安全生產(chǎn)_數(shù)據(jù)庫系統(tǒng)安全培訓(xùn)教材

第10章數(shù)據(jù)庫系統(tǒng)安全 數(shù)據(jù)庫是計(jì)算機(jī)科學(xué)的一個(gè)重要分支 任何信息管理的應(yīng)用都離不開數(shù)據(jù)庫的支持 隨著網(wǎng)絡(luò)的發(fā)展 數(shù)據(jù)庫已經(jīng)與網(wǎng)絡(luò)緊密地結(jié)合起來 數(shù)據(jù)庫系統(tǒng)安全的重要性不亞于網(wǎng)絡(luò)安全的重要性 數(shù)據(jù)庫系統(tǒng)的安全有它獨(dú)有的特點(diǎn) 第10章數(shù)據(jù)庫系統(tǒng)安全 NetworkandInformationSecurity 10 1數(shù)據(jù)庫安全概述 第10章數(shù)據(jù)庫系統(tǒng)安全 NetworkandInformationSecurity 1 存取控制技術(shù) 2 隔離控制技術(shù) 3 加密技術(shù) 4 信息流向控制技術(shù) 5 推理控制技術(shù) 6 數(shù)據(jù)備份技術(shù) 第10章數(shù)據(jù)庫系統(tǒng)安全 NetworkandInformationSecurity 10 1 1數(shù)據(jù)庫安全技術(shù) 一般情況下 我們可以確定整個(gè)數(shù)據(jù)庫是敏感的 要求保密 或不敏感的 不要求保密 細(xì)一點(diǎn) 可以確定庫中的某個(gè)基表 對于關(guān)系型數(shù)據(jù)庫 是敏感的或不敏感的 但有時(shí)情況卻復(fù)雜得多 第10章數(shù)據(jù)庫系統(tǒng)安全 NetworkandInformationSecurity 10 1 2多級數(shù)據(jù)庫 姓名 部門和電話這三列是不需保密的 任何人都可以查詢 但是工資和績效考核卻是必須保密的 現(xiàn)在很多企業(yè)都搞所謂的 密薪制 這說明基表中只有部分字段是敏感的 第10章數(shù)據(jù)庫系統(tǒng)安全 NetworkandInformationSecurity 也許李四是一個(gè)特殊人物 他的所有情況都要保密 甚至他的存在都是一個(gè)秘密 趙六的電話也許很重要 不想被別人知道 這些數(shù)據(jù)的安全要求與工資與績效考核兩個(gè)字段的安全要求是不一樣的 第10章數(shù)據(jù)庫系統(tǒng)安全 NetworkandInformationSecurity 1 一個(gè)元素的敏感度可能不同于同一記錄的其他元素或同一屬性的其他值 這要求應(yīng)該對每個(gè)元素單獨(dú)實(shí)行安全保護(hù) 2 敏感和不敏感兩種級別不足以描繪某些安全要求 需要多個(gè)安全級別 3 集合安全不同于單個(gè)元素的安全 如數(shù)據(jù)庫中的和 平均值 集合安全可能高于也可能低于單個(gè)元素的安全 第10章數(shù)據(jù)庫系統(tǒng)安全 NetworkandInformationSecurity 數(shù)據(jù)庫安全特點(diǎn) 雖然DBMS在操作系統(tǒng)的基礎(chǔ)上增加了不少安全措施 例如基于權(quán)限的訪問控制等 但操作系統(tǒng)和DBMS對數(shù)據(jù)庫文件本身仍然缺乏有效的保護(hù)措施 有經(jīng)驗(yàn)的黑客會(huì) 繞道而行 直接利用操作系統(tǒng)工具竊取或篡改數(shù)據(jù)庫文件內(nèi)容 被稱為通向DBMS的 隱秘通道 它所帶來的危害一般數(shù)據(jù)庫用戶難以覺察 分析和堵塞 隱秘通道 被認(rèn)為是B2級的安全技術(shù)措施 對數(shù)據(jù)庫中的敏感數(shù)據(jù)進(jìn)行加密處理 是堵塞這一 隱秘通道 的有效手段 10 2數(shù)據(jù)庫加密 第10章數(shù)據(jù)庫系統(tǒng)安全 NetworkandInformationSecurity 80 的計(jì)算機(jī)犯罪來自系統(tǒng)內(nèi)部 在傳統(tǒng)的數(shù)據(jù)庫系統(tǒng)中 數(shù)據(jù)庫管理員的權(quán)力至高無上 他既負(fù)責(zé)各項(xiàng)系統(tǒng)管理工作 