數(shù)據(jù)庫安全性2014

第四章

數(shù)據(jù)庫安全性1第四章數(shù)據(jù)庫安全性4.1計算機安全性概述4.2數(shù)據(jù)庫安全性控制4.3視圖機制4.4審計4.5數(shù)據(jù)加密4.6統(tǒng)計數(shù)據(jù)庫安全性4.7小結2重點、難點（1）計算機系統(tǒng)的三類安全性（2）數(shù)據(jù)庫安全性控制3第四章數(shù)據(jù)庫安全性問題的提出：（1）數(shù)據(jù)庫的一大特點是數(shù)據(jù)可以共享（2）但數(shù)據(jù)共享必然帶來數(shù)據(jù)庫的安全性問題（3）數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)共享不能是無條件的共享例：軍事秘密、國家機密、新產品實驗數(shù)據(jù)、市場需求分析、市場營銷策略、銷售計劃、客戶檔案、醫(yī)療檔案、銀行儲蓄數(shù)據(jù)4（4）數(shù)據(jù)庫中數(shù)據(jù)的共享是在DBMS統(tǒng)一的嚴格的控制之下的共享，即只允許有合法使用權限的用戶訪問允許他存取的數(shù)據(jù)（5）數(shù)據(jù)庫系統(tǒng)的安全保護措施是否有效是數(shù)據(jù)庫系統(tǒng)主要的性能指標之一問題的提出5（1）什么是數(shù)據(jù)庫的安全性數(shù)據(jù)庫的安全性是指保護數(shù)據(jù)庫，防止因用戶非法使用數(shù)據(jù)庫造成數(shù)據(jù)泄露、更改或破壞。（2）什么是數(shù)據(jù)的保密數(shù)據(jù)保密是指用戶合法地訪問到機密數(shù)據(jù)后能否對這些數(shù)據(jù)保密。通過制訂法律道德準則和政策法規(guī)來保證。64.1計算機安全性概述

4.1.1計算機系統(tǒng)的三類安全性問題（1）什么是計算機系統(tǒng)安全性為計算機系統(tǒng)建立和采取的各種安全保護措施，以保護計算機系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。7（2）計算機安全涉及的問題

①計算機系統(tǒng)本身的技術問題計算機安全理論與策略、計算機安全技術②管理問題安全管理、安全評價、安全產品③法學計算機安全法律④犯罪學計算機犯罪與偵察、安全監(jiān)察⑤心理學8(3)三類計算機系統(tǒng)安全性問題技術安全類管理安全類政策法律類9三類計算機系統(tǒng)安全性問題①技術安全指計算機系統(tǒng)中采用具有一定安全性的硬件、軟件來實現(xiàn)對計算機系統(tǒng)及其所存數(shù)據(jù)的安全保護，當計算機系統(tǒng)受到無意或惡意的攻擊時仍能保證系統(tǒng)正常運行，保證系統(tǒng)內的數(shù)據(jù)不增加、不丟失、不泄露。10三類計算機系統(tǒng)安全性問題②管理安全軟硬件意外故障、場地的意外事故、管理不善導致的計算機設備和數(shù)據(jù)介質的物理破壞、丟失等安全問題。③政策法律類政府部門建立的有關計算機犯罪、數(shù)據(jù)安全保密的法律道德準則和政策法規(guī)、法令。114.1.2

