數(shù)據(jù)庫系統(tǒng)安全的培訓教材

1、10.1數(shù)據(jù)庫平安概述 注釋物理上的數(shù)據(jù)庫完整性預防數(shù)據(jù)庫物理方面的問題，如掉電，以及被災禍破壞后能重構數(shù)據(jù)庫邏輯上的數(shù)據(jù)庫完整性保持數(shù)據(jù)的結(jié)構，比如：一個字段的值的修改不至于影響其他字段元素的完整性每個元素中的數(shù)據(jù)都是準確的可審計性追蹤到誰訪問修改過數(shù)據(jù)的元素訪問控制只允許用戶訪問被批準的數(shù)據(jù)，以及限制不同的用戶有不同的訪問模式，如讀或?qū)懹脩粽J證確保每個用戶被正確地識別，既便于審計追蹤，也為了限制對特定的數(shù)據(jù)進行訪問可獲（用）性用戶一般可以訪問數(shù)據(jù)庫以及所有被批準訪問的數(shù)據(jù)第10章 數(shù)據(jù)庫系統(tǒng)平安Network and Information Security(1) 存取控制技術(2) 隔離

2、控制技術(3) 加密技術(4) 信息流向控制技術(5) 推理控制技術(6) 數(shù)據(jù)備份技術 第10章 數(shù)據(jù)庫系統(tǒng)平安Network and Information Security10.1.1 數(shù)據(jù)庫平安技術一般情況下，我們可以確定整個數(shù)據(jù)庫是敏感的(要求保密)或不敏感的(不要求保密)。細一點，可以確定庫中的某個基表(對于關系型數(shù)據(jù)庫)是敏感的或不敏感的。但有時情況卻復雜得多。第10章 數(shù)據(jù)庫系統(tǒng)平安Network and Information Security10.1.2 多級數(shù)據(jù)庫姓名、部門和 這三列是不需保密的，任何人都可以查詢。但是工資和績效考核卻是必須保密的(現(xiàn)在很多企業(yè)都搞所謂的“

3、密薪制)，這說明基表中只有局部字段是敏感的。姓名部門工資電話績效考核張三培訓李四技術部25002171420良王五辦公室16002582322中趙六客戶服務部20002582254良第10章 數(shù)據(jù)庫系統(tǒng)平安Network and Information Security也許李四是一個特殊人物，他的所有情況都要保密，甚至他的存在都是一個秘密。趙六的 也許很重要，不想被別人知道。這些數(shù)據(jù)的平安要求與工資與績效考核兩個字段的平安要求是不一樣的。 姓名部門工資電話績效考核張三培訓李四技術部25002171420良王五辦公室16002582322中趙六

4、客戶服務部20002582254良第10章 數(shù)據(jù)庫系統(tǒng)平安Network and Information Security1.一個元素的敏感度可能不同于同一記錄的其他元素或同一屬性的其他值。這要求應該對每個元素單獨實行平安保護。2.敏感和不敏感兩種級別缺乏以描繪某些平安要求，需要多個平安級別。3.集合平安不同于單個元素的平安，如數(shù)據(jù)庫中的和、平均值。集合平安可能高于也可能低于單個元素的平安。第10章 數(shù)據(jù)庫系統(tǒng)平安Network and Information Security數(shù)據(jù)庫平安特點雖然DBMS在操作系統(tǒng)的根底上增加了不少平安措施，例如基于權限的訪問控制等，但操作系統(tǒng)和DBMS對數(shù)據(jù)庫

5、文件本身仍然缺乏有效的保護措施，有經(jīng)驗的黑客會“繞道而行，直接利用操作系統(tǒng)工具竊取或篡改數(shù)據(jù)庫文件內(nèi)容。被稱為通向DBMS的“隱秘通道，它所帶來的危害一般數(shù)據(jù)庫用戶難以覺察。分析和堵塞“隱秘通道被認為是B2級的平安技術措施。對數(shù)據(jù)庫中的敏感數(shù)據(jù)進行加密處理，是堵塞這一“隱秘通道的有效手段。10.2 數(shù)據(jù)庫加密 第10章 數(shù)據(jù)庫系統(tǒng)平安Network and Information Security80的計算機犯罪來自系統(tǒng)內(nèi)部。在傳統(tǒng)的數(shù)據(jù)庫系統(tǒng)中，數(shù)據(jù)庫管理員的權力至高無上，他既負責各項系統(tǒng)管理工作，例如資源分配、用戶授權、系統(tǒng)審計等，又可以查詢數(shù)據(jù)庫中的一切信息。為此，可采用技術手段來削弱系

