《數(shù)據(jù)安全性》課件

1、2021/3/6,數(shù)據(jù)安全性,1,數(shù)據(jù)庫原理,計算機(jī)系 軟件教研室,2021/3/6,數(shù)據(jù)安全性,2,數(shù)據(jù)庫原理 第四章 數(shù)據(jù)庫安全性,2021/3/6,數(shù)據(jù)安全性,3,第4章 數(shù)據(jù)庫安全性,問題的提出 數(shù)據(jù)庫的一大特點是數(shù)據(jù)可以共享 但數(shù)據(jù)共享必然帶來數(shù)據(jù)庫的安全性問題 數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)共享不能是無條件的共享 例：軍事秘密、 國家機(jī)密、 新產(chǎn)品實驗數(shù)據(jù)、 市場需求分析、市場營銷策略、銷售計劃、 客戶檔案、 醫(yī)療檔案、 銀行儲蓄數(shù)據(jù),2021/3/6,數(shù)據(jù)安全性,4,數(shù)據(jù)庫安全性（續(xù),數(shù)據(jù)庫中數(shù)據(jù)的共享是在DBMS統(tǒng)一的嚴(yán)格的控制之下的共享，即只允許有合法使用權(quán)限的用戶訪問允許他存取的數(shù)據(jù)

2、數(shù)據(jù)庫系統(tǒng)的安全保護(hù)措施是否有效是數(shù)據(jù)庫系統(tǒng)主要的性能指標(biāo)之一,2021/3/6,數(shù)據(jù)安全性,5,數(shù)據(jù)庫安全性（續(xù),什么是數(shù)據(jù)庫的安全性 數(shù)據(jù)庫的安全性是指保護(hù)數(shù)據(jù)庫，防止因用戶非法使用數(shù)據(jù)庫造成數(shù)據(jù)泄露、更改或破壞。 什么是數(shù)據(jù)的保密 數(shù)據(jù)保密是指用戶合法地訪問到機(jī)密數(shù)據(jù)后能否對這些數(shù)據(jù)保密。 通過制訂法律道德準(zhǔn)則和政策法規(guī)來保證,2021/3/6,數(shù)據(jù)安全性,6,第4章 數(shù)據(jù)庫安全性,4.1 計算機(jī)安全性概論 4.2 數(shù)據(jù)庫安全性控制 4.3 統(tǒng)計數(shù)據(jù)庫安全性 4.4 小結(jié),2021/3/6,數(shù)據(jù)安全性,7,第4章 數(shù)據(jù)庫安全性,4.1 計算機(jī)安全性概論 4.2 數(shù)據(jù)庫安全性控制 4.3

3、統(tǒng)計數(shù)據(jù)庫安全性 4.4 小結(jié),2021/3/6,數(shù)據(jù)安全性,8,4.1 計算機(jī)安全性概論,4.1.1 計算機(jī)系統(tǒng)的三類安全性問題 4.1.2 可信計算機(jī)系統(tǒng)評測標(biāo)準(zhǔn),2021/3/6,數(shù)據(jù)安全性,9,4.1 計算機(jī)安全性概論,4.1.1 計算機(jī)系統(tǒng)的三類安全性問題 4.1.2 可信計算機(jī)系統(tǒng)評測標(biāo)準(zhǔn),2021/3/6,數(shù)據(jù)安全性,10,4.1.1 計算機(jī)系統(tǒng)的三類安全性問題,什么是計算機(jī)系統(tǒng)安全性 為計算機(jī)系統(tǒng)建立和采取的各種安全保護(hù)措施，以保護(hù)計算機(jī)系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等,2021/3/6,數(shù)據(jù)安全性,11,計算機(jī)系統(tǒng)的三類安

