第四章 數(shù)據(jù)庫(kù)安全性

數(shù)據(jù)庫(kù)原理

PrincipleofDatabase第四章數(shù)據(jù)庫(kù)安全性AnIntroductiontoDatabaseSystem第四章數(shù)據(jù)庫(kù)安全性介紹計(jì)算機(jī)以及信息安全技術(shù)標(biāo)準(zhǔn)的進(jìn)展。詳細(xì)講解數(shù)據(jù)庫(kù)安全性問題和實(shí)現(xiàn)技術(shù)。RDBMS實(shí)現(xiàn)數(shù)據(jù)庫(kù)系統(tǒng)安全性的技術(shù)和方法有多種，本章講解最重要的存取控制技術(shù)、視圖技術(shù)和審計(jì)技術(shù)。講解存取控制機(jī)制中用戶權(quán)限的授權(quán)與回收，合法權(quán)限檢查。數(shù)據(jù)庫(kù)角色的概念和定義等。本章目標(biāo):

掌握什么是數(shù)據(jù)庫(kù)的安全性問題，牢固掌握數(shù)據(jù)庫(kù)管理系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)庫(kù)安全性控制的常用方法和技術(shù)。

AnIntroductiontoDatabaseSystem教學(xué)重點(diǎn)：1、使用SQL中的GRANT語(yǔ)句和REVOKE語(yǔ)句來實(shí)現(xiàn)數(shù)據(jù)庫(kù)的實(shí)現(xiàn)自主存取控制功能。2、使用SQL中CREATEROLE語(yǔ)句創(chuàng)建角色，用GRANT語(yǔ)句給角色授權(quán)。3、掌握視圖機(jī)制在數(shù)據(jù)庫(kù)安全保護(hù)中的作用。

教學(xué)難點(diǎn)：存取控制之強(qiáng)制存取控制，強(qiáng)制存取控制（MAC）機(jī)制中確定主體能否存取客體的存取規(guī)則，AnIntroductiontoDatabaseSystem第四章數(shù)據(jù)庫(kù)安全性

問題的提出數(shù)據(jù)庫(kù)的一大特點(diǎn)是數(shù)據(jù)可以共享但數(shù)據(jù)共享必然帶來數(shù)據(jù)庫(kù)的安全性問題數(shù)據(jù)庫(kù)系統(tǒng)中的數(shù)據(jù)共享不能是無(wú)條件的共享例：軍事秘密、國(guó)家機(jī)密、新產(chǎn)品實(shí)驗(yàn)數(shù)據(jù)、市場(chǎng)需求分析、市場(chǎng)營(yíng)銷策略、銷售計(jì)劃、客戶檔案、醫(yī)療檔案、銀行儲(chǔ)蓄數(shù)據(jù)AnIntroductiontoDatabaseSystem數(shù)據(jù)庫(kù)安全性（續(xù)）數(shù)據(jù)庫(kù)中數(shù)據(jù)的共享是在DBMS統(tǒng)一的嚴(yán)格的控制之下的共享，即只允許有合法使用權(quán)限的用戶訪問允許他存取的數(shù)據(jù)數(shù)據(jù)庫(kù)系統(tǒng)的安全保護(hù)措施是否有效是數(shù)據(jù)庫(kù)系統(tǒng)主要的性能指標(biāo)之一AnIntroductiontoDatabaseSystem數(shù)據(jù)庫(kù)安全性（續(xù)）什么是數(shù)據(jù)庫(kù)的安全性數(shù)據(jù)庫(kù)的安全性是指保護(hù)數(shù)據(jù)庫(kù)，防止因用戶非法使用數(shù)據(jù)庫(kù)造成數(shù)據(jù)泄露、更改或破壞。什么是數(shù)據(jù)的保密數(shù)據(jù)保密是指用戶合法地訪問到機(jī)密數(shù)據(jù)后能否對(duì)這些數(shù)據(jù)保密。通過制訂法律道德準(zhǔn)則和政策法規(guī)來保證。AnIntroductiontoDatabaseSystem第四章數(shù)據(jù)庫(kù)安全性4.1計(jì)算機(jī)安全性概論4.2數(shù)據(jù)庫(kù)安全性控制4.3視圖機(jī)制4.4審計(jì)4.5Oracle數(shù)據(jù)庫(kù)的安全性措施4.6小結(jié)AnIntroductiontoDatabaseSystem4.1計(jì)算機(jī)安全性概論4.1.1計(jì)算機(jī)系統(tǒng)的三類安全性問題4.1.2安全標(biāo)準(zhǔn)簡(jiǎn)介AnIntroductiontoDatabaseSystem4.1計(jì)算機(jī)安全性概論4.1.1計(jì)算機(jī)系統(tǒng)的三類安全性問題

4.1.2安全標(biāo)準(zhǔn)簡(jiǎn)介AnIntroductiontoDatabaseSystem4.1.1計(jì)算機(jī)系統(tǒng)的三類安全性問題

什么是計(jì)算機(jī)系統(tǒng)安全性為計(jì)算機(jī)系統(tǒng)建立和采取的各種安全保護(hù)措施，以保護(hù)計(jì)算機(jī)系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。AnIntroductiontoDatabaseSystem計(jì)算機(jī)系統(tǒng)的三類安全性問題（續(xù)）

計(jì)算機(jī)安全涉及問題計(jì)算機(jī)系統(tǒng)本身的技術(shù)問題計(jì)算機(jī)安全理論與策略計(jì)算機(jī)安全技術(shù)管理問題安全管理安全評(píng)價(jià)安全產(chǎn)品AnIntroductiontoDatabaseSystem計(jì)算機(jī)系統(tǒng)的三類安全性問題（續(xù)）

計(jì)算機(jī)安全涉及問題(續(xù))法學(xué)計(jì)算機(jī)安全法律犯罪學(xué)計(jì)算機(jī)犯罪與偵察安全監(jiān)察心理學(xué)AnIntroductiontoDatabaseSystem計(jì)算機(jī)系統(tǒng)的三類安全性問題（續(xù)）

三類計(jì)算機(jī)系統(tǒng)安全性問題技術(shù)安全類管理安全類政策法律類AnIntroductiontoDatabaseSystem計(jì)算機(jī)系統(tǒng)的三類安全性問題（續(xù)）

技術(shù)安全指計(jì)算機(jī)系統(tǒng)中采用具有一定安全性的硬件、軟件來實(shí)現(xiàn)對(duì)計(jì)算機(jī)系統(tǒng)及其所存數(shù)據(jù)的安全保護(hù)，當(dāng)計(jì)算機(jī)系統(tǒng)受到無(wú)意或惡意的攻擊時(shí)仍能保證系統(tǒng)正常運(yùn)行，保證系統(tǒng)內(nèi)的數(shù)據(jù)不增加、不丟失、不泄露。AnIntroductiontoDatabaseSystem計(jì)算機(jī)系統(tǒng)的三類安全性問題（續(xù)）

管理安全由于管理不善導(dǎo)致的計(jì)算機(jī)設(shè)備和數(shù)據(jù)介質(zhì)的物理破壞、丟失等軟硬件意外故障以及場(chǎng)地的意外事故等安全問題。AnIntroductiontoDatabaseSystem計(jì)算機(jī)系統(tǒng)的三類安全性問題（續(xù)）

