數(shù)據(jù)庫的安全性概述

1、第4章 數(shù)據(jù)庫的安全性主講：楊莎Email: 學(xué)習(xí)目標(biāo)通過本章學(xué)習(xí)，要求掌握：計算機安全評估標(biāo)準(zhǔn)DAC與MAC授權(quán)與回收語句視圖的保護(hù)機制審計功能數(shù)據(jù)加密的基本術(shù)語 問題的提出數(shù)據(jù)庫的一大特點是數(shù)據(jù)可以共享但數(shù)據(jù)共享必然帶來數(shù)據(jù)庫的安全性問題數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)共享不能是無條件的共享例：軍事秘密、 國家機密、 新產(chǎn)品實驗數(shù)據(jù)、 市場需求分析、市場營銷策略、銷售計劃、 客戶檔案、 醫(yī)療檔案、 銀行儲蓄數(shù)據(jù)第4章 數(shù)據(jù)庫安全性數(shù)據(jù)庫的安全性問題數(shù)據(jù)庫安全性（續(xù)）什么是數(shù)據(jù)庫的安全性數(shù)據(jù)庫的安全性是指保護(hù)數(shù)據(jù)庫，防止因用戶非法使用數(shù)據(jù)庫造成數(shù)據(jù)泄露、更改或破壞。什么是數(shù)據(jù)的保密數(shù)據(jù)保密是指用戶合法地訪

2、問到機密數(shù)據(jù)后能否對這些數(shù)據(jù)保密。通過制訂法律道德準(zhǔn)則和政策法規(guī)來保證。目 錄計算機安全性概述1數(shù)據(jù)庫安全性控制2視圖機制3審計4數(shù)據(jù)加密54.1 計算機安全性概論4.1.1 計算機系統(tǒng)的三類安全性問題 4.1.2 可信計算機系統(tǒng)評測標(biāo)準(zhǔn)4.1.1 計算機系統(tǒng)的三類安全性問題 什么是計算機系統(tǒng)安全性為計算機系統(tǒng)建立和采取的各種安全保護(hù)措施，以保護(hù)計算機系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。計算機系統(tǒng)的三類安全性問題（續(xù)） 三類計算機系統(tǒng)安全性問題技術(shù)安全類管理安全類政策法律類4.1 計算機安全性概論4.1.1 計算機系統(tǒng)的三類安全性問題 4.1

3、.2 可信計算機系統(tǒng)評測標(biāo)準(zhǔn)4.1.2 可信計算機系統(tǒng)評測標(biāo)準(zhǔn)為降低進(jìn)而消除對系統(tǒng)的安全攻擊，各國引用或制定了一系列安全標(biāo)準(zhǔn)TCSEC (桔皮書)CC標(biāo)準(zhǔn)可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）1985年美國國防部（DoD）正式頒布 DoD可信計算機系統(tǒng)評估標(biāo)準(zhǔn)（簡稱TCSEC或DoD85）TCSEC又稱桔皮書TCSEC標(biāo)準(zhǔn)的目的提供一種標(biāo)準(zhǔn)，使用戶可以對其計算機系統(tǒng)內(nèi)敏感信息安全操作的可信程度做評估。給計算機行業(yè)的制造商提供一種可循的指導(dǎo)規(guī)則，使其產(chǎn)品能夠更好地滿足敏感應(yīng)用的安全需求?？尚庞嬎銠C系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）TDI/TCSEC標(biāo)準(zhǔn)的基本內(nèi)容TDI與TCSEC一樣，從四個方面來描述安全性級別劃分的指標(biāo)

4、安全策略責(zé)任保證文檔TCSEC/TDI安全級別劃分可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)） 安 全 級 別 定 義A1驗證設(shè)計（Verified Design） B3安全域（Security Domains） B2結(jié)構(gòu)化保護(hù)（Structural Protection） B1標(biāo)記安全保護(hù)（Labeled Security Protection） C2受控的存取保護(hù)（Controlled Access Protection） C1自主安全保護(hù)（Discretionary Security Protection） D最小保護(hù)（Minimal Protection）可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）四組(divisi

