數(shù)據(jù)庫安全性課件

數(shù)據(jù)庫安全性第9章概述安全性控制統(tǒng)計數(shù)據(jù)庫安全性Oracle數(shù)據(jù)安全性措施數(shù)據(jù)庫安全性第9章概述1一.數(shù)據(jù)庫破壞類型②ConcurrencyExecution引起數(shù)據(jù)不一致；③人為破壞；④對數(shù)據(jù)操作引入的數(shù)據(jù)錯誤。

①SystemFailure；二.各種類型的保護措施②ConcurrencyExecution引起數(shù)據(jù)不一致──并發(fā)控制；③人為破壞──數(shù)據(jù)庫安全；④對數(shù)據(jù)操作引入的數(shù)據(jù)錯誤──數(shù)據(jù)庫完整性。

①SystemFailure──故障恢復；一.數(shù)據(jù)庫破壞類型②ConcurrencyExec2問題的提出數(shù)據(jù)庫的一大特點是數(shù)據(jù)可以共享，但數(shù)據(jù)共享必然帶來數(shù)據(jù)庫的安全性問題，數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)共享不能是無條件的共享。例：軍事秘密、國家機密、新產(chǎn)品實驗數(shù)據(jù)、市場需求分析、市場營銷策略、銷售計劃、客戶檔案、醫(yī)療檔案、銀行儲蓄數(shù)據(jù)數(shù)據(jù)庫中數(shù)據(jù)的共享是在DBMS統(tǒng)一的嚴格的控制之下的共享，即只允許有合法使用權(quán)限的用戶訪問允許他存取的數(shù)據(jù)。數(shù)據(jù)庫系統(tǒng)的安全保護措施是否有效是數(shù)據(jù)庫系統(tǒng)主要的性能指標之一。問題的提出數(shù)據(jù)庫的一大特點是數(shù)據(jù)可以共享，但數(shù)據(jù)共享39.1計算機安全性概論什么是數(shù)據(jù)庫的安全性指保護數(shù)據(jù)庫以防止不合法使用數(shù)據(jù)庫造成數(shù)據(jù)泄露、更改或破壞。什么是數(shù)據(jù)的保密指用戶合法地訪問到機密數(shù)據(jù)后能否對這些數(shù)據(jù)保密。通過制訂法律道德準則和政策法規(guī)來保證。9.1計算機安全性概論什么是數(shù)據(jù)庫的安全性什么是數(shù)據(jù)的49.1.1計算機系統(tǒng)的三類安全性問題什么是計算機系統(tǒng)安全性為計算機系統(tǒng)建立和采取的各種安全保護措施，以保護計算機系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。計算機安全涉及問題計算機系統(tǒng)本身的技術問題管理問題法學犯罪學心理學9.1.1計算機系統(tǒng)的三類安全性問題什么是計算機系統(tǒng)安全性5三類計算機系統(tǒng)安全性問題

技術安全類指計算機系統(tǒng)中采用具有一定安全性的硬件、軟件來實現(xiàn)對計算機系統(tǒng)及其所存數(shù)據(jù)的安全保護，當計算機系統(tǒng)受到無意或惡意的攻擊時仍能保證系統(tǒng)正常運行，保證系統(tǒng)內(nèi)的數(shù)據(jù)不增加、不丟失、不泄露。

