新编17数据库安全性课件

1、第四章 数据库安全性主要内容安全性问题简介数据库安全性控制的常用方法SQL Server安全机制小结2数据库原理及应用-SQL DML问题的提出数据库的一大特点是数据可以共享数据库系统中的数据共享不能是无条件的共享，是在DBMS统一的严格的控制之下的共享，即只允许有合法使用权限的用户访问允许他存取的数据。数据库系统的安全保护措施是否有效是数据库系统主要的性能指标之一。3数据库原理及应用-SQL DML数据库安全性简介数据库的安全性是指保护数据库，防止因用户非法使用数据库造成数据泄露、更改或破坏数据库的安全性与计算机系统的安全性紧密联系、互相支持计算机系统的三类安全性问题可信计算机系统评测标准4

2、数据库原理及应用-SQL DML计算机系统的安全性问题计算机系统安全性是指为计算机系统建立和采取的各种安全保护措施，以保护计算机系统中的硬件、软件及数据，防止其因偶然或恶意的原因使系统遭到破坏，数据遭到更改或泄露等。三类计算机系统安全性问题：技术安全类管理安全类政策法律类5数据库原理及应用-SQL DML技术安全技术安全计算机系统中采用具有一定安全性的硬件、软件来实现对计算机系统及其所存数据的安全保护。管理安全管理不善导致的计算机设备和数据介质的物理破坏、丢失等安全问题政策法律政府部门建立的有关计算机犯罪、数据安全保密的法律道德准则和政策法规、法令6数据库原理及应用-SQL DML可信计算机系

3、统评测标准为降低进而消除对系统的安全攻击，各国引用或制定了一系列安全标准：TCSEC (桔皮书)TDI (紫皮书)7数据库原理及应用-SQL DMLTCSEC1985年美国国防部（DoD）正式颁布 DoD可信计算机系统评估标准（简称TCSEC或DoD85）TCSEC标准的目的提供一种标准，使用户可以对其计算机系统内敏感信息安全操作的可信程度做评估。给计算机行业的制造商提供一种可循的指导规则，使其产品能够更好地满足敏感应用的安全需求。8数据库原理及应用-SQL DMLTDI1991年4月美国NCSC（国家计算机安全中心）颁布了可信计算机系统评估标准关于可信数据库系统的解释（ Trusted Da

4、tabase Interpretation 简称TDI）它将TCSEC扩展到数据库管理系统TDI中定义了数据库管理系统的设计与实现中需满足和用以进行安全性级别评估的标准。9数据库原理及应用-SQL DMLTCSEC/TDI的安全级别TCSEC(TDI)将系统划分为四组(division)七个等级：DC（C1，C2）B（B1，B2，B3）A（A1）按系统可靠或可信程度逐渐增高10数据库原理及应用-SQL DMLTCSEC/TDI的安全级别安 全 级 别 定 义A1 验证设计（Verified Design）B3安全域（Security Domains）B2结构化保护（Structural Pro

5、tection）B1标记安全保护（Labeled Security Protection）C2受控的存取保护（Controlled Access Protection）C1自主安全保护D最小保护（Minimal Protection）表1 TCSEC/TDI安全级别划分返回11数据库原理及应用-SQL DML数据库系统中的安全模型 应用 DBMSOS DB 低 高安全性控制层次用户标识和鉴别 存取控制审计视图 操作系统安全保护 密码存储图1 数据库系统中的安全模型12数据库原理及应用-SQL DML数据库安全性控制的常用方法用户标识与鉴别存取控制视图审计数据加密返回13数据库原理及应用-SQL

6、 DML用户标识与鉴别系统提供的最外层安全保护措施，方法：系统提供一定的方式让用户标识自己的名字或身份系统内部记录着所有合法用户的标识；每次用户要求进入系统时，由系统核对用户提供的身份标识；通过鉴定后才提供系统使用权；用户标识和鉴定可以重复多次。系统通常采用用户标识与口令相结合的方法判别用户身份的真伪返回14数据库原理及应用-SQL DML存取控制DBMS的存取控制机制，确保只授权给有资格的用户访问数据库的权限，包括两部分：定义存取权限DBMS提供适当的语言来定义用户权限。并将用户权限登记到数据字典中以备查找合法权限检查DBMS收到用户存取数据库的操作请求后，查找数据字典中该用户的权限定义，看