4、全性問題（續(xù),計算機(jī)安全涉及問題 計算機(jī)系統(tǒng)本身的技術(shù)問題 計算機(jī)安全理論與策略 計算機(jī)安全技術(shù) 管理問題 安全管理 安全評價 安全產(chǎn)品,2021/3/6,數(shù)據(jù)安全性,12,計算機(jī)系統(tǒng)的三類安全性問題（續(xù),計算機(jī)安全涉及問題(續(xù)) 法學(xué) 計算機(jī)安全法律 犯罪學(xué) 計算機(jī)犯罪與偵察 安全監(jiān)察 心理學(xué),2021/3/6,數(shù)據(jù)安全性,13,計算機(jī)系統(tǒng)的三類安全性問題（續(xù),三類計算機(jī)系統(tǒng)安全性問題 技術(shù)安全類 管理安全類 政策法律類,2021/3/6,數(shù)據(jù)安全性,14,計算機(jī)系統(tǒng)的三類安全性問題（續(xù),技術(shù)安全 指計算機(jī)系統(tǒng)中采用具有一定安全性的硬件、軟件來實現(xiàn)對計算機(jī)系統(tǒng)及其所存數(shù)據(jù)的安全保護(hù)，當(dāng)計算機(jī)

5、系統(tǒng)受到無意或惡意的攻擊時仍能保證系統(tǒng)正常運(yùn)行，保證系統(tǒng)內(nèi)的數(shù)據(jù)不增加、不丟失、不泄露,2021/3/6,數(shù)據(jù)安全性,15,計算機(jī)系統(tǒng)的三類安全性問題（續(xù),管理安全 軟硬件意外故障、場地的意外事故、管理不善導(dǎo)致的計算機(jī)設(shè)備和數(shù)據(jù)介質(zhì)的物理破壞、丟失等安全問題,2021/3/6,數(shù)據(jù)安全性,16,計算機(jī)系統(tǒng)的三類安全性問題（續(xù),政策法律類 政府部門建立的有關(guān)計算機(jī)犯罪、數(shù)據(jù)安全保密的法律道德準(zhǔn)則和政策法規(guī)、法令,2021/3/6,數(shù)據(jù)安全性,17,4.1 計算機(jī)安全性概論,4.1.1 計算機(jī)系統(tǒng)的三類安全性問題 4.1.2 可信計算機(jī)系統(tǒng)評測標(biāo)準(zhǔn),2021/3/6,數(shù)據(jù)安全性,18,4.1.2

6、可信計算機(jī)系統(tǒng)評測標(biāo)準(zhǔn),為降低進(jìn)而消除對系統(tǒng)的安全攻擊，各國引用或制定了一系列安全標(biāo)準(zhǔn) TCSEC (桔皮書) TDI (紫皮書,2021/3/6,數(shù)據(jù)安全性,19,可信計算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（續(xù),TDI/TCSEC標(biāo)準(zhǔn)的基本內(nèi)容 TDI與TCSEC一樣，從四個方面來描述安全性級別劃分的指標(biāo) 安全策略 責(zé)任 保證 文檔,2021/3/6,數(shù)據(jù)安全性,20,可信計算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（續(xù),TCSEC/TDI安全級別劃分,2021/3/6,數(shù)據(jù)安全性,21,可信計算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（續(xù),四組(division)七個等級 D C（C1，C2） B（B1，B2，B3） A（A1） 按系統(tǒng)可靠或可信程度逐漸增高

7、各安全級別之間具有一種偏序向下兼容的關(guān)系，即較高安全性級別提供的安全保護(hù)要包含較低級別的所有保護(hù)要求，同時提供更多或更完善的保護(hù)能力,2021/3/6,數(shù)據(jù)安全性,22,可信計算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（續(xù),D級 將一切不符合更高標(biāo)準(zhǔn)的系統(tǒng)均歸于D組 典型例子：DOS是安全標(biāo)準(zhǔn)為D的操作系統(tǒng) DOS在安全性方面幾乎沒有什么專門的機(jī)制來保障,2021/3/6,數(shù)據(jù)安全性,23,可信計算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（續(xù),C1級 非常初級的自主安全保護(hù) 能夠?qū)崿F(xiàn)對用戶和數(shù)據(jù)的分離，進(jìn)行自主存取控制（DAC），保護(hù)或限制用戶權(quán)限的傳播,2021/3/6,數(shù)據(jù)安全性,24,可信計算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（續(xù),C2級 安全產(chǎn)品的最低檔次

