數(shù)據(jù)庫(kù)原理_第4章_數(shù)據(jù)庫(kù)安全性

1、2022-4-26第4章 數(shù)據(jù)庫(kù)安全性u(píng) 4.1 數(shù)據(jù)庫(kù)安全性概述 u 4.2 訪問(wèn)控制 u 4.3 數(shù)據(jù)庫(kù)加密技術(shù) u 4.4 SQL Server的安全機(jī)制 u 4.5 Oracle的安全機(jī)制 u 小結(jié)本章主要內(nèi)容本章主要內(nèi)容2022-4-26 數(shù)據(jù)庫(kù)的應(yīng)用越來(lái)越廣泛，存儲(chǔ)的信息越來(lái)越有價(jià)值，一旦這些信息暴露，其后果不可設(shè)想。因此，數(shù)據(jù)庫(kù)中的數(shù)據(jù)必須得到有力的保護(hù)。數(shù)據(jù)庫(kù)的特點(diǎn)之一是DBMS提供統(tǒng)一的數(shù)據(jù)保護(hù)功能來(lái)保證數(shù)據(jù)的安全可靠和正確有效，數(shù)據(jù)庫(kù)的數(shù)據(jù)保護(hù)包括數(shù)據(jù)的安全性和數(shù)據(jù)的完整性。 2022-4-26第4章 數(shù)據(jù)庫(kù)安全性u(píng) 4.1 數(shù)據(jù)庫(kù)安全性概述 u 4.2 訪問(wèn)控制 u 4.

2、3 數(shù)據(jù)庫(kù)加密技術(shù) u 4.4 SQL Server的安全機(jī)制 u 4.5 Oracle的安全機(jī)制 u 小結(jié)2022-4-26 數(shù)據(jù)庫(kù)系統(tǒng)的安全必須在以下幾個(gè)層次上采數(shù)據(jù)庫(kù)系統(tǒng)的安全必須在以下幾個(gè)層次上采取安全措施：取安全措施： 數(shù)據(jù)庫(kù)系統(tǒng)層次； 操作系統(tǒng)層次； 網(wǎng)絡(luò)層次； 物理層次（物理結(jié)點(diǎn)保護(hù)）； 人員層次。2022-4-264.1.1 數(shù)據(jù)庫(kù)安全的基本概念數(shù)據(jù)庫(kù)安全的基本概念 可信計(jì)算基可信計(jì)算基 可信計(jì)算基是指為實(shí)現(xiàn)系統(tǒng)安全保護(hù)策略的各種安全保護(hù)機(jī)制的集合。它是數(shù)據(jù)安全的基本概念。 主體、客體與主客體分離主體、客體與主客體分離 主體是數(shù)據(jù)的訪問(wèn)者，包括用戶、應(yīng)用程序、進(jìn)程以及線程等。客

3、體是數(shù)據(jù)及其載體，包括表、視圖、數(shù)據(jù)文件、磁盤(pán)區(qū)域、內(nèi)存區(qū)域、存儲(chǔ)過(guò)程等。主、客體集間存在單向(主體向客體)訪問(wèn)關(guān)系。2022-4-26 身份鑒別身份鑒別 身份鑒別就是主體訪問(wèn)客體前，系統(tǒng)要求主體用一定標(biāo)志標(biāo)識(shí)自己身份?？尚庞?jì)算基使用這些標(biāo)志以鑒別用戶身份，并阻止非法主體的訪問(wèn)。 數(shù)據(jù)完整性數(shù)據(jù)完整性 數(shù)據(jù)完整性指保護(hù)數(shù)據(jù)的修改并保持其一致性。通過(guò)完整性策略阻止非授權(quán)主體修改或破壞數(shù)據(jù)。在網(wǎng)絡(luò)環(huán)境下可使用敏感標(biāo)志以確保數(shù)據(jù)在傳輸中不被破壞。2022-4-26 自主訪問(wèn)控制自主訪問(wèn)控制 即可信計(jì)算基定義和控制系統(tǒng)中命名主體對(duì)客體的訪問(wèn)，實(shí)施機(jī)制(如訪問(wèn)控制表)允許主體規(guī)定和控制對(duì)客體的共享，并阻

4、止非授權(quán)主體訪問(wèn)客體。自主訪問(wèn)控制適合在單機(jī)方式下的訪問(wèn)控制，并允許規(guī)定客體的共享控制。 審計(jì)審計(jì) 指設(shè)置審計(jì)功能記錄可疑主體訪問(wèn)客體的軌跡，以防止非法主體對(duì)客體的訪問(wèn)。記錄的內(nèi)容包括：訪問(wèn)時(shí)間、用戶、操作類型、是否成功等。2022-4-26 標(biāo)記與強(qiáng)制訪問(wèn)控制標(biāo)記與強(qiáng)制訪問(wèn)控制 它是與自主訪問(wèn)控制是完全不同的訪問(wèn)控制手段。需對(duì)主體與客體加上標(biāo)記，標(biāo)記可以是一個(gè)數(shù)字或一個(gè)字母集合。一般有兩種標(biāo)記：一是安全級(jí)別標(biāo)記，是一個(gè)數(shù)字，規(guī)定了主客體的安全級(jí)別，只有主體級(jí)別高于客體級(jí)別時(shí)，才允許訪問(wèn)；另一個(gè)是安全范圍標(biāo)記，是一個(gè)字母集合，規(guī)定了主體的訪問(wèn)范圍，只有主體的標(biāo)記包含或相等于客體的標(biāo)記時(shí)才允許訪

5、問(wèn)。2022-4-264.1.2 信息安全標(biāo)準(zhǔn)簡(jiǎn)介信息安全標(biāo)準(zhǔn)簡(jiǎn)介1、國(guó)際及國(guó)內(nèi)的相關(guān)信息安全評(píng)估標(biāo)準(zhǔn)發(fā)展階段： 奠基時(shí)期奠基時(shí)期 1967年美國(guó)國(guó)防部(DOD)成立了一個(gè)研究組, 針對(duì)當(dāng)時(shí)計(jì)算機(jī)使用環(huán)境中的安全策略進(jìn)行研究。1969年，C.Weisman發(fā)表了有關(guān)Adept-50的安全控制研究成果；1970年，W.H.Ware推出的研究報(bào)告對(duì)多渠道訪問(wèn)的資源共享的計(jì)算機(jī)系統(tǒng)引起的安全問(wèn)題進(jìn)行了研究；1972年,J.P.Anderson提出了引用監(jiān)控機(jī)、引用驗(yàn)證機(jī)制和安全核等根本思想, 揭示安全規(guī)則的嚴(yán)格模型化的重要性,并提出了獨(dú)立的安全評(píng)價(jià)方法問(wèn)題。之后,D.E.Bell和L. J.LaPa

6、dula提出了著名Bell & LaPadula模型，該模型在Multics系統(tǒng)中得到了成功實(shí)現(xiàn)。2022-4-26 在以上成果的基礎(chǔ)上，1983年美國(guó)國(guó)防部首次公布了可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則(TCSEC) 以用于對(duì)操作系統(tǒng)的評(píng)估, 這是IT歷史上的第一個(gè)安全評(píng)估標(biāo)準(zhǔn), 1985年公布了第二版。TCSEC 為業(yè)界所熟知的名字“桔皮書(shū)”則是因其封面的顏色而得來(lái)。后來(lái)DOD又發(fā)布了可信數(shù)據(jù)庫(kù)解釋(TDI)、可信網(wǎng)絡(luò)解釋(TNI)等一系列與TCSEC相關(guān)的說(shuō)明和指南, 由于這些文檔發(fā)行時(shí)封面均為不同的顏色, 因此常被人稱為“彩虹計(jì)劃”。 這一時(shí)期進(jìn)行了大量的基礎(chǔ)研究工作，并最終形成第一個(gè)美國(guó)國(guó)