管理安全類軟硬件意外故障、場地的意外事故、管理不善導致的計算機設備和數(shù)據(jù)介質(zhì)的物理破壞、丟失等安全問題。

政策法律類政府部門建立的有關計算機犯罪、數(shù)據(jù)安全保密的法律道德準則和政策法規(guī)、法令。三類計算機系統(tǒng)安全性問題6設置安全措施環(huán)境級：對機房和設備加以保護，防止物理破壞。職員級：加強管理，正確授予訪問數(shù)據(jù)庫的權(quán)限。操作系統(tǒng)級：防止未經(jīng)授權(quán)的人員從操作系統(tǒng)層訪問數(shù)據(jù)庫。網(wǎng)絡級：通過網(wǎng)絡訪問數(shù)據(jù)庫，網(wǎng)絡軟件內(nèi)部的安全性很重要。數(shù)據(jù)庫系統(tǒng)級：驗證用戶身份的合法性，檢驗用戶數(shù)據(jù)庫操作權(quán)限是否正確。設置安全措施環(huán)境級：對機房和設備加以保護，防止物理破壞。79.1.2可信計算機系統(tǒng)評測標準為降低進而消除對系統(tǒng)的安全攻擊，各國引用或制定了一系列安全標準TCSEC《DoD可信計算機系統(tǒng)評估標準》提供一種標準，使用戶可以對其計算機系統(tǒng)內(nèi)敏感信息安全操作的可信程度做評估。給計算機行業(yè)的制造商提供一種可循的指導規(guī)則，使其產(chǎn)品能夠更好地滿足敏感應用的安全需求。TDI《可信計算機系統(tǒng)評估標準關于可信數(shù)據(jù)庫系統(tǒng)的解釋》它將TCSEC擴展到數(shù)據(jù)庫管理系統(tǒng)。TDI中定義了數(shù)據(jù)庫管理系統(tǒng)的設計與實現(xiàn)中需滿足和用以進行安全性級別評估的標準。9.1.2可信計算機系統(tǒng)評測標準為降低進而消除對系統(tǒng)的安全8TDI/TCSEC標準的基本內(nèi)容TDI從四個方面來描述安全性級別劃分的指標●安全策略●責任●保證●

文檔TCSEC/TDI安全級別劃分安全級別定義A1驗證設計（VerifiedDesign）B3安全域（SecurityDomains）B2結(jié)構(gòu)化保護（StructuralProtection）B1標記安全保護（LabeledSecurityProtection）C2受控的存取保護（ControlledAccessProtection）C1自主安全保護（DiscretionarySecurityProtection）D最小保護（MinimalProtection）TDI/TCSEC標準的基本內(nèi)容TCSEC/TDI安全級99.2數(shù)據(jù)庫安全性控制

非法使用數(shù)據(jù)庫的情況用戶編寫一段合法的程序繞過DBMS及其授權(quán)機制，通過操作系統(tǒng)直接存取、修改或備份數(shù)據(jù)庫中的數(shù)據(jù)；。直接或編寫應用程序執(zhí)行非授權(quán)操作；通過多次合法查詢數(shù)據(jù)庫從中推導出一些保密數(shù)據(jù)；例：某數(shù)據(jù)庫應用系統(tǒng)禁止查詢單個人的工資，但允許查任意一組人的平均工資。用戶甲想了解張三的工資，于是他：首先查詢包括張三在內(nèi)的一組人的平均工資；然后查用自己替換張三后這組人的平均工資；從而推導出張三的工資。破壞安全性的行為可能是無意的，故意的，惡意的。9.2數(shù)據(jù)庫安全性控制非法使用數(shù)據(jù)庫的情況例：10應用DBMSOSDB低高安全性控制層次方法：用戶標識和鑒定存取控制審計視圖操作系統(tǒng)安全保護密碼存儲應用DBMSOSDB低高安全性控制層次方法：用戶標識119.2.1用戶標識與鑒別(Identification&Authentication)系統(tǒng)提供的最外層安全保護措施基本方法系統(tǒng)提供一定的方式讓用戶標識自己的名字或身份；系統(tǒng)內(nèi)部記錄著所有合法用戶的標識；每次用戶要求進入系統(tǒng)時，由系統(tǒng)核對用戶提供的身份標識；通過鑒定后才提供機器使用權(quán)；用戶標識和鑒定可以重復多次。9.2.1用戶標識與鑒別(Identification&12用戶標識自己的名字或身份用戶名/口令簡單易行，容易被人竊取每個用戶預先約定好一個計算過程或者函數(shù)系統(tǒng)提供一個隨機數(shù)用戶根據(jù)自己預先約定的計算過程或者函數(shù)進行計算系統(tǒng)根據(jù)用戶計算結(jié)果是否正確鑒定用戶身份用戶標識自己的名字或身份用戶名/口令每個用戶預先約定好一個計13智能卡內(nèi)置集成電路的芯片，存有與用戶身份相關的數(shù)據(jù)。專門的設備生產(chǎn)，專用的讀卡器，硬件不可復制。許多系統(tǒng)要卡和身份識別碼（PIN）同時使用。內(nèi)存掃描或網(wǎng)絡監(jiān)聽等可截取信息。智能卡內(nèi)置集成電路的芯片，存有與用戶身份相關的數(shù)據(jù)。14主體特征鑒別人體唯一的、可靠的、穩(wěn)定的生物特征（指紋、虹膜、臉部、掌紋等）成本較高識別率有待提高主體特征鑒別人體唯一的、可靠的、穩(wěn)定的生物特征（指紋、虹膜、159.2.2存取控制存取控制機制的組成

