數(shù)據(jù)庫系統(tǒng)原理-4

1/66數(shù)據(jù)庫系統(tǒng)原理第四章數(shù)據(jù)庫安全性黃穗副教授主講暨南大學信息學院計算機系2/66【教學目標】

通過認識計算機面臨的各種安全危險，了解安全的基本問題，評價體系。掌握DAC和MAC的控制方法。了解視圖在安全上的作用

【教學重點】安全系統(tǒng)的分類標準，DAC控制方法和MAC控制方法。

【教學難點】MAC控制方法的讀寫規(guī)則與實現(xiàn)基礎。角色控制思想與用法。3/66第一節(jié)、計算機安全概述【教學目標】了解計算機系統(tǒng)的三類安全性問題了解安全系統(tǒng)的標準教學進度4/66

問題的提出數(shù)據(jù)庫的一大特點是數(shù)據(jù)可以共享但數(shù)據(jù)共享必然帶來數(shù)據(jù)庫的安全性問題數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)共享不能是無條件的共享例：軍事秘密、國家機密、新產品實驗數(shù)據(jù)、市場需求分析、市場營銷策略、銷售計劃、客戶檔案、醫(yī)療檔案、銀行儲蓄數(shù)據(jù)5/66數(shù)據(jù)庫中數(shù)據(jù)的共享是在DBMS統(tǒng)一的嚴格的控制之下的共享，即只允許有合法使用權限的用戶訪問允許他存取的數(shù)據(jù)數(shù)據(jù)庫系統(tǒng)的安全保護措施是否有效是數(shù)據(jù)庫系統(tǒng)主要的性能指標之一什么是數(shù)據(jù)庫的安全性數(shù)據(jù)庫的安全性是指保護數(shù)據(jù)庫，防止因用戶非法使用數(shù)據(jù)庫造成數(shù)據(jù)泄露、更改或破壞。什么是數(shù)據(jù)的保密數(shù)據(jù)保密是指用戶合法地訪問到機密數(shù)據(jù)后能否對這些數(shù)據(jù)保密。通過制訂法律道德準則和政策法規(guī)來保證。6/66計算機安全性概論1、計算機系統(tǒng)的三類安全性問題2可信計算機系統(tǒng)評測標準什么是計算機系統(tǒng)安全性為計算機系統(tǒng)建立和采取的各種安全保護措施，以保護計算機系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。

計算機系統(tǒng)的三類安全性問題

7/66計算機安全涉及問題計算機系統(tǒng)本身的技術問題計算機安全理論與策略計算機安全技術管理問題安全管理安全評價安全產品法學計算機安全法律犯罪學計算機犯罪、取證與偵察安全監(jiān)察心理學8/66三類計算機系統(tǒng)安全性問題技術安全類管理安全類政策法律類技術安全指計算機系統(tǒng)中采用具有一定安全性的硬件、軟件來實現(xiàn)對計算機系統(tǒng)及其所存數(shù)據(jù)的安全保護，當計算機系統(tǒng)受到無意或惡意的攻擊時仍能保證系統(tǒng)正常運行，保證系統(tǒng)內的數(shù)據(jù)不增加、不丟失、不泄露。9/66管理安全軟硬件意外故障、場地的意外事故、管理不善導致的計算機設備和數(shù)據(jù)介質的物理破壞、丟失等安全問題政策法律類政府部門建立的有關計算機犯罪、數(shù)據(jù)安全保密的法律道德準則和政策法規(guī)、法令10/66可信計算機系統(tǒng)評測標準為降低進而消除對系統(tǒng)的安全攻擊，各國引用或制定了一系列安全標準。評估與認證標準大致分三個階段：80年代TCSEC，90年代初FC（美國）、CTCSEC（加拿大）、ITSEC（歐洲），90年代末CC（CommonCriteriaforInformationTechnologySecurityEvaluation），1999年12月ISO接受為國際標準ISO/IEC15408。TCSEC(桔皮書)TDI(紫皮書)11/661985年美國國防部（DoD）正式頒布《DoD可信計算機系統(tǒng)評估標準》（簡稱TCSEC或DoD85）TCSEC又稱桔皮書TCSEC標準的目的提供一種標準，使用戶可以對其計算機系統(tǒng)內敏感信息安全操作的可信程度做評估。給計算機行業(yè)的制造商提供一種可循的指導規(guī)則，使其產品能夠更好地滿足敏感應用的安全需求。12/661991年4月美國NCSC（國家計算機安全中心）頒布了《可信計算機系統(tǒng)評估標準關于可信數(shù)據(jù)庫系統(tǒng)的解釋》（TrustedDatabaseInterpretation簡稱TDI）TDI又稱紫皮書。它將TCSEC擴展到數(shù)據(jù)庫管理系統(tǒng)。TDI中定義了數(shù)據(jù)庫管理系統(tǒng)的設計與實現(xiàn)中需滿足和用以進行安全性級別評估的標準。2001年3月我國正式接受CC作為國家標準，編號為GB/T18336-2001。CC分3個部分：第1部分“簡介和一般模型”，介紹基本概念和基本原理；第2部分“安全功能要求”，提出了技術要求；第3部分“安全保證要求”，提出了非技術要求和對開發(fā)過程、工程過程的要求。保護輪廓和安全目標是CC中的重要概念。13/66TDI/TCSEC標準的基本內容TDI與TCSEC一樣，從四個方面來描述安全性級別劃分的指標安全策略責任保證文檔?信息系統(tǒng)安全等級保護安全管理測評14/66R1安全策略（SecurityPolicy）