例如資源分配 用戶授權(quán) 系統(tǒng)審計(jì)等 又可以查詢數(shù)據(jù)庫中的一切信息 為此 可采用技術(shù)手段來削弱系統(tǒng)管理員的權(quán)力 如采用多權(quán)分立的策略 除了系統(tǒng)管理員以外 增加安全員和審計(jì)員 使系統(tǒng)管理員 安全員和審計(jì)員之間相互牽制 制約 實(shí)現(xiàn)數(shù)據(jù)庫加密以后 各用戶 或用戶組 的數(shù)據(jù)由用戶用自己的密鑰加密 數(shù)據(jù)庫管理員沒有密鑰無法進(jìn)行正常解密 從而保證了用戶信息的安全 另外 通過加密 數(shù)據(jù)庫的部分內(nèi)容成為密文 從而能減少因介質(zhì)失竊或丟失而造成的損失 數(shù)據(jù)庫加密對于企業(yè)內(nèi)部安全管理 也是不可或缺的 一般來說 一個(gè)良好的數(shù)據(jù)庫加密系統(tǒng)應(yīng)該滿足以下基本要求 1 支持各種粒度加密2 良好的密鑰管理機(jī)制3 合理處理數(shù)據(jù)4 不影響合法用戶的操作 第10章數(shù)據(jù)庫系統(tǒng)安全 NetworkandInformationSecurity 10 2 1數(shù)據(jù)庫加密的基本要求 1 操作系統(tǒng)層加密2 DBMS內(nèi)核層實(shí)現(xiàn)加密3 DBMS外層實(shí)現(xiàn)加密 第10章數(shù)據(jù)庫系統(tǒng)安全 NetworkandInformationSecurity 10 2 2數(shù)據(jù)庫加密的方式 數(shù)據(jù)庫加密系統(tǒng)分成兩個(gè)功能獨(dú)立的主要部件 一個(gè)是加密字典及其管理程序 另一個(gè)是數(shù)據(jù)庫加 解密引擎 第9章數(shù)據(jù)庫系統(tǒng)安全 通過調(diào)用數(shù)據(jù)加 解密引擎實(shí)現(xiàn)對數(shù)據(jù)庫數(shù)據(jù)的加密 解密及數(shù)據(jù)轉(zhuǎn)換等功能 用戶對數(shù)據(jù)庫信息具體的加密要求以及參數(shù)信息保存在加密字典中 優(yōu)點(diǎn) 首先 系統(tǒng)對數(shù)據(jù)庫的最終用戶是完全透明的 系統(tǒng) 可以根據(jù)需要進(jìn)行明文和密文的轉(zhuǎn)換工作 其次 加密系統(tǒng)完全獨(dú)立于數(shù)據(jù)庫應(yīng)用系統(tǒng) 無須改動(dòng)數(shù)據(jù)庫應(yīng)用系統(tǒng)就能實(shí)現(xiàn)數(shù)據(jù)加密功能 第三 加 解密處理在客戶端進(jìn)行 不會(huì)影響數(shù)據(jù)庫服務(wù)器的效率 數(shù)據(jù)庫加 解密引擎是數(shù)據(jù)庫加密系統(tǒng)的核心部件 它位于客戶程序與數(shù)據(jù)庫服務(wù)器之間 負(fù)責(zé)在后臺(tái)完成數(shù)據(jù)庫信息的加 解密處理 對操作人員來說是透明的 數(shù)據(jù)加 解密引擎沒有操作界面 在需要時(shí)由操作系統(tǒng)自動(dòng)加載并駐留在內(nèi)存中 數(shù)據(jù)庫加密如果采用序列密碼 那么同步將成為一個(gè)大問題 需要對大片密文中的極小部分解密時(shí) 如何同步密文與密鑰呢 非對稱加密 所以數(shù)據(jù)庫加密一般采用分組密碼 對于分組密碼中常用的ECB和CBC兩種模式 又該如何確定呢 考慮到數(shù)據(jù)庫中會(huì)有大量相同的數(shù)據(jù) 比如性別 職務(wù) 年齡等信息 我們應(yīng)該采用CBC模式 對于在DBMS上實(shí)現(xiàn)的加密 加密粒度可以細(xì)分為基表 記錄 字段或數(shù)據(jù)元素 第10章數(shù)據(jù)庫系統(tǒng)安全 NetworkandInformationSecurity 10 2 3數(shù)據(jù)庫加密的方法及加密粒度 10 2 4數(shù)據(jù)庫加密系統(tǒng)的密鑰管理 第10章數(shù)據(jù)庫系統(tǒng)安全 NetworkandInformationSecurity 當(dāng)一用戶訪問數(shù)據(jù)庫時(shí) 