定義存取權(quán)限在數(shù)據(jù)庫系統(tǒng)中，為了保證用戶只能訪問他有權(quán)存取的數(shù)據(jù)，必須預先對每個用戶定義存取權(quán)限。

檢查存取權(quán)限對于通過鑒定獲得上機權(quán)的用戶（即合法用戶），系統(tǒng)根據(jù)他的存取權(quán)限定義對他的各種操作請求進行控制，確保他只執(zhí)行合法操作。9.2.2存取控制存取控制機制的組成16GRANTSELECTONTABLESTUDENTTOU1WITHGRANTOPTION;GRANTUPDATEONTABLECOURSETOU1;GRANTALLPRIVILIGESONTABLESTUDENTTOU2;GRANTSELECTONTABLESTUDENT17常用存取控制方法自主存取控制（DiscretionaryAccessControl，簡稱DAC）同一用戶對于不同的數(shù)據(jù)對象有不同的存取權(quán)限不同的用戶對同一對象也有不同的權(quán)限用戶還可將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶強制存取控制（MandatoryAccessControl，簡稱MAC）每一個數(shù)據(jù)對象被標以一定的密級每一個用戶也被授予某一個級別的許可證對于任意一個對象，只有具有合法許可證的用戶才可以存取常用存取控制方法自主存取控制（DiscretionaryA189.2.3自主存取控制(DAC)方法定義存取權(quán)限存取權(quán)限由兩個要素組成數(shù)據(jù)對象操作類型關系系統(tǒng)中的存取權(quán)限數(shù)據(jù)對象 操作類型模式 模式 建立、修改、刪除、檢索 外模式建立、修改、刪除、檢索 內(nèi)模式 建立、刪除、檢索數(shù)據(jù)表 查找、插入、修改、刪除 屬性列 查找、插入、修改、刪除9.2.3自主存取控制(DAC)方法定義存取權(quán)限關系系統(tǒng)中19

關系系統(tǒng)中的存取權(quán)限定義方法:GRANT/REVOKE例:一張授權(quán)表用戶名數(shù)據(jù)對象名允許的操作類型王平關系StudentSELECT張明霞關系StudentUPDATE張明霞關系CourseALL張明霞SC.GradeUPDATE張明霞SC.SnoSELECT張明霞SC.CnoSELECT關系系統(tǒng)中的存取權(quán)限例:一張授權(quán)表20

檢查存取權(quán)限對于獲得上機權(quán)后又進一步發(fā)出存取數(shù)據(jù)庫操作的用戶DBMS查找數(shù)據(jù)字典，根據(jù)其存取權(quán)限對操作的合法性進行檢查；若用戶的操作請求超出了定義的權(quán)限，系統(tǒng)將拒絕執(zhí)行此操作。

