數(shù)據(jù)庫安全性習題解答和解析(20210316133458)

1、第九章數(shù)據(jù)庫安全性習題解答和解析 1. 1.什么是數(shù)據(jù)庫的安全性？ 答：數(shù)據(jù)庫的安全性是指保護數(shù)據(jù)庫以防止不合法的使用所造成的數(shù)據(jù)泄露、更改或 破壞。 2. 2.數(shù)據(jù)庫安全性和計算機系統(tǒng)的安全性有什么關系？ 答：安全性問題不是數(shù)據(jù)庫系統(tǒng)所獨有的，所有計算機系統(tǒng)都有這個問題。只是在數(shù)據(jù) 庫系統(tǒng)中大量數(shù)據(jù)集中存放，而且為許多最終用戶直接共享，從而使安全性問題更為突出。 系統(tǒng)安全保護措施是否有效是數(shù)據(jù)庫系統(tǒng)的主要指標之一。數(shù)據(jù)庫的安全性和計算機 系統(tǒng)的安全性，包括操作系統(tǒng)、網(wǎng)絡系統(tǒng)的安全性是緊密聯(lián)系、相互支持的。 3. 試述可信計算機系統(tǒng)評測標準的情況，試述TDI/TCSEC標準的基本內(nèi)容。 答：各

2、個國家在計算機安全技術方而都建立了一套可信標準。目前務國引用或制左的 一系列安全標準中，最重要的是美國國防部(DoD)正式頒布的DoD可信計算機系統(tǒng)評估標 準(Trusted Computer System Evaluation Criteria,簡稱 TCSEC，又稱桔皮書)。(詳細 介紹參見概論9.1.2)。 TDI/TCSEC標準是將TCSEC擴展到數(shù)據(jù)庫管理系統(tǒng)，即可信計算機系統(tǒng)評估標準關于 可信數(shù)據(jù)庫系統(tǒng)的解釋(Trusted Database Interpretation簡稱TDI,又稱紫皮書)。 在TDI中定義了數(shù)據(jù)庫管理系統(tǒng)的設計與實現(xiàn)中需滿足和用以進行安全性級別評估的標 準。

3、 TDI與TCSEC -樣,從安全策略、責任、保證和文檔四個方而來描述安全性級別劃分的 指標。每個方而又細分為若干項。這些指標的具體內(nèi)容，參見槪論9. 1.2o 4. 試述TCSEC(TDI)將系統(tǒng)安全級別劃分為4組7個等級的基本內(nèi)容。 答：根據(jù)計算機系統(tǒng)對安全性冬項指標的支持情況,TCSEC (TDI)將系統(tǒng)劃分為四組 (division) 7個等級，依次是D、C(C1,C2)、B(B1,B2,B3)、A (Al),按系統(tǒng)可靠或可信程度逐 漸增高。 安全級別 定義 A1 驗證設計(Verified Design) B3 安全域(Security Domains) B2 結構化保護(Struc

4、tural protection) B1 標記安全保護(labeled Security protection) C2 受控的存取保護(Controlled Access protection) C1 自主安全保擴| (Discretionary Security protection) D 最小保護(Minimal protection) 這些安全級別之間具有一種偏序向下兼容的關系，即較高安全性級別提供的安全保護包 含較低級別的所有保護要求，同時提供更多或更完善的保護能力。各個等級的基本內(nèi)容為： D級D級是最低級別。一切不符合更高標準的系統(tǒng)，統(tǒng)統(tǒng)歸于D組。 C1級只提供了非常初級的自主安全保

5、護。能夠?qū)崿F(xiàn)對用戶和數(shù)據(jù)的分離，進行自主 存取控制(DAC),保護或限制用戶權限的傳播。 C2級實際是安全產(chǎn)品的最低檔次，提供受控的存取保護，即將C1級的DAC進一步細化, 以個人身份注冊負責，并實施審計和資源隔離。 B1級標記安全保護。對系統(tǒng)的數(shù)據(jù)加以標記，并對標記的主體和客體實施強制存取控 制(MAC)以及審計等安全機制。 B2級結構化保護。建立形式化的安全策略模型并對系統(tǒng)內(nèi)的所有主體和客體實施DAC 和 MAC。 B3級安全域。該級的TCB (可信計算機庫)必須滿足訪問監(jiān)控器的要求，審計跟蹤能 力更強，并提供系統(tǒng)恢復過程。 A1級驗i正設計，即提供B3級保護的同時給出系統(tǒng)的形式化設計說明

