數(shù)據(jù)庫系統(tǒng)原理數(shù)據(jù)庫安全性課件

1、數(shù)據(jù)庫系統(tǒng)原理數(shù)據(jù)庫系統(tǒng)原理第一篇第一篇 基礎(chǔ)篇基礎(chǔ)篇第四章第四章 數(shù)據(jù)庫安全性數(shù)據(jù)庫安全性2 DBMS DBMS的數(shù)據(jù)控制功能的數(shù)據(jù)控制功能 數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)是由數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)是由DBMSDBMS統(tǒng)一管理和統(tǒng)一管理和控制的，為了適應(yīng)數(shù)據(jù)控制的，為了適應(yīng)數(shù)據(jù)并發(fā)共享并發(fā)共享的環(huán)境，的環(huán)境，DBMSDBMS必須提供必須提供數(shù)據(jù)控制能力數(shù)據(jù)控制能力，以保證數(shù)據(jù)庫中數(shù)據(jù)，以保證數(shù)據(jù)庫中數(shù)據(jù)的的安全可靠和正確有效安全可靠和正確有效。數(shù)據(jù)控制功能數(shù)據(jù)控制功能: :n安全性安全性-防止非法使用數(shù)據(jù)防止非法使用數(shù)據(jù)n完整性完整性-保證數(shù)據(jù)正確、有效、相容保證數(shù)據(jù)正確、有效、相容n并發(fā)控制并發(fā)控制對并發(fā)

2、操作的協(xié)調(diào)與控制對并發(fā)操作的協(xié)調(diào)與控制n數(shù)據(jù)庫恢復(fù)數(shù)據(jù)庫恢復(fù)發(fā)生故障后對數(shù)據(jù)庫的恢復(fù)發(fā)生故障后對數(shù)據(jù)庫的恢復(fù)3 數(shù)據(jù)庫的安全性數(shù)據(jù)庫的安全性 數(shù)據(jù)庫的安全性是指保護數(shù)據(jù)庫以防止不數(shù)據(jù)庫的安全性是指保護數(shù)據(jù)庫以防止不合法的使用所造成的數(shù)據(jù)泄露、更改或破壞。合法的使用所造成的數(shù)據(jù)泄露、更改或破壞。 數(shù)據(jù)庫系統(tǒng)安全保護措施是否有效是數(shù)據(jù)數(shù)據(jù)庫系統(tǒng)安全保護措施是否有效是數(shù)據(jù)庫系統(tǒng)主要技術(shù)指標之一。庫系統(tǒng)主要技術(shù)指標之一。 數(shù)據(jù)庫的安全性與計算機系統(tǒng)的安全性是數(shù)據(jù)庫的安全性與計算機系統(tǒng)的安全性是緊密聯(lián)系、互相支持的。緊密聯(lián)系、互相支持的。4第四章第四章 數(shù)據(jù)庫安全性數(shù)據(jù)庫安全性4.1 計算機安全性概述計

3、算機安全性概述4.2 數(shù)據(jù)庫安全性控制數(shù)據(jù)庫安全性控制4.3 視圖機制視圖機制4.4 審計（審計（Audit） 4.5 數(shù)據(jù)加密數(shù)據(jù)加密4.6 統(tǒng)計數(shù)據(jù)庫安全性統(tǒng)計數(shù)據(jù)庫安全性4.7 小結(jié)小結(jié)54.1 計算機安全性概述計算機安全性概述v 計算機系統(tǒng)安全性計算機系統(tǒng)安全性 為計算機系統(tǒng)建立和采取的各種安全保護措施，為計算機系統(tǒng)建立和采取的各種安全保護措施，以保護計算機系統(tǒng)中的以保護計算機系統(tǒng)中的硬件、軟件及數(shù)據(jù)，硬件、軟件及數(shù)據(jù)，防防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。據(jù)遭到更改或泄露等。64.1.1 計算機系統(tǒng)的三類安全性問題計算

4、機系統(tǒng)的三類安全性問題 技術(shù)安全類技術(shù)安全類采用技術(shù)手段保證計算機系統(tǒng)具采用技術(shù)手段保證計算機系統(tǒng)具有一定的安全性。需要建立一套可信計算機系有一定的安全性。需要建立一套可信計算機系統(tǒng)的概念和標準。統(tǒng)的概念和標準。 管理安全類管理安全類 政策法律類政策法律類74.1.2 安全標準簡介安全標準簡介 計算機以及信息安全技術(shù)方面的一系列安全標準中，最計算機以及信息安全技術(shù)方面的一系列安全標準中，最有影響的是：有影響的是：TCSEC和和CC標準。標準。8TCSEC/TDI標準標準vTCSEC/TDITCSEC/TDI標準的基本內(nèi)容標準的基本內(nèi)容 TCSEC/TDITCSEC/TDI，從，從四個方面四個方

