《數(shù)據(jù)庫的安全性》PPT課件.ppt

1、1,7.2 數(shù)據(jù)庫的安全性,數(shù)據(jù)庫原理及應用,2,主要內容,對數(shù)據(jù)庫安全的威脅 數(shù)據(jù)庫安全控制 視圖 審計 數(shù)據(jù)加密,3,數(shù)據(jù)庫的安全性概念,數(shù)據(jù)庫的安全性是指，在數(shù)據(jù)庫系統(tǒng)的建立過程中，為防止數(shù)據(jù)庫的不合法使用和因偶然或惡意的原因使數(shù)據(jù)庫中數(shù)據(jù)遭到非法更改、破壞或泄露等所采取的各種技術、管理和安全保護措施的總稱。,4,數(shù)據(jù)庫的安全性概念,在DBS中，由于大量數(shù)據(jù)集中存放，多個用戶共享數(shù)據(jù)資源，從而使得安全性問題更為突出。 隨著各種基于網(wǎng)絡的信息系統(tǒng)的廣泛應用，遠程多用戶存取和跨網(wǎng)絡的分布式數(shù)據(jù)庫應用得到了進一步的發(fā)展和普及，數(shù)據(jù)庫安全已經(jīng)成為現(xiàn)代計算機信息系統(tǒng)的關鍵技術和衡量現(xiàn)代數(shù)據(jù)庫系統(tǒng)性

2、能的主要技術指標。,5,數(shù)據(jù)庫的安全性概念,數(shù)據(jù)庫安全不僅涉及數(shù)據(jù)庫系統(tǒng)本身的技術問題，還包括信息安全理論與策略、信息安全技術、安全管理、安全評價、安全產(chǎn)品以及計算機犯罪與偵察、計算機安全法律、安全監(jiān)察等技術問題，是一個涉及管理學、法學、犯罪學、心理學的多學科交叉問題。,6,數(shù)據(jù)庫的安全性問題分類,數(shù)據(jù)庫安全的三大類問題： 計算機與數(shù)據(jù)庫技術安全性問題 計算機與數(shù)據(jù)庫管理安全性問題 信息安全的政策法律問題,7,數(shù)據(jù)庫的安全性問題分類-1,數(shù)據(jù)庫安全的三大類問題： 計算機與數(shù)據(jù)庫技術安全性問題 計算機與數(shù)據(jù)庫管理安全性問題 信息安全的政策法律問題,計算機與數(shù)據(jù)庫技術安全性問題是指，在計算機與數(shù)據(jù)

3、庫系統(tǒng)中采用具有一定安全性的硬件、軟件來實現(xiàn)對數(shù)據(jù)庫系統(tǒng)及其所存數(shù)據(jù)的安全保護，使計算機或數(shù)據(jù)庫系統(tǒng)在受到無意或惡意的攻擊時仍能正常運行，并保證數(shù)據(jù)庫中的數(shù)據(jù)不丟失、不泄露、不被更改。,8,數(shù)據(jù)庫的安全性問題分類-2,數(shù)據(jù)庫安全的三大類問題： 計算機與數(shù)據(jù)庫技術安全性問題 計算機與數(shù)據(jù)庫管理安全性問題 信息安全的政策法律問題,計算機與數(shù)據(jù)庫管理安全性問題是指技術安全之外的問題，諸如軟硬件意外故障、場地的意外事故、管理不善而導致的因計算機存儲設備和數(shù)據(jù)介質的物理破壞，使數(shù)據(jù)庫中數(shù)據(jù)丟失等安全問題，視為管理安全。,9,數(shù)據(jù)庫的安全性問題分類-3,數(shù)據(jù)庫安全的三大類問題： 計算機與數(shù)據(jù)庫技術安全性問

