數(shù)據(jù)庫系統(tǒng)概論王珊薩師煊第四章數(shù)據(jù)庫安全性

1、數(shù)據(jù)庫系統(tǒng)概論An Introduction to Database System第四章 數(shù)據(jù)庫安全性整理ppt 數(shù)據(jù)庫安全性 問題的提出數(shù)據(jù)庫的一大特點是數(shù)據(jù)可以共享數(shù)據(jù)共享必然帶來數(shù)據(jù)庫的安全性問題數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)共享不能是無條件的共享例： 軍事秘密、國家機(jī)密、新產(chǎn)品實驗數(shù)據(jù)、 市場需求分析、市場營銷策略、銷售計劃、 客戶檔案、醫(yī)療檔案、銀行儲蓄數(shù)據(jù)數(shù)據(jù)庫安全性整理ppt第四章 數(shù)據(jù)庫安全性4.1 計算機(jī)安全性概述4.2 數(shù)據(jù)庫安全性控制4.3 視圖機(jī)制4.4 審計（Audit） 4.5 數(shù)據(jù)加密4.6 統(tǒng)計數(shù)據(jù)庫安全性4.7 小結(jié)整理ppt4.1 計算機(jī)安全性概述4.1.1 計算機(jī)系統(tǒng)

2、的三類安全性問題 4.1.2 安全標(biāo)準(zhǔn)簡介整理ppt4.1.1 計算機(jī)系統(tǒng)的三類安全性問題 計算機(jī)系統(tǒng)安全性為計算機(jī)系統(tǒng)建立和采取的各種安全保護(hù)措施，以保護(hù)計算機(jī)系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。整理ppt計算機(jī)系統(tǒng)的三類安全性問題（續(xù)） 三類計算機(jī)系統(tǒng)安全性問題技術(shù)安全類管理安全類政策法律類整理ppt4.1 計算機(jī)安全性概論4.1.1 計算機(jī)系統(tǒng)的三類安全性問題 4.1.2 安全標(biāo)準(zhǔn)簡介整理ppt4.1.2 安全標(biāo)準(zhǔn)簡介TCSEC標(biāo)準(zhǔn)CC標(biāo)準(zhǔn)整理ppt安全標(biāo)準(zhǔn)簡介（續(xù)）信息安全標(biāo)準(zhǔn)的發(fā)展歷史 整理ppt安全標(biāo)準(zhǔn)簡介（續(xù)）TCSEC/TDI

3、標(biāo)準(zhǔn)的基本內(nèi)容TCSEC/TDI，從四個方面來描述安全性級別劃分的指標(biāo)安全策略責(zé)任保證文檔整理pptTCSEC/TDI安全級別劃分TCSEC/TDI安全級別劃分安 全 級 別 定 義 A1驗證設(shè)計（Verified Design） B3安全域（Security Domains） B2結(jié)構(gòu)化保護(hù)（Structural Protection） B1標(biāo)記安全保護(hù)（Labeled Security Protection） C2受控的存取保護(hù)（Controlled Access Protection） C1自主安全保護(hù)（Discretionary Security Protection） D最小保護(hù)（M

4、inimal Protection）整理pptTCSEC/TDI安全級別劃分（續(xù)）按系統(tǒng)可靠或可信程度逐漸增高各安全級別之間：偏序向下兼容整理pptTCSEC/TDI安全級別劃分（續(xù)）B2以上的系統(tǒng)還處于理論研究階段應(yīng)用多限于一些特殊的部門，如軍隊等美國正在大力發(fā)展安全產(chǎn)品，試圖將目前僅限于少數(shù)領(lǐng)域應(yīng)用的B2安全級別下放到商業(yè)應(yīng)用中來，并逐步成為新的商業(yè)標(biāo)準(zhǔn)整理ppt CC CC提出國際公認(rèn)的表述信息技術(shù)安全性的結(jié)構(gòu)把信息產(chǎn)品的安全要求分為安全功能要求安全保證要求整理pptCC（續(xù)） CC文本組成簡介和一般模型安全功能要求安全保證要求整理pptCC（續(xù)） CC評估保證級劃分 評估保證級定義TC

