數(shù)據(jù)安全性控制

第四章數(shù)據(jù)庫安全性AnIntroductiontoDatabaseSystem數(shù)據(jù)庫安全性安全性指什么？數(shù)據(jù)庫安全性是指保護數(shù)據(jù)以防止不合法的使用所造成的數(shù)據(jù)泄密、更改或破壞。安全性問題的提出計算機系統(tǒng)的數(shù)據(jù)共享機制必然帶來安全性問題；數(shù)據(jù)庫的一大特點是數(shù)據(jù)共享，但是不能無條件共享，例如：軍事機密、商業(yè)機密（市場營銷策略、新產(chǎn)品實驗數(shù)據(jù)等）AnIntroductiontoDatabaseSystem第四章數(shù)據(jù)庫安全性4.1計算機安全性概述4.2數(shù)據(jù)庫安全性控制4.3視圖機制4.4審計（Audit）4.5數(shù)據(jù)加密4.6統(tǒng)計數(shù)據(jù)庫安全性4.7小結(jié)AnIntroductiontoDatabaseSystem4.1計算機安全性概述4.1.1計算機系統(tǒng)的三類安全性問題4.1.2安全標準簡介技術安全類問題管理安全類問題政策法律類問題教材P130頁美國國防部：1985年，TCSEC標準CC項目組織：CCV2.1版，1999年被ISO采用為國際標準AnIntroductiontoDatabaseSystem4.1計算機安全性概述----信息安全標準的發(fā)展歷史AnIntroductiontoDatabaseSystem4.1計算機安全性概述

1991年4月，美國NCSC（NationalComputerSecurityCenter）頒布了（TrustedDatabaseInterpretation），簡稱TDI，將TCSEC擴展到數(shù)據(jù)庫管理系統(tǒng)。

TDI定義了數(shù)據(jù)庫管理系統(tǒng)設計與實現(xiàn)中需要滿足和用以進行安全性級別評估的標準。

TDI主要從以下四個方面來描述安全性級別劃分的指標：安全策略、責任、保證和文檔。AnIntroductiontoDatabaseSystem4.1計算機安全性概述安全級別定義A1驗證設計（VerifiedDesign）

B3安全域（SecurityDomains）

B2結(jié)構(gòu)化保護（StructuralProtection）

B1標記安全保護（LabeledSecurityProtection）

C2受控的存取保護（ControlledAccessProtection）

C1自主安全保護（DiscretionarySecurityProtection）D最小保護（MinimalProtection）根據(jù)計算機系統(tǒng)對TDI各項指標的支持情況，將系統(tǒng)劃分為四組七個等級，它們按照系統(tǒng)的可靠和可信程度遞增。AnIntroductiontoDatabaseSystem4.1計算機安全性概述針對B2以上的系統(tǒng)還處于理論研究階段應用多限于一些特殊的部門，如軍隊等美國正在大力發(fā)展安全產(chǎn)品，試圖將目前僅限于少數(shù)領域應用的B2安全級別下放到商業(yè)應用中來，并逐步成為新的商業(yè)標準AnIntroductiontoDatabaseSystem

4.1計算機安全性概述CC標準簡介

在上述各評估準則和具體實踐的基礎上，通過相互總結(jié)和互補發(fā)展而來

結(jié)構(gòu)開放、表達方式通用、國際公認產(chǎn)品的安全要求： 安全功能要求和安全保證要求

CC文本的構(gòu)成：簡介和一般模型、安全功能要求、安全保證要求。AnIntroductiontoDatabaseSystem4.1計算機安全性概述評估保證級定義TCSEC安全級別（近似相當）EAL1功能測試（functionallytested）EAL2結(jié)構(gòu)測試（structurallytested）C1EAL3系統(tǒng)地測試和檢查（methodicallytestedandchecked）C2EAL4系統(tǒng)地設計、測試和復查（methodicallydesigned，