4、題 計算機與數(shù)據(jù)庫管理安全性問題 信息安全的政策法律問題,信息安全的政策法律問題是指，國家和政府部門頒布的有關計算機犯罪、信息安全保密的法律、道德準則、政策法規(guī)和法令等。本節(jié)只討論計算機與數(shù)據(jù)庫的技術安全性問題。,10,7.2.1 對數(shù)據(jù)庫安全的威脅,嚴格來說，所有對數(shù)據(jù)庫中數(shù)據(jù)的非授權讀取、修改、添加、刪除等，都屬于對數(shù)據(jù)庫安全的威脅。 凡是在正常的業(yè)務中需要訪問數(shù)據(jù)庫時，使授權用戶不能得到正常數(shù)據(jù)庫服務的情況都是對數(shù)據(jù)庫安全形成了威脅。,11,7.2.1 對數(shù)據(jù)庫安全的威脅形式,具體來說，對數(shù)據(jù)庫數(shù)據(jù)安全的威脅表現(xiàn)形式： （1）自然的天災或意外的事故導致數(shù)據(jù)存儲設備損壞，進而導致數(shù)據(jù)庫中數(shù)

5、據(jù)的損壞和丟失。 （2）硬件或軟件故障導致存儲設備損壞，系統(tǒng)軟件或數(shù)據(jù)庫系統(tǒng)安全機制失效，導致數(shù)據(jù)庫中的數(shù)據(jù)損壞和丟失，或無法恢復。 （3）敵對方通過不同手段對系統(tǒng)軟件或硬件的破壞引起的信息丟失。,12,7.2.1 對數(shù)據(jù)庫安全的威脅形式,具體來說，對數(shù)據(jù)庫數(shù)據(jù)安全威脅的表現(xiàn)形式： （4）數(shù)據(jù)庫管理員或系統(tǒng)用戶的誤操作，導致應用系統(tǒng)的不正確使用而引起的信息丟失。 （5）授權用戶濫用權限而引起的信息竊取，或通過濫用權限而蓄意修改、添加、刪除系統(tǒng)或別的用戶的數(shù)據(jù)信息。 （6）“黑客”和敵意的攻擊使系統(tǒng)癱瘓而無法恢復原數(shù)據(jù)信息，或篡改和刪除數(shù)據(jù)等造成的信息丟失。,13,7.2.1 對數(shù)據(jù)庫安全的威脅

6、形式,具體來說，對數(shù)據(jù)庫數(shù)據(jù)安全的威脅表現(xiàn)形式： （7）病毒引起的數(shù)據(jù)損壞和丟失。 （8）授權用戶利用合法的權限通過在系統(tǒng)中安裝特洛伊木馬(隱藏在公開的程序內部，收集系統(tǒng)環(huán)境的信息與程序)來對數(shù)據(jù)庫數(shù)據(jù)進行攻擊。 （9）利用天窗和隱通道(藏在合法程序內部的一段程序代碼)實現(xiàn)對數(shù)據(jù)庫數(shù)據(jù)的攻擊或進行數(shù)據(jù)竊取。 （10）非授權用戶繞過DBMS直接對數(shù)據(jù)讀寫。,14,7.2.1 對數(shù)據(jù)庫安全的威脅 類型,（1）數(shù)據(jù)損壞 包括因存儲設備全部或部分損壞引起的數(shù)據(jù)損壞，因敵意攻擊或惡意破壞造成的整個數(shù)據(jù)庫或部分數(shù)據(jù)庫表被刪除、移走或破壞。 （2）數(shù)據(jù)篡改 即對數(shù)據(jù)庫中數(shù)據(jù)未經(jīng)授權進行修改，使數(shù)據(jù)失去原來的

7、真實性。 （3）數(shù)據(jù)竊取 數(shù)據(jù)竊取包括對敏感數(shù)據(jù)的非授權讀取、非法拷貝、非法打印等。,15,7.2. 2 數(shù)據(jù)庫安全控制,數(shù)據(jù)庫安全控制的核心是提供對數(shù)據(jù)庫信息的安全存取服務，即 向授權用戶提供可靠的信息和數(shù)據(jù)服務 拒絕非授權用戶對數(shù)據(jù)的存取訪問請求 保證數(shù)據(jù)庫數(shù)據(jù)的可用性、完整性和安全性，進而保證所有合法數(shù)據(jù)庫用戶的合法權益。,16,數(shù)據(jù)庫系統(tǒng)的安全模型,17,（1）用戶標識和鑒別,是數(shù)據(jù)庫系統(tǒng)安全控制機制提供的最重要、最外層的安全保護措施。 方法：由系統(tǒng)提供一定的方式讓用戶標識自己的身份。每當用戶要求進入系統(tǒng)時，由系統(tǒng)進行核對，通過鑒定后才提供數(shù)據(jù)庫系統(tǒng)使用權。 用戶名是用戶身份最簡單、最