5、SEC安全級別（近似相當(dāng)）EAL1功能測試（functionally tested）EAL2結(jié)構(gòu)測試（structurally tested）C1EAL3系統(tǒng)地測試和檢查（methodically tested and checked）C2EAL4系統(tǒng)地設(shè)計、測試和復(fù)查（methodically designed， tested， and reviewed）B1EAL5半形式化設(shè)計和測試（semiformally designed and tested）B2EAL6半形式化驗證的設(shè)計和測試（semiformally verified design and B3tested）EAL7形式化驗證的

6、設(shè)計和測試（formally verified design and tested）A1整理ppt第四章 數(shù)據(jù)庫安全性4.1 計算機(jī)安全性概述4.2 數(shù)據(jù)庫安全性控制4.3 視圖機(jī)制4.4 審計（Audit） 4.5 數(shù)據(jù)加密4.6 統(tǒng)計數(shù)據(jù)庫安全性4.7 小結(jié)整理ppt4.2 數(shù)據(jù)庫安全性控制概述非法使用數(shù)據(jù)庫的情況編寫合法程序繞過DBMS及其授權(quán)機(jī)制直接或編寫應(yīng)用程序執(zhí)行非授權(quán)操作通過多次合法查詢數(shù)據(jù)庫從中推導(dǎo)出一些保密數(shù)據(jù)整理ppt4.2 數(shù)據(jù)庫安全性控制概述通過多次合法查詢數(shù)據(jù)庫從中推導(dǎo)出一些保密數(shù)據(jù)例：某數(shù)據(jù)庫應(yīng)用系統(tǒng)禁止查詢單個人的工資，但允許查任意一組人的平均工資。用戶甲想了解張

7、三的工資，于是他： 首先查詢包括張三在內(nèi)的一組人的平均工資 然后查用自己替換張三后這組人的平均工資 從而推導(dǎo)出張三的工資破壞安全性的行為可能是無意的，故意的，惡意的。整理ppt數(shù)據(jù)庫安全性控制概述（續(xù)）計算機(jī)系統(tǒng)中，安全措施是一級一級層層設(shè)置計算機(jī)系統(tǒng)的安全模型 應(yīng)用DBMSOS DB 低 高安全性控制層次用戶標(biāo)識和鑒定 存取控制審計視圖 操作系統(tǒng) 安全保護(hù) 密碼存儲 方法： 整理ppt數(shù)據(jù)庫安全性控制概述（續(xù)）數(shù)據(jù)庫安全性控制的常用方法用戶標(biāo)識和鑒定存取控制視圖審計密碼存儲整理ppt4.2 數(shù)據(jù)庫安全性控制4.2.1 用戶標(biāo)識與鑒別4.2.2 存取控制4.2.3 自主存取控制方法4.2.4

8、授權(quán)與回收4.2.5 數(shù)據(jù)庫角色4.2.6 強(qiáng)制存取控制方法整理ppt4.2.1 用戶標(biāo)識與鑒別用戶標(biāo)識與鑒別 （Identification & Authentication）系統(tǒng)提供的最外層安全保護(hù)措施整理ppt4.2.1 用戶標(biāo)識與鑒別基本方法系統(tǒng)提供一定的方式讓用戶標(biāo)識自己的名字或身份；系統(tǒng)內(nèi)部記錄著所有合法用戶的標(biāo)識；每次用戶要求進(jìn)入系統(tǒng)時，由系統(tǒng)核對用戶提供的身份標(biāo)識；通過鑒定后才提供機(jī)器使用權(quán)。用戶標(biāo)識和鑒定可以重復(fù)多次整理ppt用戶標(biāo)識與鑒別（續(xù)）用戶標(biāo)識口令系統(tǒng)核對口令以鑒別用戶身份 用戶名和口令易被竊取每個用戶預(yù)先約定好一個計算過程或者函數(shù)系統(tǒng)提供一個隨機(jī)數(shù)用戶根據(jù)自己預(yù)先