tested，

andreviewed）B1EAL5半形式化設計和測試（semiformallydesignedandtested）B2EAL6半形式化驗證的設計和測試（semiformallyverifieddesignandB3tested）EAL7形式化驗證的設計和測試（formallyverifieddesignandtested）A1AnIntroductiontoDatabaseSystem第四章數(shù)據(jù)庫安全性4.1計算機安全性概述4.2數(shù)據(jù)庫安全性控制4.3視圖機制4.4審計（Audit）4.5數(shù)據(jù)加密4.6統(tǒng)計數(shù)據(jù)庫安全性4.7小結(jié)AnIntroductiontoDatabaseSystem非法使用數(shù)據(jù)庫的情況用戶編寫一段合法的程序繞過DBMS及其授權(quán)機制，通過操作系統(tǒng)直接存取、修改或備份數(shù)據(jù)庫中的數(shù)據(jù)；直接或編寫應用程序執(zhí)行非授權(quán)操作；通過多次合法查詢數(shù)據(jù)庫從中推導出一些保密數(shù)據(jù)例：某數(shù)據(jù)庫應用系統(tǒng)禁止查詢單個人的工資，但允許查任意一組人的平均工資。用戶甲想了解張三的工資，于是他?

破壞安全性的行為可能是無意的，故意的，惡意的AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫安全性控制

應用DBMSOS

DB低高安全性控制層次實現(xiàn)方法用戶標識和鑒定

存取控制審計視圖操作系統(tǒng)安全保護密碼存儲AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫安全性控制4.2.1用戶標識與鑒別4.2.2存取控制4.2.3自主存取控制方法4.2.4授權(quán)與回收4.2.5數(shù)據(jù)庫角色4.2.6強制存取控制方法AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫安全性控制4.2.1用戶標識和識別它是系統(tǒng)提供的最外層安全保護措施。其方法是由系統(tǒng)提供一定的方式讓用戶標識自己的名字或身份。每次用戶進入系統(tǒng)時，要求由系統(tǒng)進行核對，通過鑒定后才提供機器使用權(quán)。對于獲得上機權(quán)的用戶若要使用數(shù)據(jù)庫時數(shù)據(jù)庫管理系統(tǒng)還要進行用戶標識和鑒定。

方法：用戶名+口令（容易泄漏）、密碼算法等。P135AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫安全性控制4.2.2存取控制數(shù)據(jù)庫安全性所關心的主要是：DBMS的存取控制機制。即：確保只授權(quán)給有資格的用戶訪問數(shù)據(jù)庫的權(quán)限，同時令所有未授權(quán)的人員無法接近數(shù)據(jù)。存取控制機制用戶權(quán)限定義用戶合法權(quán)限檢查安全子系統(tǒng)AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫安全性控制常用的存取控制方法（1）自主存取控制（DAC）（2）強制存取控制（MAC）用戶對不同的數(shù)據(jù)庫對象有不同的存取權(quán)限，不同的用戶對同一對象也有不同權(quán)限，用戶還可將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶，因此比較靈活方便：C2每一個數(shù)據(jù)庫對象被標注為一定的密級，每一個用戶也被授予某一個級別的許可證。對于任一個對象，只有具有合法許可證的用戶才可以存取。因此相對比較嚴格：B1AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫安全性控制4.2.3自主存取控制（DiscretionaryAccessControl）SQL標準提供對自主存取控制的支持：Grant和Revoke。定義存取權(quán)限用戶權(quán)限二要素：數(shù)據(jù)庫對象和操作類型。定義用戶的權(quán)限：就是定義這個用戶可以在哪些數(shù)據(jù)庫對象上進行哪些類型的操作。在DBMS中，定義存取權(quán)限稱為授權(quán)。AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫安全性控制4.2.3自主存取控制數(shù)據(jù)對象操作類型模式模式基本表視圖索引CreateSchemaCreate/AlterTableCreateViewCreateIndex數(shù)據(jù)表和視圖屬性列查找、插入、修改、刪除、引用查找、插入、修改、引用AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫安全性控制4.2.3自主存取控制_授權(quán)粒度授權(quán)粒度：指可以定義的數(shù)據(jù)對象的范圍，它是衡量授權(quán)機制是否靈活的一個重要指標。授權(quán)定義中數(shù)據(jù)對象的粒度越細，即可以定義的數(shù)據(jù)對象范圍越小，授權(quán)子系統(tǒng)就越靈活，但系統(tǒng)定義與檢查權(quán)限的開銷會相應增大。在數(shù)據(jù)庫系統(tǒng)中，授權(quán)粒度主要有：數(shù)據(jù)庫、模式、表和視圖、數(shù)據(jù)、屬性列、數(shù)據(jù)值等。AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫安全性控制4.2.3自主存取控制_實現(xiàn)與數(shù)據(jù)值有關的授權(quán)方法：利用存取謂詞說明：存取謂詞可以很復雜，例如它可以引用系統(tǒng)變量（終端設備號、系統(tǒng)時鐘等），實現(xiàn)與時間、地點等有關的存取權(quán)限控制，這樣用戶只能在某段時間內(nèi)、某臺終端上存取有關數(shù)據(jù)。例如：學校規(guī)定：教室只能在每年的1月份和7月份星期一至星期五的上午8點至下午17點之間登陸學生成績管理系統(tǒng)處理學生的成績數(shù)據(jù)。AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫安全性控制4.2.3自主存取控制_小結(jié)機制：用戶定義數(shù)據(jù)存取權(quán)限，DBMS檢查存取權(quán)限優(yōu)點：能夠通過授權(quán)機制有效地控制其他用戶對敏感數(shù)據(jù)的存取缺點：可能存在數(shù)據(jù)的“無意泄露”：P143頁原因：這種機制僅僅通過對數(shù)據(jù)的存取權(quán)限來進行安全控制，而數(shù)據(jù)本身并無安全性標記。解決：對系統(tǒng)控制下的所有主客體實施強制存取控制策略AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫安全性控制4.2.4授權(quán)與回收某個用戶對某類數(shù)據(jù)庫對象具有何種操作權(quán)力是個政策問題，而不是技術問題。數(shù)據(jù)庫管理系統(tǒng)的任務：保證權(quán)限控制體系正確執(zhí)行。轉(zhuǎn)入：SQL2005數(shù)據(jù)安全性控制之權(quán)限管理AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫安全性控制DBA：擁有所有對象的所有權(quán)限不同的權(quán)限授予不同的用戶用戶：擁有自己建立的對象的全部的操作權(quán)限GRANT：授予其他用戶被授權(quán)的用戶“繼續(xù)授權(quán)”許可：再授予所有授予出去的權(quán)力在必要時又都可用REVOKE語句收回

