第四章數(shù)據(jù)庫安全性

第四章數(shù)據(jù)庫安全性4.1數(shù)據(jù)庫安全性概述4.2數(shù)據(jù)庫安全性控制第四章數(shù)據(jù)庫安全性4.1計算機(jī)的安全性數(shù)據(jù)庫的安全性是指保護(hù)數(shù)據(jù)庫以防止不合法的使用所造成的數(shù)據(jù)泄露、更改或破壞。安全性問題不是數(shù)據(jù)庫系統(tǒng)所獨有的，所有計算系統(tǒng)都有這個問題。但數(shù)據(jù)庫中大量數(shù)據(jù)集中存放，而且為許多最終用戶直接共享，從而使安全性問題更為突出。第四章數(shù)據(jù)庫安全性4.1計算機(jī)的安全性數(shù)據(jù)庫的安全性和計算機(jī)系統(tǒng)的安全性，是緊密聯(lián)系、相互支持的。包括計算機(jī)硬件、操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)等的安全性。第四章數(shù)據(jù)庫安全性4.1.1計算機(jī)系統(tǒng)的三類安全性問題計算機(jī)系統(tǒng)安全性，是指為計算機(jī)系統(tǒng)建立和采取的各種安全保護(hù)措施，以保護(hù)計算機(jī)系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。第四章數(shù)據(jù)庫安全性4.1.1計算機(jī)系統(tǒng)的三類安全性問題計算機(jī)安全不僅涉及到計算機(jī)系統(tǒng)本身的技術(shù)問題、管理問題，還涉及法學(xué)、犯罪學(xué)、心理學(xué)的問題。計算機(jī)系統(tǒng)的安全性問題可分為三大類，即技術(shù)安全類、管理安全類和政策法律類。第四章數(shù)據(jù)庫安全性4.1.1計算機(jī)系統(tǒng)的三類安全性問題技術(shù)安全是指計算機(jī)系統(tǒng)中采用具有一定安全性的硬件、軟件來實現(xiàn)對計算機(jī)系統(tǒng)及其所存數(shù)據(jù)的安全保護(hù)，當(dāng)計算機(jī)系統(tǒng)受到無意或惡意的攻擊時仍能保證系統(tǒng)正常運行，保證系統(tǒng)內(nèi)的數(shù)據(jù)不增加、不丟失、不泄露。第四章數(shù)據(jù)庫安全性4.1.1計算機(jī)系統(tǒng)的三類安全性問題管理安全是指由于管理不善導(dǎo)致的計算機(jī)設(shè)備和數(shù)據(jù)介質(zhì)的物理破壞、丟失等軟硬件意外故障以及場地的意外事故等安全問題。政策法律則指政府部門建立的有關(guān)計算機(jī)犯罪、數(shù)據(jù)安全保密的法律道德準(zhǔn)則和政策法規(guī)、法令。4.1.2

安全標(biāo)準(zhǔn)簡介安全標(biāo)準(zhǔn)計算機(jī)以及信息安全技術(shù)方面有一系列的安全標(biāo)準(zhǔn)，最有影響的當(dāng)推TCSEC和CC這兩個標(biāo)準(zhǔn)。TCSEC又稱橘皮書1991年4月美國NCSC（國家計算機(jī)安全中心）頒布了《可信計算機(jī)系統(tǒng)評估準(zhǔn)則關(guān)于可信數(shù)據(jù)庫系統(tǒng)的解釋》（TrustedDatabaseInterpretation，簡稱TDI，即紫皮書），將TCSEC擴(kuò)展到數(shù)據(jù)庫管理系統(tǒng)。TDI中定義了數(shù)據(jù)庫系統(tǒng)的設(shè)計與實現(xiàn)中需滿足和用以進(jìn)行安全性級別評估的標(biāo)準(zhǔn)。CC提出了目前國際上公認(rèn)的表述信息技術(shù)安全性的結(jié)構(gòu)，即把對信息產(chǎn)品的安全要求分為安全功能要求和安全保證要求。4.2

數(shù)據(jù)庫安全性控制的常用方法

應(yīng)用DBMSOS

DB低高安全性控制層次方法：

用戶標(biāo)識和鑒別

數(shù)據(jù)庫安全保護(hù)操作系統(tǒng)安全保護(hù)

