数据库的安全性课件.ppt

1、2022-12-13数据库的安全性数据库的安全性数据库的安全性数据库的安全性 数据库的安全性：指保护数据库以防止不合法的使用造成数据泄露、更改或破坏。数据库的安全性和计算机系统的安全性，包括操作系统、网络系统的安全性是紧密联系、相互支持的。数据库的安全性 指为计算机系统建立和采取的各种安全保护措施，以保护计算机系统中的硬件、软件及数据，防止其因偶然或恶意的原因使系统遭到破坏，数据遭到更改或泄露等。数据库的安全性n计算机系统的安全性分为：（1）技术安全类 （2）管理安全类 （3）政策法律类 数据库的安全性制定标准的目的：(1)提供一种标准，使用户可以对其计算机系统内敏感信息安全操作的可信程度进行

2、评估。(2)给计算机行业的制造商提供一种可循的指导规则，使其产品能够更好地满足敏感应用的安全需求。数据库的安全性信息安全发展的历史：信息安全发展的历史：P132 图图4.1数据库的安全性1991年4月美国国家计算机安全中心发布了可信计算机系统评估标准关于可信数据库系统的解释简称TDI，将TCSEC(美国国防部美国国防部Trusted Computer Systems Evaluation Criteria)扩展到数据库管理系统。TDI中定义了数据库管理系统的设计与实现中需满足和用以进行安全级别评估的标准。数据库的安全性TDI从四个方面描述安全性级别划分的指标：从四个方面描述安全性级别划分的指标

3、：（1）安全策略）安全策略 （2）责任）责任 （3）保证）保证 （4）文档）文档 每个方面又细分为若干项。每个方面又细分为若干项。数据库的安全性n安全等级的划分根据计算机系统对上述各项指标的支持情况，根据计算机系统对上述各项指标的支持情况，TDl将系统划分为四组七个等级：将系统划分为四组七个等级：D C(Cl，C2)B(B1，B2，B3)A(A1)，按系统可靠或可信程度逐渐增高，按系统可靠或可信程度逐渐增高，P132 数据库的安全性nITSECnInformation Technology Security Evaluation Criterian英法德荷四国制定英法德荷四国制定n是欧洲多国安

4、全评价方法的综合产物，应用领域为军队、政府和商是欧洲多国安全评价方法的综合产物，应用领域为军队、政府和商业。该标准将安全概念分为功能与评估两部分。功能准则从业。该标准将安全概念分为功能与评估两部分。功能准则从F1F10共分共分10级。级。15级对应于级对应于TCSEC的的D到到A。F6至至F10级分别对级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及机密性和完整性。通信的保密性以及机密性和完整性。n与与TCSEC不同不同,它并不把保密措施直接与计算机功能相联系它并不把保密措施直接与计算机功能相联系,而是

5、只而是只叙述技术安全的要求叙述技术安全的要求,把保密作为安全增强功能。另外把保密作为安全增强功能。另外,TCSEC把保把保密作为安全的重点密作为安全的重点,而而ITSEC则把完整性、可用性与保密性作为同等则把完整性、可用性与保密性作为同等重要重要的因素。的因素。ITSEC定义了从定义了从E0级级(不满足品质不满足品质)到到E6级级(形式化验形式化验证证)的的7个安全等级个安全等级,对于每个系统对于每个系统,安全功能可分别定义。安全功能可分别定义。数据库的安全性n美英法德荷加六国制定的共同标准美英法德荷加六国制定的共同标准n包含的类包含的类nFAU 安全审计安全审计nFCO 通信通信nFCS密码

6、支持密码支持nFDP 用户数据保护用户数据保护nFIA标识与鉴别标识与鉴别nFMT 安全管理安全管理nFPR 隐私隐私nFPTTSF保护保护(固件保护，固件保护，TOE Security Functions,TOE Security Policy，(Target Of Evaluation)nFRU 资源利用资源利用nFTATOE访问访问nFTP可信信道可信信道/路径路径数据库的安全性nCC分为三个部分：分为三个部分：n第第1部分部分简介和一般模型简介和一般模型，正文介绍了，正文介绍了CC中的有关术中的有关术语、基本概念和一般模型以及与评估有关的一些框架，语、基本概念和一般模型以及与评估有关的