政策法律類政府部門建立的有關(guān)計(jì)算機(jī)犯罪、數(shù)據(jù)安全保密的法律道德準(zhǔn)則和政策法規(guī)、法令。AnIntroductiontoDatabaseSystem隨著計(jì)算機(jī)資源共享和網(wǎng)絡(luò)技術(shù)的應(yīng)用日益廣泛和深入，特別是Internet技術(shù)的發(fā)展，計(jì)算機(jī)安全性問題越來越得到人們的重視。對(duì)各種計(jì)算機(jī)及其相關(guān)產(chǎn)品，信息系統(tǒng)的安全性要求越來越高。在計(jì)算機(jī)安全技術(shù)方面逐步建立了一套可信計(jì)算機(jī)系統(tǒng)的概念和標(biāo)準(zhǔn)。只有建立了完善的可信或安全標(biāo)準(zhǔn)，才能規(guī)范和指導(dǎo)安全計(jì)算機(jī)系統(tǒng)部件的生產(chǎn)，比較準(zhǔn)確地測(cè)定產(chǎn)品的安全性能指標(biāo)，滿足民用和國(guó)防的需要。AnIntroductiontoDatabaseSystem4.1計(jì)算機(jī)安全性概論4.1.1計(jì)算機(jī)系統(tǒng)的三類安全性問題4.1.2安全標(biāo)準(zhǔn)簡(jiǎn)介AnIntroductiontoDatabaseSystem4.1.2安全標(biāo)準(zhǔn)簡(jiǎn)介計(jì)算機(jī)以及信息安全技術(shù)方面有一系列的安全標(biāo)準(zhǔn)，最有影響的是TCSEC和CC標(biāo)準(zhǔn)。AnIntroductiontoDatabaseSystemTCSEC1985年美國(guó)國(guó)防部（DoD）正式頒布《DoD可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則》（TrustedComputerSystemEvaluationCriteria,簡(jiǎn)稱TCSEC或DoD85）TCSEC又稱桔皮書TCSEC標(biāo)準(zhǔn)的目的提供一種標(biāo)準(zhǔn)，使用戶可以對(duì)其計(jì)算機(jī)系統(tǒng)內(nèi)敏感信息安全操作的可信程度做評(píng)估。給計(jì)算機(jī)行業(yè)的制造商提供一種可循的指導(dǎo)規(guī)則，使其產(chǎn)品能夠更好地滿足敏感應(yīng)用的安全需求。AnIntroductiontoDatabaseSystem在TCSEC推出后的十年里，不同的國(guó)家都開始啟動(dòng)開發(fā)建立在TCSEC概念上的評(píng)估準(zhǔn)則。歐洲的信息技術(shù)安全評(píng)估準(zhǔn)則（ITSEC）加拿大的可信計(jì)算機(jī)產(chǎn)品評(píng)估準(zhǔn)則（CTCPEC）美國(guó)的信息技術(shù)安全聯(lián)邦標(biāo)準(zhǔn)（FC）草案等。

這些準(zhǔn)則比TCSEC更加靈活，適應(yīng)了IT技術(shù)的發(fā)展。AnIntroductiontoDatabaseSystem為滿足全球IT市場(chǎng)上互認(rèn)標(biāo)準(zhǔn)化安全評(píng)估結(jié)果的需要，CTCPEC、FC、TCSEC和ITSEC的發(fā)起組織于1993年起開始聯(lián)合行動(dòng)，解決原標(biāo)準(zhǔn)中概念和技術(shù)上的差異，將各自獨(dú)立的準(zhǔn)則集合成一組單一的、能被廣泛使用的IT安全準(zhǔn)則，這一行動(dòng)被稱為CC（CommonCriteria)項(xiàng)目。CCV2.1版于1999年被ISO采用為國(guó)際標(biāo)準(zhǔn)。2001年被我國(guó)采用為國(guó)家標(biāo)準(zhǔn)。CC已經(jīng)基本取代了TCSEC，成為評(píng)估信息產(chǎn)品安全性的主要標(biāo)準(zhǔn)。AnIntroductiontoDatabaseSystemTDI1991年4月美國(guó)NCSC（國(guó)家計(jì)算機(jī)安全中心）頒布了《可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則關(guān)于可信數(shù)據(jù)庫(kù)系統(tǒng)的解釋》（TrustedDatabaseInterpretation簡(jiǎn)稱TDI）TDI又稱紫皮書。它將TCSEC擴(kuò)展到數(shù)據(jù)庫(kù)管理系統(tǒng)。TDI中定義了數(shù)據(jù)庫(kù)管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)中需滿足和用以進(jìn)行安全性級(jí)別評(píng)估的標(biāo)準(zhǔn)。AnIntroductiontoDatabaseSystemTCSEC/TDITCSEC/TDI標(biāo)準(zhǔn)的基本內(nèi)容從四個(gè)方面來描述安全性級(jí)別劃分的指標(biāo)安全策略責(zé)任保證文檔AnIntroductiontoDatabaseSystemTCSEC/TDIR1安全策略（SecurityPolicy）

R1.1自主存取控制（DiscretionaryAccessControl，簡(jiǎn)記為DAC）R1.2客體重用（ObjectReuse）R1.3標(biāo)記（Labels）R1.4強(qiáng)制存取控制（MandatoryAccessControl，簡(jiǎn)記為MAC）AnIntroductiontoDatabaseSystemTCSEC/TDIR2責(zé)任（Accountability）

R2.1標(biāo)識(shí)與鑒別（Identification&Authentication）R2.2審計(jì)（Audit）R3保證（Assurance）

R3.1操作保證（OperationalAssurance）R3.2生命周期保證（LifeCycleAssurance）AnIntroductiontoDatabaseSystemTCSEC/TDIR4文檔（Documentation）R4.1安全特性用戶指南（SecurityFeaturesUser'sGuide）R4.2可信設(shè)施手冊(cè)（TrustedFacilityManual）R4.3測(cè)試文檔（TestDocumentation）R4.4設(shè)計(jì)文檔（DesignDocumentation）AnIntroductiontoDatabaseSystemTCSEC/TDITCSEC/TDI安全級(jí)別劃分安全級(jí)別定義A1驗(yàn)證設(shè)計(jì)（VerifiedDesign）

B3安全域（SecurityDomains）

B2結(jié)構(gòu)化保護(hù)（StructuralProtection）

B1標(biāo)記安全保護(hù)（LabeledSecurityProtection）

C2受控的存取保護(hù)（ControlledAccessProtection）

C1自主安全保護(hù)（DiscretionarySecurityProtection）

D最小保護(hù)（MinimalProtection）AnIntroductiontoDatabaseSystemTCSEC（TDI）四組(division)七個(gè)等級(jí)DC（C1，C2）B（B1，B2，B3）A（A1）按系統(tǒng)可靠或可信程度逐漸增高各安全級(jí)別之間具有一種偏序向下兼容的關(guān)系，即較高安全性級(jí)別提供的安全保護(hù)要包含較低級(jí)別的所有保護(hù)要求，同時(shí)提供更多或更完善的保護(hù)能力。AnIntroductiontoDatabaseSystemD級(jí)將一切不符合更高標(biāo)準(zhǔn)的系統(tǒng)均歸于D組典型例子：DOS是安全標(biāo)準(zhǔn)為D的操作系統(tǒng)DOS在安全性方面幾乎沒有什么專門的機(jī)制來保障AnIntroductiontoDatabaseSystemC1級(jí)非常初級(jí)的自主安全保護(hù)能夠?qū)崿F(xiàn)對(duì)用戶和數(shù)據(jù)的分離，進(jìn)行自主存取控制（DAC），保護(hù)或限制用戶權(quán)限的傳播?，F(xiàn)有商業(yè)系統(tǒng)往往稍作改進(jìn)即可滿足要求。AnIntroductiontoDatabaseSystemC2級(jí)安全產(chǎn)品的最低檔次提供受控的存取保護(hù)，將C1級(jí)的DAC進(jìn)一步細(xì)化，以個(gè)人身份注冊(cè)負(fù)責(zé)，并實(shí)施審計(jì)和資源隔離達(dá)到C2級(jí)的產(chǎn)品在其名稱中往往不突出“安全”(Security)這一特色AnIntroductiontoDatabaseSystem典型例子操作系統(tǒng)Microsoft的Windows2000，