數(shù)據(jù)密碼存儲計算機(jī)系統(tǒng)中的安全模型4.2數(shù)據(jù)庫安全性控制的常用方法用戶標(biāo)識和鑒定（Identification&Authentication）系統(tǒng)提供的最外層安全保護(hù)措施存取控制訪問權(quán)限通過視圖調(diào)整授權(quán)定義可向用戶授權(quán)數(shù)據(jù)庫特定部分的用戶視圖審計追蹤信息，重現(xiàn)導(dǎo)致數(shù)據(jù)庫現(xiàn)有狀況的一系列事件密碼存儲使用加密技術(shù)保護(hù)機(jī)密數(shù)據(jù)4.2.1用戶標(biāo)識與鑒定用戶標(biāo)識和鑒別是系統(tǒng)提供的最外層安全性保護(hù)措施。其方法是由系統(tǒng)提供一定的方式讓用戶標(biāo)識自己的名字或身份。每次用戶要求進(jìn)入系統(tǒng)時，由系統(tǒng)進(jìn)行核對，通過鑒定后才提供機(jī)器使用權(quán)。對于獲得上機(jī)權(quán)的用戶若要使用數(shù)據(jù)庫時數(shù)據(jù)庫管理系統(tǒng)還要進(jìn)行用戶標(biāo)識和鑒定。用戶標(biāo)識和鑒定的方法有很多種，常用的方法有：用戶標(biāo)識用一個用戶名或者用戶標(biāo)識號來標(biāo)明用戶身份。系統(tǒng)內(nèi)部記錄著所有合法用戶的標(biāo)識，系統(tǒng)鑒別此用戶是否是合法用戶，若是，則可以進(jìn)入下一步的核實；若不是，則不能使用系統(tǒng)。4.2.1用戶標(biāo)識與鑒定口令為了進(jìn)一步核實用戶，系統(tǒng)常常要求用戶輸入口令。為了保密起見，用戶在終端上輸入的口令不顯示在屏幕上。系統(tǒng)核對口令以鑒別用戶身份。通過用戶名和口令來鑒定用戶的方法簡單易行，但用戶名與口令容易被人竊取，因此還可以用更復(fù)雜的方法。例如每個用戶都預(yù)先約定好一個計算過程或者函數(shù)，鑒別用戶身份時，系統(tǒng)提供一個隨機(jī)數(shù)，用戶根據(jù)自己預(yù)先約定的計算過程或者函數(shù)進(jìn)行計算，系統(tǒng)根據(jù)用戶計算結(jié)果是否正確進(jìn)一步確定用戶身份。用戶可以約定比較簡單的計算過程或函數(shù)以便計算起來方便；也可以約定比較復(fù)雜的計算過程或函數(shù)，以便安全性更好。4.2.1用戶標(biāo)識和鑒定SQLServer提供兩種不同的方法來驗證用戶進(jìn)入服務(wù)器。用戶可以根據(jù)自己的網(wǎng)絡(luò)配置決定使用其中一種。Windows驗證NT以上O.S.：允許SQLServer使用O.S.的用戶名和口令SQLServer驗證用戶傳給服務(wù)器的登錄信息與系統(tǒng)表syslogins中的信息進(jìn)行比較。如果兩個口令匹配，SQLServer允許用戶訪問服務(wù)器。如果不匹配，SQLServer不允許訪問，并且用戶會從服務(wù)器上收到一個出錯信息4.2.2存取控制數(shù)據(jù)庫安全最重要的一點就是確保只授權(quán)給有資格的用戶訪問數(shù)據(jù)庫的權(quán)限，同時令所有未被授權(quán)的人員無法接近數(shù)據(jù)，這主要通過數(shù)據(jù)庫系統(tǒng)的存取控制機(jī)制實現(xiàn)。4.2.2存取控制存取控制機(jī)制主要包括兩部分：1.定義用戶權(quán)限，并將用戶權(quán)限登記到數(shù)據(jù)字典中。DBMS提供適當(dāng)?shù)恼Z言來定義用戶權(quán)限，這些定義經(jīng)過編譯后存放在數(shù)據(jù)字典中，被稱做安全規(guī)則或授權(quán)規(guī)則。2.合法權(quán)限檢查當(dāng)用戶發(fā)出存取數(shù)據(jù)庫的操作請求后，DBMS查找數(shù)據(jù)字典，根據(jù)安全規(guī)則進(jìn)行合法權(quán)限檢查，若用戶的操作請求超出了定義的權(quán)限，系統(tǒng)將拒絕執(zhí)行此操作。4.2.2存取控制兩類方法（1）在自主存取控制方法中，用戶對于不同的數(shù)據(jù)庫對象有不同的存取權(quán)限，不同的用戶對同一對象也有不同的權(quán)限，而且用戶還可將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶。因此自主存取控制非常靈活。（2）在強(qiáng)制存取控制方法中，每一個數(shù)據(jù)庫對象被標(biāo)以一定的密級，每一個用戶也被授予某一個級別的許可證。對于任意一個對象，只有具有合法許可證的用戶才可以存取。強(qiáng)制存取控制相對比較嚴(yán)格。4.2.3

