數(shù)據(jù)庫原理第四章數(shù)據(jù)庫安全性.ppt

數(shù)據(jù)庫系統(tǒng)概論 An Introduction to Database System 第四章 數(shù)據(jù)庫安全性,第四章 數(shù)據(jù)庫安全性,問題的提出 數(shù)據(jù)庫的一大特點是數(shù)據(jù)可以共享 但數(shù)據(jù)共享必然帶來數(shù)據(jù)庫的安全性問題 數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)共享不能是無條件的共享 例：軍事秘密、 國家機(jī)密、 新產(chǎn)品實驗數(shù)據(jù)、 市場需求分析、市場營銷策略、銷售計劃、 客戶檔案、 醫(yī)療檔案、 銀行儲蓄數(shù)據(jù),數(shù)據(jù)庫安全性（續(xù)）,什么是數(shù)據(jù)庫的安全性 數(shù)據(jù)庫的安全性是指保護(hù)數(shù)據(jù)庫，防止因用戶非法使用數(shù)據(jù)庫造成數(shù)據(jù)泄露、更改或破壞。 各系統(tǒng)安全性之間是相互緊密聯(lián)系、相互支持的 數(shù)據(jù)庫安全的重要性,第四章 數(shù)據(jù)庫安全性,4.1 計算機(jī)安全性概述 4.2 數(shù)據(jù)庫安全性控制 4.3 視圖機(jī)制 4.4 審計 4.5 數(shù)據(jù)加密 4.6 統(tǒng)計數(shù)據(jù)庫安全性 4.7 小結(jié),4.1 計算機(jī)安全性概論,4.1.1 計算機(jī)系統(tǒng)的三類安全性問題 4.1.2 安全標(biāo)準(zhǔn)簡介,4.1.1 計算機(jī)系統(tǒng)的三類安全性問題,什么是計算機(jī)系統(tǒng)安全性 為計算機(jī)系統(tǒng)建立和采取的各種安全保護(hù)措施，以保護(hù)計算機(jī)系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。,計算機(jī)系統(tǒng)的三類安全性問題（續(xù)）,三類計算機(jī)系統(tǒng)安全性問題 技術(shù)安全類 管理安全類 政策法律類,計算機(jī)系統(tǒng)的三類安全性問題（續(xù)）,技術(shù)安全 指計算機(jī)系統(tǒng)中采用具有一定安全性的硬件、軟件來實現(xiàn)對計算機(jī)系統(tǒng)及其所存數(shù)據(jù)的安全保護(hù)，當(dāng)計算機(jī)系統(tǒng)受到無意或惡意的攻擊時仍能保證系統(tǒng)正常運行，保證系統(tǒng)內(nèi)的數(shù)據(jù)不增加、不丟失、不泄露。,計算機(jī)系統(tǒng)的三類安全性問題（續(xù)）,管理安全 軟硬件意外故障、場地的意外事故、管理不善導(dǎo)致的計算機(jī)設(shè)備和數(shù)據(jù)介質(zhì)的物理破壞、丟失等安全問題,計算機(jī)系統(tǒng)的三類安全性問題（續(xù)）,政策法律類 政府部門建立的有關(guān)計算機(jī)犯罪、數(shù)據(jù)安全保密的法律道德準(zhǔn)則和政策法規(guī)、法令,4.1.2 安全標(biāo)準(zhǔn)簡介,為降低進(jìn)而消除對系統(tǒng)的安全攻擊，各國引用或制定了一系列安全標(biāo)準(zhǔn) TCSEC (桔皮書) TDI (紫皮書),安全標(biāo)準(zhǔn)簡介（續(xù)）,1985年美國國防部（DoD）正式頒布 DoD可信計算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)（簡稱TCSEC或DoD85） TCSEC又稱桔皮書 TCSEC標(biāo)準(zhǔn)的目的 提供一種標(biāo)準(zhǔn)，使用戶可以對其計算機(jī)系統(tǒng)內(nèi)敏感信息安全操作的可信程度做評估。 給計算機(jī)行業(yè)的制造商提供一種可循的指導(dǎo)規(guī)則，使其產(chǎn)品能夠更好地滿足敏感應(yīng)用的安全需求。,安全標(biāo)準(zhǔn)簡介（續(xù)）,1991年4月美國NCSC（國家計算機(jī)安全中心）頒布了可信計算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)關(guān)于可信數(shù)據(jù)庫系統(tǒng)的解釋（ Trusted Database Interpretation 簡稱TDI） TDI又稱紫皮書。