6、統(tǒng)管理員的權力，如采用多權分立的策略，除了系統(tǒng)管理員以外，增加平安員和審計員，使系統(tǒng)管理員、平安員和審計員之間相互牽制、制約。實現(xiàn)數(shù)據(jù)庫加密以后，各用戶或用戶組的數(shù)據(jù)由用戶用自己的密鑰加密，數(shù)據(jù)庫管理員沒有密鑰無法進行正常解密，從而保證了用戶信息的平安。另外，通過加密，數(shù)據(jù)庫的局部內(nèi)容成為密文，從而能減少因介質(zhì)失竊或喪失而造成的損失。數(shù)據(jù)庫加密對于企業(yè)內(nèi)部平安管理，也是不可或缺的。一般來說，一個良好的數(shù)據(jù)庫加密系統(tǒng)應該滿足以下根本要求：1.支持各種粒度加密2.良好的密鑰管理機制3.合理處理數(shù)據(jù)4.不影響合法用戶的操作第10章 數(shù)據(jù)庫系統(tǒng)平安Network and Information Sec

7、urity10.2.1 數(shù)據(jù)庫加密的根本要求1.操作系統(tǒng)層加密2.DBMS內(nèi)核層實現(xiàn)加密 3.DBMS外層實現(xiàn)加密 第10章 數(shù)據(jù)庫系統(tǒng)平安Network and Information Security10.2.2 數(shù)據(jù)庫加密的方式數(shù)據(jù)庫加密系統(tǒng)分成兩個功能獨立的主要部件：一個是加密字典及其管理程序，另一個是數(shù)據(jù)庫加/解密引擎 第9章 數(shù)據(jù)庫系統(tǒng)平安通過調(diào)用數(shù)據(jù)加/解密引擎實現(xiàn)對數(shù)據(jù)庫數(shù)據(jù)的加密、解密及數(shù)據(jù)轉(zhuǎn)換等功能。用戶對數(shù)據(jù)庫信息具體的加密要求以及參數(shù)信息保存在加密字典中優(yōu)點首先，系統(tǒng)對數(shù)據(jù)庫的最終用戶是完全透明的，系統(tǒng)(?)可以根據(jù)需要進行明文和密文的轉(zhuǎn)換工作；其次，加密系統(tǒng)完全獨立于

8、數(shù)據(jù)庫應用系統(tǒng)，無須改動數(shù)據(jù)庫應用系統(tǒng)就能實現(xiàn)數(shù)據(jù)加密功能；第三，加/解密處理在客戶端進行，不會影響數(shù)據(jù)庫效勞器的效率。數(shù)據(jù)庫加/解密引擎是數(shù)據(jù)庫加密系統(tǒng)的核心部件，它位于客戶程序與數(shù)據(jù)庫效勞器之間，負責在后臺完成數(shù)據(jù)庫信息的加/解密處理，對操作人員來說是透明的。數(shù)據(jù)加/解密引擎沒有操作界面，在需要時由操作系統(tǒng)自動加載并駐留在內(nèi)存中。數(shù)據(jù)庫加密如果采用序列密碼，那么同步將成為一個大問題。需要對大片密文中的極小局部解密時，如何同步密文與密鑰呢？非對稱加密?所以數(shù)據(jù)庫加密一般采用分組密碼。對于分組密碼中常用的ECB和CBC兩種模式，又該如何確定呢？考慮到數(shù)據(jù)庫中會有大量相同的數(shù)據(jù)，比方性別、職務、