8、 提供受控的存取保護(hù)，將C1級的DAC進(jìn)一步細(xì)化，以個人身份注冊負(fù)責(zé)，并實施審計和資源隔離 達(dá)到C2級的產(chǎn)品在其名稱中往往不突出“安全”(Security)這一特色,2021/3/6,數(shù)據(jù)安全性,25,可信計算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（續(xù),典型例子 操作系統(tǒng) Microsoft的Windows NT 3.5， 數(shù)字設(shè)備公司的Open VMS VAX 6.0和6.1 數(shù)據(jù)庫 Oracle公司的Oracle 7 Sybase公司的 SQL Server 11.0.6,2021/3/6,數(shù)據(jù)安全性,26,可信計算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（續(xù),B1級 標(biāo)記安全保護(hù)?！鞍踩?Security)或“可信的”(Trusted

9、)產(chǎn)品。 對系統(tǒng)的數(shù)據(jù)加以標(biāo)記，對標(biāo)記的主體和客體實施強(qiáng)制存取控制（MAC）、審計等安全機(jī)制,2021/3/6,數(shù)據(jù)安全性,27,可信計算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（續(xù),典型例子 操作系統(tǒng) 數(shù)字設(shè)備公司的SEVMS VAX Version 6.0 惠普公司的HP-UX BLS release 9.0.9+ 數(shù)據(jù)庫 Oracle公司的Trusted Oracle 7 Sybase公司的Secure SQL Server version 11.0.6 Informix公司的Incorporated INFORMIX-OnLine / Secure 5.0,2021/3/6,數(shù)據(jù)安全性,28,可信計算機(jī)系統(tǒng)評測

10、標(biāo)準(zhǔn)（續(xù),B2級 結(jié)構(gòu)化保護(hù) 建立形式化的安全策略模型并對系統(tǒng)內(nèi)的所有主體和客體實施DAC和MAC。 經(jīng)過認(rèn)證的B2級以上的安全系統(tǒng)非常稀少,2021/3/6,數(shù)據(jù)安全性,29,可信計算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（續(xù),典型例子 操作系統(tǒng) 只有Trusted Information Systems公司的Trusted XENIX一種產(chǎn)品 標(biāo)準(zhǔn)的網(wǎng)絡(luò)產(chǎn)品 只有Cryptek Secure Communications公司的LLC VSLAN一種產(chǎn)品 數(shù)據(jù)庫 沒有符合B2標(biāo)準(zhǔn)的產(chǎn)品,2021/3/6,數(shù)據(jù)安全性,30,可信計算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（續(xù),B3級 安全域。 該級的TCB必須滿足訪問監(jiān)控器的要求，審計跟蹤能

11、力更強(qiáng)，并提供系統(tǒng)恢復(fù)過程,2021/3/6,數(shù)據(jù)安全性,31,可信計算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（續(xù),A1級 驗證設(shè)計，即提供B3級保護(hù)的同時給出系統(tǒng)的形式化設(shè)計說明和驗證以確信各安全保護(hù)真正實現(xiàn),2021/3/6,數(shù)據(jù)安全性,32,可信計算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)（續(xù),B2以上的系統(tǒng) 還處于理論研究階段 應(yīng)用多限于一些特殊的部門如軍隊等 美國正在大力發(fā)展安全產(chǎn)品，試圖將目前僅限于少數(shù)領(lǐng)域應(yīng)用的B2安全級別下放到商業(yè)應(yīng)用中來，并逐步成為新的商業(yè)標(biāo)準(zhǔn),2021/3/6,數(shù)據(jù)安全性,33,第4章 數(shù)據(jù)庫安全性,4.1 計算機(jī)安全性概論 4.2 數(shù)據(jù)庫安全性控制 4.3 統(tǒng)計數(shù)據(jù)庫安全性 4.4 小結(jié),2021/3/6

12、,數(shù)據(jù)安全性,34,4.2 數(shù)據(jù)庫安全性控制,4.2.1 數(shù)據(jù)庫安全性控制概述 4.2.2 用戶標(biāo)識與鑒別 4.2.3 存取控制 4.2.4 自主存取控制方法 4.2.5 授權(quán)與回收 4.2.6 數(shù)據(jù)庫角色(簡介) 4.2.7 強(qiáng)制存取控制方法 4.2.8 視圖機(jī)制 4.2.9 審計 4.2.10 數(shù)據(jù)加密,2021/3/6,數(shù)據(jù)安全性,35,4.2.1 數(shù)據(jù)庫安全性控制概述,非法使用數(shù)據(jù)庫的情況 用戶編寫一段合法的程序繞過DBMS及其授權(quán)機(jī)制，通過操作系統(tǒng)直接存取、修改或備份數(shù)據(jù)庫中的數(shù)據(jù)； 直接或編寫應(yīng)用程序執(zhí)行非授權(quán)操作,2021/3/6,數(shù)據(jù)安全性,36,數(shù)據(jù)庫安全性控制概述（續(xù),通過

