数据库安全性汇总课件.ppt

1、第九章第九章 数据数据库安全性库安全性 数据库系统概论数据库系统概论2内容、提纲内容、提纲nDBMS的数据保护功能包括：的数据保护功能包括：安全性保护和完安全性保护和完整性保护整性保护n本章介绍数据库安全性，下一章介绍数据库的本章介绍数据库安全性，下一章介绍数据库的完整性。完整性。n本章内容本章内容n9.1 计算机安全性概论计算机安全性概论n9.2 数据库安全性控制数据库安全性控制-主要介绍主要介绍n9.3 统计数据库安全性统计数据库安全性n9.4 Oracle数据库的安全性数据库的安全性3教学要求教学要求n掌握掌握n安全性的定义、安全性的级别、安全性措施安全性的定义、安全性的级别、安全性措施

2、n用户对数据库的数据访问权限用户对数据库的数据访问权限nSQL中的两种安全性机制中的两种安全性机制n授权、权限转授与回收的概念授权、权限转授与回收的概念n了解理解了解理解n利用视图和权限操作达到安全性的基本方法利用视图和权限操作达到安全性的基本方法nOracle数据库的安全性措施数据库的安全性措施49.1 计算机安全性概论计算机安全性概论n问题的提出问题的提出n数据库的一大特点是数据库的一大特点是数据可以共享数据可以共享，但数据共享，但数据共享必然带来数据库的安全性问题，数据库中的数据必然带来数据库的安全性问题，数据库中的数据共享不能是无条件的共享。共享不能是无条件的共享。n例如：军事秘密、国

3、家机密、新产品实验数据、例如：军事秘密、国家机密、新产品实验数据、市场需求分析、市场营销策略、销售计划、客户市场需求分析、市场营销策略、销售计划、客户档案、医疗档案、银行储蓄数据等。档案、医疗档案、银行储蓄数据等。n数据库系统中，数据的共享是指在数据库系统中，数据的共享是指在DBMSDBMS统一统一的严格的控制之下的共享，即的严格的控制之下的共享，即只允许有合法使只允许有合法使用权限的用户访问允许他存取的数据用权限的用户访问允许他存取的数据。5数据库安全性定义数据库安全性定义n数据库的安全性定义数据库的安全性定义 参见参见P283.n保护数据库以防止不合法的使用所造成的数保护数据库以防止不合法

4、的使用所造成的数据泄露、非法更改和破坏。据泄露、非法更改和破坏。n即保证是合法用户对数据库的合法访问。即保证是合法用户对数据库的合法访问。n数据库安全性数据库安全性的的基本措施是基本措施是存取控制。存取控制。n数据库系统的安全保护措施是否有效是数据库数据库系统的安全保护措施是否有效是数据库系统主要的性能指标之一。系统主要的性能指标之一。6计算机安全性计算机安全性n安全性问题不是安全性问题不是DBS所独有的，所有计算机系所独有的，所有计算机系统都有安全性问题。只是在统都有安全性问题。只是在DBS中，大量数据中，大量数据集中存放，而且为许多最终用户直接共享，从集中存放，而且为许多最终用户直接共享，

5、从而使安全性问题更为突出。而使安全性问题更为突出。n数据库的安全性和计算机系统的安全性，包括数据库的安全性和计算机系统的安全性，包括操作系统、网络系统的安全性是紧密联系并且操作系统、网络系统的安全性是紧密联系并且相互支持的。相互支持的。n安全性级别安全性级别 为了保护数据库为了保护数据库，防止被故意破防止被故意破坏坏,可以由低到高在可以由低到高在5 5个级别上设置各种安全措个级别上设置各种安全措施。施。7计算机安全性级别计算机安全性级别n 物理级物理级(环境级环境级):机房和设备，防止物理破坏。机房和设备，防止物理破坏。n 人际级人际级(职员级职员级):工作人员应清正廉洁，正确授予工作人员应清

6、正廉洁，正确授予用户访问用户访问DB的权限。的权限。n OS级级:防止未经授权的用户从防止未经授权的用户从OS处着手访问处着手访问DB，包括口令、并发控制、文件系统的安全等。包括口令、并发控制、文件系统的安全等。n 网络级网络级:用户通过网络远程进行访问，网络软件内用户通过网络远程进行访问，网络软件内部的安全性很重要。部的安全性很重要。n DBS级级:检查用户的身份是否合法以及使用数据库检查用户的身份是否合法以及使用数据库的权限是否正确的权限是否正确-本章介绍。本章介绍。89.1.1 计算机系统的三类安全性问题计算机系统的三类安全性问题n计算机系统安全性计算机系统安全性 参见参见P283.n是

