數(shù)據(jù)庫安全性課件

數(shù)據(jù)庫安全性第9章概述安全性控制統(tǒng)計(jì)數(shù)據(jù)庫安全性O(shè)racle數(shù)據(jù)安全性措施數(shù)據(jù)庫安全性第9章概述1一.數(shù)據(jù)庫破壞類型②ConcurrencyExecution引起數(shù)據(jù)不一致；③人為破壞；④對(duì)數(shù)據(jù)操作引入的數(shù)據(jù)錯(cuò)誤。

①SystemFailure；二.各種類型的保護(hù)措施②ConcurrencyExecution引起數(shù)據(jù)不一致──并發(fā)控制；③人為破壞──數(shù)據(jù)庫安全；④對(duì)數(shù)據(jù)操作引入的數(shù)據(jù)錯(cuò)誤──數(shù)據(jù)庫完整性。

①SystemFailure──故障恢復(fù)；一.數(shù)據(jù)庫破壞類型②ConcurrencyExec2問題的提出數(shù)據(jù)庫的一大特點(diǎn)是數(shù)據(jù)可以共享，但數(shù)據(jù)共享必然帶來數(shù)據(jù)庫的安全性問題，數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)共享不能是無條件的共享。例：軍事秘密、國家機(jī)密、新產(chǎn)品實(shí)驗(yàn)數(shù)據(jù)、市場(chǎng)需求分析、市場(chǎng)營銷策略、銷售計(jì)劃、客戶檔案、醫(yī)療檔案、銀行儲(chǔ)蓄數(shù)據(jù)數(shù)據(jù)庫中數(shù)據(jù)的共享是在DBMS統(tǒng)一的嚴(yán)格的控制之下的共享，即只允許有合法使用權(quán)限的用戶訪問允許他存取的數(shù)據(jù)。數(shù)據(jù)庫系統(tǒng)的安全保護(hù)措施是否有效是數(shù)據(jù)庫系統(tǒng)主要的性能指標(biāo)之一。問題的提出數(shù)據(jù)庫的一大特點(diǎn)是數(shù)據(jù)可以共享，但數(shù)據(jù)共享39.1計(jì)算機(jī)安全性概論什么是數(shù)據(jù)庫的安全性指保護(hù)數(shù)據(jù)庫以防止不合法使用數(shù)據(jù)庫造成數(shù)據(jù)泄露、更改或破壞。什么是數(shù)據(jù)的保密指用戶合法地訪問到機(jī)密數(shù)據(jù)后能否對(duì)這些數(shù)據(jù)保密。通過制訂法律道德準(zhǔn)則和政策法規(guī)來保證。9.1計(jì)算機(jī)安全性概論什么是數(shù)據(jù)庫的安全性什么是數(shù)據(jù)的49.1.1計(jì)算機(jī)系統(tǒng)的三類安全性問題什么是計(jì)算機(jī)系統(tǒng)安全性為計(jì)算機(jī)系統(tǒng)建立和采取的各種安全保護(hù)措施，以保護(hù)計(jì)算機(jī)系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。計(jì)算機(jī)安全涉及問題計(jì)算機(jī)系統(tǒng)本身的技術(shù)問題管理問題法學(xué)犯罪學(xué)心理學(xué)9.1.1計(jì)算機(jī)系統(tǒng)的三類安全性問題什么是計(jì)算機(jī)系統(tǒng)安全性5三類計(jì)算機(jī)系統(tǒng)安全性問題

技術(shù)安全類指計(jì)算機(jī)系統(tǒng)中采用具有一定安全性的硬件、軟件來實(shí)現(xiàn)對(duì)計(jì)算機(jī)系統(tǒng)及其所存數(shù)據(jù)的安全保護(hù)，當(dāng)計(jì)算機(jī)系統(tǒng)受到無意或惡意的攻擊時(shí)仍能保證系統(tǒng)正常運(yùn)行，保證系統(tǒng)內(nèi)的數(shù)據(jù)不增加、不丟失、不泄露。

