數(shù)據(jù)庫原理與技術(shù)6安全性.ppt

1、高 級 數(shù) 據(jù) 庫 安 全 性,湯 娜 中山大學(xué)計算機科學(xué)系 ,系統(tǒng)篇,數(shù)據(jù)庫完整性 數(shù)據(jù)庫恢復(fù)技術(shù) 并發(fā)控制 數(shù)據(jù)庫安全性,數(shù)據(jù)庫安全性,1 安全概論 2 數(shù)據(jù)庫安全性控制 3 統(tǒng)計數(shù)據(jù)庫安全性 4 小結(jié),數(shù)據(jù)庫安全性,問題的提出 數(shù)據(jù)庫的一大特點是數(shù)據(jù)可以共享 但數(shù)據(jù)共享必然帶來數(shù)據(jù)庫的安全性問題 數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)共享不能是無條件的共享 例：軍事秘密、 國家機密、 新產(chǎn)品實驗數(shù)據(jù)、 市場需求分析、市場營銷策略、銷售計劃、 客戶檔案、 醫(yī)療檔案、 銀行儲蓄數(shù)據(jù),數(shù)據(jù)庫安全性（續(xù)）,數(shù)據(jù)庫中數(shù)據(jù)的共享是在DBMS統(tǒng)一的嚴格的控制之下的共享，即只允許有合法使用權(quán)限的用戶訪問允許他存取的數(shù)據(jù) 數(shù)

2、據(jù)庫系統(tǒng)的安全保護措施是否有效是數(shù)據(jù)庫系統(tǒng)主要的性能指標(biāo)之一,數(shù)據(jù)庫安全性（續(xù)）,什么是數(shù)據(jù)庫的安全性 數(shù)據(jù)庫的安全性是指保護數(shù)據(jù)庫，防止因用戶非法使用數(shù)據(jù)庫造成數(shù)據(jù)泄露、更改或破壞。 什么是數(shù)據(jù)的保密 數(shù)據(jù)保密是指用戶合法地訪問到機密數(shù)據(jù)后能否對這些數(shù)據(jù)保密。 通過制訂法律道德準則和政策法規(guī)來保證。,數(shù)據(jù)庫安全性級別,安全性與完整性的比較 安全性:非法用戶對數(shù)據(jù)庫故意的破壞 完整性:合法用戶的數(shù)據(jù)庫不經(jīng)意的破壞,數(shù)據(jù)庫安全性級別,安全性級別 環(huán)境級：計算機系統(tǒng)的機房和設(shè)備應(yīng)加以保護，防止有人進行物理破壞。 職員級：工作人員應(yīng)清正廉潔，正確授予用戶訪問數(shù)據(jù)庫的權(quán)限。 OS級：應(yīng)防止未經(jīng)授權(quán)的用

3、戶從OS處著手訪問數(shù)據(jù)庫。 網(wǎng)絡(luò)級：由于大多數(shù)DBS都允許用戶通過網(wǎng)絡(luò)進行遠程訪問，因此網(wǎng)絡(luò)軟件內(nèi)部的安全性是很重要的。 DBS級：DBS的職責(zé)是檢查用戶的身份是否合法及使用數(shù)據(jù)庫的權(quán)限是否正確。,安全標(biāo)準,為降低進而消除對系統(tǒng)的安全攻擊，各國引用或制定了一系列安全標(biāo)準 TCSEC (桔皮書) TDI (紫皮書),可信計算機系統(tǒng)評測標(biāo)準（續(xù)）,TCSEC/TDI安全級別劃分,數(shù)據(jù)庫安全性,1 安全概論 2 數(shù)據(jù)庫安全性控制 3 統(tǒng)計數(shù)據(jù)庫安全性 4 小結(jié),2 數(shù)據(jù)庫安全性控制,2.1 數(shù)據(jù)庫安全性控制概述 2.2 用戶標(biāo)識與鑒別 2.3 存取控制 2.4 自主存取控制方法 2.5 強制存取控制