5、面來描述安全性級別劃來描述安全性級別劃分的指標，每個方面又細分為若干項。分的指標，每個方面又細分為若干項。 安全策略安全策略-自主存取控制、客體重用、標自主存取控制、客體重用、標記、強制存取控制記、強制存取控制 責任責任-標識與鑒別標識與鑒別 、可信路徑、可信路徑 、審計、審計 保證保證-操作保證操作保證 、生命周期保證、生命周期保證 文檔文檔9TCSEC/TDI安全級別劃分安全級別劃分 根據(jù)計算機系統(tǒng)對上述各項指標的支持情況，根據(jù)計算機系統(tǒng)對上述各項指標的支持情況，TCSEC/TDI將系統(tǒng)劃分為將系統(tǒng)劃分為四組，七個等級四組，七個等級，依次是：，依次是：安安 全全 級級 別別 定定 義義 A

6、1驗證設(shè)計（驗證設(shè)計（Verified Design） B3安全域（安全域（Security Domains） B2結(jié)構(gòu)化保護（結(jié)構(gòu)化保護（Structural Protection） B1標記安全保護（標記安全保護（Labeled Security Protection） C2受控的存取保護受控的存取保護（Controlled Access Protection） C1自主安全保護自主安全保護（Discretionary Security Protection） D最小保護（最小保護（Minimal Protection）10TCSEC/TDI安全級別劃分（續(xù)）安全級別劃分（續(xù)） 實現(xiàn)數(shù)據(jù)庫

7、系統(tǒng)安全性的技術(shù)和方法有多種，最重實現(xiàn)數(shù)據(jù)庫系統(tǒng)安全性的技術(shù)和方法有多種，最重要的是要的是存取控制技術(shù)和審計技術(shù)存取控制技術(shù)和審計技術(shù)。 C2C2級的級的DBMSDBMS必須具有必須具有自主存取控制和初步的審計功能自主存取控制和初步的審計功能。B1B1的的DBMSDBMS必須具有必須具有強制存取控制和增強的審計功能強制存取控制和增強的審計功能。目前許多大型目前許多大型DBMSDBMS達到了達到了C2C2級級，其安全版本達到了，其安全版本達到了B1B1。 11 CC標準標準v提出國際公認的表述信息技術(shù)安全性的結(jié)構(gòu)提出國際公認的表述信息技術(shù)安全性的結(jié)構(gòu)v將信息產(chǎn)品的安全要求分為：將信息產(chǎn)品的安全要

8、求分為：安全功能要求安全功能要求規(guī)范產(chǎn)品和系統(tǒng)的安全行為規(guī)范產(chǎn)品和系統(tǒng)的安全行為安全保證要求安全保證要求解決如何正確有效地實施這解決如何正確有效地實施這些功能些功能v以以“類類子類子類組件組件”結(jié)構(gòu)表述，組件是安全要結(jié)構(gòu)表述，組件是安全要求的最小構(gòu)件塊。求的最小構(gòu)件塊。12 CC標準標準v CC CC文本組成文本組成 簡介和一般模型簡介和一般模型 安全功能要求安全功能要求- -列出了列出了135135個功能組件，個功能組件，6666個子個子類和類和1111大類。大類。 安全保證要求安全保證要求- -列出列出7474個保證組件，個保證組件，2626個子類個子類和和7 7個大類。個大類。13 CC

9、標準標準v 根據(jù)對安全保證要求的支持情況提出根據(jù)對安全保證要求的支持情況提出評估保證級（評估保證級（EAL)：評估保證級評估保證級定義定義TCSEC安全級別（近似相當）安全級別（近似相當）EAL1功能測試（功能測試（functionally tested）EAL2結(jié)構(gòu)測試（結(jié)構(gòu)測試（structurally tested）C1EAL3系統(tǒng)地測試和檢查系統(tǒng)地測試和檢查（methodically tested and checked）C2EAL4系統(tǒng)地設(shè)計、測試和復(fù)查系統(tǒng)地設(shè)計、測試和復(fù)查（methodically designed， tested， and reviewed）B1EAL5半形式化