R1.1自主存取控制DACR1.2客體重用（ObjectReuse）

R1.3標記（Labels）

R1.4強制存取控制MACR2責任（Accountability）

R2.1標識與鑒別（Identification&Authentication）

R2.2審計（Audit）R3保證（Assurance）

R3.1操作保證（OperationalAssurance）

R3.2生命周期保證（LifeCycleAssurance）15/66R4文檔（Documentation）

R4.1安全特性用戶指南R4.2可信設施手冊

R4.3測試文檔（TestDocumentation）

R4.4設計文檔（DesignDocumentation）安全級別

定義A1驗證設計（VerifiedDesign）B3安全域（SecurityDomains）

B2結構化保護（StructuralProtection）

B1標記安全保護（LabeledSecurityProtection）

C2受控的存取保護（ControlledAccessProtection）

C1自主安全保護（DiscretionarySecurityProtection）

D最小保護（MinimalProtection）TCSEC/TDI安全級別劃分16/66四組(division)七個等級

DC（C1，C2）

B（B1，B2，B3）

A（A1）按系統(tǒng)可靠或可信程度逐漸增高各安全級別之間具有一種偏序向下兼容的關系，即較高安全性級別提供的安全保護要包含較低級別的所有保護要求，同時提供更多或更完善的保護能力。17/66D級將一切不符合更高標準的系統(tǒng)均歸于D組典型例子：DOS是安全標準為D的操作系統(tǒng)

DOS在安全性方面幾乎沒有什么專門的機制來保障C1級非常初級的自主安全保護能夠實現(xiàn)對用戶和數(shù)據(jù)的分離，進行自主存取控制（DAC），保護或限制用戶權限的傳播。18/66C2級安全產品的最低檔次提供受控的存取保護，將C1級的DAC進一步細化，以個人身份注冊負責，并實施審計和資源隔離達到C2級的產品在其名稱中往往不突出“安全”(Security)這一特色典型例子操作系統(tǒng)Microsoft的WindowsNT3.5，數(shù)字設備公司的OpenVMSVAX6.0和6.1

數(shù)據(jù)庫Oracle公司的Oracle7Sybase公司的SQLServer11.0.619/66B1級標記安全保護?！鞍踩?Security)或“可信的”(Trusted)產品。對系統(tǒng)的數(shù)據(jù)加以標記，對標記的主體和客體實施強制存取控制（MAC）、審計等安全機制典型例子操作系統(tǒng)數(shù)字設備公司的SEVMSVAXVersion6.0惠普公司的HP-UXBLSrelease9.0.9+

