要點第九章數(shù)據(jù)庫的安全性要點

1、要點第九章數(shù)據(jù)庫的安全性要點第九章-數(shù)據(jù)庫的安全性要點第九章第九章 數(shù)據(jù)庫安全性數(shù)據(jù)庫安全性9.1 9.1 計算機安全性概論計算機安全性概論9.2 9.2 數(shù)據(jù)庫安全性控制數(shù)據(jù)庫安全性控制9.3 9.3 統(tǒng)計數(shù)據(jù)庫安全性統(tǒng)計數(shù)據(jù)庫安全性9.4 9.4 小結(jié)小結(jié)9.1 9.1 計算機安全性概論計算機安全性概論9.1.1 9.1.1 計算機系統(tǒng)的三類安全性問題計算機系統(tǒng)的三類安全性問題 9.1.2 9.1.2 可信計算機系統(tǒng)評測標準可信計算機系統(tǒng)評測標準9.1.1 9.1.1 計算機系統(tǒng)的三類安全性問題計算機系統(tǒng)的三類安全性問題 什么是計算機系統(tǒng)安全性？ 為計算機系統(tǒng)建立和采取的各種安全保護措施，

2、以保護計算機系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。9.1.1 9.1.1 計算機系統(tǒng)的三類安全性問題計算機系統(tǒng)的三類安全性問題 計算機安全涉及問題 計算機系統(tǒng)本身的技術問題 計算機安全理論與策略 計算機安全技術 管理問題 安全管理 安全評價 安全產(chǎn)品9.1.1 9.1.1 計算機系統(tǒng)的三類安全性問題計算機系統(tǒng)的三類安全性問題 計算機安全涉及問題 法學 計算機安全法律 犯罪學 計算機犯罪與偵察 安全監(jiān)察 心理學9.1.1 9.1.1 計算機系統(tǒng)的三類安全性問題計算機系統(tǒng)的三類安全性問題 三類計算機系統(tǒng)安全性問題 技術安全類 管理安全類 政策法律類

3、9.1.1 9.1.1 計算機系統(tǒng)的三類安全性問題計算機系統(tǒng)的三類安全性問題 技術安全 指計算機系統(tǒng)中采用具有一定安全性的硬件、軟件來實現(xiàn)對計算機系統(tǒng)及其所存數(shù)據(jù)的安全保護，當計算機系統(tǒng)受到無意或惡意的攻擊時仍能保證系統(tǒng)正常運行，保證系統(tǒng)內(nèi)的數(shù)據(jù)不增加、不丟失、不泄露。9.1.1 9.1.1 計算機系統(tǒng)的三類安全性問題計算機系統(tǒng)的三類安全性問題 管理安全 軟硬件意外故障、場地的意外事故、管理不善導致的計算機設備和數(shù)據(jù)介質(zhì)的物理破壞、丟失等安全問題9.1.1 9.1.1 計算機系統(tǒng)的三類安全性問題計算機系統(tǒng)的三類安全性問題 政策法律類 政府部門建立的有關計算機犯罪、數(shù)據(jù)安全保密的法律道德準則和政

4、策法規(guī)、法令9.1 9.1 計算機安全性概論計算機安全性概論9.1.1 9.1.1 計算機系統(tǒng)的三類安全性問題計算機系統(tǒng)的三類安全性問題 9.1.2 9.1.2 可信計算機系統(tǒng)評測標準可信計算機系統(tǒng)評測標準9.1.2 9.1.2 可信計算機系統(tǒng)評測標準可信計算機系統(tǒng)評測標準為降低進而消除對系統(tǒng)的安全攻擊，各國引用或制定了一系列安全標準 TCSEC (桔皮書) TDI (紫皮書)9.1.2 9.1.2 可信計算機系統(tǒng)評測標準可信計算機系統(tǒng)評測標準202X年美國國防部（DoD）正式頒布 DoD可信計算機系統(tǒng)評估標準（簡稱TCSEC或DoD85）TCSEC又稱桔皮書TCSEC標準的目的提供一種標準，