13、多次合法查詢數(shù)據(jù)庫從中推導(dǎo)出一些保密數(shù)據(jù) 例：某數(shù)據(jù)庫應(yīng)用系統(tǒng)禁止查詢單個人的工資，但允許查任意一組人的平均工資。用戶甲想了解張三的工資，于是他： 首先查詢包括張三在內(nèi)的一組人的平均工資 然后查用自己替換張三后這組人的平均工資 從而推導(dǎo)出張三的工資 破壞安全性的行為可能是無意的，故意的，惡意的,2021/3/6,數(shù)據(jù)安全性,37,計算機(jī)系統(tǒng)中的安全模型,方法,用戶標(biāo)識 和鑒定,存取控制 審計 視圖,操作系統(tǒng) 安全保護(hù),密碼存儲,2021/3/6,數(shù)據(jù)安全性,38,數(shù)據(jù)庫安全性控制概述（續(xù),數(shù)據(jù)庫安全性控制的常用方法 用戶標(biāo)識和鑒定 存取控制 視圖 審計 密碼存儲,2021/3/6,數(shù)據(jù)安全性,

14、39,4.2 數(shù)據(jù)庫安全性控制,4.2.1 數(shù)據(jù)庫安全性控制概述 4.2.2 用戶標(biāo)識與鑒別 4.2.3 存取控制 4.2.4 自主存取控制方法 4.2.5 授權(quán)與回收 4.2.6 數(shù)據(jù)庫角色(簡介) 4.2.7 強(qiáng)制存取控制方法 4.2.8 視圖機(jī)制 4.2.9 審計 4.2.10 數(shù)據(jù)加密,2021/3/6,數(shù)據(jù)安全性,40,4.2.2 用戶標(biāo)識與鑒別,用戶標(biāo)識與鑒別（Identification 對屬性列的授權(quán)時必須明確指出相應(yīng)屬性列名,2021/3/6,數(shù)據(jù)安全性,69,例題（續(xù),例5 把對表SC的INSERT權(quán)限授予U5用戶，并允許他再將此權(quán)限授予其他用戶 GRANT INSERT

15、ON TABLE SC TO U5 WITH GRANT OPTION,2021/3/6,數(shù)據(jù)安全性,70,傳播權(quán)限,執(zhí)行例5后，U5不僅擁有了對表SC的INSERT權(quán)限， 還可以傳播此權(quán)限： 例6 GRANT INSERT ON TABLE SC TO U6 WITH GRANT OPTION,同樣，U6還可以將此權(quán)限授予U7： 例7 GRANT INSERT ON TABLE SC TO U7; 但U7不能再傳播此權(quán)限,2021/3/6,數(shù)據(jù)安全性,71,傳播權(quán)限（續(xù),下表是執(zhí)行了例1到例7的語句后，學(xué)生-課程數(shù)據(jù)庫中的用戶權(quán)限定義表,2021/3/6,數(shù)據(jù)安全性,72,授權(quán)與回收（續(xù),二

16、、REVOKE,REVOKE語句的一般格式為： REVOKE ,. ON FROM ,授予的權(quán)限可以由DBA或其他授權(quán)者用REVOKE語句收回,2021/3/6,數(shù)據(jù)安全性,73,REVOKE（續(xù),例8 把用戶U4修改學(xué)生學(xué)號的權(quán)限收回 REVOKE UPDATE(Sno) ON TABLE Student FROM U4,例9 收回所有用戶對表SC的查詢權(quán)限 REVOKE SELECT ON TABLE SC FROM PUBLIC,2021/3/6,數(shù)據(jù)安全性,74,REVOKE（續(xù),例10 把用戶U5對SC表的INSERT權(quán)限收回 REVOKE INSERT ON TABLE SC FR

