第4章-數(shù)據(jù)庫(kù)安全性課件

數(shù)據(jù)庫(kù)原理 陳菲華北電力大學(xué)控制與計(jì)算機(jī)工程學(xué)院?jiǎn)栴}的提出數(shù)據(jù)庫(kù)的一大特點(diǎn)是數(shù)據(jù)可以共享，數(shù)據(jù)共享必然帶來(lái)數(shù)據(jù)庫(kù)的安全性問(wèn)題。數(shù)據(jù)庫(kù)系統(tǒng)中的數(shù)據(jù)共享不能是無(wú)條件的共享的。

例如： 軍事秘密、國(guó)家機(jī)密、新產(chǎn)品實(shí)驗(yàn)數(shù)據(jù)、

市場(chǎng)需求分析、市場(chǎng)營(yíng)銷策略、銷售計(jì)劃、

客戶檔案、醫(yī)療檔案、銀行儲(chǔ)蓄數(shù)據(jù)，等等。數(shù)據(jù)庫(kù)原理1/6/2020第四章數(shù)據(jù)庫(kù)安全性數(shù)據(jù)庫(kù)原理本章的主要內(nèi)容4.1計(jì)算機(jī)安全性概述4.2數(shù)據(jù)庫(kù)安全性控制4.3視圖機(jī)制4.4審計(jì)（Audit）4.5數(shù)據(jù)加密4.6小結(jié)數(shù)據(jù)庫(kù)原理1/6/2020計(jì)算機(jī)安全性概述所謂計(jì)算機(jī)系統(tǒng)安全性，是指為計(jì)算機(jī)系統(tǒng)建立和采取的各種安全保護(hù)措施，以保護(hù)計(jì)算機(jī)系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。數(shù)據(jù)庫(kù)中數(shù)據(jù)的共享是在DBMS統(tǒng)一的嚴(yán)格的控制之下的共享，即只允許有合法使用權(quán)限的用戶訪問(wèn)允許他存取的數(shù)據(jù)。數(shù)據(jù)庫(kù)系統(tǒng)的安全保護(hù)措施是否有效是數(shù)據(jù)庫(kù)系統(tǒng)主要的性能指標(biāo)之一。數(shù)據(jù)庫(kù)原理1/6/2020計(jì)算機(jī)安全性概述計(jì)算機(jī)系統(tǒng)安全性問(wèn)題可以分成三大類：技術(shù)安全類管理安全類政策法律類 指計(jì)算機(jī)系統(tǒng)中采用具有一定安全性的硬件、軟件來(lái)實(shí)現(xiàn)對(duì)計(jì)算機(jī)系統(tǒng)及其所存數(shù)據(jù)的安全保護(hù)，當(dāng)計(jì)算機(jī)系統(tǒng)受到無(wú)意或惡意的攻擊時(shí)仍能保證系統(tǒng)正常運(yùn)行，保證系統(tǒng)內(nèi)的數(shù)據(jù)不增加、不丟失、不泄露。 軟硬件意外故障、場(chǎng)地的意外事故、管理不善導(dǎo)致的計(jì)算機(jī)設(shè)備和數(shù)據(jù)介質(zhì)的物理破壞、丟失等安全問(wèn)題。 政府部門建立的有關(guān)計(jì)算機(jī)犯罪、數(shù)據(jù)安全保密的法律道德準(zhǔn)則和政策法規(guī)、法令。數(shù)據(jù)庫(kù)原理1/6/2020本章的主要內(nèi)容4.1計(jì)算機(jī)安全性概述4.2數(shù)據(jù)庫(kù)安全性控制4.3視圖機(jī)制4.4審計(jì)（Audit）4.5數(shù)據(jù)加密4.6小結(jié)用戶標(biāo)識(shí)和鑒定存取控制自主存取控制方法授權(quán)與回收強(qiáng)制存取控制方法數(shù)據(jù)庫(kù)原理1/6/2020數(shù)據(jù)庫(kù)安全性控制非法使用數(shù)據(jù)庫(kù)的情況包括：用戶編寫一段合法的程序繞過(guò)DBMS及其授權(quán)機(jī)制，通過(guò)操作系統(tǒng)直接存取、修改或備份數(shù)據(jù)庫(kù)中的數(shù)據(jù)直接或編寫應(yīng)用程序執(zhí)行非授權(quán)操作通過(guò)多次合法查詢數(shù)據(jù)庫(kù)從中推導(dǎo)出一些保密數(shù)據(jù)