7、其是否超过了定义的权限，若超过则拒绝操作15数据库原理及应用-SQL DML常用存取控制方法自主存取控制（Discretionary Access Control ，简称DAC）C1级/灵活强制存取控制（Mandatory Access Control，简称 MAC）B1级/严格16数据库原理及应用-SQL DML自主存取控制方法定义同一用户对于不同的数据对象有不同的存取权限；不同的用户对同一对象也有不同的权限；用户还可将拥有的存取权限转授给其他用户用户的存取权限有两个要素数据库对象操作类型(权限)17数据库原理及应用-SQL DML自主存取控制方法在数据库系统中定义存取权限称为授权定义哪些用

8、户可以在哪些数据库对象上进行哪些类型的操作标准SQL使用GRANT语句和REVOKE语句来实现对用户的授权和撤销授权操作18数据库原理及应用-SQL DML授权与回收关系系统中，存取控制的数据库对象及权限模式、基本表、视图、和索引的定义create及alter table基本表和视图的数据select、insert、update、delete、references、all privileges属性列的数据select、insert、update、references、all privileges 19数据库原理及应用-SQL DML授权与回收GRANT语句的一般格式： GRANT ,. ON

9、TO ,. WITH GRANT OPTION;语义：将对指定对象的指定操作权限授予指定的用户。接受权限的用户:一个或多个具体用户PUBLIC（全体用户）Sqlserver中不指定20数据库原理及应用-SQL DML授权与回收WITH GRANT OPTION子句获得某种权限的用户还可以把这种权限再授予别的用户，但不允许循环授权。若没有指定则：获得某种权限的用户只能使用该权限，不能传播该权限U1U2U3U421数据库原理及应用-SQL DML授权与回收执行GRANT语句的特殊用户DBA系统的超级用户，拥有对所有数据库对象的存取权限，还可以把这些权限授予一般用户创建（模式、基本表、视图、索引）的

10、权限， DBA-一般用户dbo(基本表或视图的属主)拥有对该表或视图的一切操作权限。GRANT示例22数据库原理及应用-SQL DML授权与回收（Sqlserver语法）例1 把对Student和Course表的查询权限和修改学生学号的权限授予用户U2和U3 GRANT SELECT,UPDATE(sno) ON Student TO U2, U3; GRANT SELECT ON course TO u2,u3;Sqlserver中一个grant语句只能操作一个数据对象授权23数据库原理及应用-SQL DML授权与回收例2 把对表SC的查询权限授予所有用户。 GRANT SELECT ON

11、SC TO PUBLIC;24数据库原理及应用-SQL DML授权与回收例3 把对表SC的INSERT权限授予U5用户，并允许它再将此权限授予其他用户。 GRANT INSERT ON SC TO U5 WITH GRANT OPTION;执行此SQL语句后，U5不仅拥有对表SC的INSERT权限，还可以传播此权限。25数据库原理及应用-SQL DML授权与回收GRANT INSERTON SCTO U6WITH GRANT OPTION; 同样，U6还可以将此权限授予U7。GRANT INSERTON SCTO U7; 但U7不能再传播此权限26数据库原理及应用-SQL DML授权与回收回收

12、权限语句格式： REVOKE ,. ON FROM ,.CASCADE|RESTRICT;功能：从指定用户那里收回对指定对象的指定权限27数据库原理及应用-SQL DML授权与回收例4 把用户U2修改学生学号的权限收回。REVOKE UPDATE(Sno) ON Student FROM U2;28数据库原理及应用-SQL DML授权与回收例5 把用户U5对SC表的INSERT权限收回 REVOKE INSERT ON SC FROM U5 CASCADE;权限的级连回收系统将收回直接或间接从U5处获得的对SC 表的INSERT权限:-U5- U6- U729数据库原理及应用-SQL DML数

13、据库角色数据库角色是被命名的一组与数据库操作相关的权限，角色是权限的集合。SQL中角色的创建CREATE ROLE 给角色授权 GRANT ，ON TO ，30数据库原理及应用-SQL DML数据库角色将一个角色授予其他的角色或用户GRANT ，TO ，WITH ADMIN OPTION若指定WITH ADMIN OPTION，则获得某种权限的角色或用户还可以把这种权限再授予其他的角色。Sqlserver语法sp_addrolemember role,role or user;sp_droprolemember role,role or user;31数据库原理及应用-SQL DML数据库角色