數(shù)據(jù)庫(kù)Oracle公司的Oracle7AnIntroductiontoDatabaseSystemB1級(jí)標(biāo)記安全保護(hù)?！鞍踩?Security)或“可信的”(Trusted)產(chǎn)品。對(duì)系統(tǒng)的數(shù)據(jù)加以標(biāo)記，對(duì)標(biāo)記的主體和客體實(shí)施強(qiáng)制存取控制（MAC）、審計(jì)等安全機(jī)制AnIntroductiontoDatabaseSystem典型例子操作系統(tǒng)數(shù)字設(shè)備公司的SEVMSVAXVersion6.0惠普公司的HP-UXBLSrelease9.0.9+數(shù)據(jù)庫(kù)Oracle公司的TrustedOracle7Sybase公司的SecureSQLServerversion11.0.6Informix公司的IncorporatedINFORMIX-OnLine/Secure5.0AnIntroductiontoDatabaseSystemB2級(jí)結(jié)構(gòu)化保護(hù)建立形式化的安全策略模型并對(duì)系統(tǒng)內(nèi)的所有主體和客體實(shí)施DAC和MAC。經(jīng)過認(rèn)證的B2級(jí)以上的安全系統(tǒng)非常稀少AnIntroductiontoDatabaseSystem典型例子操作系統(tǒng)只有TrustedInformationSystems公司的TrustedXENIX一種產(chǎn)品標(biāo)準(zhǔn)的網(wǎng)絡(luò)產(chǎn)品只有CryptekSecureCommunications公司的LLCVSLAN一種產(chǎn)品AnIntroductiontoDatabaseSystemB3級(jí)安全域。該級(jí)的TCB必須滿足訪問監(jiān)控器的要求，審計(jì)跟蹤能力更強(qiáng)，并提供系統(tǒng)恢復(fù)過程。AnIntroductiontoDatabaseSystemA1級(jí)驗(yàn)證設(shè)計(jì)，即提供B3級(jí)保護(hù)的同時(shí)給出系統(tǒng)的形式化設(shè)計(jì)說明和驗(yàn)證以確信各安全保護(hù)真正實(shí)現(xiàn)。AnIntroductiontoDatabaseSystem可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)標(biāo)準(zhǔn)（續(xù)）AnIntroductiontoDatabaseSystem可信計(jì)算機(jī)系統(tǒng)評(píng)測(cè)標(biāo)準(zhǔn)（續(xù)） 表示該級(jí)不提供對(duì)該指標(biāo)的支持；表示該級(jí)新增的對(duì)該指標(biāo)的支持；表示該級(jí)對(duì)該指標(biāo)的支持與相鄰低一級(jí)的等級(jí)一樣；表示該級(jí)對(duì)該指標(biāo)的支持較下一級(jí)有所增加或改動(dòng)。AnIntroductiontoDatabaseSystemCCCC是在上述各評(píng)估準(zhǔn)則及具體實(shí)踐基礎(chǔ)上，通達(dá)相互總結(jié)和互補(bǔ)發(fā)展而來的。CC具有結(jié)構(gòu)開放、表達(dá)方式通用等特點(diǎn)。CC提出了目前國(guó)際上公認(rèn)的表述信息技術(shù)安全性的結(jié)構(gòu)，即把對(duì)信息產(chǎn)品的安全要求分為安全功能要求和安全保證要求。AnIntroductiontoDatabaseSystem安全功能要求以規(guī)范產(chǎn)品和系統(tǒng)的安全行為安全保證要求解決如何正確有效地實(shí)施這些功能。安全功能要求和安全保證要求都以“類-子類-組件“的結(jié)構(gòu)表述，組件是安全要求的最小構(gòu)件塊。AnIntroductiontoDatabaseSystemCC的文本由三部分組成，三個(gè)部分相互依存、缺一不可。簡(jiǎn)介和一般模型安全功能要求安全保證要求AnIntroductiontoDatabaseSystem1、簡(jiǎn)介和一般模型介結(jié)CC中的有關(guān)術(shù)語(yǔ)、基本概念和一般模型以及與評(píng)估有關(guān)的一些框架，CC的附錄部分主要介紹”保護(hù)輪廓(ProtectionProfile,簡(jiǎn)稱PP）和“安全目標(biāo)”（SecurityTarget,簡(jiǎn)稱ST）的基本內(nèi)容。AnIntroductiontoDatabaseSystem2、安全功能要求列出了一系列功能組件、子類和類。有11類。安全審計(jì)（FAU）、通信（FCO）、密碼支持（FCS）、用戶數(shù)據(jù)保護(hù)（FDP）、標(biāo)識(shí)和鑒別（F1A）、安全管理（FMT）、隱私（FPR）、TSF保護(hù)（FPT）、資源利用（FRU）、TOE訪問（FTA）、可信路徑和信道（FTP）。11大類分為66個(gè)子類，由135個(gè)組件構(gòu)成。AnIntroductiontoDatabaseSystem3、安全保證要求列出了一系列保證組件、子類和類，包括7個(gè)類，分別是配置管理（ACM）、交付和運(yùn)行（ADO）、開發(fā)（ADV）、指導(dǎo)性文檔（AGD）、生命周期支持（ALC）、測(cè)試（ATE）、脆弱性評(píng)定（AVA）。7大類分為26個(gè)子類，由74個(gè)組件構(gòu)成。根據(jù)系統(tǒng)對(duì)安全保證要求的支持情況提出了評(píng)估保證級(jí)（EAL），并定義了保護(hù)輪廓PP和安全目標(biāo)ST的評(píng)估準(zhǔn)則，用于對(duì)PP和ST的評(píng)估。AnIntroductiontoDatabaseSystem這三部分的有機(jī)結(jié)合具體體現(xiàn)在PP和ST中。CC提出的安全功能要求和安全保證要求都可以在具體的PP和ST中進(jìn)一步細(xì)化和擴(kuò)展。CC的具體應(yīng)用也是通過PP和ST這兩種結(jié)構(gòu)來實(shí)現(xiàn)的。AnIntroductiontoDatabaseSystemPP用于表達(dá)一類產(chǎn)品或系統(tǒng)的用戶需求，是CC在某一領(lǐng)域的具體化。CC針對(duì)不同領(lǐng)域產(chǎn)品的評(píng)估，就體現(xiàn)在開發(fā)這類產(chǎn)品的PP上。例針對(duì)數(shù)據(jù)庫(kù)產(chǎn)品的PP（DBMSPP），CC沒有專門針對(duì)DBMS的解釋，CC的DBMSPP是CC在DBMS領(lǐng)域的具體化，相當(dāng)于是對(duì)DBMS的解釋。CC的DBMSPP就相當(dāng)于TCSEC的TDI。CC中規(guī)定了PP應(yīng)包含的基本內(nèi)容和格式。例如必須指明該P(yáng)P符合哪一種評(píng)估保證級(jí)別，目前國(guó)外已開發(fā)多種不同EVL的DBMSPP。AnIntroductiontoDatabaseSystemST是對(duì)特定的一種產(chǎn)品進(jìn)行描述，參加CC評(píng)估的產(chǎn)品必須提供自已的ST。PP的編制有利于提高安全保護(hù)的針對(duì)性和有效性。ST在PP的基礎(chǔ)上，將安全要求進(jìn)一步具體化，解決安全要求的具體實(shí)現(xiàn)。通過PP和ST這兩種結(jié)構(gòu)，能夠方便的將CC的安全性要求具體應(yīng)用到信息產(chǎn)品的開發(fā)、生產(chǎn)、測(cè)試、評(píng)估和信息系統(tǒng)的集成、運(yùn)行、評(píng)估、管理中。AnIntroductiontoDatabaseSystem包是組件的特定組合，用來描述一組特定的安全功能和保證要求。評(píng)估保證級(jí)（EVL）是在CC第三部分中預(yù)先定義的由保證組件組成功之路保證包。每一保證包描述了一組特定的保證要求，對(duì)應(yīng)著一種評(píng)估保證級(jí)別。從EVL1至EVL7共分為七級(jí)，按保證程度逐漸增高。AnIntroductiontoDatabaseSystemCC評(píng)估保證組劃分評(píng)估保證級(jí)定義TCSEC安全級(jí)別（近似相當(dāng)）EAL1功能測(cè)試(functionallytested)EAL2結(jié)構(gòu)測(cè)試(structurallytested)C1EAL3系統(tǒng)地測(cè)試和檢查(methodicallytestedandchecked)C2EAL4系統(tǒng)的設(shè)計(jì)、測(cè)試和復(fù)查(methodicallydesigned,tested,andreviewed)B1EAL5半形式化設(shè)計(jì)和測(cè)試(semiformallydesignedandtested)B2EAL6半形式化驗(yàn)證和設(shè)計(jì)和測(cè)試(semiformallyverifieddesignandtested)B3EAL7形式化驗(yàn)證的設(shè)計(jì)和測(cè)試（formallyverifieddesignandtested)A1AnIntroductiontoDatabaseSystem通過CC的EAL4操作系統(tǒng)Windows2000SunSolaris8等數(shù)據(jù)庫(kù)管理系統(tǒng)Oracle9iDB2V8.2SybaseAdaptiveServerEnterpriseV12.5.2AnIntroductiontoDatabaseSystem第四章數(shù)據(jù)庫(kù)安全性4.1計(jì)算機(jī)安全性概論4.2數(shù)據(jù)庫(kù)安全性控制4.3視圖機(jī)制4.4審計(jì)4.5Oracle數(shù)據(jù)庫(kù)的安全性措施4.6小結(jié)AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫(kù)安全性控制4.2.1用戶標(biāo)識(shí)與鑒別4.2.2存取控制4.2.3自主存取控制方法4.2.4授權(quán)與回收4.2.5數(shù)據(jù)庫(kù)角色4.2.6強(qiáng)制存取控制方法AnIntroductiontoDatabaseSystem數(shù)據(jù)庫(kù)安全性控制概述非法使用數(shù)據(jù)庫(kù)的情況用戶編寫一段合法的程序繞過DBMS及其授權(quán)機(jī)制，通過操作系統(tǒng)直接存取、修改或備份數(shù)據(jù)庫(kù)中的數(shù)據(jù)；直接或編寫應(yīng)用程序執(zhí)行非授權(quán)操作；AnIntroductiontoDatabaseSystem數(shù)據(jù)庫(kù)安全性控制概述（續(xù)）通過多次合法查詢數(shù)據(jù)庫(kù)從中推導(dǎo)出一些保密數(shù)據(jù)例：某數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)禁止查詢單個(gè)人的工資，但允許查任意一組人的平均工資。用戶甲想了解張三的工資，于是他： 首先查詢包括張三在內(nèi)的一組人的平均工資 然后查用自己替換張三后這組人的平均工資從而推導(dǎo)出張三的工資破壞安全性的行為可能是無(wú)意的，故意的，惡意的。AnIntroductiontoDatabaseSystem數(shù)據(jù)庫(kù)安全性控制概述（續(xù)）數(shù)據(jù)庫(kù)安全性控制的常用方法用戶標(biāo)識(shí)和鑒定存取控制視圖審計(jì)密碼存儲(chǔ)AnIntroductiontoDatabaseSystem計(jì)算機(jī)系統(tǒng)中的安全模型