9、約定的計算過程或者函數(shù)進(jìn)行計算系統(tǒng)根據(jù)用戶計算結(jié)果是否正確鑒定用戶身份有些DBMS除了訪問DBMS的賬號外，為了訪問制定的數(shù)據(jù)庫，還需要另外的賬號整理ppt4.2 數(shù)據(jù)庫安全性控制4.2.1 用戶標(biāo)識與鑒別4.2.2 存取控制4.2.3 自主存取控制方法4.2.4 授權(quán)與回收4.2.5 數(shù)據(jù)庫角色4.2.6 強(qiáng)制存取控制方法整理ppt4.2.2 存取控制存取控制機(jī)制組成定義用戶權(quán)限合法權(quán)限檢查 用戶權(quán)限定義和合法權(quán)檢查機(jī)制一起組成了 DBMS的安全子系統(tǒng)整理ppt存取控制（續(xù)）常用存取控制方法自主存取控制（Discretionary Access Control ，簡稱DAC）：用戶對不同的數(shù)

10、據(jù)對象有不同的存取權(quán)限，不同用戶對同一對象有不同的權(quán)限，可轉(zhuǎn)授用戶存取權(quán)限。 C2級 靈活強(qiáng)制存取控制（Mandatory Access Control，簡稱 MAC）：每一數(shù)據(jù)對象標(biāo)以一定密級，每一用戶對應(yīng)某一級別的許可證，只有具有合法許可證的用戶才可以存取某一對象。B1級嚴(yán)格整理ppt存取控制（續(xù)）常用存取控制方法自主存取控制DAC：同一用戶對于不同的數(shù)據(jù)對象有不同的存取權(quán)限不同的用戶對同一對象也有不同的權(quán)限用戶還可將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶整理ppt存取控制（續(xù)）常用存取控制方法強(qiáng)制存取控制MAC每一個數(shù)據(jù)對象被標(biāo)以一定的密級每一個用戶也被授予某一個級別的許可證對于任意一個對象，只

11、有具有合法許可證的用戶才可以存取整理ppt4.2 數(shù)據(jù)庫安全性控制4.2.1 用戶標(biāo)識與鑒別4.2.2 存取控制4.2.3 自主存取控制方法4.2.4 授權(quán)與回收4.2.5 數(shù)據(jù)庫角色4.2.6 強(qiáng)制存取控制方法整理ppt4.2.3 自主存取控制方法定義存取權(quán)限存取權(quán)限 存取權(quán)限由兩個要素組成數(shù)據(jù)對象操作類型整理ppt4.2.3 自主存取控制方法整理ppt4.2.3 自主存取控制方法通過 SQL 的 GRANT 語句和 REVOKE 語句實現(xiàn)用戶權(quán)限組成數(shù)據(jù)對象操作類型定義用戶存取權(quán)限：定義用戶可以在哪些數(shù)據(jù)庫對象上進(jìn)行哪些類型的操作定義存取權(quán)限稱為授權(quán) 整理ppt自主存取控制方法（續(xù)）關(guān)系數(shù)

12、據(jù)庫系統(tǒng)中存取控制對象 對象類型對象操 作 類 型數(shù)據(jù)庫模式CREATE SCHEMA基本表CREATE TABLE，ALTER TABLE模式視圖CREATE VIEW索引CREATE INDEX數(shù)據(jù)基本表和視圖SELECT，INSERT，UPDATE，DELETE，REFERENCES，ALL PRIVILEGES數(shù)據(jù)屬性列SELECT，INSERT，UPDATE， REFERENCESALL PRIVILEGES關(guān)系數(shù)據(jù)庫系統(tǒng)中的存取權(quán)限 整理ppt4.2 數(shù)據(jù)庫安全性控制4.2.1 用戶標(biāo)識與鑒別4.2.2 存取控制4.2.3 自主存取控制方法4.2.4 授權(quán)與回收4.2.5 數(shù)據(jù)庫角