它將TCSEC擴(kuò)展到數(shù)據(jù)庫管理系統(tǒng)。 TDI中定義了數(shù)據(jù)庫管理系統(tǒng)的設(shè)計與實現(xiàn)中需滿足和用以進(jìn)行安全性級別評估的標(biāo)準(zhǔn)。,安全標(biāo)準(zhǔn)簡介（續(xù)）,TDI/TCSEC標(biāo)準(zhǔn)的基本內(nèi)容 TDI與TCSEC一樣，從四個方面來描述安全性級別劃分的指標(biāo) 安全策略 責(zé)任 保證 文檔,安全標(biāo)準(zhǔn)簡介（續(xù)）,R1 安全策略（Security Policy） R1.1 自主存取控制 （Discretionary Access Control，簡記為DAC） R1.2 客體重用（Object Reuse） R1.3 標(biāo)記（Labels） R1.4 強制存取控制（Mandatory Access Control，簡記為MAC）,安全標(biāo)準(zhǔn)簡介（續(xù)）,R2 責(zé)任（Accountability） R2.1 標(biāo)識與鑒別（Identification & Authentication） R2.2 審計（Audit） R3 保證（Assurance） R3.1 操作保證（Operational Assurance） R3.2 生命周期保證（Life Cycle Assurance）,安全標(biāo)準(zhǔn)簡介（續(xù)）,R4 文檔（Documentation） R4.1 安全特性用戶指南（Security Features Users Guide） R4.2 可信設(shè)施手冊（Trusted Facility Manual） R4.3 測試文檔（Test Documentation） R4.4 設(shè)計文檔（Design Documentation）,安全標(biāo)準(zhǔn)簡介（續(xù)）,TCSEC/TDI安全級別劃分,安全標(biāo)準(zhǔn)簡介（續(xù)）,四組(division)七個等級 D C（C1，C2） B（B1，B2，B3） A（A1） 按系統(tǒng)可靠或可信程度逐漸增高 各安全級別之間具有一種偏序向下兼容的關(guān)系，即較高安全性級別提供的安全保護(hù)要包含較低級別的所有保護(hù)要求，同時提供更多或更完善的保護(hù)能力。,安全標(biāo)準(zhǔn)簡介（續(xù)）,D級 將一切不符合更高標(biāo)準(zhǔn)的系統(tǒng)均歸于D組 典型例子：DOS是安全標(biāo)準(zhǔn)為D的操作系統(tǒng) DOS在安全性方面幾乎沒有什么專門的機(jī)制來保障,安全標(biāo)準(zhǔn)簡介（續(xù)）,C1級 非常初級的自主安全保護(hù) 能夠?qū)崿F(xiàn)對用戶和數(shù)據(jù)的分離，進(jìn)行自主存取控制（DAC），保護(hù)或限制用戶權(quán)限的傳播。,安全標(biāo)準(zhǔn)簡介（續(xù)）,C2級 安全產(chǎn)品的最低檔次 提供受控的存取保護(hù)，將C1級的DAC進(jìn)一步細(xì)化，以個人身份注冊負(fù)責(zé)，并實施審計和資源隔離 達(dá)到C2級的產(chǎn)品在其名稱中往往不突出“安全”(Security)這一特色,安全標(biāo)準(zhǔn)簡介（續(xù)）,典型例子 操作系統(tǒng) Microsoft的Windows NT 3.5， 數(shù)字設(shè)備公司的Open VMS VAX 6.0和6.1 數(shù)據(jù)庫 Oracle公司的Oracle 7 Sybase公司的 SQL Server 11.0.6,安全標(biāo)準(zhǔn)簡介（續(xù)）,B1級 標(biāo)記安全保護(hù)?！鞍踩?Security)或“可信的”(Trusted)產(chǎn)品。 對系統(tǒng)的數(shù)據(jù)加以標(biāo)記，對標(biāo)記的主體和客體實施強制存取控制（MAC）、審計等安全機(jī)制,安全標(biāo)準(zhǔn)簡介（續(xù)）,典型例子 操作系統(tǒng) 數(shù)字設(shè)備公司的SEVMS VAX Version 6.0 惠普公司的HP-UX BLS release 9.0.9+ 數(shù)據(jù)庫 Oracle公司的Trusted Oracle 7 Sybase公司的Secure SQL Server version 11.0.6 Informix公司的Incorporated INFORMIX-OnLine / Secure 5.0,安全標(biāo)準(zhǔn)簡介（續(xù)）,B2級 結(jié)構(gòu)化保護(hù) 建立形式化的安全策略模型并對系統(tǒng)內(nèi)的所有主體和客體實施DAC和MAC。 