10、設(shè)計和測試半形式化設(shè)計和測試（semiformally designed and tested）B2EAL6半形式化驗證的設(shè)計和測試半形式化驗證的設(shè)計和測試（semiformally verified design and tested）B3EAL7形式化驗證的設(shè)計和測試形式化驗證的設(shè)計和測試（formally verified design and tested）A114第四章第四章 數(shù)據(jù)庫安全性數(shù)據(jù)庫安全性4.1 計算機安全性概述計算機安全性概述4.2 數(shù)據(jù)庫安全性控制數(shù)據(jù)庫安全性控制4.3 視圖機制視圖機制4.4 審計（審計（Audit） 4.5 數(shù)據(jù)加密數(shù)據(jù)加密4.6 統(tǒng)計數(shù)據(jù)庫安全性

11、統(tǒng)計數(shù)據(jù)庫安全性4.7 小結(jié)小結(jié)15數(shù)據(jù)庫安全性控制概述數(shù)據(jù)庫安全性控制概述 計算機系統(tǒng)中，安全措施是一級一級層層設(shè)置計算機系統(tǒng)中，安全措施是一級一級層層設(shè)置計算機系統(tǒng)的安全模型計算機系統(tǒng)的安全模型 16數(shù)據(jù)庫安全性控制概述（續(xù)）數(shù)據(jù)庫安全性控制概述（續(xù)）v數(shù)據(jù)庫安全性控制的常用方法數(shù)據(jù)庫安全性控制的常用方法 用戶標識和鑒定用戶標識和鑒定 存取控制存取控制 視圖視圖 審計審計 密碼存儲密碼存儲174.2 數(shù)據(jù)庫安全性控制數(shù)據(jù)庫安全性控制4.2.1 用戶標識與鑒別用戶標識與鑒別4.2.2 存取控制存取控制4.2.3 自主存取控制方法自主存取控制方法4.2.4 授權(quán)與回收授權(quán)與回收4.2.5 數(shù)據(jù)

12、庫角色數(shù)據(jù)庫角色4.2.6 強制存取控制方法強制存取控制方法184.2.1 用戶標識與鑒別用戶標識與鑒別v用戶標識與鑒別用戶標識與鑒別- 系統(tǒng)提供的最外層安全保護措施。系統(tǒng)提供的最外層安全保護措施。 為防止非授權(quán)用戶使用系統(tǒng)，通過創(chuàng)建用為防止非授權(quán)用戶使用系統(tǒng)，通過創(chuàng)建用戶賬號和口令來實現(xiàn)。戶賬號和口令來實現(xiàn)。194.2.2 存取控制存取控制存取控制機制主要包括兩部分：存取控制機制主要包括兩部分：1、定義用戶權(quán)限定義用戶權(quán)限:用戶權(quán)限是指不同的用戶對于不用戶權(quán)限是指不同的用戶對于不同的數(shù)據(jù)對象允許執(zhí)行的操作權(quán)限。同的數(shù)據(jù)對象允許執(zhí)行的操作權(quán)限。 2、合法權(quán)限檢查合法權(quán)限檢查:每當用戶發(fā)出存取數(shù)

13、據(jù)庫的操作每當用戶發(fā)出存取數(shù)據(jù)庫的操作請求后，請求后，DBMS查找數(shù)據(jù)字典，進行合法權(quán)限檢查查找數(shù)據(jù)字典，進行合法權(quán)限檢查，若用戶的操作請求超出了定義的權(quán)限，系統(tǒng)將拒，若用戶的操作請求超出了定義的權(quán)限，系統(tǒng)將拒絕執(zhí)行此操作。絕執(zhí)行此操作。20存取控制（續(xù)）存取控制（續(xù)）v常用存取控制方法常用存取控制方法 自主存取控制自主存取控制（Discretionary Access Control ，簡稱，簡稱DAC） C2級級 靈活靈活 強制存取控制強制存取控制（Mandatory Access Control，簡稱簡稱 MAC）B1級級嚴格嚴格214.2.3 自主存取控制方法自主存取控制方法v通過通過

14、 SQL 的的 GRANT 語句和語句和 REVOKE 語句實現(xiàn)語句實現(xiàn)v用戶權(quán)限組成用戶權(quán)限組成n數(shù)據(jù)對象數(shù)據(jù)對象n操作類型操作類型v定義用戶存取權(quán)限：定義用戶可以在哪些數(shù)據(jù)庫定義用戶存取權(quán)限：定義用戶可以在哪些數(shù)據(jù)庫對象上進行哪些類型的操作對象上進行哪些類型的操作v定義存取權(quán)限稱為定義存取權(quán)限稱為授權(quán)授權(quán) 22對象類型對象類型對象對象操操 作作 類類 型型數(shù)據(jù)庫數(shù)據(jù)庫模式模式CREATE SCHEMA基本表基本表CREATE TABLE，ALTER TABLE模式模式視圖視圖CREATE VIEW索引索引CREATE INDEX數(shù)據(jù)數(shù)據(jù)基本表和基本表和視圖視圖SELECT，INSERT，U