7、內(nèi)的信息安全評(píng)估標(biāo)準(zhǔn)TCSEC。2022-4-26 1988年, 德國(guó)(當(dāng)時(shí)的西德) 信息安全局推出的計(jì)算機(jī)安全評(píng)價(jià)標(biāo)準(zhǔn)綠皮書(shū)。1989 年英國(guó)的貿(mào)易工業(yè)部和國(guó)防部聯(lián)合開(kāi)發(fā)了計(jì)算機(jī)安全評(píng)價(jià)標(biāo)準(zhǔn)。1990 年，歐共體委員會(huì)(CEC)首度公布了由英國(guó)、德國(guó)、法國(guó)和荷蘭提出的信息技術(shù)安全性評(píng)估準(zhǔn)則(ITSEC)安全評(píng)估標(biāo)準(zhǔn)。1992年4月,加拿大可信計(jì)算機(jī)產(chǎn)品評(píng)估準(zhǔn)則(CTCPEC)的草案發(fā)布, 它可被看作為在TCSEC和ITSEC范圍之上的一個(gè)進(jìn)一步發(fā)展, 而且它實(shí)現(xiàn)結(jié)構(gòu)化安全功能的方法也影響了后來(lái)的國(guó)際標(biāo)準(zhǔn)。1992年8月, 日本電子工業(yè)發(fā)展協(xié)會(huì)(JEIDA )公布了日本計(jì)算機(jī)安全評(píng)估準(zhǔn)則-功能

8、要求(JCSEC2FR)。1992年12月，美國(guó)NIST和國(guó)家安全局(NSA)發(fā)布一個(gè)TCSEC的替代標(biāo)準(zhǔn)信息技術(shù)安全聯(lián)邦準(zhǔn)則(FC2ITS)的草案1.0。 混沌時(shí)期混沌時(shí)期2022-4-26 合并時(shí)期合并時(shí)期 1996年, 六國(guó)七方(英國(guó)、加拿大、法國(guó)、德國(guó)、荷蘭、NSA和NISA)公布了信息技術(shù)安全性評(píng)估通用準(zhǔn)則(簡(jiǎn)稱為通用準(zhǔn)則,CC), 該標(biāo)準(zhǔn)是北美和歐盟聯(lián)合以開(kāi)發(fā)一個(gè)統(tǒng)一的國(guó)際互認(rèn)的安全標(biāo)準(zhǔn)的結(jié)果, 是在美國(guó)、加拿大、歐洲等國(guó)家和地區(qū)分別自行推出的評(píng)估標(biāo)準(zhǔn)及具體實(shí)踐的基礎(chǔ)上, 通過(guò)相互間的總結(jié)和互補(bǔ)發(fā)展起來(lái)的。1998年，六國(guó)七方又公布了CC的2.0版。 統(tǒng)一時(shí)期統(tǒng)一時(shí)期 1999年1

9、2月ISO采納CC，并作為國(guó)際標(biāo)準(zhǔn)ISO 15408發(fā)布，因此ISO 15408實(shí)際上就是CC標(biāo)準(zhǔn)在國(guó)際標(biāo)準(zhǔn)化組織里的稱呼。這一時(shí)期稱為統(tǒng)一時(shí)期。 2022-4-26 美國(guó)的美國(guó)的TCSECTCSEC 1983年美國(guó)國(guó)防部首次公布了可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC）以用于對(duì)操作系統(tǒng)的評(píng)估，這是IT歷史上的第一個(gè)安全評(píng)估標(biāo)準(zhǔn)，1985年公布了第二版。 TCSEC為業(yè)界所熟知的名字“桔皮書(shū)”則是因其封面的顏色而得來(lái)。TCSEC 所列舉的安全評(píng)估準(zhǔn)則主要是針對(duì)美國(guó)政府的安全要求，著重點(diǎn)是基于大型計(jì)算機(jī)系統(tǒng)的機(jī)密文檔處理方面的安全要求。CC被接納為國(guó)際標(biāo)準(zhǔn)后，美國(guó)已停止了基于TCSEC的評(píng)估工作。2

10、、各標(biāo)準(zhǔn)的基本內(nèi)容2022-4-26美國(guó)頒布的TCSEC把數(shù)據(jù)安全級(jí)別劃分為四類七級(jí)： D級(jí)：無(wú)安全保護(hù)的系統(tǒng)。 Cl級(jí)：具有主體、客體及主客體分離、身份鑒別、數(shù)據(jù)完整性、自主訪問(wèn)控制功能的系統(tǒng)；核心是自主訪問(wèn)控制。 C2級(jí)：滿足C1級(jí)全部功能，且具有審計(jì)功能的系統(tǒng)；核心是審計(jì)功能。目前國(guó)內(nèi)使用的系統(tǒng)大部分符合此標(biāo)準(zhǔn)。2022-4-26 B1級(jí)：滿足C2級(jí)全部功能，且具有標(biāo)記及強(qiáng)制訪問(wèn)控制功能的系統(tǒng)；核心是強(qiáng)制訪問(wèn)控制。國(guó)際上有部分系統(tǒng)符合此標(biāo)準(zhǔn)，國(guó)內(nèi)基本上沒(méi)有滿足此標(biāo)準(zhǔn)的系統(tǒng)；滿足此標(biāo)準(zhǔn)的系統(tǒng)可稱為可信系統(tǒng)或安全系統(tǒng)。 B2級(jí)：滿足B1級(jí)全部功能，且具有形式化安全模型與隱蔽通道功能的系統(tǒng)；核

11、心是形式化安全模型。目前國(guó)內(nèi)外均無(wú)滿足此標(biāo)準(zhǔn)的系統(tǒng)。2022-4-26 B3級(jí)：滿足B2級(jí)全部功能，且具有訪問(wèn)監(jiān)控器功能的系統(tǒng)；核心是訪問(wèn)監(jiān)控器。目前國(guó)內(nèi)外均無(wú)滿足此標(biāo)準(zhǔn)的系統(tǒng)。 A級(jí)：更高的形式化要求。目前國(guó)內(nèi)外均無(wú)滿足此標(biāo)準(zhǔn)的系統(tǒng)。2022-4-26 目前市面上常用軟件經(jīng)過(guò)權(quán)威機(jī)構(gòu)的評(píng)測(cè)，確定了其安全級(jí)別。如Oracle, Sybase, informix, SQL Server等數(shù)據(jù)庫(kù)系統(tǒng)軟件符合C1或C2級(jí)安全要求；Windows, Unix操作系統(tǒng)符合Cl或C2級(jí)安全要求。市場(chǎng)上大部分系統(tǒng)軟件都處于C1或C2級(jí)安全級(jí)別。此外，美國(guó)有符合Bl級(jí)的軍用版本Oracle數(shù)據(jù)庫(kù)系統(tǒng)和WinN

12、T操作系統(tǒng)。國(guó)內(nèi)有一些符合B1級(jí)的安全原型DBMS：如OpenBASE,Cobase等。 2022-4-26歐共體委員會(huì)的歐共體委員會(huì)的 ITSECITSEC 信息技術(shù)安全性評(píng)估準(zhǔn)則（ITSEC）是英國(guó)、德國(guó)、法國(guó)和荷蘭四個(gè)歐洲國(guó)家安全評(píng)估標(biāo)準(zhǔn)的統(tǒng)一與擴(kuò)展，由歐共體委員會(huì)在1990年首度公布。ITSEC 的目標(biāo)在于成為國(guó)家認(rèn)證機(jī)構(gòu)所進(jìn)行的認(rèn)證活動(dòng)的一致基準(zhǔn)，還有更重要的一點(diǎn)就是評(píng)估結(jié)果的互認(rèn)。自1991年7月以來(lái)，ITSEC就一直被實(shí)際應(yīng)用在歐洲國(guó)家的評(píng)估和認(rèn)證方案中，直到其為CC所取代。2022-4-26 加拿大系統(tǒng)安全中心的加拿大系統(tǒng)安全中心的 CTCPECCTCPEC 1992年4月，加