7、指为计算机系统建立和采取的各种安全保是指为计算机系统建立和采取的各种安全保护措施，以保护计算机系统的硬件、软件及护措施，以保护计算机系统的硬件、软件及数据，防止其因偶然或恶意的原因使系统遭数据，防止其因偶然或恶意的原因使系统遭到破坏，数据遭到更改、泄露和破坏。到破坏，数据遭到更改、泄露和破坏。n计算机系统三类安全性问题计算机系统三类安全性问题n技术安全类、管理安全类、政策法律类技术安全类、管理安全类、政策法律类n参见参见P283.284.P283.284.99.1.2 可信计算机系统评测标准可信计算机系统评测标准n随着计算机资源共享和网络技术的应用日益广随着计算机资源共享和网络技术的应用日益广

8、泛和深入，特别是泛和深入，特别是Internet技术的发展，计技术的发展，计算机安全性问题越来越得到人们的重视。对各算机安全性问题越来越得到人们的重视。对各种计算机及其相关产品、信息系统的安全性的种计算机及其相关产品、信息系统的安全性的要求越来越高。要求越来越高。参见参见P284.n为此，在计算机安全技术方面逐步发展了一套为此，在计算机安全技术方面逐步发展了一套可信（可信（Trusted）计算机系统计算机系统的概念和标准。的概念和标准。n下面了解可信计算机系统的这些评测标准：下面了解可信计算机系统的这些评测标准：nTCSEC(桔皮书桔皮书)、TDI(紫皮书紫皮书)10可信计算机系统评测标准可信

9、计算机系统评测标准TCSEC 参见参见P284.285.n1985年美国国防部（年美国国防部（DoD）正式颁布正式颁布 DoD可信计算机系统评估标准（简称可信计算机系统评估标准（简称TCSEC或或DoD85），），TCSEC又称桔皮书。又称桔皮书。nTCSEC标准的目的标准的目的n1.提供一种标准，使提供一种标准，使用户用户可以对其计算机系可以对其计算机系统内敏感信息安全操作的统内敏感信息安全操作的可信程度可信程度做做评估评估。n2.给计算机行业的给计算机行业的制造商制造商提供一种可循的提供一种可循的指导规则指导规则，使其产品能够更好地满足敏感应，使其产品能够更好地满足敏感应用的安全需求。用的

10、安全需求。11可信计算机系统评测标准可信计算机系统评测标准TDI 参见参见P284.285.n1991年年4月美国月美国NCSC（国家计算机安全中心）国家计算机安全中心）颁布了可信计算机系统评估标准关于可信数颁布了可信计算机系统评估标准关于可信数据库系统的解释（据库系统的解释（Trusted Database Interpretation 简称简称TDI）。）。TDI又称紫皮又称紫皮书。书。nTDI将将TCSEC扩展到数据库管理系统扩展到数据库管理系统。nTDI中定义了数据库管理系统的设计与实现中定义了数据库管理系统的设计与实现中需满足和用以进行安全性级别评估的标准。中需满足和用以进行安全性级

11、别评估的标准。12TCSEC/TDI安全指标安全指标23项项 参见参见P284.285.P284.285.nTDI/TCSECTDI/TCSEC标准的基本内容标准的基本内容:n定义了定义了DBMSDBMS的设计与实现中需满足和用以的设计与实现中需满足和用以进行安全性级别评估的标准。进行安全性级别评估的标准。n从从4 4个个方面描述安全性级别划分的指标方面描述安全性级别划分的指标:nR1安全策略安全策略nR2责任责任nR3保证保证nR4文档文档n划分划分23项项具体的安全性指标具体的安全性指标13TCSEC/TDI安全级别划分安全级别划分n根据计算机系统对根据计算机系统对2323项指标的支持程度

12、，将项指标的支持程度，将系统划分为系统划分为4 4组组7 7个等级。个等级。参见参见P286.P286.表表9.19.1n不同安全级别对不同安全级别对23项安全指标的支持情况。项安全指标的支持情况。参见参见P287.P287.表表9.29.214TCSEC/TDI安全级别安全级别 参见参见P285.287.表表9.1 nA1级级:验证设计验证设计 参见参见P287.nB3级级:安全域安全域 参见参见P287.nB2级级:结构化保护结构化保护 参见参见P286.nB1级级:标记安全保护标记安全保护,对系统的数据加以标记对系统的数据加以标记,并并对标记的主体和客体实施对标记的主体和客体实施强制存取