14、角色权限的收回REVOKE ，ON FROM ，32数据库原理及应用-SQL DML数据库角色例11 通过角色来实现将一组权限授予一个用户1、创建角色 create role R12、使用GRANT语句，角色R1拥有Student表的select、uupdate、insert权限 GRANT select,update,insertON StudentTO R133数据库原理及应用-SQL DML数据库角色3、将这个角色授予用户u1。使u1具有角色R1所包含的全部权限 sp_addrolemember R1,u14、可以一次性的通过R1收回u1的3个权限 sp_droprolemember R

15、1 ,u1角色的使用可以使自主授权的执行更加灵活、方便34数据库原理及应用-SQL DML自主存取控制方法总结优点：能够通过授权机制有效地控制其他用户对敏感数据的存取。缺点：可能存在数据的“无意泄露”。原因：这种机制仅仅通过对数据的存取权限来进行安全控制，而数据本身并无安全性标记。解决：对系统控制下的所有主客体实施强制存取控制策略。返回35数据库原理及应用-SQL DML强制存取控制方法强制存取控制(MAC)是指系统为保证更高程度的安全性，按照TDI/TCSEC标准中安全策略的要求，所采取的强制存取检查手段。MAC适用于对数据有严格而固定密级分类的部门军事部门政府部门36数据库原理及应用-SQ

16、L DML强制存取控制方法定义每一个数据对象被标以一定的密级；每一个用户也被授予某一个级别的许可证；对于任意一个对象，只有具有合法许可证的用户才可以存取。在MAC中，DBMS所管理的全部实体被分为主体和客体两大类主体是系统中的活动实体DBMS所管理的实际用户/代表用户的各进程客体是受主体操纵的（文件、基表、索引、视图）37数据库原理及应用-SQL DML强制存取控制方法对于主体和客体，DBMS为它们每个实例（值）指派一个敏感度标记（Label），标记有若干级别：绝密/机密/可信/公开主体的敏感度标记称为许可证级别客体的敏感度标记称为密级MAC机制就是通过对比主体和客体的敏感度标记，最终确定主体

17、是否能够存取客体38数据库原理及应用-SQL DML强制存取控制方法强制存取控制规则：当某一用户（或某一主体）以标记labell注册进入系统时，系统要求他对任何客体的存取必须遵循下面两条规则：仅当主体的许可证级别大于或等于客体的密级时，该主体才能读取相应的客体；仅当主体的许可证级别等于客体的密级时，该主体才能写相应的客体。特点：禁止了拥有高许可证级别的主体更新低密级的数据对象39数据库原理及应用-SQL DML强制存取控制方法MAC是对数据本身进行密级标记无论数据如何复制，标记与数据是一个不可分的整体只有符合密级标记要求的用户才可以操纵数据，从而提供了更高级别的安全性40数据库原理及应用-SQ

18、L DMLMAC与DACMAC安全级别高于DAC，因此实现MAC时首先应实现DAC，DAC与MAC共同构成DBMS的安全机制继 续 SQL语法分析 & 语义检查 DAC 检 查 MAC 检 查 安全检查 图2 DAC + MAC安全检查示意图返回41数据库原理及应用-SQL DML视图机制视图机制把要保密的数据对无权存取这些数据的用户隐藏起来。视图机制更主要的功能在于提供数据独立性，其安全保护功能不太精细，往往远不能达到应用系统的要求视图机制与授权机制配合使用首先用视图机制屏蔽掉一部分保密数据视图上面再进一步定义存取权限间接实现了支持”存取谓词”的用户权限定义42数据库原理及应用-SQL DM

19、L视图机制例：王平只能检索计算机系学生的信息STEP1：先建立计算机系学生的视图 CS_Student CREATE VIEW CS_StudentAS SELECT * FROM StudentWHERE Sdept=CS；43数据库原理及应用-SQL DML视图机制STEP2：在视图上进一步定义存取权限 GRANT SELECT ON CS_Student TO 王平 ；返回44数据库原理及应用-SQL DML数据加密数据加密（ Data Encryption ）是防止数据库中数据在存储和传输中失密的有效手段。加密的基本思想：根据一定的算法将原始数据变换为不可直接识别的格式,不知道解密算法