SQL靈活的授權(quán)機制AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫安全性控制4.2.5數(shù)據(jù)庫角色管理數(shù)據(jù)庫角色是被命名的一組與數(shù)據(jù)庫操作相關的權(quán)限，即角色是權(quán)限的集合。因此，可以為一組具有相同權(quán)限的用戶創(chuàng)建一個角色，使用角色來管理數(shù)據(jù)庫權(quán)限可以簡化授權(quán)的過程。轉(zhuǎn)入：SQL2005數(shù)據(jù)安全性控制之角色管理AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫安全性控制4.2.6強制存取控制自主存取控制的缺陷：P143頁。解決方案：對系統(tǒng)控制下的所有主客體實施MAC。

MAC的特點它是為了保證系統(tǒng)更高程度的安全性；在應用過程中不是用戶能夠直接感知或進行控制的；一般適用于哪些對數(shù)據(jù)有嚴格而固定密級分類的部門，例如：軍事部門、政府機要部門等。AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫安全性控制強制存取控制中的實體分類（1）主體（2）客體系統(tǒng)中的活動實體，即包括DBMS所管理的實際用戶，也包括代表用戶的各種進程。受主體操縱的被動實體，包括：數(shù)據(jù)庫、模式、基本表、視圖、索引、數(shù)據(jù)列、表中數(shù)據(jù)等。對于主體和客體：DBMS為他們每個實例指派一個敏感度標記。AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫安全性控制敏感度標記（Label）絕密（TopSecret）機密（Secret）可信（Confidential）公開（Public）主體的敏感度標記稱為許可證級別（ClearanceLevel）客體的敏感度標記稱為密級（ClassificationLevel）MAC機制就是通過對比主體的Label和客體的Label，最終確定主體是否能夠存取客體。AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫安全性控制強制存取控制規(guī)則（原理）

(1)僅當主體的許可證級別大于或等于客體的密級時，該主體才能讀取相應的客體

(2)僅當主體的許可證級別等于客體的密級時，該主體才能寫相應的客體修正規(guī)則（實際應用）

(1)主體的許可證級別<=客體的密級主體能寫客體規(guī)則的共同點：禁止了擁有高許可證級別的主體更新低密級的數(shù)據(jù)對象AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫安全性控制

MAC和DAC的關系（1）DAC與MAC共同構(gòu)成DBMS的安全機制（2）實現(xiàn)MAC時要首先實現(xiàn)DAC原因：較高安全性級別提供的安全保護要包含較低級別的所有保護。AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫安全性控制DAC+MAC安全檢查示意圖

