數(shù)據(jù)庫(kù)原理第四章數(shù)據(jù)庫(kù)安全性

1

數(shù)據(jù)庫(kù)原理第四章數(shù)據(jù)庫(kù)安全性24.1

計(jì)算機(jī)安全性概論

計(jì)算機(jī)系統(tǒng)安全性是指為計(jì)算機(jī)系統(tǒng)建立和采取的各種安全保護(hù)措施，以保護(hù)計(jì)算機(jī)系統(tǒng)中的硬件、軟件和數(shù)據(jù)，防止因偶然或惡意的原因是系統(tǒng)遭到破環(huán)，數(shù)據(jù)遭到更改和泄露等。計(jì)算機(jī)系統(tǒng)三類安全性問(wèn)題：技術(shù)安全類管理安全類政策法律類3安全標(biāo)準(zhǔn)簡(jiǎn)介

在20世紀(jì)70年代，DavidBell和LeonardLaPadula開發(fā)了一個(gè)安全計(jì)算機(jī)的操作模型。該模型是基于政府概念的各種級(jí)別分類信息（一般、秘密、機(jī)密、絕密）和各種許可級(jí)別。如果主體的許可級(jí)別高于文件（客體）的分類級(jí)別，則主體能訪問(wèn)客體。如果主體的許可級(jí)別低于文件（客體）的分類級(jí)別，則主體不能訪問(wèn)客體。4這個(gè)模型的概念進(jìn)一步發(fā)展，于1985年導(dǎo)出了美國(guó)國(guó)防部標(biāo)準(zhǔn)5200.28——可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（theTrustedComputingSystemEvaluationCriteria，TCSEC），即桔皮書。5歐洲四國(guó)（荷蘭、法國(guó)、英國(guó)、德國(guó)）在吸收了TCSEC的成功經(jīng)驗(yàn)基礎(chǔ)上，于1989年聯(lián)合提出了信息技術(shù)安全評(píng)估準(zhǔn)則（InformationTechnologySecurityEvaluationCriteria，ITSEC），俗稱白皮書，其中首次提出了信息安全的機(jī)密性、完整性、可用性的概念，把可信計(jì)算機(jī)的概念提高到可信信息技術(shù)的高度。6之后，由美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所（NIST）、國(guó)家安全局（NSA）、歐洲四國(guó)以及加拿大等6國(guó)7方聯(lián)合提出了通用安全評(píng)估準(zhǔn)則（CommandCriteriaforITSecurityEvaluation,CC）。它的基礎(chǔ)是歐洲的白皮書ITSEC、美國(guó)的（包括桔皮書TCSEC在內(nèi)的）信息技術(shù)安全聯(lián)邦標(biāo)準(zhǔn)（FC）草案、加拿大的CTCPEC以及國(guó)際標(biāo)準(zhǔn)化組織的ISO的安全評(píng)估標(biāo)準(zhǔn)。71991年4月美國(guó)NCSC頒發(fā)了可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)關(guān)于可信數(shù)據(jù)庫(kù)系統(tǒng)的解釋，簡(jiǎn)稱TDI，即紫皮書，將TCSEC擴(kuò)展到數(shù)據(jù)庫(kù)管理系統(tǒng)。教材P132—P134的內(nèi)容同學(xué)們課后閱讀。8計(jì)算機(jī)系統(tǒng)安全性的屬性1.機(jī)密性機(jī)密性是指保證信息與信息系統(tǒng)不被非授權(quán)者所獲取與使用，主要防范措施是密碼技術(shù)。2.完整性完整性是指信息是真實(shí)可信的，其發(fā)布者不被冒充，來(lái)源不被偽造，內(nèi)容不被篡改，主要防范措施是校驗(yàn)與認(rèn)證技術(shù)。3.可用性可用性是指保證信息與信息系統(tǒng)可被授權(quán)人正常使用，主要防范措施是確保信息與信息系統(tǒng)處于一個(gè)可靠的運(yùn)行狀態(tài)之下。9各種安全威脅（1）阻斷攻擊阻斷攻擊使系統(tǒng)的資產(chǎn)被破壞，無(wú)法提供用戶使用，這是一種針對(duì)可用性的攻擊。例如，破壞硬盤之類的硬件，切斷通信線路，使文件管理系統(tǒng)失效等。10（2）截取攻擊截取攻擊可使非授權(quán)者得到資產(chǎn)的訪問(wèn)，這是一種針對(duì)機(jī)密性的攻擊。非授權(quán)者可以是一個(gè)人、一個(gè)程序或一臺(tái)計(jì)算機(jī)，例如，通過(guò)竊聽獲取網(wǎng)上數(shù)據(jù)以及非授權(quán)的復(fù)制文件和程序。（3）篡改攻擊篡改攻擊是非授權(quán)者不僅訪問(wèn)資產(chǎn)，而且能修改信息，這是一種針對(duì)完整性的攻擊。例如，改變數(shù)據(jù)文件的值，修改程序以及在網(wǎng)上正在傳送的報(bào)文內(nèi)容。11（4）偽造攻擊偽造攻擊是非授權(quán)者在系統(tǒng)中插入偽造的信息。例如在文件中加入一些偽造的記錄。12各種安全威脅的示意圖13最后我們看一下數(shù)據(jù)庫(kù)的安全性：數(shù)據(jù)庫(kù)的安全性是指保護(hù)數(shù)據(jù)庫(kù)以防止不合法的使用所造成的數(shù)據(jù)泄密、更改或破壞。144.2