15、PDATE，DELETE，REFERENCES，ALL PRIVILEGES數(shù)據(jù)數(shù)據(jù)屬性列屬性列SELECT，INSERT，UPDATE， REFERENCESALL PRIVILEGES關(guān)系數(shù)據(jù)庫系統(tǒng)中的存取權(quán)限關(guān)系數(shù)據(jù)庫系統(tǒng)中的存取權(quán)限 234.2.4 授權(quán)與回收授權(quán)與回收一、一、GRANTvGRANT語句的一般格式：語句的一般格式： GRANT ,. ON TO ,. WITH GRANT OPTION;v語義：將對指定操作對象的指定操作權(quán)限授予語義：將對指定操作對象的指定操作權(quán)限授予指定的用戶指定的用戶 24GRANT（續(xù)）（續(xù)） 發(fā)出發(fā)出GRANT：DBA數(shù)據(jù)庫對象創(chuàng)建者（即屬主數(shù)據(jù)

16、庫對象創(chuàng)建者（即屬主Owner）已擁有該權(quán)限的用戶已擁有該權(quán)限的用戶 按受權(quán)限的用戶按受權(quán)限的用戶 一個或多個具體用戶一個或多個具體用戶PUBLIC（全體用戶）（全體用戶） 25WITH GRANT OPTION子句子句vWITH GRANT OPTION子句子句: 指定：可以指定：可以再授予再授予 沒有指定：沒有指定：不能傳播不能傳播v不允許循環(huán)授權(quán)不允許循環(huán)授權(quán)26例題（續(xù)）例題（續(xù)）例例2 把對把對Student表和表和Course表的全部權(quán)限授予表的全部權(quán)限授予用戶用戶U2和和U3 GRANT ALL PRIVILEGES ON TABLE Student, Course TO U2,

17、 U3;27例題（續(xù)）例題（續(xù)）例例4 把查詢把查詢Student表和修改學(xué)生學(xué)號的權(quán)限授給表和修改學(xué)生學(xué)號的權(quán)限授給用戶用戶U4 GRANT UPDATE(Sno), SELECT ON TABLE Student TO U4;v對屬性列的授權(quán)時必須明確指出相應(yīng)屬性列名對屬性列的授權(quán)時必須明確指出相應(yīng)屬性列名 28傳播權(quán)限傳播權(quán)限 例例6 GRANT INSERT ON TABLE SC TO U6 WITH GRANT OPTION; U6還可以將此權(quán)限授予還可以將此權(quán)限授予U7： 例例7 GRANT INSERT ON TABLE SC TO U7; 但但U7不能再傳播此權(quán)限。不能再傳播

18、此權(quán)限。 29授權(quán)與回收（續(xù)）授權(quán)與回收（續(xù)）二、二、REVOKEv授予的權(quán)限可以由授予的權(quán)限可以由DBA或其他授權(quán)者用或其他授權(quán)者用REVOKE語句收回語句收回vREVOKE語句的一般格式為：語句的一般格式為： REVOKE ,. ON FROM ,.;30REVOKE（續(xù)）（續(xù)）例例10 把用戶把用戶U5對對SC表的表的INSERT權(quán)限收回權(quán)限收回REVOKE INSERT ON TABLE SC FROM U5 CASCADE ; 將用戶將用戶U5的的INSERT權(quán)限收回的時候必須級聯(lián)權(quán)限收回的時候必須級聯(lián)（CASCADE）收回）收回 系統(tǒng)只收回直接或間接從系統(tǒng)只收回直接或間接從U5處獲

19、得的權(quán)限處獲得的權(quán)限 31小結(jié)小結(jié):SQLSQL靈活的授權(quán)機制靈活的授權(quán)機制vDBA：擁有所有對象的所有權(quán)限：擁有所有對象的所有權(quán)限 將不同的權(quán)限授予不同的用戶將不同的權(quán)限授予不同的用戶v用戶：擁有自己建立的對象的全部的操作權(quán)限用戶：擁有自己建立的對象的全部的操作權(quán)限 GRANT：授予其他用戶：授予其他用戶v被授權(quán)的用戶被授權(quán)的用戶 有有“繼續(xù)授權(quán)繼續(xù)授權(quán)”許可：可再授予其他用戶許可：可再授予其他用戶v所有授予出去的權(quán)力在必要時又都可用所有授予出去的權(quán)力在必要時又都可用REVOKE語句收回語句收回32授權(quán)與回收（續(xù)）授權(quán)與回收（續(xù)）三、創(chuàng)建數(shù)據(jù)庫模式的權(quán)限三、創(chuàng)建數(shù)據(jù)庫模式的權(quán)限 vDBA在創(chuàng)