安全標準簡介為降低進而消除對系統(tǒng)的安全攻擊，各國引用或制定了一系列安全標準，最有影響的當推：（1）TCSEC《DoD可信計算機系統(tǒng)評估標準》（簡稱TCSEC或DoD85）(美國國防部DoD制定桔皮書)（2）CC(CommonCriteria通用準則)1999年被ISO采用為國際標準。目前，CC已取代了TCSEC，成為評估信息產品安全的主要標準。12TCSEC標準1985年美國國防部（DoD）正式頒布《DoD可信計算機系統(tǒng)評估標準》（簡稱TCSEC或DoD85）TCSEC又稱桔皮書。TCSEC標準的目的：提供一種標準，使用戶可以對其計算機系統(tǒng)內敏感信息安全操作的可信程度做評估。給計算機行業(yè)的制造商提供一種可循的指導規(guī)則，使其產品能夠更好地滿足敏感應用的安全需求。13TDI標準1991年4月美國NCSC（國家計算機安全中心）頒布了《可信計算機系統(tǒng)評估標準關于可信數(shù)據(jù)庫系統(tǒng)的解釋》（TrustedDatabaseInterpretation簡稱TDI）TDI又稱紫皮書。它將TCSEC擴展到數(shù)據(jù)庫管理系統(tǒng)。TDI中定義了數(shù)據(jù)庫管理系統(tǒng)的設計與實現(xiàn)中需滿足和用以進行安全性級別評估的標準。14TDI/TCSEC標準的基本內容TDI與TCSEC一樣，從四個方面來描述安全性級別劃分的指標：安全策略責任保證文檔15TDI/TCSEC標準的基本內容（1）安全策略（SecurityPolicy）自主存取控制（DiscretionaryAccessControl，簡記為DAC）客體重用（ObjectReuse）標記（Labels）強制存取控制（MandatoryAccessControl，簡記為MAC）16TDI/TCSEC標準的基本內容（2）責任（Accountability）標識與鑒別（Identification&Authentication）審計（Audit）（3）保證（Assurance）操作保證（OperationalAssurance）生命周期保證（LifeCycleAssurance）17TDI/TCSEC標準的基本內容（4）文檔（Documentation）安全特性用戶指南（SecurityFeaturesUser'sGuide）可信設施手冊（TrustedFacilityManual）測試文檔（TestDocumentation）設計文檔（DesignDocumentation）18TCSEC/TDI安全級別劃分安全級別定義

A1驗證設計（VerifiedDesign）

B3安全域（SecurityDomains）

B2結構化保護（StructuralProtection）

B1標記安全保護（LabeledSecurityProtection）

C2受控的存取保護（ControlledAccessProtection）

C1自主安全保護(DiscretionarySecurityProtection)

D最小保護（MinimalProtection）19TDI/TCSEC標準四組(division)七個等級：

DC（C1，C2）

B（B1，B2，B3）

A（A1）按系統(tǒng)可靠或可信程度逐漸增高。各安全級別之間具有一種偏序向下兼容的關系，即較高安全性級別提供的安全保護要包含較低級別的所有保護要求，同時提供更多或更完善的保護能力。20TDI/TCSEC標準D級將一切不符合更高標準的系統(tǒng)均歸于D組。典型例子：DOS是安全標準為D級的操作系統(tǒng)

DOS在安全性方面幾乎沒有什么專門的機制來保障。21TDI/TCSEC標準C1級非常初級的自主安全保護。能夠實現(xiàn)對用戶和數(shù)據(jù)的分離，進行自主存取控制（DAC），保護或限制用戶權限的傳播。C2級安全產品的最低檔次。提供受控的存取保護，將C1級的DAC進一步細化，以個人身份注冊負責，并實施審計和資源隔離。達到C2級的產品在其名稱中往往不突出“安全”(Security)這一特色。22TDI/TCSEC標準典型例子操作系統(tǒng)Microsoft的Windows2000數(shù)字設備公司的OpenVMSVAX6.0和6.1

數(shù)據(jù)庫Oracle公司的Oracle7Sybase公司的SQLServer11.0.623TDI/TCSEC標準B1級標記安全保護?！鞍踩?Security)或“可信的”(Trusted)產品。對系統(tǒng)的數(shù)據(jù)加以標記，對標記的主體和客體實施強制存取控制（MAC）、審計等安全機制。典型例子操作系統(tǒng)數(shù)字設備公司的SEVMSVAXVersion6.0惠普公司的HP-UXBLSrelease9.0.9+

