新編17數(shù)據(jù)庫安全性課件

1、第四章 數(shù)據(jù)庫安全性主要內(nèi)容安全性問題簡介數(shù)據(jù)庫安全性控制的常用方法SQL Server安全機制小結(jié)2數(shù)據(jù)庫原理及應(yīng)用-SQL DML問題的提出數(shù)據(jù)庫的一大特點是數(shù)據(jù)可以共享數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)共享不能是無條件的共享，是在DBMS統(tǒng)一的嚴(yán)格的控制之下的共享，即只允許有合法使用權(quán)限的用戶訪問允許他存取的數(shù)據(jù)。數(shù)據(jù)庫系統(tǒng)的安全保護措施是否有效是數(shù)據(jù)庫系統(tǒng)主要的性能指標(biāo)之一。3數(shù)據(jù)庫原理及應(yīng)用-SQL DML數(shù)據(jù)庫安全性簡介數(shù)據(jù)庫的安全性是指保護數(shù)據(jù)庫，防止因用戶非法使用數(shù)據(jù)庫造成數(shù)據(jù)泄露、更改或破壞數(shù)據(jù)庫的安全性與計算機系統(tǒng)的安全性緊密聯(lián)系、互相支持計算機系統(tǒng)的三類安全性問題可信計算機系統(tǒng)評測標(biāo)準(zhǔn)4

2、數(shù)據(jù)庫原理及應(yīng)用-SQL DML計算機系統(tǒng)的安全性問題計算機系統(tǒng)安全性是指為計算機系統(tǒng)建立和采取的各種安全保護措施，以保護計算機系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。三類計算機系統(tǒng)安全性問題：技術(shù)安全類管理安全類政策法律類5數(shù)據(jù)庫原理及應(yīng)用-SQL DML技術(shù)安全技術(shù)安全計算機系統(tǒng)中采用具有一定安全性的硬件、軟件來實現(xiàn)對計算機系統(tǒng)及其所存數(shù)據(jù)的安全保護。管理安全管理不善導(dǎo)致的計算機設(shè)備和數(shù)據(jù)介質(zhì)的物理破壞、丟失等安全問題政策法律政府部門建立的有關(guān)計算機犯罪、數(shù)據(jù)安全保密的法律道德準(zhǔn)則和政策法規(guī)、法令6數(shù)據(jù)庫原理及應(yīng)用-SQL DML可信計算機系

3、統(tǒng)評測標(biāo)準(zhǔn)為降低進而消除對系統(tǒng)的安全攻擊，各國引用或制定了一系列安全標(biāo)準(zhǔn)：TCSEC (桔皮書)TDI (紫皮書)7數(shù)據(jù)庫原理及應(yīng)用-SQL DMLTCSEC1985年美國國防部（DoD）正式頒布 DoD可信計算機系統(tǒng)評估標(biāo)準(zhǔn)（簡稱TCSEC或DoD85）TCSEC標(biāo)準(zhǔn)的目的提供一種標(biāo)準(zhǔn)，使用戶可以對其計算機系統(tǒng)內(nèi)敏感信息安全操作的可信程度做評估。給計算機行業(yè)的制造商提供一種可循的指導(dǎo)規(guī)則，使其產(chǎn)品能夠更好地滿足敏感應(yīng)用的安全需求。8數(shù)據(jù)庫原理及應(yīng)用-SQL DMLTDI1991年4月美國NCSC（國家計算機安全中心）頒布了可信計算機系統(tǒng)評估標(biāo)準(zhǔn)關(guān)于可信數(shù)據(jù)庫系統(tǒng)的解釋（ Trusted Da

4、tabase Interpretation 簡稱TDI）它將TCSEC擴展到數(shù)據(jù)庫管理系統(tǒng)TDI中定義了數(shù)據(jù)庫管理系統(tǒng)的設(shè)計與實現(xiàn)中需滿足和用以進行安全性級別評估的標(biāo)準(zhǔn)。9數(shù)據(jù)庫原理及應(yīng)用-SQL DMLTCSEC/TDI的安全級別TCSEC(TDI)將系統(tǒng)劃分為四組(division)七個等級：DC（C1，C2）B（B1，B2，B3）A（A1）按系統(tǒng)可靠或可信程度逐漸增高10數(shù)據(jù)庫原理及應(yīng)用-SQL DMLTCSEC/TDI的安全級別安 全 級 別 定 義A1 驗證設(shè)計（Verified Design）B3安全域（Security Domains）B2結(jié)構(gòu)化保護（Structural Pro