5、on)七個等級 D C（C1，C2） B（B1，B2，B3） A（A1）按系統(tǒng)可靠或可信程度逐漸增高各安全級別之間具有一種偏序向下兼容的關(guān)系，較高安全性級別提供的安全保護(hù)要包含較低級別的所有保護(hù)要求，同時提供更多或更完善的保護(hù)能力。可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）D級：最小保護(hù)級將一切不符合更高標(biāo)準(zhǔn)的系統(tǒng)均歸于D組典型例子：DOS是安全標(biāo)準(zhǔn)為D的操作系統(tǒng) DOS在安全性方面幾乎沒有什么專門的機制來保障可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）C1級：自主安全保護(hù)非常初級的自主安全保護(hù)能夠?qū)崿F(xiàn)對用戶和數(shù)據(jù)的分離，進(jìn)行自主存取控制（DAC），保護(hù)或限制用戶權(quán)限的傳播?？尚庞嬎銠C系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）C2級：受控的存取保

6、護(hù)安全產(chǎn)品的最低檔次提供受控的存取保護(hù)，將C1級的DAC進(jìn)一步細(xì)化，以個人身份注冊負(fù)責(zé)，并實施審計和資源隔離達(dá)到C2級的產(chǎn)品在其名稱中往往不突出“安全”(Security)這一特色可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）典型例子 操作系統(tǒng)Microsoft的Windows NT 3.5，數(shù)字設(shè)備公司的Open VMS VAX 6.0和6.1 數(shù)據(jù)庫Oracle公司的Oracle 7Sybase公司的 SQL Server 11.0.6可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）B1級：標(biāo)記安全保護(hù)標(biāo)記安全保護(hù)?！鞍踩?Security)或“可信的”(Trusted)產(chǎn)品。對系統(tǒng)的數(shù)據(jù)加以標(biāo)記，對標(biāo)記的主體和客體實施強制

7、存取控制（MAC）、審計等安全機制可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）典型例子 操作系統(tǒng)數(shù)字設(shè)備公司的SEVMS VAX Version 6.0惠普公司的HP-UX BLS release 4.0.9+ 數(shù)據(jù)庫Oracle公司的Trusted Oracle 7Sybase公司的Secure SQL Server version 11.0.6Informix公司的Incorporated INFORMIX-OnLine / Secure 5.0可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）B2級：結(jié)構(gòu)化保護(hù)結(jié)構(gòu)化保護(hù)建立形式化的安全策略模型并對系統(tǒng)內(nèi)的所有主體和客體實施DAC和MAC。經(jīng)過認(rèn)證的B2級以上的安全系統(tǒng)非常稀

8、少可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）典型例子 操作系統(tǒng)只有Trusted Information Systems公司的Trusted XENIX一種產(chǎn)品 標(biāo)準(zhǔn)的網(wǎng)絡(luò)產(chǎn)品只有Cryptek Secure Communications公司的LLC VSLAN一種產(chǎn)品 數(shù)據(jù)庫沒有符合B2標(biāo)準(zhǔn)的產(chǎn)品可信計算機系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）B3級：安全域級安全域。該級的TCB必須滿足訪問監(jiān)控器的要求，審計跟蹤能力更強，并提供系統(tǒng)恢復(fù)過程?？尚庞嬎銠C系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）A1級：驗證設(shè)計驗證設(shè)計，即提供B3級保護(hù)的同時給出系統(tǒng)的形式化設(shè)計說明和驗證以確信各安全保護(hù)真正實現(xiàn)?？尚庞嬎銠C系統(tǒng)評測標(biāo)準(zhǔn)（續(xù)）B2以上的系統(tǒng)還處于理論研

9、究階段應(yīng)用多限于一些特殊的部門如軍隊等美國正在大力發(fā)展安全產(chǎn)品，試圖將目前僅限于少數(shù)領(lǐng)域應(yīng)用的B2安全級別下放到商業(yè)應(yīng)用中來，并逐步成為新的商業(yè)標(biāo)準(zhǔn)。目 錄計算機安全性概述1數(shù)據(jù)庫安全性控制2視圖機制3審計4數(shù)據(jù)加密54.2 數(shù)據(jù)庫安全性控制數(shù)據(jù)庫訪問原理主體訪問控制實施功能訪問控制決策功能客體提交訪問請求提出訪問請求請求決策決策數(shù)據(jù)庫安全性控制（con.）非法使用數(shù)據(jù)庫的情況用戶編寫一段合法的程序繞過DBMS及其授權(quán)機制，通過操作系統(tǒng)直接存取、修改或備份數(shù)據(jù)庫中的數(shù)據(jù)；直接或編寫應(yīng)用程序執(zhí)行非授權(quán)操作；數(shù)據(jù)庫安全性控制（con.）通過多次合法查詢數(shù)據(jù)庫從中推導(dǎo)出一些保密數(shù)據(jù) 例：某數(shù)據(jù)庫應(yīng)用