8、常用、最基本的標識Identification 。 鑒別Authentication則是系統(tǒng)檢驗用戶的身份證明。,18,（1）用戶標識和鑒別,鑒別用戶身份的方法主要有四種： （1）用戶口令 （2）用戶與系統(tǒng)的對話 （3）用戶的生物特征 （4）用戶特有的物品身份證明,19,（2）存取控制,數(shù)據(jù)庫安全性所關心的主要問題就是DBMS的存取控制機制。 數(shù)據(jù)庫的存取控制機制定義和控制一個對象對另一個對象的存取訪問權限。對存取訪問權限的定義稱為授權。 數(shù)據(jù)庫安全最重要的一點就是確保把訪問數(shù)據(jù)庫的權限只授權給有資格的用戶，同時令所有未被授權的人員無法接近數(shù)據(jù)。,20,用戶權限與授權（數(shù)據(jù)庫級安全性）,在SQ

9、L中，數(shù)據(jù)庫用戶按其權限自低向高分為： CONNECT特權用戶 RESOURSE特權用戶 DBA特權用戶,21,用戶權限與授權（數(shù)據(jù)庫級安全性）,在SQL中，數(shù)據(jù)庫用戶按其權限自低向高分為： CONNECT特權用戶 RESOURSE特權用戶 DBA特權用戶,是具有連接登錄數(shù)據(jù)庫特權的用戶，任何要訪問數(shù)據(jù)庫的用戶都必須具有CONNECT特權： 在那些已授予他SELECT和UPDATE特權的數(shù)據(jù)庫表上進行查詢和更新表中數(shù)據(jù)的操作； 在那些已授予他SELECT特權的數(shù)據(jù)庫表上建立視圖或定義數(shù)據(jù)的別名。,意指： 僅具有CONNECT特權的用戶僅能對別的用戶建立的數(shù)據(jù)庫表進行這些操作，而且別的用戶還必須

10、授予了他SELECT和/或UPDATE特權。 具有SELECT和/或UPDATE特權的用戶不具有建立數(shù)據(jù)庫表的特權。,22,用戶權限與授權（數(shù)據(jù)庫級安全性）,在SQL中，數(shù)據(jù)庫用戶按其權限自低向高分為： CONNECT特權用戶 RESOURSE特權用戶 DBA特權用戶,具有RESOUREE特權用戶也即具有支配部分數(shù)據(jù)庫資源的用戶。這類用戶除了具有CONNECT特權用戶的所有特權外，還包括：,建立表、索引和聚簇； 授權：用GRANT命令將自己所建的表、索引和聚簇的SELECT和/或UPDATE特權授予別的用戶，或用REVOKE命令收回授權； 審計：通過審計命令AUDIT對自己所建表、索引和聚簇的

11、訪問進行跟蹤審查。,許多系統(tǒng)要求，在授予某用戶RESOURCE特權時，必須同時授予CONNECT特權，否則會出現(xiàn)系統(tǒng)授權錯誤。,23,用戶權限與授權（數(shù)據(jù)庫級安全性）,在SQL中，數(shù)據(jù)庫用戶按其權限自低向高分為： CONNECT特權用戶 RESOURSE特權用戶 DBA特權用戶,具有DBA特權的用戶除了具有CONNECT和RESOURCE特權用戶的所有特權外，還包括：,利用SQL語句訪問任何數(shù)據(jù)庫中的數(shù)據(jù)； 建立或撤消任何數(shù)據(jù)庫用戶； 授權：授予和收回用戶對數(shù)據(jù)庫表的訪問特權； 為任何用戶的數(shù)據(jù)庫表建立所有用戶都可使用的別名； 對數(shù)據(jù)庫進行調整和重組，或調整數(shù)據(jù)庫的空間分配等； 對整個數(shù)據(jù)庫或

