數(shù)據(jù)庫(kù)安全性.doc

第四章 數(shù)據(jù)庫(kù)安全性章節(jié)4.1 計(jì)算機(jī)安全性概論4.2 數(shù)據(jù)庫(kù)安全性控制4.3 統(tǒng)計(jì)數(shù)據(jù)庫(kù)安全性課型新授課課時(shí)2節(jié)課班級(jí)2005級(jí)11、12班教學(xué)目標(biāo)掌握數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)安全性教學(xué)重點(diǎn)難點(diǎn)理解安全性控制措施教學(xué)關(guān)鍵如何理解安全性教學(xué)方法講解與課件演示教具計(jì)算機(jī)大屏幕投影復(fù)習(xí)內(nèi)容引入內(nèi)容不具有安全性的數(shù)據(jù)庫(kù)危害講解內(nèi)容問(wèn)題的提出數(shù)據(jù)庫(kù)的一大特點(diǎn)是數(shù)據(jù)可以共享但數(shù)據(jù)共享必然帶來(lái)數(shù)據(jù)庫(kù)的安全性問(wèn)題數(shù)據(jù)庫(kù)系統(tǒng)中的數(shù)據(jù)共享不能是無(wú)條件的共享例：軍事秘密、 國(guó)家機(jī)密、 新產(chǎn)品實(shí)驗(yàn)數(shù)據(jù)、 市場(chǎng)需求分析、市場(chǎng)營(yíng)銷策略、銷售計(jì)劃、 客戶檔案、 醫(yī)療檔案、 銀行儲(chǔ)蓄數(shù)據(jù)數(shù)據(jù)庫(kù)中數(shù)據(jù)的共享是在DBMS統(tǒng)一的嚴(yán)格的控制之下的共享，即只允許有合法使用權(quán)限的用戶訪問(wèn)允許他存取的數(shù)據(jù)數(shù)據(jù)庫(kù)系統(tǒng)的安全保護(hù)措施是否有效是數(shù)據(jù)庫(kù)系統(tǒng)主要的性能指標(biāo)之一什么是數(shù)據(jù)庫(kù)的安全性數(shù)據(jù)庫(kù)的安全性是指保護(hù)數(shù)據(jù)庫(kù)，防止因用戶非法使用數(shù)據(jù)庫(kù)造成數(shù)據(jù)泄露、更改或破壞。4.1.1 計(jì)算機(jī)系統(tǒng)的三類安全性問(wèn)題 什么是計(jì)算機(jī)系統(tǒng)安全性三類計(jì)算機(jī)系統(tǒng)安全性問(wèn)題技術(shù)安全類；管理安全類；政策法律類技術(shù)安全指計(jì)算機(jī)系統(tǒng)中采用具有一定安全性的硬件、軟件來(lái)實(shí)現(xiàn)對(duì)計(jì)算機(jī)系統(tǒng)及其所存數(shù)據(jù)的安全保護(hù)，當(dāng)計(jì)算機(jī)系統(tǒng)受到無(wú)意或惡意的攻擊時(shí)仍能保證系統(tǒng)正常運(yùn)行，保證系統(tǒng)內(nèi)的數(shù)據(jù)不增加、不丟失、不泄露。管理安全軟硬件意外故障、場(chǎng)地的意外事故、管理不善導(dǎo)致的計(jì)算機(jī)設(shè)備和數(shù)據(jù)介質(zhì)的物理破壞、丟失等安全問(wèn)題政策法律類政府部門建立的有關(guān)計(jì)算機(jī)犯罪、數(shù)據(jù)安全保密的法律道德準(zhǔn)則和政策法規(guī)、法令4.1.2 安全標(biāo)準(zhǔn)簡(jiǎn)介為降低進(jìn)而消除對(duì)系統(tǒng)的安全攻擊，各國(guó)引用或制定了一系列安全標(biāo)準(zhǔn)TCSEC (桔皮書)和CC1985年美國(guó)國(guó)防部（DoD）正式頒布 DoD可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)（簡(jiǎn)稱TCSEC或DoD85）TCSEC又稱桔皮書TCSEC標(biāo)準(zhǔn)的目的提供一種標(biāo)準(zhǔn)，使用戶可以對(duì)其計(jì)算機(jī)系統(tǒng)內(nèi)敏感信息安全操作的可信程度做評(píng)估。