應(yīng)用DBMSOS

DB低高安全性控制層次方法：

用戶標(biāo)識(shí)和鑒定

存取控制審計(jì)視圖

操作系統(tǒng)安全保護(hù)

密碼存儲(chǔ)

AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫(kù)安全性控制4.2.1用戶標(biāo)識(shí)與鑒別4.2.2存取控制4.2.3自主存取控制方法4.2.4授權(quán)與回收4.2.5數(shù)據(jù)庫(kù)角色4.2.6強(qiáng)制存取控制方法AnIntroductiontoDatabaseSystem4.2.1用戶標(biāo)識(shí)與鑒別用戶標(biāo)識(shí)與鑒別（Identification&Authentication）系統(tǒng)提供的最外層安全保護(hù)措施AnIntroductiontoDatabaseSystem4.2.1用戶標(biāo)識(shí)與鑒別基本方法系統(tǒng)提供一定的方式讓用戶標(biāo)識(shí)自己的名字或身份；系統(tǒng)內(nèi)部記錄著所有合法用戶的標(biāo)識(shí)；每次用戶要求進(jìn)入系統(tǒng)時(shí)，由系統(tǒng)核對(duì)用戶提供的身份標(biāo)識(shí)；通過鑒定后才提供機(jī)器使用權(quán)。用戶標(biāo)識(shí)和鑒定可以重復(fù)多次AnIntroductiontoDatabaseSystem4.2.1用戶標(biāo)識(shí)與鑒別常用方法：用戶標(biāo)識(shí)（UserIdentification)口令(Password)AnIntroductiontoDatabaseSystem用戶標(biāo)識(shí)自己的名字或身份用戶名/口令簡(jiǎn)單易行，容易被人竊取每個(gè)用戶預(yù)先約定好一個(gè)計(jì)算過程或者函數(shù)系統(tǒng)提供一個(gè)隨機(jī)數(shù)用戶根據(jù)自己預(yù)先約定的計(jì)算過程或者函數(shù)進(jìn)行計(jì)算系統(tǒng)根據(jù)用戶計(jì)算結(jié)果是否正確鑒定用戶身份AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫(kù)安全性控制4.2.1用戶標(biāo)識(shí)與鑒別4.2.2存取控制4.2.3自主存取控制方法4.2.4授權(quán)與回收4.2.5數(shù)據(jù)庫(kù)角色4.2.6強(qiáng)制存取控制方法AnIntroductiontoDatabaseSystem4.2.2存取控制存取控制機(jī)制的功能存取控制機(jī)制的組成定義存取權(quán)限，并將用戶權(quán)限登記到數(shù)據(jù)字典中合法權(quán)限檢查用戶權(quán)限定義和合法權(quán)檢查機(jī)制一起組成了DBMS的安全子系統(tǒng)AnIntroductiontoDatabaseSystem存取控制（續(xù)）定義存取權(quán)限在數(shù)據(jù)庫(kù)系統(tǒng)中，為了保證用戶只能訪問他有權(quán)存取的數(shù)據(jù)，必須預(yù)先對(duì)每個(gè)用戶定義存取權(quán)限。合法權(quán)限檢查對(duì)于通過鑒定獲得上機(jī)權(quán)的用戶（即合法用戶），系統(tǒng)根據(jù)他的存取權(quán)限定義對(duì)他的各種操作請(qǐng)求進(jìn)行控制，確保他只執(zhí)行合法操作。AnIntroductiontoDatabaseSystem存取控制（續(xù)）常用存取控制方法自主存取控制（DiscretionaryAccessControl，簡(jiǎn)稱DAC）

C2級(jí)

靈活強(qiáng)制存取控制（MandatoryAccessControl，簡(jiǎn)稱MAC）B1級(jí)嚴(yán)格AnIntroductiontoDatabaseSystem自主存取控制方法同一用戶對(duì)于不同的數(shù)據(jù)對(duì)象有不同的存取權(quán)限不同的用戶對(duì)同一對(duì)象也有不同的權(quán)限用戶還可將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶AnIntroductiontoDatabaseSystem強(qiáng)制存取控制方法每一個(gè)數(shù)據(jù)對(duì)象被標(biāo)以一定的密級(jí)每一個(gè)用戶也被授予某一個(gè)級(jí)別的許可證對(duì)于任意一個(gè)對(duì)象，只有具有合法許可證的用戶才可以存取AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫(kù)安全性控制4.2.1用戶標(biāo)識(shí)與鑒別4.2.2存取控制4.2.3自主存取控制方法4.2.4授權(quán)與回收4.2.5數(shù)據(jù)庫(kù)角色4.2.6強(qiáng)制存取控制方法AnIntroductiontoDatabaseSystem4.2.3自主存取控制方法定義存取權(quán)限用戶存取權(quán)限用戶存取權(quán)限由兩個(gè)要素組成數(shù)據(jù)對(duì)象操作類型AnIntroductiontoDatabaseSystem自主存取控制方法（續(xù)）非關(guān)系系統(tǒng)中，用戶只能對(duì)數(shù)據(jù)進(jìn)行操作，存取控制的數(shù)據(jù)庫(kù)對(duì)象只限于數(shù)據(jù)本身。AnIntroductiontoDatabaseSystem

