UNIT three安全性與目錄.ppt

1、a,1,UNIT three安全性與目錄,a,2,思考幾個問題,為什么在數(shù)據(jù)庫應(yīng)用系統(tǒng)中安全性問題非常的突出？ 你用什么方法來控制用戶對系統(tǒng)的使用以及對數(shù)據(jù)的存取權(quán)限？你希望你的安全性檢測系統(tǒng)達到什么效果？ 你對數(shù)據(jù)庫應(yīng)用系統(tǒng)中的數(shù)據(jù)字典內(nèi)容感興趣嗎？DBMS中的數(shù)據(jù)字典通常包括哪些信息？你知道如何查詢這些信息嗎？,a,3,學完本講后，你應(yīng)該能夠了解： 數(shù)據(jù)庫的安全性措施是層層設(shè)置的，包括用戶標識和鑒定、DBMS存取控制、視圖機制、數(shù)據(jù)加密和審計追蹤等； DBMS的安全子系統(tǒng)由用戶權(quán)限定義和合法權(quán)檢查機制組成，其中授權(quán)規(guī)則放在數(shù)據(jù)字典中，合法權(quán)的檢查也只檢查數(shù)據(jù)字典； 兩種存取控制方法：自主存

2、取控制方法的靈活性和強制存取控制方法的嚴格性； 審計日志的作用及與恢復機制中日志的區(qū)別； 統(tǒng)計數(shù)據(jù)庫中可能存在著隱蔽的信息通道； 所有的關(guān)系數(shù)據(jù)庫系統(tǒng)都有系統(tǒng)目錄，即由系統(tǒng)維護的，包含數(shù)據(jù)庫中定義的對象的信息的表，這些對象包括表、列、索引、視圖、權(quán)限、約束等,本 講 主 要 目 標,a,4,一數(shù)據(jù)庫系統(tǒng)的安全模型 二身份驗證 三. DBMS的存取控制子系統(tǒng) 四. 審計 五. 數(shù)據(jù)加密與統(tǒng)計數(shù)據(jù)庫的安全 六. 角色 七. 數(shù)據(jù)庫產(chǎn)品間的不同 八. 系統(tǒng)目錄,內(nèi)容提綱,a,5,數(shù)據(jù)庫系統(tǒng)的 安全模型,a,6,數(shù)據(jù)庫系統(tǒng)的安全模型,數(shù)據(jù)庫安全性定義 數(shù)據(jù)庫安全性 保護數(shù)據(jù)庫以防止不合法的使用所造成的

3、數(shù)據(jù)泄露、更改或破壞。 不合法的使用的操作包括了對數(shù)據(jù)庫的查詢與修改。 因此，對數(shù)據(jù)庫的任何操作都要進行安全性檢查。,a,7,數(shù)據(jù)庫系統(tǒng)的安全模型,數(shù)據(jù)庫安全的基本概念與內(nèi)容 可信計算基(trusted computing base,TCB) TCB是實現(xiàn)數(shù)據(jù)庫安全的所有實施策略與機制的集合,它是實施,檢查,監(jiān)督數(shù)據(jù)庫安全的機構(gòu) 主體,客體 身份標識與鑒別 自主訪問控制 強制訪問控制,a,8,數(shù)據(jù)庫系統(tǒng)的安全模型,數(shù)據(jù)庫安全的基本概念與內(nèi)容 隱蔽通道 在主體訪問客體時一般均通過正常路徑訪問,因此可能使用TCB在訪問路徑中作檢查,但實際上在實施時,往往存在著多種非正常的訪問路徑 數(shù)據(jù)庫安全的形式

4、化模型 審計 訪問監(jiān)控器,a,9,數(shù)據(jù)庫系統(tǒng)的安全模型,數(shù)據(jù)庫的安全標準 TCSEC (trusted computer system evaluation criteria, 可信計算機系統(tǒng)評估標準) TDI (trusted database interpretation, 可信數(shù)據(jù)庫系統(tǒng)解釋) TCSEC(TDI)標準 目前國際上廣泛采用的美國標準,此標準將數(shù)據(jù)安全劃分為四組七級 我國1999年頒布了”計算機信息系統(tǒng)評估準則”,將數(shù)據(jù)安全劃分為五個級別,a,10,數(shù)據(jù)庫系統(tǒng)的安全模型,數(shù)據(jù)庫的安全標準 TCSEC(TDI)標準 D級標準 - 無安全保護的系統(tǒng) C1級標準 具有自主訪問控制