17、OM U5 CASCADE,將用戶U5的INSERT權(quán)限收回的時候必須級聯(lián)（CASCADE）收回 系統(tǒng)只收回直接或間接從U5處獲得的權(quán)限,2021/3/6,數(shù)據(jù)安全性,75,REVOKE（續(xù),執(zhí)行例8到例10的語句后，學(xué)生-課程數(shù)據(jù)庫中的用戶權(quán)限定義表,2021/3/6,數(shù)據(jù)安全性,76,小結(jié):SQL靈活的授權(quán)機(jī)制,DBA：擁有所有對象的所有權(quán)限 不同的權(quán)限授予不同的用戶 用戶：擁有自己建立的對象的全部的操作權(quán)限 GRANT：授予其他用戶 被授權(quán)的用戶 “繼續(xù)授權(quán)”許可：再授予 所有授予出去的權(quán)力在必要時又都可用REVOKE語句收回,2021/3/6,數(shù)據(jù)安全性,77,授權(quán)與回收（續(xù),三、創(chuàng)建

18、數(shù)據(jù)庫模式的權(quán)限 DBA在創(chuàng)建用戶時實現(xiàn)。(1)只有系統(tǒng)的超級用戶才有權(quán)創(chuàng)建一個新的數(shù)據(jù)庫用戶；(2)新創(chuàng)建的數(shù)據(jù)庫用戶有三種權(quán)限：CONNECT、RESOURCE和DBA。默認(rèn)為CONNECT權(quán)限。 CREATE USER語句格式 CREATE USER WITHDBA | RESOURCE | CONNECT,2021/3/6,數(shù)據(jù)安全性,78,授權(quán)與回收（續(xù),權(quán)限與可執(zhí)行的操作對照表,2021/3/6,數(shù)據(jù)安全性,79,4.2 數(shù)據(jù)庫安全性控制,4.2.1 數(shù)據(jù)庫安全性控制概述 4.2.2 用戶標(biāo)識與鑒別 4.2.3 存取控制 4.2.4 自主存取控制方法 4.2.5 授權(quán)與回收 4.2

19、.6 數(shù)據(jù)庫角色(簡介) 4.2.7 強(qiáng)制存取控制方法 4.2.8 視圖機(jī)制 4.2.9 審計 4.2.10 數(shù)據(jù)加密,2021/3/6,數(shù)據(jù)安全性,80,4.2.6 數(shù)據(jù)庫角色,數(shù)據(jù)庫角色：被命名的一組與數(shù)據(jù)庫操作相關(guān)的權(quán)限 角色是權(quán)限的集合 可以為一組具有相同權(quán)限的用戶創(chuàng)建一個角色 簡化授權(quán)的過程,2021/3/6,數(shù)據(jù)安全性,81,數(shù)據(jù)庫角色,一、角色的創(chuàng)建 CREATE ROLE 剛剛創(chuàng)建的角色是空的，沒有任何內(nèi)容?？梢杂肎RANT為角色授權(quán),二、給角色授權(quán) GRANT ， ON 對象名 TO ， DBA和用戶可以利用GRANT語句將權(quán)限授予某一個或幾個角色,2021/3/6,數(shù)據(jù)安全

20、性,82,數(shù)據(jù)庫角色,三、將一（多）個角色授予其他的角色或用戶 GRANT ， TO ， WITH ADMIN OPTION 這樣，一個角色（如角色3）所擁有的權(quán)限就是授予它的全部角色（如角色1和角色2）所包含的權(quán)限的總和。授予者或是角色的創(chuàng)建者，或是擁有在這個角色上的ADMIN OPTION。若指定了WITH ADMIN OPTION子句，則獲得某種權(quán)限的角色或用戶還可以把把這種權(quán)限再授予其它的角色,四、角色權(quán)限的收回 REVOKE ， ON FROM,用戶可收回角色的權(quán)限，從而修改角色擁有的權(quán)限。 REVOKE動作的執(zhí)行者或是角色的創(chuàng)建者，或擁有在這個（些）角色上的ADMIN OPTION