5、tection）B1標(biāo)記安全保護（Labeled Security Protection）C2受控的存取保護（Controlled Access Protection）C1自主安全保護D最小保護（Minimal Protection）表1 TCSEC/TDI安全級別劃分返回11數(shù)據(jù)庫原理及應(yīng)用-SQL DML數(shù)據(jù)庫系統(tǒng)中的安全模型 應(yīng)用 DBMSOS DB 低 高安全性控制層次用戶標(biāo)識和鑒別 存取控制審計視圖 操作系統(tǒng)安全保護 密碼存儲圖1 數(shù)據(jù)庫系統(tǒng)中的安全模型12數(shù)據(jù)庫原理及應(yīng)用-SQL DML數(shù)據(jù)庫安全性控制的常用方法用戶標(biāo)識與鑒別存取控制視圖審計數(shù)據(jù)加密返回13數(shù)據(jù)庫原理及應(yīng)用-SQL

6、 DML用戶標(biāo)識與鑒別系統(tǒng)提供的最外層安全保護措施，方法：系統(tǒng)提供一定的方式讓用戶標(biāo)識自己的名字或身份系統(tǒng)內(nèi)部記錄著所有合法用戶的標(biāo)識；每次用戶要求進入系統(tǒng)時，由系統(tǒng)核對用戶提供的身份標(biāo)識；通過鑒定后才提供系統(tǒng)使用權(quán)；用戶標(biāo)識和鑒定可以重復(fù)多次。系統(tǒng)通常采用用戶標(biāo)識與口令相結(jié)合的方法判別用戶身份的真?zhèn)畏祷?4數(shù)據(jù)庫原理及應(yīng)用-SQL DML存取控制DBMS的存取控制機制，確保只授權(quán)給有資格的用戶訪問數(shù)據(jù)庫的權(quán)限，包括兩部分：定義存取權(quán)限D(zhuǎn)BMS提供適當(dāng)?shù)恼Z言來定義用戶權(quán)限。并將用戶權(quán)限登記到數(shù)據(jù)字典中以備查找合法權(quán)限檢查DBMS收到用戶存取數(shù)據(jù)庫的操作請求后，查找數(shù)據(jù)字典中該用戶的權(quán)限定義，看

7、其是否超過了定義的權(quán)限，若超過則拒絕操作15數(shù)據(jù)庫原理及應(yīng)用-SQL DML常用存取控制方法自主存取控制（Discretionary Access Control ，簡稱DAC）C1級/靈活強制存取控制（Mandatory Access Control，簡稱 MAC）B1級/嚴(yán)格16數(shù)據(jù)庫原理及應(yīng)用-SQL DML自主存取控制方法定義同一用戶對于不同的數(shù)據(jù)對象有不同的存取權(quán)限；不同的用戶對同一對象也有不同的權(quán)限；用戶還可將擁有的存取權(quán)限轉(zhuǎn)授給其他用戶用戶的存取權(quán)限有兩個要素數(shù)據(jù)庫對象操作類型(權(quán)限)17數(shù)據(jù)庫原理及應(yīng)用-SQL DML自主存取控制方法在數(shù)據(jù)庫系統(tǒng)中定義存取權(quán)限稱為授權(quán)定義哪些用

8、戶可以在哪些數(shù)據(jù)庫對象上進行哪些類型的操作標(biāo)準(zhǔn)SQL使用GRANT語句和REVOKE語句來實現(xiàn)對用戶的授權(quán)和撤銷授權(quán)操作18數(shù)據(jù)庫原理及應(yīng)用-SQL DML授權(quán)與回收關(guān)系系統(tǒng)中，存取控制的數(shù)據(jù)庫對象及權(quán)限模式、基本表、視圖、和索引的定義create及alter table基本表和視圖的數(shù)據(jù)select、insert、update、delete、references、all privileges屬性列的數(shù)據(jù)select、insert、update、references、all privileges 19數(shù)據(jù)庫原理及應(yīng)用-SQL DML授權(quán)與回收GRANT語句的一般格式： GRANT ,. ON