9、年齡等信息，我們應該采用CBC模式。對于在DBMS上實現(xiàn)的加密，加密粒度可以細分為基表、記錄、字段或數(shù)據(jù)元素。第10章 數(shù)據(jù)庫系統(tǒng)平安Network and Information Security10.2.3 數(shù)據(jù)庫加密的方法及加密粒度10.2.4 數(shù)據(jù)庫加密系統(tǒng)的密鑰管理 第10章 數(shù)據(jù)庫系統(tǒng)平安Network and Information Security當一用戶訪問數(shù)據(jù)庫時，密鑰管理中心利用某種技術對用戶進行身份認證。如果是合法用戶，那么允許訪問.密鑰管理中心根據(jù)用戶的權限取出相應的數(shù)據(jù)密鑰，根據(jù)用戶的請求對有關數(shù)據(jù)進行加解密處理。其中密鑰的產(chǎn)生應滿足以下條件：1.在產(chǎn)生大量密鑰的過

10、程中，產(chǎn)生重復密鑰的概率要盡可能的低。2.從一個數(shù)據(jù)項的密鑰推導出另一個數(shù)據(jù)項的密鑰在計算上是不可行的，這樣，即使局部密鑰泄露，其他密鑰也是平安的。3.即使知道一些明文值的統(tǒng)計分布，要從密文中獲取未知明文，在計算上是不可行的。10.3.1 統(tǒng)計數(shù)據(jù)庫的平安問題 具體地說，統(tǒng)計數(shù)據(jù)庫是這樣一種數(shù)據(jù)庫；從庫中取得的信息是關于一實體集子集的匯總信息。統(tǒng)計數(shù)據(jù)庫只為提供統(tǒng)計數(shù)據(jù)所用，如人口普查數(shù)據(jù)庫就是這樣。在統(tǒng)計數(shù)據(jù)庫中，除了禁止非法存取等一般平安問題外，還存在特殊的平安問題。保護統(tǒng)計數(shù)據(jù)庫的目的是，由該數(shù)據(jù)庫發(fā)布統(tǒng)計信息時，保證不會使其中受保護的具體信息泄露。 10.3 統(tǒng)計數(shù)據(jù)庫的平安 第10章

11、 數(shù)據(jù)庫系統(tǒng)平安Network and Information Security一般的統(tǒng)計數(shù)據(jù)庫有下面幾種統(tǒng)計信息類型：1.計數(shù)：count(c)，求滿足特征表達式c的記錄個數(shù)。2.求和：sum(c,a)，求滿足特征表達式c的記錄中字段a的和。3.求平均值：average(c,a)，求滿足特征表達式c的記錄中字段a的平均值。4.求最大值：max(c,a)，求滿足特征表達式c的記錄中字段a的最大值。5.求最小值：min(c,a)，求滿足特征表達式c的記錄中字段a的最小值。第10章 數(shù)據(jù)庫系統(tǒng)平安Network and Information Security編號章節(jié)題型難度分值111選擇A221

12、1填空B2321判斷C2421簡答A5531應用B10631選擇C2741填空A2841簡答B(yǎng)5題庫分析人如果想知道第三章各題的分值，他直接查詢將會被拒絕。但他可以先查詢count(章=3)，得到結(jié)果為2；他再查詢sum(章=3，分值)，得到結(jié)果12；他再查詢max(章=3，分值)，得到結(jié)果10?，F(xiàn)在他道第三章有兩道題，一道10分，一道2分。用戶通過一些統(tǒng)計數(shù)據(jù)庫允許的合法查詢，可以得到本來對他保密的信息。統(tǒng)計數(shù)據(jù)庫遠不是平安保密的，而且，前面介紹的一般數(shù)據(jù)庫的訪問控制并不能解決統(tǒng)計數(shù)據(jù)庫的泄密問題.因為它主要是限制用戶的存取權力，用戶只能對數(shù)據(jù)庫中的一局部數(shù)據(jù)進行訪問。在統(tǒng)計數(shù)據(jù)庫中，保密的