數(shù)據(jù)庫Oracle公司的TrustedOracle7Sybase公司的SecureSQLServerversion11.0.624TDI/TCSEC標準B2級結構化保護。建立形式化的安全策略模型并對系統(tǒng)內的所有主體和客體實施DAC和MAC。經過認證的B2級以上的安全系統(tǒng)非常稀少。典型例子操作系統(tǒng)只有TrustedInformationSystems公司的TrustedXENIX一種產品標準的網絡產品只有CryptekSecureCommunications公司的LLCVSLAN一種產品數(shù)據(jù)庫沒有符合B2標準的產品25TDI/TCSEC標準B3級安全域。該級的TCB（可靠計算基礎）必須滿足訪問監(jiān)控器的要求，審計跟蹤能力更強，并提供系統(tǒng)恢復過程。TCB是所有安全機制的總和。包括軟、硬件。26TDI/TCSEC標準A1級驗證設計，即提供B3級保護的同時給出系統(tǒng)的形式化設計說明和驗證以確信各安全保護真正實現(xiàn)。27TDI/TCSEC標準B2以上的系統(tǒng)還處于理論研究階段。應用多限于一些特殊的部門如軍隊等。美國正在大力發(fā)展安全產品，試圖將目前僅限于少數(shù)領域應用的B2安全級別下放到商業(yè)應用中來，并逐步成為新的商業(yè)標準。28CC評估標準

CC評估標準提出了目前國際上公認的表述信息安全性的結構，即把對信息產品的安全要求分為：安全功能要求和安全保證要求。

CC的文本由三部分組成：簡介和一般模型安全功能要求安全保證要求這三部分的有機結合具體體現(xiàn)在PP（保護輪廓）和ST（安全目標）中。P134表4.2CC評估級別劃分294.2數(shù)據(jù)庫安全性控制4.2.0數(shù)據(jù)庫安全性控制概述1.非法使用數(shù)據(jù)庫的情況（1）用戶編寫一段合法的程序繞過DBMS及其授權機制，通過操作系統(tǒng)直接存取、修改或備份數(shù)據(jù)庫中的數(shù)據(jù)；（2）直接或編寫應用程序執(zhí)行非授權操作；30（3）通過多次合法查詢數(shù)據(jù)庫從中推導出一些保密數(shù)據(jù)。例：某數(shù)據(jù)庫應用系統(tǒng)禁止查詢單個人的工資，但允許查任意一組人的平均工資。用戶甲想了解張三的工資，于是他： 首先查詢包括張三在內的一組人的平均工資 然后查用自己替換張三后這組人的平均工資從而推導出張三的工資破壞安全性的行為可能是無意的，故意的，惡意的。312.計算機系統(tǒng)中的安全模型

應用DBMSOS

DB安全性控制層次方法：

用戶標識和鑒定

存取控制審計視圖

操作系統(tǒng)安全保護

數(shù)據(jù)加密

323.數(shù)據(jù)庫安全性控制的常用方法用戶標識和鑒定存取控制視圖審計數(shù)據(jù)加密334.2.1用戶標識與鑒別用戶標識與鑒別（Identification&Authentication）是系統(tǒng)提供的最外層安全保護措施?；痉椒ǎ合到y(tǒng)提供一定的方式讓用戶標識自己的名字或身份；系統(tǒng)內部記錄著所有合法用戶的標識；每次用戶要求進入系統(tǒng)時，由系統(tǒng)核對用戶提供的身份標識；通過鑒定后才提供機器使用權。用戶標識和鑒定可以重復多次（3次）。34用戶標識自己的名字或身份（1）用戶名/口令簡單易行，容易被人竊取。（2）每個用戶預先約定好一個計算過程或者函數(shù)系統(tǒng)提供一個隨機數(shù)；用戶根據(jù)自己預先約定的計算過程或者函數(shù)進行計算；系統(tǒng)根據(jù)用戶計算結果是否正確鑒定用戶身份。354.2.2存取控制（1）定義存取權限在數(shù)據(jù)庫系統(tǒng)中，為了保證用戶只能訪問他有權存取的數(shù)據(jù)，必須預先對每個用戶定義存取權限。（2）檢查存取權限對于通過鑒定獲得上機權的用戶（即合法用戶），系統(tǒng)根據(jù)他的存取權限定義對他的各種操作請求進行控制，確保他只執(zhí)行合法操作。用戶權限定義和合法權檢查機制一起組成了DBMS的安全子系統(tǒng)。36（3）常用的存取方法自主存取控制（DiscretionaryAccessControl，簡稱DAC）