13、拿大可信計(jì)算機(jī)產(chǎn)品評(píng)估準(zhǔn)則（CTCPEC）3.0版的草案發(fā)布，它可被看作為在TCSEC及ITSEC范圍之上的一個(gè)進(jìn)一步發(fā)展，而且它實(shí)現(xiàn)結(jié)構(gòu)化安全功能的方法也影響了后來(lái)的國(guó)際標(biāo)準(zhǔn)。2022-4-26 國(guó)際通用準(zhǔn)則國(guó)際通用準(zhǔn)則CC (ISO/IEC15408-1999)CC (ISO/IEC15408-1999) 國(guó)際信息技術(shù)安全性評(píng)估通用準(zhǔn)則（簡(jiǎn)稱為通用準(zhǔn)則，CC）是北美和歐盟聯(lián)合以開(kāi)發(fā)一個(gè)統(tǒng)一的國(guó)際互認(rèn)的安全標(biāo)準(zhǔn)的結(jié)果，是在美國(guó)、加拿大、歐洲等國(guó)家和地區(qū)分別自行推出的評(píng)估標(biāo)準(zhǔn)及具體實(shí)踐的基礎(chǔ)上，通過(guò)相互間的總結(jié)和互補(bǔ)發(fā)展起來(lái)的。2022-4-26 1996年，六國(guó)七方（英國(guó)、加拿大、法國(guó)、德國(guó)

14、、荷蘭、NSA國(guó)家安全局和NIST國(guó)家標(biāo)準(zhǔn)技術(shù)研究所）公布了CC的1.0版，1998年，六國(guó)七方又公布了CC的2.0版。CC取代了TCSEC、ITSEC, 及 CTCPEC，是事實(shí)上的國(guó)際安全評(píng)估標(biāo)準(zhǔn)。1999年，CC被國(guó)際標(biāo)準(zhǔn)化組織（ISO）批準(zhǔn)成為國(guó)際標(biāo)準(zhǔn) (ISO/IEC15408-19999) 并正式頒布發(fā)行，其對(duì)應(yīng)的CC版本為2.1版。2022-4-26 CC作為評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全性的國(guó)際性通用準(zhǔn)則，是信息技術(shù)安全性評(píng)估結(jié)果國(guó)際互認(rèn)的基礎(chǔ)，遍及世界各地的眾多組織現(xiàn)在均已實(shí)施了CC。互認(rèn)通過(guò)簽署互認(rèn)協(xié)定(MRA)來(lái)實(shí)現(xiàn)，產(chǎn)品在一個(gè)MRA成員國(guó)評(píng)估通過(guò)就可被其他的成員國(guó)所接受，從

15、而避免重復(fù)的評(píng)估行為。對(duì)于其他國(guó)家來(lái)講，只要能夠證明他們能夠?qū)崿F(xiàn)MRA中的互認(rèn)所要求的極其嚴(yán)格的技術(shù)與程序上的條件 ，就可尋求加入MRA 。 Windows 2000、Sun Solaris 8、Oracle 9i、DB2 V8.2等都已通過(guò)了CC的EAL4 ( B1 )。2022-4-26 我國(guó)的安全評(píng)估標(biāo)準(zhǔn)我國(guó)的安全評(píng)估標(biāo)準(zhǔn) 為提高我國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)水平，1999年9月國(guó)家質(zhì)量技術(shù)監(jiān)督局發(fā)布了國(guó)家標(biāo)準(zhǔn) GB17859-1999計(jì)算機(jī)信息安全保護(hù)等級(jí)劃分準(zhǔn)則，它是建立安全等級(jí)保護(hù)制度、實(shí)施安全等級(jí)管理的重要基礎(chǔ)性標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)是我國(guó)計(jì)算機(jī)信息系統(tǒng)保護(hù)等級(jí)系列標(biāo)準(zhǔn)的第一部分，其他數(shù)十個(gè)相

16、關(guān)標(biāo)準(zhǔn)的制訂工作還正在緊張進(jìn)行。該標(biāo)準(zhǔn)的制定參照了美國(guó)的TCSEC。2022-4-26 該標(biāo)準(zhǔn)共分為五級(jí)與美國(guó)TCSEC標(biāo)準(zhǔn)的對(duì)應(yīng)關(guān)系如下： 第一級(jí)：用戶自主保護(hù)級(jí)C1級(jí) 第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)C2級(jí) 第三級(jí)：安全標(biāo)記保護(hù)級(jí)B1級(jí) 第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)B2級(jí) 第五級(jí)：訪問(wèn)驗(yàn)證保護(hù)級(jí)B3級(jí)2022-4-26 自從CC 1.0版公布后，我國(guó)相關(guān)部門(mén)就一直密切關(guān)注著它的發(fā)展情況，并對(duì)該版本做了大量的研究工作。2001年3月，國(guó)家質(zhì)量技術(shù)監(jiān)督局正式頒布了援引CC的國(guó)家標(biāo)準(zhǔn)GB/T18336-2001信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則。2022-4-263、對(duì)數(shù)據(jù)庫(kù)安全的威脅2022-4-26基

17、于計(jì)算機(jī)技術(shù)的防衛(wèi)措施主要有： 用戶授權(quán)：包括授權(quán)用戶的身份驗(yàn)證以及為他們授予訪問(wèn)權(quán)限。 通過(guò)視圖調(diào)整授權(quán)：定義可向用戶授權(quán)數(shù)據(jù)庫(kù)特定部分的用戶視圖。備份和恢復(fù)：定期建立數(shù)據(jù)庫(kù)備份副本，并測(cè)試和實(shí)現(xiàn)恢復(fù)過(guò)程。保護(hù)機(jī)密數(shù)據(jù)：使用加密技術(shù)保護(hù)機(jī)密數(shù)據(jù)。2022-4-26第4章 數(shù)據(jù)庫(kù)安全性u(píng) 4.1 數(shù)據(jù)庫(kù)安全性概述 u 4.2 訪問(wèn)控制 u 4.3 數(shù)據(jù)庫(kù)加密技術(shù) u 4.4 SQL Server的安全機(jī)制 u 4.5 Oracle的安全機(jī)制 u 小結(jié)2022-4-26 從本質(zhì)上講，數(shù)據(jù)庫(kù)安全依賴于數(shù)據(jù)庫(kù)系統(tǒng)的訪問(wèn)控制。數(shù)據(jù)庫(kù)安全的一部分是控制物理訪問(wèn)，另一主要部分是通過(guò)DBMS控制訪問(wèn)。所有D

18、BMS都包含安全系統(tǒng)，以保證授權(quán)用戶訪問(wèn)數(shù)據(jù)庫(kù)，這些安全機(jī)制一般指任意安全機(jī)制和強(qiáng)制安全機(jī)制。 2022-4-26DBMS的安全機(jī)制的安全機(jī)制 2022-4-26 采用該方法以若干種指派模式授予各個(gè)用戶訪問(wèn)特定數(shù)據(jù)項(xiàng)的權(quán)限或權(quán)力。建立數(shù)據(jù)庫(kù)對(duì)象的用戶自動(dòng)得到此對(duì)象的所有訪問(wèn)權(quán)限，包括將此對(duì)象的權(quán)限再授予他人。 在授予或撤消訪問(wèn)權(quán)限時(shí)，主要有兩種級(jí)別： 數(shù)據(jù)庫(kù)對(duì)象：數(shù)據(jù)項(xiàng)或數(shù)據(jù)元素，一般是基表或視圖； 用戶：可以用一些授權(quán)標(biāo)識(shí)符識(shí)別的單個(gè)用戶或用戶組。 授權(quán)通常都是在這兩種級(jí)別上進(jìn)行。 任意控制（任意控制（DACDAC）2022-4-26 DBMS提供了功能強(qiáng)大的授權(quán)機(jī)制，它可以給用戶授予各種不