數(shù)據(jù)庫Oracle公司的TrustedOracle7Sybase公司的SecureSQLServerversion11.0.6Informix公司IncorporatedINFORMIX-OnLine/Secure5.020/66B2級結構化保護建立形式化的安全策略模型并對系統(tǒng)內的所有主體和客體實施DAC和MAC。經(jīng)過認證的B2級以上的安全系統(tǒng)非常稀少典型例子操作系統(tǒng)只有TrustedInformationSystems公司的TrustedXENIX一種產品標準的網(wǎng)絡產品只有CryptekSecureCommunications公司的LLCVSLAN一種產品數(shù)據(jù)庫沒有符合B2標準的產品21/66B3級安全域。該級的TCB必須滿足訪問監(jiān)控器的要求，審計跟蹤能力更強，并提供系統(tǒng)恢復過程。A1級驗證設計，即提供B3級保護的同時給出系統(tǒng)的形式化設計說明和驗證以確信各安全保護真正實現(xiàn)。22/66B2以上的系統(tǒng)還處于理論研究階段應用多限于一些特殊的部門如軍隊等美國正在大力發(fā)展安全產品，試圖將目前僅限于少數(shù)領域應用的B2安全級別下放到商業(yè)應用中來，并逐步成為新的商業(yè)標準。23/66表示該級不提供對該指標的支持；表示該級新增的對該指標的支持；表示該級對該指標的支持與相鄰低一級的等級一樣；表示該級對該指標的支持較下一級有所增加或改動。24/66第二節(jié)、數(shù)據(jù)庫安全性控制【教學目標】了解用戶標識與鑒別方法了解自主存取控制方法了解強制存取控制方法了解角色存取控制方法25/66數(shù)據(jù)庫安全性控制概述非法使用數(shù)據(jù)庫的情況用戶編寫一段合法的程序繞過DBMS及其授權機制，通過操作系統(tǒng)直接存取、修改或備份數(shù)據(jù)庫中的數(shù)據(jù)；直接或編寫應用程序執(zhí)行非授權操作；26/66通過多次合法查詢數(shù)據(jù)庫從中推導出一些保密數(shù)據(jù)例：某數(shù)據(jù)庫應用系統(tǒng)禁止查詢單個人的工資，但允許查任意一組人的平均工資。用戶甲想了解張三的工資，于是他： 首先查詢包括張三在內的一組人的平均工資 然后查用自己替換張三后這組人的平均工資從而推導出張三的工資破壞安全性的行為可能是無意的，故意的，惡意的。27/66計算機系統(tǒng)中的安全模型

應用DBMSOS

DB

高

低安全性控制層次

方法：

用戶標識和鑒定

存取控制審計視圖

操作系統(tǒng)安全保護

密碼存儲ISO7498-2定義的安全服務5個層次：身份認證、訪問控制、數(shù)據(jù)保密、數(shù)據(jù)完整、不可否認。28/66數(shù)據(jù)庫安全性控制的常用方法用戶標識和鑒定存取控制視圖審計密碼存儲29/66用戶標識與鑒別用戶標識與鑒別（Identification&Authentication）系統(tǒng)提供的最外層安全保護措施基本方法系統(tǒng)提供一定的方式讓用戶標識自己的名字或身份；系統(tǒng)內部記錄著所有合法用戶的標識；每次用戶要求進入系統(tǒng)時，由系統(tǒng)核對用戶提供的身份標識；通過鑒定后才提供機器使用權。用戶標識和鑒定可以重復多次30/66用戶名/口令簡單易行，容易被人竊取每個用戶預先約定好一個計算過程或者函數(shù)系統(tǒng)提供一個隨機數(shù)用戶根據(jù)自己預先約定的計算過程或者函數(shù)進行計算系統(tǒng)根據(jù)用戶計算結果是否正確鑒定用戶身份身份鑒別防止冒牌貨。比如銀行的U盾與手機確認短信。31/66存取控制存取控制機制的功能存取控制機制的組成定義存取權限檢查存取權限用戶權限定義和合法權檢查機制一起組成了DBMS的安全子系統(tǒng)32/66定義存取權限在數(shù)據(jù)庫系統(tǒng)中，為了保證用戶只能訪問他有權存取的數(shù)據(jù)，必須預先對每個用戶定義存取權限。檢查存取權限對于通過鑒定獲得上機權的用戶（即合法用戶），系統(tǒng)根據(jù)他的存取權限定義對他的各種操作請求進行控制，確保他只執(zhí)行合法操作。33/66存取控制方法自主存取控制（DiscretionaryAccessControl，簡稱DAC）

C2級

靈活強制存取控制（MandatoryAccessControl，簡稱MAC）

B1級嚴格另外還有RBAC、OBAC和TBAC等方法。34/66自主存取控制方法DACDAC決定用戶能否訪問某數(shù)據(jù)對象的依據(jù)是系統(tǒng)中是否存在明確的授權，即查看訪問控制表ACL中的權限矩陣。每一個對象有且僅有一個屬主，屬主負責制定該對象的保護策略，又分三種情況：第一種，對象屬主不允許其它用戶代理管理權限；第二種，可以將權限授予其它用戶，也可將管理權交其它用戶代理；第三種，屬主權可以轉讓，甚至多次傳遞。同一用戶對于不同的數(shù)據(jù)對象有不同的存取權限不同的用戶對同一對象也有不同的權限用戶還可將其擁有的存取權限轉授給其他用戶35/66定義存取權限存取權限存取權限由兩個要素組成數(shù)據(jù)對象操作類型36/66關系系統(tǒng)中的存取權限類型