自主存取控制（DAC）方法SQL的GRANT語句和REVOKE語句來實現(xiàn)。用戶權(quán)限是由兩個要素組成的：數(shù)據(jù)庫對象和操作類型。定義一個用戶的存取權(quán)限就是要定義這個用戶可以在哪些數(shù)據(jù)庫對象上進(jìn)行哪些類型的操作。在數(shù)據(jù)庫系統(tǒng)中，定義存取權(quán)限稱為授權(quán)。4.2.4授權(quán)(Authorization)與回收誰定義？DBA和表的建立者（即表的屬主）如何定義？SQL語句：GRANT-將對指定操作對象的指定操作權(quán)限授予指定的用戶REVOKE-從指定用戶那里收回對指定對象的指定權(quán)限4.2.4授權(quán)與回收GRANT語句的一般格式:grant<權(quán)限>[,<權(quán)限>]…[on<對象類型><對象名>]to<用戶>[,<用戶>…][withgrantoption];例子:把查詢Students表的權(quán)限授給用戶wang

grantselectonStudentstowang;4.2.4授權(quán)與回收withgrantoption子句例子:把對表SC的查詢權(quán)限、修改成績權(quán)限授給wang和zhang,并允許wang和zhang將該權(quán)限授予他人

grant

select,update(Grade)

on

SC

towang,zhang

withgrantoption;DBA、對象的建立者和經(jīng)過withgrantoption授權(quán)的用戶可以把他們對該對象具有的操作權(quán)限授予其它的合法用戶USER1USER2USER3USER44.2.5授權(quán)與回收授出的權(quán)限可以由DBA或其他的授權(quán)者收回revoke

<權(quán)限>[,<權(quán)限>]…[on<對象類型><對象名>]from<用戶>[,<用戶>…]例子:把用戶wang和zhang修改成績的權(quán)限收回

revokeupdate(Grade)

on

SCfromwang,zhang;授權(quán)回收操作是級聯(lián)的USER1USER2USER3USER44.2.6數(shù)據(jù)庫角色（Role）如果要給成千上萬個雇員授權(quán)，將面臨很大的管理難題，每次有雇員到來或者離開時，就得有人分配或去除可能與數(shù)百張表或視圖有關(guān)的權(quán)限。這項任務(wù)不但耗時，而且容易出錯。一個相對簡單有效的解決方案就是定義數(shù)據(jù)庫角色。數(shù)據(jù)庫角色是被命名的一組與數(shù)據(jù)庫操作相關(guān)的權(quán)限，即一組相關(guān)權(quán)限的集合?？梢詾橐唤M具有相同權(quán)限的用戶創(chuàng)建一個角色。使用角色來管理數(shù)據(jù)庫權(quán)限可以簡化授權(quán)的過程。4.2.6

