第9章 數(shù)據(jù)庫系統(tǒng)安全

第9章數(shù)據(jù)庫系統(tǒng)安全數(shù)據(jù)庫是計算機科學的一個重要分支，任何信息管理的應用都離不開數(shù)據(jù)庫的支持。隨著網(wǎng)絡的發(fā)展，數(shù)據(jù)庫已經(jīng)與網(wǎng)絡緊密地結合起來。數(shù)據(jù)庫系統(tǒng)安全的重要性不亞于網(wǎng)絡安全的重要性。數(shù)據(jù)庫是信息的主要來源。數(shù)據(jù)庫系統(tǒng)的安全有它獨有的特點。第9章數(shù)據(jù)庫系統(tǒng)安全NetworkandInformationSecurity9.1數(shù)據(jù)庫安全概述

NetworkandInformationSecurity安全問題注釋物理上的數(shù)據(jù)庫完整性預防數(shù)據(jù)庫物理方面的問題，如掉電，以及當被災禍破壞后能重構數(shù)據(jù)庫邏輯上的數(shù)據(jù)庫完整性保持數(shù)據(jù)的結構，比如：一個字段值的修改不至于影響其他字段元素的完整性包含在每個元素中的數(shù)據(jù)都是準確的可審計性能夠追蹤到誰訪問修改過數(shù)據(jù)的元素訪問控制允許用戶只訪問被批準的數(shù)據(jù)，以及限制不同的用戶有不同的訪問模式，如讀或寫用戶認證確保每個用戶被正確地識別，既便于審計追蹤，也為了限制對特定的數(shù)據(jù)進行訪問可獲（用）性用戶一般可以訪問數(shù)據(jù)庫以及所有被批準訪問的數(shù)據(jù)保密性非授權用戶得不到數(shù)據(jù)的明文(1)

存取控制技術(2)

隔離控制技術(3)

加密技術(4)

信息流向控制技術(5)

推理控制技術(6)數(shù)據(jù)備份技術

NetworkandInformationSecurity9.1.1數(shù)據(jù)庫安全技術一般情況下，我們可以確定整個數(shù)據(jù)庫是敏感的(要求保密)或不敏感的(不要求保密)。細一點，可以確定庫中的某個基表(對于關系型數(shù)據(jù)庫)是敏感的或不敏感的。但有時情況卻復雜得多。NetworkandInformationSecurity9.1.2多級數(shù)據(jù)庫姓名、部門和電話這三列是不需保密的，任何人都可以查詢。但是工資和績效考核卻是必須保密的(現(xiàn)在很多企業(yè)都搞所謂的“密薪制”)，這說明基表中只有部分字段是敏感的。姓名部門工資電話績效考核張三培訓李四技術部25002171420良王五辦公室16002582322中趙六客戶服務部20002582254良NetworkandInformationSecurity也許李四是一個特殊人物，他的所有情況都要保密，甚至他的存在都是一個秘密。趙六的電話也許很重要，不想被別人知道。這些數(shù)據(jù)的安全要求與工資與績效考核兩個字段的安全要求是不一樣的。

姓名部門工資電話績效考核張三培訓李四技術部25002171420良王五辦公室16002582322中趙六客戶服務部20002582254良NetworkandInformationSecurity1.一個元素的敏感度可能不同于同一記錄的其他元素或同一屬性的其他值。這要求應該對每個元素單獨實行安全保護。2.敏感和不敏感兩種級別不足以描繪某些安全要求，需要多個安全級別。3.集合安全不同于單個元素的安全，如數(shù)據(jù)庫中的和、平均值。集合安全可能高于也可能低于單個元素的安全。第9章數(shù)據(jù)庫系統(tǒng)安全NetworkandInformationSecurity數(shù)據(jù)庫安全特點雖然DBMS在操作系統(tǒng)的基礎上增加了不少安全措施，例如基于權限的訪問控制等，但操作系統(tǒng)和DBMS對數(shù)據(jù)庫文件本身仍然缺乏有效的保護措施，有經(jīng)驗的黑客會“繞道而行”，直接利用操作系統(tǒng)工具竊取或篡改數(shù)據(jù)庫文件內(nèi)容。被稱為通向DBMS的“隱秘通道”，它所帶來的危害一般數(shù)據(jù)庫用戶難以覺察。分析和堵塞“隱秘通道”被認為是B2級的安全技術措施。對數(shù)據(jù)庫中的敏感數(shù)據(jù)進行加密處理，是堵塞這一“隱秘通道”的有效手段。9.2數(shù)據(jù)庫加密