5、 C2級標準 滿足C1級標準,并有審計功能 B1級標準 滿足C2級標準,并有強制訪問控制 B2級標準 滿足B1級標準,并解決隱蔽通道問題和具有數(shù)據(jù)庫安全的形式化 B3級標準 滿足B2級標準,并具有訪問監(jiān)控器 A級標準 滿足B3級標準,并具有較高的形式化,a,11,數(shù)據(jù)庫系統(tǒng)的安全模型,數(shù)據(jù)庫的安全標準 TCSEC(TDI)標準的國內(nèi)和國際實現(xiàn)現(xiàn)狀 D級標準 C1級標準 目前國內(nèi)使用的大都符合該標準 C2級標準 目前國內(nèi)使用的一部分符合該標準 B1級標準 目前國內(nèi)使用的系統(tǒng)基本不符合該標準,在國際上有部分系統(tǒng)符合此標準 B2級標準 國內(nèi)外均尚無符合此類標準的系統(tǒng),主要難點是數(shù)據(jù)庫安全的形式化表示

6、困難 B3級標準 國內(nèi)外均尚無符合此類標準的系統(tǒng) A級標準 目前尚無法實現(xiàn),僅是一種理想化等級,a,12,數(shù)據(jù)庫系統(tǒng)的安全模型,數(shù)據(jù)庫的安全標準 TCSEC標準與國標比較,a,13,數(shù)據(jù)庫系統(tǒng)的安全模型,數(shù)據(jù)庫系統(tǒng)的安全模型,DB,層層設(shè)防：,a,14,數(shù)據(jù)庫系統(tǒng)的安全模型,SQL對數(shù)據(jù)庫安全的支持 視圖 自主訪問控制與授權(quán)功能 在SQL中提供了自主訪問控制的功能,它包括了操作、數(shù)據(jù)域與用戶三個部分 操作:六種操作權(quán)限 SELECT, INSERT, DELETE, UPDATE, REFERENCE, USAGE 數(shù)據(jù)域:用戶訪問的數(shù)據(jù)對象的粒度 表,屬性,視圖 用戶:數(shù)據(jù)庫中登錄的用戶 授

7、權(quán)與回收語句 GRANT, REVOKE,a,15,身份驗證,a,16,身份驗證,AUTHENTICATION SQL ServerVerifies Trusted Connection,SQL Server Verifies Name and Password,Or,SQL Server,Windows 2000 Group or User,Windows 2000,SQL ServerLogin Account,a,17,DBMS的存取 控制子系統(tǒng),a,18,DBMS的存取控制子系統(tǒng),DBMS的存取控制子系統(tǒng),a,19,DBMS的存取控制子系統(tǒng),自主存取控制 定義 用戶對于不同的數(shù)據(jù)對象有

8、相應(yīng)的存取權(quán)限，而且用戶還可以將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶。 三個要素 - （用戶，數(shù)據(jù)對象，存取權(quán)限） 靈活性 - 轉(zhuǎn)授權(quán)限,a,20,DBMS的存取控制子系統(tǒng),自主存取控制 存取權(quán)限,沒有元組級， 不支持存取謂詞,DBA授權(quán),數(shù)據(jù)對象的創(chuàng)建者授權(quán),a,21,DBMS的存取控制子系統(tǒng),自主存取控制 授權(quán)粒度 授權(quán)粒度可能是： 數(shù)據(jù)庫 表 字段 元組 授權(quán)粒度越細，授權(quán)子系統(tǒng)越靈活，但系統(tǒng)定義與檢查權(quán)限的開銷越大,a,22,DBMS的存取控制子系統(tǒng),自主存取控制 與數(shù)據(jù)值有關(guān)的授權(quán) - 若授權(quán)依賴于數(shù)據(jù)對象的內(nèi)容，則稱為是與數(shù)據(jù)值有關(guān)的授權(quán)。,與數(shù)據(jù)值有關(guān)的授權(quán)的實現(xiàn)難點？,難以判斷存取謂

9、詞之間的語義關(guān)系,a,23,DBMS的存取控制子系統(tǒng),自主存取控制 自主存取控制存在的問題 “無意泄露”問題 原因：數(shù)據(jù)本身并無安全性標志,a,24,DBMS的存取控制子系統(tǒng),強制存取控制 強制存取控制的定義 每一個數(shù)據(jù)對象被標以一定的密級，每一個用戶也被授予某一個級別的許可證。對于任意一個對象，只有具有合法許可證的用戶才可以存取。 對數(shù)據(jù)本身進行密級標記，無論數(shù)據(jù)如何復制，標記與數(shù)據(jù)是一個不可分的整體。,a,25,DBMS的存取控制子系統(tǒng),強制存取控制 主體、客體與敏感度標記 主體 - 系統(tǒng)中的活動實體，即包括DBMS所管理的實際用戶，也包括代表用戶的各進程。 客體 - 系統(tǒng)中的被動實體，是