19、同對(duì)象（表、視圖、存儲(chǔ)過(guò)程等）的不同使用權(quán)限（如 Select、update、insert、delete等）。 在用戶級(jí)別，可以授予數(shù)據(jù)庫(kù)模式和數(shù)據(jù)操縱方面的以下幾種授權(quán)，包括：創(chuàng)建和刪除索引、創(chuàng)建新關(guān)系、添加或刪除關(guān)系中的屬性、刪除關(guān)系、查詢數(shù)據(jù)、插入新數(shù)據(jù)、修改數(shù)據(jù)、刪除數(shù)據(jù)等。 在數(shù)據(jù)庫(kù)對(duì)象級(jí)別，可將上述訪問(wèn)權(quán)限應(yīng)用于數(shù)據(jù)庫(kù)、基本表、視圖和列等。 授權(quán) 2022-4-26 如果要給成千上萬(wàn)個(gè)雇員分配許可，將面臨很大的管理難題，每次有雇員到來(lái)或者離開(kāi)時(shí)，就得有人分配或去除可能與數(shù)百?gòu)埍砘蛞晥D有關(guān)的權(quán)限。這項(xiàng)任務(wù)不但耗時(shí)，而且容易出錯(cuò)。一個(gè)相對(duì)簡(jiǎn)單有效的解決方案就是定義數(shù)據(jù)庫(kù)角色。數(shù)據(jù)庫(kù)角色

20、是被命名的一組與數(shù)據(jù)庫(kù)操作相關(guān)的權(quán)限，即一組相關(guān)權(quán)限的集合?？梢詾橐唤M具有相同權(quán)限的用戶創(chuàng)建一個(gè)角色。使用角色來(lái)管理數(shù)據(jù)庫(kù)權(quán)限可以簡(jiǎn)化授權(quán)的過(guò)程。數(shù)據(jù)庫(kù)角色2022-4-26DBARole用戶用戶用戶用戶授權(quán)授權(quán)授權(quán)管理授權(quán)管理2022-4-26 強(qiáng)制控制強(qiáng)制控制 任意訪問(wèn)控制是關(guān)系數(shù)據(jù)庫(kù)的傳統(tǒng)方法，可對(duì)數(shù)據(jù)庫(kù)提供充分保護(hù)，但它不支持隨數(shù)據(jù)庫(kù)各部分的機(jī)密性而變化，技術(shù)高超的專業(yè)人員可能突破該保護(hù)機(jī)制獲得未授權(quán)訪問(wèn)。另外，由于用戶對(duì)數(shù)據(jù)的存取權(quán)限是“自主”的，用戶可以自由地決定將數(shù)據(jù)的存取權(quán)限授予何人、決定是否也將“授權(quán)”的權(quán)限授予別人。在這種授權(quán)機(jī)制下，仍可能存在數(shù)據(jù)的“無(wú)意泄露”。2022-

21、4-26 強(qiáng)制訪問(wèn)控制克服了任意訪問(wèn)控制的缺點(diǎn)。在強(qiáng)制訪問(wèn)控制方法中，不能由一個(gè)用戶不加控制地將訪問(wèn)權(quán)限授予或傳遞給另一用戶。強(qiáng)制訪問(wèn)控制方法是指系統(tǒng)為了保證更高程度的安全性，按照TDI/TCSEC標(biāo)準(zhǔn)中安全策略的要求所采取的強(qiáng)制訪問(wèn)檢查手段，它不是用戶能直接感知或進(jìn)行控制的。強(qiáng)制訪問(wèn)控制主要適用于對(duì)數(shù)據(jù)有嚴(yán)格要求而固定密級(jí)分類的部門(mén)，如軍事部門(mén)或政府部門(mén)。2022-4-26 強(qiáng)制訪問(wèn)控制模型基于與每個(gè)數(shù)據(jù)項(xiàng)和每個(gè)用戶關(guān)聯(lián)的安全性標(biāo)識(shí)(Security Label)。安全性標(biāo)識(shí)被分為若干級(jí)別：絕密 (Top Secret)、機(jī)密 (Secret)、秘密 (Confidential)、一般 (P

22、ublic)。數(shù)據(jù)的標(biāo)識(shí)稱為密級(jí)(Security Classification)，用戶的標(biāo)識(shí)稱為許可級(jí)別證(Security Clearance)。2022-4-26 當(dāng)某一用戶以某一密級(jí)進(jìn)入系統(tǒng)時(shí)，在確定該用戶能否訪問(wèn)系統(tǒng)上的數(shù)據(jù)時(shí)應(yīng)遵守如下規(guī)則： (1) 當(dāng)且僅當(dāng)用戶許可證級(jí)別大于等于數(shù)據(jù)的密級(jí)時(shí)，該用戶才能對(duì)該數(shù)據(jù)進(jìn)行讀操作。 (2) 當(dāng)且僅當(dāng)用戶的許可證級(jí)別小于或等于數(shù)據(jù)的密級(jí)時(shí)，該用戶才能對(duì)該數(shù)據(jù)進(jìn)行寫(xiě)操作。2022-4-26數(shù)據(jù)庫(kù)系統(tǒng)的安全機(jī)制數(shù)據(jù)庫(kù)系統(tǒng)的安全機(jī)制 授權(quán)機(jī)制約束機(jī)制審計(jì)觸發(fā)器存儲(chǔ)過(guò)程用戶身份驗(yàn)證操作系統(tǒng)數(shù)據(jù)庫(kù)服務(wù)器(RDBMS)視圖2022-4-26 視圖機(jī)制視圖

23、機(jī)制 幾乎所有的DBMS都提供視圖機(jī)制。視圖不同于基本表，它不存儲(chǔ)實(shí)際數(shù)據(jù)。表存儲(chǔ)數(shù)據(jù)，而視圖好象表的窗口（虛表）。當(dāng)用戶通過(guò)視圖訪問(wèn)數(shù)據(jù)時(shí)，是從基本表獲得數(shù)據(jù)。視圖提供了一種靈活而簡(jiǎn)單的方法，以個(gè)人化方式授予訪問(wèn)權(quán)限，是強(qiáng)大的安全工具。在授予用戶對(duì)特定視圖的訪問(wèn)權(quán)限時(shí)，該權(quán)限只用于在該視圖中定義的數(shù)據(jù)項(xiàng)，而未用于完整基本表本身。2022-4-26 對(duì)DBA而言，審計(jì)就是記錄數(shù)據(jù)庫(kù)中正在作什么的過(guò)程。審計(jì)記錄可以告訴你正在使用哪些系統(tǒng)權(quán)限，使用頻率是多少，多少用戶正在登錄，會(huì)話平均持續(xù)多長(zhǎng)時(shí)間，正在特殊表上使用哪些命令，以及許多其他有關(guān)事實(shí)。 審計(jì)審計(jì)2022-4-26 審計(jì)功能把用戶對(duì)數(shù)據(jù)庫(kù)

24、的所有操作自動(dòng)記錄下來(lái)放入審計(jì)日志（Audit Log）中。審計(jì)日志一般包括下列內(nèi)容： (1) 操作類型（如修改、查詢等）。 (2) 操作終端標(biāo)識(shí)與操作人員標(biāo)識(shí)。 (3) 操作日期和時(shí)間。 (4) 操作的數(shù)據(jù)對(duì)象（如表、視圖、記錄、屬性等）。 (5) 數(shù)據(jù)修改前后的值。2022-4-26審計(jì)一般可以分為用戶級(jí)審計(jì)和系統(tǒng)級(jí)審計(jì)。 用戶級(jí)審計(jì)是任何用戶可設(shè)置的審計(jì)，主要是針對(duì)自己創(chuàng)建的數(shù)據(jù)庫(kù)或視圖進(jìn)行審計(jì)，記錄所有用戶對(duì)這些表或視圖的一切成功和（或）不成功的訪問(wèn)要求以及各種類型的SQL操作。 系統(tǒng)級(jí)審計(jì)只能由DBA設(shè)置，用以監(jiān)測(cè)成功或失敗的登錄要求、監(jiān)測(cè)Grant和Revoke操作以及其他數(shù)據(jù)庫(kù)級(jí)