C2級靈活強制存取控制（MandatoryAccessControl，簡稱MAC）

B1級嚴格37自主存取控制方法DAC同一用戶對于不同的數(shù)據(jù)對象有不同的存取權限不同的用戶對同一對象也有不同的權限用戶還可將其擁有的存取權限轉授給其他用戶38強制存取控制方法MAC每一個數(shù)據(jù)對象被標以一定的密級每一個用戶也被授予某一個級別的許可證對于任意一個對象，只有具有合法許可證的用戶才可以存取394.2.3自主存取控制方法（DAC方法）（1）自主存取控制方法：授權

GRANT/REVOKE（2）定義存取權限存取權限由兩個要素組成：數(shù)據(jù)對象操作類型40自主存取控制方法關系系統(tǒng)中的存取權限

數(shù)據(jù)對象 操作類型模式模式 建立、修改、刪除、檢索 外模式建立、修改、刪除、檢索 內模式建立、刪除、檢索數(shù)據(jù)表 查找、插入、修改、刪除 屬性列 查找、插入、修改、刪除41自主存取控制方法檢查存取權限：（1）對于獲得上機權后又進一步發(fā)出存取數(shù)據(jù)庫操作的用戶：DBMS查找數(shù)據(jù)字典，根據(jù)其存取權限對操作的合法性進行檢查。若用戶的操作請求超出了定義的權限，系統(tǒng)將拒絕執(zhí)行此操作。42自主存取控制方法（2）授權粒度授權粒度是指可以定義的數(shù)據(jù)對象的范圍。它是衡量授權機制是否靈活的一個重要指標。授權定義中數(shù)據(jù)對象的粒度越細，即可以定義的數(shù)據(jù)對象的范圍越小，授權子系統(tǒng)就越靈活。43自主存取控制方法（3）關系數(shù)據(jù)庫中授權的數(shù)據(jù)對象粒度數(shù)據(jù)庫表屬性列行（4）能否提供與數(shù)據(jù)值有關的授權反映了授權子系統(tǒng)精巧程度444.2.4授權與回收1.GRANTGRANT<權限>[,<權限>]…ON<對象類型><對象名>,[<對象類型><對象名>]…TO<用戶>[,<用戶>]…[WITHGRANTOPTION];45授權與回收【實例4-1】把查詢student表的權限授予用戶U1。GRANTSELECTONTABLEstudentTOU1【實例4-2】把對Student和Course表的全部操作權限授予用戶U2和U3。GRANTALLPRIVILEGESONTABLEStudent,CourseTOU2,U346授權與回收【實例4-3】把查詢SC表的權限授予所有用戶。GRANTSELECTONTABLESCTOPUBLIC【實例4-4】把查詢Student表和修改學生學號的權限授予用戶U4。GRANTSELECT,UPDATE(sno)ONTABLEStudentTOU447授權與回收【實例4-5】把對表SC的INSERT權限授予U5,并允許將此權限再授予其他用戶。GRANTINSERTONTABLESCTOU5WITHGRANTOPTION【實例4-6】U5可以將對表SC的INSERT權限再授予U6,U7。GRANTINSERTONTABLESCTOU6,U748授權與回收2.REVOKEREVOKE<權限>[,<權限>]…ON<對象類型><對象名>,[<對象類型><對象名>]…FROM<用戶>[,<用戶>]…[CASCADE|RESTINCT];49授權與回收【實例4-8】把用戶U4修改學生學號的權限收回。REVOKEUPDATE(SNO)ONTABLEStudentFROMU4WITHGRANTOPTION【實例4-9】收回所有用戶對SC表的INSERT權限。REVOKEINSERTONTABLESCFROMPUBLIC50授權與回收【實例4-10】把用戶U5，U6和U7對SC表的INSERT權限收回。REVOKEINSERTONTABLESCFROMU5CASCADE514.2.5數(shù)據(jù)庫角色 數(shù)據(jù)庫角色：是被命名的一組與數(shù)據(jù)庫操作相關的權限，即角色是權限的集合。 通過為一組具有相同權限的用戶創(chuàng)建一個角色，然后使用角色來管理數(shù)據(jù)庫權限，這樣就可以簡化授權的過程。1.角色的創(chuàng)建CREATEROLE<角色名>522.給角色授權GRANT<權限>[,<權限>]…ON<對象類型><對象名>,[<對象類型><對象名>]…TO<角色名>[,<角色名>]…3.將一個角色授予其他角色和用戶GRANT<角色1>[,<角色2>]…TO<角色3>[,<角色4>]…[WITHADMINOPTION]//權限轉授534.角色權限的收回REVOKE<權限>[,<權限>]…ON<對象類型><對象名>FROM<角色3>[,<角色4>]…54【實例4-11】通過角色來將一組權限授予一個用戶。（1）創(chuàng)建角色CREATEROLER1（2）授權給角色GTANTSELECT,UPDATE,INSERTONTABLEStudentTOR1（3）授權給用戶GRANTR1TOWANG,ZHANG,ZHAO（4）收回權限REVOKER1FROMWANG55【實例4-12】角色權限的修改。（1）給R1增加一個DELETE權限。GRANTDELETEONTABLEStudentTOR1（2）給R1減少SELECT權限。REVOKESELECTONTABLEStudentFROMR156SQLServer中的用戶、角色和權限管理1.創(chuàng)建用戶和角色【實例4-13】創(chuàng)建一個數(shù)據(jù)庫用戶u1，一個角色r1。sp_addlogin'user1','123'