4、方法 2.6 視圖機制 2.7 審計 2.8 數(shù)據(jù)加密,2.1 數(shù)據(jù)庫安全性控制概述,非法使用數(shù)據(jù)庫的情況 用戶編寫一段合法的程序繞過DBMS及其授權(quán)機制，通過操作系統(tǒng)直接存取、修改或備份數(shù)據(jù)庫中的數(shù)據(jù)； 直接或編寫應(yīng)用程序執(zhí)行非授權(quán)操作；,數(shù)據(jù)庫安全性控制概述（續(xù)）,通過多次合法查詢數(shù)據(jù)庫從中推導(dǎo)出一些保密數(shù)據(jù) 例：某數(shù)據(jù)庫應(yīng)用系統(tǒng)禁止查詢單個人的工資，但允許查任意一組人的平均工資。用戶甲想了解張三的工資，于是他： 首先查詢包括張三在內(nèi)的一組人的平均工資 然后查用自己替換張三后這組人的平均工資 從而推導(dǎo)出張三的工資 破壞安全性的行為可能是無意的，故意的，惡意的。,計算機系統(tǒng)中的安全模型,方法

5、：,用戶標(biāo)識 和鑒定,存取控制 審計 視圖,操作系統(tǒng) 安全保護,密碼存儲,數(shù)據(jù)庫安全性控制概述（續(xù)）,數(shù)據(jù)庫安全性控制的常用方法 用戶標(biāo)識和鑒定 存取控制 視圖 審計 密碼存儲,2 數(shù)據(jù)庫安全性控制,2.1 數(shù)據(jù)庫安全性控制概述 2.2 用戶標(biāo)識與鑒別 2.3 存取控制 2.4 自主存取控制方法 2.5 強制存取控制方法 2.6 視圖機制 2.7 審計 2.8 數(shù)據(jù)加密,2.2 用戶標(biāo)識與鑒別,用戶標(biāo)識與鑒別（Identification & Authentication） 系統(tǒng)提供的最外層安全保護措施,2.2 用戶標(biāo)識與鑒別,基本方法 系統(tǒng)提供一定的方式讓用戶標(biāo)識自己的名字或身份； 系統(tǒng)內(nèi)部

6、記錄著所有合法用戶的標(biāo)識； 每次用戶要求進入系統(tǒng)時，由系統(tǒng)核對用戶提供的身份標(biāo)識； 通過鑒定后才提供機器使用權(quán)。 用戶標(biāo)識和鑒定可以重復(fù)多次,用戶標(biāo)識自己的名字或身份,用戶名/口令 簡單易行，容易被人竊取 每個用戶預(yù)先約定好一個計算過程或者函數(shù) 系統(tǒng)提供一個隨機數(shù) 用戶根據(jù)自己預(yù)先約定的計算過程或者函數(shù)進行計算 系統(tǒng)根據(jù)用戶計算結(jié)果是否正確鑒定用戶身份 有些DBMS除了訪問DBMS的賬號外，為了訪問制定的數(shù)據(jù)庫，還需要另外的賬號,2 數(shù)據(jù)庫安全性控制,2.1 數(shù)據(jù)庫安全性控制概述 2.2 用戶標(biāo)識與鑒別 2.3 存取控制 2.4 自主存取控制方法 2.5 強制存取控制方法 2.6 視圖機制 2

7、.7 審計 2.8 數(shù)據(jù)加密,2.3 存取控制,存取控制機制的功能 存取控制機制的組成 定義存取權(quán)限 檢查存取權(quán)限 用戶權(quán)限定義和合法權(quán)檢查機制一起組成了DBMS的安全子系統(tǒng),存取控制（續(xù)）,常用存取控制方法 自主存取控制（Discretionary Access Control ，簡稱DAC） C2級 靈活 強制存取控制（Mandatory Access Control，簡稱 MAC） B1級 嚴格,自主存取控制方法,同一用戶對于不同的數(shù)據(jù)對象有不同的存取權(quán)限 不同的用戶對同一對象也有不同的權(quán)限 用戶還可將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶,強制存取控制方法,每一個數(shù)據(jù)對象被標(biāo)以一定的密級 每一