25、權(quán)限下的操作。 2022-4-26 統(tǒng)計(jì)數(shù)據(jù)庫(kù)安全性統(tǒng)計(jì)數(shù)據(jù)庫(kù)安全性 統(tǒng)計(jì)數(shù)據(jù)庫(kù)的特點(diǎn)允許用戶查詢聚集類型的信息（例如合計(jì)、平均值等）不允許查詢單個(gè)記錄信息示例：允許查詢“程序員的平均工資是多少” 不允許查詢“程序員張勇的工資”2022-4-26 統(tǒng)計(jì)數(shù)據(jù)庫(kù)中特殊的安全性問(wèn)題 隱蔽的信息通道 從合法的查詢中推導(dǎo)出不合法的信息2022-4-26例1：下面兩個(gè)查詢都是合法的 本公司共有多少女高級(jí)程序員？ 本公司女高級(jí)程序員的工資總額是多少？ 如果第一個(gè)查詢的結(jié)果是“1”，那么第二個(gè)查詢的結(jié)果顯然就是這個(gè)程序員的工資數(shù)。規(guī)則1：任何查詢至少要涉及N(N足夠大)個(gè)以上的 記錄。2022-4-26例2：

26、用戶A發(fā)出下面兩個(gè)合法查詢： 用戶A和其他N個(gè)程序員的工資總額是多少？ 用戶B和其他N個(gè)程序員的工資總額是多少？ 若第一個(gè)查詢的結(jié)果是X，第二個(gè)查詢的結(jié)果是Y，由于用戶A知道自己的工資是Z，那么他可以計(jì)算出用戶B的工資=Y-(X-Z)。原因：兩個(gè)查詢之間有很多重復(fù)的數(shù)據(jù)項(xiàng)。規(guī)則2：任意兩個(gè)查詢的相交數(shù)據(jù)項(xiàng)不能超過(guò)M個(gè)。2022-4-26 可以證明，在上述兩條規(guī)定下，如果想獲知用戶B的工資額A至少需要進(jìn)行1+(N-2)/M次查詢。規(guī)則3：任一用戶的查詢次數(shù)不能超過(guò)1+(N-2)/M 。 如果兩個(gè)用戶合作查詢就可以使這一規(guī)定失效。2022-4-26數(shù)據(jù)庫(kù)安全機(jī)制的設(shè)計(jì)目標(biāo)設(shè)計(jì)目標(biāo)： 試圖破壞安全的

27、人所花費(fèi)的代價(jià) 得到的利益2022-4-26第4章 數(shù)據(jù)庫(kù)安全性u(píng) 4.1 數(shù)據(jù)庫(kù)安全性概述 u 4.2 訪問(wèn)控制 u 4.3 數(shù)據(jù)庫(kù)加密技術(shù) u 4.4 SQL Server的安全機(jī)制 u 4.5 Oracle的安全機(jī)制 u 小結(jié)2022-4-26 如果入侵者繞過(guò)系統(tǒng)訪問(wèn)數(shù)據(jù)庫(kù)的信息內(nèi)容，如果入侵者通過(guò)物理移除磁盤(pán)或備份磁盤(pán)盜走數(shù)據(jù)庫(kù)、如果入侵者接入載有真實(shí)用戶數(shù)據(jù)的通信鏈路、如果聰明的入侵者通過(guò)運(yùn)行程序突破操作系統(tǒng)防線來(lái)檢索數(shù)據(jù)，情況會(huì)如何呢？ 在這些情況下，數(shù)據(jù)庫(kù)系統(tǒng)的各種授權(quán)規(guī)則或許不能提供充分的保護(hù)。標(biāo)準(zhǔn)安全技術(shù)無(wú)法防范繞過(guò)系統(tǒng)訪問(wèn)數(shù)據(jù)的侵?jǐn)_，這就需要采取其他保護(hù)措施來(lái)加強(qiáng)安全系統(tǒng)。

28、加密技術(shù)提供了附加保護(hù)，數(shù)據(jù)庫(kù)中的數(shù)據(jù)是可以被加密（encrypt）的，加密數(shù)據(jù)是不可能被讀出的。加密也構(gòu)成了鑒定數(shù)據(jù)庫(kù)用戶身份良好機(jī)制的基礎(chǔ)。2022-4-26 加密是一種編碼數(shù)據(jù)的方法，使入侵者難以理解數(shù)據(jù)內(nèi)容，在授權(quán)用戶使用時(shí)，解碼數(shù)據(jù)，使其返回原始格式。一些商業(yè)DBMS包含加密模塊，還有一些能提供程序，使用戶編寫(xiě)自己的加密例程。當(dāng)前，加密技術(shù)廣泛應(yīng)用于諸如電子資金劃撥（electronic fund transfers, EFT）和電子商務(wù)等應(yīng)用程序中。加密的概念加密的概念2022-4-26加密方案需要一個(gè)包含下列組件和概念的密碼系統(tǒng)。u 編碼數(shù)據(jù)（稱為明文）的加密密鑰u 將明文更改為

29、編碼文本（稱為密文）的加密算法u 解碼密文的解碼密鑰u 將密文轉(zhuǎn)換回原始明文的解密算法2022-4-26加密元素 2022-4-26u 編碼 最簡(jiǎn)單、最方便的方法。對(duì)于重要字段，值被編碼。例如，不存儲(chǔ)銀行分支的名稱，而是存儲(chǔ)代碼來(lái)表示。u 替代 逐個(gè)替代明文中的字母，以生成密文。u 轉(zhuǎn)置 使用特殊算法重新排列明文中的字符。 一般地，替代和轉(zhuǎn)置結(jié)合使用可取得理想效果。不過(guò)，未使用加密密鑰的技術(shù)無(wú)法提供充分保護(hù)。技術(shù)的強(qiáng)度取決于密鑰以及用于加密和解密的算法。如果單純使用替代和轉(zhuǎn)置，若入侵者分析足夠多的編碼文本，可能解密文本。 常用加密方法：常用加密方法：2022-4-26根據(jù)加密密鑰的使用和部署，

30、可將加密技術(shù)分為兩種類型：u 對(duì)稱加密 該技術(shù)為加密和解密使用相同加密密鑰。密鑰必須保密，以防范潛在入侵者。該技術(shù)依賴于安全通信，以便在數(shù)據(jù)提供者和授權(quán)用戶之間交換密鑰。若密鑰確實(shí)安全，則要將密鑰作為消息本身的一部分。這么做效率不高，大多數(shù)密鑰較短。數(shù)據(jù)加密標(biāo)準(zhǔn)(Data Encryption standard, DES)是該技術(shù)的一個(gè)例子。u非對(duì)稱加密 該技術(shù)為加密和解密使用不同密鑰。一種是公開(kāi)的公鑰，另一種是只有授權(quán)用戶知道的私鑰。加密算法也可以公開(kāi)。公鑰加密（RSA）是一種非對(duì)稱加密方法。2022-4-26數(shù)據(jù)加密標(biāo)準(zhǔn)數(shù)據(jù)加密標(biāo)準(zhǔn) 該技術(shù)在1977年由IBM開(kāi)發(fā)和設(shè)計(jì)，被國(guó)家標(biāo)準(zhǔn)局采用為

31、正式DES。從那時(shí)起，各種行業(yè)機(jī)構(gòu)開(kāi)始采用DES。 該技術(shù)為加密和解密使用單個(gè)密鑰。密鑰必須保持秘密，以防范潛在入侵者。同樣，加密算法決不能對(duì)外公開(kāi)。該算法由字符替代和轉(zhuǎn)置（或置換）構(gòu)成。 2022-4-26單密鑰加密技術(shù)DES 2022-4-26工作原理 DES將明文劃分為塊，每個(gè)塊64位。用64位密鑰來(lái)加密各個(gè)塊。密鑰雖64位長(zhǎng)，但有效位僅56位，其余8位用作奇偶校驗(yàn)位。即使56位密鑰，也可能有256種可能的不同密鑰。所以，在建立密鑰時(shí)，選擇余地非常大。按下列順序執(zhí)行加密：u 使用密鑰為各個(gè)塊應(yīng)用初始置換。u 按16個(gè)連續(xù)復(fù)雜替代步驟操作轉(zhuǎn)換或置換塊。u 最后應(yīng)用另一種置換算法，與初始置換