給計(jì)算機(jī)行業(yè)的制造商提供一種可循的指導(dǎo)規(guī)則，使其產(chǎn)品能夠更好地滿足敏感應(yīng)用的安全需求。1991年4月美國(guó)NCSC（國(guó)家計(jì)算機(jī)安全中心）頒布了可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)關(guān)于可信數(shù)據(jù)庫(kù)系統(tǒng)的解釋（ Trusted Database Interpretation 簡(jiǎn)稱TDI）TDI又稱紫皮書。它將TCSEC擴(kuò)展到數(shù)據(jù)庫(kù)管理系統(tǒng)。TDI中定義了數(shù)據(jù)庫(kù)管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)中需滿足和用以進(jìn)行安全性級(jí)別評(píng)估的標(biāo)準(zhǔn)四組(division)七個(gè)等級(jí)四組(division)七個(gè)等級(jí) D C（C1，C2） B（B1，B2，B3） A（A1）按系統(tǒng)可靠或可信程度逐漸增高各安全級(jí)別之間具有一種偏序向下兼容的關(guān)系，即較高安全性級(jí)別提供的安全保護(hù)要包含較低級(jí)別的所有保護(hù)要求，同時(shí)提供更多或更完善的保護(hù)能力。D級(jí)將一切不符合更高標(biāo)準(zhǔn)的系統(tǒng)均歸于D組典型例子：DOS是安全標(biāo)準(zhǔn)為D的操作系統(tǒng) DOS在安全性方面幾乎沒(méi)有什么專門的機(jī)制來(lái)保障C1級(jí)非常初級(jí)的自主安全保護(hù)能夠?qū)崿F(xiàn)對(duì)用戶和數(shù)據(jù)的分離，進(jìn)行自主存取控制（DAC），保護(hù)或限制用戶權(quán)限的傳播。C2級(jí)安全產(chǎn)品的最低檔次提供受控的存取保護(hù)，將C1級(jí)的DAC進(jìn)一步細(xì)化，以個(gè)人身份注冊(cè)負(fù)責(zé)，并實(shí)施審計(jì)和資源隔離達(dá)到C2級(jí)的產(chǎn)品在其名稱中往往不突出“安全”(Security)這一特色B1級(jí)標(biāo)記安全保護(hù)?！鞍踩?Security)或“可信的”(Trusted)產(chǎn)品。對(duì)系統(tǒng)的數(shù)據(jù)加以標(biāo)記，對(duì)標(biāo)記的主體和客體實(shí)施強(qiáng)制存取控制（MAC）、審計(jì)等安全機(jī)制B2級(jí) 結(jié)構(gòu)化保護(hù) 建立形式化的安全策略模型并對(duì)系統(tǒng)內(nèi)的所有主體和客體實(shí)施DAC和MAC。經(jīng)過(guò)認(rèn)證的B2級(jí)以上的安全系統(tǒng)非常稀少數(shù)據(jù)庫(kù) 沒(méi)有符合B2標(biāo)準(zhǔn)的產(chǎn)品B3級(jí) 安全域。該級(jí)的TCB必須滿足訪問(wèn)監(jiān)控器的要求，審計(jì)跟蹤能力更強(qiáng)，并提供系統(tǒng)恢復(fù)過(guò)程。A1級(jí) 驗(yàn)證設(shè)計(jì)，即提供B3級(jí)保護(hù)的同時(shí)給出系統(tǒng)的形式化設(shè)計(jì)說(shuō)明和驗(yàn)證以確信各安全保護(hù)真正實(shí)現(xiàn)。B2以上的系統(tǒng)還處于理論研究階段應(yīng)用多限于一些特殊的部門如軍隊(duì)等美國(guó)正在大力發(fā)展安全產(chǎn)品，試圖將目前僅限于少數(shù)領(lǐng)域應(yīng)用的B2安全級(jí)別下放到商業(yè)應(yīng)用中來(lái)，并逐步成為新的商業(yè)標(biāo)準(zhǔn)。