9、TO ,. WITH GRANT OPTION;語義：將對指定對象的指定操作權(quán)限授予指定的用戶。接受權(quán)限的用戶:一個或多個具體用戶PUBLIC（全體用戶）Sqlserver中不指定20數(shù)據(jù)庫原理及應(yīng)用-SQL DML授權(quán)與回收WITH GRANT OPTION子句獲得某種權(quán)限的用戶還可以把這種權(quán)限再授予別的用戶，但不允許循環(huán)授權(quán)。若沒有指定則：獲得某種權(quán)限的用戶只能使用該權(quán)限，不能傳播該權(quán)限U1U2U3U421數(shù)據(jù)庫原理及應(yīng)用-SQL DML授權(quán)與回收執(zhí)行GRANT語句的特殊用戶DBA系統(tǒng)的超級用戶，擁有對所有數(shù)據(jù)庫對象的存取權(quán)限，還可以把這些權(quán)限授予一般用戶創(chuàng)建（模式、基本表、視圖、索引）的

10、權(quán)限， DBA-一般用戶dbo(基本表或視圖的屬主)擁有對該表或視圖的一切操作權(quán)限。GRANT示例22數(shù)據(jù)庫原理及應(yīng)用-SQL DML授權(quán)與回收（Sqlserver語法）例1 把對Student和Course表的查詢權(quán)限和修改學(xué)生學(xué)號的權(quán)限授予用戶U2和U3 GRANT SELECT,UPDATE(sno) ON Student TO U2, U3; GRANT SELECT ON course TO u2,u3;Sqlserver中一個grant語句只能操作一個數(shù)據(jù)對象授權(quán)23數(shù)據(jù)庫原理及應(yīng)用-SQL DML授權(quán)與回收例2 把對表SC的查詢權(quán)限授予所有用戶。 GRANT SELECT ON

11、SC TO PUBLIC;24數(shù)據(jù)庫原理及應(yīng)用-SQL DML授權(quán)與回收例3 把對表SC的INSERT權(quán)限授予U5用戶，并允許它再將此權(quán)限授予其他用戶。 GRANT INSERT ON SC TO U5 WITH GRANT OPTION;執(zhí)行此SQL語句后，U5不僅擁有對表SC的INSERT權(quán)限，還可以傳播此權(quán)限。25數(shù)據(jù)庫原理及應(yīng)用-SQL DML授權(quán)與回收GRANT INSERTON SCTO U6WITH GRANT OPTION; 同樣，U6還可以將此權(quán)限授予U7。GRANT INSERTON SCTO U7; 但U7不能再傳播此權(quán)限26數(shù)據(jù)庫原理及應(yīng)用-SQL DML授權(quán)與回收回收

12、權(quán)限語句格式： REVOKE ,. ON FROM ,.CASCADE|RESTRICT;功能：從指定用戶那里收回對指定對象的指定權(quán)限27數(shù)據(jù)庫原理及應(yīng)用-SQL DML授權(quán)與回收例4 把用戶U2修改學(xué)生學(xué)號的權(quán)限收回。REVOKE UPDATE(Sno) ON Student FROM U2;28數(shù)據(jù)庫原理及應(yīng)用-SQL DML授權(quán)與回收例5 把用戶U5對SC表的INSERT權(quán)限收回 REVOKE INSERT ON SC FROM U5 CASCADE;權(quán)限的級連回收系統(tǒng)將收回直接或間接從U5處獲得的對SC 表的INSERT權(quán)限:-U5- U6- U729數(shù)據(jù)庫原理及應(yīng)用-SQL DML數(shù)

13、據(jù)庫角色數(shù)據(jù)庫角色是被命名的一組與數(shù)據(jù)庫操作相關(guān)的權(quán)限，角色是權(quán)限的集合。SQL中角色的創(chuàng)建CREATE ROLE 給角色授權(quán) GRANT ，ON TO ，30數(shù)據(jù)庫原理及應(yīng)用-SQL DML數(shù)據(jù)庫角色將一個角色授予其他的角色或用戶GRANT ，TO ，WITH ADMIN OPTION若指定WITH ADMIN OPTION，則獲得某種權(quán)限的角色或用戶還可以把這種權(quán)限再授予其他的角色。Sqlserver語法sp_addrolemember role,role or user;sp_droprolemember role,role or user;31數(shù)據(jù)庫原理及應(yīng)用-SQL DML數(shù)據(jù)庫角色