6、和驗證以確信各 安全保護真正實現(xiàn)。 各個等級的基本內(nèi)容諳參見概論9.1.2。特別是概論上表9.2列岀了各安全 等級對安全指標的支持情況。希望讀者掌握概論上的內(nèi)容，這里就不重復了。 5. 試述實現(xiàn)數(shù)據(jù)庫安全性控制的常用方法和技術。 答：實現(xiàn)數(shù)據(jù)庫安全性控制的常用方法和技術有： (1) 用戶標識和鑒別：該方法由系統(tǒng)提供一立的方式讓用戶標識自己的名字或身份。每 次用戶要求進入系統(tǒng)時，由系統(tǒng)進行核對,通過鑒泄后才提供系統(tǒng)的使用權。 (2) 存取控制：通過用戶權限左義和合法權檢查確保只有合法權限的用戶訪問數(shù)據(jù)庫， 所有未被授權的人員無法存取數(shù)據(jù)。例如C2級中的自主存取控制(DAC),B1級中的強制存 取

7、控制(MAC)。 (3) 視圖機制：為不同的用戶左義視圖，通過視圖機制把要保密的數(shù)據(jù)對無權存取的用 戶隱藏起來，從而自動地對數(shù)據(jù)提供一定程度的安全保護。 (4) 審計：建立審計日志，把用戶對數(shù)據(jù)庫的所有操作自動記錄下來放入審計日志 中,DBA可以利用審計跟蹤的信息,重現(xiàn)導致數(shù)據(jù)庫現(xiàn)有狀況的一系列事件，找岀非法存取 數(shù)據(jù)的人、時間和內(nèi)容等。 G)數(shù)據(jù)加密：對存儲和傳輸?shù)臄?shù)據(jù)進行加密處理，從而使得不知道解密算法的人無法 獲知數(shù)據(jù)的內(nèi)容。 具體內(nèi)容請參見概論9.2。 6. 什么是數(shù)據(jù)庫中的自主存取控制方法和強制存取控制方法？ 答：自主存取控制方法：泄義各個用戶對不同數(shù)據(jù)對象的存取權限。當用戶對數(shù)據(jù)庫

8、 訪問時首先檢查用戶的存取權限。防止不合法用戶對數(shù)據(jù)庫的存取。 強制存取控制方法：每一個數(shù)據(jù)對象被(強制地)標以一泄的密級，每一個用戶也被(強 制地)授予某一個級別的許可證。系統(tǒng)規(guī)泄只有具有某一許可證級別的用戶才能存取某一 個密級的數(shù)據(jù)對象。 解析：自主存取控制中自主的含義是：用戶可以將自己擁有的存取權限自主地授予 別人。即用戶具有一定的自主權。 7. SQL語言中提供了哪些數(shù)據(jù)控制(自主存取控制)的語句?請試舉幾例說明它們的使用方 法。 答：SQL中的自主存取控制是通過GRANT語句和REVOKE語句來實現(xiàn)的。如：GRANT SELECT, INSERT ON Student TO王平 WI

9、TH GRANT OPTION; 就將Student表的SELECT和INSERT權限授予了用戶王平，后而的WITH GRANT OPTION子句表示用戶王平同時也獲得了授權的權限，即可以把得到的權限繼續(xù)授予其他 用戶。 REVOKE INSERT ON Student FROM 王平 CASCADE： 就將Student表的INSERT權限從用戶王平處收回，選項CASCADE表示,如果用戶王平 將Student的INSERT權限又轉(zhuǎn)授給了苴他用戶，那么這些權限也將從英他用戶處收回。 8. 今有兩個關系模式： 職工（職工號，姓名，年齡，職務，工資，部門號） 部門（部門號,名稱,經(jīng)理名，地址，電

10、話號） 請用SQL的GRANT和REVOKE語句（加上視圖機制）完成以下授權怎義或存取控制功能： （1）用戶王明對兩個表有SELECT權力。 GRANT SELECT ON 職工，部門 TO王明； （2）用戶李勇對兩個表有INSERT和DELETE權力。 GRANT INSERT, DELETE ON 職工，部門 TO李勇； （3）*每個職工只對自己的記錄有SELECT權力。 GRANT SELECT ON 職工 WHEN USER 0二NAME TO ALL; 這里假泄系統(tǒng)的GRANT語句支持WHEN子句和USERO的使用。用戶將自己的名字作為 ID.注意,不同的系統(tǒng)這些擴展語句可能是不同的

11、。讀者應該了解你使用的DBMS產(chǎn)品的擴 展語句。 （4）用戶劉星對職工表有SELECT權力,對工資字段具有更新權力。 GRANT SELECT, UPDATE （工資）ON 職工 TO劉星； （5）用戶張新具有修改這兩個表的結構的權力。 GRANT ALTER TABLE ON 職工，部門 TO張新； （6）用戶周平具有對兩個表所有權力（讀，插，改，刪數(shù)據(jù)），并具有給其他用戶授權的權 力。 GRANT AIL PRIVILIGES ON 職工，部門 TO周平 WITH GRANT OPTION; （7）用戶楊蘭具有從每個部門職工中SELECT最髙工資、最低工資、平均工資的權力，他 不能查看每個