關(guān)系數(shù)據(jù)庫(kù)系統(tǒng)中的存取權(quán)限對(duì)象類型對(duì)象操作類型數(shù)據(jù)庫(kù)模式CREATESCHEMA基本表CREATETABLE，ALTERTABLE模式視圖CREATEVIEW索引CREATEINDEX數(shù)據(jù)基本表和視圖SELECT，INSERT，UPDATE，DELETE，REFERENCES，ALLPRIVILEGES數(shù)據(jù)屬性列SELECT，INSERT，UPDATE，REFERENCES，ALLPRIVILEGESAnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫(kù)安全性控制4.2.1用戶標(biāo)識(shí)與鑒別4.2.2存取控制4.2.3自主存取控制方法4.2.4授權(quán)與回收4.2.5數(shù)據(jù)庫(kù)角色4.2.6強(qiáng)制存取控制方法AnIntroductiontoDatabaseSystem4.2.4授權(quán)與回收GRANT語(yǔ)句的一般格式：GRANT<權(quán)限>[,<權(quán)限>]...[ON<對(duì)象類型><對(duì)象名>]TO<用戶>[,<用戶>]...[WITHGRANTOPTION];誰(shuí)定義？DBA和表的建立者（即表的屬主）也可以是已經(jīng)擁有該權(quán)限的用戶。GRANT功能：將對(duì)指定操作對(duì)象的指定操作權(quán)限授予指定的用戶。AnIntroductiontoDatabaseSystem(2)用戶的權(quán)限接受權(quán)限的用戶:一個(gè)或多個(gè)具體用戶PUBLIC（全體用戶）AnIntroductiontoDatabaseSystem(4)WITHGRANTOPTION子句指定了WITHGRANTOPTION子句:獲得某種權(quán)限的用戶還可以把這種權(quán)限再授予別的用戶。沒有指定WITHGRANTOPTION子句:獲得某種權(quán)限的用戶只能使用該權(quán)限，不能傳播該權(quán)限AnIntroductiontoDatabaseSystemSQL標(biāo)準(zhǔn)允許具有WITHGRANTOPTION的用戶把相應(yīng)權(quán)限或其子集傳遞授予其他用戶，但不允許循環(huán)授權(quán)，即被授權(quán)者不能把權(quán)限再授回給授權(quán)者或其組先。U1U2U3U4→→→×AnIntroductiontoDatabaseSystem例題例1把查詢Student表權(quán)限授給用戶U1GRANTSELECTONTABLEStudentTOU1;AnIntroductiontoDatabaseSystem例題（續(xù)）例2把對(duì)Student表和Course表的全部權(quán)限授予用戶U2和U3GRANTALLPRIVILIGES

ONTABLEStudent,CourseTOU2,U3;例4AnIntroductiontoDatabaseSystem例題（續(xù)）例3把對(duì)表SC的查詢權(quán)限授予所有用戶GRANTSELECTONTABLESC TOPUBLIC;AnIntroductiontoDatabaseSystem例題（續(xù)）例4把查詢Student表和修改學(xué)生學(xué)號(hào)的權(quán)限授給用戶U4

GRANTUPDATE(Sno),SELECT ONTABLEStudent TOU4;AnIntroductiontoDatabaseSystem例題（續(xù)）例5把對(duì)表SC的INSERT權(quán)限授予U5用戶，并允許他再將此權(quán)限授予其他用戶GRANTINSERTONTABLESCTOU5

WITHGRANTOPTION;AnIntroductiontoDatabaseSystem傳播權(quán)限

執(zhí)行例5后，U5不僅擁有了對(duì)表SC的INSERT權(quán)限，還可以傳播此權(quán)限：GRANTINSERTONTABLESCTOU6

WITHGRANTOPTION;同樣，U6還可以將此權(quán)限授予U7：GRANTINSERTONTABLESCTOU7;

但U7不能再傳播此權(quán)限。U5-->U6-->U7AnIntroductiontoDatabaseSystem例題（續(xù)）例6DBA把在數(shù)據(jù)庫(kù)S_C中建立表的權(quán)限授予用戶U8 GRANTCREATETAB ONDATABASES_C TOU8;AnIntroductiontoDatabaseSystemSQL收回權(quán)限的功能REVOKE語(yǔ)句的一般格式為：REVOKE<權(quán)限>[,<權(quán)限>]...[ON<對(duì)象類型><對(duì)象名>]FROM<用戶>[,<用戶>]...;功能：從指定用戶那里收回對(duì)指定對(duì)象的指定權(quán)限AnIntroductiontoDatabaseSystem例題例7把用戶U4修改學(xué)生學(xué)號(hào)的權(quán)限收回 REVOKEUPDATE(Sno) ONTABLEStudent FROMU4;AnIntroductiontoDatabaseSystem例題（續(xù)）例8收回所有用戶對(duì)表SC的查詢權(quán)限 REVOKESELECT ONTABLESC FROMPUBLIC;

AnIntroductiontoDatabaseSystem例題（續(xù)）例9把用戶U5對(duì)SC表的INSERT權(quán)限收回 REVOKEINSERT ONTABLESC FROMU5CASCADE;將用戶U5的INSERT權(quán)限收回的時(shí)候必須級(jí)聯(lián)收回，不然系統(tǒng)將拒絕（RESTRICT）執(zhí)行該命令。AnIntroductiontoDatabaseSystem權(quán)限的級(jí)聯(lián)回收系統(tǒng)將收回直接或間接從U5處獲得的對(duì)SC表的INSERT權(quán)限:-->U5-->U6-->U7收回U5、U6、U7獲得的對(duì)SC表的INSERT權(quán)限:<--U5<--U6<--U7AnIntroductiontoDatabaseSystem小結(jié):SQL靈活的授權(quán)機(jī)制DBA擁有對(duì)數(shù)據(jù)庫(kù)中所有對(duì)象的所有權(quán)限，并可以根據(jù)應(yīng)用的需要將不同的權(quán)限授予不同的用戶。用戶對(duì)自己建立的基本表和視圖擁有全部的操作權(quán)限，并且可以用GRANT語(yǔ)句把其中某些權(quán)限授予其他用戶。被授權(quán)的用戶如果有“繼續(xù)授權(quán)”的許可，還可以把獲得的權(quán)限再授予其他用戶。所有授予出去的權(quán)力在必要時(shí)又都可以用REVOKE語(yǔ)句收回。AnIntroductiontoDatabaseSystem創(chuàng)建數(shù)據(jù)庫(kù)模式的權(quán)限GRANT和REVOKE語(yǔ)句向用戶授予或收回對(duì)數(shù)據(jù)的操作權(quán)限。對(duì)數(shù)據(jù)庫(kù)模式的授權(quán)由DBA在創(chuàng)建用戶時(shí)實(shí)現(xiàn)。CREATEUSER<username>[WITH][DBA|RESOURCE|CONNECT];只有系統(tǒng)的超級(jí)用戶才有權(quán)創(chuàng)建一個(gè)新的數(shù)據(jù)庫(kù)用戶。新創(chuàng)建的數(shù)據(jù)庫(kù)用戶有三種權(quán)限：CONNECT，RESOURCE和DBA。AnIntroductiontoDatabaseSystem權(quán)限與可執(zhí)行的操作對(duì)照表?yè)碛械臋?quán)限可否執(zhí)行的操作CREATEUSERCREATESCHEMACREATETABLE登錄數(shù)據(jù)庫(kù)執(zhí)行數(shù)據(jù)查詢和操縱DBA可以可以可以可以RESOURCE不可以不可以可以可以CONNECT不可以不可以不可以可以，但必須擁有相應(yīng)權(quán)限AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫(kù)安全性控制4.2.1用戶標(biāo)識(shí)與鑒別4.2.2存取控制4.2.3自主存取控制方法4.2.4授權(quán)與回收4.2.5數(shù)據(jù)庫(kù)角色4.2.6強(qiáng)制存取控制方法AnIntroductiontoDatabaseSystem4.2.5數(shù)據(jù)庫(kù)角色數(shù)據(jù)庫(kù)角色是被命名的一組與數(shù)據(jù)庫(kù)操作相關(guān)的權(quán)限，角色是權(quán)限的集合?？梢詾橐唤M具有相同權(quán)限的用戶創(chuàng)建一個(gè)角色，使用角色來管理數(shù)據(jù)庫(kù)權(quán)限可以簡(jiǎn)化授權(quán)的過程。在SQL中先用CREATEROLE語(yǔ)句創(chuàng)建角色，然后用GRANT語(yǔ)句給角色授權(quán)。AnIntroductiontoDatabaseSystem一、角色的創(chuàng)建CREATEROLE<角色名>二、可以用CRANT為角色授權(quán)GRANT<權(quán)限>[,<權(quán)限>]...[ON<對(duì)象類型><對(duì)象名>]TO<角色>[,<角色>]...DBA和用戶可以利用GRANT語(yǔ)句將權(quán)限授予某一個(gè)或幾個(gè)角色。