5、使用戶可以對其計算機系統(tǒng)內(nèi)敏感信息安全操作的可信程度做評估。給計算機行業(yè)的制造商提供一種可循的指導規(guī)則，使其產(chǎn)品能夠更好地滿足敏感應用的安全需求。9.1.2 9.1.2 可信計算機系統(tǒng)評測標準可信計算機系統(tǒng)評測標準202X年4月美國NCSC（國家計算機安全中心）頒布了可信計算機系統(tǒng)評估標準關于可信數(shù)據(jù)庫系統(tǒng)的解釋（ Trusted Database Interpretation 簡稱TDI）TDI又稱紫皮書。它將TCSEC擴展到數(shù)據(jù)庫管理系統(tǒng)。TDI中定義了數(shù)據(jù)庫管理系統(tǒng)的設計與實現(xiàn)中需滿足和用以進行安全性級別評估的標準。9.1.2 9.1.2 可信計算機系統(tǒng)評測標準可信計算機系統(tǒng)評測標準TD

6、I/TCSEC標準的基本內(nèi)容 TDI與TCSEC一樣，從四個方面來描述安全性級別劃分的指標 安全策略 責任 保證 文檔9.1.2 9.1.2 可信計算機系統(tǒng)評測標準可信計算機系統(tǒng)評測標準R1 安全策略（Security Policy） R1.1 自主存取控制 （Discretionary Access Control，簡記為DAC） R1.2 客體重用（Object Reuse） R1.3 標記（Labels） R1.4 強制存取控制（Mandatory Access Control，簡記為MAC）9.1.2 9.1.2 可信計算機系統(tǒng)評測標準可信計算機系統(tǒng)評測標準R2 責任（Accounta

7、bility） R2.1 標識與鑒別（Identification & Authentication） R2.2 審計（Audit）R3 保證（Assurance） R3.1 操作保證（Operational Assurance） R3.2 生命周期保證（Life Cycle Assurance）9.1.2 9.1.2 可信計算機系統(tǒng)評測標準可信計算機系統(tǒng)評測標準R4 文檔（Documentation） R4.1 安全特性用戶指南（Security Features Users Guide） R4.2 可信設施手冊（Trusted Facility Manual） R4.3 測試文檔（

8、Test Documentation） R4.4 設計文檔（Design Documentation）9.1.2 9.1.2 可信計算機系統(tǒng)評測標準可信計算機系統(tǒng)評測標準TCSEC/TDI安全級別劃分安安 全全 級級 別別 定定 義義A1驗證設計（驗證設計（Verified Design） B3安全域（安全域（Security Domains） B2結(jié)構化保護（結(jié)構化保護（Structural Protection） B1標記安全保護（標記安全保護（Labeled Security Protection） C2受控的存取保護受控的存取保護（Controlled Access Protectio

9、n） C1自主安全保護自主安全保護（Discretionary Security Protection） D最小保護（最小保護（Minimal Protection）9.1.2 9.1.2 可信計算機系統(tǒng)評測標準可信計算機系統(tǒng)評測標準 四組(division)七個等級 D C（C1，C2） B（B1，B2，B3） A（A1） 按系統(tǒng)可靠或可信程度逐漸增高 各安全級別之間具有一種偏序向下兼容的關系，即較高安全性級別提供的安全保護要包含較低級別的所有保護要求，同時提供更多或更完善的保護能力。9.1.2 9.1.2 可信計算機系統(tǒng)評測標準可信計算機系統(tǒng)評測標準D級 將一切不符合更高標準的系統(tǒng)均歸于D

10、組 典型例子：DOS是安全標準為D的操作系統(tǒng) DOS在安全性方面幾乎沒有什么專門的機制來保障9.1.2 9.1.2 可信計算機系統(tǒng)評測標準可信計算機系統(tǒng)評測標準C1級 非常初級的自主安全保護 能夠?qū)崿F(xiàn)對用戶和數(shù)據(jù)的分離，進行自主存取控制（DAC），保護或限制用戶權限的傳播。9.1.2 9.1.2 可信計算機系統(tǒng)評測標準可信計算機系統(tǒng)評測標準C2級 安全產(chǎn)品的最低檔次 提供受控的存取保護，將C1級的DAC進一步細化，以個人身份注冊負責，并實施審計和資源隔離 達到C2級的產(chǎn)品在其名稱中往往不突出“安全”(Security)這一特色9.1.2 9.1.2 可信計算機系統(tǒng)評測標準可信計算機系統(tǒng)評測標準