13、控制强制存取控制(MAC)以以及及审计安全机制审计安全机制 参见参见P286.nC2级级:提供受控的存取保护提供受控的存取保护,安全产品的最低档次安全产品的最低档次 参见参见P286.15TCSEC/TDI安全级别安全级别(续续)nC1级级:只提供非常初级的自主安全保护只提供非常初级的自主安全保护,能够实现能够实现用户和数据的分离用户和数据的分离,进行进行自主存取控制自主存取控制(DAC)参见参见P286.nD级级:最小保护最小保护 参见参见P285.n后面将主要介绍：后面将主要介绍：n自主存取控制自主存取控制(DAC)n强制存取控制强制存取控制(MAC)n审计安全机制审计安全机制169.2

14、数据库安全性控制数据库安全性控制 计算机系统的安全模型计算机系统的安全模型 参见参见P288.图图9.1n四个层次提供安全保护：四个层次提供安全保护：应用应用DBMSOS DB 低低 高高安全性控制层次安全性控制层次 方法：方法：用户标识用户标识和鉴定和鉴定 存取控制存取控制审计审计视图视图 操作系统操作系统 安全保护安全保护 密码存储密码存储17计算机系统安全控制层次计算机系统安全控制层次n计算机系统安全控制是一级一级层层设置的计算机系统安全控制是一级一级层层设置的1.用户要求进入计算机系统和数据库系统用户要求进入计算机系统和数据库系统n进行用户标识，身份鉴别，合法允进进行用户标识，身份鉴别

15、，合法允进n保证是合法用户保证是合法用户2.DBMS：进行存取控制进行存取控制n保证进入系统的合法用户执行合法操作保证进入系统的合法用户执行合法操作3.操作系统：有自己的保护措施操作系统：有自己的保护措施4.数据库：数据可以以密码形式存储到数据库中数据库：数据可以以密码形式存储到数据库中n数据库安全性控制的常用方法数据库安全性控制的常用方法:n用户标识和鉴定用户标识和鉴定,存取控制存取控制,视图视图,审计审计,密码存储密码存储189.2.1 用户标识与鉴别用户标识与鉴别n1.用户标识与鉴别：是用户标识与鉴别：是DBS提供的提供的最外层安最外层安全保护措施，保证进入系统的是全保护措施，保证进入系

16、统的是DBS的合法用的合法用户户。控制方法是：。控制方法是：参见参见P288.n 系统提供一定的方式，让用户标识自己的名字系统提供一定的方式，让用户标识自己的名字或身份。系统内部记录着所有合法用户的标识。或身份。系统内部记录着所有合法用户的标识。每次用户要求进入系统时，由系统核对用户提供每次用户要求进入系统时，由系统核对用户提供的身份标识，通过鉴定才提供的身份标识，通过鉴定才提供机器使用权机器使用权。n 对于获得上机权的用户，若要使用对于获得上机权的用户，若要使用DB时，时，DBMS还要进行用户标识和鉴别。还要进行用户标识和鉴别。19用户标识与鉴别的方法用户标识与鉴别的方法n2.用户标识自己的

17、名字或身份的方法，很多用户标识自己的名字或身份的方法，很多种，多种方法可以并举，常用的方法：种，多种方法可以并举，常用的方法：n 用一个用一个用户名或者用户标识号来表明用户身份用户名或者用户标识号来表明用户身份。系统内部记录有所有合法用户的标识，系统鉴别系统内部记录有所有合法用户的标识，系统鉴别此用户是否合法用户，若是，则可以进入下一步此用户是否合法用户，若是，则可以进入下一步的核实；若不是，则不能使用系统。的核实；若不是，则不能使用系统。n 口令口令，为了进一步核实用户，系统常常要求用，为了进一步核实用户，系统常常要求用户输入口令。终端上输入的口令不显示，系统核户输入口令。终端上输入的口令不

18、显示，系统核对口令以鉴别用户身份。口令简单易行，容易被对口令以鉴别用户身份。口令简单易行，容易被人窃取。人窃取。20用户标识与鉴别的方法用户标识与鉴别的方法(续续)参见参见P289.n 复杂口令复杂口令。用户和系统预先约定好一个计算过。用户和系统预先约定好一个计算过程或函数，鉴别用户身份时，系统提供一个随机程或函数，鉴别用户身份时，系统提供一个随机数，用户计算输入，系统进行核对，进一步鉴定。数，用户计算输入，系统进行核对，进一步鉴定。n 指纹、声音、图像等。指纹、声音、图像等。n用户标识和鉴定可以重复多次。用户标识和鉴定可以重复多次。219.2.2 存取控制存取控制 参见参见P289.n数据库

19、安全性最重要的一点就是：确保只授权数据库安全性最重要的一点就是：确保只授权给有资格的用户访问数据库的权限，同时令所给有资格的用户访问数据库的权限，同时令所有未被授权的人员无法接近数据，有未被授权的人员无法接近数据，即要保证对即要保证对数据库是合法操作数据库是合法操作。-这主要通过这主要通过DBMSDBMS的的存存取控制取控制机制实现的机制实现的。n存取控制机制的组成，主要包括两部分：存取控制机制的组成，主要包括两部分：n1.定义用户（存取）权限定义用户（存取）权限n2.检查用户（存取）权限检查用户（存取）权限n用户权限定义和合法权检查机制一起组成了用户权限定义和合法权检查机制一起组成了DBMS