密鑰管理中心利用某種技術(shù)對用戶進(jìn)行身份認(rèn)證 如果是合法用戶 則允許訪問 密鑰管理中心根據(jù)用戶的權(quán)限取出相應(yīng)的數(shù)據(jù)密鑰 根據(jù)用戶的請求對有關(guān)數(shù)據(jù)進(jìn)行加解密處理 其中密鑰的產(chǎn)生應(yīng)滿足下列條件 1 在產(chǎn)生大量密鑰的過程中 產(chǎn)生重復(fù)密鑰的概率要盡可能的低 2 從一個(gè)數(shù)據(jù)項(xiàng)的密鑰推導(dǎo)出另一個(gè)數(shù)據(jù)項(xiàng)的密鑰在計(jì)算上是不可行的 這樣 即使部分密鑰泄露 其他密鑰也是安全的 3 即使知道一些明文值的統(tǒng)計(jì)分布 要從密文中獲取未知明文 在計(jì)算上是不可行的 10 3 1統(tǒng)計(jì)數(shù)據(jù)庫的安全問題具體地說 統(tǒng)計(jì)數(shù)據(jù)庫是這樣一種數(shù)據(jù)庫 從庫中取得的信息是關(guān)于一實(shí)體集子集的匯總信息 統(tǒng)計(jì)數(shù)據(jù)庫只為提供統(tǒng)計(jì)數(shù)據(jù)所用 如人口普查數(shù)據(jù)庫就是這樣 在統(tǒng)計(jì)數(shù)據(jù)庫中 除了禁止非法存取等一般安全問題外 還存在特殊的安全問題 保護(hù)統(tǒng)計(jì)數(shù)據(jù)庫的目的是 由該數(shù)據(jù)庫發(fā)布統(tǒng)計(jì)信息時(shí) 保證不會(huì)使其中受保護(hù)的具體信息泄露 10 3統(tǒng)計(jì)數(shù)據(jù)庫的安全 第10章數(shù)據(jù)庫系統(tǒng)安全 NetworkandInformationSecurity 一般的統(tǒng)計(jì)數(shù)據(jù)庫有下面幾種統(tǒng)計(jì)信息類型 1 計(jì)數(shù) count c 求滿足特征表達(dá)式c的記錄個(gè)數(shù) 2 求和 sum c a 求滿足特征表達(dá)式c的記錄中字段a的和 3 求平均值 average c a 求滿足特征表達(dá)式c的記錄中字段a的平均值 4 求最大值 max c a 求滿足特征表達(dá)式c的記錄中字段a的最大值 5 求最小值 min c a 求滿足特征表達(dá)式c的記錄中字段a的最小值 第10章數(shù)據(jù)庫系統(tǒng)安全 NetworkandInformationSecurity 題庫分析人如果想知道第三章各題的分值 他直接查詢將會(huì)被拒絕 但他可以先查詢count 章 3 得到結(jié)果為2 他再查詢sum 章 3 分值 得到結(jié)果12 他再查詢max 章 3 分值 得到結(jié)果10 現(xiàn)在他已知道第三章有兩道題 一道10分 一道2分 用戶通過一些統(tǒng)計(jì)數(shù)據(jù)庫允許的合法查詢 可以得到本來對他保密的信息 統(tǒng)計(jì)數(shù)據(jù)庫遠(yuǎn)不是安全保密的 而且 前面介紹的一般數(shù)據(jù)庫的訪問控制并不能解決統(tǒng)計(jì)數(shù)據(jù)庫的泄密問題 因?yàn)樗饕窍拗朴脩舻拇嫒?quán)力 用戶只能對數(shù)據(jù)庫中的一部分?jǐn)?shù)據(jù)進(jìn)行訪問 在統(tǒng)計(jì)數(shù)據(jù)庫中 保密的目標(biāo)應(yīng)該是防止用戶通過一系列 合法 的統(tǒng)計(jì)查詢 使 不合法 的要求得到滿足 也就是防止用戶從一系列查詢中推理出某些秘密信息 這時(shí)我們要實(shí)行的控制稱為 推理控制 第10章數(shù)據(jù)庫系統(tǒng)安全 NetworkandInformationSecurity 10 3 2安全性與精確度 第10章數(shù)據(jù)庫系統(tǒng)安全 NetworkandInformationSecurity 設(shè)S為全部統(tǒng)計(jì)信息 P為非機(jī)密統(tǒng)計(jì)信息子集 R為發(fā)布的子集 D是由R 也包括R在內(nèi)的統(tǒng)計(jì)信息 泄露的統(tǒng)計(jì)信息子集 發(fā)布R子集的目的是 全部非機(jī)密統(tǒng)計(jì)信息在R內(nèi)或可由R求得 