14、角色權(quán)限的收回REVOKE ，ON FROM ，32數(shù)據(jù)庫原理及應(yīng)用-SQL DML數(shù)據(jù)庫角色例11 通過角色來實現(xiàn)將一組權(quán)限授予一個用戶1、創(chuàng)建角色 create role R12、使用GRANT語句，角色R1擁有Student表的select、uupdate、insert權(quán)限 GRANT select,update,insertON StudentTO R133數(shù)據(jù)庫原理及應(yīng)用-SQL DML數(shù)據(jù)庫角色3、將這個角色授予用戶u1。使u1具有角色R1所包含的全部權(quán)限 sp_addrolemember R1,u14、可以一次性的通過R1收回u1的3個權(quán)限 sp_droprolemember R

15、1 ,u1角色的使用可以使自主授權(quán)的執(zhí)行更加靈活、方便34數(shù)據(jù)庫原理及應(yīng)用-SQL DML自主存取控制方法總結(jié)優(yōu)點：能夠通過授權(quán)機制有效地控制其他用戶對敏感數(shù)據(jù)的存取。缺點：可能存在數(shù)據(jù)的“無意泄露”。原因：這種機制僅僅通過對數(shù)據(jù)的存取權(quán)限來進行安全控制，而數(shù)據(jù)本身并無安全性標(biāo)記。解決：對系統(tǒng)控制下的所有主客體實施強制存取控制策略。返回35數(shù)據(jù)庫原理及應(yīng)用-SQL DML強制存取控制方法強制存取控制(MAC)是指系統(tǒng)為保證更高程度的安全性，按照TDI/TCSEC標(biāo)準(zhǔn)中安全策略的要求，所采取的強制存取檢查手段。MAC適用于對數(shù)據(jù)有嚴(yán)格而固定密級分類的部門軍事部門政府部門36數(shù)據(jù)庫原理及應(yīng)用-SQ

16、L DML強制存取控制方法定義每一個數(shù)據(jù)對象被標(biāo)以一定的密級；每一個用戶也被授予某一個級別的許可證；對于任意一個對象，只有具有合法許可證的用戶才可以存取。在MAC中，DBMS所管理的全部實體被分為主體和客體兩大類主體是系統(tǒng)中的活動實體DBMS所管理的實際用戶/代表用戶的各進程客體是受主體操縱的（文件、基表、索引、視圖）37數(shù)據(jù)庫原理及應(yīng)用-SQL DML強制存取控制方法對于主體和客體，DBMS為它們每個實例（值）指派一個敏感度標(biāo)記（Label），標(biāo)記有若干級別：絕密/機密/可信/公開主體的敏感度標(biāo)記稱為許可證級別客體的敏感度標(biāo)記稱為密級MAC機制就是通過對比主體和客體的敏感度標(biāo)記，最終確定主體

17、是否能夠存取客體38數(shù)據(jù)庫原理及應(yīng)用-SQL DML強制存取控制方法強制存取控制規(guī)則：當(dāng)某一用戶（或某一主體）以標(biāo)記labell注冊進入系統(tǒng)時，系統(tǒng)要求他對任何客體的存取必須遵循下面兩條規(guī)則：僅當(dāng)主體的許可證級別大于或等于客體的密級時，該主體才能讀取相應(yīng)的客體；僅當(dāng)主體的許可證級別等于客體的密級時，該主體才能寫相應(yīng)的客體。特點：禁止了擁有高許可證級別的主體更新低密級的數(shù)據(jù)對象39數(shù)據(jù)庫原理及應(yīng)用-SQL DML強制存取控制方法MAC是對數(shù)據(jù)本身進行密級標(biāo)記無論數(shù)據(jù)如何復(fù)制，標(biāo)記與數(shù)據(jù)是一個不可分的整體只有符合密級標(biāo)記要求的用戶才可以操縱數(shù)據(jù)，從而提供了更高級別的安全性40數(shù)據(jù)庫原理及應(yīng)用-SQ