13、色4.2.6 強(qiáng)制存取控制方法整理ppt4.2.4 授權(quán)與回收一、GRANTGRANT語句的一般格式： GRANT ,. ON TO ,. WITH GRANT OPTION;語義：將對指定操作對象的指定操作權(quán)限授予指定的用戶 整理pptGRANT（續(xù)）發(fā)出GRANT：DBA數(shù)據(jù)庫對象創(chuàng)建者（即屬主Owner）擁有該權(quán)限的用戶按受權(quán)限的用戶 一個或多個具體用戶PUBLIC（全體用戶） 整理pptWITH GRANT OPTION子句WITH GRANT OPTION子句:指定：可以再授予沒有指定：不能傳播不允許循環(huán)授權(quán)整理ppt例題 例1 把查詢Student表權(quán)限授給用戶U1 GRANT S

14、ELECT ON TABLE Student TO U1;整理ppt例題（續(xù)）例2 把對Student表和Course表的全部權(quán)限授予用戶U2和U3 GRANT ALL PRIVILIGES ON TABLE Student, Course TO U2, U3;整理ppt例題（續(xù)）例3 把對表SC的查詢權(quán)限授予所有用戶 GRANT SELECT ON TABLE SC TO PUBLIC;整理ppt例題（續(xù)）例4 把查詢Student表和修改學(xué)生學(xué)號的權(quán)限授給用戶U4 GRANT UPDATE(Sno), SELECT ON TABLE Student TO U4;對屬性列的授權(quán)時必須明確指出

15、相應(yīng)屬性列名 整理ppt例題（續(xù)） 例5 把對表SC的INSERT權(quán)限授予U5用戶，并允許他再將此權(quán)限授予其他用戶 GRANT INSERT ON TABLE SC TO U5 WITH GRANT OPTION;整理ppt傳播權(quán)限執(zhí)行例5后，U5不僅擁有了對表SC的INSERT權(quán)限， 還可以傳播此權(quán)限： 例6 GRANT INSERT ON TABLE SC TO U6 WITH GRANT OPTION; 同樣，U6還可以將此權(quán)限授予U7： 例7 GRANT INSERT ON TABLE SC TO U7; 但U7不能再傳播此權(quán)限。 整理ppt傳播權(quán)限（續(xù)） 下表是執(zhí)行了例1到例7的語句

16、后，學(xué)生-課程數(shù)據(jù)庫中的用戶權(quán)限定義表 授權(quán)用戶名被授權(quán)用戶名數(shù)據(jù)庫對象名允許的操作類型能否轉(zhuǎn)授權(quán)DBAU1關(guān)系StudentSELECT不能DBAU2關(guān)系StudentALL不能DBAU2關(guān)系CourseALL不能DBAU3關(guān)系StudentALL不能DBAU3關(guān)系CourseALL不能DBAPUBLIC關(guān)系SCSELECT不能DBAU4關(guān)系StudentSELECT不能DBAU4屬性列Student.SnoUPDATE不能DBAU5關(guān)系SCINSERT能U5U6關(guān)系SCINSERT能U6U7關(guān)系SCINSERT不能整理ppt授權(quán)與回收（續(xù)）二、REVOKE授予的權(quán)限可以由DBA或其他授權(quán)者

17、用REVOKE語句收回REVOKE語句的一般格式為： REVOKE ,. ON FROM ,.;整理pptREVOKE（續(xù)）例8 把用戶U4修改學(xué)生學(xué)號的權(quán)限收回REVOKE UPDATE(Sno)ON TABLE Student FROM U4;整理pptREVOKE（續(xù)）例9 收回所有用戶對表SC的查詢權(quán)限REVOKE SELECT ON TABLE SC FROM PUBLIC; 整理pptREVOKE（續(xù)）例10 把用戶U5對SC表的INSERT權(quán)限收回REVOKE INSERT ON TABLE SC FROM U5 CASCADE ;將用戶U5的INSERT權(quán)限收回的時候必須級聯(lián)（