20、建用戶時實現(xiàn)在創(chuàng)建用戶時實現(xiàn)vCREATE USER語句格式語句格式 CREATE USER WITHDBA | RESOURCE | CONNECT33授權(quán)與回收（續(xù)）授權(quán)與回收（續(xù)）擁有的擁有的權(quán)限權(quán)限可否執(zhí)行的操作可否執(zhí)行的操作CREATE USERCREATE SCHEMACREATE TABLE登錄數(shù)據(jù)庫登錄數(shù)據(jù)庫 執(zhí)行執(zhí)行數(shù)據(jù)查詢和操縱數(shù)據(jù)查詢和操縱DBA可以可以可以可以可以可以可以可以RESOURCE不可以不可以不可以不可以可以可以可以可以CONNECT不可以不可以不可以不可以不可以不可以可以，但必須擁可以，但必須擁有相應(yīng)權(quán)限有相應(yīng)權(quán)限權(quán)限與可執(zhí)行的操作對照表權(quán)限與可執(zhí)行的操作對

21、照表 344.2.5 數(shù)據(jù)庫角色數(shù)據(jù)庫角色v數(shù)據(jù)庫角色：被命名的一組與數(shù)據(jù)庫操作相關(guān)的數(shù)據(jù)庫角色：被命名的一組與數(shù)據(jù)庫操作相關(guān)的權(quán)限權(quán)限 角色是權(quán)限的集合角色是權(quán)限的集合 可以為一組具有相同權(quán)限的用戶創(chuàng)建一個角色可以為一組具有相同權(quán)限的用戶創(chuàng)建一個角色 簡化授權(quán)的過程簡化授權(quán)的過程35數(shù)據(jù)庫角色數(shù)據(jù)庫角色v一、角色的創(chuàng)建一、角色的創(chuàng)建CREATE ROLE v二、給角色授權(quán)二、給角色授權(quán) GRANT ， ON 對象名對象名 TO ，36數(shù)據(jù)庫角色數(shù)據(jù)庫角色v三、將一個角色授予其他的角色或用戶三、將一個角色授予其他的角色或用戶GRANT ，TO ， WITH ADMIN OPTION v四、角色

22、權(quán)限的收回四、角色權(quán)限的收回 REVOKE ，ON FROM ，37自主存取控制特點自主存取控制特點n同一用戶對于不同的數(shù)據(jù)對象有不同的存取權(quán)限同一用戶對于不同的數(shù)據(jù)對象有不同的存取權(quán)限n不同的用戶對同一對象也有不同的權(quán)限不同的用戶對同一對象也有不同的權(quán)限n用戶還可將其擁有的存取權(quán)限用戶還可將其擁有的存取權(quán)限轉(zhuǎn)授轉(zhuǎn)授給其他用戶給其他用戶 由于用戶對數(shù)據(jù)的存取權(quán)限是由于用戶對數(shù)據(jù)的存取權(quán)限是“自主自主”的，用戶的，用戶可以自由地決定將數(shù)據(jù)的存取權(quán)限授予何人、決定是可以自由地決定將數(shù)據(jù)的存取權(quán)限授予何人、決定是否可將否可將“授權(quán)授權(quán)”的權(quán)限授予別人，而系統(tǒng)對此無法控的權(quán)限授予別人，而系統(tǒng)對此無法控

23、制。制。38自主存取控制缺點自主存取控制缺點v可能存在數(shù)據(jù)的可能存在數(shù)據(jù)的“無意泄露無意泄露”v原因：這種機制僅僅通過對數(shù)據(jù)的存取權(quán)限來原因：這種機制僅僅通過對數(shù)據(jù)的存取權(quán)限來進行安全控制，而數(shù)據(jù)本身并無安全性標記進行安全控制，而數(shù)據(jù)本身并無安全性標記v解決：對系統(tǒng)控制下的所有主客體實施強制存解決：對系統(tǒng)控制下的所有主客體實施強制存取控制策略取控制策略 394.2.6 強制存取控制方法強制存取控制方法強制存取控制方法（強制存取控制方法（MAC）n每一個數(shù)據(jù)對象被標以一定的每一個數(shù)據(jù)對象被標以一定的密級密級n每一個用戶也被授予某一個級別的每一個用戶也被授予某一個級別的許可證許可證n對于任意一個對