10、系統(tǒng)禁止查詢單個人的工資，但允許查任意一組人的平均工資。用戶甲想了解張三的工資，于是他：首先查詢包括張三在內(nèi)的一組人的平均工資然后查用自己替換張三后這組人的平均工資從而推導(dǎo)出張三的工資破壞安全性的行為可能是無意的，故意的，惡意的。計算機系統(tǒng)中的安全模型 方法： 應(yīng)用DBMSOS DB 低 高安全性控制層次用戶標(biāo)識和鑒定 存取控制審計視圖 操作系統(tǒng) 安全保護(hù) 密碼存儲數(shù)據(jù)庫安全性控制概述（續(xù)）數(shù)據(jù)庫安全性控制的常用方法用戶標(biāo)識和鑒定存取控制視圖審計密碼存儲訪問控制4.2.1 用戶標(biāo)識與鑒別用戶標(biāo)識與鑒別（Identification & Authentication）系統(tǒng)提供的最外層安全保護(hù)措施

11、4.2.1 用戶標(biāo)識與鑒別基本方法用戶標(biāo)識口令系統(tǒng)核對口令以鑒別用戶身份用戶名和口令易被竊取每個用戶預(yù)先約定好一個計算過程或者函數(shù)4.2.2 存取控制存取控制機制的功能存取控制機制的組成 定義存取權(quán)限 檢查存取權(quán)限用戶權(quán)限定義和合法權(quán)檢查機制一起組成了DBMS的安全子系統(tǒng)存取控制（續(xù)）定義存取權(quán)限在數(shù)據(jù)庫系統(tǒng)中，為了保證用戶只能訪問他有權(quán)存取的數(shù)據(jù)，必須預(yù)先對每個用戶定義存取權(quán)限。檢查存取權(quán)限對于通過鑒定獲得上機權(quán)的用戶（即合法用戶），系統(tǒng)根據(jù)他的存取權(quán)限定義對他的各種操作請求進(jìn)行控制，確保他只執(zhí)行合法操作。存取控制（續(xù)）常用存取控制方法自主存取控制（Discretionary Access

12、Control ，簡稱DAC） C2級 靈活強制存取控制（Mandatory Access Control，簡稱 MAC）B1級嚴(yán)格4.2.3 自主存取控制方法通過SQL 的GRANT 語句和REVOKE 語句實現(xiàn)用戶權(quán)限組成數(shù)據(jù)對象操作類型定義用戶存取權(quán)限：定義用戶可以在哪些數(shù)據(jù)庫對象上進(jìn)行哪些類型的操作定義存取權(quán)限稱為授權(quán)自主存取控制方法（續(xù)）關(guān)系系統(tǒng)中的存取權(quán)限類型數(shù)據(jù)對象操作類型模 式 模 式建立、修改、刪除、檢索外模式 建立、修改、刪除、檢索 內(nèi)模式建立、刪除、檢索數(shù) 據(jù) 表查找、插入、修改、刪除屬性列查找、插入、修改、刪除4.2.4 授權(quán)與回收一、GRANT GRANT語句的一般格

13、式：GRANT ,.ON TO ,.WITH GRANT OPTION; 語義：將對指定操作對象的指定操作權(quán)限授予指定的用戶GRANT（con.）發(fā)出GRANT：DBA數(shù)據(jù)庫對象創(chuàng)建者（即屬主Owner）擁有該權(quán)限的用戶接受權(quán)限的用戶一個或多個具體用戶PUBLIC（全體用戶）WITH GRANT OPTION子句指定了WITH GRANT OPTION子句: 獲得某種權(quán)限的用戶還可以把這種權(quán)限再授予別的用戶。沒有指定WITH GRANT OPTION子句: 獲得某種權(quán)限的用戶只能使用該權(quán)限，不能傳播該權(quán)限例題 例1 把查詢Student表權(quán)限授給用戶U1 GRANT SELECT ON TAB

14、LE Student TO U1;例題（續(xù)）例2 把對Student表和Course表的全部權(quán)限授予用戶U2和U3 GRANT ALL PRIVILEGES ON TABLE Student, Course TO U2, U3;例題（續(xù)）例3 把對表SC的查詢權(quán)限授予所有用戶 GRANT SELECT ON TABLE SC TO PUBLIC;例題（續(xù)）例4 把查詢Student表和修改學(xué)生學(xué)號的權(quán)限授給用戶U4 GRANT UPDATE(Sno), SELECT ON TABLE Student TO U4;例題（續(xù)）例5 把對表SC的INSERT權(quán)限授予U5用戶，并允許他再將此權(quán)限授予其