18、CASCADE）收回 系統(tǒng)只收回直接或間接從U5處獲得的權(quán)限 整理pptREVOKE（續(xù)） 執(zhí)行例8到例10的語句后，學(xué)生-課程數(shù)據(jù)庫中的用戶權(quán)限定義表授權(quán)用戶名被授權(quán)用戶名數(shù)據(jù)庫對象名允許的操作類型能否轉(zhuǎn)授權(quán)DBAU1關(guān)系StudentSELECT不能DBAU2關(guān)系StudentALL不能DBAU2關(guān)系CourseALL不能DBAU3關(guān)系StudentALL不能DBAU3關(guān)系CourseALL不能DBAU4關(guān)系StudentSELECT不能整理ppt小結(jié):SQL靈活的授權(quán)機(jī)制DBA：擁有所有對象的所有權(quán)限不同的權(quán)限授予不同的用戶用戶：擁有自己建立的對象的全部的操作權(quán)限GRANT：授予其他用戶

19、被授權(quán)的用戶“繼續(xù)授權(quán)”許可：再授予所有授予出去的權(quán)力在必要時又都可用REVOKE語句收回整理ppt授權(quán)與回收（續(xù)）三、創(chuàng)建數(shù)據(jù)庫模式的權(quán)限 DBA在創(chuàng)建用戶時實現(xiàn)CREATE USER語句格式 CREATE USER WITHDBA | RESOURCE | CONNECT整理ppt授權(quán)與回收（續(xù)）擁有的權(quán)限可否執(zhí)行的操作CREATE USERCREATE SCHEMACREATE TABLE登錄數(shù)據(jù)庫 執(zhí)行數(shù)據(jù)查詢和操縱DBA可以可以可以可以RESOURCE不可以不可以不可以不可以CONNECT不可以不可以不可以可以，但必須擁有相應(yīng)權(quán)限權(quán)限與可執(zhí)行的操作對照表 整理ppt授權(quán)與回收（續(xù)）一

20、個用戶擁有權(quán)限的充分必要條件是在權(quán)限圖中從根結(jié)點到該用戶結(jié)點存在一條路徑 整理ppt授權(quán)的一些其他問題如果一個用戶創(chuàng)建了一個對象（關(guān)系視圖角色），則擁有對此基表的全部權(quán)限（包括授予別人權(quán)限的權(quán)限）！SQL授權(quán)的一些缺陷：不能實現(xiàn)元組級的授權(quán)（可以通過視圖或觸發(fā)器來實現(xiàn)）視圖的一些問題整理ppt4.2 數(shù)據(jù)庫安全性控制4.2.1 用戶標(biāo)識與鑒別4.2.2 存取控制4.2.3 自主存取控制方法4.2.4 授權(quán)與回收4.2.5 數(shù)據(jù)庫角色4.2.6 強(qiáng)制存取控制方法整理ppt4.2.5 數(shù)據(jù)庫角色數(shù)據(jù)庫角色：被命名的一組與數(shù)據(jù)庫操作相關(guān)的權(quán)限角色是權(quán)限的集合 可以為一組具有相同權(quán)限的用戶創(chuàng)建一個角色

21、簡化授權(quán)的過程整理ppt數(shù)據(jù)庫角色一、角色的創(chuàng)建CREATE ROLE 二、給角色授權(quán) GRANT ， ON 對象名 TO ，整理ppt數(shù)據(jù)庫角色三、將一個角色授予其他的角色或用戶GRANT ，TO ， WITH ADMIN OPTION 四、角色權(quán)限的收回 REVOKE ，ON FROM ，整理ppt數(shù)據(jù)庫角色（續(xù)）例11通過角色來實現(xiàn)將一組權(quán)限授予一個用戶。步驟如下：1. 首先創(chuàng)建一個角色 R1 CREATE ROLE R1；2. 然后使用GRANT語句，使角色R1擁有Student表的SELECT、UPDATE、INSERT權(quán)限 GRANT SELECT，UPDATE，INSERT ON

22、 TABLE Student TO R1；整理ppt數(shù)據(jù)庫角色（續(xù)）3. 將這個角色授予王平，張明，趙玲。使他們具有角色R1所包含的全部權(quán)限 GRANT R1 TO 王平，張明，趙玲；4. 可以一次性通過R1來回收王平的這3個權(quán)限 REVOKE R1 FROM 王平；整理ppt數(shù)據(jù)庫角色（續(xù)）例12角色的權(quán)限修改 GRANT DELETE ON TABLE Student TO R1整理ppt數(shù)據(jù)庫角色（續(xù)）例13 REVOKE SELECT ON TABLE Student FROM R1； 整理ppt4.2 數(shù)據(jù)庫安全性控制4.2.1 用戶標(biāo)識與鑒別4.2.2 存取控制4.2.3 自主存取