24、象，只有具有合法許可證的用戶對于任意一個對象，只有具有合法許可證的用戶才可以存取才可以存取40強制存取控制方法（續(xù)）強制存取控制方法（續(xù)） 在在MAC中，中，DBMS所管理的全部實體被分為主體所管理的全部實體被分為主體和客體兩大類。和客體兩大類。 主體主體是系統(tǒng)中的活動實體，既包括是系統(tǒng)中的活動實體，既包括DBMS所管理所管理的實際的實際用戶用戶，也包括代表用戶的各，也包括代表用戶的各進程進程。 客體客體是系統(tǒng)中的被動實體，是受主體操縱的，包是系統(tǒng)中的被動實體，是受主體操縱的，包括括文件、基表、索引、視圖文件、基表、索引、視圖等。等。 41強制存取控制方法（續(xù)）強制存取控制方法（續(xù)） 對于主體

25、和客體，對于主體和客體，DBMS為它們每個實例（值）為它們每個實例（值）指派一個指派一個敏感度標記敏感度標記（LABEL），并分若干級別，），并分若干級別，如：絕密（如：絕密（Top Secret）、機密（）、機密（Secret）、可信）、可信（Confidential）、公開（）、公開（Public） 主體主體的敏感度標記稱為的敏感度標記稱為許可證級別許可證級別， 客體客體的敏感度標記稱為的敏感度標記稱為密級密級。 MAC機制就是通過對比主體的機制就是通過對比主體的LABEL和客體的和客體的LABEL，最終確定主體是否能夠存取客體。，最終確定主體是否能夠存取客體。 42強制存取控制方法（續(xù)）

26、強制存取控制方法（續(xù)）v 強制存取控制規(guī)則強制存取控制規(guī)則 (1)僅當主體的許可證級別僅當主體的許可證級別大于或等于大于或等于客體的密客體的密級時，該主體才能級時，該主體才能讀讀取相應(yīng)的客體取相應(yīng)的客體 (2)僅當主體的許可證級別僅當主體的許可證級別等于等于客體的密級時，客體的密級時，該主體才能該主體才能寫寫相應(yīng)的客體相應(yīng)的客體v修正規(guī)則修正規(guī)則 主體的許可證級別主體的許可證級別 =客體的密級客體的密級 主體能主體能寫客體寫客體43強制存取控制方法（續(xù)）強制存取控制方法（續(xù)）v規(guī)則的共同點規(guī)則的共同點禁止了擁有高許可證級別的主體更新低密級的數(shù)禁止了擁有高許可證級別的主體更新低密級的數(shù)據(jù)對象據(jù)對

27、象44MAC與與DACvDAC與與MAC共同構(gòu)成共同構(gòu)成DBMS的安全機制的安全機制v實現(xiàn)實現(xiàn)MAC時要首先實現(xiàn)時要首先實現(xiàn)DAC 系統(tǒng)首先進行系統(tǒng)首先進行DAC檢查，對通過檢查，對通過DAC檢查的檢查的允許存取的數(shù)據(jù)對象再由系統(tǒng)自動進行允許存取的數(shù)據(jù)對象再由系統(tǒng)自動進行MAC檢查檢查，只有通過，只有通過MAC檢查的數(shù)據(jù)對象方可存取。檢查的數(shù)據(jù)對象方可存取。45強制存取控制方法（續(xù)）強制存取控制方法（續(xù)）DAC + MAC安全檢查示意圖安全檢查示意圖 SQL語法分析語法分析 & 語義檢查語義檢查 DAC 檢檢 查查 安全檢查安全檢查 MAC 檢檢 查查 繼繼 續(xù)續(xù)46第四章第四章 數(shù)據(jù)

28、庫安全性數(shù)據(jù)庫安全性4.1 計算機安全性概述計算機安全性概述4.2 數(shù)據(jù)庫安全性控制數(shù)據(jù)庫安全性控制4.3 視圖機制視圖機制4.4 審計（審計（Audit） 4.5 數(shù)據(jù)加密數(shù)據(jù)加密4.6 統(tǒng)計數(shù)據(jù)庫安全性統(tǒng)計數(shù)據(jù)庫安全性4.7 小結(jié)小結(jié)474.3 視圖機制視圖機制v把要保密的數(shù)據(jù)對無權(quán)存取這些數(shù)據(jù)的用戶隱藏把要保密的數(shù)據(jù)對無權(quán)存取這些數(shù)據(jù)的用戶隱藏起來，對數(shù)據(jù)提供一定程度的安全保護。起來，對數(shù)據(jù)提供一定程度的安全保護。n視圖機制與授權(quán)機制配合使用視圖機制與授權(quán)機制配合使用:n首先用視圖機制屏蔽掉一部分保密數(shù)據(jù)首先用視圖機制屏蔽掉一部分保密數(shù)據(jù)n視圖上面再進一步定義存取權(quán)限視圖上面再進一步定義