7、一些框架，附录部分主要介绍保护轮廓（附录部分主要介绍保护轮廓（PP）和安全目标（）和安全目标（ST）的基本内容。的基本内容。n第第2部分部分安全功能要求安全功能要求，按，按类类-子类子类-组件组件的方式提的方式提出安全功能要求，每一个类除正文以外，还有对应的提出安全功能要求，每一个类除正文以外，还有对应的提示性附录作进一步解释。示性附录作进一步解释。n第第3部分部分“安全保证要求安全保证要求”，定义了评估保证级别，介，定义了评估保证级别，介绍了绍了PP和和ST的评估，并按的评估，并按“类类-子类子类-组件组件”的方式提的方式提出安全保证要求出安全保证要求数据库的安全性nCC的三个部分相互依存，

8、缺一不可。的三个部分相互依存，缺一不可。n第第1部分是介绍部分是介绍CC的基本概念和基本原理的基本概念和基本原理n第第2部分提出了技术要求部分提出了技术要求n第第3部分提出了非技术要求和对开发过程、工程过程的要求。部分提出了非技术要求和对开发过程、工程过程的要求。n这三部分的有机结合具体体现在这三部分的有机结合具体体现在PP和和ST 中，中，PP和和ST的概念的概念和原理由第和原理由第1部分介绍，部分介绍，PP和和ST中的安全功能要求和安全保中的安全功能要求和安全保证要求在第证要求在第2、3部分选取，这些安全要求的完备性和一致性部分选取，这些安全要求的完备性和一致性，由第，由第2、3两部分来保

9、证。两部分来保证。nCC 作为评估信息技术产品和系统安全性的世界性通用准则，作为评估信息技术产品和系统安全性的世界性通用准则，是信息技术安全性评估结果国际互认的基础。是信息技术安全性评估结果国际互认的基础。数据库的安全性CCTCSECITSEC-DE0EAL1-EAL2C1E1EAL3C2E2EAL4B1E3EAL5B2E4EAL6B3E5EAL7A1E6数据库的安全性在一般计算机系统中，安全措施是一级一级层在一般计算机系统中，安全措施是一级一级层层设置的。层设置的。P1356.2.1 用户标识与鉴别用户标识与鉴别用户标识和鉴别是系统提供的最外层安全保护用户标识和鉴别是系统提供的最外层安全保护

10、措施。措施。其方法是由系统提供一定的方式让用户其方法是由系统提供一定的方式让用户标识自己的名字或身份，每次用户要求进入标识自己的名字或身份，每次用户要求进入系统时，由系统进行核对，通过鉴定后才提系统时，由系统进行核对，通过鉴定后才提供机器使用权。供机器使用权。数据库的安全性（1）用户名+口令（2）更复杂的方法 例：每个用户都预先约定好一个函数，鉴别用户身份时，系统提供一个随机数，用户根据自己预先约定的函数进行计算，系统根据计算结果是否正确进一步鉴定用户身份。数据库的安全性 数据库安全最重要的一点：确保只授权给有资格的用户访问数据库，主要通过数据库系统的存取控制机制实现。存取控制机制主要包括两部

11、分：1定义用户权限，系统必须提供适当的语言定义用户权限，这些定义经过编译后存放在数据字典中，被称为安全规则或授权规则。用户权限：指不同的用户对于不同的数据对象允许执行的操作权限。2合法权限检查，用户发出存取数据库的操作请求后，合法权限检查，用户发出存取数据库的操作请求后，DBMS查找数据字典，根据安全规则进行合法权限检查，若查找数据字典，根据安全规则进行合法权限检查，若用户的操作请求超出了定义的权限，系统拒绝执行此操作。用户的操作请求超出了定义的权限，系统拒绝执行此操作。用户权限定义和合法权检查机制一起组成了用户权限定义和合法权检查机制一起组成了DBMS的安的安全子系统。全子系统。数据库的安全