12、對某些表進行跟蹤審計； 可以完成數(shù)據(jù)庫的卸出或裝入，也即進行數(shù)據(jù)庫備份和恢復備份。,24,用戶權限與授權（數(shù)據(jù)庫級安全性）,在SQL中，數(shù)據(jù)庫用戶按其權限自低向高分為： CONNECT特權用戶 RESOURSE特權用戶 DBA特權用戶,用戶權限是有高低等級的！,25,用戶權限與授權（數(shù)據(jù)庫級安全性）,在SQL語言中 GRANT命令對用戶的授權 REVOKE命令權限回收,26,用戶的授權,當用戶被授予了對數(shù)據(jù)庫對象的操作權限后，用戶的這些操作權限就存儲在數(shù)據(jù)字典中。 每當用戶發(fā)出數(shù)據(jù)庫的操作請求后，DBMS查找數(shù)據(jù)字典，根據(jù)用戶權限進行合法權限檢查。 若用戶的操作請求超出了定義的權限時，系統(tǒng)將拒

13、絕執(zhí)行此操作。,27,用戶的授權,授權語句的功能是創(chuàng)建新用戶、授權或更改用戶口令。對不同用戶的授權命令格式為： GRANT ，RESOURCE，DBA TO IDENTIFIED BY ； 其中： 系統(tǒng)管理員或某用戶可以將CONNECT特權，或同時將CONNECT和RESOURCE特權，或同時將CONNECT、RESOURCE和DBA特權授予某一個用戶或幾個用戶。,28,用戶的授權,授權語句的功能是創(chuàng)建新用戶、授權或更改用戶口令。對不同用戶的授權命令格式為： GRANT ，RESOURCE，DBA TO IDENTIFIED BY ； 顯然，只有高權限的用戶才能將同等級或低等級權限分配給其他用

14、戶。 并且要注意，由于DBA具有管理數(shù)據(jù)庫的一切特權，所以是否能將DBA特權授予某一用戶一定要慎重！,29,用戶的授權,授權語句的功能是創(chuàng)建新用戶、授權或更改用戶口令。對不同用戶的授權命令格式為： GRANT ，RESOURCE，DBA TO IDENTIFIED BY ； 其中： = ，且用戶標識一般指用戶名。 =，。,30,用戶的授權,授權語句的功能是創(chuàng)建新用戶、授權或更改用戶口令。對不同用戶的授權命令格式為： GRANT ，RESOURCE，DBA TO IDENTIFIED BY ； 其中： 用戶自己或DBA可以使用如下格式的命令改變用戶口令 GRANT CONNECT TO IDEN

15、TIFIED BY ；,31,用戶的授權,例7.2 教學信息管理系統(tǒng)數(shù)據(jù)庫管理員把CONNECT和RESOURCE特權授予學籍管理子系統(tǒng)用戶Manger_XJ和教學計劃管理子系統(tǒng)用戶Manger_JH，設其口令分別為MXJ123和MJH456。授權語句如下： GRANT CONNECT，RESOURCE TO Manger_XJ, Manger_JH IDENTIFIED BY MXJ123，MJH456；,32,收回授權,收回特權的命令格式為： REVOKE ，RESOURCE ，DBA FROM ；,33,收回授權,例7.3：收回授予學籍管理子系統(tǒng)用戶Manger_XJ的CONNECT特權