8、個用戶也被授予某一個級別的許可證 對于任意一個對象，只有具有合法許可證的用戶才可以存取,2 數(shù)據(jù)庫安全性控制,2.1 數(shù)據(jù)庫安全性控制概述 2.2 用戶標(biāo)識與鑒別 2.3 存取控制 2.4 自主存取控制方法 2.5 強制存取控制方法 2.6 視圖機制 2.7 審計 2.8 數(shù)據(jù)加密,2.4 自主存取控制方法,定義存取權(quán)限 存取權(quán)限 存取權(quán)限由兩個要素組成 數(shù)據(jù)對象 操作類型,自主存取控制方法（續(xù)）,關(guān)系系統(tǒng)中的存取權(quán)限 數(shù)據(jù)對象操作類型 模 式 模 式建立、修改、刪除、檢索 外模式 修改、刪除、檢索 數(shù) 據(jù) 表查找、插入、修改、刪除 屬性列查找、插入、修改、刪除 系統(tǒng)活動 執(zhí)行 程序 創(chuàng)建、改

9、變、使用 存儲過程 執(zhí)行 索引 創(chuàng)建、刪除 ？參照,自主存取控制方法（續(xù)）,關(guān)系系統(tǒng)中的存取權(quán)限(續(xù)) SQL2中的用戶權(quán)限及其操作GRANT/REVOKE 用戶權(quán)限：SELECT INSERT DELETE UPDATE REFERENCES USAG 授權(quán)語句 GRANT ON TO WITH GRANT OPTION 回收語句 REVOKE ON FROM RESTRICT | CASCADE,SQL中的權(quán)限操作實例,GRANT SELECT，UPDATE ON S TO WANG WITH GRANT OPTION GRANT INSERT ON SC （Sno，Cno） TO LOU

10、 WITH GRANT OPTION GRANT REFERENCES ON C（CNO） TO BAO WITH GRANT OPTION GRANT USAGE ON DOMAIN AGE TO CHEN,SQL中的權(quán)限操作實例,grant create table create index to user5，user9 grant trace to user6 grant execute on proc1 to user1,user9 REVOKE SELECT，UPDATE ON S FROM WANG CASCADE REVOKE GRANT OPTION FOR REFERENCE

11、S ON C （Cno） FROM BA,權(quán)限的授予和回收,權(quán)限轉(zhuǎn)授圖,一個用戶擁有權(quán)限的充分必要條件是在權(quán)限圖中從根結(jié)點到該用戶結(jié)點存在一條路經(jīng),DBA,U1,U2,U3,授權(quán)的一些其他問題,如果一個用戶創(chuàng)建了一個對象（關(guān)系視圖角色），則擁有對此基表的全部權(quán)限（包括授予別人權(quán)限的權(quán)限）！ 授權(quán)的一些缺陷： 不能實現(xiàn)元組級的授權(quán)（可以通過視圖或觸發(fā)器來實現(xiàn)） 視圖的一些問題 With the growth in Web access to databases, database accesses come primarily from application servers. End user

12、s dont have database user ids, they are all mapped to the same database user id All end-users of an application (such as a web application) may be mapped to a single database user,The task of authorization in above cases falls on the application program, with no support from SQL Benefit: fine graine

13、d authorizations, such as to individual tuples, can be implemented by the application. Drawback: Authorization must be done in application code, and may be dispersed all over an application Checking for absence of authorization loopholes becomes very difficult since it requires reading large amounts

14、 of application code,視圖機制（續(xù)）,視圖機制與授權(quán)機制配合使用: 首先用視圖機制屏蔽掉一部分保密數(shù)據(jù) 視圖上面再進一步定義存取權(quán)限 實現(xiàn)了水平子集和垂直子集上的安全 間接實現(xiàn)了支持存取謂詞的用戶權(quán)限定義,視圖機制（續(xù)）,例：王平只能檢索計算機系學(xué)生的信息 先建立計算機系學(xué)生的視圖CS_Student CREATE VIEW CS_Student AS SELECT FROM Student WHERE Sdept=CS；,視圖機制（續(xù)）,在視圖上進一步定義存取權(quán)限 GRANT SELECT ON CS_Student TO 王平 ；,視圖的權(quán)限問題,創(chuàng)建視圖不需要授權(quán)，如