12、性 自主存取控制方法：自主存取控制方法：（Discretionary Access ControlDiscretionary Access Control）（1 1）用户对于不同的数据对象有不同的存取权限；）用户对于不同的数据对象有不同的存取权限；（2 2）不同的用户对同一对象也有不同的权限，而且）不同的用户对同一对象也有不同的权限，而且用户还可将其拥有的存取权限转授给其他用户。用户还可将其拥有的存取权限转授给其他用户。大型数据库管理系统几乎都支持自主存取控制，大型数据库管理系统几乎都支持自主存取控制，目前的目前的SQLSQL标准也对自主存取控制提供支持。标准也对自主存取控制提供支持。通过通过

13、SQLSQL的的GRANTGRANT语句和语句和REVOKEREVOKE语句实现。语句实现。P137 P137 表表4.3 RDB4.3 RDB中的存取权限中的存取权限 数据库的安全性1.数据库用户的操作权限数据库用户的操作权限在在SQL Server中，可授予数据库用户的权限分为三中，可授予数据库用户的权限分为三个层次：个层次：（1）在当前数据库中创建数据库对象及进行数据）在当前数据库中创建数据库对象及进行数据库备份的权限库备份的权限主要有：主要有：创建表、视图、存储过程、规则、缺省值对象、函创建表、视图、存储过程、规则、缺省值对象、函数的权限及备份数据库、日志文件的权限。数的权限及备份数据

14、库、日志文件的权限。数据库的安全性（2）用户对数据库表的操作权限及执行存储过程的权限）用户对数据库表的操作权限及执行存储过程的权限主要有：主要有：SELECT：对表或视图执行：对表或视图执行 SELECT 语句的权限；语句的权限；INSERT：对表或视图执行：对表或视图执行 INSERT 语句的权限；语句的权限；UPDATE：对表或视图执行：对表或视图执行 UPDATE 语句的权限；语句的权限；DELETE：对表或视图只：对表或视图只 DELETE 语句的权限；语句的权限；REFERENCES：用户对表的主键和唯一索引字段生成外码：用户对表的主键和唯一索引字段生成外码引用的权限；引用的权限；E

15、XECUTE：执行存储过程的权限：执行存储过程的权限。数据库的安全性(3)用户对数据库中指定表字段的操作权限用户对数据库中指定表字段的操作权限 主要有：主要有：SELECT：对表字段进行查询操作的权限；：对表字段进行查询操作的权限；UPDATE、DELETE、INSERT：对表字：对表字段进行更新操作的权限段进行更新操作的权限数据库的安全性 2.书上的语法形式及例子：书上的语法形式及例子：P137 GRANT 权限权限,ON TO 用户或数据库角色用户或数据库角色,WITH GRANT OPTION注意：注意：必须以合适的身份登录，才能执行以必须以合适的身份登录，才能执行以上语句。上语句。数据

16、库的安全性收回权限 P139书上的语句形式：书上的语句形式：REVOKE 权限权限,ON FROM 用户用户角色角色1,，用户，用户角色角色 n数据库的安全性1.SQL Server的身份认证模式的身份认证模式身份认证模式身份认证模式 指系统确认用户的方式。指系统确认用户的方式。有两种方式：有两种方式：（1）Windows NT认证模式认证模式 必须将必须将NT网络帐号加入网络帐号加入SQL Server中，才能中，才能采用此方式。采用此方式。（2）SQL Server认证模式认证模式 在在SQL Server认证模式下，认证模式下，SQL Server服务服务器要对登录的用户进行身份认证。器

17、要对登录的用户进行身份认证。数据库的安全性2.SQL Server的安全管理的安全管理 用户如何才能使用数据库？用户如何才能使用数据库？SQL Server系统登录帐号系统登录帐号 某个数据库用户或用户组（数据库角色）某个数据库用户或用户组（数据库角色）中的成员中的成员 具有对数据库中数据进行操作的权限。具有对数据库中数据进行操作的权限。数据库的安全性例：例：（1）创建登录帐号）创建登录帐号/利用系统存储过程利用系统存储过程sp_addlogin创建登录创建登录帐号，帐号，ID：wang，密码：，密码：dongdong，缺省数据库缺省数据库student。exec sp_addlogin wa