例如：某數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)禁止查詢個(gè)人的工資，但允許查任意一組人的平均工資。用戶甲想了解張三的工資，于是他：1、首先查詢包括張三在內(nèi)的一組人的平均工資2、然后查用自己替換張三后這組人的平均工資3、從而推導(dǎo)出張三的工資破壞安全性的行為可能是無(wú)意的、故意的，或惡意的。

數(shù)據(jù)庫(kù)原理1/6/2020數(shù)據(jù)庫(kù)安全性控制在計(jì)算機(jī)系統(tǒng)中，安全措施是一級(jí)一級(jí)層層設(shè)置的數(shù)據(jù)庫(kù)安全性控制的常用方法包括：用戶標(biāo)識(shí)和鑒別存取控制視圖審計(jì)密碼存儲(chǔ)等等高 低數(shù)據(jù)庫(kù)原理1/6/2020一、用戶標(biāo)識(shí)和鑒別用戶標(biāo)識(shí)與鑒別（Identification&Authentication）

系統(tǒng)提供的最外層安全保護(hù)措施?；痉椒ㄊ牵合到y(tǒng)提供一定的方式讓用戶標(biāo)識(shí)自己的名字或身份；系統(tǒng)內(nèi)部記錄著所有合法用戶的標(biāo)識(shí)；每次用戶要求進(jìn)入系統(tǒng)時(shí)，由系統(tǒng)核對(duì)用戶提供的身份標(biāo)識(shí)；通過(guò)鑒定后才提供機(jī)器使用權(quán)。用戶標(biāo)識(shí)和鑒定可以重復(fù)多次。

數(shù)據(jù)庫(kù)原理1/6/2020用戶標(biāo)識(shí)和鑒別用戶標(biāo)識(shí)（UserIdentification）用一個(gè)用戶名（UserName）或用戶標(biāo)識(shí)號(hào)（UID）來(lái)標(biāo)明用戶身份。口令（Password）系統(tǒng)核對(duì)口令以鑒別用戶身份。通過(guò)用戶名和口令的方法簡(jiǎn)單易行，但這些信息容易被人竊取?？梢圆扇「鼜?fù)雜的方法——每個(gè)用戶預(yù)先約定好一個(gè)計(jì)算過(guò)程或者函數(shù)。系統(tǒng)提供一個(gè)隨機(jī)數(shù)用戶根據(jù)自己預(yù)先約定的計(jì)算過(guò)程或者函數(shù)進(jìn)行計(jì)算系統(tǒng)根據(jù)用戶計(jì)算結(jié)果是否正確鑒定用戶身份數(shù)據(jù)庫(kù)原理1/6/2020二、存取控制數(shù)據(jù)庫(kù)安全性所關(guān)心的主要是DBMS的存取控制機(jī)制。數(shù)據(jù)庫(kù)安全最重要的一點(diǎn)就是確保只授權(quán)給有資格的用戶訪問(wèn)數(shù)據(jù)庫(kù)的權(quán)限，同時(shí)令所有未授權(quán)的人員無(wú)法接近數(shù)據(jù)，這主要通過(guò)數(shù)據(jù)庫(kù)系統(tǒng)的存取控制機(jī)制實(shí)現(xiàn)。存取控制機(jī)制主要包括兩部分：定義用戶權(quán)限合法權(quán)限檢查