數(shù)據(jù)庫(kù)安全性控制

在一般計(jì)算機(jī)系統(tǒng)中，安全措施是一級(jí)一級(jí)層層設(shè)置的。

安全模型

用戶DBMSOSDB用戶標(biāo)識(shí)和鑒別數(shù)據(jù)庫(kù)安全保護(hù)操作系統(tǒng)安全保護(hù)數(shù)據(jù)密碼存儲(chǔ)154.2.1用戶的標(biāo)識(shí)與鑒別方法：利用只有用戶知道的信息鑒別用戶（知識(shí)因子）

用戶名，口令利用只有用戶具有的物品鑒別用戶（擁有因子） 物品（鑰匙、智能卡）利用用戶的個(gè)人特征鑒別用戶（生物因子） 特征（簽名、指紋、DNA）16

組合使用上面的方法會(huì)更有效，如將口令和智能卡結(jié)合使用，通常稱為雙因子身份鑒別。因?yàn)槊恳环N身份鑒別方法本身有它自身的弱點(diǎn)，采用雙因子鑒別可互相取長(zhǎng)補(bǔ)短，因而更有效。174.2.2視圖機(jī)制

作用:定義用戶的外模式，限制用戶的訪問(wèn)范圍。

例： 雇員表：EMP(no,name,sex,age,dept,salary,address,telno)

顧客可以查詢雇員信息，但考慮到雇員的隱私問(wèn)題，可以建立以下視圖：

CREATEVIEWEMP_VIEWASSELECTno,name,sex,age,deptFROMEMP

讓顧客查詢此視圖，這樣可以避免雇員隱私泄露。

184.2.3數(shù)據(jù)加密

1)原因

(1)竊取存儲(chǔ)設(shè)備（光盤、軟盤等）

(2)通過(guò)通訊線路竊聽

2)方法

(1)替換法，使用密鑰

(2)置換法

3)缺點(diǎn)

(1)增加了系統(tǒng)開銷

(2)降低了數(shù)據(jù)庫(kù)的性能

4)場(chǎng)合 只在保密性要求很高時(shí)采用

19密碼學(xué)的基本概念：密碼學(xué)是以研究數(shù)據(jù)保密為目的，對(duì)存儲(chǔ)或者傳輸?shù)男畔⒉扇∶孛艿慕粨Q以防止第三者對(duì)信息的竊取的技術(shù)。被變換的信息稱為明文（plaintext）,它可以是一段有意義的文字或者數(shù)據(jù)；變換過(guò)后的形式稱為密文ciphertext），密文應(yīng)該是一串雜亂排列的數(shù)據(jù)，從字面上沒(méi)有任何含義。20從明文到密文的變換過(guò)程稱為加密encryption,變換本身是一個(gè)以加密密鑰k為參數(shù)的函數(shù)，記作Ek(P)。密文經(jīng)過(guò)通信信道的傳輸?shù)竭_(dá)目的地后需要還原成有意義的明文才能被通信接收方理解，將密文C還原為明文P的變換過(guò)程稱為解密或者脫密decryption,該變換是以解密密鑰k′為參數(shù)的函數(shù)，記作Dk′(C)。214.2.4審計(jì)1)定義(1)是一種監(jiān)視措施(2)跟蹤記錄某些保密數(shù)據(jù)的訪問(wèn)活動(dòng)(3)報(bào)告有竊密企圖的操作(4)由DBA和數(shù)據(jù)所有者控制2)跟蹤審查內(nèi)容(1)操作類型(2)操作終端標(biāo)識(shí)(3)操作者標(biāo)識(shí)(4)操作日期(5)操作數(shù)據(jù)223)作用

(1)找出非法操作者

(2)恢復(fù)數(shù)據(jù)4)AUDIT和NOAUDIT語(yǔ)句234.2.5存取控制

數(shù)據(jù)庫(kù)系統(tǒng)的存取控制機(jī)制可以確保只授權(quán)給有資格的用戶訪問(wèn)數(shù)據(jù)庫(kù)的權(quán)限，同時(shí)使所有未被授權(quán)的人員無(wú)法接近數(shù)據(jù)。存取控制的機(jī)制：定義用戶權(quán)限，并將用戶權(quán)限登記到數(shù)據(jù)字典中合法權(quán)限檢查這兩個(gè)部分一起組成了數(shù)據(jù)庫(kù)管理系統(tǒng)的安全子系統(tǒng)24一自主存取控制(DAC)方法（設(shè)置用戶權(quán)限）用戶對(duì)于不同的數(shù)據(jù)對(duì)象有不同的存取權(quán)限，不同的用戶對(duì)于同一數(shù)據(jù)對(duì)象也有不同的權(quán)限，而且用戶可以將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶。用戶權(quán)限由兩部分組成：數(shù)據(jù)庫(kù)對(duì)象和操作類型。數(shù)據(jù)庫(kù)系統(tǒng)中，定義存取權(quán)限稱為授權(quán)。在關(guān)系數(shù)據(jù)庫(kù)系統(tǒng)中，存取控制的對(duì)象不僅有數(shù)據(jù)本身，還有數(shù)據(jù)庫(kù)模式。參見教材P137表4.3。自主存取控制主要通過(guò)SQL的GRANT語(yǔ)句和REVOKE語(yǔ)句來(lái)實(shí)現(xiàn)。