21、,2021/3/6,數(shù)據(jù)安全性,83,數(shù)據(jù)庫角色（續(xù),例11通過角色來實現(xiàn)將一組權(quán)限授予一個用戶,步驟如下： 1. 首先創(chuàng)建一個角色 R1 CREATE ROLE R1； 2. 然后使用GRANT語句，使角色R1擁有Student表的SELECT、UPDATE、INSERT權(quán)限 GRANT SELECT，UPDATE，INSERT ON TABLE Student TO R1,2021/3/6,數(shù)據(jù)安全性,84,數(shù)據(jù)庫角色（續(xù),3. 將這個角色授予王平，張明，趙玲。使他們具有角色R1所包含的全部權(quán)限 GRANT R1 TO 王平，張明，趙玲； 4. 可以一次性通過R1來回收王平的這3個權(quán)限 R

22、EVOKE R1 FROM 王平,2021/3/6,數(shù)據(jù)安全性,85,數(shù)據(jù)庫角色（續(xù),例12角色的權(quán)限修改 GRANT DELETE ON TABLE Student TO R1,例13 REVOKE SELECT ON TABLE Student FROM R1,2021/3/6,數(shù)據(jù)安全性,86,4.2 數(shù)據(jù)庫安全性控制,4.2.1 數(shù)據(jù)庫安全性控制概述 4.2.2 用戶標(biāo)識與鑒別 4.2.3 存取控制 4.2.4 自主存取控制方法 4.2.5 授權(quán)與回收 4.2.6 數(shù)據(jù)庫角色(簡介) 4.2.7 強(qiáng)制存取控制方法 4.2.8 視圖機(jī)制 4.2.9 審計 4.2.10 數(shù)據(jù)加密,2021

23、/3/6,數(shù)據(jù)安全性,87,4.2.7 強(qiáng)制存取控制方法,什么是強(qiáng)制存取控制 強(qiáng)制存取控制(MAC)是指系統(tǒng)為保證更高程度的安全性，按照TDI/TCSEC標(biāo)準(zhǔn)中安全策略的要求，所采取的強(qiáng)制存取檢查手段。 MAC不是用戶能直接感知或進(jìn)行控制的。 MAC適用于對數(shù)據(jù)有嚴(yán)格而固定密級分類的部門 軍事部門 政府部門,2021/3/6,數(shù)據(jù)安全性,88,強(qiáng)制存取控制方法（續(xù),主體與客體 在MAC中，DBMS所管理的全部實體被分為主體和客體兩大類 主體是系統(tǒng)中的活動實體 DBMS所管理的實際用戶 代表用戶的各進(jìn)程 客體是系統(tǒng)中的被動實體，是受主體操縱的 文件 基表 索引 視圖,2021/3/6,數(shù)據(jù)安全性

24、,89,強(qiáng)制存取控制方法（續(xù),敏感度標(biāo)記 對于主體和客體，DBMS為它們每個實例（值）指派一個敏感度標(biāo)記（Label） 敏感度標(biāo)記分成若干級別 絕密（Top Secret） 機(jī)密（Secret） 可信（Confidential） 公開（Public,2021/3/6,數(shù)據(jù)安全性,90,強(qiáng)制存取控制方法（續(xù),主體的敏感度標(biāo)記稱為許可證級別（Clearance Level） 客體的敏感度標(biāo)記稱為密級（Classification Level） MAC機(jī)制就是通過對比主體的Label和客體的Label，最終確定主體是否能夠存取客體,2021/3/6,數(shù)據(jù)安全性,91,強(qiáng)制存取控制方法（續(xù),強(qiáng)制存取控

25、制規(guī)則 當(dāng)某一用戶（或某一主體）以標(biāo)記label注冊入系統(tǒng)時，系統(tǒng)要求他對任何客體的存取必須遵循下面兩條規(guī)則： （1）僅當(dāng)主體的許可證級別大于或等于客體的密級時，該主體才能讀取相應(yīng)的客體； （2）僅當(dāng)主體的許可證級別等于客體的密級時，該主體才能寫相應(yīng)的客體,2021/3/6,數(shù)據(jù)安全性,92,強(qiáng)制存取控制方法（續(xù),修正規(guī)則： 主體的許可證級別 =客體的密級 主體能寫客體 用戶可為寫入的數(shù)據(jù)對象賦予高于自 己的許可證級別的密級 一旦數(shù)據(jù)被寫入，該用戶自己也不能再讀該數(shù)據(jù)對象了,2021/3/6,數(shù)據(jù)安全性,93,強(qiáng)制存取控制方法（續(xù),規(guī)則的共同點 禁止了擁有高許可證級別的主體 更新低密級的數(shù)據(jù)對