20、DBMS的安全控制子系统的功能的安全控制子系统的功能。22定义用户权限定义用户权限n1.定义用户权限定义用户权限，并将用户权限登记到数据，并将用户权限登记到数据字典中。字典中。n在数据库系统中，为了保证用户只能访问他有权在数据库系统中，为了保证用户只能访问他有权存取的数据，必须预先对每个用户定义存取权限。存取的数据，必须预先对每个用户定义存取权限。n用户权限：不同的用户对于不同的数据对象允许用户权限：不同的用户对于不同的数据对象允许执行的操作权限。执行的操作权限。n系统必须提供适当的语言，由系统必须提供适当的语言，由DBA定义用户权限定义用户权限（即授权）；这些定义经过编译后，存放在数据（即授

21、权）；这些定义经过编译后，存放在数据字典中，被称作字典中，被称作安全规则或授权规则安全规则或授权规则。23检查用户权限检查用户权限n2.合法权限检查合法权限检查：每当用户发出存取数据库：每当用户发出存取数据库的操作请求后，的操作请求后，DBMS查找数据字典，根据查找数据字典，根据安全规则进行合法权限的检查，若用户的操安全规则进行合法权限的检查，若用户的操作请求超出了定义的权限，系统将拒绝执行作请求超出了定义的权限，系统将拒绝执行此操作。此操作。参见参见P289.n对于通过鉴定获得上机权的用户（即合法用户），对于通过鉴定获得上机权的用户（即合法用户），系统根据他的存取权限定义对他的各种操作请求系

22、统根据他的存取权限定义对他的各种操作请求进行控制，确保他只执行合法操作。进行控制，确保他只执行合法操作。n用户操作请求一般包括：操作类型、操作对象和用户操作请求一般包括：操作类型、操作对象和操作用户等信息。操作用户等信息。24常用存取控制方法常用存取控制方法n9.2.3 自主存取控制自主存取控制，简称，简称DAC （Discretionary Access Control）nC2级提供，控制很灵活级提供，控制很灵活n9.2.4 强制存取控制强制存取控制，简称简称 MAC （Mandatory Access Control）n B1级提供，控制比较严格级提供，控制比较严格n当前，大型的当前，大型

23、的RDBMS一般都支持自主存取控一般都支持自主存取控制制DAC，有些有些RDBMS同时还支持强制存取控同时还支持强制存取控制制MAC。259.2.3 自主存取控制自主存取控制(DAC)方法方法 参见参见P289.290.n在在自主存取控制方法自主存取控制方法中：中：n 用户对于不同的数据对象有不同的存取用户对于不同的数据对象有不同的存取权限。权限。n 不同的用户对同一对象也有不同的权限。不同的用户对同一对象也有不同的权限。n 用户还可以将其拥有的存取权限转授给用户还可以将其拥有的存取权限转授给其他用户。其他用户。nDAC方法：控制非常灵活，自主的，自由的。方法：控制非常灵活，自主的，自由的。2

24、6SQL支持支持DACnSQL标准也支持标准也支持DAC-CH3.中介绍过中介绍过nSQL中有中有两个机制提供了安全性两个机制提供了安全性n授权授权子系统：允许有特定存取权的用户有选子系统：允许有特定存取权的用户有选择地、动态地把这些权限授予其他用户，用择地、动态地把这些权限授予其他用户，用GRANT和和REVOKE。n视图视图机制：可以用来对无权用户屏蔽数据。机制：可以用来对无权用户屏蔽数据。参见参见P290.n权限权限：指对数据库中数据对象的操作权。：指对数据库中数据对象的操作权。n授权授权:定义存取权限。定义存取权限。27存取权限的要素存取权限的要素n权限有权限有两个要素两个要素:n(1

25、)数据对象数据对象n模式级模式级(有模式、外模式、内模式有模式、外模式、内模式)n数据级数据级(有表、属性列有表、属性列)n(2)操作类型操作类型n模式级模式级(有建立、修改、索引、撤消有建立、修改、索引、撤消)n数据级数据级(有查找、插入、删除、修改有查找、插入、删除、修改)n参见参见P290.表表9.3，关系系统中的存取权限，关系系统中的存取权限n权限定义方法：权限定义方法：GRANT/REVOKE语句语句与数据名有关的授权与数据名有关的授权n数据名：数据库名、表名、字段名数据名：数据库名、表名、字段名n例：例：CH3.的的3.6节节 SQL语言的安全性控制功能语言的安全性控制功能n例：例