4.2 數(shù)據(jù)庫(kù)安全性控制4.2.1 數(shù)據(jù)庫(kù)安全性控制概述非法使用數(shù)據(jù)庫(kù)的情況用戶編寫一段合法的程序繞過(guò)DBMS及其授權(quán)機(jī)制，通過(guò)操作系統(tǒng)直接存取、修改或備份數(shù)據(jù)庫(kù)中的數(shù)據(jù)；直接或編寫應(yīng)用程序執(zhí)行非授權(quán)操作；通過(guò)多次合法查詢數(shù)據(jù)庫(kù)從中推導(dǎo)出一些保密數(shù)據(jù) 例：某數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)禁止查詢單個(gè)人的工資，但允許查任意一組人的平均工資。用戶甲想了解張三的工資，于是他： 首先查詢包括張三在內(nèi)的一組人的平均工資 然后查用自己替換張三后這組人的平均工資 從而推導(dǎo)出張三的工資破壞安全性的行為可能是無(wú)意的，故意的，惡意的。數(shù)據(jù)庫(kù)安全性控制的常用方法用戶標(biāo)識(shí)和鑒定 存取控制 視圖 審計(jì) 密碼存儲(chǔ)4.2.2 用戶標(biāo)識(shí)與鑒別用戶標(biāo)識(shí)與鑒別（Identification & Authentication） 系統(tǒng)提供的最外層安全保護(hù)措施基本方法系統(tǒng)提供一定的方式讓用戶標(biāo)識(shí)自己的名字或身份；系統(tǒng)內(nèi)部記錄著所有合法用戶的標(biāo)識(shí)；每次用戶要求進(jìn)入系統(tǒng)時(shí)，由系統(tǒng)核對(duì)用戶提供的身份標(biāo)識(shí)；通過(guò)鑒定后才提供機(jī)器使用權(quán)。用戶標(biāo)識(shí)和鑒定可以重復(fù)多次用戶名/口令簡(jiǎn)單易行，容易被人竊取每個(gè)用戶預(yù)先約定好一個(gè)計(jì)算過(guò)程或者函數(shù)系統(tǒng)提供一個(gè)隨機(jī)數(shù)，用戶根據(jù)自己預(yù)先約定的計(jì)算過(guò)程或者函數(shù)進(jìn)行計(jì)算，系統(tǒng)根據(jù)用戶計(jì)算結(jié)果是否正確鑒定用戶身份。4.2.2 存取控制存取控制機(jī)制的功能存取控制機(jī)制的組成 定義存取權(quán)限 檢查存取權(quán)限定義存取權(quán)限在數(shù)據(jù)庫(kù)系統(tǒng)中，為了保證用戶只能訪問(wèn)他有權(quán)存取的數(shù)據(jù)，必須預(yù)先對(duì)每個(gè)用戶定義存取權(quán)限。檢查存取權(quán)限對(duì)于通過(guò)鑒定獲得上機(jī)權(quán)的用戶（即合法用戶），系統(tǒng)根據(jù)他的存取權(quán)限定義對(duì)他的各種操作請(qǐng)求進(jìn)行控制，確保他只執(zhí)行合法操作。用戶權(quán)限定義和合法權(quán)檢查機(jī)制一起組成了DBMS的安全子系統(tǒng)常用存取控制方法自主存取控制（Discretionary Access Control ，簡(jiǎn)稱DAC） C2級(jí) 靈活強(qiáng)制存取控制（Mandatory Access Control，簡(jiǎn)稱 MAC） B1級(jí) 嚴(yán)格(1)自主存取控制方法同一用戶對(duì)于不同的數(shù)據(jù)對(duì)象有不同的存取權(quán)限不同的用戶對(duì)同一對(duì)象也有不同的權(quán)限用戶還可將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶(2)強(qiáng)制存取控制方法每一個(gè)數(shù)據(jù)對(duì)象被標(biāo)以一定的密級(jí)每一個(gè)用戶也被授予某一個(gè)級(jí)別的許可證對(duì)于任意一個(gè)對(duì)象，只有具有合法許可證的用戶才可以存取4.2.3 