當(dāng)D P時(shí) 精確度 發(fā)布的統(tǒng)計(jì)信息包含了全部非機(jī)密統(tǒng)計(jì)信息 因而可認(rèn)為發(fā)布的統(tǒng)計(jì)信息保證了精確度 精確度保證了最大限度地使用統(tǒng)計(jì)信息 而安全性則保證了秘密統(tǒng)計(jì)信息的秘密 如果滿足條件D P 安全性 則不會(huì)因R而使秘密統(tǒng)計(jì)信息泄露 可以看出 安全性與精確度的要求正好是相反的 二者都滿足的條件是D P 要做到既保證安全性 又保證精確度 即D P 是非常困難的 1 小查詢集和大查詢集攻擊2 跟蹤器攻擊3 插入和刪除攻擊4 對線性系統(tǒng)的攻擊 第10章數(shù)據(jù)庫系統(tǒng)安全 NetworkandInformationSecurity 10 3 3對統(tǒng)計(jì)數(shù)據(jù)庫的攻擊方式 1 小查詢集和大查詢集攻擊 現(xiàn)假設(shè)用戶的外部知識(shí)使其知道數(shù)據(jù)庫內(nèi)第i個(gè)記錄滿足特征表達(dá)式c 如果用戶以統(tǒng)計(jì)信息count c 查詢數(shù)據(jù)庫 并得到回答count c 1 則該用戶能夠確定該查詢集只含一個(gè)記錄 即第i個(gè)記錄 此時(shí) 用戶利用統(tǒng)計(jì)信息sum c a 的查詢 可求得第i個(gè)記錄的字段a的值 也可以以統(tǒng)計(jì)信息count candd 查詢數(shù)據(jù)庫內(nèi)第i個(gè)記錄是否滿足特征表達(dá)式d 若值為0則說明不滿足 值為1則說明滿足 甚至在查詢集記錄個(gè)數(shù)不唯一的情況下 這類攻擊有時(shí)仍然是可行的 假設(shè)已知第i個(gè)記錄滿足c 且count c 1 如果count candd count c 則第i個(gè)記錄當(dāng)然也滿足d 如果count candd count c 則不能確定第i個(gè)記錄是否滿足d 2 跟蹤器攻擊 利用所謂 跟蹤器 的手段 也可使統(tǒng)計(jì)數(shù)據(jù)庫泄密 跟蹤器有多種 假設(shè)用戶已知第i個(gè)記錄唯一滿足特征表達(dá)式c 如果想通過統(tǒng)計(jì)查詢sum c a 求得第i個(gè)記錄的字段a的值 在系統(tǒng)實(shí)施了查詢集控制后 由于查詢集過小將遭拒絕 故用戶不能直接得到結(jié)果 但是 如果特征表達(dá)式c可由多個(gè)表達(dá)式組合而成 即將c分成c1 c2 使得c c1 c2 同時(shí) count c1 和count c2 都大小適中 不受限 此時(shí) 由于count c1 和count c2 均不受查詢集限制 所以用戶可用count c count c1 count c2 來驗(yàn)證count c 1 然后可利用sum c a sum c1 a sum c2 a 來求得第i個(gè)記錄的字段a的值 3 插入和刪除攻擊 插入和刪除攻擊是攻擊者通過插入自己所知的假記錄來觀察統(tǒng)計(jì)信息的變化情況 從而分析出秘密信息 例如 如果查詢集過小 用戶可以將一些滿足條件的假記錄插入統(tǒng)計(jì)數(shù)據(jù)庫 使得查詢集變大 從而使查詢得以進(jìn)行 只需從查詢集中除去那些假記錄的信息 即可得到真實(shí)信息 顯然 如果要求只對統(tǒng)計(jì)信息有查詢權(quán)的用戶不能插入或刪除記錄 或雖然能夠插入刪除 但對數(shù)據(jù)庫出現(xiàn)的變化加以控制 則插入刪除攻擊并不會(huì)構(gòu)成嚴(yán)重威脅 4 對線性系統(tǒng)的攻擊 可以對統(tǒng)計(jì)數(shù)據(jù)庫進(jìn)行多次相關(guān)的查詢 把查詢條件 查詢結(jié)果和秘密信息構(gòu)成一個(gè)線性方程組 通過解線性方程組的方法來求得秘密信息 第一類 對統(tǒng)計(jì)數(shù)據(jù)庫的查詢加以限制 1 限制查詢集的大小2 單元隱蔽 能夠幫助用戶推導(dǎo)出秘密信息的有關(guān)統(tǒng)計(jì)信息單元應(yīng)該隱去 3 最大階控制 如果一個(gè)統(tǒng)計(jì)查詢恰好涉及到m個(gè)互不相同的屬性 那么這樣的統(tǒng)計(jì)稱為m階統(tǒng)計(jì) 