32、相反。解密算法與加密算法相同，但步驟執(zhí)行順序正好相反。 2022-4-26公鑰加密公鑰加密 公鑰加密技術(shù)由Rivest、Shamir和Adleman提出，該技術(shù)得到廣泛應(yīng)用。按三名創(chuàng)始者的姓名首字母，將其稱為RSA。RSA模型基于以下概念：u 使用兩個(gè)加密密鑰，一個(gè)是公鑰，另一個(gè)是私鑰。u 每位用戶都有公鑰和私鑰。u 公鑰向所有人發(fā)布，是公開(kāi)的。u 加密算法也可免費(fèi)看到。u 只有個(gè)體用戶知道自己的私鑰。u 加密算法和解密算法相反。2022-4-26公鑰加密技術(shù) 2022-4-26 RSA的一個(gè)非常重要的應(yīng)用就是實(shí)現(xiàn) 數(shù)字簽名（digital signature），數(shù)字簽名是指附加在數(shù)據(jù)單元上的

33、一些數(shù)據(jù)，或是對(duì)數(shù)據(jù)所作的密碼變換，這種數(shù)據(jù)變換能使數(shù)據(jù)接收者確認(rèn)數(shù)據(jù)的來(lái)源、完整性并保護(hù)數(shù)據(jù)。數(shù)字簽名可以作為某個(gè)文檔的出處證明，就像日常生活中應(yīng)用的手寫(xiě)簽名一樣。和公鑰加密法一樣，這一概念是在Diffie and Hellman 1976中首次采用的，但是和公鑰系統(tǒng)一樣，絕大多數(shù)數(shù)字簽名系統(tǒng)也是建立在RSA算法River et al.1978或者是特別為簽名而開(kāi)發(fā)的其他算法的基礎(chǔ)上的。2022-4-26常用的數(shù)據(jù)庫(kù)加密方法常用的數(shù)據(jù)庫(kù)加密方法 傳統(tǒng)的加密以報(bào)文為單位，加密解密都是從頭至尾順序進(jìn)行。數(shù)據(jù)庫(kù)數(shù)據(jù)的使用方法決定了它不可能以整個(gè)數(shù)據(jù)庫(kù)文件為單位進(jìn)行加密。當(dāng)符合檢索條件的記錄被檢索出

34、來(lái)后，就必須對(duì)該記錄迅速解密。然而該記錄是數(shù)據(jù)庫(kù)文件中隨機(jī)的一段，無(wú)法從中間開(kāi)始解密，除非從頭到尾進(jìn)行一次解密，然后再去查找相應(yīng)的這個(gè)記錄，顯然這是不合適的。必須解決隨機(jī)地從數(shù)據(jù)庫(kù)文件中某一段數(shù)據(jù)開(kāi)始解密的問(wèn)題。 2022-4-26 數(shù)據(jù)庫(kù)加密通過(guò)對(duì)明文進(jìn)行復(fù)雜的加密操作，以達(dá)到無(wú)法發(fā)現(xiàn)明文和密文之間、密文和密鑰之間的內(nèi)在關(guān)系，也就是說(shuō)經(jīng)過(guò)加密的數(shù)據(jù)庫(kù)經(jīng)得起來(lái)自操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)（DBMS）的攻擊。另一方面，數(shù)據(jù)庫(kù)管理系統(tǒng)（DBMS）要完成對(duì)數(shù)據(jù)庫(kù)文件的管理和使用，必須具有能夠識(shí)別部分?jǐn)?shù)據(jù)的條件，而對(duì)數(shù)據(jù)庫(kù)中的部分?jǐn)?shù)據(jù)進(jìn)行加密處理后，會(huì)影響到數(shù)據(jù)庫(kù)管理系統(tǒng)（DBMS）對(duì)數(shù)據(jù)庫(kù)管理的原有功

35、能。 2022-4-26u 基于文件的加密 把數(shù)據(jù)庫(kù)文件作為整體，用加密算法對(duì)整個(gè)數(shù)據(jù)庫(kù)文件加密來(lái)保證信息的真實(shí)性和完整性。數(shù)據(jù)的共享是通過(guò)用戶用解密密鑰對(duì)整個(gè)數(shù)據(jù)庫(kù)文件進(jìn)行解密來(lái)實(shí)現(xiàn)的。 這一方法的實(shí)際應(yīng)用受到多方面的限制： （1）數(shù)據(jù)修改的工作將變得十分困難，需要進(jìn)行解密、修改、復(fù)制和加密四個(gè)操作，極大地增加了系統(tǒng)的時(shí)空開(kāi)銷； （2）即使用戶只是需要查看某一條記錄，也必須將整個(gè)數(shù)據(jù)庫(kù)文件解密，這樣無(wú)法實(shí)現(xiàn)對(duì)文件中不需要讓用戶知道的信息的控制。2022-4-26u 字段加密 字段是最小的加密單位。字段加密的原理是將重要的字段內(nèi)容進(jìn)行加密，當(dāng)使用查詢語(yǔ)句獲取結(jié)果集后，再將這些重要的字段內(nèi)容進(jìn)行

36、解密。每個(gè)字段可以使用不同的密鑰，也可以使用共同的密鑰。字段加密具有較高的安全性，但是由于對(duì)一個(gè)記錄進(jìn)行存取時(shí)需要多次的加/解密處理，這可能對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)速度有所影響。同時(shí)，它對(duì)數(shù)據(jù)庫(kù)管理系統(tǒng)（DBMS）的功能影響也很大。所以，在實(shí)際應(yīng)用中，一般不會(huì)對(duì)所有記錄都進(jìn)行加密處理，而是對(duì)部分安全性要求高的字段進(jìn)行加密處理。2022-4-26通常情況下，以下幾種字段不宜加密：通常情況下，以下幾種字段不宜加密： （1）索引字段不能加密； （2）關(guān)系運(yùn)算的比較字段不能加密； （3）表間的連接碼字段不能加密。2022-4-26u記錄加密 字段加密具有最高的安全性，但是字段加密頻繁地加/解密過(guò)程會(huì)嚴(yán)重影響應(yīng)用

37、程序訪問(wèn)數(shù)據(jù)庫(kù)數(shù)據(jù)的效率。記錄加密的過(guò)程是將表中的行的所有字段或部分字段組成一個(gè)整體，進(jìn)行統(tǒng)一加密，當(dāng)應(yīng)用程序訪問(wèn)數(shù)據(jù)庫(kù)中的表記錄時(shí)，再將行的所有字段或部分字段進(jìn)行統(tǒng)一解密。記錄加密時(shí)可以使用單個(gè)密鑰或多個(gè)密鑰。2022-4-26u 子密鑰加密技術(shù) G. I. David等人提出子密鑰加密算法，其核心思想是根據(jù)關(guān)系型數(shù)據(jù)庫(kù)中數(shù)據(jù)組織的特點(diǎn)，在加密時(shí)以記錄為單位進(jìn)行加密操作，而在解密時(shí)以字段為單位對(duì)單項(xiàng)數(shù)據(jù)進(jìn)行解密操作。兩者所用的密鑰是不同的，加密所用的密鑰是針對(duì)整個(gè)記錄的密鑰，而解密所用的密鑰是針對(duì)單個(gè)數(shù)據(jù)項(xiàng)的子密鑰。該算法的理論依據(jù)是著名的中國(guó)剩余定理。 2022-4-26u 秘密同態(tài)技術(shù)