管理安全類軟硬件意外故障、場(chǎng)地的意外事故、管理不善導(dǎo)致的計(jì)算機(jī)設(shè)備和數(shù)據(jù)介質(zhì)的物理破壞、丟失等安全問題。

政策法律類政府部門建立的有關(guān)計(jì)算機(jī)犯罪、數(shù)據(jù)安全保密的法律道德準(zhǔn)則和政策法規(guī)、法令。三類計(jì)算機(jī)系統(tǒng)安全性問題6設(shè)置安全措施環(huán)境級(jí)：對(duì)機(jī)房和設(shè)備加以保護(hù)，防止物理破壞。職員級(jí)：加強(qiáng)管理，正確授予訪問數(shù)據(jù)庫的權(quán)限。操作系統(tǒng)級(jí)：防止未經(jīng)授權(quán)的人員從操作系統(tǒng)層訪問數(shù)據(jù)庫。網(wǎng)絡(luò)級(jí)：通過網(wǎng)絡(luò)訪問數(shù)據(jù)庫，網(wǎng)絡(luò)軟件內(nèi)部的安全性很重要。數(shù)據(jù)庫系統(tǒng)級(jí)：驗(yàn)證用戶身份的合法性，檢驗(yàn)用戶數(shù)據(jù)庫操作權(quán)限是否正確。設(shè)置安全措施環(huán)境級(jí)：對(duì)機(jī)房和設(shè)備加以保護(hù)，防止物理破壞。79.1.2可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)標(biāo)準(zhǔn)為降低進(jìn)而消除對(duì)系統(tǒng)的安全攻擊，各國引用或制定了一系列安全標(biāo)準(zhǔn)TCSEC《DoD可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)》提供一種標(biāo)準(zhǔn)，使用戶可以對(duì)其計(jì)算機(jī)系統(tǒng)內(nèi)敏感信息安全操作的可信程度做評(píng)估。給計(jì)算機(jī)行業(yè)的制造商提供一種可循的指導(dǎo)規(guī)則，使其產(chǎn)品能夠更好地滿足敏感應(yīng)用的安全需求。TDI《可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)關(guān)于可信數(shù)據(jù)庫系統(tǒng)的解釋》它將TCSEC擴(kuò)展到數(shù)據(jù)庫管理系統(tǒng)。TDI中定義了數(shù)據(jù)庫管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)中需滿足和用以進(jìn)行安全性級(jí)別評(píng)估的標(biāo)準(zhǔn)。9.1.2可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)標(biāo)準(zhǔn)為降低進(jìn)而消除對(duì)系統(tǒng)的安全8TDI/TCSEC標(biāo)準(zhǔn)的基本內(nèi)容TDI從四個(gè)方面來描述安全性級(jí)別劃分的指標(biāo)●安全策略●責(zé)任●保證●

文檔TCSEC/TDI安全級(jí)別劃分安全級(jí)別定義A1驗(yàn)證設(shè)計(jì)（VerifiedDesign）B3安全域（SecurityDomains）B2結(jié)構(gòu)化保護(hù)（StructuralProtection）B1標(biāo)記安全保護(hù)（LabeledSecurityProtection）C2受控的存取保護(hù)（ControlledAccessProtection）C1自主安全保護(hù)（DiscretionarySecurityProtection）D最小保護(hù)（MinimalProtection）TDI/TCSEC標(biāo)準(zhǔn)的基本內(nèi)容TCSEC/TDI安全級(jí)99.2數(shù)據(jù)庫安全性控制