13、目標應該是防止用戶通過一系列“合法的統(tǒng)計查詢，使“不合法的要求得到滿足，也就是防止用戶從一系列查詢中推理出某些秘密信息，這時我們要實行的控制稱為“推理控制。 第10章 數(shù)據(jù)庫系統(tǒng)平安Network and Information Security10.3.2 平安性與精確度 第10章 數(shù)據(jù)庫系統(tǒng)平安Network and Information Security設S為全部統(tǒng)計信息，P為非機密統(tǒng)計信息子集，R為發(fā)布的子集，D是由R(也包括R在內(nèi)的統(tǒng)計信息)泄露的統(tǒng)計信息子集 發(fā)布R子集的目的是，全部非機密統(tǒng)計信息在R內(nèi)或可由R求得，當DP時(精確度) ，發(fā)布的統(tǒng)計信息包含了全部非機密統(tǒng)計信息，因

14、而可認為發(fā)布的統(tǒng)計信息保證了精確度。精確度保證了最大限度地使用統(tǒng)計信息，而平安性那么保證了秘密統(tǒng)計信息的秘密。如果滿足條件DP(平安性) ，那么不會因R而使秘密統(tǒng)計信息泄露?？梢钥闯觯桨残耘c精確度的要求正好是相反的，二者都滿足的條件是DP。要做到既保證平安性，又保證精確度，即DP，是非常困難的1.小查詢集和大查詢集攻擊 2.跟蹤器攻擊 3.插入和刪除攻擊 4.對線性系統(tǒng)的攻擊 第10章 數(shù)據(jù)庫系統(tǒng)平安Network and Information Security10.3.3 對統(tǒng)計數(shù)據(jù)庫的攻擊方式1.小查詢集和大查詢集攻擊現(xiàn)假設用戶的外部知識使其知道數(shù)據(jù)庫內(nèi)第i個記錄滿足特征表達式c，如果

15、用戶以統(tǒng)計信息count(c)查詢數(shù)據(jù)庫，并得到答復count(c)=1，那么該用戶能夠確定該查詢集只含一個記錄，即第i個記錄。此時，用戶利用統(tǒng)計信息sum(c，a)的查詢，可求得第i個記錄的字段a的值；也可以以統(tǒng)計信息count(c and d)查詢數(shù)據(jù)庫內(nèi)第i個記錄是否滿足特征表達式d，假設值為0那么說明不滿足，值為1那么說明滿足。甚至在查詢集記錄個數(shù)不唯一的情況下，這類攻擊有時仍然是可行的。假設第i個記錄滿足c，且count(c)1，如果count(c and d)=count(c)，那么第i個記錄當然也滿足d。如果count(c and d)count(c)，那么不能確定第i個記錄是否

16、滿足d。2.跟蹤器攻擊利用所謂“跟蹤器的手段，也可使統(tǒng)計數(shù)據(jù)庫泄密。跟蹤器有多種 。假設用戶第i個記錄唯一滿足特征表達式c，如果想通過統(tǒng)計查詢sum(c，a)求得第i個記錄的字段a的值，在系統(tǒng)實施了查詢集控制后，由于查詢集過小將遭拒絕，故用戶不能直接得到結(jié)果。但是，如果特征表達式c可由多個表達式組合而成，即將c分成c1、c2，使得c=c1-c2，同時，count(c1)和count(c2)都大小適中，不受限 。 此時，由于count(c1)和count(c2)均不受查詢集限制，所以用戶可用count(c)=count(c1)-count(c2)來驗證count(c)=1，然后可利用sum(c,

17、a)=sum(c1，a)-sum(c2，a)來求得第i個記錄的字段a的值。3.插入和刪除攻擊 插入和刪除攻擊是攻擊者通過插入自己所知的假記錄來觀察統(tǒng)計信息的變化情況，從而分析出秘密信息。例如，如果查詢集過小，用戶可以將一些滿足條件的假記錄插入統(tǒng)計數(shù)據(jù)庫，使得查詢集變大，從而使查詢得以進行。只需從查詢集中除去那些假記錄的信息，即可得到真實信息。顯然，如果要求只對統(tǒng)計信息有查詢權的用戶不能插入或刪除記錄，或雖然能夠插入刪除，但對數(shù)據(jù)庫出現(xiàn)的變化加以控制，那么插入刪除攻擊并不會構成嚴重威脅。4.對線性系統(tǒng)的攻擊可以對統(tǒng)計數(shù)據(jù)庫進行屢次相關的查詢，把查詢條件、查詢結(jié)果和秘密信息構成一個線性方程組，通過