12、人的工資。 首先建立一個視圖。然后對這個視圖定義楊蘭的存取權限。 CREATE VIEW部門工資AS SELECT部門.名稱,MAX（工資）,MIN（工資）,AVG（I資） FROM職工，部門 WHERE職工.部門號二部門.部門號 GROUP BY職工.部門號； GRANT SELECT ON 部門工資 TO楊蘭； 9. 把習題8中(1)-(7)的每一種情況，撤銷各用戶所授予的權力。 答： (1) REVOKE SELECT ON 職工，部門 FROM王明； (2) REVOKE INSERT, DEIEIE ON 職工，部門 FROM李勇； (3) REOVKE SELECT ON 職工 W

13、HEN USER()二NAME FROM AIL; 這里假定用戶將自己的名字作為ID,且系統(tǒng)的REOVKE語句支持WHEN子句，系統(tǒng)也支持 USER ()的使用。 (4) REVOKE SELECT, UPDATE ON 職工 FROM劉星； (5) REVOKE ALTER TABIE ON 職工，部門 FROM張新； (6) REVOKE AIL PRIVILIGES ON 職工，部門 FROM周平； (7) REVOKE SELECT ON 部門工資 FROM楊蘭； DROP VIEW部門工資; 10. 為什么強制存取控制提供了更奇級別的數(shù)據(jù)庫安全性？ 答：強制存取控制(MAC)是對數(shù)據(jù)

14、本身進行密級標記，無論數(shù)據(jù)如何復制，標記與數(shù)據(jù)是 一個不可分的整體，只有符合密級標記要求的用戶才可以操縱數(shù)據(jù)，從而提供了更髙級別的 安全性。 11. 理解并解釋MAC機制中主體、客體、敏感度標記的含義。 答：主體是系統(tǒng)中的活動實體,既包括DBMS所管理的實際用戶，也包括代表用戶的各進 程。 客體是系統(tǒng)中的被動實體，是受主體操縱的，包括文件、基表、索引、視圖等。 對于主體和客體,DBMS為它們每個實例(值)指派一個敏感度標記(Label)。敏感度標記 被分成若I 級別，例如絕密(Top Secret)、機密(Secret)、可信(Confidential) 公開 (Public)等。主體的敏感度

15、標記稱為許可證級別(Clearance Level),客體的敏感度標記 稱為密級(Class辻ication kvel) 12. 舉例說明MAC機制如何確定主體能否存取客體。 答：假設要對關系變量S進行MAC控制，為簡化起見，假設要控制存取的數(shù)據(jù)單元是元 組，則每個元組標以密級,如下表所示：(4二絕密,3二機密,2二秘密) S# SNAME STATUS CITY CLASS S1 Smith 20 London 2 S2 Jones 10 paris 3 S3 Clark 20 london 4 假設用戶U1和U2的許可證級別分別為3和2,則根據(jù)規(guī)則U1能查得元組S1和S2,可 修改元組S2

16、;而U2只能查得元組S1,只能修改元組S1。 解析：這里假設系統(tǒng)的存取規(guī)則是：(1)僅當主體的許可證級別大于或等于客體的密級 時才能讀取相應的客體；僅當主體的許可證級別等于客體的密級時才能寫相應的客體。 13. 什么是數(shù)據(jù)庫的審計功能，為什么要提供審計功能？ 答：審汁功能是指DBMS的審計模塊在用戶對數(shù)據(jù)庫執(zhí)行操作的同時把所有操作自動記 錄到系統(tǒng)的審計日志中。 因為任何系統(tǒng)的安全保護措施都不是完美無缺的，蓄意盜竊破壞數(shù)據(jù)的人總可能存在。 利用數(shù)據(jù)庫的審計功能,DBA可以根據(jù)審汁跟蹤的信息,重現(xiàn)導致數(shù)據(jù)庫現(xiàn)有狀況的一系列 事件，找出非法存取數(shù)據(jù)的人、時間和內(nèi)容等。 14. 統(tǒng)計數(shù)據(jù)庫中存在何種特

17、殊的安全性問題？ 答：統(tǒng)計數(shù)據(jù)庫允許用戶査詢聚集類型的信息，如合計、平均值、最大值、最小值等， 不允許查詢單個記錄信息。但是，人們可以從合法的查詢中推導出不合法的信息，即可能存 在隱蔽的信息通道，這是統(tǒng)計數(shù)據(jù)庫要研究和解決的特殊的安全性問題。 *15.試述你了解的某一個實際的DBMS產(chǎn)品的安全性措施。 答：不同的DBMS產(chǎn)品以及同一產(chǎn)品的不同版本的安全描施各不相同，仁者見仁,智者見 智，請讀者自己了解。概論上9. 4簡單介紹了有關Oracle數(shù)據(jù)庫的安全性措施。 第十章數(shù)據(jù)庫完整性 習題解答和解析 1什么是數(shù)據(jù)庫的完整性？ 答：數(shù)據(jù)庫的完整性是指數(shù)據(jù)的正確性和相容性。 2. 數(shù)據(jù)庫的完整性概念