授權(quán)粒度授權(quán)粒度是指可以定義的數(shù)據(jù)對象的范圍它是衡量授權(quán)機制是否靈活的一個重要指標。授權(quán)定義中數(shù)據(jù)對象的粒度越細，即可以定義的數(shù)據(jù)對象的范圍越小，授權(quán)子系統(tǒng)就越靈活。檢查存取權(quán)限授權(quán)粒度21自主存取控制小結(jié)優(yōu)點能夠通過授權(quán)機制有效地控制其他用戶對敏感數(shù)據(jù)的存取缺點可能存在數(shù)據(jù)的“無意泄露”原因：這種機制僅僅通過對數(shù)據(jù)的存取權(quán)限來進行安全控制，而數(shù)據(jù)本身并無安全性標記。解決：對系統(tǒng)控制下的所有主客體實施強制存取控制策略例如：甲將自己權(quán)限范圍內(nèi)的某些數(shù)據(jù)存取權(quán)限授權(quán)給乙，甲的意圖只允許乙本人操縱這些數(shù)據(jù)，但是乙可以將數(shù)據(jù)備份，并可以在不征得甲同意的前提下轉(zhuǎn)播副本。自主存取控制小結(jié)缺點例如：甲將自己權(quán)限范圍內(nèi)229.2.4強制存取控制(MAC)方法什么是強制存取控制指系統(tǒng)為保證更高程度的安全性，按照TDI/TCSEC標準中安全策略的要求，所采取的強制存取檢查手段。MAC不是用戶能直接感知或進行控制的。MAC適用于對數(shù)據(jù)有嚴格而固定密級分類的部門軍事部門政府部門9.2.4強制存取控制(MAC)方法什么是強制存取控制23主體與客體在MAC中，DBMS所管理的全部實體被分為主體和客體兩大類主體是系統(tǒng)中的活動實體DBMS所管理的實際用戶代表用戶的各進程客體是系統(tǒng)中的被動實體，是受主體操縱的文件基本表索引視圖對于主體和客體，DBMS為它們每個實例指派一個敏感度標記（Label）絕密（TopSecret）機密（Secret）可信（Confidential）公開（Public）主體與客體對于主體和客體，DBMS為它們每個實例指派一個敏24強制存取控制規(guī)則當某一用戶（或某一主體）以標記label注冊入系統(tǒng)時，系統(tǒng)要求他對任何客體的存取必須遵循下面兩條規(guī)則：

修正規(guī)則主體的許可證級別<=客體的密級時，主體能寫客體；（1）僅當主體的許可證級別大于或等于客體的密級時，該主體才能讀取相應的客體；（2）僅當主體的許可證級別等于客體的密級時，該主體才能寫相應的客體。一旦數(shù)據(jù)被寫入，該用戶自己也不能再讀該數(shù)據(jù)對象了。強制存取控制規(guī)則修正規(guī)則25規(guī)則的共同點禁止了擁有高許可證級別的主體更新低密級的數(shù)據(jù)對象強制存取控制的特點MAC是對數(shù)據(jù)本身進行密級標記無論數(shù)據(jù)如何復制，標記與數(shù)據(jù)是一個不可分的整體只有符合密級標記要求的用戶才可以操縱數(shù)據(jù)從而提供了更高級別的安全性規(guī)則的共同點強制存取控制的特點26DAC與MAC共同構(gòu)成DBMS的安全機制原因：較高安全性級別提供的安全保護要包含較低級別的所有保護DAC+MAC安全檢查示意圖

SQL語法分析&語義檢查

DAC檢查安全檢查MAC檢查

繼續(xù)先進行DAC檢查，通過DAC檢查的數(shù)據(jù)對象再由系統(tǒng)進行MAC檢查，只有通過MAC檢查的數(shù)據(jù)對象方可存取。DAC與MAC共同構(gòu)成DBMS的安全機制DAC+MAC安279.2.5視圖機制將要保密的數(shù)據(jù)對無權(quán)存取這些數(shù)據(jù)的用戶隱藏起來