18、L DMLMAC與DACMAC安全級別高于DAC，因此實現(xiàn)MAC時首先應(yīng)實現(xiàn)DAC，DAC與MAC共同構(gòu)成DBMS的安全機制繼 續(xù) SQL語法分析 & 語義檢查 DAC 檢 查 MAC 檢 查 安全檢查 圖2 DAC + MAC安全檢查示意圖返回41數(shù)據(jù)庫原理及應(yīng)用-SQL DML視圖機制視圖機制把要保密的數(shù)據(jù)對無權(quán)存取這些數(shù)據(jù)的用戶隱藏起來。視圖機制更主要的功能在于提供數(shù)據(jù)獨立性，其安全保護功能不太精細(xì)，往往遠(yuǎn)不能達到應(yīng)用系統(tǒng)的要求視圖機制與授權(quán)機制配合使用首先用視圖機制屏蔽掉一部分保密數(shù)據(jù)視圖上面再進一步定義存取權(quán)限間接實現(xiàn)了支持”存取謂詞”的用戶權(quán)限定義42數(shù)據(jù)庫原理及應(yīng)用-SQL DM

19、L視圖機制例：王平只能檢索計算機系學(xué)生的信息STEP1：先建立計算機系學(xué)生的視圖 CS_Student CREATE VIEW CS_StudentAS SELECT * FROM StudentWHERE Sdept=CS；43數(shù)據(jù)庫原理及應(yīng)用-SQL DML視圖機制STEP2：在視圖上進一步定義存取權(quán)限 GRANT SELECT ON CS_Student TO 王平 ；返回44數(shù)據(jù)庫原理及應(yīng)用-SQL DML數(shù)據(jù)加密數(shù)據(jù)加密（ Data Encryption ）是防止數(shù)據(jù)庫中數(shù)據(jù)在存儲和傳輸中失密的有效手段。加密的基本思想：根據(jù)一定的算法將原始數(shù)據(jù)變換為不可直接識別的格式,不知道解密算法

20、的人無法獲知數(shù)據(jù)的內(nèi)容。數(shù)據(jù)加密功能通常也作為可選特征，允許用戶自由選擇返回45數(shù)據(jù)庫原理及應(yīng)用-SQL DML數(shù)據(jù)加密替換方法使用密鑰（Encryption Key）將明文中的每一個字符轉(zhuǎn)換為密文中的一個字符。置換方法將明文的字符按不同的順序重新排列混合方法美國1977年制定的官方加密標(biāo)準(zhǔn)：數(shù)據(jù)加密標(biāo)準(zhǔn)（Data Encryption Standard，簡稱DES）。46數(shù)據(jù)庫原理及應(yīng)用-SQL DMLDBMS中的數(shù)據(jù)加密數(shù)據(jù)加密功能通常也作為可選特征，允許用戶自由選擇：數(shù)據(jù)加密與解密是比較費時的操作；數(shù)據(jù)加密與解密程序會占用大量系統(tǒng)資源；應(yīng)該只對高度機密的數(shù)據(jù)加密。返回47數(shù)據(jù)庫原理及應(yīng)用

21、-SQL DML審計（Audit）對于某些高度敏感的保密數(shù)據(jù)，必須以審計功能作為預(yù)防手段。審計功能是一種監(jiān)視措施，跟蹤記錄有關(guān)數(shù)據(jù)的訪問活動。使用審計功能會大大增加系統(tǒng)的開銷，所以DBMS通常將其作為可選特征，提供相應(yīng)的操作語句可靈活地打開或關(guān)閉審計功能返回48數(shù)據(jù)庫原理及應(yīng)用-SQL DML審計（Audit）審計追蹤把用戶對數(shù)據(jù)庫的所有操作自動記錄下來，存放在一個特殊文件上中，即審計日志（Audit Log）中。49數(shù)據(jù)庫原理及應(yīng)用-SQL DML審計（Audit）記錄的內(nèi)容一般包括：操作類型，如修改、查詢等；操作終端標(biāo)識與操作者標(biāo)識；操作日期和時間；操作所涉及到的相關(guān)數(shù)據(jù)(如基本表、視圖、