15、他用戶 GRANT INSERT ON TABLE SC TO U5 WITH GRANT OPTION;傳播權(quán)限 執(zhí)行例5后，U5不僅擁有了對表SC的INSERT權(quán)限， 還可以傳播此權(quán)限： GRANT INSERT ON TABLE SC TO U6 WITH GRANT OPTION; 同樣，U6還可以將此權(quán)限授予U7： GRANT INSERT ON TABLE SC TO U7; 但U7不能再傳播此權(quán)限。 U5- U6- U7例題（續(xù)）例6 DBA把在數(shù)據(jù)庫S_C中建立表的權(quán)限授予用戶U8GRANT CREATETABON DATABASE S_C TO U8;授權(quán)與回收（con.）二

16、、REVOKE 語句的一般格式為： REVOKE ,. ON FROM ,.;功能：從指定用戶那里收回對指定對象的指定權(quán)限例題例7 把用戶U4修改學(xué)生學(xué)號的權(quán)限收回 REVOKE UPDATE(Sno)ON TABLE Student FROM U4;例題（續(xù)）例8 收回所有用戶對表SC的查詢權(quán)限 REVOKE SELECT ON TABLE SC FROM PUBLIC; 例題（續(xù)）例9 把用戶U5對SC表的INSERT權(quán)限收回 REVOKE INSERT ON TABLE SC FROM U5 CASCADE ; 將用戶U5的INSERT權(quán)限收回的時候必須級聯(lián)（CASCADE）收回 系統(tǒng)只

17、收回直接或間接從U5處獲得的權(quán)限;4.2.5 強制存取控制方法什么是強制存取控制強制存取控制(MAC)是指系統(tǒng)為保證更高程度的安全性，按照TDI/TCSEC標(biāo)準(zhǔn)中安全策略的要求，所采取的強制存取檢查手段。MAC不是用戶能直接感知或進(jìn)行控制的。MAC適用于對數(shù)據(jù)有嚴(yán)格而固定密級分類的部門 軍事部門 政府部門強制存取控制方法（續(xù)）主體與客體在MAC中，DBMS所管理的全部實體被分為主體和客體兩大類主體是系統(tǒng)中的活動實體 DBMS所管理的實際用戶 代表用戶的各進(jìn)程客體是系統(tǒng)中的被動實體，是受主體操縱的 文件 基表 索引 視圖強制存取控制方法（續(xù)）敏感度標(biāo)記 對于主體和客體，DBMS為它們每個實例（值

18、）指派一個敏感度標(biāo)記（Label） 敏感度標(biāo)記分成若干級別 絕密（Top Secret） 機密（Secret） 可信（Confidential） 公開（Public）強制存取控制方法（續(xù)）主體的敏感度標(biāo)記稱為許可證級別（Clearance Level）客體的敏感度標(biāo)記稱為密級（Classification Level）MAC機制就是通過對比主體的Label和客體的Label，最終確定主體是否能夠存取客體強制存取控制規(guī)則依據(jù)主體和客體的安全級別，MAC中主體對客體的訪問有四種方式：向下讀（Read Down，rd）主體安全級別高于客體的安全級別時允許的讀操作向上讀（Read Up，ru）主體安全

19、級別低于客體的安全級別時允許的讀操作向下寫（Write Down，wd）主體安全級別高于客體的安全級別時允許的寫操作向上寫（Write Up，wr）主體安全級別低于客體的安全級別時允許的寫操作目 錄計算機安全性概述1數(shù)據(jù)庫安全性控制2視圖機制3審計4數(shù)據(jù)加密54.3 視圖機制視圖機制把要保密的數(shù)據(jù)對無權(quán)存取這些數(shù)據(jù)的用戶隱藏起來， 視圖機制更主要的功能在于提供數(shù)據(jù)獨立性，其安全保護(hù)功能太不精細(xì)，往往遠(yuǎn)不能達(dá)到應(yīng)用系統(tǒng)的要求。視圖機制（續(xù)）視圖機制與授權(quán)機制配合使用首先用視圖機制屏蔽掉一部分保密數(shù)據(jù)視圖上面再進(jìn)一步定義存取權(quán)限間接實現(xiàn)了支持存取謂詞的用戶權(quán)限定義視圖機制（續(xù)）例：王平只能檢索計算機系學(xué)生的信息 先建立計算機系學(xué)生的視圖CS_Student CREATE VI