第9章數(shù)據(jù)庫系統(tǒng)安全NetworkandInformationSecurity80％的計算機犯罪來自系統(tǒng)內(nèi)部。在傳統(tǒng)的數(shù)據(jù)庫系統(tǒng)中，數(shù)據(jù)庫管理員的權力至高無上，他既負責各項系統(tǒng)管理工作，例如資源分配、用戶授權、系統(tǒng)審計等，又可以查詢數(shù)據(jù)庫中的一切信息。為此，可采用技術手段來削弱系統(tǒng)管理員的權力，如采用多權分立的策略，除了系統(tǒng)管理員以外，增加安全員和審計員，使系統(tǒng)管理員、安全員和審計員之間相互牽制、制約。實現(xiàn)數(shù)據(jù)庫加密以后，各用戶（或用戶組）的數(shù)據(jù)由用戶用自己的密鑰加密，數(shù)據(jù)庫管理員沒有密鑰無法進行正常解密，從而保證了用戶信息的安全。另外，通過加密，數(shù)據(jù)庫的部分內(nèi)容成為密文，從而能減少因介質失竊或丟失而造成的損失。數(shù)據(jù)庫加密對于企業(yè)內(nèi)部安全管理，也是不可或缺的。一般來說，一個良好的數(shù)據(jù)庫加密系統(tǒng)應該滿足以下基本要求：1.支持各種粒度加密2.良好的密鑰管理機制3.合理處理數(shù)據(jù)4.不影響合法用戶的操作NetworkandInformationSecurity9.2.1數(shù)據(jù)庫加密的基本要求1.操作系統(tǒng)層加密2.DBMS內(nèi)核層實現(xiàn)加密

3.DBMS外層實現(xiàn)加密

NetworkandInformationSecurity9.2.2數(shù)據(jù)庫加密的方式數(shù)據(jù)庫加密系統(tǒng)分成兩個功能獨立的主要部件：一個是加密字典及其管理程序，另一個是數(shù)據(jù)庫加/解密引擎

通過調用數(shù)據(jù)加/解密引擎實現(xiàn)對數(shù)據(jù)庫數(shù)據(jù)的加密、解密及數(shù)據(jù)轉換等功能。用戶對數(shù)據(jù)庫信息具體的加密要求以及參數(shù)信息保存在加密字典中優(yōu)點首先，系統(tǒng)對數(shù)據(jù)庫的最終用戶是完全透明的，系統(tǒng)(?)可以根據(jù)需要進行明文和密文的轉換工作；其次，加密系統(tǒng)完全獨立于數(shù)據(jù)庫應用系統(tǒng)，無須改動數(shù)據(jù)庫應用系統(tǒng)就能實現(xiàn)數(shù)據(jù)加密功能；第三，加/解密處理在客戶端進行，不會影響數(shù)據(jù)庫服務器的效率。數(shù)據(jù)庫加/解密引擎是數(shù)據(jù)庫加密系統(tǒng)的核心部件，它位于客戶程序與數(shù)據(jù)庫服務器之間，負責在后臺完成數(shù)據(jù)庫信息的加/解密處理，對操作人員來說是透明的。數(shù)據(jù)加/解密引擎沒有操作界面，在需要時由操作系統(tǒng)自動加載并駐留在內(nèi)存中。數(shù)據(jù)庫加密如果采用序列密碼，那么同步將成為一個大問題。需要對大片密文中的極小部分解密時，如何同步密文與密鑰呢？非對稱加密?所以數(shù)據(jù)庫加密一般采用分組密碼。對于分組密碼中常用的ECB和CBC兩種模式，又該如何確定呢？考慮到數(shù)據(jù)庫中會有大量相同的數(shù)據(jù)，比如性別、職務、年齡等信息，我們應該采用CBC模式。對于在DBMS上實現(xiàn)的加密，加密粒度可以細分為基表、記錄、字段或數(shù)據(jù)元素。第9章數(shù)據(jù)庫系統(tǒng)安全NetworkandInformationSecurity9.2.3數(shù)據(jù)庫加密的方法及加密粒度9.2.4數(shù)據(jù)庫加密系統(tǒng)的密鑰管理