//user1是登錄名稱gousestudentgosp_grantdbaccess'user1','u1'

//u1是用戶名gosp_addroler1//創(chuàng)建角色r157SQLServer中的用戶、角色和權限管理2.給用戶授權、收回權限grantselect,update

onstudenttou1revokeupdateonstudentfromu158SQLServer中的用戶、角色和權限管理3.給角色授權、收回權限grantallprivilegesonstudenttor14.使用戶成為角色的成員usestudentgosp_addrolemember'r1','u1'594.2.6強制存取控制方法(MAC方法)1.什么是強制存取控制

強制存取控制（MAC）是指系統(tǒng)為保證更高程度的安全性，按照TDI/TCSEC標準中安全策略的要求，所采取的強制存取檢查手段。

MAC不是用戶能直接感知或進行控制的。

MAC適用于對數(shù)據(jù)有嚴格而固定密級分類的部門。軍事部門政府部門602.強制存取控制方法（1）主體與客體在MAC中，DBMS所管理的全部實體被分為主體和客體兩大類。主體是系統(tǒng)中的活動實體

DBMS所管理的實際用戶代表用戶的各進程客體是系統(tǒng)中的被動實體，是受主體操縱的文件基表索引視圖61強制存取控制方法（2）敏感度標記對于主體和客體，DBMS為它們每個實例（值）指派一個敏感度標記（Label）。敏感度標記分成若干級別。絕密（TopSecret）機密（Secret）可信（Confidential）公開（Public）62強制存取控制方法主體的敏感度標記稱為許可證級別（ClearanceLevel）?？腕w的敏感度標記稱為密級（ClassificationLevel）。MAC機制就是通過對比主體的Label和客體的Label，最終確定主體是否能夠存取客體。63強制存取控制方法（3）強制存取控制規(guī)則當某一用戶（或某一主體）以標記label注冊入系統(tǒng)時，系統(tǒng)要求他對任何客體的存取必須遵循下面兩條規(guī)則：僅當主體的許可證級別大于或等于客體的密級時，該主體才能讀取相應的客體；僅當主體的許可證級別等于客體的密級時，該主體才能寫相應的客體。64強制存取控制方法（4）強制存取控制的特點MAC是對數(shù)據(jù)本身進行密級標記無論數(shù)據(jù)如何復制，標記與數(shù)據(jù)是一個不可分的整體只有符合密級標記要求的用戶才可以操縱數(shù)據(jù)從而提供了更高級別的安全性65（5）MAC與DACDAC與MAC共同構成DBMS的安全機制。原因：較高安全性級別提供的安全保護要包含較低級別的所有保護。先進行DAC檢查，通過DAC檢查的數(shù)據(jù)對象再由系統(tǒng)進行MAC檢查，只有通過MAC檢查的數(shù)據(jù)對象方可存取。66強制存取控制方法DAC+MAC安全檢查示意圖