18、ng,dongdong,studentGo界面方式创建登录？界面方式创建登录？数据库的安全性数据库的安全性注意注意sp_addlogin与与sp_grantlogin的区别。的区别。sp_grantlogin用于建立用于建立SQL Server与与windows帐号的信任关系。帐号的信任关系。exp：Exec sp_grantlogin Nanjingchengfang建立与建立与windows帐号的信任关系。帐号的信任关系。windows帐号格式：帐号格式：“域域用户名用户名”数据库的安全性（2）创建数据库用户）创建数据库用户/为登录帐号为登录帐号 wang创建数据库用户，其名为创建数据库用

19、户，其名为wan。use studentexec sp_grantdbaccess wang,wan(3)给数据库用户赋予操作权限给数据库用户赋予操作权限/给给wan用户授予对表用户授予对表student 的的select权限。权限。use student grant select on student to wan数据库的安全性数据库的安全性数据库的安全性问题：问题：如果要创建数据库用户，并对该用户赋如果要创建数据库用户，并对该用户赋予权限，必须以何种身份登录予权限，必须以何种身份登录？数据库的安全性3.服务器角色与数据库角色服务器角色与数据库角色 角色是被赋予一定权限的组。一个用户如角色是

20、被赋予一定权限的组。一个用户如果为某角色的成员，则该用户具有该角色的所果为某角色的成员，则该用户具有该角色的所有权限。有权限。SQL Server给用户提供两类预定义的角色：给用户提供两类预定义的角色：（1）服务器角色）服务器角色-固定服务器角色）固定服务器角色）（2）数据库角色）数据库角色-固定数据库角色）固定数据库角色）一个角色可有一个或若干个成员，同一角色一个角色可有一个或若干个成员，同一角色的成员有相同的权限。的成员有相同的权限。数据库的安全性 固定服务器角色和固定数据库角色固定服务器角色和固定数据库角色都是都是SQL Server内置的，不能进行添加、内置的，不能进行添加、修改和删除

21、。修改和删除。用户也可根据需要，创建自己的数据用户也可根据需要，创建自己的数据库角色，以便对具有同样操作权限的用库角色，以便对具有同样操作权限的用户进行统一管理。户进行统一管理。数据库的安全性4.固定服务器角色：固定服务器角色：sysadmin：系统管理员，可对：系统管理员，可对SQL Server服务器进行所有服务器进行所有的管理工作，为最高管理角色。的管理工作，为最高管理角色。securityadmin：安全管理员，可以管理登录和：安全管理员，可以管理登录和 CREATE DATABASE 权限，还可以读取错误日志和更改密码。权限，还可以读取错误日志和更改密码。serveradmin：服务

22、器管理员，具有对服务器进行设置及关：服务器管理员，具有对服务器进行设置及关闭服务器的权限。闭服务器的权限。setupadmin：设置管理员，添加和删除链接服务器，并执：设置管理员，添加和删除链接服务器，并执行某些系统存储过程（如行某些系统存储过程（如 sp_serveroption）。）。processadmin：进程管理员，可以管理磁盘文件。：进程管理员，可以管理磁盘文件。数据库的安全性dbcreator：数据库创建者，可以创建、更：数据库创建者，可以创建、更改和删除数据库。改和删除数据库。bulkadmin：可执行：可执行BULK INSERT语句，语句，但是这些成员对要插入数据的表必须有

23、但是这些成员对要插入数据的表必须有INSERT权限。权限。BULK INSERT语句的功能是以用户指定语句的功能是以用户指定的格式复制一个数据文件至数据库表或的格式复制一个数据文件至数据库表或视图。视图。数据库的安全性数据库的安全性给服务器角色添加成员给服务器角色添加成员 use stexec sp_addsrvrolemember wang,sysadmin/wang为登录帐号为登录帐号数据库的安全性5.固定数据库角色固定数据库角色 db_owner：数据库所有者，可执行数据库的所数据库所有者，可执行数据库的所有管理操作。有管理操作。SQL Server 数据库中的每个对象都有所有者，通常数