AnIntroductiontoDatabaseSystem三、將一個(gè)角色授予其他的角色或用戶GRANT<角色1>[,<角色2>]...TO<角色3>[,<用戶1>]...[WITHADMINOPTION]該語(yǔ)句把角色授予某用戶，或授予另一個(gè)角色。例角色3所擁有的權(quán)限是授予它的全部角色所包含的權(quán)限的總和。AnIntroductiontoDatabaseSystem如果指定了WITHADMINOPTION子句，則獲得某種權(quán)限的角色或用戶還可以把這種權(quán)限再授予其他的角色。一個(gè)角色包含的權(quán)限包括直接授予這個(gè)角色的全部權(quán)限加上其他角色授予這個(gè)角色的全部權(quán)限。AnIntroductiontoDatabaseSystem四、角色權(quán)限的收回REVOKE<權(quán)限>[,<權(quán)限>]...[ON<對(duì)象類型><對(duì)象名>]FROM<角色>[,<角色>]...;用戶可以回收角色的權(quán)限，從而修改角色擁有的權(quán)限。REVOKE動(dòng)作的執(zhí)行者或者是角色的創(chuàng)建者，或者擁有在這個(gè)角色上的ADMINOPTION。AnIntroductiontoDatabaseSystem例11通過角色來實(shí)現(xiàn)將一組權(quán)限授予一個(gè)用戶。（1）首先創(chuàng)建一個(gè)角色R1CREATEROLER1；（2）然后使用GRANT語(yǔ)句，使角色R1擁有Student表的SELECT，UPDATE，INSERT權(quán)限GRANTSELECT，UPDATE，INSERTONTABLEStudentTOR1AnIntroductiontoDatabaseSystem(3)將這個(gè)角色授予王平，張明，趙玲。使他們具有角色R1所包含的全部權(quán)限。GRANTR1TO王平，張明，趙玲；（4）也可以一次性的通過R1回收王平的這3個(gè)權(quán)限。REVOKER1FROM王平；AnIntroductiontoDatabaseSystem例12角色的權(quán)限修改GRANTDELETEONTABLEStudentTOR1REVOKESELECTONTABLEStudentTOR1AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫(kù)安全性控制4.2.1用戶標(biāo)識(shí)與鑒別4.2.2存取控制4.2.3自主存取控制方法4.2.4授權(quán)與回收4.2.5數(shù)據(jù)庫(kù)角色4.2.6強(qiáng)制存取控制方法AnIntroductiontoDatabaseSystem4.2.6強(qiáng)制存取控制方法什么是強(qiáng)制存取控制強(qiáng)制存取控制(MAC)是指系統(tǒng)為保證更高程度的安全性，按照TDI/TCSEC標(biāo)準(zhǔn)中安全策略的要求，所采取的強(qiáng)制存取檢查手段。MAC不是用戶能直接感知或進(jìn)行控制的。MAC適用于對(duì)數(shù)據(jù)有嚴(yán)格而固定密級(jí)分類的部門軍事部門政府部門AnIntroductiontoDatabaseSystem強(qiáng)制存取控制方法（續(xù)）主體與客體在MAC中，DBMS所管理的全部實(shí)體被分為主體和客體兩大類主體是系統(tǒng)中的活動(dòng)實(shí)體DBMS所管理的實(shí)際用戶代表用戶的各進(jìn)程客體是系統(tǒng)中的被動(dòng)實(shí)體，是受主體操縱的文件基表索引視圖AnIntroductiontoDatabaseSystem強(qiáng)制存取控制方法（續(xù)）敏感度標(biāo)記對(duì)于主體和客體，DBMS為它們每個(gè)實(shí)例（值）指派一個(gè)敏感度標(biāo)記（Label）敏感度標(biāo)記分成若干級(jí)別絕密（TopSecret）機(jī)密（Secret）可信（Confidential）公開（Public）AnIntroductiontoDatabaseSystem強(qiáng)制存取控制方法（續(xù)）主體的敏感度標(biāo)記稱為許可證級(jí)別（ClearanceLevel）客體的敏感度標(biāo)記稱為密級(jí)（ClassificationLevel）MAC機(jī)制就是通過對(duì)比主體的Label和客體的Label，最終確定主體是否能夠存取客體AnIntroductiontoDatabaseSystem強(qiáng)制存取控制方法（續(xù)）強(qiáng)制存取控制規(guī)則當(dāng)某一用戶（或某一主體）以標(biāo)記label注冊(cè)入系統(tǒng)時(shí)，系統(tǒng)要求他對(duì)任何客體的存取必須遵循下面兩條規(guī)則：（1）僅當(dāng)主體的許可證級(jí)別大于或等于客體的密級(jí)時(shí)，該主體才能讀取相應(yīng)的客體；（2）僅當(dāng)主體的許可證級(jí)別等于客體的密級(jí)時(shí)，該主體才能寫相應(yīng)的客體。AnIntroductiontoDatabaseSystem強(qiáng)制存取控制方法（續(xù)）修正規(guī)則：主體的許可證級(jí)別<=客體的密級(jí)主體能寫客體用戶可為寫入的數(shù)據(jù)對(duì)象賦予高于自己的許可證級(jí)別的密級(jí)一旦數(shù)據(jù)被寫入，該用戶自己也不能再讀該數(shù)據(jù)對(duì)象了。AnIntroductiontoDatabaseSystem強(qiáng)制存取控制方法（續(xù)）規(guī)則的共同點(diǎn)禁止了擁有高許可證級(jí)別的主體更新低密級(jí)的數(shù)據(jù)對(duì)象AnIntroductiontoDatabaseSystem強(qiáng)制存取控制方法（續(xù)）強(qiáng)制存取控制的特點(diǎn)MAC是對(duì)數(shù)據(jù)本身進(jìn)行密級(jí)標(biāo)記無(wú)論數(shù)據(jù)如何復(fù)制，標(biāo)記與數(shù)據(jù)是一個(gè)不可分的整體只有符合密級(jí)標(biāo)記要求的用戶才可以操縱數(shù)據(jù)從而提供了更高級(jí)別的安全性AnIntroductiontoDatabaseSystemMAC與DACDAC與MAC共同構(gòu)成DBMS的安全機(jī)制原因：較高安全性級(jí)別提供的安全保護(hù)要包含較低級(jí)別的所有保護(hù)先進(jìn)行DAC檢查，通過DAC檢查的數(shù)據(jù)對(duì)象再由系統(tǒng)進(jìn)行MAC檢查，只有通過MAC檢查的數(shù)據(jù)對(duì)象方可存取。AnIntroductiontoDatabaseSystem強(qiáng)制存取控制方法（續(xù)）DAC+MAC安全檢查示意圖