自主存取控制方法(1)定義存取權(quán)限存取權(quán)限 存取權(quán)限由兩個(gè)要素組成數(shù)據(jù)對(duì)象 操作類型關(guān)系系統(tǒng)中的存取權(quán)限定義方法 GRANT REVOKE(2)檢查存取權(quán)限對(duì)于獲得上機(jī)權(quán)后又進(jìn)一步發(fā)出存取數(shù)據(jù)庫(kù)操作的用戶DBMS查找數(shù)據(jù)字典，根據(jù)其存取權(quán)限對(duì)操作的合法性進(jìn)行檢查若用戶的操作請(qǐng)求超出了定義的權(quán)限，系統(tǒng)將拒絕執(zhí)行此操作(3)授權(quán)粒度授權(quán)粒度是指可以定義的數(shù)據(jù)對(duì)象的范圍它是衡量授權(quán)機(jī)制是否靈活的一個(gè)重要指標(biāo)。授權(quán)定義中數(shù)據(jù)對(duì)象的粒度越細(xì)，即可以定義的數(shù)據(jù)對(duì)象的范圍越小，授權(quán)子系統(tǒng)就越靈活。關(guān)系數(shù)據(jù)庫(kù)中授權(quán)的數(shù)據(jù)對(duì)象粒度 數(shù)據(jù)庫(kù) 表 屬性列 行能否提供與數(shù)據(jù)值有關(guān)的授權(quán)反映了授權(quán)子系統(tǒng)精巧程度(4)實(shí)現(xiàn)與數(shù)據(jù)值有關(guān)的授權(quán)利用存取謂詞存取謂詞可以很復(fù)雜可以引用系統(tǒng)變量，如終端設(shè)備號(hào)，系統(tǒng)時(shí)鐘等，實(shí)現(xiàn)與時(shí)間地點(diǎn)有關(guān)的存取權(quán)限，這樣用戶只能在某段時(shí)間內(nèi)，某臺(tái)終端上存取有關(guān)數(shù)據(jù) 例：規(guī)定“教師只能在每年1月份和7月份星期一至星期五上午8點(diǎn)到下午5點(diǎn)處理學(xué)生成績(jī)數(shù)據(jù)”。4.2.4 授權(quán)與回收數(shù)據(jù)控制亦稱為數(shù)據(jù)保護(hù)，包括數(shù)據(jù)的：安全性控制 完整性控制 并發(fā)控制 恢復(fù)SQL語(yǔ)言提供了數(shù)據(jù)控制功能，能夠在一定程度上保證數(shù)據(jù)庫(kù)中數(shù)據(jù)的完全性、完整性，并提供了一定的并發(fā)控制及恢復(fù)能力。4. 安全性安全性：保護(hù)數(shù)據(jù)庫(kù)，防止不合法的使用所造成的數(shù)據(jù)泄露和破壞。保證數(shù)據(jù)安全性的主要措施存取控制：控制用戶只能存取他有權(quán)存取的數(shù)據(jù)規(guī)定不同用戶對(duì)于不同數(shù)據(jù)對(duì)象所允許執(zhí)行的操作DBMS實(shí)現(xiàn)數(shù)據(jù)安全性保護(hù)的過(guò)程用戶或DBA把授權(quán)決定告知系統(tǒng)，由SQL的GRANT和REVOKE語(yǔ)句完成。DBMS把授權(quán)的結(jié)果存入數(shù)據(jù)字典。當(dāng)用戶提出操作請(qǐng)求時(shí)，DBMS根據(jù)授權(quán)定義進(jìn)行檢查，以決定是否執(zhí)行操作請(qǐng)求。誰(shuí)定義？DBA和表的建立者（即表的屬主）如何定義？SQL語(yǔ)句： GRANT REVOKE一GRANT一般格式： GRANT ,. ON TO ,. WITH GRANT OPTION;誰(shuí)定義？DBA和表的建立者（即表的屬主）其語(yǔ)義為功能：將對(duì)指定操作對(duì)象的指定操作權(quán)限授予指定的用戶。