經(jīng)過認(rèn)證的B2級以上的安全系統(tǒng)非常稀少,安全標(biāo)準(zhǔn)簡介（續(xù)）,典型例子 操作系統(tǒng) 只有Trusted Information Systems公司的Trusted XENIX一種產(chǎn)品 標(biāo)準(zhǔn)的網(wǎng)絡(luò)產(chǎn)品 只有Cryptek Secure Communications公司的LLC VSLAN一種產(chǎn)品 數(shù)據(jù)庫 沒有符合B2標(biāo)準(zhǔn)的產(chǎn)品,安全標(biāo)準(zhǔn)簡介（續(xù)）,B3級 安全域。 該級的TCB必須滿足訪問監(jiān)控器的要求，審計跟蹤能力更強，并提供系統(tǒng)恢復(fù)過程。,安全標(biāo)準(zhǔn)簡介（續(xù)）,A1級 驗證設(shè)計，即提供B3級保護(hù)的同時給出系統(tǒng)的形式化設(shè)計說明和驗證以確信各安全保護(hù)真正實現(xiàn)。,安全標(biāo)準(zhǔn)簡介（續(xù)）,B2以上的系統(tǒng) 還處于理論研究階段 應(yīng)用多限于一些特殊的部門如軍隊等 美國正在大力發(fā)展安全產(chǎn)品，試圖將目前僅限于少數(shù)領(lǐng)域應(yīng)用的B2安全級別下放到商業(yè)應(yīng)用中來，并逐步成為新的商業(yè)標(biāo)準(zhǔn)。,安全標(biāo)準(zhǔn)簡介（續(xù)）,表示該級不提供對該指標(biāo)的支持； 表示該級新增的對該指標(biāo)的支持； 表示該級對該指標(biāo)的支持與相鄰低一級的等級一樣；表示該級對該指標(biāo)的支持較下一級有所增 加或改動。,第四章 數(shù)據(jù)庫安全性,4.1 計算機(jī)安全性概論 4.2 數(shù)據(jù)庫安全性控制 4.3 視圖機(jī)制 4.4 審計 4.5 數(shù)據(jù)加密 4.6 統(tǒng)計數(shù)據(jù)庫安全性 4.7 小結(jié),4.2 數(shù)據(jù)庫安全性控制,4.2.1 用戶標(biāo)識與鑒別 4.2.2 存取控制 4.2.3 自主存取控制方法 4.2.4 授權(quán)與回收 4.2.5 數(shù)據(jù)庫角色 4.2.6 強制存取控制方法,計算機(jī)系統(tǒng)中的安全模型,方法：,用戶標(biāo)識 和鑒定,存取控制 審計 視圖,操作系統(tǒng) 安全保護(hù),密碼存儲,4.2.1 用戶標(biāo)識與鑒別,用戶標(biāo)識與鑒別（Identification & Authentication） 系統(tǒng)提供的最外層安全保護(hù)措施,用戶標(biāo)識與鑒別,基本方法 系統(tǒng)提供一定的方式讓用戶標(biāo)識自己的名字或身份； 系統(tǒng)內(nèi)部記錄著所有合法用戶的標(biāo)識； 每次用戶要求進(jìn)入系統(tǒng)時，由系統(tǒng)核對用戶提供的身份標(biāo)識； 通過鑒定后才提供機(jī)器使用權(quán)。 用戶標(biāo)識和鑒定可以重復(fù)多次,用戶標(biāo)識自己的名字或身份,用戶名/口令 簡單易行，容易被人竊取 每個用戶預(yù)先約定好一個計算過程或者函數(shù) 系統(tǒng)提供一個隨機(jī)數(shù) 用戶根據(jù)自己預(yù)先約定的計算過程或者函數(shù)進(jìn)行計算 系統(tǒng)根據(jù)用戶計算結(jié)果是否正確鑒定用戶身份,4.2.2 存取控制,存取控制機(jī)制的功能 存取控制機(jī)制的組成 定義存取權(quán)限 檢查存取權(quán)限 用戶權(quán)限定義和合法權(quán)檢查機(jī)制一起組成了DBMS的安全子系統(tǒng),存取控制（續(xù)）,定義存取權(quán)限 在數(shù)據(jù)庫系統(tǒng)中，為了保證用戶只能訪問他有權(quán)存取的數(shù)據(jù)，必須預(yù)先對每個用戶定義存取權(quán)限。 