23、控制方法4.2.4 授權(quán)與回收4.2.5 數(shù)據(jù)庫角色4.2.6 強(qiáng)制存取控制方法整理ppt自主存取控制缺點可能存在數(shù)據(jù)的“無意泄露”原因：這種機(jī)制僅僅通過對數(shù)據(jù)的存取權(quán)限來進(jìn)行安全控制，而數(shù)據(jù)本身并無安全性標(biāo)記解決：對系統(tǒng)控制下的所有主客體實施強(qiáng)制存取控制策略 整理ppt4.2.6 強(qiáng)制存取控制方法強(qiáng)制存取控制（MAC)保證更高程度的安全性用戶能不能直接感知或進(jìn)行控制適用于對數(shù)據(jù)有嚴(yán)格而固定密級分類的部門 軍事部門 政府部門整理ppt強(qiáng)制存取控制方法（續(xù)）主體是系統(tǒng)中的活動實體 DBMS所管理的實際用戶 代表用戶的各進(jìn)程客體是系統(tǒng)中的被動實體，是受主體操縱的 文件 基表 索引 視圖整理ppt強(qiáng)

24、制存取控制方法（續(xù)）敏感度標(biāo)記（Label）絕密（Top Secret）機(jī)密（Secret）可信（Confidential）公開（Public）主體的敏感度標(biāo)記稱為許可證級別（Clearance Level）客體的敏感度標(biāo)記稱為密級（Classification Level）整理ppt強(qiáng)制存取控制方法（續(xù)） 強(qiáng)制存取控制規(guī)則 (1)僅當(dāng)主體的許可證級別大于或等于客體的密級時，該主體才能讀取相應(yīng)的客體 (2)僅當(dāng)主體的許可證級別等于客體的密級時，該主體才能寫相應(yīng)的客體修正規(guī)則主體的許可證級別 =客體的密級 主體能寫客體整理ppt強(qiáng)制存取控制方法（續(xù)）規(guī)則的共同點禁止了擁有高許可證級別的主體更新低

25、密級的數(shù)據(jù)對象整理pptMAC與DACDAC與MAC共同構(gòu)成DBMS的安全機(jī)制實現(xiàn)MAC時要首先實現(xiàn)DAC原因：較高安全性級別提供的安全保護(hù)要包含較低級別的所有保護(hù)整理ppt強(qiáng)制存取控制方法（續(xù)）DAC + MAC安全檢查示意圖 SQL語法分析 & 語義檢查 DAC 檢 查 安全檢查 MAC 檢 查 繼 續(xù)先進(jìn)行DAC檢查，通過DAC檢查的數(shù)據(jù)對象再由系統(tǒng)進(jìn)行MAC檢查，只有通過MAC檢查的數(shù)據(jù)對象方可存取。整理ppt第四章 數(shù)據(jù)庫安全性4.1 計算機(jī)安全性概述4.2 數(shù)據(jù)庫安全性控制4.3 視圖機(jī)制4.4 審計（Audit） 4.5 數(shù)據(jù)加密4.6 統(tǒng)計數(shù)據(jù)庫安全性4.7 小結(jié)整理ppt4.3 視圖機(jī)制把要保密的數(shù)據(jù)對無權(quán)存取這些數(shù)據(jù)的用戶隱藏起來，對數(shù)據(jù)提供一定程度的安全保護(hù) 主要功能是提供數(shù)據(jù)獨立性，無法完全滿足要求間接實現(xiàn)了支持存取謂詞的用戶權(quán)限定義整理ppt視圖機(jī)制（續(xù)）例14建立計算機(jī)系學(xué)生的視圖，把對該視圖的SELECT權(quán)限授于王平，把該視圖上的所有操作權(quán)限授于張明 先建立計算機(jī)系學(xué)生的視圖CS_Student CREATE VIEW CS_Student AS SELECT * FROM Student WHERE Sdept=CS；整理pp