11、 典型例子 操作系統(tǒng) Microsoft的Windows NT 3.5， 數(shù)字設備公司的 數(shù)據(jù)庫 Oracle公司的Oracle 79.1.2 9.1.2 可信計算機系統(tǒng)評測標準可信計算機系統(tǒng)評測標準B1級 標記安全保護?！鞍踩?Security)或“可信的”(Trusted)產(chǎn)品。 對系統(tǒng)的數(shù)據(jù)加以標記，對標記的主體和客體實施強制存取控制（MAC）、審計等安全機制9.1.2 9.1.2 可信計算機系統(tǒng)評測標準可信計算機系統(tǒng)評測標準 典型例子 操作系統(tǒng) 惠普公司的HP-UX BLS release 9.0.9+ 數(shù)據(jù)庫 Oracle公司的Trusted Oracle 7 Informix公司

12、的In9.1.2 9.1.2 可信計算機系統(tǒng)評測標準可信計算機系統(tǒng)評測標準B2級 結(jié)構化保護 建立形式化的安全策略模型并對系統(tǒng)內(nèi)的所有主體和客體實施DAC和MAC。 經(jīng)過認證的B2級以上的安全系統(tǒng)非常稀少9.1.2 9.1.2 可信計算機系統(tǒng)評測標準可信計算機系統(tǒng)評測標準 典型例子 操作系統(tǒng) 只有Trusted Information Systems公司的Trusted XENIX一種產(chǎn)品 標準的網(wǎng)絡產(chǎn)品 只有Cryptek Secure Communications公司的LLC VSLAN一種產(chǎn)品 數(shù)據(jù)庫 沒有符合B2標準的產(chǎn)品9.1.2 9.1.2 可信計算機系統(tǒng)評測標準可信計算機系統(tǒng)評測

13、標準B3級 安全域。 該級的TCB必須滿足訪問監(jiān)控器的要求，審計跟蹤能力更強，并提供系統(tǒng)恢復過程。9.1.2 9.1.2 可信計算機系統(tǒng)評測標準可信計算機系統(tǒng)評測標準A1級 驗證設計，即提供B3級保護的同時給出系統(tǒng)的形式化設計說明和驗證以確信各安全保護真正實現(xiàn)。9.1.2 9.1.2 可信計算機系統(tǒng)評測標準可信計算機系統(tǒng)評測標準B2以上的系統(tǒng) 還處于理論研究階段 應用多限于一些特殊的部門如軍隊等 美國正在大力發(fā)展安全產(chǎn)品，試圖將目前僅限于少數(shù)領域應用的B2安全級別下放到商業(yè)應用中來，并逐步成為新的商業(yè)標準。9.1.2 9.1.2 可信計算機系統(tǒng)評測標準可信計算機系統(tǒng)評測標準9.1.2 9.1.

14、2 可信計算機系統(tǒng)評測標準可信計算機系統(tǒng)評測標準 表示該級不提供對該指標的支持； 表示該級新增的對該指標的支持； 表示該級對該指標的支持與相鄰低一級的等級一樣； 表示該級對該指標的支持較下一級有所增加或改動。第九章第九章 數(shù)據(jù)庫安全性數(shù)據(jù)庫安全性9.1 9.1 計算機安全性概論計算機安全性概論9.2 9.2 數(shù)據(jù)庫安全性控制數(shù)據(jù)庫安全性控制9.3 9.3 統(tǒng)計數(shù)據(jù)庫安全性統(tǒng)計數(shù)據(jù)庫安全性9.4 9.4 小結(jié)小結(jié)9.2 9.2 數(shù)據(jù)庫安全性控制數(shù)據(jù)庫安全性控制9.2.1 9.2.1 數(shù)據(jù)庫安全性控制概述數(shù)據(jù)庫安全性控制概述9.2.2 9.2.2 用戶標識與鑒別用戶標識與鑒別9.2.3 9.2.3