用戶權(quán)限定義和合法權(quán)檢查機(jī)制一起組成了DBMS的安全子系統(tǒng)數(shù)據(jù)庫(kù)原理1/6/2020存取控制常用存取控制方法有：自主存取控制（DiscretionaryAccessControl，簡(jiǎn)稱DAC）同一用戶對(duì)于不同的數(shù)據(jù)對(duì)象有不同的存取權(quán)限不同的用戶對(duì)同一對(duì)象也有不同的權(quán)限用戶還可將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶強(qiáng)制存取控制（MandatoryAccessControl，簡(jiǎn)稱MAC）每一個(gè)數(shù)據(jù)對(duì)象被標(biāo)以一定的密級(jí)每一個(gè)用戶也被授予某一個(gè)級(jí)別的許可證對(duì)于任意一個(gè)對(duì)象，只有具有合法許可證的用戶才可以存取數(shù)據(jù)庫(kù)原理1/6/2020三、自主存取控制方法主要通過(guò)SQL的GRANT語(yǔ)句和REVOKE語(yǔ)句實(shí)現(xiàn)自主存取控制。用戶權(quán)限由兩個(gè)要素組成：數(shù)據(jù)庫(kù)對(duì)象操作類型定義用戶存取權(quán)限，是指定義用戶可以在哪些數(shù)據(jù)庫(kù)對(duì)象上進(jìn)行哪些類型的操作。定義存取權(quán)限稱為授權(quán)。數(shù)據(jù)庫(kù)原理1/6/2020四、授權(quán)與回收授權(quán)SQL中用GRANT語(yǔ)句向用戶授權(quán)。GRANT語(yǔ)句的一般格式為：

GRANT<權(quán)限>[,<權(quán)限>]... [ON<對(duì)象類型><對(duì)象名>] TO<用戶>[,<用戶>]... [WITHGRANTOPTION];語(yǔ)義：將對(duì)指定操作對(duì)象的指定操作權(quán)限授予指定的用戶數(shù)據(jù)庫(kù)原理1/6/2020授權(quán)發(fā)出GRANT的可以是：DBA數(shù)據(jù)庫(kù)對(duì)象創(chuàng)建者（即屬主Owner）擁有該權(quán)限的用戶接受權(quán)限的用戶可以是：一個(gè)或多個(gè)具體用戶PUBLIC（全體用戶）數(shù)據(jù)庫(kù)原理1/6/2020授權(quán)[例1]把查詢Student表權(quán)限授給用戶U1 GRANTSELECT ONTABLEStudent TOU1;[例2]把對(duì)Student表和Course表的全部權(quán)限授予用戶U2和U3 GRANTALLPRIVILIGES ONTABLEStudent,Course TOU2,U3;數(shù)據(jù)庫(kù)原理1/6/2020授權(quán)[例3]把對(duì)表SC的查詢權(quán)限授予所有用戶 GRANTSELECT ONTABLESC TOPUBLIC;[例4]把查詢Student表和修改學(xué)生學(xué)號(hào)的權(quán)限授給用戶U4 GRANTUPDATE(Sno),SELECT ONTABLEStudent TOU4;對(duì)屬性列的授權(quán)時(shí)必須明確指出相應(yīng)屬性列名

數(shù)據(jù)庫(kù)原理1/6/2020回收回收授予的權(quán)限可以由DBA或其他授權(quán)者用REVOKE語(yǔ)句收回REVOKE語(yǔ)句的一般格式為：

REVOKE<權(quán)限>[,<權(quán)限>]... [ON<對(duì)象類型><對(duì)象名>] FROM<用戶>[,<用戶>]...;數(shù)據(jù)庫(kù)原理1/6/2020回收[例5]把用戶U4修改學(xué)生學(xué)號(hào)的權(quán)限收回 REVOKEUPDATE(Sno) ONTABLEStudent FROMU4;[例6]收回所有用戶對(duì)表SC的查詢權(quán)限 REVOKESELECT ONTABLESC FROMPUBLIC;

數(shù)據(jù)庫(kù)原理1/6/2020自主存取控制方法自主存取控制的缺點(diǎn)是：可能存在數(shù)據(jù)的“無(wú)意泄露”。原因在于：這種機(jī)制僅僅通過(guò)對(duì)數(shù)據(jù)的存取權(quán)限來(lái)進(jìn)行安全控制，而數(shù)據(jù)本身并無(wú)安全性標(biāo)記。解決方法：對(duì)系統(tǒng)控制下的所有主客體實(shí)施強(qiáng)制存取控制策略。數(shù)據(jù)庫(kù)原理1/6/2020五、強(qiáng)制存取控制方法

強(qiáng)制存取控制(MAC)MAC是系統(tǒng)為保證更高程度的安全性，按照TDI/TCSEC標(biāo)準(zhǔn)中安全策略的要求，所采取的強(qiáng)制存取檢查手段。MAC不是用戶能直接感知或進(jìn)行控制的。MAC適用于對(duì)數(shù)據(jù)有嚴(yán)格而固定密級(jí)分類的部門，例如軍事部門或政府部門。數(shù)據(jù)庫(kù)原理1/6/2020強(qiáng)制存取控制在MAC中，DBMS所管理的全部實(shí)體被分為兩大類：主體