數(shù)據(jù)對象 操作類型模式 模式 建立、修改、刪除、檢索 外模式建立、修改、刪除、檢索 內模式 建立、刪除、檢索數(shù)據(jù) 表 查找、插入、修改、刪除 屬性列 查找、插入、修改、刪除37/66定義方法GRANT/REVOKE例:一張授權表

用戶名數(shù)據(jù)對象名允許的操作類型王平關系StudentSELECT

張明霞關系StudentUPDATE

張明霞關系CourseALL

張明霞SC.GradeUPDATE

張明霞SC.SnoSELECT

張明霞SC.CnoSELECT38/66檢查存取權限對于獲得上機權后又進一步發(fā)出存取數(shù)據(jù)庫操作的用戶DBMS查找數(shù)據(jù)字典，根據(jù)其存取權限對操作的合法性進行檢查若用戶的操作請求超出了定義的權限，系統(tǒng)將拒絕執(zhí)行此操作39/66

授權粒度授權粒度是指可以定義的數(shù)據(jù)對象的范圍它是衡量授權機制是否靈活的一個重要指標。授權定義中數(shù)據(jù)對象的粒度越細，即可以定義的數(shù)據(jù)對象的范圍越小，授權子系統(tǒng)就越靈活。40/66關系數(shù)據(jù)庫中授權的數(shù)據(jù)對象粒度數(shù)據(jù)庫表屬性列行能否提供與數(shù)據(jù)值有關的授權反映了授權子系統(tǒng)精巧程度41/66實現(xiàn)與數(shù)據(jù)值有關的授權利用存取謂詞存取謂詞可以很復雜可以引用系統(tǒng)變量，如終端設備號，系統(tǒng)時鐘等，實現(xiàn)與時間地點有關的存取權限，這樣用戶只能在某段時間內，某臺終端上存取有關數(shù)據(jù)

例：規(guī)定“教師只能在每年1月份和7月份星期一至星期五上午8點到下午5點處理學生成績數(shù)據(jù)”。42/66例：擴充后的授權表用戶名數(shù)據(jù)對象名允許的操作類型存取謂詞 王平關系StudentSELECTSdept=CS

張明霞關系StudentUPDATESname=張明霞 張明霞關系CourseALL空自主存取控制小結優(yōu)點能夠通過授權機制有效地控制其他用戶對敏感數(shù)據(jù)的存取43/66缺點可能存在數(shù)據(jù)的“無意泄露”普遍難以解決有效抵御特洛伊木馬攻擊。原因：這種機制僅僅通過對數(shù)據(jù)的存取權限來進行安全控制，而數(shù)據(jù)本身并無安全性標記。解決：對系統(tǒng)控制下的所有主客體實施強制存取控制策略44/66強制存取控制方法MAC主體和客體均有相應的安全屬性，如主體的可信度與客體的安全標簽。每一個數(shù)據(jù)對象被標以一定的密級每一個用戶也被授予某一個級別的許可證對于任意一個對象，只有具有合法許可證的用戶才可以存取45/66強制存取控制(MAC)是指系統(tǒng)為保證更高程度的安全性，按照TDI/TCSEC標準中安全策略的要求所采取的強制存取檢查手段。MAC不是用戶能直接感知或進行控制的。MAC適用于對數(shù)據(jù)有嚴格而固定密級分類的部門。MAC能有效阻止“特洛伊木馬”病毒攻擊。->軍事部門->政府部門46/66主體與客體在MAC中，DBMS所管理的全部實體被分為主體和客體兩大類主體是系統(tǒng)中的活動實體

DBMS所管理的實際用戶代表用戶的各進程客體是系統(tǒng)中的被動實體，是受主體操縱的*文件*基表*索引*視圖47/66敏感度標記

對于主體和客體，DBMS為它們每個實例（值）指派一個敏感度標記（Label）敏感度標記分成若干級別絕密（TopSecret）機密（Secret）可信（Confidential）公開（Public）48/66主體的敏感度標記稱為許可證級別（ClearanceLevel）客體的敏感度標記稱為密級（ClassificationLevel）MAC機制就是通過對比主體的Label和客體的Label，最終確定主體是否能夠存取客體主體的安全屬性一般由管理員指定。大量客體的安全屬性既可由管理員直接設定，也可以根據(jù)一定的規(guī)則自動生成。一般主體不能隨意更改客體的安全屬性。典型的MAC模型包括BLP和Dion模型。49/66