15、果對基表沒有任何權(quán)限，系統(tǒng)會拒絕創(chuàng)建視圖！ The creator of a view gets only those privileges that provide no additional authorization beyond that he already had. create view cust-loan as select branchname, customer-name from borrower, loan where borrower.loan-number = loan.loan-number E.g. if creator of view cust-loan ha

16、d only read authorization on borrower and loan, he gets only read authorization on cust-loan,自主存取控制方法（續(xù)）,關(guān)系系統(tǒng)中的存取權(quán)限(續(xù)) 定義了存取權(quán)限后，記錄在數(shù)據(jù)字典中 用戶名 數(shù)據(jù)對象名 允許的操作類型 王 平 關(guān)系Student SELECT 張明霞 關(guān)系Student UPDATE 張明霞 關(guān)系Course ALL 張明霞 SC. Grade UPDATE 張明霞 SC. Sno SELECT 張明霞 SC. Cno SELECT,Data Dictionary Storage,數(shù)據(jù)字

17、典 (也稱為 system catalog) stores metadata: that is, data about data, such as Information about relations names of relations names，domain，lengths and types of attributes physical file organization information（占用多少塊，所使用的存儲方法） statistical data such as number of tuples in each relation integrity constraint

18、s view definitions user and accounting information information about indices,Data Dictionary Storage (Cont.),Catalog structure: can use either 專門的數(shù)據(jù)結(jié)構(gòu) designed for efficient access 作為一個表的集合, 采用現(xiàn)存系統(tǒng)中實現(xiàn)和管理關(guān)系的技術(shù)來實現(xiàn)有效的存取。 The latter alternative is usually preferred,安全報表,DBA可以使用sql語句或系統(tǒng)存儲過程檢索系統(tǒng)目錄表中的安全信息。

19、 要保證系統(tǒng)目錄的安全，只有SA，DBA，安全管理員需要訪問系統(tǒng)目錄中的安全信息 隨著需求變動，數(shù)據(jù)庫安全也需要變動。所以要定期做安全復(fù)查。安全復(fù)查的信息來源于系統(tǒng)目錄表的報表,自主存取控制方法（續(xù)）,檢查存取權(quán)限 對于獲得上機權(quán)后又進一步發(fā)出存取數(shù)據(jù)庫操作的用戶 DBMS查找數(shù)據(jù)字典，根據(jù)其存取權(quán)限對操作的合法性進行檢查 若用戶的操作請求超出了定義的權(quán)限，系統(tǒng)將拒絕執(zhí)行此操作,自主存取控制方法（續(xù)）,授權(quán)粒度 授權(quán)粒度是指可以定義的數(shù)據(jù)對象的范圍 它是衡量授權(quán)機制是否靈活的一個重要指標(biāo)。 授權(quán)定義中數(shù)據(jù)對象的粒度越細，即可以定義的數(shù)據(jù)對象的范圍越小，授權(quán)子系統(tǒng)就越靈活。,自主存取控制方法（續(xù)

20、）,關(guān)系數(shù)據(jù)庫中授權(quán)的數(shù)據(jù)對象粒度 數(shù)據(jù)庫 表 屬性列 行,授權(quán)角色和組（SQL99）,除了給個別用戶授予權(quán)限，DBMS可能還提供以下的授權(quán)功能 給一個角色制定權(quán)限，然后把角色賦予用戶 給用戶制定內(nèi)建的權(quán)限組 有的DBMS中的角色就是組，或者組就是角色,授權(quán)角色和組,角色 一旦定義一個角色，該角色便可以被用來給用戶賦予一個或多個預(yù)先分配好的權(quán)限，DBA可以創(chuàng)建角色并給這個角色分配特定的權(quán)限，然后再將這個角色分配給一個或多個用戶或或者角色 create role manager grant select on employee to manager grant insert,update,del