10、受主體操縱的，包括文件、基表、索引、視圖等。 敏感度標記 - 對于主體和客體，DBMS為它們每個實例（值）指派一個敏感度標記。主體的敏感度標記稱為許可證級別；客體的敏感度標記稱為密級。,a,26,DBMS的存取控制子系統(tǒng),強制存取控制 強制存取控制規(guī)則 （1）僅當主體的許可證級別大于或等于客體的密級時，該主體才能讀取相應(yīng)的客體； （2）僅當主體的許可證級別（小于或）等于客體的密級時，該主體才能寫相應(yīng)的客體。,a,27,安全性控制,操作權(quán)限,SQL Server Checks Permissions,Permissions OK; Performs Command,Permissions not

11、 OK; Returns Error,2,3,SELECT * FROM Members,Database UserExecutes Command,1,a,28,安全性控制,操作權(quán)限 不同數(shù)據(jù)對象允許的操作權(quán)限,a,29,安全性控制,操作權(quán)限 授權(quán)語句的語法 GRANT命令為一個或多個用戶授予一個或多個特權(quán)。其語法形式為： GRANT 權(quán)力，權(quán)力 ON 表名| 視圖名 TO 用戶名，用戶名 WITH GRANT OPTION；,a,30,安全性控制,操作權(quán)限 語句說明 每條GRANT命令只能針對一個對象授權(quán) 例把查詢S表的權(quán)限授予用戶U1。 GRANT SELECT ON TABLE S T

12、O U1； 可同時向多個用戶授予對同一對象的多種權(quán)力 例把查詢S表的權(quán)限授予用戶U1和U2。 GRANT SELECT ON TABLE S TO U1，U2；,a,31,安全性控制,操作權(quán)限 語句說明 WITH GRANT OPTION選項 使用WITH GRANT OPTION時，被授權(quán)的用戶不僅具有對指定對象的指定的操作特權(quán)，而且，也可以將這個對象特權(quán)授予其他用戶。 例把查詢S表的權(quán)限授予用戶U1，并允許U1將此權(quán)限再授予其它用戶。 GRANT SELECT ON TABLE S TO U1 WITH GRANT OPTION；,a,32,安全性控制,操作權(quán)限 收回權(quán)限語句的語法 REV

13、OKE命令用于收回已授予給用戶的特權(quán)。 其語法形式為： REVOKE 權(quán)力，權(quán)力 ON 表名| 視圖名 FROM 用戶名，用戶名 ； 用法與GRANT相同，是GRANT的反操作。,a,33,審 計,a,34,審 計,審計功能是把用戶對數(shù)據(jù)庫的所有操作自動記錄下來放入審計日志中，DBA可以利用審計跟蹤的信息，找出非法存取數(shù)據(jù)的人、時間和內(nèi)容等。,審計日志與恢復機制中的日志有什么區(qū)別？,記錄的內(nèi)容不同：恢復日志只記錄更新操作,記錄的組織方式不同：恢復日志嚴格按操作的時間順序，審計日志按操作的對象,a,35,數(shù)據(jù)加密與 統(tǒng)計數(shù)據(jù)庫的安全,a,36,數(shù)據(jù)加密與統(tǒng)計數(shù)據(jù)庫安全,數(shù)據(jù)加密 數(shù)據(jù)加密是防止數(shù)

14、據(jù)庫中數(shù)據(jù)在存儲和傳輸中失密的有效手段，基本思想是將明文變換為密文。 主要的兩種加密方法： 替換方法 - 將明文中的每一個字符轉(zhuǎn)換為密文中的一個字符 置換方法 - 將明文的字符按不同的順序重新排列,a,37,數(shù)據(jù)加密與統(tǒng)計數(shù)據(jù)庫安全,統(tǒng)計數(shù)據(jù)庫的安全性 統(tǒng)計數(shù)據(jù)庫 - 允許用戶查詢聚集類型的信息（例如合計、平均值等），但是不允許查詢單個記錄信息。 統(tǒng)計數(shù)據(jù)庫中的安全性問題：可能存在著隱蔽的信息通道，使得可以從合法的查詢中推導出不合法的信息。 解決辦法： 規(guī)定任何查詢至少涉及N個以上的記錄 規(guī)定兩個查詢的相交數(shù)據(jù)項不能超過M個,a,38,角 色,a,39,角 色,角色 就是操作權(quán)限的集合,a,4