29、存取權(quán)限n間接實現(xiàn)了支持存取謂詞的用戶權(quán)限定義間接實現(xiàn)了支持存取謂詞的用戶權(quán)限定義48視圖機制（續(xù)）視圖機制（續(xù)）例例14建立計算機系學(xué)生的視圖，把對該視圖的建立計算機系學(xué)生的視圖，把對該視圖的SELECT權(quán)限授于王平，把該視圖上的所有操作權(quán)限授于王平，把該視圖上的所有操作權(quán)限授于張明權(quán)限授于張明 先建立計算機系學(xué)生的視圖先建立計算機系學(xué)生的視圖CS_Student CREATE VIEW CS_Student AS SELECT Sno,Sname,Ssex,Sage,Sdept FROM Student WHERE Sdept=CS；49視圖機制（續(xù)）視圖機制（續(xù)）在視圖上進一步定義存取權(quán)

30、限在視圖上進一步定義存取權(quán)限 GRANT SELECT ON CS_Student TO 王平王平 ； GRANT ALL PRIVILIGES ON CS_Student TO 張明；張明； 504.2 數(shù)據(jù)庫安全性控制數(shù)據(jù)庫安全性控制4.1 計算機安全性概述計算機安全性概述4.2 數(shù)據(jù)庫安全性控制數(shù)據(jù)庫安全性控制4.3 視圖機制視圖機制4.4 審計（審計（Audit） 4.5 數(shù)據(jù)加密數(shù)據(jù)加密4.6 統(tǒng)計數(shù)據(jù)庫安全性統(tǒng)計數(shù)據(jù)庫安全性4.7 小結(jié)小結(jié)514.4 審計審計v什么是審計什么是審計 審計日志（審計日志（Audit Log） 將用戶對數(shù)據(jù)庫的所有操作記錄在上面將用戶對數(shù)據(jù)庫的所有操作

31、記錄在上面 DBA利用審計日志利用審計日志 找出非法存取數(shù)據(jù)的人、時間和內(nèi)容找出非法存取數(shù)據(jù)的人、時間和內(nèi)容 C2以上安全級別的以上安全級別的DBMS必須具有必須具有52審計（續(xù)）審計（續(xù)）v審計分為審計分為 用戶級審計用戶級審計針對自己創(chuàng)建的數(shù)據(jù)庫表或視圖進行審計針對自己創(chuàng)建的數(shù)據(jù)庫表或視圖進行審計 記錄所有用戶對這些表或視圖的一切成功和記錄所有用戶對這些表或視圖的一切成功和（或）不成功的訪問要求以及各種類型的（或）不成功的訪問要求以及各種類型的SQL操作操作 系統(tǒng)級審計系統(tǒng)級審計 DBA設(shè)置設(shè)置 監(jiān)測成功或失敗的登錄要求監(jiān)測成功或失敗的登錄要求 監(jiān)測監(jiān)測GRANT和和REVOKE操作以及其

32、他數(shù)據(jù)操作以及其他數(shù)據(jù)庫級權(quán)限下的操作庫級權(quán)限下的操作53審計（續(xù)）審計（續(xù)）vAUDIT語句：設(shè)置審計功能語句：設(shè)置審計功能 vNOAUDIT語句：取消審計功能語句：取消審計功能 n審計很費時間和空間審計很費時間和空間nDBA可以根據(jù)應(yīng)用對安全性的要求，靈活地可以根據(jù)應(yīng)用對安全性的要求，靈活地打開或關(guān)閉審計功能。打開或關(guān)閉審計功能。54審計（續(xù)）審計（續(xù)）例例15對修改對修改SC表結(jié)構(gòu)或修改表結(jié)構(gòu)或修改SC表數(shù)據(jù)的操作表數(shù)據(jù)的操作進行審計進行審計 AUDIT ALTER，UPDATE ON SC；例例16取消對取消對SC表的一切審計表的一切審計 NOAUDIT ALTER，UPDATE ON