(1) 操作權(quán)限(2) 用戶的權(quán)限建表（CREATETAB）的權(quán)限:屬于DBADBA授予-普通用戶基本表或視圖的屬主擁有對(duì)該表或視圖的一切操作權(quán)限接受權(quán)限的用戶: 一個(gè)或多個(gè)具體用戶 PUBLIC（全體用戶）(4) WITH GRANT OPTION子句指定了WITH GRANT OPTION子句:獲得某種權(quán)限的用戶還可以把這種權(quán)限再授予別的用戶。沒(méi)有指定WITH GRANT OPTION子句: 獲得某種權(quán)限的用戶只能使用該權(quán)限，不能傳播該權(quán)限。例1 把查詢Student表權(quán)限授給用戶U1 GRANT SELECT ON Student TO U1;例2 把對(duì)Student表和Course表的全部權(quán)限授予用戶U2和U3 GRANT ALL PRIVILEGES ON TABLE Student, Course TO U2, U3;例3 把對(duì)表SC的查詢權(quán)限授予所有用戶 GRANT SELECT ON TABLE SC TO PUBLIC;例4 把查詢Student表和修改學(xué)生學(xué)號(hào)的權(quán)限授給用戶U4 GRANT UPDATE(Sno), SELECT ON TABLE Student TO U4;例5 把對(duì)表SC的INSERT權(quán)限授予U5用戶，并允許他再將此權(quán)限授予其他用戶 GRANT INSERT ON TABLE SC TO U5 WITH GRANT OPTION;執(zhí)行例5后，U5不僅擁有了對(duì)表SC的INSERT權(quán)限，還可以傳播此權(quán)限： GRANT INSERT ON TABLE SC TO U6 WITH GRANT OPTION; 同樣，U6還可以將此權(quán)限授予U7： GRANT INSERT ON TABLE SC TO U7; 但U7不能再傳播此權(quán)限。 U5- U6- U7例6 DBA把在數(shù)據(jù)庫(kù)S_C中建立表的權(quán)限授予用戶U8GRANT CREATETABON DATABASE S_C TO U8;注意：Oracle中由DBA把CREATE ANY TABLE的權(quán)限授予用戶。二 REVOKEREVOKE語(yǔ)句的一般格式為： REVOKE ,. ON FROM ,.;功能：從指定用戶那里收回對(duì)指定對(duì)象的指定權(quán)限例7 把用戶U4修改學(xué)生學(xué)號(hào)的權(quán)限收回REVOKE UPDATE(Sno)ON TABLE Student FROM U4;注意：Oracle中不能按列收回權(quán)限。例8 收回所有用戶對(duì)表SC的查詢權(quán)限REVOKE SELECT ON TABLE SC FROM PUBLIC;例9 把用戶U5對(duì)SC表的INSERT權(quán)限收回REVOKE INSERT ON TABLE SC FROM U5;系統(tǒng)將收回直接或間接從U5處獲得的對(duì)SC表的INSERT權(quán)限: -U5- U6- U7收回U5、U6、U7獲得的對(duì)SC表的INSERT權(quán)限:-U5- U6- U7小結(jié):SQL靈活的授權(quán)機(jī)制DBA擁有對(duì)數(shù)據(jù)庫(kù)中所有對(duì)象的所有權(quán)限，并可以根據(jù)應(yīng)用的需要將不同的權(quán)限授予不同的用戶。用戶對(duì)自己建立的基本表和視圖擁有全部的操作權(quán)限，并且可以用GRANT語(yǔ)句把其中某些權(quán)限授予其他用戶。被授權(quán)的用戶如果有“繼續(xù)授權(quán)”的許可，還可以把獲得的權(quán)限再授予其他用戶。所有授予出去的權(quán)力在必要時(shí)又都可以用REVOKE語(yǔ)句收回。