檢查存取權(quán)限 對于通過鑒定獲得上機(jī)權(quán)的用戶（即合法用戶），系統(tǒng)根據(jù)他的存取權(quán)限定義對他的各種操作請求進(jìn)行控制，確保他只執(zhí)行合法操作。,存取控制（續(xù)）,常用存取控制方法 自主存取控制（Discretionary Access Control ，簡稱DAC） C2級 靈活 強制存取控制（Mandatory Access Control，簡稱 MAC） B1級 嚴(yán)格,自主存取控制方法,同一用戶對于不同的數(shù)據(jù)對象有不同的存取權(quán)限 不同的用戶對同一對象也有不同的權(quán)限 用戶還可將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶,強制存取控制方法,每一個數(shù)據(jù)對象被標(biāo)以一定的密級 每一個用戶也被授予某一個級別的許可證 對于任意一個對象，只有具有合法許可證的用戶才可以存取,4.2.3自主存取控制方法,優(yōu)點 能夠通過授權(quán)機(jī)制有效地控制其他用戶對敏感數(shù)據(jù)的存取 缺點 可能存在數(shù)據(jù)的“無意泄露” 原因：這種機(jī)制僅僅通過對數(shù)據(jù)的存取權(quán)限來進(jìn)行安全控制，而數(shù)據(jù)本身并無安全性標(biāo)記。 解決：對系統(tǒng)控制下的所有主客體實施強制存取控制策略,4.2.4 授權(quán)與回收,誰定義？ DBA和表的建立者（即表的屬主） 如何定義？ SQL語句： GRANT REVOKE,一 授 權(quán) (GRANT),GRANT語句的一般格式： GRANT ,. ON TO ,. WITH GRANT OPTION; 誰定義？DBA和表的建立者（即表的屬主） GRANT功能：將對指定操作對象的指定操作權(quán)限授予指定的用戶。,(1) 用戶的權(quán)限,建表（CREATETAB）的權(quán)限:屬于DBA DBA授予普通用戶 基本表或視圖的屬主擁有對該表或視圖的一切操作權(quán)限 接受權(quán)限的用戶: 一個或多個具體用戶 PUBLIC（全體用戶）,(2) WITH GRANT OPTION子句,指定了WITH GRANT OPTION子句: 獲得某種權(quán)限的用戶還可以把這種權(quán)限再授予別的用戶。 沒有指定WITH GRANT OPTION子句: 獲得某種權(quán)限的用戶只能使用該權(quán)限，不能傳播該權(quán)限。 不允許循環(huán)授權(quán)。,例題,例1 把查詢Student表權(quán)限授給用戶U1 GRANT SELECT ON TABLE Student TO U1;,例題（續(xù)）,例2 把對Student表和Course表的全部權(quán)限授予用戶U2和U3 GRANT ALL PRIVILIGES ON TABLE Student, Course TO U2, U3;,例4,例題（續(xù)）,例3 把對表SC的查詢權(quán)限授予所有用戶 GRANT SELECT ON TABLE SC TO PUBLIC;,例題（續(xù)）,例4 把查詢Student表和修改學(xué)生學(xué)號的權(quán)限授給用戶U4 GRANT UPDATE(Sno), SELECT ON TABLE Student TO U4;,例題（續(xù)）,例5 把對表SC的INSERT權(quán)限授予U5用戶，并允許他再將此權(quán)限授予其他用戶 GRANT INSERT ON TABLE SC TO U5 WITH GRANT OPTION;,傳播權(quán)限,執(zhí)行例5后，U5不僅擁有了對表SC的INSERT權(quán)限， 還可以傳播此權(quán)限： 例6 GRANT INSERT ON TABLE SC TO U6 WITH GRANT OPTION; 同樣，U6還可以將此權(quán)限授予U7： 例7 GRANT INSERT ON TABLE SC TO U7; 但U7不能再傳播此權(quán)限。 