38、上述數(shù)據(jù)庫(kù)加密方法可以應(yīng)用于不同的環(huán)境，但存在一個(gè)共同的問(wèn)題：對(duì)于所形成的密文數(shù)據(jù)庫(kù)無(wú)法進(jìn)行操作，而且在實(shí)際應(yīng)用中，對(duì)于某些重要或敏感數(shù)據(jù)，無(wú)法滿足用戶對(duì)其進(jìn)行操作但又不讓用戶了解其中信息的需要。如果能對(duì)密文數(shù)據(jù)庫(kù)進(jìn)行數(shù)學(xué)運(yùn)算和常規(guī)的數(shù)據(jù)庫(kù)操作，顯然能夠解決上面存在的問(wèn)題，并可以大大削減加、解密所需要的時(shí)空開(kāi)銷，大大提高數(shù)據(jù)庫(kù)的運(yùn)行效率。秘密同態(tài) (Private homomorphism) 技術(shù)就是一個(gè)能解決上述問(wèn)題的有效方法。但目前該技術(shù)還沒(méi)有解決在數(shù)據(jù)庫(kù)上進(jìn)行比較操作的問(wèn)題。 2022-4-26數(shù)據(jù)庫(kù)加密對(duì)數(shù)據(jù)庫(kù)加密對(duì)DBMS的影響的影響 數(shù)據(jù)庫(kù)數(shù)據(jù)加密以后，DBMS的一些功能將無(wú)法使用

39、，數(shù)據(jù)庫(kù)加密后對(duì)DBMS原有功能的主要影響有下面幾個(gè)方面：u 無(wú)法實(shí)現(xiàn)對(duì)數(shù)據(jù)制約因素的定義；u 密文數(shù)據(jù)的排序、分組和分類；u SQL語(yǔ)言中的內(nèi)部函數(shù)不能作用于加/解密數(shù)據(jù)；u DBMS的一些應(yīng)用開(kāi)發(fā)工具的使用受到限制。 2022-4-26在對(duì)數(shù)據(jù)庫(kù)進(jìn)行加密時(shí)，應(yīng)注意以下幾點(diǎn)：u 選擇合適的加密算法 u 選擇合適的加密方法 u 測(cè)試加密后訪問(wèn)數(shù)據(jù)庫(kù)的效率 2022-4-26第4章 數(shù)據(jù)庫(kù)安全性u(píng) 4.1 數(shù)據(jù)庫(kù)安全性概述 u 4.2 訪問(wèn)控制 u 4.3 數(shù)據(jù)庫(kù)加密技術(shù) u 4.4 SQL Server的安全機(jī)制 u 4.5 Oracle的安全機(jī)制 u 小結(jié)2022-4-26SQL Serve

40、r采用采用4個(gè)等級(jí)的安全驗(yàn)證個(gè)等級(jí)的安全驗(yàn)證：u 操作系統(tǒng)安全驗(yàn)證；u SQL Server安全驗(yàn)證；u SQL Server數(shù)據(jù)庫(kù)安全驗(yàn)證；u SQL Server數(shù)據(jù)庫(kù)對(duì)象安全驗(yàn)證。2022-4-26 SQL Server提供了兩種不同的方法來(lái)驗(yàn)證用戶進(jìn)入服務(wù)器。用戶可以根據(jù)自己的網(wǎng)絡(luò)配置決定使用其中一種。u Windows驗(yàn)證u SQL Server驗(yàn)證 安全模式安全模式2022-4-26 SQL Server數(shù)據(jù)庫(kù)系統(tǒng)通常運(yùn)行在NT服務(wù)器平臺(tái)或基于NT構(gòu)架的Windows 2000上，而NT作為網(wǎng)絡(luò)操作系統(tǒng)，本身就具備管理登錄驗(yàn)證用戶合法性的能力，所以Windows驗(yàn)證模式正是利用這一

41、用戶安全性和帳號(hào)管理的機(jī)制，允許SQL Server也可以使用NT的用戶名和口令。在該模式下，用戶只要通過(guò)Windows的驗(yàn)證就可連接到SQL Server，而SQL Server本身也沒(méi)有必要管理一套登錄數(shù)據(jù)。 因此，對(duì)SQL Server來(lái)說(shuō)，Windows驗(yàn)證是首選的方法。2022-4-26 當(dāng)在Windows 95/98計(jì)算機(jī)上運(yùn)行SQL Server時(shí)，SQL Server混合驗(yàn)證是惟一可用的方法。在混合驗(yàn)證設(shè)置中，如果一個(gè)客戶機(jī)連接到服務(wù)器但沒(méi)有傳來(lái)登錄名和口令，SQL Server 就會(huì)自動(dòng)認(rèn)定用戶想要使用Windows驗(yàn)證，并使用Windows驗(yàn)證方法來(lái)驗(yàn)證用戶。如果用戶確實(shí)傳

42、來(lái)了登錄名和口令，SQL Server就認(rèn)為是經(jīng)由SQL Server驗(yàn)證連接的。在SQL Server驗(yàn)證過(guò)程中，用戶傳給服務(wù)器的登錄信息與系統(tǒng)表syslogins中的信息進(jìn)行比較。如果兩個(gè)口令匹配，SQL Server允許用戶訪問(wèn)服務(wù)器。如果不匹配，SQL Server不允許訪問(wèn)，并且用戶會(huì)從服務(wù)器上收到一個(gè)出錯(cuò)信息。 2022-4-26服務(wù)器登錄標(biāo)識(shí)管理服務(wù)器登錄標(biāo)識(shí)管理 sa和Administrators是系統(tǒng)在安裝時(shí)創(chuàng)建的分別用于SQL Server混合驗(yàn)證模式和Windows驗(yàn)證模式的系統(tǒng)登錄名。如果用戶想創(chuàng)建新的登錄名或刪除已有的登錄名，可使用下列兩種方法：u 使用SQL Ser

43、ver企業(yè)管理器管理登錄名；u 使用SQL Server系統(tǒng)存儲(chǔ)過(guò)程管理登錄名。 2022-4-26 數(shù)據(jù)庫(kù)用戶管理數(shù)據(jù)庫(kù)用戶管理 在SQL Server中，登錄對(duì)象和用戶對(duì)象是SQL Server進(jìn)行權(quán)限管理的兩種不同的對(duì)象。一個(gè)登錄對(duì)象是服務(wù)器方的一個(gè)實(shí)體，使用一個(gè)登錄名可以與服務(wù)器上的所有數(shù)據(jù)庫(kù)進(jìn)行交互。用戶對(duì)象是一個(gè)或多個(gè)登錄對(duì)象在數(shù)據(jù)庫(kù)中的映射，可以對(duì)用戶對(duì)象進(jìn)行授權(quán)，以便為登錄對(duì)象提供對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限，一個(gè)登錄名可以被授權(quán)訪問(wèn)多個(gè)數(shù)據(jù)庫(kù)，一個(gè)登錄名在每個(gè)數(shù)據(jù)庫(kù)中只能映射一次。 SQL Server可使用下列兩種方法來(lái)管理數(shù)據(jù)庫(kù)用戶：u 使用SQL Server企業(yè)管理器管理數(shù)據(jù)庫(kù)

44、用戶；u 使用SQL Server系統(tǒng)存儲(chǔ)過(guò)程sp_grantdbaccess管理數(shù)據(jù)庫(kù)用戶。 2022-4-26權(quán)限管理權(quán)限管理 在SQL Server中有三種類型的權(quán)限：語(yǔ)句權(quán)限、對(duì)象權(quán)限和隱含權(quán)限。 其中語(yǔ)句權(quán)限和對(duì)象權(quán)限可以委派給其它用戶，隱含權(quán)限只允許屬于特定角色的人使用。 在SQL Server中主要有兩種類型的角色：服務(wù)器角色與數(shù)據(jù)庫(kù)角色。 2022-4-26 語(yǔ)句權(quán)限通常只給那些需要在數(shù)據(jù)庫(kù)中創(chuàng)建或修改對(duì)象、執(zhí)行數(shù)據(jù)庫(kù)或事務(wù)日志備份的用戶。這類權(quán)限是SQL Server中功能最強(qiáng)大的一些權(quán)限，這些權(quán)限只限分配在單個(gè)數(shù)據(jù)庫(kù)，跨數(shù)據(jù)庫(kù)的權(quán)限是不可能的。當(dāng)分配語(yǔ)句權(quán)限給用戶時(shí)，就給了