4.2.5 數(shù)據(jù)庫(kù)角色4.2.6 強(qiáng)制存取控制(MAC)方法(1)什么是強(qiáng)制存取控制強(qiáng)制存取控制是指系統(tǒng)為保證更高程度的安全性，按照TDI/TCSEC標(biāo)準(zhǔn)中安全策略的要求，所采取的強(qiáng)制存取檢查手段。MAC不是用戶能直接感知或進(jìn)行控制的。MAC適用于對(duì)數(shù)據(jù)有嚴(yán)格而固定密級(jí)分類的部門 軍事部門； 政府部門(2)主體與客體在MAC中，DBMS所管理的全部實(shí)體被分為主體和客體兩大類主體是系統(tǒng)中的活動(dòng)實(shí)體 DBMS所管理的實(shí)際用戶 代表用戶的各進(jìn)程客體是系統(tǒng)中的被動(dòng)實(shí)體，是受主體操縱的 文件 基表 索引 視圖(3)敏感度標(biāo)記 對(duì)于主體和客體，DBMS為它們每個(gè)實(shí)例（值）指派一個(gè)敏感度標(biāo)記（Label） 敏感度標(biāo)記分成若干級(jí)別 絕密（Top Secret） 機(jī)密（Secret） 可信（Confidential） 公開（Public）主體的敏感度標(biāo)記稱為許可證級(jí)別（Clearance Level）客體的敏感度標(biāo)記稱為密級(jí)（Classification Level）MAC機(jī)制就是通過(guò)對(duì)比主體的Label和客體的Label，最終確定主體是否能夠存取客體(4)強(qiáng)制存取控制規(guī)則當(dāng)某一用戶（或某一主體）以標(biāo)記label注冊(cè)入系統(tǒng)時(shí)，系統(tǒng)要求他對(duì)任何客體的存取必須遵循下面兩條規(guī)則：（1）僅當(dāng)主體的許可證級(jí)別大于或等于客體的密級(jí)時(shí)，該主體才能讀取相應(yīng)的客體；（2）僅當(dāng)主體的許可證級(jí)別等于客體的密級(jí)時(shí)，該主體才能寫相應(yīng)的客體。4.3 視圖機(jī)制視圖機(jī)制把要保密的數(shù)據(jù)對(duì)無(wú)權(quán)存取這些數(shù)據(jù)的用戶隱藏起來(lái)， 視圖機(jī)制更主要的功能在于提供數(shù)據(jù)獨(dú)立性，其安全保護(hù)功能太不精細(xì)，往往遠(yuǎn)不能達(dá)到應(yīng)用系統(tǒng)的要求。視圖機(jī)制與授權(quán)機(jī)制配合使用:首先用視圖機(jī)制屏蔽掉一部分保密數(shù)據(jù)視圖上面再進(jìn)一步定義存取權(quán)限間接實(shí)現(xiàn)了支持存取謂詞的用戶權(quán)限定義例：王平只能檢索計(jì)算機(jī)系學(xué)生的信息 先建立計(jì)算機(jī)系學(xué)生的視圖CS_Student CREATE VIEW CS_Student AS SELECT * FROM Student WHERE Sdept=CS；在視圖上進(jìn)一步定義存取權(quán)限GRANT SELECT ON CS_Student TO 王平 ；4.4 審計(jì)什么是審計(jì)啟用一個(gè)專用的審計(jì)日志（Audit Log），將用戶對(duì)數(shù)據(jù)庫(kù)的所有操作記錄在上面。DBA可以利用審計(jì)日志中的追蹤信息，找出非法存取數(shù)據(jù)的人C2以上安全級(jí)別的DBMS必須具有審計(jì)功能審計(jì)功能的可選性審計(jì)很費(fèi)時(shí)間和空間DBA可以根據(jù)應(yīng)用對(duì)安全性的要求，靈活地打開或關(guān)閉審計(jì)功能。4.5 數(shù)據(jù)加密4.0.0.0.0.0.0.42424數(shù)據(jù)加密:防止數(shù)據(jù)庫(kù)中數(shù)據(jù)在存儲(chǔ)和傳輸中失密的有