數(shù)據(jù)庫角色（Role）角色示例createrolehihihigrantselectonstudenttohihihisp_addrolememberhihihi,userli4.2.6強(qiáng)制存取控制（MAC）方法在MAC中，DBMS所管理的全部實體被分為主體和客體兩大類。主體是系統(tǒng)中的活動實體，既包括DBMS所管理的實際用戶，也包括代表用戶的各進(jìn)程?？腕w是系統(tǒng)中的被動實體，是受主體操縱的，包括文件、基表、索引、視圖等等。對于主體和客體，DBMS為它們每個實例（值）指派一個敏感度標(biāo)記（Label）。4.2.6強(qiáng)制控制敏感度標(biāo)記被分成若干級別，例如絕密(TopSecret)、機(jī)密(Secret)、可信(Confidential)、公開(Public)等。主體的敏感度標(biāo)記稱為許可證級別(ClearanceLevel)，客體的敏感度標(biāo)記稱為密級（ClassificationLevel）。MAC機(jī)制就是通過對比主體的Label和客體的Label，最終確定主體是否能夠存取客體。當(dāng)某一用戶（或一主體）以標(biāo)記label注冊入系統(tǒng)時，系統(tǒng)要求他對任何客體的存取必須遵循如下規(guī)則：(1)僅當(dāng)主體的許可證級別大于或等于客體的密級時，該主體才能讀取相應(yīng)的客體；(2)僅當(dāng)主體的許可證級別等于客體的密級時，該主體才能寫相應(yīng)的客體。4.3視圖機(jī)制視圖機(jī)制把要保密的數(shù)據(jù)對無權(quán)存取這些數(shù)據(jù)的用戶隱藏起來，從而自動地對數(shù)據(jù)提供一定程度的安全保護(hù)4.3視圖機(jī)制在實際應(yīng)用中通常是視圖機(jī)制與授權(quán)機(jī)制配合使用，首先用視圖機(jī)制屏蔽掉一部分保密數(shù)據(jù)，然后在視圖上面再進(jìn)一步定義存取權(quán)限這時視圖機(jī)制實際上間接實現(xiàn)了支持存取謂詞的用戶權(quán)限定義4.3視圖機(jī)制例如：USER1只能檢索計算機(jī)系學(xué)生的信息(1)先建立計算機(jī)系學(xué)生的視圖CS_StudentCREATEVIEWCS_StudentASSELECT*FROMStudentWHERESdept=‘CS’；(2)在視圖上進(jìn)一步定義存取權(quán)限GRANTSELECTONCS_StudentTOUSER1；4.4審計審計功能把用戶對數(shù)據(jù)庫的所有操作自動記錄下來放入審計日志（AuditLog）中。DBA可以利用審計日志中的追蹤信息，重現(xiàn)導(dǎo)致數(shù)據(jù)庫現(xiàn)有狀況的一系列事件，以找出非法存取數(shù)據(jù)的人、時間和內(nèi)容等。C2以上安全級別的DBMS必須具有審計功能4.4審計審計很費時間和空間，所以DBMS往往都將其作為可選特征。DBA可以根據(jù)應(yīng)用對安全性的要求，靈活地打開或關(guān)閉審計功能。審計功能一般主要用于安全性要求較高的部門。當(dāng)數(shù)據(jù)相當(dāng)敏感，或者對數(shù)據(jù)的處理極為重要時，就必須使用審計技術(shù)。4.4審計審計一般可以分為用戶級審計是任何用戶可設(shè)置的審計，主要是針對自己創(chuàng)建的數(shù)據(jù)庫表或視圖進(jìn)行審計，記錄所有用戶對這些表或視圖的一切成功和（或）不成功的訪問要求以及各種類型的SQL操作系統(tǒng)級審計只能由DBA設(shè)置，用以監(jiān)測成功或失敗的登錄要求、監(jiān)測Grant和Revoke操作以及其他數(shù)據(jù)庫級權(quán)限下的操作4.5

數(shù)據(jù)加密數(shù)據(jù)加密是防止數(shù)據(jù)庫中數(shù)據(jù)在存儲和傳輸中失密的有效手段。根據(jù)一定的算法將原始數(shù)據(jù)（術(shù)語為明文，Plaintext）變換為不可直接識別的格式（術(shù)語為密文，Ciphertext）不知道解密算法的人無法獲知數(shù)據(jù)的內(nèi)容4.5

數(shù)據(jù)加密替換方法使用密鑰（EncryptionKey）將明文中的每一個字符轉(zhuǎn)換為密文中的一個字符置換方法將明文的字符按不同的順序重新排列這兩種方法結(jié)合能提供相當(dāng)高的安全程度

4.6

統(tǒng)計數(shù)據(jù)庫安全性一般地，統(tǒng)計數(shù)據(jù)庫允許用戶查詢聚集類型的信息（例如合計、平均值等），但是不允許查詢單個記錄信息。例如，查詢“程序員的平均工資是多少？”是合法的，但是查詢“程序員張勇的工資是多少？”是不允許的。在統(tǒng)計數(shù)據(jù)庫中存在著特殊的安全性