所謂最大階控制就是要限制m的值 4 數(shù)據(jù)庫分割 將數(shù)據(jù)庫分割成一個(gè)個(gè)記錄組 規(guī)定用戶只能以這些記錄組作為基本單元進(jìn)行統(tǒng)計(jì)查詢 亦即同一記錄組中的數(shù)據(jù) 或者全部在查詢集中 或者全部不在其中 第9章數(shù)據(jù)庫系統(tǒng)安全 NetworkandInformationSecurity 10 3 4統(tǒng)計(jì)數(shù)據(jù)庫的安全措施 第二類 數(shù)據(jù)攪亂方式 對統(tǒng)計(jì)數(shù)據(jù)庫的幾種查詢限制方式是以限制用戶的統(tǒng)計(jì)查詢要求為代價(jià)的 有時(shí)會(huì)影響正常用戶的使用 數(shù)據(jù)攪亂方式的原理與此則完全不相同 所謂數(shù)據(jù)攪亂 就是系統(tǒng)在發(fā)布統(tǒng)計(jì)信息之前 使統(tǒng)計(jì)值發(fā)生變化 當(dāng)然 攪亂的目的是使用戶無法從統(tǒng)計(jì)值中推斷出秘密信息 而不能破壞整個(gè)數(shù)據(jù)庫數(shù)據(jù)的統(tǒng)計(jì)規(guī)律 10 4 1Web數(shù)據(jù)庫概述由于Web的易用性 實(shí)用性 它很快占據(jù)了Internet服務(wù)的主導(dǎo)地位 已經(jīng)成為使用最為廣泛 最有前途 最有魅力的信息傳播技術(shù) 不過 Web服務(wù)只是提供了Internet上信息交互的平臺(tái) 隨著Internet技術(shù)的興起與發(fā)展和Web技術(shù)的蓬勃發(fā)展 人們已不滿足于只在Web瀏覽器上獲取靜態(tài)的信息 人們需要通過它發(fā)表意見 查詢數(shù)據(jù) 甚至進(jìn)行網(wǎng)上購物 這就迫切需要實(shí)現(xiàn)動(dòng)態(tài)的Web信息服務(wù) 10 4Web數(shù)據(jù)庫的安全 第10章數(shù)據(jù)庫系統(tǒng)安全 NetworkandInformationSecurity 當(dāng)前比較流行的Web數(shù)據(jù)庫主要有 1 SQLServer2 MySQL3 Oracle這3種數(shù)據(jù)庫適應(yīng)性強(qiáng) 性能優(yōu)異 容易使用 在國內(nèi)得到了廣泛的應(yīng)用 第10章數(shù)據(jù)庫系統(tǒng)安全 NetworkandInformationSecurity 10 4 2常用的幾種Web數(shù)據(jù)庫 1 突破客戶端腳本的限制 2 對SQL語句的攻擊程序中的SQL查詢語句 以ASP net為例 username Text與passwd Text是用戶名與口令兩個(gè)文本框的值 可能是 sql select fromuserwhereusername username Text andpasswd passwd Text 執(zhí)行的時(shí)候就是 select fromuserwhereusername cheng andpasswd 1234 第10章數(shù)據(jù)庫系統(tǒng)安全 NetworkandInformationSecurity 9 4 3Web數(shù)據(jù)庫安全簡介 根據(jù)返回的數(shù)據(jù)集是否為空來判斷是否能夠登錄 如果攻擊者在passwd文本框里輸入的不是1234 而是1111 or 1 1 SQL語句就成為 select fromuserwhereusername cheng andpasswd 1111 or 1 1 由于 1 1 恒為真 即使口令不對也沒關(guān)系 這條語句肯定能返回?cái)?shù)據(jù)集 實(shí)際上 用戶名對不對也沒有關(guān)系 這就是著名且古老的1 1攻擊 安全的辦法是在程序中增加對單引號(hào)等特殊字符的過濾 第10章數(shù)據(jù)庫系統(tǒng)安全 NetworkandInformationSecurity 3 利用多SQL語句執(zhí)行漏洞select frombookwherebookname linux入門 如果我們輸入的不是linux入門而是linux入門 deletebook 則執(zhí)行語句變?yōu)?select fromb