數(shù)據(jù)庫安全與安全數(shù)據(jù)庫課件

數(shù)據(jù)庫安全與安全數(shù)據(jù)庫數(shù)據(jù)庫安全與安全數(shù)據(jù)庫1信息安全的基本概念信息安全可用性機密性完整性非否認性可控性威脅、脆弱性和攻擊威脅是信息遭到破壞、更改和泄露的可能性脆弱性是可能被利用來侵害雄獲系統(tǒng)內(nèi)信息的任何弱點攻擊是利用計算機系統(tǒng)的弱點來達到特定目的所故意進行的行為安全防衛(wèi)策略預(yù)防和避免轉(zhuǎn)移減少脆弱性實時檢測非實時檢測減少影響實時恢復(fù)非實時恢復(fù)可信計算基（TCB）計算機系統(tǒng)內(nèi)負責(zé)執(zhí)行安全策略的組合體包括硬件、固件和軟件信息安全的基本概念信息安全安全防衛(wèi)策略2安全機制標識和認證用戶向系統(tǒng)出示自己的身份證明訪問控制主體：以用戶名義進行資源訪問的進程、事務(wù)等實體客體：把被訪問的資源使只有被授予相應(yīng)訪問權(quán)限的主體才能對客體進行相應(yīng)的操作審計記錄和察看所有與安全相關(guān)的時間客體重用保證可重用的客體（如磁盤、內(nèi)存空間等）被釋放后，重新分配之前應(yīng)該清除其中數(shù)據(jù)，以防止其他主體從中獲取殘余機密數(shù)據(jù)可信路徑保證使用終端的用戶可以直接與可信計算基通信的機制安全機制標識和認證3數(shù)據(jù)庫安全問題數(shù)據(jù)庫的安全的價值現(xiàn)代信息系統(tǒng)中存儲了大量的商業(yè)、保密信息網(wǎng)絡(luò)和操作系統(tǒng)的安全是否是足夠的？數(shù)據(jù)庫的很多特征會破壞系統(tǒng)的安全存儲過程數(shù)據(jù)庫安全問題數(shù)據(jù)庫的安全的價值4數(shù)據(jù)庫安全威脅后果分類非授權(quán)的信息泄漏非授權(quán)的數(shù)據(jù)修改拒絕服務(wù)發(fā)生方式自然或以外災(zāi)害系統(tǒng)軟硬件錯誤人為錯誤威脅的主體授權(quán)用戶惡意代理數(shù)據(jù)庫安全威脅后果分類5數(shù)據(jù)庫安全需求防止非法數(shù)據(jù)訪問防止推理保證數(shù)據(jù)庫的完整保證數(shù)據(jù)的操作完整性數(shù)據(jù)的語義完整性審計和日志標識和認證機密數(shù)據(jù)管理多級保護界限數(shù)據(jù)庫安全需求防止非法數(shù)據(jù)訪問6數(shù)據(jù)庫系統(tǒng)安全與操作系統(tǒng)安全數(shù)據(jù)庫與操作系統(tǒng)的體系結(jié)構(gòu)數(shù)據(jù)庫與操作系統(tǒng)的安全需求不同數(shù)據(jù)庫管理系統(tǒng)操作系統(tǒng)硬件數(shù)據(jù)庫管理系統(tǒng)操作系統(tǒng)硬件數(shù)據(jù)庫管理系統(tǒng)硬件數(shù)據(jù)庫系統(tǒng)安全與操作系統(tǒng)安全數(shù)據(jù)庫與操作系統(tǒng)的體系結(jié)構(gòu)數(shù)據(jù)庫7安全模型自主訪問控制（discretionaryaccesscontrol,DAC）決定用戶能否訪問某數(shù)據(jù)對象的依據(jù)是系統(tǒng)中是否存在明確授權(quán)每個對象都有且僅有一個屬主，他制定對象的保護策略強制訪問控制（mandatoryaccesscontrol,MAC）所有的權(quán)限都歸于系統(tǒng)集中管理，保證信息的流動始終處于系統(tǒng)的控制下主體和客體均有相應(yīng)的安全屬性，系統(tǒng)根據(jù)安全屬性來控制主體對客體的訪問安全模型自主訪問控制（discretionaryacces8訪問控制矩陣模型HRU模型Harrison、Ruzzo和Ullman在1976年提出的一種基本的自主訪問控制模型基本操作賦予存儲權(quán)限、刪除存儲權(quán)限、創(chuàng)建主體、創(chuàng)建客體