視圖機制與授權(quán)機制配合使用:首先用視圖機制屏蔽掉一部分保密數(shù)據(jù)，視圖上面再進一步定義存取權(quán)限，間接實現(xiàn)了支持存取謂詞的用戶權(quán)限定義。主要的功能在于提供數(shù)據(jù)獨立性，其安全保護功能太不精細，往往遠不能達到應用系統(tǒng)的要求。9.2.5視圖機制將要保密的數(shù)據(jù)對無權(quán)存取這些數(shù)據(jù)的用戶28例：王平只能檢索學生表(student)中計算機系(CS)學生的信息在視圖上進一步定義存取權(quán)限GRANTSELECTONCS_StudentTO王平；先建立計算機系學生的視圖CS_StudentCREATEVIEWCS_StudentASSELECT*FROMStudentWHERESdept='CS'；例：王平只能檢索學生表(student)中計算機系(CS)學299.2.6審計(Audit)什么是審計啟用一個專用的審計日志（AuditLog）記錄用戶對數(shù)據(jù)庫的所有操作DBA可以利用審計日志中的追蹤信息找出非法存取數(shù)據(jù)的人C2以上安全級別的DBMS必須具有審計功能審計功能的可選性審計很費時間和空間DBA可以根據(jù)應用對安全性的要求，靈活地打開或關閉審計功能。一般用于安全性要求較高的部門。9.2.6審計(Audit)什么是審計審計功能的可選性309.2.7數(shù)據(jù)加密數(shù)據(jù)加密防止數(shù)據(jù)庫中數(shù)據(jù)在存儲和傳輸中失密的有效手段加密的基本思想根據(jù)一定的算法將原始數(shù)據(jù)（術語為明文，Plaintext）變換為不可直接識別的格式（術語為密文，Ciphertext）不知道解密算法的人無法獲知數(shù)據(jù)的內(nèi)容9.2.7數(shù)據(jù)加密數(shù)據(jù)加密31加密方法

替換方法使用密鑰（EncryptionKey）將明文中的每一個字符轉(zhuǎn)換為密文中的一個字符

置換方法將明文的字符按不同的順序重新排列

混合方法美國1977年制定的官方加密標準：數(shù)據(jù)加密標準（DataEncryptionStandard，簡稱DES）加密方法32數(shù)據(jù)庫安全性課件339.3統(tǒng)計數(shù)據(jù)庫安全性

統(tǒng)計數(shù)據(jù)庫的特點統(tǒng)計數(shù)據(jù)庫中特殊的安全性問題隱蔽的信息通道從合法的查詢中推導出不合法的信息允許用戶查詢聚集類型的信息（例如合計、平均值等）不允許查詢單個記錄信息例：允許查詢“程序員的平均工資是多少？”不允許查詢“程序員張勇的工資？”9.3統(tǒng)計數(shù)據(jù)庫安全性統(tǒng)計數(shù)據(jù)庫的特點統(tǒng)計數(shù)據(jù)庫中特殊34例1：下面兩個查詢都是合法的：1．本公司共有多少女高級程序員？2．本公司女高級程序員的工資總額是多少？規(guī)則1：任何查詢至少要涉及N(N足夠大)個以上的記錄如果第一個查詢的結(jié)果是“1”；那么第二個查詢的結(jié)果顯然就是這個程序員的工資數(shù)。例1：下面兩個查詢都是合法的：規(guī)則1：任何查詢至少要涉及N(35例2：用戶A發(fā)出下面兩個合法查詢：1．用戶A和其他N個程序員的工資總額是多少？2．用戶B和其他N個程序員的工資總額是多少？規(guī)則2：任意兩個查詢的相交數(shù)據(jù)項不能超過M個可以證明，在上述兩條規(guī)定下，如果想獲知用戶B的工資額A至少需要進行1+(N-2)/M次查詢規(guī)則3：任一用戶的查詢次數(shù)不能超過1+(N-2)/M如果兩個用戶合作查詢就可以使這