非法使用數(shù)據(jù)庫的情況用戶編寫一段合法的程序繞過DBMS及其授權(quán)機(jī)制，通過操作系統(tǒng)直接存取、修改或備份數(shù)據(jù)庫中的數(shù)據(jù)；。直接或編寫應(yīng)用程序執(zhí)行非授權(quán)操作；通過多次合法查詢數(shù)據(jù)庫從中推導(dǎo)出一些保密數(shù)據(jù)；例：某數(shù)據(jù)庫應(yīng)用系統(tǒng)禁止查詢單個(gè)人的工資，但允許查任意一組人的平均工資。用戶甲想了解張三的工資，于是他：首先查詢包括張三在內(nèi)的一組人的平均工資；然后查用自己替換張三后這組人的平均工資；從而推導(dǎo)出張三的工資。破壞安全性的行為可能是無意的，故意的，惡意的。9.2數(shù)據(jù)庫安全性控制非法使用數(shù)據(jù)庫的情況例：10應(yīng)用DBMSOSDB低高安全性控制層次方法：用戶標(biāo)識(shí)和鑒定存取控制審計(jì)視圖操作系統(tǒng)安全保護(hù)密碼存儲(chǔ)應(yīng)用DBMSOSDB低高安全性控制層次方法：用戶標(biāo)識(shí)119.2.1用戶標(biāo)識(shí)與鑒別(Identification&Authentication)系統(tǒng)提供的最外層安全保護(hù)措施基本方法系統(tǒng)提供一定的方式讓用戶標(biāo)識(shí)自己的名字或身份；系統(tǒng)內(nèi)部記錄著所有合法用戶的標(biāo)識(shí)；每次用戶要求進(jìn)入系統(tǒng)時(shí)，由系統(tǒng)核對(duì)用戶提供的身份標(biāo)識(shí)；通過鑒定后才提供機(jī)器使用權(quán)；用戶標(biāo)識(shí)和鑒定可以重復(fù)多次。9.2.1用戶標(biāo)識(shí)與鑒別(Identification&12用戶標(biāo)識(shí)自己的名字或身份用戶名/口令簡(jiǎn)單易行，容易被人竊取每個(gè)用戶預(yù)先約定好一個(gè)計(jì)算過程或者函數(shù)系統(tǒng)提供一個(gè)隨機(jī)數(shù)用戶根據(jù)自己預(yù)先約定的計(jì)算過程或者函數(shù)進(jìn)行計(jì)算系統(tǒng)根據(jù)用戶計(jì)算結(jié)果是否正確鑒定用戶身份用戶標(biāo)識(shí)自己的名字或身份用戶名/口令每個(gè)用戶預(yù)先約定好一個(gè)計(jì)13智能卡內(nèi)置集成電路的芯片，存有與用戶身份相關(guān)的數(shù)據(jù)。專門的設(shè)備生產(chǎn)，專用的讀卡器，硬件不可復(fù)制。許多系統(tǒng)要卡和身份識(shí)別碼（PIN）同時(shí)使用。內(nèi)存掃描或網(wǎng)絡(luò)監(jiān)聽等可截取信息。智能卡內(nèi)置集成電路的芯片，存有與用戶身份相關(guān)的數(shù)據(jù)。14主體特征鑒別人體唯一的、可靠的、穩(wěn)定的生物特征（指紋、虹膜、臉部、掌紋等）成本較高識(shí)別率有待提高主體特征鑒別人體唯一的、可靠的、穩(wěn)定的生物特征（指紋、虹膜、159.2.2存取控制存取控制機(jī)制的組成

定義存取權(quán)限在數(shù)據(jù)庫系統(tǒng)中，為了保證用戶只能訪問他有權(quán)存取的數(shù)據(jù)，必須預(yù)先對(duì)每個(gè)用戶定義存取權(quán)限。