24、据库中的每个对象都有所有者，通常创建该对象的用户即为其所有者。其他用户只有创建该对象的用户即为其所有者。其他用户只有在相应所有者对其授权后，方可访问该对象。在相应所有者对其授权后，方可访问该对象。用户发出的所有用户发出的所有SQL语句均受限于该用户具有的权语句均受限于该用户具有的权限。例如，限。例如，CREATE DATABASE仅限于仅限于 sysadmin 和和 dbcreator 固定服务器角色的成员使用。固定服务器角色的成员使用。数据库的安全性sysadmin 固定服务器角色的成员、固定服务器角色的成员、固定数据库角固定数据库角色的成员以及数据库对象的所有者色的成员以及数据库对象的所有

25、者db_owner都可都可授予、或收回某个用户或某个角色的权限。授予、或收回某个用户或某个角色的权限。db_accessadmin：数据库访问权限管理者，具有添数据库访问权限管理者，具有添加、删除数据库使用者、数据库角色和组的权限。加、删除数据库使用者、数据库角色和组的权限。db_securityadmin：数据库安全管理员，可管理数数据库安全管理员，可管理数据库中的权限，如设置数据库表的增、删、改和据库中的权限，如设置数据库表的增、删、改和查询等存取权限。查询等存取权限。数据库的安全性db_ddladmin：数据库数据库DDL管理员，可增加、管理员，可增加、修改或删除数据库中的对象。修改或删

26、除数据库中的对象。db_backupoperator：数据库备份操作员，数据库备份操作员，具有执行数据库备份的权限。具有执行数据库备份的权限。db_datareader：数据库数据读取者。数据库数据读取者。db_datawriter：数据库数据写入者，具有对数据库数据写入者，具有对表进行增、删、改的权限。表进行增、删、改的权限。数据库的安全性db_denydatareader：数据库拒绝数据读取者，不：数据库拒绝数据读取者，不能读取数据库中任何表的内容能读取数据库中任何表的内容db_denydatawriter：数据库拒绝数据写入者，不能数据库拒绝数据写入者，不能对任何表进行增、删、改操作。对

27、任何表进行增、删、改操作。public：是一个特殊的数据库角色，每个数据库是一个特殊的数据库角色，每个数据库用户都是用户都是public 角色的成员。角色的成员。不能将用户、组或角色指派为不能将用户、组或角色指派为public角色的角色的成员，也不能删除成员，也不能删除public角色的成员。角色的成员。通常将一些公共的权限赋给通常将一些公共的权限赋给public角色。角色。数据库的安全性数据库的安全性6.用户自定义数据库角色用户自定义数据库角色 P142 /*创建数据库角色创建数据库角色ROLE1*/USE stEXEC sp_addrole ROLE1 使一数据库用户成为某个数据库角色的成

28、员使一数据库用户成为某个数据库角色的成员 USE stEXEC sp_addrolemember ROLE1,wan1数据库的安全性SQL Server:给数据库用户或数据库角色赋予执行给数据库用户或数据库角色赋予执行DDL语句语句的权限。的权限。语法格式：语法格式：GRANT ALL|statement ,.n TO security_account ,.n/security_account 为角色名或用户名。为角色名或用户名。数据库的安全性statement可为：可为：CREATE DATABASE、CREATE TABLE、CREATE VIEW、CREATE FUNCTION、CREA

29、TE PROCEDURE、CREATE RULE、CREATE DEFAULT、BACKUP DATABASE、BACKUP LOG 数据库的安全性例：例：use st grant create table to wan1数据库的安全性SQL Server授予对数据库对象操作的权限授予对数据库对象操作的权限：P137GRANT ALL PRIVILEGES|permission ,.n (column ,.n )ON table|view|ON table|view (column ,.n )TO security_account ,.n WITH GRANT OPTION permissio

30、n:select,insert,update,delete数据库的安全性use studentgrant select(sno,sname)on student to wangrant create table to wanWITH GRANT OPTION：指获得某一权限的用户可将：指获得某一权限的用户可将此权限转授给其它的用户，否则不能传播。此权限转授给其它的用户，否则不能传播。问题：问题：对数据库对数据库student的用户的用户wan赋予对赋予对student表的插表的插入、删除、更新权限，并允许入、删除、更新权限，并允许wan将该权限转授给其将该权限转授给其他用户。他用户。数据库的安