15、0,數(shù)據(jù)庫產(chǎn)品間 的不同,a,41,數(shù)據(jù)庫產(chǎn)品間的不同,基本的Grant語句形式(與X/Open等價) GRANT 權(quán)力，權(quán)力 ON 表名| 視圖名 TO PUBLIC|用戶名，用戶名 WITH GRANT OPTION； 用戶必須能夠連上包含表的數(shù)據(jù)庫,這項權(quán)限(connect)是由DBA授予的 表的所有者自動擁有表的所有權(quán)限,而且不能被取消,a,42,數(shù)據(jù)庫產(chǎn)品間的不同,X/Open的Revoke語句形式(基本SQL目前不支持CASCADE|RESTRICT子句) REVOKE 權(quán)力，權(quán)力 ON 表名| 視圖名 FROM PUBLIC|用戶名，用戶名 CASCADE | RESTRICT

16、； CASCADE的作用是刪除與當前被撤消的權(quán)限有依賴關(guān)系的視圖或刪除依賴于REFERENCES權(quán)限的外鍵約束;如果有這樣的依賴關(guān)系,RESTRICT將不允許執(zhí)行REVOKE語句,a,43,數(shù)據(jù)庫產(chǎn)品間的不同,數(shù)據(jù)庫產(chǎn)品間的不同 都支持X/Open SQL標準的Grant和Revoke語句的語法,只是在CASCADE|RESTRICT子句等細節(jié)方面不同 三種產(chǎn)品都有很多附加權(quán)限,a,44,數(shù)據(jù)庫產(chǎn)品間的不同,ORACLE的安全性特征 ORACLE支持角色的概念. CONNECT 允許進入數(shù)據(jù)庫 RESOURCE 允許創(chuàng)建數(shù)據(jù)庫對象 DBA 除擁有CONNECT和RESOURCE權(quán)限外,還能對表

17、的數(shù)據(jù)作操縱,并具有控制權(quán)限與數(shù)據(jù)庫管理權(quán)限 自主訪問控制 通過角色授權(quán) 通過正常方式授權(quán) 審計 AUDIT語句 NOAUDIT語句,a,45,數(shù)據(jù)庫產(chǎn)品間的不同,DB2 UDB的安全性特征 DB2為用戶賦予不同級別的權(quán)限(authorities)級和特權(quán)或權(quán)力(Privileges) 數(shù)據(jù)庫的4級權(quán)限 SYSADM 系統(tǒng)管理 SYSCTRL 系統(tǒng)控制 SYSMAINT 系統(tǒng)維護 DBADM 數(shù)據(jù)庫管理 數(shù)據(jù)庫特權(quán) 只有具有系統(tǒng)管理或數(shù)據(jù)庫管理權(quán)限的用戶才可以向其他用戶授予或收回特權(quán),a,46,數(shù)據(jù)庫產(chǎn)品間的不同,SQL Server 2000中的角色： 固定的服務(wù)器角色 系統(tǒng)預先定義了一些服

18、務(wù)器固有角色，這些角色各自具有某種或某些操作SQL Server服務(wù)器的權(quán)限。用戶不能刪除也不能創(chuàng)建新的服務(wù)器固有角色。 固定的數(shù)據(jù)庫角色 系統(tǒng)為每一個數(shù)據(jù)庫預先定義數(shù)據(jù)庫固有的角色，用戶不能刪除數(shù)據(jù)庫固有角色，但用戶可以在具體的數(shù)據(jù)庫中再創(chuàng)建新的數(shù)據(jù)庫安全角色 用戶定義的數(shù)據(jù)庫角色,a,47,系統(tǒng)目錄,a,48,系統(tǒng)目錄,什么是系統(tǒng)目錄 由系統(tǒng)維護的，包含數(shù)據(jù)庫中定義的對象的信息的表，這些對象包括基本表、視圖、列、索引、視圖、權(quán)限、約束等； 系統(tǒng)目錄也稱為數(shù)據(jù)字典，或目錄表、或系統(tǒng)目錄、或系統(tǒng)視圖。 目錄表中的信息有時稱為元數(shù)據(jù)。,a,49,系統(tǒng)目錄,系統(tǒng)目錄的作用 DBA用普通的 SQL SELECT語句來獲取這些信息； 執(zhí)行動態(tài)SQL的應(yīng)用程序時，為了作出某個決定可能需要訪問目錄表； 數(shù)據(jù)庫系統(tǒng)本身也根據(jù)目錄表來轉(zhuǎn)化視圖上的查詢，對運行期間的更新語句加上約束,a,50,系統(tǒng)目錄,系統(tǒng)目錄的獲取 每個商用數(shù)據(jù)庫都有一套不同結(jié)構(gòu)的目錄表名,a,51,Questions?,a,52,學完本講后，你應(yīng)該能夠了解： 數(shù)據(jù)庫的安全性措施是層層設(shè)置的，包括用戶標識和鑒定、DBMS的存取控制、視圖機制、數(shù)據(jù)加密和審