檢查存取權(quán)限對(duì)于通過鑒定獲得上機(jī)權(quán)的用戶（即合法用戶），系統(tǒng)根據(jù)他的存取權(quán)限定義對(duì)他的各種操作請(qǐng)求進(jìn)行控制，確保他只執(zhí)行合法操作。9.2.2存取控制存取控制機(jī)制的組成16GRANTSELECTONTABLESTUDENTTOU1WITHGRANTOPTION;GRANTUPDATEONTABLECOURSETOU1;GRANTALLPRIVILIGESONTABLESTUDENTTOU2;GRANTSELECTONTABLESTUDENT17常用存取控制方法自主存取控制（DiscretionaryAccessControl，簡(jiǎn)稱DAC）同一用戶對(duì)于不同的數(shù)據(jù)對(duì)象有不同的存取權(quán)限不同的用戶對(duì)同一對(duì)象也有不同的權(quán)限用戶還可將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶強(qiáng)制存取控制（MandatoryAccessControl，簡(jiǎn)稱MAC）每一個(gè)數(shù)據(jù)對(duì)象被標(biāo)以一定的密級(jí)每一個(gè)用戶也被授予某一個(gè)級(jí)別的許可證對(duì)于任意一個(gè)對(duì)象，只有具有合法許可證的用戶才可以存取常用存取控制方法自主存取控制（DiscretionaryA189.2.3自主存取控制(DAC)方法定義存取權(quán)限存取權(quán)限由兩個(gè)要素組成數(shù)據(jù)對(duì)象操作類型關(guān)系系統(tǒng)中的存取權(quán)限數(shù)據(jù)對(duì)象 操作類型模式 模式 建立、修改、刪除、檢索 外模式建立、修改、刪除、檢索 內(nèi)模式 建立、刪除、檢索數(shù)據(jù)表 查找、插入、修改、刪除 屬性列 查找、插入、修改、刪除9.2.3自主存取控制(DAC)方法定義存取權(quán)限關(guān)系系統(tǒng)中19

關(guān)系系統(tǒng)中的存取權(quán)限定義方法:GRANT/REVOKE例:一張授權(quán)表用戶名數(shù)據(jù)對(duì)象名允許的操作類型王平關(guān)系StudentSELECT張明霞關(guān)系StudentUPDATE張明霞關(guān)系CourseALL張明霞SC.GradeUPDATE張明霞SC.SnoSELECT張明霞SC.CnoSELECT關(guān)系系統(tǒng)中的存取權(quán)限例:一張授權(quán)表20

檢查存取權(quán)限對(duì)于獲得上機(jī)權(quán)后又進(jìn)一步發(fā)出存取數(shù)據(jù)庫操作的用戶DBMS查找數(shù)據(jù)字典，根據(jù)其存取權(quán)限對(duì)操作的合法性進(jìn)行檢查；若用戶的操作請(qǐng)求超出了定義的權(quán)限，系統(tǒng)將拒絕執(zhí)行此操作。

授權(quán)粒度授權(quán)粒度是指可以定義的數(shù)據(jù)對(duì)象的范圍它是衡量授權(quán)機(jī)制是否靈活的一個(gè)重要指標(biāo)。授權(quán)定義中數(shù)據(jù)對(duì)象的粒度越細(xì)，即可以定義的數(shù)據(jù)對(duì)象的范圍越小，授權(quán)子系統(tǒng)就越靈活。檢查存取權(quán)限授權(quán)粒度21自主存取控制小結(jié)優(yōu)點(diǎn)能夠通過授權(quán)機(jī)制有效地控制其他用戶對(duì)敏感數(shù)據(jù)的存取缺點(diǎn)可能存在數(shù)據(jù)的“無意泄露”原因：這種機(jī)制僅僅通過對(duì)數(shù)據(jù)的存取權(quán)限來進(jìn)行安全控制，而數(shù)據(jù)本身并無安全性標(biāo)記。解決：對(duì)系統(tǒng)控制下的所有主客體實(shí)施強(qiáng)制存取控制策略例如：甲將自己權(quán)限范圍內(nèi)的某些數(shù)據(jù)存取權(quán)限授權(quán)給乙，甲的意圖只允許乙本人操縱這些數(shù)據(jù)，但是乙可以將數(shù)據(jù)備份，并可以在不征得甲同意的前提下轉(zhuǎn)播副本。自主存取控制小結(jié)缺點(diǎn)例如：甲將自己權(quán)限范圍內(nèi)229.2.4強(qiáng)制存取控制(MAC)方法什么是強(qiáng)制存取控制指系統(tǒng)為保證更高程度的安全性，按照TDI/TCSEC標(biāo)準(zhǔn)中安全策略的要求，所采取的強(qiáng)制存取檢查手段。MAC不是用戶能直接感知或進(jìn)行控制的。MAC適用于對(duì)數(shù)據(jù)有嚴(yán)格而固定密級(jí)分類的部門軍事部門政府部門9.2.4強(qiáng)制存取控制(MAC)方法什么是強(qiáng)制存取控制23主體與客體在MAC中，DBMS所管理的全部實(shí)體被分為主體和客體兩大類主體是系統(tǒng)中的活動(dòng)實(shí)體DBMS所管理的實(shí)際用戶代表用戶的各進(jìn)程客體是系統(tǒng)中的被動(dòng)實(shí)體，是受主體操縱的文件基本表索引視圖對(duì)于主體和客體，DBMS為它們每個(gè)實(shí)例指派一個(gè)敏感度標(biāo)記（Label）絕密（TopSecret）機(jī)密（Secret）可信（Confidential）公開（Public）主體與客體對(duì)于主體和客體，DBMS為它們每個(gè)實(shí)例指派一個(gè)敏24強(qiáng)制存取控制規(guī)則當(dāng)某一用戶（或某一主體）以標(biāo)記label注冊(cè)入系統(tǒng)時(shí)，系統(tǒng)要求他對(duì)任何客體的存取必須遵循下面兩條規(guī)則：