18、解線性方程組的方法來求得秘密信息。第一類：對統(tǒng)計數(shù)據(jù)庫的查詢加以限制。 1.限制查詢集的大小 2.單元隱蔽能夠幫助用戶推導出秘密信息的有關統(tǒng)計信息單元應該隱去 3.最大階控制 如果一個統(tǒng)計查詢恰好涉及到m個互不相同的屬性，那么這樣的統(tǒng)計稱為m階統(tǒng)計，所謂最大階控制就是要限制m的值。4.數(shù)據(jù)庫分割 將數(shù)據(jù)庫分割成一個個記錄組，規(guī)定用戶只能以這些記錄組作為根本單元進行統(tǒng)計查詢，亦即同一記錄組中的數(shù)據(jù)，或者全部在查詢集中，或者全部不在其中。 第9章 數(shù)據(jù)庫系統(tǒng)平安Network and Information Security10.3.4 統(tǒng)計數(shù)據(jù)庫的平安措施第二類：數(shù)據(jù)攪亂方式對統(tǒng)計數(shù)據(jù)庫的幾種查

19、詢限制方式是以限制用戶的統(tǒng)計查詢要求為代價的，有時會影響正常用戶的使用。數(shù)據(jù)攪亂方式的原理與此那么完全不相同。所謂數(shù)據(jù)攪亂，就是系統(tǒng)在發(fā)布統(tǒng)計信息之前，使統(tǒng)計值發(fā)生變化。當然，攪亂的目的是使用戶無法從統(tǒng)計值中推斷出秘密信息，而不能破壞整個數(shù)據(jù)庫數(shù)據(jù)的統(tǒng)計規(guī)律。10.4.1 Web數(shù)據(jù)庫概述由于Web的易用性、實用性，它很快占據(jù)了Internet效勞的主導地位，已經(jīng)成為使用最為廣泛、最有前途、最有魅力的信息傳播技術。不過，Web效勞只是提供了Internet上信息交互的平臺。隨著Internet技術的興起與開展和Web技術的蓬勃開展，人們已不滿足于只在Web瀏覽器上獲取靜態(tài)的信息，人們需要通過它

20、發(fā)表意見、查詢數(shù)據(jù)，甚至進行網(wǎng)上購物,這就迫切需要實現(xiàn)動態(tài)的Web信息效勞。10.4 Web數(shù)據(jù)庫的平安 第10章 數(shù)據(jù)庫系統(tǒng)平安Network and Information Security當前比較流行的Web數(shù)據(jù)庫主要有：1.SQL Server2.MySQL3.Oracle這3種數(shù)據(jù)庫適應性強，性能優(yōu)異，容易使用，在國內(nèi)得到了廣泛的應用。第10章 數(shù)據(jù)庫系統(tǒng)平安Network and Information Security10.4.2 常用的幾種Web數(shù)據(jù)庫(1)突破客戶端腳本的限制 (2)對SQL語句的攻擊程序中的SQL查詢語句以ASP.net為例，username.Text與pa

21、sswd.Text是用戶名與口令兩個文本框的值可能是：sql=select * from user where username= + username.Text + and passwd= + passwd.Text + ;執(zhí)行的時候就是：select * from user where username=cheng and passwd=1234第10章 數(shù)據(jù)庫系統(tǒng)平安Network and Information Security9.4.3 Web數(shù)據(jù)庫平安簡介根據(jù)返回的數(shù)據(jù)集是否為空來判斷是否能夠登錄。如果攻擊者在passwd文本框里輸入的不是1234，而是1111 or 1=1，SQL語句就成為：select * from user where username=cheng and passwd=1111 or 1=1 由于1=1恒為真，即使口令不對也沒關系，這條語句肯定能返回數(shù)據(jù)集。實際上，用戶名對不對也沒有關系。這就是著名且古老的1=1攻擊。平安的方法是在程序中增加對單引號等特殊字符的過濾。第10章 數(shù)據(jù)庫系統(tǒng)平安Network and Information Security(3) 利用多SQL語句執(zhí)行漏洞 select * from book where bookname=linux入門如果我們輸入的不是linux入門而是linux入門;delete book