21、ete on job-title to manager grant execute on payroll to manager grant mamager to user1,授權(quán)角色和組,組 組一級授權(quán)和角色類似。 每一種DBMS提供了不可改變的內(nèi)建組 系統(tǒng)管理員（sa或sysadm） 數(shù)據(jù)庫管理員（dba，dbadm） 數(shù)據(jù)庫維護（dbmaint） 比如：運行實用工具和提交命令的能力 安全管理員 口令管理、審計、安全配置，執(zhí)行g(shù)rant，revoke語句） 操作控制（oper或sysopr） 操作性任務(wù)，如備份、恢復(fù)或結(jié)束出問題的任務(wù),自主存取控制方法小結(jié),定義存取權(quán)限 用戶 檢查存取權(quán)限

22、DBMS,自主存取控制方法小結(jié),授權(quán)粒度 數(shù)據(jù)對象粒度：數(shù)據(jù)庫、表、屬性列、行 數(shù)據(jù)值粒度：存取謂詞 授權(quán)粒度越細，授權(quán)子系統(tǒng)就越靈活，能夠提供的安全性就越完善。但另一方面，因數(shù)據(jù)字典變大變復(fù)雜，系統(tǒng)定義與檢查權(quán)限的開銷也會相應(yīng)地增大。,自主存取控制方法小結(jié),優(yōu)點 能夠通過授權(quán)機制有效地控制其他用戶對敏感數(shù)據(jù)的存取 缺點 可能存在數(shù)據(jù)的“無意泄露” 原因：這種機制僅僅通過對數(shù)據(jù)的存取權(quán)限來進行安全控制，而數(shù)據(jù)本身并無安全性標(biāo)記。 解決：對系統(tǒng)控制下的所有主客體實施強制存取控制策略,2 數(shù)據(jù)庫安全性控制,2.1 數(shù)據(jù)庫安全性控制概述 2.2 用戶標(biāo)識與鑒別 2.3 存取控制 2.4 自主存取控制

23、方法 2.5 強制存取控制方法 2.6 視圖機制 2.7 審計 2.8 數(shù)據(jù)加密,2.5 強制存取控制方法,什么是強制存取控制 強制存取控制(MAC)是指系統(tǒng)為保證更高程度的安全性，按照TDI/TCSEC標(biāo)準中安全策略的要求，所采取的強制存取檢查手段。 MAC不是用戶能直接感知或進行控制的。 MAC適用于對數(shù)據(jù)有嚴格而固定密級分類的部門 軍事部門 政府部門,強制存取控制方法（續(xù)）,主體與客體 在MAC中，DBMS所管理的全部實體被分為主體和客體兩大類 主體是系統(tǒng)中的活動實體 DBMS所管理的實際用戶 代表用戶的各進程 客體是系統(tǒng)中的被動實體，是受主體操縱的 文件 基表 索引 視圖,強制存取控制

24、方法（續(xù)）,敏感度標(biāo)記 對于主體和客體，DBMS為它們每個實例（值）指派一個敏感度標(biāo)記（Label） 敏感度標(biāo)記分成若干級別 絕密（Top Secret） 機密（Secret） 可信（Confidential） 公開（Public）,強制存取控制方法（續(xù)）,主體的敏感度標(biāo)記稱為許可證級別（Clearance Level） 客體的敏感度標(biāo)記稱為密級（Classification Level） MAC機制就是通過對比主體的Label和客體的Label，最終確定主體是否能夠存取客體,強制存取控制方法（續(xù)）,強制存取控制規(guī)則 當(dāng)某一用戶（或某一主體）以標(biāo)記label注冊入系統(tǒng)時，系統(tǒng)要求他對任何客體的

25、存取必須遵循下面兩條規(guī)則： （1）僅當(dāng)主體的許可證級別大于或等于客體的密級時，該主體才能讀取相應(yīng)的客體； （2）僅當(dāng)主體的許可證級別等于客體的密級時，該主體才能寫相應(yīng)的客體。,強制存取控制方法（續(xù)）,修正規(guī)則： 主體的許可證級別 =客體的密級 主體能寫客體 用戶可為寫入的數(shù)據(jù)對象賦予高于自 己的許可證級別的密級 一旦數(shù)據(jù)被寫入，該用戶自己也不能再讀該數(shù)據(jù)對象了。,強制存取控制方法（續(xù)）,規(guī)則的共同點 禁止了擁有高許可證級別的主體更新低密級的數(shù)據(jù)對象,強制存取控制方法（續(xù)）,強制存取控制的特點 MAC是對數(shù)據(jù)本身進行密級標(biāo)記 無論數(shù)據(jù)如何復(fù)制，標(biāo)記與數(shù)據(jù)是一個不可分的整體 只有符合密級標(biāo)記要求的