26、：参见参见P290.n例：例：P291.表表9.4 学生课程数据库中的用户权限定学生课程数据库中的用户权限定义表义表用户名用户名 数据对象名数据对象名 允许的操作类型允许的操作类型王王 平平 关系关系Student SELECT张明霞张明霞 关系关系Student UPDATE张明霞张明霞 关系关系Course ALL张明霞张明霞 SC.Grade UPDATE张明霞张明霞 SC.Sno SELECT张明霞张明霞 SC.Cno SELECT与数据值有关的授权与数据值有关的授权n涉及存取谓词涉及存取谓词,要求系统提供支持要求系统提供支持,授权语句中可以授权语句中可以使用使用存取条件（即谓词存取条

27、件（即谓词,与数据值有关）与数据值有关）；存取谓词；存取谓词可以很复杂，可以使用系统变量，可以授权与时间可以很复杂，可以使用系统变量，可以授权与时间地点有关的存取。地点有关的存取。n能否提供与数据值有关的授权反映了授权子系统的能否提供与数据值有关的授权反映了授权子系统的精巧程度。精巧程度。n例例:参见参见P291.292.n例例:P291.表表9.5 支持存取谓词的用户权限定义支持存取谓词的用户权限定义用户名用户名 数据对象名数据对象名 允许的操作类型允许的操作类型 存取谓词存取谓词(数据值数据值)王王 平平 关系关系Student SELECT Sdep=CS张明霞张明霞 关系关系Stude

28、nt UPDATE Sname=张明霞张明霞张明霞张明霞 关系关系Course ALL 无无30授权粒度授权粒度n授权粒度授权粒度:指用户权限定义中，数据对象的指用户权限定义中，数据对象的范围，有范围，有:n数据库级、数据库级、(关系关系)表级、表级、(元组，记录元组，记录)行行级、级、(属性，字段属性，字段)列级列级 参见参见P291.n其中其中记录级数据记录级数据要用存取谓词获得要用存取谓词获得n授权粒度是衡量授权机制是否灵活的一个重授权粒度是衡量授权机制是否灵活的一个重要指标要指标n授权粒度越细，授权子系统越灵活，系统授权粒度越细，授权子系统越灵活，系统定义与检查权限的开销也会相应增大定

29、义与检查权限的开销也会相应增大31DAC方法的优缺点方法的优缺点n优点：优点：n能够通过授权机制有效地控制其他用户对敏感数能够通过授权机制有效地控制其他用户对敏感数据的存取据的存取n灵活、自主、自由灵活、自主、自由n缺点：缺点：n太灵活、太自主、太自由太灵活、太自主、太自由n可能存在数据的无意泄露。例：可能存在数据的无意泄露。例：参见参见P292.n这种机制仅仅通过对数据的存取权限来进行这种机制仅仅通过对数据的存取权限来进行安全控制，而数据本身并无安全性标记。安全控制，而数据本身并无安全性标记。n解决解决：需要对系统控制下的所有主客体实施：需要对系统控制下的所有主客体实施强制存取控制强制存取控

30、制策略。策略。329.2.4 强制存取控制强制存取控制(MAC)方法方法n有些有些DBS的数据具有很高的保密性的数据具有很高的保密性,通常具有通常具有静态的分层结构静态的分层结构,强制存取控制对于存放这样强制存取控制对于存放这样数据的数据库非常适用。数据的数据库非常适用。参见参见P292.nMAC是指：系统为保证更高程度的安全性，是指：系统为保证更高程度的安全性，按照按照TDI/TCSEC标准中安全策略的要求，所标准中安全策略的要求，所采取的采取的强制存取检查手段强制存取检查手段。nMAC不是用户能直接感知或进行控制的不是用户能直接感知或进行控制的。nMAC适用于那些对数据有严格而固定密级分适

31、用于那些对数据有严格而固定密级分类的部门，例如军事部门或政府部门。类的部门，例如军事部门或政府部门。33主体、客体、敏感度标记主体、客体、敏感度标记n在在MAC中，中，DBMS所管理的全部实体被分为所管理的全部实体被分为主体和客体两大类。主体和客体两大类。参见参见P292.n主体主体：系统中的活动实体，包括：系统中的活动实体，包括DBMS所所管理的实际用户或代表用户的各进程。管理的实际用户或代表用户的各进程。n客体客体：系统中的被动实体，是受主体控制：系统中的被动实体，是受主体控制的，包括文件、基本表、索引、视图等。的，包括文件、基本表、索引、视图等。n对于主体和客体，对于主体和客体，DBMS