SQL語(yǔ)法分析&語(yǔ)義檢查

DAC檢查安全檢查MAC檢查

繼續(xù)AnIntroductiontoDatabaseSystem4.2數(shù)據(jù)庫(kù)安全性控制4.2.1用戶標(biāo)識(shí)與鑒別4.2.2存取控制4.2.3自主存取控制方法4.2.4授權(quán)與回收4.2.5數(shù)據(jù)庫(kù)角色4.2.6強(qiáng)制存取控制方法AnIntroductiontoDatabaseSystem4.3視圖機(jī)制視圖機(jī)制把要保密的數(shù)據(jù)對(duì)無(wú)權(quán)存取這些數(shù)據(jù)的用戶隱藏起來，視圖機(jī)制更主要的功能在于提供數(shù)據(jù)獨(dú)立性，其安全保護(hù)功能太不精細(xì)，往往遠(yuǎn)不能達(dá)到應(yīng)用系統(tǒng)的要求。AnIntroductiontoDatabaseSystem視圖機(jī)制（續(xù)）視圖機(jī)制與授權(quán)機(jī)制配合使用:首先用視圖機(jī)制屏蔽掉一部分保密數(shù)據(jù)視圖上面再進(jìn)一步定義存取權(quán)限間接實(shí)現(xiàn)了支持存取謂詞的用戶權(quán)限定義AnIntroductiontoDatabaseSystem視圖機(jī)制（續(xù)）例：王平只能檢索計(jì)算機(jī)系學(xué)生的信息先建立計(jì)算機(jī)系學(xué)生的視圖CS_Student

CREATEVIEWCS_StudentASSELECTFROMStudentWHERESdept='CS'；AnIntroductiontoDatabaseSystem視圖機(jī)制（續(xù)）在視圖上進(jìn)一步定義存取權(quán)限GRANTSELECTONCS_StudentTO王平；AnIntroductiontoDatabaseSystemGRANTALLPRIVILIGESONCS_StudentTO張明；AnIntroductiontoDatabaseSystem第四章數(shù)據(jù)庫(kù)安全性4.1計(jì)算機(jī)安全性概論4.2數(shù)據(jù)庫(kù)安全性控制4.3視圖機(jī)制4.4審計(jì)4.5Oracle數(shù)據(jù)庫(kù)的安全性措施4.6小結(jié)AnIntroductiontoDatabaseSystem4.4審計(jì)什么是審計(jì)啟用一個(gè)專用的審計(jì)日志（AuditLog）將用戶對(duì)數(shù)據(jù)庫(kù)的所有操作記錄在上面DBA可以利用審計(jì)跟蹤的信息，重現(xiàn)導(dǎo)致數(shù)據(jù)庫(kù)現(xiàn)有狀況的一系列事件，找出非法存取數(shù)據(jù)的人、時(shí)間和內(nèi)容等。C2以上安全級(jí)別的DBMS必須具有審計(jì)功能AnIntroductiontoDatabaseSystem審計(jì)（續(xù)）審計(jì)功能的可選性審計(jì)很費(fèi)時(shí)間和空間DBA可以根據(jù)應(yīng)用對(duì)安全性的要求，靈活地打開或關(guān)閉審計(jì)功能。AnIntroductiontoDatabaseSystem審計(jì)分為用戶級(jí)審計(jì)和系統(tǒng)級(jí)審計(jì)用戶級(jí)審計(jì)是任何用戶可設(shè)置的審計(jì)，主要是用戶針對(duì)自己創(chuàng)建的數(shù)據(jù)庫(kù)表或視圖進(jìn)行審計(jì)，記錄所有用戶對(duì)這些表或視圖的一切成功和（或）不成功的訪問要求以及各種類型的SQL操作。系統(tǒng)級(jí)審計(jì)只能由DBA設(shè)置，用以監(jiān)測(cè)成功或失敗的登錄要求，監(jiān)測(cè)GRANT和REVOKE操作以及其他數(shù)據(jù)庫(kù)級(jí)權(quán)限下的操作。AnIntroductiontoDatabaseSystemAUDIT語(yǔ)句用來設(shè)置審計(jì)功能，NOAUDIT語(yǔ)句取消審計(jì)功能。例：對(duì)修改SC表結(jié)構(gòu)或修改SC表數(shù)據(jù)的操作進(jìn)行審計(jì)。AUDITALTER，UPDATEONSC取消對(duì)SC表的一切審計(jì)NOAUDITALTER，UPDATEONSC審計(jì)設(shè)置以及審計(jì)內(nèi)容一般都存放在數(shù)據(jù)字典中。AnIntroductiontoDatabaseSystem審計(jì)（續(xù)）強(qiáng)制性機(jī)制:用戶識(shí)別和鑒定、存取控制、視圖預(yù)防監(jiān)測(cè)手段:審計(jì)技術(shù)AnIntroductiontoDatabaseSystem4.5數(shù)據(jù)加密數(shù)據(jù)加密防止數(shù)據(jù)庫(kù)中數(shù)據(jù)在存儲(chǔ)和傳輸中失密的有效手段加密的基本思想根據(jù)一定的算法將原始數(shù)據(jù)（術(shù)語(yǔ)為明文，Plaintext）變換為不可直接識(shí)別的格式（術(shù)語(yǔ)為密文，Ciphertext）不知道解密算法的人無(wú)法獲知數(shù)據(jù)的內(nèi)容AnIntroductiontoDatabaseSystem數(shù)據(jù)加密（續(xù)）加密方法

替換方法使用密鑰（EncryptionKey）將明文中的每一個(gè)字符轉(zhuǎn)換為密文中的一個(gè)字符置換方法將明文的字符按不同的順序重新排列混合方法美國(guó)1977年制定的官方加密標(biāo)準(zhǔn)：數(shù)據(jù)加密標(biāo)準(zhǔn)（DataEncryptionStandard，簡(jiǎn)稱DES）AnIntroductiontoDatabaseSystem數(shù)據(jù)加密（續(xù)）DBMS中的數(shù)據(jù)加密有些數(shù)據(jù)庫(kù)產(chǎn)品提供了數(shù)據(jù)加密例行程序有些數(shù)據(jù)庫(kù)產(chǎn)品本身未提供加密程序，但提供了接口AnIntroductiontoDatabaseSystem數(shù)據(jù)加密（續(xù)）數(shù)據(jù)加密功能通常也作為可選特征，允許用戶自由選擇數(shù)據(jù)加密與解密是比較費(fèi)時(shí)的操作數(shù)據(jù)加密與解密程序會(huì)占用大量系統(tǒng)資源應(yīng)該只對(duì)高度機(jī)密的數(shù)據(jù)加密AnIntroductiontoDatabaseSystem第四章數(shù)據(jù)庫(kù)安全性4.1計(jì)算機(jī)安全性概論4.2數(shù)據(jù)庫(kù)安全性控制4.3視圖機(jī)制4.4審計(jì)4.5Oracle數(shù)據(jù)庫(kù)的安全性措施4.6小結(jié)AnIntroductiontoDatabaseSystem4.5統(tǒng)計(jì)數(shù)據(jù)庫(kù)安全性統(tǒng)計(jì)數(shù)據(jù)庫(kù)的特點(diǎn)允許用戶查詢聚集類型的信息（例如合計(jì)、平均值等）不允許查詢單個(gè)記錄信息例：允許查詢“程序員的平均工資是多少？”不允許查詢“程序員張勇的工資？”AnIntroductiontoDatabaseSystem統(tǒng)計(jì)數(shù)據(jù)庫(kù)安全性（續(xù)）統(tǒng)計(jì)數(shù)據(jù)庫(kù)中特殊的安全性問題隱蔽的信息通道從合法的查詢中推導(dǎo)出不合法的信息AnIntroductiontoDatabaseSystem統(tǒng)計(jì)數(shù)據(jù)庫(kù)安全性（續(xù)）例1：下面兩個(gè)查詢都是合法的：1．本公司共有多少女高級(jí)程序員？2．本公司女高級(jí)程序員的工資總額是多少？如果第一個(gè)查詢的結(jié)果是“1”，那么第二個(gè)查詢的結(jié)果顯然就是這個(gè)程序員的工資數(shù)。規(guī)則1：任何查詢至少要涉及N(N足夠大)個(gè)以上的記錄AnIntroductiontoDatabaseSystem統(tǒng)計(jì)數(shù)據(jù)庫(kù)安全性（續(xù)）例2：用戶A發(fā)出下面兩個(gè)合法查詢：1．用戶A和其他N個(gè)程序員的工資總額是多少？2．用戶B和其他N個(gè)程序員的工資總額是多少？若第一個(gè)查詢的結(jié)果是X，第二個(gè)查詢的結(jié)果是Y，由于用戶A知道自己的工資是Z，那么他可以計(jì)算出用戶B的工資=Y-(X-Z)。原因：兩個(gè)查詢之間有很多重復(fù)的數(shù)據(jù)項(xiàng)規(guī)則2：任意兩個(gè)查詢的相交數(shù)據(jù)項(xiàng)不能超過M個(gè)