45、他們創(chuàng)建對(duì)象的能力，通常使用對(duì)應(yīng)的SQL Server命令來(lái)引用。 對(duì)象權(quán)限分配給數(shù)據(jù)庫(kù)層次上的對(duì)象，并允許用戶訪問(wèn)和操作數(shù)據(jù)庫(kù)中已存在的對(duì)象。沒(méi)有這些權(quán)限，用戶將不能訪問(wèn)數(shù)據(jù)庫(kù)里的任何對(duì)象。這些權(quán)限實(shí)際上給了用戶運(yùn)行特定SQL語(yǔ)句的能力。 2022-4-26第4章 數(shù)據(jù)庫(kù)安全性u(píng) 4.1 數(shù)據(jù)庫(kù)安全性概述 u 4.2 訪問(wèn)控制 u 4.3 數(shù)據(jù)庫(kù)加密技術(shù) u 4.4 SQL Server的安全機(jī)制 u 4.5 Oracle的安全機(jī)制 u 小結(jié)2022-4-26Oracle數(shù)據(jù)庫(kù)中的安全機(jī)制包括：u 數(shù)據(jù)庫(kù)用戶和模式u 權(quán)限控制u 角色u 存儲(chǔ)設(shè)置和空間份額u 存儲(chǔ)資源限制u 數(shù)據(jù)庫(kù)系統(tǒng)跟蹤u

46、 數(shù)據(jù)庫(kù)審計(jì)2022-4-26數(shù)據(jù)庫(kù)用戶數(shù)據(jù)庫(kù)用戶 Oracle提供操作系統(tǒng)驗(yàn)證和Oracle數(shù)據(jù)庫(kù)驗(yàn)證兩種驗(yàn)證方式。操作系統(tǒng)驗(yàn)證有兩大優(yōu)點(diǎn)，一是用戶可方便地連接到Oracle，不需要指定用戶名和口令；二是對(duì)用戶授權(quán)的控制集中在操作系統(tǒng)，Oracle不需要存儲(chǔ)和管理用戶口令。Oracle數(shù)據(jù)庫(kù)驗(yàn)證方式僅當(dāng)操作系統(tǒng)驗(yàn)證不能用于數(shù)據(jù)庫(kù)用戶鑒別時(shí)才使用。使用Oracle數(shù)據(jù)庫(kù)驗(yàn)證方式要為每個(gè)數(shù)據(jù)庫(kù)用戶建立一個(gè)口令，系統(tǒng)以加密的形式將口令存儲(chǔ)在數(shù)據(jù)字典中，用戶隨時(shí)可修改口令。在用戶與數(shù)據(jù)庫(kù)連接時(shí)必須經(jīng)過(guò)驗(yàn)證，以防止對(duì)數(shù)據(jù)庫(kù)的非授權(quán)使用。2022-4-26 權(quán)限管理權(quán)限管理 在Oracle中將權(quán)限分為兩

47、類：系統(tǒng)權(quán)限和對(duì)象權(quán)限。 系統(tǒng)權(quán)限是指在系統(tǒng)級(jí)控制數(shù)據(jù)庫(kù)的存取和使用的機(jī)制，系統(tǒng)權(quán)限決定了用戶是否可以連接到數(shù)據(jù)庫(kù)以及在數(shù)據(jù)庫(kù)中可以進(jìn)行哪些操作。系統(tǒng)權(quán)限是對(duì)用戶或角色設(shè)置的，在Oracle中提供了100多種不同的系統(tǒng)權(quán)限。2022-4-26 對(duì)象權(quán)限是指在對(duì)象級(jí)控制數(shù)據(jù)庫(kù)的存取和使用的機(jī)制，用于設(shè)置一個(gè)用戶對(duì)其他用戶的表、視圖、序列、過(guò)程、函數(shù)、包的操作權(quán)限。對(duì)于不同類型的對(duì)象，有不同類型的對(duì)象權(quán)限。對(duì)于有些模式對(duì)象，如聚集、索引、觸發(fā)器、數(shù)據(jù)庫(kù)鏈接等沒(méi)有相關(guān)的對(duì)象權(quán)限，這些權(quán)限由系統(tǒng)進(jìn)行控制。2022-4-26 角色（role）是一個(gè)數(shù)據(jù)庫(kù)實(shí)體，該實(shí)體是一個(gè)已命名的權(quán)限集合。使用角色可以將

48、這個(gè)集合中的權(quán)限同時(shí)授予或撤消。 Oracle中的角色可以分為預(yù)定義角色和自定義角色兩類。當(dāng)運(yùn)行作為數(shù)據(jù)庫(kù)創(chuàng)建的一部分腳本時(shí)，會(huì)自動(dòng)為數(shù)據(jù)庫(kù)預(yù)定義一些角色，這些角色主要用來(lái)限制數(shù)據(jù)庫(kù)管理系統(tǒng)權(quán)限。此外，用戶也可以根據(jù)自己的需求，將一些權(quán)限集中到一起，建立用戶自定義的角色。角色角色2022-4-26審計(jì)審計(jì) Oracle數(shù)據(jù)庫(kù)系統(tǒng)的審計(jì)就是對(duì)選定的用戶在數(shù)據(jù)庫(kù)中的操作情況進(jìn)行監(jiān)控和記錄，結(jié)果被存儲(chǔ)在SYS用戶的數(shù)據(jù)庫(kù)字典中，數(shù)據(jù)庫(kù)管理員可以查詢?cè)撟值?，從而獲取審計(jì)結(jié)果。Oracle支持三種審計(jì)級(jí)別：u 語(yǔ)句審計(jì)，對(duì)某種類型的SQL語(yǔ)句審計(jì)，不指定結(jié)構(gòu)或?qū)ο?；u 特權(quán)審計(jì)，是對(duì)系統(tǒng)權(quán)限的使用情況進(jìn)

49、行審計(jì)；u 對(duì)象審計(jì)，對(duì)特殊模式對(duì)象上的指定語(yǔ)句進(jìn)行審計(jì)。2022-4-26 Oracle中的AUDIT語(yǔ)句用來(lái)設(shè)置審計(jì)功能，NOAUDIT語(yǔ)句取消審計(jì)功能。例4.1 對(duì)修改教師信息teacher表結(jié)構(gòu)或修改teacher表數(shù)據(jù)的操作進(jìn)行審計(jì)。 AUDIT ALTER,UPDATE ON teacher；例4.2 取消對(duì)teacher表的一切審計(jì)。 NOAUDIT ALTER,UPDATE ON teacher；2022-4-26 審計(jì)設(shè)置以及審計(jì)內(nèi)容一般都放在數(shù)據(jù)字典中。在默認(rèn)情況下，系統(tǒng)為了節(jié)省資源、減少I(mǎi)/O操作，數(shù)據(jù)庫(kù)的審計(jì)功能是關(guān)閉的。為了啟動(dòng)審計(jì)功能，必須把審計(jì)開(kāi)關(guān)打開(kāi)（即把系統(tǒng)參

50、數(shù)audit_trail設(shè)為true），才可以在系統(tǒng)表（SYS_AUDITTRAIL）中查看審計(jì)信息。 2022-4-26 數(shù)據(jù)庫(kù)密碼系統(tǒng)要求將明文數(shù)據(jù)加密成密文數(shù)據(jù)，數(shù)據(jù)庫(kù)中存儲(chǔ)密文數(shù)據(jù)，查詢時(shí)將密文數(shù)據(jù)取出解密得到明文信息。Oracle 9i提供了特殊DBMS-OBFUSCATION-TOOL KIT包，在Oracle l0g中又增加了DBMS-CRYPTO包用于數(shù)據(jù)加密解密，支持DES、AES等多種加密解密算法。 數(shù)據(jù)加密數(shù)據(jù)加密2022-4-26第4章 數(shù)據(jù)庫(kù)安全性u(píng) 4.1 數(shù)據(jù)庫(kù)安全性概述 u 4.2 訪問(wèn)控制 u 4.3 數(shù)據(jù)庫(kù)加密技術(shù) u 4.4 SQL Server的安全機(jī)制 u 4.5 Oracle的安全機(jī)制 u 小結(jié)2022-4-26 隨著計(jì)算機(jī)特別是計(jì)算機(jī)網(wǎng)