16、 REVOKE CONNECT FROM Manger_XJ； 收回授予教學計劃管理子系統(tǒng)用戶Manger_JH的CONNECT特權和RESOURCE特權。 REVOKE CONNECT，RESOURCE FROM Manger_JH；,34,收回授權,注意： 在SQL中，如果一個用戶被剝奪了CONNECT特權，那么他就無法連接并訪問數(shù)據(jù)庫。 但即使一個用戶已被剝奪了CONNECT特權(系統(tǒng)會從數(shù)據(jù)字典中除去有關該用戶的信息)，他所創(chuàng)建的數(shù)據(jù)庫表仍會繼續(xù)存在于數(shù)據(jù)庫中，DBA及其他被授權的用戶仍可以繼續(xù)使用它們。,35,數(shù)據(jù)庫對象的授權與權限回收（數(shù)據(jù)庫的表級安全性）,在數(shù)據(jù)庫系統(tǒng)中，數(shù)據(jù)庫對

17、象主要包括表、視圖等。 不同的用戶對數(shù)據(jù)庫對象具有不同的操作權限，這些操作權限包括查詢(SELECT) 、插入(INSERT) 、修改(UPDATE) 、刪除(DELETE) 等。,36,對數(shù)據(jù)庫對象操作權的授權語句格式為： GRANT ON TO WITH GRANT OPTION； 其中： =ALL|， =SELECT|INSERT|DELETE|UPDATE =， =PUBLIC| = ，,數(shù)據(jù)庫對象的授權,37,若特權為ALL時，表示同時把由指定的列的SELECT、INSERT、DELETE、UPDATE等所有特權授予； 若為PUBLIC時，表示同時把對由指定的列的授予所有數(shù)據(jù)庫系統(tǒng)中

18、的所有用戶。 當不選擇可選項“WITH GRANT OPTION”時，接受該的用戶無權將獲得的特權傳遞給其他用戶；當選擇可選項“WITH GRANT OPTION”，接受該的用戶就可以將獲得的特權再授權給其他用戶。,數(shù)據(jù)庫對象的授權,38,例7.4 用戶MANAGER把學生關系S的所有特權授予學籍管理子系統(tǒng)用戶Manger_XJ，并允許學籍管理子系統(tǒng)用戶Manger_XJ將獲得的特權授予其他用戶，授權語句為： GRANT ALL ON S TO Manger_XJ WITH GRANT OPTION； Manger_XJ用戶把學生關系S的SELECT特權授予計劃管理子系統(tǒng)用戶Manger_JH

19、，授權語句為： GRANT SELECT ON MANAGER.S TO Manger_JH； 其中，MANAGER.S表示表S的真正擁有者是MANAGER。,數(shù)據(jù)庫對象的授權,39,授予用戶的數(shù)據(jù)庫對象操作特權可以收回。回收數(shù)據(jù)庫對象操作特權的命令格式為： REVOKE ON FROM ； 其中，和與授權語句GRANT中的定義相同。,數(shù)據(jù)庫對象特權的收回,40,例7.5：收回授予學籍管理子系統(tǒng)用戶Manger_XJ對學生關系S的所有操作特權。收回語句為： REVOKE ALL ON S FROM Manger_XJ； 在收回Manger_XJ用戶對表S的所有操作特權的同時，用戶Manger_

20、JH也就同時失去了對表MANAGER.S的SELECT特權。,數(shù)據(jù)庫對象特權的收回,41,按照上述對數(shù)據(jù)庫對象操作權限的授權方法一般稱為自主存取控制。目前的大型DBMS一般都支持C2級中的自主存取控制。 在自主存取控制中，用戶對于不同的數(shù)據(jù)庫對象有不同的存取權限，不同的用戶對同一數(shù)據(jù)庫對象也有不同的權限，而且用戶還可以將自己擁有的存取權限轉授給其他用戶。因此自主存取控制非常靈活。,自主存取控制,42,在數(shù)據(jù)庫對象操作權限的授權中，數(shù)據(jù)對象范圍越小，授權子系統(tǒng)就越靈活。例如修改權限定義可精細到字段級，而有的系統(tǒng)只能對關系授權。授權粒度越細，授權子系統(tǒng)就越靈活，但系統(tǒng)定義與檢查權限的開銷也會相應地