32、为它们的每个实例为它们的每个实例(值值)指派一个指派一个敏感度标记敏感度标记(label)。34密级、许可证级别密级、许可证级别n敏感度标记被分为若干级别敏感度标记被分为若干级别 参见参见P292.n例如，敏感度标记级别由高到低有：例如，敏感度标记级别由高到低有：n绝密绝密(Top Secret)n机密机密(Secret)n可信可信(Confidential)n公开公开(Public)n主体的敏感度标记称为许可证级别主体的敏感度标记称为许可证级别(Clearance Level)。n客体的敏感度标记称为密级客体的敏感度标记称为密级(Classification Level)。35MAC存取规则

33、存取规则(参见参见P293.)nMACMAC通过对比主体的通过对比主体的LabelLabel和客体的和客体的Label,Label,最最终确定主体是否能够存取客体。终确定主体是否能够存取客体。n当某一用户当某一用户(或某一主体或某一主体)以标记以标记LabelLabel注册进注册进入系统时入系统时,系统要求它系统要求它对任何客体的存取必须对任何客体的存取必须遵循如下规则遵循如下规则:n(1)(1)仅当主体的许可证级别仅当主体的许可证级别客体的密级时客体的密级时,该主体才能读取相应的客体。该主体才能读取相应的客体。n(2)(2)仅当主体的许可证级别仅当主体的许可证级别=客体的密级时客体的密级时,

34、该主体才能写相应的客体。该主体才能写相应的客体。36MAC存取规则存取规则(参见参见P293.)n注注:对第对第(2)(2)条规则条规则,有些系统规定为有些系统规定为:仅当主体的许可证级别仅当主体的许可证级别客体的密级时客体的密级时,该主该主体才能写相应的客体体才能写相应的客体;n即用户可以为写入的数据对象赋予高于自己即用户可以为写入的数据对象赋予高于自己的许可证级别的密级。这样的许可证级别的密级。这样,一旦数据被写入，一旦数据被写入，该用户自己也不能再读取该数据对象了。该用户自己也不能再读取该数据对象了。n规则规则(2)(2)的两种情况的共同点在于的两种情况的共同点在于,它们均它们均禁止禁止

35、了拥有高许可证级别的主体更新低密级的数了拥有高许可证级别的主体更新低密级的数据对象据对象,从而防止敏感数据的泄露。从而防止敏感数据的泄露。37MAC方法的特点方法的特点(参见参见P293.)nMAC是对数据本身进行密级标记是对数据本身进行密级标记。无论数据如何。无论数据如何复制，标记与数据是一个不可分的整体。只有符合复制，标记与数据是一个不可分的整体。只有符合密级标记要求的用户才可以操纵数据。从而提供了密级标记要求的用户才可以操纵数据。从而提供了更高级别的安全性。更高级别的安全性。n强制存取控制是一种独立于值的简单控制方法。它强制存取控制是一种独立于值的简单控制方法。它的优点是系统能执行的优点

36、是系统能执行“信息流控制信息流控制”。n在前面介绍的授权方法中，允许凡有权查看保密数在前面介绍的授权方法中，允许凡有权查看保密数据的用户就可以把这种数据拷贝到非保密的文件中，据的用户就可以把这种数据拷贝到非保密的文件中，造成无权用户也可以接触保密数据。而造成无权用户也可以接触保密数据。而MAC方法可方法可以避免这种非法的信息流动。以避免这种非法的信息流动。38MAC与与DACnDAC与与MAC共同构成共同构成DBMS的安全机制。的安全机制。n原因：较高安全性级别提供的安全保护要原因：较高安全性级别提供的安全保护要包含较低级别的所有保护。包含较低级别的所有保护。n参见参见P293.图图9.2 D

37、AC+MAC安全检查安全检查示示意图。意图。n系统先进行系统先进行DAC检查，通过检查，通过DAC检查的允检查的允许存取的数据对象再由系统自动进行许存取的数据对象再由系统自动进行MAC检查，只有通过检查，只有通过MAC检查的数据对象方可检查的数据对象方可存取。存取。399.2.5 视图机制视图机制n存取权限中的数据对象用视图进行限制。存取权限中的数据对象用视图进行限制。n进行存取权限控制时可以为不同的用户定义不进行存取权限控制时可以为不同的用户定义不同的视图，把数据对象限制在一定的范围内。同的视图，把数据对象限制在一定的范围内。n即，即，通过视图机制把要保密的数据对无权存取通过视图机制把要保密