強制存取控制規(guī)則當某一用戶（或某一主體）以標記label注冊入系統(tǒng)時，系統(tǒng)要求他對任何客體的存取必須遵循下面兩條規(guī)則：（1）僅當主體的許可證級別大于或等于客體的密級時，該主體才能讀取相應的客體；（2）僅當主體的許可證級別等于客體的密級時，該主體才能寫相應的客體。50/66修正規(guī)則：主體的許可證級別<=客體的密級主體能寫客體用戶可為寫入的數(shù)據(jù)對象賦予高于自己的許可證級別的密級一旦數(shù)據(jù)被寫入，該用戶自己也不能再讀該數(shù)據(jù)對象了。51/66規(guī)則的共同點禁止了擁有高許可證級別的主體更新低密級的數(shù)據(jù)對象強制存取控制的特點MAC是對數(shù)據(jù)本身進行密級標記無論數(shù)據(jù)如何復制，標記與數(shù)據(jù)是一個不可分的整體只有符合密級標記要求的用戶才可以操縱數(shù)據(jù)從而提供了更高級別的安全性52/66MAC與DACDAC與MAC共同構成DBMS的安全機制原因：較高安全性級別提供的安全保護要包含較低級別的所有保護先進行DAC檢查，通過DAC檢查的數(shù)據(jù)對象再由系統(tǒng)進行MAC檢查，只有通過MAC檢查的數(shù)據(jù)對象方可存取。53/66DAC+MAC安全檢查示意圖

SQL語法分析&語義檢查

DAC檢查安全檢查

MAC檢查

繼續(xù)54/66基于角色的訪問控制模型RBAC相關研究始于上世紀90年代，F(xiàn)erraiolo和Kuhn92年發(fā)表的論文最早提出。比較完整的早期模型是RBAC96。其基本概念來自于商界，是角色-權限與用戶-角色，兩對都是多對多關聯(lián)。擁有某個角色的用戶自動擁有角色所具有的權限。這樣就將授權過程分成了角色授權、用戶角色指派與角色管理等幾個部分。RBAC標準分為兩部分：參考模型與功能說明。RBAC的五個基本元素：用戶、角色、操作、對象和權限。RBAC支持的三個著名的安全策略：數(shù)據(jù)抽象、最小特權與職責分離。55/66第三節(jié)、視圖、審計、加密及統(tǒng)計數(shù)據(jù)庫的安全問題【教學目標】了解視圖在安全中的用途了解審計的作用與實現(xiàn)方法了解加密用途了解統(tǒng)計數(shù)據(jù)庫的安全問題56/66視圖機制視圖機制把要保密的數(shù)據(jù)對無權存取這些數(shù)據(jù)的用戶隱藏起來，視圖機制更主要的功能在于提供數(shù)據(jù)獨立性，其安全保護功能太不精細，往往遠不能達到應用系統(tǒng)的要求。視圖機制與授權機制配合使用:首先用視圖機制屏蔽掉一部分保密數(shù)據(jù)視圖上面再進一步定義存取權限間接實現(xiàn)了支持存取謂詞的用戶權限定義57/66例：王平只能檢索計算機系學生的信息先建立計算機系學生的視圖CS_StudentCREATEVIEWCS_StudentASSELECTFROMStudentWHERESdept='CS'；在視圖上進一步定義存取權限

GRANTSELECTONCS_StudentTO王平；58/66審計什么是審計啟用一個專用的審計日志（AuditLog）將用戶對數(shù)據(jù)庫的所有操作記錄在上面DBA可以利用審計日志中的追蹤信息找出非法存取數(shù)據(jù)的人C2以上安全級別的DBMS必須具有審計功能59/66審計功能的可選性審計很費時間和空間DBA可以根據(jù)應用對安全性的要求，靈活地打開或關閉審計功能。強制性機制:

用戶識別和鑒定、存取控制、視圖預防監(jiān)測手段:

審計技術60/66數(shù)據(jù)加密數(shù)據(jù)加密防止數(shù)據(jù)庫中數(shù)據(jù)在存儲和傳輸中失密的有效手段加密的基本思想根據(jù)一定的算法將原始數(shù)據(jù)