——系統(tǒng)中的活動(dòng)實(shí)體，包括：DBMS所管理的實(shí)際用戶代表用戶的各進(jìn)程客體

——系統(tǒng)中的被動(dòng)實(shí)體，是受主體操縱的，包括：文件基表索引視圖等數(shù)據(jù)庫(kù)原理1/6/2020強(qiáng)制存取控制對(duì)于主體和客體，DBMS為它們的每個(gè)實(shí)例（值）指派一個(gè)

敏感度標(biāo)記（Label）。敏感度標(biāo)記被分為若干級(jí)別，例如：絕密（TopSecret）機(jī)密（Secret）可信（Confidential）公開(kāi)（Public）等主體的敏感度標(biāo)記稱為許可證級(jí)別（ClearanceLevel）；客體的敏感度標(biāo)記稱為密級(jí)（ClassificationLevel）。MAC機(jī)制就是通過(guò)對(duì)比主體的Label和客體的Label，最終確定主體是否能夠存取客體。數(shù)據(jù)庫(kù)原理1/6/2020強(qiáng)制存取控制強(qiáng)制存取控制規(guī)則：當(dāng)某一用戶（或某一主體）以標(biāo)記Label注冊(cè)入系統(tǒng)時(shí)，系統(tǒng)要求他對(duì)任何客體的存取必須遵循下面兩條規(guī)則：僅當(dāng)主體的許可證級(jí)別大于或等于客體的密級(jí)時(shí)，該主體才能讀取相應(yīng)的客體。僅當(dāng)主體的許可證級(jí)別等于客體的密級(jí)時(shí)，該主體才能寫相應(yīng)的客體。數(shù)據(jù)庫(kù)原理1/6/2020強(qiáng)制存取控制某些系統(tǒng)將第（2）條修正為：僅當(dāng)主體的許可證級(jí)別小于或等于客體的密級(jí)時(shí)，主體才能寫客體。也就是說(shuō)，用戶可為寫入的數(shù)據(jù)對(duì)象賦予高于自己的許可證級(jí)別的密級(jí)這樣，一旦數(shù)據(jù)被寫入，該用戶自己也不能再讀該數(shù)據(jù)對(duì)象了。這兩種規(guī)則的共同點(diǎn)是：禁止了擁有高許可證級(jí)別的主體更新低密級(jí)的數(shù)據(jù)對(duì)象，從而防止了敏感數(shù)據(jù)的泄露。

數(shù)據(jù)庫(kù)原理1/6/2020DAC與MACDAC與MAC共同構(gòu)成DBMS的安全機(jī)制實(shí)現(xiàn)MAC時(shí)要首先實(shí)現(xiàn)DAC，原因是：較高安全性級(jí)別提供的安全保護(hù)要包含較低級(jí)別的所有保護(hù)。DAC+MAC安全檢查示意圖：先進(jìn)行DAC檢查，通過(guò)DAC

檢查的數(shù)據(jù)對(duì)象再由系統(tǒng)進(jìn)

行MAC檢查，只有通過(guò)MAC

檢查的數(shù)據(jù)對(duì)象方可存取。數(shù)據(jù)庫(kù)原理1/6/2020本章的主要內(nèi)容4.1計(jì)算機(jī)安全性概述4.2數(shù)據(jù)庫(kù)安全性控制4.3視圖機(jī)制4.4審計(jì)（Audit）4.5數(shù)據(jù)加密4.6小結(jié)數(shù)據(jù)庫(kù)原理1/6/2020視圖機(jī)制可以通過(guò)視圖機(jī)制把要保密的數(shù)據(jù)對(duì)無(wú)權(quán)存取這些數(shù)據(jù)的用戶隱藏起來(lái)，對(duì)數(shù)據(jù)提供一定程度的安全保護(hù)。視圖機(jī)制的主要功能在于提供數(shù)據(jù)獨(dú)立性，其安全保護(hù)功能太不精細(xì)，往往遠(yuǎn)不能達(dá)到應(yīng)用系統(tǒng)的要求?？梢詫⒁晥D機(jī)制與授權(quán)機(jī)制配合使用：首先用視圖機(jī)制屏蔽掉一部分保密數(shù)據(jù)視圖上面再進(jìn)一步定義存取權(quán)限間接實(shí)現(xiàn)了支持存取謂詞的用戶權(quán)限定義數(shù)據(jù)庫(kù)原理1/6/2020視圖機(jī)制[例7]建立計(jì)算機(jī)系學(xué)生的視圖，把對(duì)該視圖的SELECT權(quán)限授于王平，把該視圖上的所有操作權(quán)限授于張明。首先建立計(jì)算機(jī)系學(xué)生的視圖CS_Student CREATEVIEWCS_Student AS SELECT* FROMStudent WHERESdept='CS'；數(shù)據(jù)庫(kù)原理1/6/2020視圖機(jī)制[例7]建立計(jì)算機(jī)系學(xué)生的視圖，把對(duì)該視圖的SELECT權(quán)限授于王平，把該視圖上的所有操作權(quán)限授于張明。然后在視圖上進(jìn)一步定義存取權(quán)限