第9章數(shù)據(jù)庫系統(tǒng)安全NetworkandInformationSecurity當一用戶訪問數(shù)據(jù)庫時，密鑰管理中心利用某種技術對用戶進行身份認證。如果是合法用戶，則允許訪問.密鑰管理中心根據(jù)用戶的權限取出相應的數(shù)據(jù)密鑰，根據(jù)用戶的請求對有關數(shù)據(jù)進行加解密處理。其中密鑰的產(chǎn)生應滿足下列條件：1.在產(chǎn)生大量密鑰的過程中，產(chǎn)生重復密鑰的概率要盡可能的低。2.從一個數(shù)據(jù)項的密鑰推導出另一個數(shù)據(jù)項的密鑰在計算上是不可行的，這樣，即使部分密鑰泄露，其他密鑰也是安全的。3.即使知道一些明文值的統(tǒng)計分布，要從密文中獲取未知明文，在計算上是不可行的。9.3.1統(tǒng)計數(shù)據(jù)庫的安全問題具體地說，統(tǒng)計數(shù)據(jù)庫是這樣一種數(shù)據(jù)庫；從庫中取得的信息是關于一實體集子集的匯總信息。統(tǒng)計數(shù)據(jù)庫只為提供統(tǒng)計數(shù)據(jù)所用，如人口普查數(shù)據(jù)庫就是這樣。在統(tǒng)計數(shù)據(jù)庫中，除了禁止非法存取等一般安全問題外，還存在特殊的安全問題。保護統(tǒng)計數(shù)據(jù)庫的目的是，由該數(shù)據(jù)庫發(fā)布統(tǒng)計信息時，保證不會使其中受保護的具體信息泄露。

9.3統(tǒng)計數(shù)據(jù)庫的安全

第9章數(shù)據(jù)庫系統(tǒng)安全NetworkandInformationSecurity一般的統(tǒng)計數(shù)據(jù)庫有下面幾種統(tǒng)計信息類型：1.計數(shù)：count(c)，求滿足特征表達式c的記錄個數(shù)。2.求和：sum(c,a)，求滿足特征表達式c的記錄中字段a的和。3.求平均值：average(c,a)，求滿足特征表達式c的記錄中字段a的平均值。4.求最大值：max(c,a)，求滿足特征表達式c的記錄中字段a的最大值。5.求最小值：min(c,a)，求滿足特征表達式c的記錄中字段a的最小值。第9章數(shù)據(jù)庫系統(tǒng)安全NetworkandInformationSecurity編號章節(jié)題型難度分值111選擇A2211填空B2321判斷C2421簡答A5531應用B10631選擇C2741填空A2841簡答B(yǎng)5題庫分析人如果想知道第三章各題的分值，他直接查詢將會被拒絕。但他可以先查詢count(章=3)，得到結果為2；他再查詢sum(章=3，分值)，得到結果12；他再查詢max(章=3，分值)，得到結果10?，F(xiàn)在他已知道第三章有兩道題，一道10分，一道2分。用戶通過一些統(tǒng)計數(shù)據(jù)庫允許的合法查詢，可以得到本來對他保密的信息。統(tǒng)計數(shù)據(jù)庫遠不是安全保密的，而且，前面介紹的一般數(shù)據(jù)庫的訪問控制并不能解決統(tǒng)計數(shù)據(jù)庫的泄密問題.因為訪問控制主要是限制用戶的存取權力，用戶只能對數(shù)據(jù)庫中的一部分數(shù)據(jù)進行訪問。在統(tǒng)計數(shù)據(jù)庫中，保密的目標應該是防止用戶通過一系列“合法”的統(tǒng)計查詢，使“不合法”的要求得到滿足，也就是防止用戶從一系列查詢中推理出某些秘密信息，這時我們要實行的控制稱為“推理控制”。