修正規(guī)則主體的許可證級(jí)別<=客體的密級(jí)時(shí)，主體能寫客體；（1）僅當(dāng)主體的許可證級(jí)別大于或等于客體的密級(jí)時(shí)，該主體才能讀取相應(yīng)的客體；（2）僅當(dāng)主體的許可證級(jí)別等于客體的密級(jí)時(shí)，該主體才能寫相應(yīng)的客體。一旦數(shù)據(jù)被寫入，該用戶自己也不能再讀該數(shù)據(jù)對(duì)象了。強(qiáng)制存取控制規(guī)則修正規(guī)則25規(guī)則的共同點(diǎn)禁止了擁有高許可證級(jí)別的主體更新低密級(jí)的數(shù)據(jù)對(duì)象強(qiáng)制存取控制的特點(diǎn)MAC是對(duì)數(shù)據(jù)本身進(jìn)行密級(jí)標(biāo)記無論數(shù)據(jù)如何復(fù)制，標(biāo)記與數(shù)據(jù)是一個(gè)不可分的整體只有符合密級(jí)標(biāo)記要求的用戶才可以操縱數(shù)據(jù)從而提供了更高級(jí)別的安全性規(guī)則的共同點(diǎn)強(qiáng)制存取控制的特點(diǎn)26DAC與MAC共同構(gòu)成DBMS的安全機(jī)制原因：較高安全性級(jí)別提供的安全保護(hù)要包含較低級(jí)別的所有保護(hù)DAC+MAC安全檢查示意圖

SQL語法分析&語義檢查

DAC檢查安全檢查MAC檢查

繼續(xù)先進(jìn)行DAC檢查，通過DAC檢查的數(shù)據(jù)對(duì)象再由系統(tǒng)進(jìn)行MAC檢查，只有通過MAC檢查的數(shù)據(jù)對(duì)象方可存取。DAC與MAC共同構(gòu)成DBMS的安全機(jī)制DAC+MAC安279.2.5視圖機(jī)制將要保密的數(shù)據(jù)對(duì)無權(quán)存取這些數(shù)據(jù)的用戶隱藏起來