38、的数据对无权存取的用户隐藏起来，从而自动地对数据提供一定的用户隐藏起来，从而自动地对数据提供一定程度的安全保护程度的安全保护。n视图机制更主要的功能在于提供数据独立性，视图机制更主要的功能在于提供数据独立性，其安全保护功能太不精细，往往远不能达到应其安全保护功能太不精细，往往远不能达到应用系统的要求。用系统的要求。40用视图进行安全控制用视图进行安全控制n视图机制与授权机制配合视图机制与授权机制配合使用使用:n首先用视图机制屏蔽掉一部分保密数据首先用视图机制屏蔽掉一部分保密数据n然后在视图上面再进一步定义存取权限然后在视图上面再进一步定义存取权限n视图机制可以视图机制可以间接实现支持存取谓词间

39、接实现支持存取谓词的用户的用户权限定义。权限定义。n例例:王平只能检索计算机系学生的信息王平只能检索计算机系学生的信息n视图的定义及授权语句视图的定义及授权语句 参见参见P293.294.41用视图进行安全控制：例用视图进行安全控制：例n例，例，P293.294.P293.294.视图的定义及授权视图的定义及授权语句语句n视图定义中的视图定义中的 SELECT SELECT语句语句,其其WHEREWHERE子句中的子句中的条件就是一个存取条件就是一个存取谓词。谓词。先建立计算机系学生的视图先建立计算机系学生的视图:CREATE VIEW CS_StudentAS SELECT *FROM St

40、udent WHERE Sdept=CS;在视图上进一步定义存取权限在视图上进一步定义存取权限:GRANT SELECT ON CS_Student TO 王平王平;429.2.6 审计审计n前面介绍的用户标识和鉴别、存取控制仅是前面介绍的用户标识和鉴别、存取控制仅是安全性标准的一个重要方面安全性标准的一个重要方面(安全策略安全策略方面方面)，不是全部不是全部(四个方面四个方面,参见参见P284.285.)。n为了使为了使DBMS达到一定的安全级别，还需要达到一定的安全级别，还需要在其他方面提供相应的支持。如在其他方面提供相应的支持。如“审计审计”功功能就是能就是DBMS达到达到C2级级以上安

41、全级别必不可以上安全级别必不可少的一项指标。少的一项指标。n审计是一种预防监测手段。审计是一种预防监测手段。43 审计功能审计功能n审计功能审计功能：参见参见P294.n能把用户对能把用户对DB的所有操作自动记录下来放的所有操作自动记录下来放入入审计日志审计日志(Audit Log)中。中。DBA可以利可以利用审计跟踪的信息，重现导致用审计跟踪的信息，重现导致DB现有状况现有状况的一系列事件，找出非法存取数据的人、的一系列事件，找出非法存取数据的人、时间和内容等。时间和内容等。n审计通常是很费时间和空间的，往往作为可审计通常是很费时间和空间的，往往作为可选特征。选特征。DBA可以根据应用对安全

42、性的要求，可以根据应用对安全性的要求，灵活地打开或关闭审计功能。灵活地打开或关闭审计功能。n审计功能主要用于安全性要求较高的部门。审计功能主要用于安全性要求较高的部门。449.2.7 数据加密数据加密n对于高敏感性数据，如口令、财务数据、军对于高敏感性数据，如口令、财务数据、军事数据、国家机密，除以上安全性措施外，事数据、国家机密，除以上安全性措施外，还可以采用数据加密技术。还可以采用数据加密技术。参见参见P294.n数据加密是防止数据加密是防止DB中数据存储和传输中失密中数据存储和传输中失密的有效手段。的有效手段。n加密的基本思想加密的基本思想：根据一定的算法将原始数：根据一定的算法将原始数

43、据据(称明文称明文)变换为不可直接识别的格式变换为不可直接识别的格式(称密称密文文),从而使不知道解密算法的人无法获知数从而使不知道解密算法的人无法获知数据的内容。据的内容。45数据加密算法（数据加密算法（参见参见P294.）n加密算法主要有两种加密算法主要有两种:替换法、置换法替换法、置换法n替换法替换法：使用密钥：使用密钥(Encryption Key)将明文将明文中的每一个字符转换为密文中的一个字符。中的每一个字符转换为密文中的一个字符。n置换法置换法：将明文的字符按不同的顺序重新排：将明文的字符按不同的顺序重新排列。列。n单独使用这两种方法的任意一种都是不够安单独使用这两种方法的任意一

44、种都是不够安全的，但是将这全的，但是将这两种方法结合两种方法结合起来就能提供起来就能提供相当高的安全程度。采用这种结合算法的例相当高的安全程度。采用这种结合算法的例子是美国子是美国1977年制定的官方加密标准：年制定的官方加密标准：数据数据加密标准加密标准(DES)。46数据加密数据加密n目前目前,有些有些DB产品提供了数据加密例行程序产品提供了数据加密例行程序，有些数据库产品本身未提供加密程序，但提有些数据库产品本身未提供加密程序，但提供了接口，可根据用户要求自动对存储和传供了接口，可根据用户要求自动对存储和传输的数据进行加密处理。输的数据进行加密处理。n数据加密解密比较费时，会占大量系统资