26、用戶才可以操縱數(shù)據(jù) 從而提供了更高級別的安全性,MAC與DAC,DAC與MAC共同構(gòu)成DBMS的安全機制 原因：較高安全性級別提供的安全保護要包含較低級別的所有保護 先進行DAC檢查，通過DAC檢查的數(shù)據(jù)對象再由系統(tǒng)進行MAC檢查，只有通過MAC檢查的數(shù)據(jù)對象方可存取。,強制存取控制方法（續(xù)）,DAC + MAC安全檢查示意圖 SQL語法分析 & 語義檢查 DAC 檢 查 安全檢查 MAC 檢 查 繼 續(xù),比較的例子,有一張成績表，只有張老師可以通過一個程序訪問，則學(xué)生可以在數(shù)據(jù)庫中建立一個表image，并將表的插入的權(quán)限給與張老師，再通過修改老師程序的代碼，將成績表的記錄內(nèi)容插入image，

27、將成績表拷貝出來 將成績表的級別定為s，老師也給與s的級別，學(xué)生給與c的級別，由于學(xué)生只能創(chuàng)建c或比c更低級別的對象，即使修改老師程序的代碼，也無法修改表image,絕密（Top Secret） 機密（Secret） 可信（Confidential） 公開（Public）,2 數(shù)據(jù)庫安全性控制,2.1 數(shù)據(jù)庫安全性控制概述 2.2 用戶標(biāo)識與鑒別 2.3 存取控制 2.4 自主存取控制方法 2.5 強制存取控制方法 2.6 審計 2.7 數(shù)據(jù)加密,2.7 審計,什么是審計 啟用一個專用的審計日志（Audit Log） 將用戶對數(shù)據(jù)庫的所有操作記錄在上面 DBA可以利用審計日志中的追蹤信息 找出

28、非法存取數(shù)據(jù)的人 C2以上安全級別的DBMS必須具有審計功能,審計（續(xù)）,審計功能的可選性 審計很費時間和空間 DBA可以根據(jù)應(yīng)用對安全性的要求，靈活地打開或關(guān)閉審計功能。,審計（續(xù)）,強制性機制: 用戶識別和鑒定、存取控制、視圖 預(yù)防監(jiān)測手段: 審計技術(shù),2 數(shù)據(jù)庫安全性控制,2.1 數(shù)據(jù)庫安全性控制概述 2.2 用戶標(biāo)識與鑒別 2.3 存取控制 2.4 自主存取控制方法 2.5 強制存取控制方法 2.6 視圖機制 2.7 審計 2.8 數(shù)據(jù)加密,2.8 數(shù)據(jù)加密,數(shù)據(jù)加密 防止數(shù)據(jù)庫中數(shù)據(jù)在存儲和傳輸中失密的有效手段 加密的基本思想 根據(jù)一定的算法將原始數(shù)據(jù)（術(shù)語為明文，Plain text）變換為不可直接識別的格式（術(shù)語為密文，Cipher text） 不知道解密算法的人無法獲知數(shù)據(jù)的內(nèi)容,數(shù)據(jù)加密（續(xù)）,加密方法 替換方法 使用密鑰（Encryption Key）將明文中的每一個字符轉(zhuǎn)換為密文中的一個字符 置換方法 將明文的字符按不同的順序重新排列 混合方法 美國1977年制定的官方加密標(biāo)準：數(shù)據(jù)加密標(biāo)準（Data Encryption Standard，簡稱DES）,數(shù)據(jù)加密（續(xù)）,DBMS中的數(shù)據(jù)加密 有些數(shù)據(jù)庫產(chǎn)品提供了數(shù)據(jù)加密例行程序 有些數(shù)據(jù)庫產(chǎn)品本身未提供加密程序，但提供了接口,數(shù)據(jù)加密（續(xù)）,數(shù)據(jù)加密功能通常也作