33、 SC；554.2 數(shù)據(jù)庫安全性控制數(shù)據(jù)庫安全性控制4.1 計算機安全性概述計算機安全性概述4.2 數(shù)據(jù)庫安全性控制數(shù)據(jù)庫安全性控制4.3 視圖機制視圖機制4.4 審計（審計（Audit） 4.5 數(shù)據(jù)加密數(shù)據(jù)加密4.6 統(tǒng)計數(shù)據(jù)庫安全性統(tǒng)計數(shù)據(jù)庫安全性4.7 小結(jié)小結(jié)564.5 數(shù)據(jù)加密數(shù)據(jù)加密v數(shù)據(jù)加密數(shù)據(jù)加密防止數(shù)據(jù)庫中數(shù)據(jù)在防止數(shù)據(jù)庫中數(shù)據(jù)在存儲和傳輸存儲和傳輸中失密的有效手段中失密的有效手段v加密的基本思想加密的基本思想 根據(jù)一定的算法將原始數(shù)據(jù)（明文）變換為不可直根據(jù)一定的算法將原始數(shù)據(jù)（明文）變換為不可直接識別的格式（密文），從而使得不知道解密算法的接識別的格式（密文），從而使得

34、不知道解密算法的人無法獲知數(shù)據(jù)的內(nèi)容。人無法獲知數(shù)據(jù)的內(nèi)容。v加密方法加密方法-替換方法，置換方法，替換方法，置換方法，混合混合方法方法vDBMS中的數(shù)據(jù)加密中的數(shù)據(jù)加密57第四章第四章 數(shù)據(jù)庫安全性數(shù)據(jù)庫安全性4.1 計算機安全性概述計算機安全性概述4.2 數(shù)據(jù)庫安全性控制數(shù)據(jù)庫安全性控制4.3 視圖機制視圖機制4.4 審計（審計（Audit） 4.5 數(shù)據(jù)加密數(shù)據(jù)加密4.6 統(tǒng)計數(shù)據(jù)庫安全性統(tǒng)計數(shù)據(jù)庫安全性4.7 小結(jié)小結(jié)584.6 統(tǒng)計數(shù)據(jù)庫安全性統(tǒng)計數(shù)據(jù)庫安全性 統(tǒng)計數(shù)據(jù)庫中的數(shù)據(jù)分：統(tǒng)計數(shù)據(jù)庫中的數(shù)據(jù)分： 微數(shù)據(jù)微數(shù)據(jù)：是描述現(xiàn)實世界的實體，概念或事件的：是描述現(xiàn)實世界的實體，概念或

35、事件的數(shù)據(jù)。數(shù)據(jù)。 統(tǒng)計或綜合數(shù)據(jù)統(tǒng)計或綜合數(shù)據(jù)：對微數(shù)據(jù)進行綜合處理而得到：對微數(shù)據(jù)進行綜合處理而得到的結(jié)果數(shù)據(jù)。的結(jié)果數(shù)據(jù)。 DBMS必須防止用戶訪問或推導(dǎo)出統(tǒng)計必須防止用戶訪問或推導(dǎo)出統(tǒng)計DB的微的微數(shù)據(jù)。數(shù)據(jù)。 59統(tǒng)計數(shù)據(jù)庫安全性（續(xù)）統(tǒng)計數(shù)據(jù)庫安全性（續(xù)）n統(tǒng)計數(shù)據(jù)庫的特點統(tǒng)計數(shù)據(jù)庫的特點n允許用戶查詢允許用戶查詢聚集聚集類型的信息（例如合計、類型的信息（例如合計、平均值等）平均值等）n不允許查詢不允許查詢單個單個記錄信息記錄信息例：允許查詢例：允許查詢“程序員的平均工資是多少？程序員的平均工資是多少？” 不允許查詢不允許查詢“程序員張勇的工資？程序員張勇的工資？”60統(tǒng)計數(shù)據(jù)庫安全性（續(xù)）統(tǒng)計數(shù)據(jù)庫安全性（續(xù)） 防止用戶推導(dǎo)出統(tǒng)計數(shù)據(jù)庫的微數(shù)據(jù)，可采用防止用戶推導(dǎo)出統(tǒng)計數(shù)據(jù)庫的微數(shù)據(jù)，可采用如下三種方法：如下三種方法： A、對統(tǒng)計查詢結(jié)果的記錄數(shù)加以控制，使之不小于、對統(tǒng)計查詢結(jié)果的記錄數(shù)加以控制，使之不小于一定范圍。一定范圍。 B、禁止在相同元組集上