SQL語法分析&語義檢查

DAC檢查安全檢查

MAC檢查

繼續(xù)語義檢查674.3視圖機制視圖機制把要保密的數(shù)據(jù)對無權存取這些數(shù)據(jù)的用戶隱藏起來。

視圖機制更主要的功能在于提供數(shù)據(jù)獨立性，其安全保護功能太不精細，遠不能達到應用系統(tǒng)的要求。68視圖機制視圖機制與授權機制配合使用首先用視圖機制屏蔽掉一部分保密數(shù)據(jù)視圖上面再進一步定義存取權限間接實現(xiàn)了支持存取謂詞的用戶權限定義69視圖機制例：用戶王平只能檢索計算機系學生的信息。（1）先建立計算機系學生的視圖CS_Student

CREATEVIEWCS_StudentASSELECT*FROMStudentWHERESdept='CS'；70視圖機制（2）在視圖上進一步定義存取權限

GRANTSELECTONCS_Student

TOwang

；（3）刪除視圖DROPVIEWCS_STUDENT714.4審計（1）什么是審計啟用一個專用的審計日志（AuditLog）將用戶對數(shù)據(jù)庫的所有操作記錄在上面DBA可以利用審計日志中的追蹤信息找出非法存取數(shù)據(jù)的人C2以上安全級別的DBMS必須具有審計功能72審計（2）審計功能的可選性審計很費時間和空間。DBA可以根據(jù)應用對安全性的要求，靈活地打開或關閉審計功能。73審計【實例4-14】對修改SC表結構或修改表數(shù)據(jù)進行審計。AUDITALTER,UPDATEONSC【實例4-14】取消對SC表的審計。NOAUDITALTER,UPDATEONSC744.5數(shù)據(jù)加密（1）數(shù)據(jù)加密防止數(shù)據(jù)庫中數(shù)據(jù)在存儲和傳輸中失密的有效手段。（2）加密的基本思想根據(jù)一定的算法將原始數(shù)據(jù)（術語為明文，Plaintext）變換為不可直接識別的格式（術語為密文，Ciphertext）。不知道解密算法的人無法獲知數(shù)據(jù)的內容。75（3）加密方法替換方法使用密鑰（EncryptionKey）將明文中的每一個字符轉換為密文中的一個字符。置換方法將明文的字符按不同的順序重新排列?；旌戏椒绹?977年制定的官方加密標準：數(shù)據(jù)加密標準（DataEncryptionStandard，簡稱DES）。76數(shù)據(jù)加密實例【實例4-15】使用密鑰加密方法。原文：RESTINCT密匙：PHYIS(1608250919)空格AB……Z000102……26轉換:RESTINCT18051920091403200000