21、增大。 衡量授權子系統(tǒng)精巧程度的另一個尺度是能否提供與數(shù)據(jù)值有關的授權。上面的授權定義是獨立于數(shù)據(jù)值的，即用戶能否對某類數(shù)據(jù)對象執(zhí)行的操作與數(shù)據(jù)值無關，完全由數(shù)據(jù)名(屬性)決定。反之，若授權依賴于數(shù)據(jù)對象的內容，則稱為與數(shù)據(jù)值有關的授權。,自主存取控制,43,自主存取控制能夠通過授權機制有效地控制其他用戶對敏感數(shù)據(jù)的存取。但是由于用戶對數(shù)據(jù)的存取權限是“自主”的，用戶可以自由地決定將數(shù)據(jù)的存取權限授予何人、決定是否也將“授權”的權限授予別人。在這種授權機制下，仍可能存在數(shù)據(jù)的“無意泄露”。,自主存取控制,44,7.2.3 視圖機制,視圖機制是為不同的用戶定義不同的視圖，把要保密的數(shù)據(jù)對無權存取

22、的用戶隱藏起來，從而自動地對數(shù)據(jù)提供一定程度的安全保護。 視圖機制可以實現(xiàn)列級安全性。 方法：定義視圖時隱藏特定字段，或者定義視圖中列的更新特權。 視圖機制可以實現(xiàn)行級安全性。 方法：利用一個帶選擇條件的視圖限制被授權用戶對某些行的訪問。,45,（1）建立視圖,例7.6：在學生關系表S上建立只有屬性列學號、姓名、專業(yè)，且班級僅為200401的視圖，并將查詢權限授予該班的教導員ZHANG_MING，然后以ZHANG_MING張鳴的身份進行操作。 S（S#，SNAME，SSEX，SBIRTHIN，PLACEOFB，SCODE，CLASS）,學 號 姓 名性別出生年月籍貫 專業(yè)代碼 班級200401

23、001 張 華男14-dec-82北京S0401200401 200401002 李建平男20-aug-82上海S0401200401 200401003 王麗麗女02-feb-83上海S0401200401 200402001 楊秋紅女09-may-83西安S0402200402 200402002 吳志偉男30-jun-82南京S0402200402 200402003 李 濤男25-jun-83西安S0402200402 200403001 趙曉艷女11-mar-82長沙S0403200403,46,（1）建立視圖,CREATE VIEW NEW_S AS SELECT S#，SNAME

24、，SCODE FROM S WHERE CLASS=200401 WITH CHECK OPTION； 建立的視圖為NEW_S(S#，SNAME，SCODE),47,（2）授權,GRANT SELECT ON NEW_S TO ZHANG_MING； 向ZHANG_MING授予對視圖NEW_S的查詢權。,48,（3）視圖操作,以ZHANG_MING的身份進行操作 SELECT * FROM NEW_S； 查詢結果為： 學 號 姓名 專業(yè) 200401001 張 華 S0401 200401002 李建平 S0401 200401003 王麗麗 S0401,49,（3）視圖操作,在上例中，200

25、401班的教導員只能查詢該班學生的情況，從而實現(xiàn)了對其它班的同學的記錄(行)的隱藏和保護。 而且約定只能查看學生的學號、姓名和專業(yè)，所以也實現(xiàn)了對原學生關系S中的某些屬性列，例如籍貫等，的隱藏和保護。,50,7.2.4 審計,任何系統(tǒng)的安全保護措施都不是完美無缺的，蓄意盜竊、破壞數(shù)據(jù)的人總是想方設法打破控制。 審計功能是把用戶對數(shù)據(jù)庫的所有操作自動記錄下來放入審計日志(Audit Log)，或跟蹤審查記錄(Audit Trail)。 DBA可以利用審計跟蹤的信息，重現(xiàn)導致數(shù)據(jù)庫現(xiàn)有狀況的一系列事件，找出非法存取數(shù)據(jù)的人、時間和內容等。,51,審計信息,記錄的審計跟蹤信息一般包括： （1）操作類型，例如修改、查詢等； （2）操作涉及的數(shù)據(jù)，例如表、視圖、記錄、屬性列等； （3）操作日期和時間； （4）操作終端標識與操作者標識等。,52,一般用戶的審計操作,跟蹤審計一般由DBA控制，有些也可以由