31、全性例：例：use studentgrant select,insert,update,deleteon studentto wan1with grant option例：例：USE studentGOGRANT SELECT ON student(sno,sname)TO public数据库的安全性利用利用REVOKE命令可取消以前给用户授予命令可取消以前给用户授予的执行的执行DDL语句的权限。语句的权限。语法格式：语法格式：REVOKE ALL|statement ,.n FROM security_account ,.n 功能：功能：取消以前授予的执行语句权限。取消以前授予的执行语句权限

32、。security_account为用户名或角色名。为用户名或角色名。数据库的安全性REVOKE ALL PRIVILEGES|permission ,.n (column ,.n )ON table|view|ON table|view (column ,.n )TO|FROM security_account ,.n CASCADE 数据库的安全性例：例：use student revoke select on student from wan1 use student revoke all on student from wan1 cascade P140数据库的安全性 由于用户对数据的

33、存取权限是由于用户对数据的存取权限是“自主自主”的，的，用户可以自由地决定将数据的存取权限授予何人，用户可以自由地决定将数据的存取权限授予何人，而系统对此无法控制，在这种授权机制下，可能而系统对此无法控制，在这种授权机制下，可能存在数据的存在数据的“无意泄露无意泄露”。造成这一问题的根本原因：造成这一问题的根本原因：这种授权机制仅仅对数据的存取权限进行安这种授权机制仅仅对数据的存取权限进行安全控制，而数据本身并无安全性标记。全控制，而数据本身并无安全性标记。要解决这一问题，就需要对系统控制下的要解决这一问题，就需要对系统控制下的所有主客体实施强制存取控制策略。所有主客体实施强制存取控制策略。数

34、据库的安全性（Mandatory Access ControlMandatory Access Control）P143 在强制存取控制方法中，每一个数据对在强制存取控制方法中，每一个数据对象被标以一定的密级，每一个用户也被授象被标以一定的密级，每一个用户也被授予某一个级别的许可证，对于任一对象，予某一个级别的许可证，对于任一对象，只有具有合法许可证的用户才可存取。只有具有合法许可证的用户才可存取。MAC适用于那些对数据有严格而固定适用于那些对数据有严格而固定密级分类的部门密级分类的部门。数据库的安全性在在MAC中，中，DBMS所管理的全部实体分为主体和客所管理的全部实体分为主体和客体两大类。

35、体两大类。主体：主体：系统中的活动实体，既包括系统中的活动实体，既包括DBMS所管所管理的实际用户，也包括代表用户的各进程。理的实际用户，也包括代表用户的各进程。客体客体：系统中的被动实体，是受主体操纵的，：系统中的被动实体，是受主体操纵的，包括文件、基表、索引、视图等。包括文件、基表、索引、视图等。对于主体和客体，对于主体和客体，DBMS为它们每个实例为它们每个实例(值值)指派指派一个敏感度标记一个敏感度标记(Label)。数据库的安全性敏感度标记被分成若干级别，敏感度标记被分成若干级别，例如：例如：绝密绝密(Top Secret)、机密机密(Secret)、可信可信(Confidentia

36、l)、公开公开(Public)等。等。主体的敏感度标记称为许可证级别主体的敏感度标记称为许可证级别，客体的敏感度标记称为密级客体的敏感度标记称为密级 MAC机制通过对比主体的机制通过对比主体的Label和客体和客体的的Label，最终确定主体是否能够存取客体。，最终确定主体是否能够存取客体。数据库的安全性主体对客体的存取规则 P144 (1)仅当主体的许可证级别大于或等仅当主体的许可证级别大于或等于客体的密级时，该主体才能存取相应于客体的密级时，该主体才能存取相应的客体；的客体；(2)仅当主体的许可证级别等于仅当主体的许可证级别等于(或或小于小于)客体的密级时，该主体才能写相应客体的密级时，该主体才能写相应的客体。的客体。2022-12-13数据库的安全性