20、的人无法获知数据的内容。数据加密功能通常也作为可选特征，允许用户自由选择返回45数据库原理及应用-SQL DML数据加密替换方法使用密钥（Encryption Key）将明文中的每一个字符转换为密文中的一个字符。置换方法将明文的字符按不同的顺序重新排列混合方法美国1977年制定的官方加密标准：数据加密标准（Data Encryption Standard，简称DES）。46数据库原理及应用-SQL DMLDBMS中的数据加密数据加密功能通常也作为可选特征，允许用户自由选择：数据加密与解密是比较费时的操作；数据加密与解密程序会占用大量系统资源；应该只对高度机密的数据加密。返回47数据库原理及应用

21、-SQL DML审计（Audit）对于某些高度敏感的保密数据，必须以审计功能作为预防手段。审计功能是一种监视措施，跟踪记录有关数据的访问活动。使用审计功能会大大增加系统的开销，所以DBMS通常将其作为可选特征，提供相应的操作语句可灵活地打开或关闭审计功能返回48数据库原理及应用-SQL DML审计（Audit）审计追踪把用户对数据库的所有操作自动记录下来，存放在一个特殊文件上中，即审计日志（Audit Log）中。49数据库原理及应用-SQL DML审计（Audit）记录的内容一般包括：操作类型，如修改、查询等；操作终端标识与操作者标识；操作日期和时间；操作所涉及到的相关数据(如基本表、视图、

22、记录、属性等)等。利用这些信息，可以重现导致数据库现有状况的一系列事件，以进一步找出非法存取数据的人、时间和内容等。返回50数据库原理及应用-SQL DML审计（Audit）例如，可使用如下SQL语句打开对表S的审计功能，对表S的每次成功的查询、增加、删除、修改操作都作审计追踪： AUDIT SELECT,INSERT,DELETE,UPDATE,ON S WHENEVER SUCCESSFUL要关闭对表S的审计功能可以使用如下语句：NO AUDIT ALL ON S返回51数据库原理及应用-SQL DMLSQL Server的安全机制自主存取控制(DAC)初步的审计属于C2级52数据库原理及

23、应用-SQL DMLSQL Server的安全机制用户权限语句权限对象权限角色审计返回53数据库原理及应用-SQL DML用户两类用户：Server(DBMS)和数据库54数据库原理及应用-SQL DML服务器用户成为服务器用户 Create login login_name withPASSWORD = password 执行该命令必须有一定的权限（sysadmin或 securityadmin的成员）55数据库原理及应用-SQL DML服务器用户其它相关的命令drop loginalter loginsp_helplogins56数据库原理及应用-SQL DML数据库用户成为数据库用户Cr

24、eate user 要成为数据库的用户必须首先是Server的用户（登录）必须是sysadmin的成员或dbo或db_owner角色的成员才可以执行57数据库原理及应用-SQL DML数据库用户相关命令sp_helpuserdrop useralter user返回58数据库原理及应用-SQL DML语句权限创建数据库或数据库中的项（如表或存储过程）的权限BACKUP DATABASEBACKUP LOGCREATE DATABASECREATE DEFAULTCREATE FUNCTIONCREATE PROCEDURECREATE RULECREATE TABLECREATE VIEW59

25、数据库原理及应用-SQL DML语句权限谁可以执行语句权限的授权?sysadmindb_ownerdb_backupoperatordbcreator返回60数据库原理及应用-SQL DML对象权限表 select, update, insert,delete视图 select, update, insert,delete存储过程 execute函数 execute列 select, update返回61数据库原理及应用-SQL DML角色为了方便权限管理，提出了角色的概念可以赋予角色一组权限角色有若干成员，所有的成员都具有角色的所有权限SQL Server设定了一组固定的角色，把一些系统特权预先赋予给角色，大大方便了Server和数据库的管理62数据库原理及应用-SQL DML固定服务器角色固定服务器角色描述sysadmin执行任何活动dbcreator可以创建、更改数据库serveradmin可以更改服务器范围的配置选项和关闭服务器securityadmin管理和审核登录帐户processadmin可以终止 SQL Server 实例中运行的进程setupadmin配置复制和链接服务器diskadmin用于管理磁盘文件bulkadmin可以运行 BULK INSERT 语句63数据库原理及应用-SQL DM