第9章數(shù)據(jù)庫系統(tǒng)安全NetworkandInformationSecurity9.3.2安全性與精確度

第9章數(shù)據(jù)庫系統(tǒng)安全NetworkandInformationSecurity設S為全部統(tǒng)計信息，P為非機密統(tǒng)計信息子集，R為發(fā)布的子集，D是由R(也包括R在內(nèi)的統(tǒng)計信息)泄露的統(tǒng)計信息子集

發(fā)布R子集的目的是，全部非機密統(tǒng)計信息在R內(nèi)或可由R求得，當D≥P時(精確度)，發(fā)布的統(tǒng)計信息包含了全部非機密統(tǒng)計信息，因而可認為發(fā)布的統(tǒng)計信息保證了精確度。精確度保證了最大限度地使用統(tǒng)計信息，而安全性則保證了秘密統(tǒng)計信息的秘密。如果滿足條件D≤P(安全性)

，則不會因R而使秘密統(tǒng)計信息泄露?？梢钥闯觯踩耘c精確度的要求正好是相反的，二者都滿足的條件是D＝P。要做到既保證安全性，又保證精確度，即D＝P，是非常困難的1.小查詢集和大查詢集攻擊

2.跟蹤器攻擊

3.插入和刪除攻擊

4.對線性系統(tǒng)的攻擊

第9章數(shù)據(jù)庫系統(tǒng)安全NetworkandInformationSecurity9.3.3對統(tǒng)計數(shù)據(jù)庫的攻擊方式1.小查詢集和大查詢集攻擊現(xiàn)假設用戶的外部知識使其知道數(shù)據(jù)庫內(nèi)第i個記錄滿足特征表達式c，如果用戶以統(tǒng)計信息count(c)查詢數(shù)據(jù)庫，并得到回答count(c)=1，則該用戶能夠確定該查詢集只含一個記錄，即第i個記錄。此時，用戶利用統(tǒng)計信息sum(c，a)的查詢，可求得第i個記錄的字段a的值；也可以以統(tǒng)計信息count(candd)查詢數(shù)據(jù)庫內(nèi)第i個記錄是否滿足特征表達式d，若值為0則說明不滿足，值為1則說明滿足。甚至在查詢集記錄個數(shù)不唯一的情況下，這類攻擊有時仍然是可行的。假設已知第i個記錄滿足c，且count(c)>1，如果count(candd)=count(c)，則第i個記錄當然也滿足d。如果count(candd)<count(c)，則不能確定第i個記錄是否滿足d。2.跟蹤器攻擊利用所謂“跟蹤器”的手段，也可使統(tǒng)計數(shù)據(jù)庫泄密。跟蹤器有多種。假設用戶已知第i個記錄唯一滿足特征表達式c，如果想通過統(tǒng)計查詢sum(c，a)求得第i個記錄的字段a的值，在系統(tǒng)實施了查詢集控制后，由于查詢集過小將遭拒絕，故用戶不能直接得到結果。但是，如果特征表達式c可由多個表達式組合而成，即將c分成c1、c2，使得c=c1-c2，同時，count(c1)和count(c2)都大小適中，不受限。此時，由于count(c1)和count(c2)均不受查詢集限制，所以用戶可用count(c)=count(c1)-count(c2)來驗證count(c)=1，然后可利用sum(c,a)=sum(c1，a)-sum(c2，a)來求得第i個記錄的字段a的值。3.插入和刪除攻擊

插入和刪除攻擊是攻擊者通過插入自己所知的假記錄來觀察統(tǒng)計信息的變化情況，從而分析出秘密信息。例如，如果查詢集過小，用戶可以將一些滿足條件的假記錄插入統(tǒng)計數(shù)據(jù)庫，使得查詢集變大，從而使查詢得以進行。只需從查詢集中除去那些假記錄的信息，即可得到真實信息。顯然，如果要求只對統(tǒng)計信息有查詢權的用戶不能插入或刪除記錄，或雖然能夠插入刪除，但對數(shù)據(jù)庫出現(xiàn)的變化加以控制，則插入刪除攻擊并不會構成嚴重威脅。4.對線性系統(tǒng)的攻擊

可以對統(tǒng)計數(shù)據(jù)庫進行多次相關的查詢，把查詢條件、查詢結果和秘密信息構成一個線性方程組，通過解線性方程組的方法來求得秘密信息。第一類：對統(tǒng)計數(shù)據(jù)庫的查詢加以限制。