SQL語法分析&語義檢查

DAC檢查安全檢查

MAC檢查

繼續(xù)先進行DAC檢查，通過DAC檢查的數(shù)據(jù)對象再由系統(tǒng)進行MAC檢查，只有通過MAC檢查的數(shù)據(jù)對象方可存取。AnIntroductiontoDatabaseSystem4.3視圖機制通過視圖機制把要保密的數(shù)據(jù)對無權(quán)存取的用戶隱藏起來，從而自動地對數(shù)據(jù)提供一定程度的安全保護。視圖的主要功能是提供數(shù)據(jù)邏輯獨立性，無法完全滿足安全性控制要求，但它可以間接的實現(xiàn)支持“存取謂詞”的用戶權(quán)限定義。關系級的安全性和視圖級的安全性可以結(jié)合起來，用于限制用戶只能訪問所需要的數(shù)據(jù)。AnIntroductiontoDatabaseSystem4.3視圖機制例題：（1）建立計算機系學生的選修課程的成績記錄。列出學生的學號、姓名、課程號、課程名稱、學分、成績等信息。（2）將該視圖的查詢權(quán)限授予Smith。操作：（1）企業(yè)管理器中創(chuàng)建該視圖。（2）將該視圖的查詢權(quán)限授予Smith。注意：用戶僅擁有視圖的操作權(quán)限，不一定就能正常使用該視圖；除非該用戶擁有該視圖涉及所有數(shù)據(jù)來源基本表的相應權(quán)限才可以正常操作。AnIntroductiontoDatabaseSystem4.4審計什么是審計?它是DBMS系統(tǒng)C2以上安全級別必不可少的指標。審計功能就是將用戶對數(shù)據(jù)庫的所有操作自動記錄下來放入審計日志（AuditLog）。

DBA可以利用審計跟蹤的信息，找出非法存取數(shù)據(jù)的人、時間和內(nèi)容等。審計通常很費時間和空間，故DBMS一般將其作為可選特征，允許DBA根據(jù)應用對安全性的要求，靈活的打開或關閉審計功能。AnIntroductiontoDatabaseSystem4.4審計審計類型用戶級審計系統(tǒng)級審計只能由DBA設置用于監(jiān)測成功或失敗的登錄要求監(jiān)測Grant和Revoke操作以及其他數(shù)據(jù)庫級權(quán)限的操作任何用戶可設置的審計針對自己創(chuàng)建的數(shù)據(jù)庫表或視圖進行審計記錄所有用戶對這些表或視圖的所有訪問要求以及各種類型的SQL操作AnIntroductiontoDatabaseSystem4.4審計審計功能的設置與取消Audit語句和NoAudit語句：參照教材P146頁SQL2005的系統(tǒng)級審計只需設置服務器的安全性屬性即可SQLServer中的審計功能（1）SQL2005只有系統(tǒng)級審計，用戶級審計需要借助第三方軟件來實現(xiàn)。（2）SQL2008則完善了審計功能，允許監(jiān)控數(shù)據(jù)的更改或訪問，并且提供了完善的數(shù)據(jù)加密功能。AnIntroductiontoDatabaseSystem4.5數(shù)據(jù)加密防止數(shù)據(jù)庫中數(shù)據(jù)在存儲和傳輸中失密的有效手段數(shù)據(jù)加密的基本思想根據(jù)一定的算法將原始數(shù)據(jù)（明文）變換為不可直接識別的格式（密文），從而使不知道解密算法的人無法獲知數(shù)據(jù)的內(nèi)容。數(shù)據(jù)加密的方法替換算法、置換算法、混合使用（DES算法）、非對稱加密算法（數(shù)字證書應用）AnIntroductiontoDatabaseSystem4.5數(shù)據(jù)加密下圖就是一個很典型的加密碼過程圖：AnIntroductiontoDatabaseSystem4.5數(shù)據(jù)加密有關數(shù)據(jù)加密問題的處理：有關DES密鑰加密技術以及密鑰管理問題請閱讀數(shù)據(jù)加密的有關文獻。目前SQL2008和Oracle中提供了數(shù)據(jù)加密例行程序，可根據(jù)用戶的要求自動對存儲和傳輸?shù)臄?shù)據(jù)進行加密處理。

SQL2000和2005以及其他一些