26、象,2021/3/6,數(shù)據(jù)安全性,94,強(qiáng)制存取控制方法（續(xù),強(qiáng)制存取控制的特點 MAC是對數(shù)據(jù)本身進(jìn)行密級標(biāo)記 無論數(shù)據(jù)如何復(fù)制，標(biāo)記與數(shù)據(jù)是一個不可分的整體 只有符合密級標(biāo)記要求的用戶才可以操縱數(shù)據(jù) 從而提供了更高級別的安全性,2021/3/6,數(shù)據(jù)安全性,95,MAC與DAC,DAC與MAC共同構(gòu)成DBMS的安全機(jī)制 原因：較高安全性級別提供的安全保護(hù)要包含較低級別的所有保護(hù) 先進(jìn)行DAC檢查，通過DAC檢查的數(shù)據(jù)對象再由系統(tǒng)進(jìn)行MAC檢查，只有通過MAC檢查的數(shù)據(jù)對象方可存取,2021/3/6,數(shù)據(jù)安全性,96,強(qiáng)制存取控制方法（續(xù),DAC + MAC安全檢查示意圖 SQL語法分析 &

27、 語義檢查 DAC 檢 查 安全檢查 MAC 檢 查 繼 續(xù),2021/3/6,數(shù)據(jù)安全性,97,4.2 數(shù)據(jù)庫安全性控制,4.2.1 數(shù)據(jù)庫安全性控制概述 4.2.2 用戶標(biāo)識與鑒別 4.2.3 存取控制 4.2.4 自主存取控制方法 4.2.5 授權(quán)與回收 4.2.6 數(shù)據(jù)庫角色(簡介) 4.2.7 強(qiáng)制存取控制方法 4.2.8 視圖機(jī)制 4.2.9 審計 4.2.10 數(shù)據(jù)加密,2021/3/6,數(shù)據(jù)安全性,98,4.2.8 視圖機(jī)制,視圖機(jī)制把要保密的數(shù)據(jù)對無權(quán)存取這些數(shù)據(jù)的用戶隱藏起來， 視圖機(jī)制更主要的功能在于提供數(shù)據(jù)獨(dú)立性，其安全保護(hù)功能太不精細(xì)，往往遠(yuǎn)不能達(dá)到應(yīng)用系統(tǒng)的要求,2

28、021/3/6,數(shù)據(jù)安全性,99,視圖機(jī)制（續(xù),視圖機(jī)制與授權(quán)機(jī)制配合使用: 首先用視圖機(jī)制屏蔽掉一部分保密數(shù)據(jù) 視圖上面再進(jìn)一步定義存取權(quán)限 間接實現(xiàn)了支持存取謂詞的用戶權(quán)限定義,2021/3/6,數(shù)據(jù)安全性,100,視圖機(jī)制（續(xù),例：王平只能檢索計算機(jī)系學(xué)生的信息，把計算機(jī)系學(xué)生所有操作權(quán)限授于張明 先建立計算機(jī)系學(xué)生的視圖CS_Student CREATE VIEW CS_Student AS SELECT FROM Student WHERE Sdept=CS,2021/3/6,數(shù)據(jù)安全性,101,視圖機(jī)制（續(xù),在視圖上進(jìn)一步定義存取權(quán)限 GRANT SELECT ON CS_Stud

29、ent TO 王平 ； GRANT ALL PRIVILIGES ON CS_Student TO 張明,2021/3/6,數(shù)據(jù)安全性,102,4.2 數(shù)據(jù)庫安全性控制,4.2.1 數(shù)據(jù)庫安全性控制概述 4.2.2 用戶標(biāo)識與鑒別 4.2.3 存取控制 4.2.4 自主存取控制方法 4.2.5 授權(quán)與回收 4.2.6 數(shù)據(jù)庫角色(簡介) 4.2.7 強(qiáng)制存取控制方法 4.2.8 視圖機(jī)制 4.2.9 審計 4.2.10 數(shù)據(jù)加密,2021/3/6,數(shù)據(jù)安全性,103,4.2.9 審計,什么是審計 啟用一個專用的審計日志（Audit Log） 將用戶對數(shù)據(jù)庫的所有操作記錄在上面 DBA可以利用審