1.限制查詢集的大小

2.單元隱蔽（能夠幫助用戶推導出秘密信息的有關統(tǒng)計信息單元應該隱去

）

3.最大階控制（如果一個統(tǒng)計查詢恰好涉及到m個互不相同的屬性，那么這樣的統(tǒng)計稱為m階統(tǒng)計，所謂最大階控制就是要限制m的值。）4.數(shù)據(jù)庫分割（將數(shù)據(jù)庫分割成一個個記錄組，規(guī)定用戶只能以這些記錄組作為基本單元進行統(tǒng)計查詢，亦即同一記錄組中的數(shù)據(jù)，或者全部在查詢集中，或者全部不在其中。）第9章數(shù)據(jù)庫系統(tǒng)安全NetworkandInformationSecurity9.3.4統(tǒng)計數(shù)據(jù)庫的安全措施第二類：數(shù)據(jù)攪亂方式對統(tǒng)計數(shù)據(jù)庫的幾種查詢限制方式是以限制用戶的統(tǒng)計查詢要求為代價的，有時會影響正常用戶的使用。數(shù)據(jù)攪亂方式的原理與此則完全不相同。所謂數(shù)據(jù)攪亂，就是系統(tǒng)在發(fā)布統(tǒng)計信息之前，使統(tǒng)計值發(fā)生變化。當然，攪亂的目的是使用戶無法從統(tǒng)計值中推斷出秘密信息，而不能破壞整個數(shù)據(jù)庫數(shù)據(jù)的統(tǒng)計規(guī)律。9.4.1Web數(shù)據(jù)庫概述由于Web的易用性、實用性，它很快占據(jù)了Internet服務的主導地位，已經(jīng)成為使用最為廣泛、最有前途、最有魅力的信息傳播技術。不過，Web服務只是提供了Internet上信息交互的平臺。隨著Internet技術的興起與發(fā)展和Web技術的蓬勃發(fā)展，人們已不滿足于只在Web瀏覽器上獲取靜態(tài)的信息，人們需要通過它發(fā)表意見、查詢數(shù)據(jù)，甚至進行網(wǎng)上購物,這就迫切需要實現(xiàn)動態(tài)的Web信息服務。9.4Web數(shù)據(jù)庫的安全

第9章數(shù)據(jù)庫系統(tǒng)安全NetworkandInformationSecurity當前比較流行的Web數(shù)據(jù)庫主要有：1.SQLServer2.MySQL3.Oracle這3種數(shù)據(jù)庫適應性強，性能優(yōu)異，容易使用，在國內(nèi)得到了廣泛的應用。第9章數(shù)據(jù)庫系統(tǒng)安全NetworkandInformationSecurity9.4.2常用的幾種Web數(shù)據(jù)庫(1)突破客戶端腳本的限制

(2)對SQL語句的攻擊程序中的SQL查詢語句（以ASP.net為例，username.Text與passwd.Text是用戶名與口令兩個文本框的值）可能是：sql="select*fromuserwhereusername='"+username.Text+"'andpasswd='"+passwd.Text+"'";執(zhí)行的時候就是：select*fromuserwhereusername='cheng'andpasswd='1234'第9章數(shù)據(jù)庫系統(tǒng)安全NetworkandInformationSecurity9.4.3Web數(shù)據(jù)庫安全簡介根據(jù)返回的數(shù)據(jù)集是否為空來判斷是否能夠登錄。如果攻擊者在passwd文本框里輸入的不是1234，而是1111'or'1'='1，SQL語句就成為：select*fromuserwhereusername='cheng'andpasswd='1111'or'1'='1'由于‘1’=‘1’恒為真，即使口令不對也沒關系，這條語句肯定能返回數(shù)據(jù)集。實際上，用戶名對不對也沒有關系。這就是著名且古老的1=1攻擊。安全的辦法是在程序中增加對單引號等特殊字符的過濾。第9章數(shù)據(jù)庫系統(tǒng)安全NetworkandInformationSecurity(3)利用多SQL語句執(zhí)行漏洞

select*frombookwherebookname=’linux入門’如果我們輸入的不是linux入門而是linux入門’;deletebook--，則執(zhí)行語句變?yōu)椋簊elect*fr