25

權(quán)限的授予與收回

授權(quán)：GRANT<權(quán)限>[，<權(quán)限>]… [ON<對(duì)象類型><對(duì)象名>] TO<用戶>[,<用戶>]… [WITHGRANTOPTION]；注：1.發(fā)出該語(yǔ)句的是DBA或數(shù)據(jù)庫(kù)對(duì)象創(chuàng)建者，也可以是已經(jīng)擁有該權(quán)限的用戶。2.PUBLIC可代替所有用戶。3.[WITHGRANTOPTION]：獲得某種權(quán)限的用戶可以把該權(quán)限轉(zhuǎn)授予其他用戶。26權(quán)限收回：REVOKE<權(quán)限>[，<權(quán)限>]…

[ON<對(duì)象類型><對(duì)象名>][，<對(duì)象類型><對(duì)象名>]… FROM<用戶>[,<用戶>]…[CASCADE/RESTRICT]；27

用戶可以“自主”地決定將數(shù)據(jù)的存取權(quán)限授予何人、決定是否也將“授權(quán)”的權(quán)限授予別人，因此稱之為自主存取控制。28

創(chuàng)建數(shù)據(jù)庫(kù)模式的權(quán)限

對(duì)數(shù)據(jù)庫(kù)模式的授權(quán)由DBA在創(chuàng)建用戶時(shí)實(shí)現(xiàn)。CREATEUSER<username>[WITH][DBA|RESOURCE|CONNECT]；對(duì)此語(yǔ)句的說(shuō)明參見教材P141。29數(shù)據(jù)庫(kù)角色

數(shù)據(jù)庫(kù)角色是被命名的一組與數(shù)據(jù)庫(kù)操作相關(guān)的權(quán)限，角色是權(quán)限的集合。角色的創(chuàng)建：CREATEROLE<角色名>

給角色授權(quán)：CREATE<權(quán)限>[，<權(quán)限>]…ON<對(duì)象類型>對(duì)象名TO<角色>[，<角色>]…

將一個(gè)角色授予其他的角色或用戶：30GRANT<角色1>[，<角色2>]…[WITHADMINOPTION]注：1.授予者或者是角色的創(chuàng)建者，或者擁有在這個(gè)角色上的ADMINOPTION。2.如果指定了WITHADMINOPTION子句，則獲得某種權(quán)限的角色或用戶還可以把這種權(quán)限再授予其他的角色。3.一個(gè)角色包含的權(quán)限包括直接授予這個(gè)角色的全部權(quán)限加上其他角色授予這個(gè)角色的全部權(quán)限。31

角色權(quán)限的收回：REVOKE<權(quán)限>[，<權(quán)限>]…ON<對(duì)象類型><對(duì)象名>FROM<角色>[，<角色>]…

注：REVOKE動(dòng)作的執(zhí)行者或者是角色的創(chuàng)建者，或者擁有在這個(gè)角色上的ADMINOPTION。32自主存取控制方法的缺點(diǎn)：僅僅通過(guò)對(duì)數(shù)據(jù)的存取權(quán)限進(jìn)行安全控制，數(shù)據(jù)本身并無(wú)安全性標(biāo)記。

33二強(qiáng)制存取控制(MAC)方法

系統(tǒng)為了保證更高的安全性所采取的強(qiáng)制存取檢查手段，不是用戶所能直接感知或進(jìn)行控制的，適用于軍事或政府等保密要求高的部門。強(qiáng)制存取控制方法的原理：

DBMS管理的全部實(shí)體被分為主體和客體。主體是系統(tǒng)中的活動(dòng)實(shí)體，包括實(shí)際用戶和代表用戶的各進(jìn)程；客體是系統(tǒng)中的被動(dòng)實(shí)體，受主體操縱，包括文件、基本表、索引、視圖等對(duì)于所有的主體和客體，數(shù)據(jù)庫(kù)管理系統(tǒng)為它們指派一個(gè)敏感度標(biāo)記。對(duì)于主體，其稱為許可證級(jí)別；對(duì)于客體，其稱為密級(jí)敏感度標(biāo)記被分為若干級(jí)別，如絕密、機(jī)密、可信、公開等

34

當(dāng)某一用戶注冊(cè)進(jìn)入系統(tǒng)時(shí)，系統(tǒng)要求它對(duì)任何客體的存取必須遵循以下原則：1.僅當(dāng)主體的許可證級(jí)別大于或等于客體的密級(jí)時(shí)，該主體才能讀取相應(yīng)的客體。2.僅當(dāng)主