15、 存取控制存取控制9.2.4 9.2.4 自主存取控制方法自主存取控制方法9.2.5 9.2.5 強制存取控制方法強制存取控制方法9.2.6 9.2.6 視圖機制視圖機制9.2.7 9.2.7 審計審計9.2.8 9.2.8 數(shù)據(jù)加密數(shù)據(jù)加密9.2.1 9.2.1 數(shù)據(jù)庫安全性控制概述數(shù)據(jù)庫安全性控制概述非法使用數(shù)據(jù)庫的情況 用戶編寫一段合法的程序繞過DBMS及其授權機制，通過操作系統(tǒng)直接存取、修改或備份數(shù)據(jù)庫中的數(shù)據(jù)； 直接或編寫應用程序執(zhí)行非授權操作；9.2.1 9.2.1 數(shù)據(jù)庫安全性控制概述數(shù)據(jù)庫安全性控制概述 通過多次合法查詢數(shù)據(jù)庫從中推導出一些保密數(shù)據(jù) 例：某數(shù)據(jù)庫應用系統(tǒng)禁止查詢

16、單個人的工資，但允許查任意一組人的平均工資。用戶甲想了解張三的工資，于是他： 首先查詢包括張三在內(nèi)的一組人的平均工資 然后查用自己替換張三后這組人的平均工資 從而推導出張三的工資 破壞安全性的行為可能是無意的，故意的，惡意的。計算機系統(tǒng)中的安全模型計算機系統(tǒng)中的安全模型 應用應用DBMSOS DB 低低 高高安全性控制層次安全性控制層次 方法：方法： 用戶標識用戶標識和鑒定和鑒定 存取控制存取控制審計審計視圖視圖 操作系統(tǒng)操作系統(tǒng) 安全保護安全保護 密碼存儲密碼存儲 9.2.1 數(shù)據(jù)庫安全性控制概述9.2.1 9.2.1 數(shù)據(jù)庫安全性控制概述數(shù)據(jù)庫安全性控制概述數(shù)據(jù)庫安全性控制的常用方法 用戶

17、標識和鑒定 存取控制 視圖 審計 密碼存儲9.2 9.2 數(shù)據(jù)庫安全性控制數(shù)據(jù)庫安全性控制9.2.1 9.2.1 數(shù)據(jù)庫安全性控制概述數(shù)據(jù)庫安全性控制概述9.2.2 9.2.2 用戶標識與鑒別用戶標識與鑒別9.2.3 9.2.3 存取控制存取控制9.2.4 9.2.4 自主存取控制方法自主存取控制方法9.2.5 9.2.5 強制存取控制方法強制存取控制方法9.2.6 9.2.6 視圖機制視圖機制9.2.7 9.2.7 審計審計9.2.8 9.2.8 數(shù)據(jù)加密數(shù)據(jù)加密9.2.2 9.2.2 用戶標識與鑒別用戶標識與鑒別用戶標識與鑒別（Identification & Authentica

18、tion） 系統(tǒng)提供的最外層安全保護措施9.2.2 9.2.2 用戶標識與鑒別用戶標識與鑒別基本方法系統(tǒng)提供一定的方式讓用戶標識自己的名字或身份；系統(tǒng)內(nèi)部記錄著所有合法用戶的標識；每次用戶要求進入系統(tǒng)時，由系統(tǒng)核對用戶提供的身份標識；通過鑒定后才提供機器使用權。用戶標識和鑒定可以重復多次用戶標識自己的名字或身份用戶標識自己的名字或身份用戶名/口令 簡單易行，容易被人竊取每個用戶預先約定好一個計算過程或者函數(shù) 系統(tǒng)提供一個隨機數(shù) 用戶根據(jù)自己預先約定的計算過程或者函數(shù)進行計算 系統(tǒng)根據(jù)用戶計算結(jié)果是否正確鑒定用戶身份9.2 9.2 數(shù)據(jù)庫安全性控制數(shù)據(jù)庫安全性控制9.2.1 9.2.1 數(shù)據(jù)庫安