22、記錄、屬性等)等。利用這些信息，可以重現(xiàn)導(dǎo)致數(shù)據(jù)庫現(xiàn)有狀況的一系列事件，以進一步找出非法存取數(shù)據(jù)的人、時間和內(nèi)容等。返回50數(shù)據(jù)庫原理及應(yīng)用-SQL DML審計（Audit）例如，可使用如下SQL語句打開對表S的審計功能，對表S的每次成功的查詢、增加、刪除、修改操作都作審計追蹤： AUDIT SELECT,INSERT,DELETE,UPDATE,ON S WHENEVER SUCCESSFUL要關(guān)閉對表S的審計功能可以使用如下語句：NO AUDIT ALL ON S返回51數(shù)據(jù)庫原理及應(yīng)用-SQL DMLSQL Server的安全機制自主存取控制(DAC)初步的審計屬于C2級52數(shù)據(jù)庫原理及

23、應(yīng)用-SQL DMLSQL Server的安全機制用戶權(quán)限語句權(quán)限對象權(quán)限角色審計返回53數(shù)據(jù)庫原理及應(yīng)用-SQL DML用戶兩類用戶：Server(DBMS)和數(shù)據(jù)庫54數(shù)據(jù)庫原理及應(yīng)用-SQL DML服務(wù)器用戶成為服務(wù)器用戶 Create login login_name withPASSWORD = password 執(zhí)行該命令必須有一定的權(quán)限（sysadmin或 securityadmin的成員）55數(shù)據(jù)庫原理及應(yīng)用-SQL DML服務(wù)器用戶其它相關(guān)的命令drop loginalter loginsp_helplogins56數(shù)據(jù)庫原理及應(yīng)用-SQL DML數(shù)據(jù)庫用戶成為數(shù)據(jù)庫用戶Cr

24、eate user 要成為數(shù)據(jù)庫的用戶必須首先是Server的用戶（登錄）必須是sysadmin的成員或dbo或db_owner角色的成員才可以執(zhí)行57數(shù)據(jù)庫原理及應(yīng)用-SQL DML數(shù)據(jù)庫用戶相關(guān)命令sp_helpuserdrop useralter user返回58數(shù)據(jù)庫原理及應(yīng)用-SQL DML語句權(quán)限創(chuàng)建數(shù)據(jù)庫或數(shù)據(jù)庫中的項（如表或存儲過程）的權(quán)限BACKUP DATABASEBACKUP LOGCREATE DATABASECREATE DEFAULTCREATE FUNCTIONCREATE PROCEDURECREATE RULECREATE TABLECREATE VIEW59

25、數(shù)據(jù)庫原理及應(yīng)用-SQL DML語句權(quán)限誰可以執(zhí)行語句權(quán)限的授權(quán)?sysadmindb_ownerdb_backupoperatordbcreator返回60數(shù)據(jù)庫原理及應(yīng)用-SQL DML對象權(quán)限表 select, update, insert,delete視圖 select, update, insert,delete存儲過程 execute函數(shù) execute列 select, update返回61數(shù)據(jù)庫原理及應(yīng)用-SQL DML角色為了方便權(quán)限管理，提出了角色的概念可以賦予角色一組權(quán)限角色有若干成員，所有的成員都具有角色的所有權(quán)限SQL Server設(shè)定了一組固定的角色，把一些系統(tǒng)特權(quán)預(yù)先賦予給角色，大大方便了Server和數(shù)據(jù)庫的管理62數(shù)據(jù)庫原理及應(yīng)用-SQL DML固定服務(wù)器角色固定服務(wù)器角色描述sysadmin執(zhí)行任何活動dbcreator可以創(chuàng)建、更改數(shù)據(jù)庫serveradmin可以更改服務(wù)器范圍的配置選項和關(guān)閉服務(wù)器securityadmin管理和審核登錄帳戶processadmin可以終止 SQL Server 實例中運行的進程setupadmin配置復(fù)制和鏈接服務(wù)器diskadmin用于管理磁盤文件bulkadmin可以運行 BULK INSERT 語句63數(shù)據(jù)庫原理及應(yīng)用-SQL DM