30、計日志中的追蹤信息 找出非法存取數(shù)據(jù)的人 C2以上安全級別的DBMS必須具有審計功能,2021/3/6,數(shù)據(jù)安全性,104,審計（續(xù),審計功能的可選性 審計很費(fèi)時間和空間 DBA可以根據(jù)應(yīng)用對安全性的要求，靈活地打開或關(guān)閉審計功能,2021/3/6,數(shù)據(jù)安全性,105,審計（續(xù),強(qiáng)制性機(jī)制: 用戶識別和鑒定、存取控制、視圖 預(yù)防監(jiān)測手段: 審計技術(shù),2021/3/6,數(shù)據(jù)安全性,106,審計（續(xù),AUDIT語句：設(shè)置審計功能 NOAUDIT語句：取消審計功能,2021/3/6,數(shù)據(jù)安全性,107,審計（續(xù),例15對修改SC表結(jié)構(gòu)或修改SC表數(shù)據(jù)的操作進(jìn)行審計 AUDIT ALTER，UPDAT

31、E ON SC,例16取消對SC表的一切審計 NOAUDIT ALTER，UPDATE ON SC,2021/3/6,數(shù)據(jù)安全性,108,4.2 數(shù)據(jù)庫安全性控制,4.2.1 數(shù)據(jù)庫安全性控制概述 4.2.2 用戶標(biāo)識與鑒別 4.2.3 存取控制 4.2.4 自主存取控制方法 4.2.5 授權(quán)與回收 4.2.6 數(shù)據(jù)庫角色(簡介) 4.2.7 強(qiáng)制存取控制方法 4.2.8 視圖機(jī)制 4.2.9 審計 4.2.10 數(shù)據(jù)加密,2021/3/6,數(shù)據(jù)安全性,109,4.2.10 數(shù)據(jù)加密,數(shù)據(jù)加密 防止數(shù)據(jù)庫中數(shù)據(jù)在存儲和傳輸中失密的有效手段 加密的基本思想 根據(jù)一定的算法將原始數(shù)據(jù)（術(shù)語為明文，

32、Plain text）變換為不可直接識別的格式（術(shù)語為密文，Cipher text） 不知道解密算法的人無法獲知數(shù)據(jù)的內(nèi)容,2021/3/6,數(shù)據(jù)安全性,110,數(shù)據(jù)加密（續(xù),加密方法 替換方法 使用密鑰（Encryption Key）將明文中的每一個字符轉(zhuǎn)換為密文中的一個字符 置換方法 將明文的字符按不同的順序重新排列 混合方法 美國1977年制定的官方加密標(biāo)準(zhǔn)：數(shù)據(jù)加密標(biāo)準(zhǔn)（Data Encryption Standard，簡稱DES,2021/3/6,數(shù)據(jù)安全性,111,數(shù)據(jù)加密（續(xù),DBMS中的數(shù)據(jù)加密 有些數(shù)據(jù)庫產(chǎn)品提供了數(shù)據(jù)加密例行程序 有些數(shù)據(jù)庫產(chǎn)品本身未提供加密程序，但提供了接

33、口,2021/3/6,數(shù)據(jù)安全性,112,數(shù)據(jù)加密（續(xù),數(shù)據(jù)加密功能通常也作為可選特征，允許用戶自由選擇 數(shù)據(jù)加密與解密是比較費(fèi)時的操作 數(shù)據(jù)加密與解密程序會占用大量系統(tǒng)資源 應(yīng)該只對高度機(jī)密的數(shù)據(jù)加密,2021/3/6,數(shù)據(jù)安全性,113,第4章 數(shù)據(jù)庫安全性,4.1 計算機(jī)安全性概論 4.2 數(shù)據(jù)庫安全性控制 4.3 統(tǒng)計數(shù)據(jù)庫安全性 4.4 小結(jié),2021/3/6,數(shù)據(jù)安全性,114,4.3 統(tǒng)計數(shù)據(jù)庫安全性,統(tǒng)計數(shù)據(jù)庫的特點 允許用戶查詢聚集類型的信息（例如合計、平均值等） 不允許查詢單個記錄信息 例：允許查詢“程序員的平均工資是多少？” 不允許查詢“程序員張勇的工資,2021/3/6,