19、全性控制概述數(shù)據(jù)庫安全性控制概述9.2.2 9.2.2 用戶標識與鑒別用戶標識與鑒別9.2.3 9.2.3 存取控制存取控制9.2.4 9.2.4 自主存取控制方法自主存取控制方法9.2.5 9.2.5 強制存取控制方法強制存取控制方法9.2.6 9.2.6 視圖機制視圖機制9.2.7 9.2.7 審計審計9.2.8 9.2.8 數(shù)據(jù)加密數(shù)據(jù)加密9.2.3 9.2.3 存取控制存取控制存取控制機制的功能 存取控制機制的組成 定義存取權限 檢查存取權限用戶權限定義和合法權檢查機制一起組成了DBMS的安全子系統(tǒng)9.2.3 9.2.3 存取控制存取控制 定義存取權限 在數(shù)據(jù)庫系統(tǒng)中，為了保證用戶只能

20、訪問他有權存取的數(shù)據(jù)，必須預先對每個用戶定義存取權限。 檢查存取權限 對于通過鑒定獲得上機權的用戶（即合法用戶），系統(tǒng)根據(jù)他的存取權限定義對他的各種操作請求進行控制，確保他只執(zhí)行合法操作。9.2.3 9.2.3 存取控制存取控制常用存取控制方法 自主存取控制（Discretionary Access Control ，簡稱DAC） C2級 靈活 強制存取控制（Mandatory Access Control，簡稱 MAC） B1級 嚴格自主存取控制方法自主存取控制方法同一用戶對于不同的數(shù)據(jù)對象有不同的存取權限不同的用戶對同一對象也有不同的權限用戶還可將其擁有的存取權限轉(zhuǎn)授給其他用戶強制存取控制

21、方法強制存取控制方法每一個數(shù)據(jù)對象被標以一定的密級每一個用戶也被授予某一個級別的許可證對于任意一個對象，只有具有合法許可證的用戶才可以存取9.2 9.2 數(shù)據(jù)庫安全性控制數(shù)據(jù)庫安全性控制9.2.1 9.2.1 數(shù)據(jù)庫安全性控制概述數(shù)據(jù)庫安全性控制概述9.2.2 9.2.2 用戶標識與鑒別用戶標識與鑒別9.2.3 9.2.3 存取控制存取控制9.2.4 9.2.4 自主存取控制方法自主存取控制方法9.2.5 9.2.5 強制存取控制方法強制存取控制方法9.2.6 9.2.6 視圖機制視圖機制9.2.7 9.2.7 審計審計9.2.8 9.2.8 數(shù)據(jù)加密數(shù)據(jù)加密9.2.4 9.2.4 自主存取控

22、制方法自主存取控制方法定義存取權限 存取權限 存取權限由兩個要素組成 數(shù)據(jù)對象 操作類型9.2.4 9.2.4 自主存取控制方法自主存取控制方法關系系統(tǒng)中的存取權 類型 數(shù)據(jù)對象操作類型 模式 模 式 建立、修改、刪除、檢索外模式 建立、修改、刪除、檢索 內(nèi)模式 建立、刪除、檢索 數(shù)據(jù) 表查找、插入、修改、刪除屬性列 查找、插入、修改、刪除9.2.4 9.2.4 自主存取控制方法自主存取控制方法 關系系統(tǒng)中的存取權限 定義方法 GRANT/REVOKE9.2.4 9.2.4 自主存取控制方法自主存取控制方法 關系系統(tǒng)中的存取權限 例: 一張授權表 用戶名 數(shù)據(jù)對象名 允許的操作類型 王 平 關