18、與數(shù)據(jù)庫的安全性概念有什么區(qū)別和聯(lián)系？ 答：數(shù)據(jù)的完整性和安全性是兩個不同的概念，但是有一泄的聯(lián)系。前者是為了防止數(shù) 拯庫中存在不符合語義的數(shù)據(jù)，防止錯誤信息的輸入和輸出，即所謂垃圾進垃圾岀(Garbage In Garbage Out)所造成的無效操作和錯誤結果。后者是保護數(shù)據(jù)庫防止惡意的破壞和非法 的存取。也就是說，安全性措施的防范對象是非法用戶和非法操作，完整性措施的防范對象 是不合語義的數(shù)據(jù)。 3. 什么是數(shù)據(jù)庫的完整性約朿條件?可分為哪幾類？ 答：完整性約朿條件是指數(shù)據(jù)庫中的數(shù)據(jù)應該滿足的語義約束條件。一般可以分為六 類：靜態(tài)列級約束、靜態(tài)元組約束、靜態(tài)關系約朿、動態(tài)列級約朿、動態(tài)元

19、組約束、動態(tài) 關系約束。 靜態(tài)列級約束是對一個列的取值域的說明，包括以下幾個方而： (1) 對數(shù)搖類型的約朿，包括數(shù)據(jù)的類型、長度、單位可精度等； (2) 對數(shù)據(jù)格式的約束； (3) 對取值范圍或取值集合的約束； (4) 對空值的約束； (5) 其他約朿。 靜態(tài)元組約束就是規(guī)左組成一個元組的各個列之間的約朿關系，靜態(tài)元組約束只局限在 單個元組上。 靜態(tài)關系約朿是在一個關系的各個元組之間或者若干關系之間常常存在各種聯(lián)系或約 朿。常見的靜態(tài)關系約束有： (1) 實體完整性約束； (2) 參照完整性約束； (3) 函數(shù)依賴約束。 動態(tài)列級約束是修改列左義或列值時應滿足的約朿條件，包括下而兩方而：(1

20、)修改 列定義時的約束； (2)修改列值時的約束。 動態(tài)元組約束是指修改某個元組的值時需要參照英舊值，并且新舊值之間需要滿足某 種約束條件。 動態(tài)關系約束是加在關系變化前后狀態(tài)上的限制條件，例如事務一致性、原子性等約束 條件。詳細內(nèi)容可以參見概論10.1中的介紹。 4. DBMS的完整性控制機制應具有哪些功能？ 答：DBMS的完整性控制機制應具有三個方而的功能： (1) 爼義功能，即提供建義完整性約朿條件的機制； (2) 檢查功能，即檢查用戶發(fā)出的操作請求是否違背了完整性約束條件； (3) 違約反應，如果發(fā)現(xiàn)用戶的操作請求使數(shù)據(jù)違背了完整性約束條件，則采取一泄的 動作來保證數(shù)據(jù)的完整性。 5.

21、 RDBMS在實現(xiàn)參照完整性時需要考慮哪些方而？ 答：RDBMS在實現(xiàn)參照完整性時需要考慮以下幾個方而： (1) 外碼是否可以接受空值。 (2) 刪除被參照關系的元組時的考慮,這時系統(tǒng)可能采取的作法有三種： 1) 級聯(lián)刪除(CASCADES) 2) 受限刪除(RESTRICTED); 3) 宜空值刪除(NULLIFIES)。 (3) 在參照關系中插入元組時的問題，這時系統(tǒng)可能采取的作法有： 1) 受限插入； 2) 遞歸插入。 (4) 修改關系中主碼的問題。一般是不能用UPDATE語句修改關系主碼的。如果需要修 改主碼值，只能先刪除該元組，然后再把具有新主碼值的元組插入到關系中。如果允許修改 主碼，首先要保證主碼的惟一性和非空，否則拒絕修改。然后要區(qū)分是參照關系還是被參照 關系。 詳細討論可以參見概論10.2。 6. 假設有下面兩個關系模式： 職工(職工號，姓名，年齡，職務，工資，部門號)，其中職工號為主碼； 部門(部門號,名稱，經(jīng)理名，電話)，其中部門號為主碼。 用SQL語言左義這兩個關系模式,要求在模式中完成