GRANTSELECT ONCS_Student

TO王平；

GRANTALLPRIVILIGES ONCS_Student

TO張明；數(shù)據(jù)庫(kù)原理1/6/2020本章的主要內(nèi)容4.1計(jì)算機(jī)安全性概述4.2數(shù)據(jù)庫(kù)安全性控制4.3視圖機(jī)制4.4審計(jì)（Audit）4.5數(shù)據(jù)加密4.6小結(jié)數(shù)據(jù)庫(kù)原理1/6/2020審計(jì)什么是審計(jì)？啟用一個(gè)專用的審計(jì)日志（AuditLog），將用戶對(duì)數(shù)據(jù)庫(kù)的所有操作記錄在上面；DBA可以利用審計(jì)日志中的追蹤信息，找出非法存取數(shù)據(jù)的人、時(shí)間和內(nèi)容。C2以上安全級(jí)別的DBMS必須具有審計(jì)功能審計(jì)是很費(fèi)時(shí)間和空間的，所以DBMS往往將其作為可選特征，允許DBA根據(jù)應(yīng)用對(duì)安全性的要求，靈活地打開(kāi)或關(guān)閉審計(jì)功能。審計(jì)功能一般主要用于安全性要求較高的部門。

數(shù)據(jù)庫(kù)原理1/6/2020審計(jì)審計(jì)一般可以分為：用戶級(jí)審計(jì) 任何用戶都可設(shè)置的審計(jì)，主要針對(duì)用戶自己創(chuàng)建的數(shù)據(jù)庫(kù)表或視圖進(jìn)行審計(jì)，記錄所有用戶對(duì)這些表或視圖的一切成功和（或）不成功的訪問(wèn)要求以及各種類型的SQL操作。系統(tǒng)級(jí)審計(jì)

只能由DBA設(shè)置，用以監(jiān)測(cè)成功或失敗的登錄要求、監(jiān)測(cè)GRANT和REVOKE操作以及其他數(shù)據(jù)庫(kù)級(jí)權(quán)限下的操作。數(shù)據(jù)庫(kù)原理1/6/2020審計(jì)AUDIT語(yǔ)句：設(shè)置審計(jì)功能NOAUDIT語(yǔ)句：取消審計(jì)功能［例8］對(duì)修改SC表結(jié)構(gòu)或修改SC表數(shù)據(jù)的操作進(jìn)行審計(jì)

AUDITALTER，UPDATE ONSC；［例9］取消對(duì)SC表的審計(jì)

NOAUDITALTER，UPDATE ONSC數(shù)據(jù)庫(kù)原理1/6/2020本章的主要內(nèi)容4.1計(jì)算機(jī)安全性概述4.2數(shù)據(jù)庫(kù)安全性控制4.3視圖機(jī)制4.4審計(jì)（Audit）4.5數(shù)據(jù)加密4.6小結(jié)數(shù)據(jù)庫(kù)原理1/6/2020數(shù)據(jù)加密數(shù)據(jù)加密

防止數(shù)據(jù)庫(kù)中數(shù)據(jù)在存儲(chǔ)和傳輸中失密的有效手段。加密的基本思想

根據(jù)一定的算法將原始數(shù)據(jù)（術(shù)語(yǔ)為明文，Plaintext）

變