23、系Student SELECT 張明霞 關系Student UPDATE 張明霞 關系Course ALL 張明霞 SC. Grade UPDATE 張明霞 SC. Sno SELECT 張明霞 SC. Cno SELECT9.2.4 9.2.4 自主存取控制方法自主存取控制方法檢查存取權限 對于獲得上機權后又進一步發(fā)出存取數(shù)據(jù)庫操作的用戶 DBMS查找數(shù)據(jù)字典，根據(jù)其存取權限對操作的合法性進行檢查 若用戶的操作請求超出了定義的權限，系統(tǒng)將拒絕執(zhí)行此操作9.2.4 9.2.4 自主存取控制方法自主存取控制方法 授權粒度 授權粒度是指可以定義的數(shù)據(jù)對象的范圍 它是衡量授權機制是否靈活的一個重要指

24、標。 授權定義中數(shù)據(jù)對象的粒度越細，即可以定義的數(shù)據(jù)對象的范圍越小，授權子系統(tǒng)就越靈活。9.2.4 9.2.4 自主存取控制方法自主存取控制方法 關系數(shù)據(jù)庫中授權的數(shù)據(jù)對象粒度 數(shù)據(jù)庫 表 屬性列 行 能否提供與數(shù)據(jù)值有關的授權反映了授權子系統(tǒng)精巧程度9.2.4 9.2.4 自主存取控制方法自主存取控制方法實現(xiàn)與數(shù)據(jù)值有關的授權 利用存取謂詞 存取謂詞可以很復雜 可以引用系統(tǒng)變量，如終端設備號，系統(tǒng)時鐘等，實現(xiàn)與時間地點有關的存取權限，這樣用戶只能在某段時間內(nèi)，某臺終端上存取有關數(shù)據(jù) 例：規(guī)定“教師只能在每年1月份和7月份星期一至星期五上午8點到下午5點處理學生成績數(shù)據(jù)”。9.2.4 9.2.

25、4 自主存取控制方法自主存取控制方法例：擴充后的授權表 用戶名 數(shù)據(jù)對象名 允許的操作類型 存取謂詞王平 關系Student SELECT Sdept=CS張明霞 關系Student UPDATE Sname=張明霞張明霞 關系 Course ALL 空9.2.4 9.2.4 自主存取控制方法自主存取控制方法自主存取控制小結(jié) 定義存取權限 用戶 檢查存取權限 DBMS9.2.4 9.2.4 自主存取控制方法自主存取控制方法自主存取控制小結(jié) 授權粒度 數(shù)據(jù)對象粒度：數(shù)據(jù)庫、表、屬性列、行 數(shù)據(jù)值粒度：存取謂詞 授權粒度越細，授權子系統(tǒng)就越靈活，能夠提供的安全性就越完善。但另一方面，因數(shù)據(jù)字典變大

26、變復雜，系統(tǒng)定義與檢查權限的開銷也會相應地增大。9.2.4 9.2.4 自主存取控制方法自主存取控制方法自主存取控制小結(jié) 優(yōu)點 能夠通過授權機制有效地控制其他用戶對敏感數(shù)據(jù)的存取9.2.4 9.2.4 自主存取控制方法自主存取控制方法自主存取控制小結(jié) 缺點 可能存在數(shù)據(jù)的“無意泄露” 原因：這種機制僅僅通過對數(shù)據(jù)的存取權限來進行安全控制，而數(shù)據(jù)本身并無安全性標記。 解決：對系統(tǒng)控制下的所有主客體實施強制存取控制策略9.2 9.2 數(shù)據(jù)庫安全性控制數(shù)據(jù)庫安全性控制9.2.1 9.2.1 數(shù)據(jù)庫安全性控制概述數(shù)據(jù)庫安全性控制概述9.2.2 9.2.2 用戶標識與鑒別用戶標識與鑒別9.2.3 9.2.3 存取控制存取控制9.2.4 9.2.4 自主存取控制方法自主存取控制方法9.2.5 9.2.5 強制存取控制方法強制存取控制方法9.2.6 9.2.6 視圖機制視圖機制9.2.7 9.2.7 審計審計9.2.8 9.2.8 數(shù)據(jù)加密數(shù)據(jù)加密9.2.5 9.2.5 強制存取控制方法強制存取控制方法什么是強制存取控制？ 強制存取控制(MAC)是指系統(tǒng)為保證更高程度的安全性，按照