1 數(shù)據(jù)庫的備份 數(shù)據(jù)庫的備份大致有3種類型：冷備份、熱備份和邏輯備份。 1冷備份 2熱備份 3邏輯備份,5.4.2 系統(tǒng)和網(wǎng)絡(luò)完整性 1服務(wù)器保護 （1）電力調(diào)節(jié)，以保證能使服務(wù)器運行足夠長的時間以完成數(shù)據(jù)庫的備份。 （2）環(huán)境管理，應(yīng)將服務(wù)器置于有空調(diào)的房間，通風口和管理應(yīng)保持干凈，并定期檢查和清理。 （3）服務(wù)器所在的房間應(yīng)加強安全管理。 （4）做好服務(wù)器中硬件的更換工作，從而提高服務(wù)器中硬件的可靠性。 （5）盡量使用輔助服務(wù)器以提供實時故障的跨越功能。 （6）通過映像技術(shù)或其他任何形式進行復(fù)制以便提供某種程度的容錯。,2客戶機的保護 （1）電力調(diào)節(jié)，保證客戶機正常運行所需的電力供應(yīng)。 （2）配備后備電源，確保電力供應(yīng)中斷之后客戶機能持續(xù)運行直至文件被保存和完成業(yè)務(wù)。 （3）定期更換客戶機或工作站的硬件。 3網(wǎng)絡(luò)連接,圖5.2 數(shù)據(jù)庫的恢復(fù),5.4.3 數(shù)據(jù)庫的恢復(fù),1數(shù)據(jù)庫的恢復(fù)辦法,2利用日志文件恢復(fù)事務(wù) 下面介紹如何登記日志文件，以及發(fā)生故障后如何利用日志文件恢復(fù)事務(wù)。 （1）登記日志文件（Logging） （2）事務(wù)恢復(fù),總之，利用轉(zhuǎn)儲和日志文件可