U5 U6 U7,例題（續(xù)）,例6 DBA把在數(shù)據(jù)庫S_C中建立表的權(quán)限授予用戶U8 GRANT CREATETAB ON DATABASE S_C TO U8;,二 收回權(quán)限(REVOKE),REVOKE語句的一般格式為： REVOKE ,. ON FROM ,.; 功能：從指定用戶那里收回對指定對象的指定權(quán)限,例題,例8 把用戶U4修改學(xué)生學(xué)號的權(quán)限收回 REVOKE UPDATE(Sno) ON TABLE Student FROM U4;,例題（續(xù)）,例9 收回所有用戶對表SC的查詢權(quán)限 REVOKE SELECT ON TABLE SC FROM PUBLIC;,例題（續(xù)）,例10 把用戶U5對SC表的INSERT權(quán)限收回 REVOKE INSERT ON TABLE SC FROM U5;,權(quán)限的級聯(lián)回收,系統(tǒng)將收回直接或間接從U5處獲得的對SC 表的INSERT權(quán)限: U5 U6 U7 收回U5、U6、U7獲得的對SC表的INSERT 權(quán)限: -U5- U6- U7,三 創(chuàng)建數(shù)據(jù)庫模式的權(quán)限,對數(shù)據(jù)庫模式的授權(quán)由DBA在創(chuàng)建用戶時授權(quán) CREATE USER格式 CREATE USER WITHDBA|RESOURCE|CONNECT,4.2.5數(shù)據(jù)庫角色,數(shù)據(jù)庫角色是被命名的一組與數(shù)據(jù)庫操作相關(guān)的權(quán)限,是權(quán)限的集合 角色的創(chuàng)建 CREATE ROLE 給角色授權(quán) 將一個角色授予其他的角色或用戶 角色權(quán)限的回收,4.2.6 強制存取控制方法,強制存取控制的特點 MAC是對數(shù)據(jù)本身進(jìn)行密級標(biāo)記 無論數(shù)據(jù)如何復(fù)制，標(biāo)記與數(shù)據(jù)是一個不可分的整體 只有符合密級標(biāo)記要求的用戶才可以操縱數(shù)據(jù) 從而提供了更高級別的安全性,MAC與DAC,DAC與MAC共同構(gòu)成DBMS的安全機(jī)制 原因：較高安全性級別提供的安全保護(hù)要包含較低級別的所有保護(hù) 先進(jìn)行DAC檢查，通過DAC檢查的數(shù)據(jù)對象再由系統(tǒng)進(jìn)行MAC檢查，只有通過MAC檢查的數(shù)據(jù)對象方可存取。,強制存取控制方法（續(xù)）,DAC + MAC安全檢查示意圖 SQL語法分析 & 語義檢查 DAC 檢 查 安全檢查 MAC 檢 查 繼 續(xù),4.3 視圖機(jī)制,視圖機(jī)制把要保密的數(shù)據(jù)對無權(quán)存取這些數(shù)據(jù)的用戶隱藏起來， 視圖機(jī)制更主要的功能在于提供數(shù)據(jù)獨立性，其安全保護(hù)功能太不精細(xì)，往往遠(yuǎn)不能達(dá)到應(yīng)用系統(tǒng)的要求。,視圖機(jī)制（續(xù)）,例：王平只能檢索計算機(jī)系學(xué)生的信息 先建立計算機(jī)系學(xué)生的視圖CS_Student CREATE VIEW CS_Student AS SELECT FROM Student WHERE Sdept=CS；,視圖機(jī)制（續(xù)）,在視圖上進(jìn)一步定義存取權(quán)限 GRANT SELECT ON CS_Student TO 王平 ；,4.4 審計,什么是審計 啟用一個專用的審計日志（Audit Log） 將用戶對數(shù)據(jù)庫的所有操作記錄在上面 DBA可以利用審計日志中的追蹤信息 找出非法存取數(shù)據(jù)的人 C2以上安全級別的DBMS必須具有審計功能,審計（續(xù)）,審計功能的可選性 審計很費時間和空間 DBA可以根據(jù)應(yīng)用對安全性的要求，靈活地打開或關(guān)閉審計功能。,審計（續(xù)）,強制性機(jī)制: 用戶識別和鑒定、存取控制、視圖 預(yù)防監(jiān)測手段: 審計技術(shù),4.5 數(shù)據(jù)加密,數(shù)據(jù)加密 防止數(shù)據(jù)庫中數(shù)據(jù)在存儲和傳輸中失密的有效手段 加密的基本思想 根據(jù)一定的算法將原始數(shù)據(jù)（術(shù)語為明文，Plain text）變換為不可直接識別的格式（術(shù)語為密文，Cipher text） 不知道解密算法的人無法獲知數(shù)據(jù)的內(nèi)容,數(shù)據(jù)加密（續(xù)）,加密方法 替換方法 使用密鑰（Encryption Key）將明文中