45、源。数据加密解密比较费时，会占大量系统资源。n数据加密功能通常作为可选特征供用户选择。数据加密功能通常作为可选特征供用户选择。n一般只对高机密度的数据加密。一般只对高机密度的数据加密。479.3 统计数据库的安全性统计数据库的安全性n统计数据库的特点统计数据库的特点 参见参见P295.n允许用户查询允许用户查询聚集聚集类型的信息（例如合计、类型的信息（例如合计、平均值等）平均值等）n不允许查询不允许查询单个单个记录信息记录信息例：允许查询例：允许查询“程序员的平均工资是多少？程序员的平均工资是多少？”不允许查询不允许查询“程序员张勇的工资？程序员张勇的工资？”48统计数据库特殊的安全问题统计数

46、据库特殊的安全问题n统计数据库统计数据库特殊的安全性问题特殊的安全性问题：参见参见P295.n即可能存在着隐蔽的信息通道，使可以从即可能存在着隐蔽的信息通道，使可以从合法的查询中推导出不合法的信息。合法的查询中推导出不合法的信息。n例例1，下面两个查询都是合法的：下面两个查询都是合法的：1.本公司共有多少女高级程序员？本公司共有多少女高级程序员？2.本公司女高级程序员的工资总额是多少？本公司女高级程序员的工资总额是多少？如果第一个查询的结果是如果第一个查询的结果是“1”，那么第二个查询，那么第二个查询的结果显然就是这个程序员的工资数。的结果显然就是这个程序员的工资数。n规则规则1：任何查询至少

47、要涉及任何查询至少要涉及N(N足够大足够大)个个以上的记录。以上的记录。49统计数据库特殊的安全问题统计数据库特殊的安全问题(续续1)n例例2：P295.用户用户A发出下面两个合法查询：发出下面两个合法查询：1用户用户A和其他和其他N个程序员的工资总额是多少？个程序员的工资总额是多少？2用户用户B和其他和其他N个程序员的工资总额是多少？个程序员的工资总额是多少？若第一个查询的结果是若第一个查询的结果是X，第二个查询的结果是第二个查询的结果是Y，由于用户由于用户A知道自己的工资是知道自己的工资是Z，那么他可以计算出那么他可以计算出用户用户B的工资的工资=Y-(X-Z)。n原因：原因：两个查询之间

48、有很多重复的数据项。两个查询之间有很多重复的数据项。n规则规则2：任意两个查询的相交数据项不能超过任意两个查询的相交数据项不能超过M个。个。50统计数据库特殊的安全问题统计数据库特殊的安全问题(续续2)参见参见P295.n可以证明：可以证明：n在上述两条规定下，如果想获知用户在上述两条规定下，如果想获知用户B的工的工资额，资额，A至少需要进行至少需要进行1+(N-2)/M次查询。次查询。n规则规则3：任一用户的查询次数不能超过任一用户的查询次数不能超过1+(N-2)/M。n但，如果两个用户合作查询就可以使这一但，如果两个用户合作查询就可以使这一规定失效。规定失效。51数据库系统安全性目标数据库

49、系统安全性目标n安全保护策略很多，任何安全保护措施都是安全保护策略很多，任何安全保护措施都是相对的，要付出一定代价的。相对的，要付出一定代价的。参见参见P296.n安全保护的原则安全保护的原则：根据具体的应用要求权衡：根据具体的应用要求权衡安全要求和成本代价后再选择合适的安全策安全要求和成本代价后再选择合适的安全策略。略。n数据库系统安全保护的目标数据库系统安全保护的目标：使得那些试图：使得那些试图破坏系统安全的人所花费的代价破坏系统安全的人所花费的代价他所能得他所能得到的利益。到的利益。n这也是整个这也是整个数据库系统安全机制设计数据库系统安全机制设计的目标。的目标。52SQL Server

50、的安全性控制的安全性控制 参见实验教材参见实验教材综合实验综合实验1“1“数据库的安全性控数据库的安全性控制制”P90.106.P90.106.nSQL ServerSQL Server安全模式安全模式n3 3种安全管理模式：标准、集成、混合种安全管理模式：标准、集成、混合n管理数据库用户管理数据库用户n管理数据库角色管理数据库角色n固定角色、自定义角色固定角色、自定义角色n权限管理权限管理n语句权限管理、对象权限管理语句权限管理、对象权限管理SQL Server的安全性的安全性nSQL Server的安全性的安全性机制可以划分为机制可以划分为4 4个等个等级级:n(1)客户机操作系统的客户机