AnIntroductiontoDatabaseSystem統(tǒng)計(jì)數(shù)據(jù)庫(kù)安全性（續(xù)）

可以證明，在上述兩條規(guī)定下，如果想獲知用戶B的工資額A至少需要進(jìn)行1+(N-2)/M次查詢規(guī)則3：任一用戶的查詢次數(shù)不能超過1+(N-2)/M

如果兩個(gè)用戶合作查詢就可以使這一規(guī)定失效AnIntroductiontoDatabaseSystem統(tǒng)計(jì)數(shù)據(jù)庫(kù)安全性（續(xù)）數(shù)據(jù)庫(kù)安全機(jī)制的設(shè)計(jì)目標(biāo)：試圖破壞安全的人所花費(fèi)的代價(jià)>>得到的利益AnIntroductiontoDatabaseSystem第四章數(shù)據(jù)庫(kù)安全性4.1計(jì)算機(jī)安全性概論4.2數(shù)據(jù)庫(kù)安全性控制4.3視圖機(jī)制4.4審計(jì)4.5Oracle數(shù)據(jù)庫(kù)的安全性措施4.6小結(jié)AnIntroductiontoDatabaseSystem4.6Oracle數(shù)據(jù)庫(kù)的安全性措施ORACLE的安全措施:用戶標(biāo)識(shí)和鑒定授權(quán)和檢查機(jī)制審計(jì)技術(shù)用戶通過觸發(fā)器靈活定義自己的安全性措施AnIntroductiontoDatabaseSystem一、ORACLE的用戶標(biāo)識(shí)和鑒定ORACLE允許用戶重復(fù)標(biāo)識(shí)三次如果三次仍未通過，系統(tǒng)自動(dòng)退出AnIntroductiontoDatabaseSystem二、ORACLE的授權(quán)與檢查機(jī)制ORACLE授權(quán)和檢查機(jī)制的特色ORACLE的權(quán)限包括系統(tǒng)權(quán)限和數(shù)據(jù)庫(kù)對(duì)象的權(quán)限采用非集中式的授權(quán)機(jī)制每個(gè)用戶授予與回收自己創(chuàng)建的數(shù)據(jù)庫(kù)對(duì)象的權(quán)限D(zhuǎn)BA負(fù)責(zé)授予與回收系統(tǒng)權(quán)限，也可以授予與回收所有數(shù)據(jù)庫(kù)對(duì)象的權(quán)限允許重復(fù)授權(quán)，即可將某一權(quán)限多次授予同一用戶，系統(tǒng)不會(huì)出錯(cuò)允許無(wú)效回收，即用戶不具有某權(quán)限，但回收此權(quán)限的操作仍是成功的。AnIntroductiontoDatabaseSystem1.系統(tǒng)權(quán)限80多種系統(tǒng)權(quán)限創(chuàng)建會(huì)話創(chuàng)建表創(chuàng)建視圖創(chuàng)建用戶AnIntroductiontoDatabaseSystem系統(tǒng)權(quán)限（續(xù)）DBA在創(chuàng)建一個(gè)用戶時(shí)需要將其中的一些權(quán)限授予該用戶角色一組系統(tǒng)權(quán)限的集合，目的在于簡(jiǎn)化權(quán)限管理。ORACLE允許DBA定義角色ORACLE提供的預(yù)定義角色

CONNECTRESOURCEDBAAnIntroductiontoDatabaseSystem系統(tǒng)權(quán)限（續(xù)）CONNECT角色允許用戶登錄數(shù)據(jù)庫(kù)并執(zhí)行數(shù)據(jù)查詢和操縱ALTERTABLECREATEVIEW/INDEXDROPTABLE/VIEW/INDEXGRANT,REVOKEINSERT,UPDATE,DELETESELETEAUDIT/NOAUDITAnIntroductiontoDatabaseSystem系統(tǒng)權(quán)限（續(xù)）RESOURCE角色允許用戶建表，即執(zhí)行CREATETABLE操作由于創(chuàng)建表的用戶將擁有該表，因此他具有對(duì)該表的任何權(quán)限AnIntroductiontoDatabaseSystem系統(tǒng)權(quán)限（續(xù)）DBA角色允許用戶執(zhí)行授權(quán)命令，建表，對(duì)任何表的數(shù)據(jù)進(jìn)行操縱。DBA角色涵蓋了前兩種角色，此外還可以執(zhí)行一些管理操作。DBA角色擁有最高級(jí)別的權(quán)限。AnIntroductiontoDatabaseSystem系統(tǒng)權(quán)限（續(xù)）例：DBA建立一用戶U12后，欲將ALTERTABLE、CREATEVIEW、CREATEINDEX、DROPTABLE、DROPVIEW、DROPINDEX,GRANT,REVOKE、INSERT、SELETE、UPDATE、DELETE、AUDIT、NOAUDIT等系統(tǒng)權(quán)限授予U12

GRANTCONNECTTOU12;這樣就可以省略十幾條GRANT語(yǔ)句AnIntroductiontoDatabaseSystemORACLE的授權(quán)與檢查機(jī)制（續(xù)）ORACLE的權(quán)限系統(tǒng)權(quán)限

數(shù)據(jù)庫(kù)對(duì)象的權(quán)限AnIntroductiontoDatabaseSystem2.數(shù)據(jù)庫(kù)對(duì)象的權(quán)限ORACLE可以授權(quán)的數(shù)據(jù)庫(kù)對(duì)象

基本表視圖序列同義詞存儲(chǔ)過程函數(shù)AnIntroductiontoDatabaseSystem數(shù)據(jù)庫(kù)對(duì)象的權(quán)限（續(xù)）基本表的安全性級(jí)別表級(jí)行級(jí)列級(jí)AnIntroductiontoDatabaseSystem數(shù)據(jù)庫(kù)對(duì)象的權(quán)限（續(xù)）表級(jí)權(quán)限

ALTER：修改表定義DELETE：刪除表記錄INDEX：在表上建索引INSERT：向表中插入數(shù)據(jù)記錄SELECT：查找表中記錄UPDATE：修改表中的數(shù)據(jù)ALL： 上述所有權(quán)限AnIntroductiontoDatabaseSystem數(shù)據(jù)庫(kù)對(duì)象的權(quán)限（續(xù)）表級(jí)授權(quán)使用GRANT／REVOKE語(yǔ)句 例：GRANTSELECTONSCTOU12;AnIntroductiontoDatabaseSystem數(shù)據(jù)庫(kù)對(duì)象的權(quán)限（續(xù)）行級(jí)安全性O(shè)RACLE行級(jí)安全性由視圖間接實(shí)現(xiàn)AnIntroductiontoDatabaseSystem數(shù)據(jù)庫(kù)對(duì)象的權(quán)限（續(xù)）例：用戶U1只允許用戶U12查看自己創(chuàng)建的Student表中有關(guān)信息系學(xué)生的信息，則首先創(chuàng)建視圖信息系學(xué)生視圖S_IS：

CREATEVIEWS_ISASSELECTSno,Sname,Ssex,Sage,SdeptFROMStudentWHERESdept='IS';

然后將關(guān)于該視圖的SELECT權(quán)限授予U12用戶：

GRANTSELECTONS_ISTOU12;AnIntroductiontoDatabaseSystem數(shù)據(jù)庫(kù)對(duì)象的權(quán)限（續(xù)）列級(jí)安全性

實(shí)現(xiàn)方法

由視圖間接實(shí)現(xiàn)直接在基本表上定義AnIntroductiontoDatabaseSystem數(shù)據(jù)庫(kù)對(duì)象的權(quán)限（續(xù)）列級(jí)安全性(續(xù))借助視圖實(shí)現(xiàn)列級(jí)安全性CREATEVIEWS_VASSELECTSno.SnameFROMStudent；

GRANTSELECTONS_VTOU12;AnIntroduc