視圖機(jī)制與授權(quán)機(jī)制配合使用:首先用視圖機(jī)制屏蔽掉一部分保密數(shù)據(jù)，視圖上面再進(jìn)一步定義存取權(quán)限，間接實(shí)現(xiàn)了支持存取謂詞的用戶權(quán)限定義。主要的功能在于提供數(shù)據(jù)獨(dú)立性，其安全保護(hù)功能太不精細(xì)，往往遠(yuǎn)不能達(dá)到應(yīng)用系統(tǒng)的要求。9.2.5視圖機(jī)制將要保密的數(shù)據(jù)對(duì)無權(quán)存取這些數(shù)據(jù)的用戶28例：王平只能檢索學(xué)生表(student)中計(jì)算機(jī)系(CS)學(xué)生的信息在視圖上進(jìn)一步定義存取權(quán)限GRANTSELECTONCS_StudentTO王平；先建立計(jì)算機(jī)系學(xué)生的視圖CS_StudentCREATEVIEWCS_StudentASSELECT*FROMStudentWHERESdept='CS'；例：王平只能檢索學(xué)生表(student)中計(jì)算機(jī)系(CS)學(xué)299.2.6審計(jì)(Audit)什么是審計(jì)啟用一個(gè)專用的審計(jì)日志（AuditLog）記錄用戶對(duì)數(shù)據(jù)庫的所有操作DBA可以利用審計(jì)日志中的追蹤信息找出非法存取數(shù)據(jù)的人C2以上安全級(jí)別的DBMS必須具有審計(jì)功能審計(jì)功能的可選性審計(jì)很費(fèi)時(shí)間和空間DBA可以根據(jù)應(yīng)用對(duì)安全性的要求，靈活地打開或關(guān)閉審計(jì)功能。一般用于安全性要求較高的部門。9.2.6審計(jì)(Audit)什么是審計(jì)審計(jì)功能的可選性309.2.7數(shù)據(jù)加密數(shù)據(jù)加密防止數(shù)據(jù)庫中數(shù)據(jù)在存儲(chǔ)和傳輸中失密的有效手段加密的基本思想根據(jù)一定的算法將原始數(shù)據(jù)（術(shù)語為明文，Plaintext）變換為不可直接識(shí)別的格式（術(shù)語為密文，Ciphertext）不知道解密算法的人無法獲知數(shù)據(jù)的內(nèi)容9.2.7數(shù)據(jù)加密數(shù)據(jù)加密31加密方法

替換方法使用密鑰（EncryptionKey）將明文中的每一個(gè)字符轉(zhuǎn)換為密文中的一個(gè)字符

置換方法將明文的字符按不同的順序重新排列

混合方法美國1977年制定的官方加密標(biāo)準(zhǔn)：數(shù)據(jù)加密標(biāo)準(zhǔn)（DataEncryptionStandard，簡(jiǎn)稱DES）加密方法32數(shù)據(jù)庫安全性課件339.3統(tǒng)計(jì)數(shù)據(jù)庫安全性

統(tǒng)計(jì)數(shù)據(jù)庫的特點(diǎn)統(tǒng)計(jì)數(shù)據(jù)庫中特殊的安全性問題隱蔽的信息通道從合法的查詢中推導(dǎo)出不合法的信息允許用戶查詢聚集類型的信息（例如合計(jì)、平均值等）不允許查詢單個(gè)記錄信息例：允許查詢“程序員的平均工資是多少？”不允許查詢“程序員張勇的工資？”9.3統(tǒng)計(jì)數(shù)據(jù)庫安全性統(tǒng)計(jì)數(shù)據(jù)庫的特點(diǎn)統(tǒng)計(jì)數(shù)據(jù)庫中特殊34例1：下面兩個(gè)查詢都是合法的：1．本公司共有多少女高級(jí)程序員？2．本公司女高級(jí)程序員的工資總額是多少？規(guī)則1：任何查詢至少要涉及N(N足夠大)個(gè)以上的記錄如果第一個(gè)查詢的結(jié)果是“1”；那么第二個(gè)查詢的結(jié)果顯然就是這個(gè)程序員的工資數(shù)。例1：下面兩個(gè)查詢都是合法的：規(guī)則1：任何查詢至少要涉及N(35例2：用戶A發(fā)出下面兩個(gè)合法查詢：1．用戶A和其他N個(gè)程序員的工資總額是多少？2．用戶B和其他N個(gè)程序員的工資總額是多少？規(guī)則2：任意兩個(gè)查詢的相交數(shù)據(jù)項(xiàng)不能超過M個(gè)可以證明，在上述兩條規(guī)定下，如果想獲知用戶B的工資額A至少需要進(jìn)行1+(N-2)/M次查詢規(guī)則3：任一用戶的查詢次數(shù)不能超過1+(N-2)/M如果兩個(gè)用戶合作查詢就可以使這