、刪除主體、刪除客體、…O1O2S1讀讀、寫S2讀、寫訪問控制矩陣模型HRU模型O1O2S1讀讀、寫S2讀、寫9基于角色的訪問控制模型起始于20世紀90年代最早出現(xiàn)在1992年Ferraiolo和Kuhn的文章中RBAC的核心用戶集（users）角色集（roles）對象集（objects）操作集（operaors）特權(quán)集（perm）會話集（sessions）基于角色的訪問控制模型起始于20世紀90年代10基于角色的訪問控制模型USERSROLES用戶分配ObjectsOperatorsPERMS特權(quán)分配SESSIONSRBAC核心模型基于角色的訪問控制模型USERSROLES用戶分配Objec11基于角色的訪問控制模型USERSROLES用戶分配USERSROLESPERMS特權(quán)分配SESSIONS帶角色繼承的RBAC模型角色繼承基于角色的訪問控制模型USERSROLES用戶分配USERS12多級安全數(shù)據(jù)庫多級數(shù)據(jù)庫管理系統(tǒng)體系結(jié)構(gòu)高級運行結(jié)構(gòu)可信主體結(jié)構(gòu)集中式/核心式體系結(jié)構(gòu)分布式/復(fù)制式體系結(jié)構(gòu)完整性鎖結(jié)構(gòu)多級安全數(shù)據(jù)庫多級數(shù)據(jù)庫管理系統(tǒng)體系結(jié)構(gòu)13高級運行結(jié)構(gòu)單級DBMS的一種特殊運行方式運行在安全操作系統(tǒng)的最高級所有用戶都是最高級別完全依賴于操作系統(tǒng)的TCB沒有數(shù)據(jù)內(nèi)容的分級必須嚴格監(jiān)控和管理用戶的行為高級運行結(jié)構(gòu)單級DBMS的一種特殊運行方式14可信主體結(jié)構(gòu)多級（可信）DBMS可信操作系統(tǒng)高級別用戶低級別用戶高級別數(shù)據(jù)分片低級別數(shù)據(jù)分片可信主體結(jié)構(gòu)多級（可信）DBMS可信操作系統(tǒng)高級別用戶低級別15集中式/核心式體系結(jié)構(gòu)高級別DBMS后端可信操作系統(tǒng)高級別用戶低級別用戶高級別數(shù)據(jù)分片低級別數(shù)據(jù)分片低級別DBMS后端集中式/核心式體系結(jié)構(gòu)高級別DBMS可信操作系統(tǒng)高級別用戶低16分布式/復(fù)制式體系結(jié)構(gòu)高級別DBMS可信前端（TCB）高級別用戶低級別用戶高級數(shù)據(jù)低級數(shù)據(jù)低級別DBMS低級數(shù)據(jù)分布式/復(fù)制式體系結(jié)構(gòu)高級別DBMS可信前端（TCB）高級別17完整性鎖結(jié)構(gòu)可信過濾層加密單元/安全操作系統(tǒng)高級別用戶低級別用戶非可信DBMS數(shù)據(jù)庫非可信前端非可信前端完整性鎖結(jié)構(gòu)可信過濾層加密單元/安全操作系統(tǒng)高級別用戶低級別18多級關(guān)系模型元組有安全標記，每個屬性有安全標記RS(A1,A2,…,An)->RS(A1,C1,A2,C2…,An,Cn,TC)，AK為鍵衛(wèi)星名任務(wù)目標安全級別探索者U科技探索UA火山UU旅行者U搜集情報SB國家SS秘密級視圖衛(wèi)星名任務(wù)目標安全級別探索者U科技探索UA火山UU旅行者UNULLUNULLUU公開級視圖多級關(guān)系模型元組有安全標記，每個屬性有安全標記衛(wèi)星名任務(wù)目標19多級安全模型的主要問題原則上寫下讀實體與實例實體的標示多實例完整性約束多級安全模型的主要問題原則20多級關(guān)系模型插入操作后的關(guān)系衛(wèi)星名任務(wù)目標安全級別探索者U科技探索UA火山UU旅行者U搜集情報SB國家SS旅行者U科技探索UB火山UU秘密級視圖衛(wèi)星名任務(wù)目標安全級別探索者U科技探索UA火山UU旅行者U科技探索UB火山UU公開級視圖多級關(guān)系模型插入操作后的關(guān)系衛(wèi)星名任務(wù)目標安全級別探索者U21多級關(guān)系完整性實體完整性AiAK=>t[ai]<>NULLAi,AjAK=>t[ci]=t[cj]AiAK=>t[ci]<t[cak]多實例完整性同一級別的元組間不存在多實例基本操作插入、刪除、更新多級關(guān)系完整性實體完整性22數(shù)據(jù)庫安全與安全數(shù)據(jù)庫數(shù)據(jù)庫安全與安全數(shù)據(jù)庫23信息安全的基本概念信息安全可用性機密性完整性非否認性可控性威脅、脆弱性和攻擊威脅是信息遭到破壞、更改和泄露的可能性脆弱性是可能被利用來侵害雄獲系統(tǒng)內(nèi)信息的任何弱點攻擊是利用計算機系統(tǒng)的弱點來達到特定目的所故意進行的行為安全防衛(wèi)策略預(yù)防和避免轉(zhuǎn)移減少脆弱性實時檢測非實時檢測減少影響實時恢復(fù)非實時恢復(fù)可信計算基（TCB）計算機系統(tǒng)內(nèi)負責(zé)執(zhí)行安全策略的組合體包括硬件、固件和軟件信息安全的基本概念信息安全安全防衛(wèi)策略24安全機制標識和認證用戶向系統(tǒng)出示自己的身份證明訪問控制主體：以用戶名義進行資源訪問的進程、事務(wù)等實體客體：把被訪問的資源使只有被授予相應(yīng)訪問權(quán)限的主體才能對客體進行相應(yīng)的操作審計記錄和察看所有與安全相關(guān)的時間客體重用保證可重用的客體（如磁盤、內(nèi)存空間等）被釋放后，重新分配之前應(yīng)該清除其中數(shù)據(jù)，以防止其他主體從中獲取殘余機密數(shù)據(jù)可信路徑保證使用終端的用戶可以直接與可信計算基通信的機制安全機制標識和認證25數(shù)據(jù)庫安全問題數(shù)據(jù)庫的安全的價值現(xiàn)代信息系統(tǒng)中存儲了大量的商業(yè)、保密信息網(wǎng)絡(luò)和操作系統(tǒng)的安全是否是足夠的？數(shù)據(jù)庫的很多特征會破壞系統(tǒng)的安全存儲過程數(shù)據(jù)庫安全問題數(shù)據(jù)庫的安全的價值26數(shù)據(jù)庫安全威脅后果分類非授權(quán)的信息泄漏非授權(quán)的數(shù)據(jù)修改拒絕服務(wù)發(fā)生方式自然或以外災(zāi)害系統(tǒng)軟硬件錯誤人為錯誤威脅的主體授權(quán)用戶惡意代理數(shù)據(jù)庫安全威脅后果分類27數(shù)據(jù)庫安全需求防止非法數(shù)據(jù)訪問防止推理保證數(shù)據(jù)庫的完整保證數(shù)據(jù)的操作完整性數(shù)據(jù)的語義完整性審計和日志標識和認證機密數(shù)據(jù)管理多級保護界限數(shù)據(jù)庫安全需求防止非法數(shù)據(jù)訪問28數(shù)據(jù)庫系統(tǒng)安全與操作系統(tǒng)安全數(shù)據(jù)庫與操作系統(tǒng)的體系結(jié)構(gòu)數(shù)據(jù)庫與操作系統(tǒng)的安全需求不同數(shù)據(jù)庫管理系統(tǒng)操作系統(tǒng)硬件數(shù)據(jù)庫管理系統(tǒng)操作系統(tǒng)硬件數(shù)據(jù)庫管理系統(tǒng)硬件數(shù)據(jù)庫系統(tǒng)安全與操作系統(tǒng)安全數(shù)據(jù)庫與操作系統(tǒng)的體系結(jié)構(gòu)數(shù)據(jù)庫29安全模型自主訪問控制（discretionaryaccesscontrol,DAC）決定用戶能否訪問某數(shù)據(jù)對象的依據(jù)是系統(tǒng)中是否存在明確授權(quán)每個對象都有且僅有一個屬主，他制定對象的保護策略強制訪問控制（mandatoryaccesscontrol,MAC）所有的權(quán)限都歸于系統(tǒng)集中管理，保證信息的流動始終處于系統(tǒng)的控制下主體和客體均有相應(yīng)的安全屬性，系統(tǒng)根據(jù)安全屬性來控制主體對客體的訪問安全模型自主訪問控制（discretionaryacces30訪問控制矩陣模型HRU模型Harrison、Ruzzo和Ullman在1976年提出的一種基本的自主訪問控制模型基本操作賦予存儲權(quán)限、刪除存儲權(quán)限、創(chuàng)建主體、創(chuàng)建客體、刪除主體、刪除客體、…O1O2S1讀讀、寫S2讀、寫訪問控制矩陣模型HRU模型O1O2S1讀讀、寫S2讀、寫31基于角色的訪問控制模型起始于20世紀90年代最早出現(xiàn)在1992年Ferraiolo和Kuhn的文章中RBAC的核心用戶集（users）角色集（roles）對象集（objects）操作集（operaors）特權(quán)集（perm）會話集（sessions）基于角色的訪問控制模型起始于20世紀90年代32基于角色的訪問控制模型USERSROLES用戶分配ObjectsOperatorsPERMS特權(quán)分配SESSIONSRBAC核心模型基于角色的訪問控制模型USERSROLES用戶分配Objec33基于角色的訪問控制模型USERSROLES用戶分配USERSROLESPERMS特權(quán)分配SESSIONS帶角色繼承的RBAC模型角色繼承基于角色的訪問控制模型USERSROLES用戶分配USERS34多級安全數(shù)據(jù)庫多級數(shù)據(jù)庫管理系統(tǒng)體系結(jié)構(gòu)高級運行結(jié)構(gòu)可信主體結(jié)構(gòu)集中式/核心式體系結(jié)構(gòu)分布式/復(fù)制式體系結(jié)構(gòu)完整性鎖結(jié)構(gòu)多級安全數(shù)據(jù)庫多級數(shù)據(jù)庫管理系統(tǒng)體系結(jié)構(gòu)35高級運行結(jié)構(gòu)單級DBMS的一種特殊運行方式運行在安全操作系統(tǒng)的最高級所有用戶都是最高級別完全依賴于操作系統(tǒng)的TCB沒有數(shù)據(jù)內(nèi)容的分級必須嚴格監(jiān)控和管理用戶的行為高級運行結(jié)構(gòu)單級DBMS的一種特殊運行方式36可信主體結(jié)構(gòu)多級（可信）DBMS可信操作系統(tǒng)高級別用戶低級別用戶高級別數(shù)據(jù)分片低級別數(shù)據(jù)分片可信主體結(jié)構(gòu)多級（可信）DBMS可信操作系統(tǒng)高級別用戶低級別37集中式/核心式體系結(jié)構(gòu)高級別DBMS后端可信操作系統(tǒng)高級別用戶低級別用戶高級別數(shù)據(jù)分片低級別數(shù)據(jù)分片低級別DBMS后端集中式/核心式體系結(jié)構(gòu)高級別DBMS可信操作系統(tǒng)高級別用戶低38分布式/復(fù)制式體系結(jié)構(gòu)高級別DBMS可信前端（TCB）高級別用戶低級別用戶高級數(shù)據(jù)低級數(shù)據(jù)低級別DBMS低級數(shù)據(jù)分布式/復(fù)制式體系結(jié)構(gòu)高級別DBMS可信前端（TCB）高級別39完整性鎖結(jié)構(gòu)可信過濾層加密單元/安全操作系統(tǒng)高級別用戶低級別用戶非可信DBMS數(shù)據(jù)庫非可信前端非可信前端完整性鎖結(jié)構(gòu)可信過濾層加密單元/安全操作系統(tǒng)高級別用戶低級別40多級關(guān)系模型元組有安全標記，每個屬性有安全標記RS(A1,A2,…,An)->RS(A1,C1,A2,C2…,An,Cn,TC)，AK為鍵衛(wèi)星名任務(wù)目標安全級別探索者U科技探索UA火山UU旅行者U搜集情報SB國家SS秘密級視圖衛(wèi)星名任務(wù)目標安全級別探索者U科技探索UA火山UU旅行者UNULLUNULLUU公開級視圖多級關(guān)系模型元組有安全標記，每個屬性有安全標記衛(wèi)星名任務(wù)目標41多級安全模型的主要問題原則上寫下讀實體與實例實體的標示多實例完整性約束多級安全模型的主要問題原則42多級關(guān)系模型插入操作后的關(guān)系衛(wèi)星名任務(wù)目標安全級別探索者U科技探