数据库安全性

1、第四章 数据库安全性 安全性概述 数据库安全性控制 统计数据库安全性1 共同社2012年9月14日消息：日本最高法院主页被黑客攻击。黑客在主页上用中、英、日三种语言标明“钓鱼岛是中国领土”！2宋明海，22岁，成都某大学职业教育学院电子商务专业03级学生。 因通过网络窃取学生的银行卡号和密码后盗窃价值人民币51619.12元，数额巨大，构成盗窃罪；一审判决：宋明海有期徒刑6年，并处罚金人民币6千元。 3我国有关网络犯罪的法律法规1994年我国颁布了第一部有关信息网络安全的行政法规中华人民共和国计算机信息系统安全保护条例2000年12月28日全国人大颁布了关于维护互联网安全的决定，该规定系统总结了

2、目前网络违法和犯罪的典型行为共6大类18项，是中国网络安全立法的标志性法律。 4 计算机系统的三类安全性问题 计算机安全涉及问题计算机系统本身的技术问题计算机安全理论与策略计算机安全技术管理问题(安全管理、安全评价、安全产品)法学（计算机安全法律）犯罪学（计算机犯罪与侦察、安全监察）心理学5 三类计算机系统安全性问题 技术安全类管理安全类政策法律类6 技术安全 指计算机系统中采用具有一定安全性的硬件、软件来实现对计算机系统及其所存数据的安全保护，当计算机系统受到无意或恶意的攻击时仍能保证系统正常运行，保证系统内的数据不增加、不丢失、不泄露。7 管理安全 软硬件意外故障、场地的意外事故、管理不善

3、导致的计算机设备和数据介质的物理破坏、丢失等安全问题8 政策法律类 政府部门建立的有关计算机犯罪、数据安全保密的法律道德准则和政策法规、法令9 可信计算机系统评测标准为降低进而消除对系统的安全攻击，各国引用或制定了一系列安全标准TCSEC (桔皮书)TDI (紫皮书)10TCSEC (桔皮书) 1985年美国国防部（DoD）正式颁布 DoD可信计算机系统评估标准（简 称TCSEC或DoD85）TCSEC又称桔皮书TCSEC标准的目的提供一种标准，使用户可以对其计算机系统内敏感信息安全操作的可信程度做评估。给计算机行业的制造商提供一种可循的指导规则，使其产品能够更好地满足敏感应用的安全需求。 1

4、1TDI (紫皮书) 1991年4月美国NCSC（国家计算机安全中心）颁布了可信计算机系统评估标准关于可信数据库系统的解释（ Trusted Database Interpretation 简称TDI）TDI又称紫皮书。它将TCSEC扩展到数据库管理系统。TDI中定义了数据库管理系统的设计与实现中需满足和用以进行安全性级别评估的标准。12TDI/TCSEC标准的基本内容 TDI与TCSEC一样，从四个方面来描述安全性级别划分的指标安全策略责任保证文档13 TCSEC/TDI安全级别划分 四组(division)七个等级 D C（C1，C2） B（B1，B2，B3） A（A1）14按系统可靠或可

5、信程度逐渐增高各安全级别之间具有一种偏序向下兼容的关系，即较高安全性级别提供的安全保护要包含较低级别的所有保护要求，同时提供更多或更完善的保护能力。15 数据库的一大特点是数据可以共享，但数据共享必然带来数据库的安全性问题，数据库系统中的数据共享不能是无条件的共享。 例：军事秘密、国家机密、新产品实验数据、市场需求分析、市场营销策略、销售计划、客户档案、医疗档案、银行储蓄数据 问题的提出16 数据库中数据的共享是在DBMS统一的严格的控制之下的共享，即只允许有合法使用权限的用户访问允许他存取的数据。 数据库系统的安全保护措施是否有效是数据库系统主要的性能指标之一。17什么是数据库的安全性 数据

6、库的安全性是指保护数据库，防止因用户非法使用数据库造成数据泄露、更改或破坏。 安全问题不是数据库系统所独有的，所有计算机系统都有这个问题。 数据库的安全性和计算机的安全性（包括计算机硬件、操作系统、网络系统等）是紧密联系、相互支持的。18 数据库安全性控制 非法使用数据库的情况用户编写一段合法的程序绕过DBMS及其授权机制，通过操作系统直接存取、修改或备份数据库中的数据；直接或编写应用程序执行非授权操作；19通过多次合法查询数据库从中推导出一些保密数据 例：某数据库应用系统禁止查询单个人的工资，但允许查任意一组人的平均工资。用户甲想了解张三的工资，于是他：首先查询包括张三在内的一组人的平均工资

7、；然后查用自己替换张三后这组人的平均工资；从而推导出张三的工资破坏安全性的行为可能是无意的，故意的，恶意的。20计算机系统中的安全模型 低 高安全性控制层次 方法： 应用DBMSOS DB用户标识和鉴定 存取控制审计视图 操作系统安全保护 密码存储P135 图4.221数据库安全性控制的常用方法 用户标识和鉴定存取控制视图审计密码存储221. 用户标识与鉴别系统提供的最外层安全保护措施功能原理 系统提供一定的方式让用户标识自己的名字或身份；系统内部记录着所有合法用户的标识；每次用户要求进入系统时，由系统核对用户提供的身份标识；通过鉴定后才提供机器使用权。用户标识和鉴定可以重复多次 23常用方法

8、:用户名/口令简单易行，容易被人窃取每个用户预先约定好一个计算过程或者函数，鉴别用户身份时，用户根据自己预先约定的计算过程或者函数进行计算，系统提供一个随机数，系统根据用户计算结果是否正确鉴定用户身份。242.存取控制 数据库安全最重要的一点就是确保只授权给有资格的用户访问数据库的权限，同时令所有未被授权的人员无法接近数据，这主要通过数据库系统的存取控制机制实现。25 存取控制机制的组成 定义存取权限在数据库系统中，为了保证用户只能访问他有权存取的数据，必须预先对每个用户定义存取权限。26 检查存取权限对于通过鉴定获得上机权的用户（即合法用户），系统根据他的存取权限定义对他的各种操作请求进行控

9、制，确保他只执行合法操作。 用户权限定义和合法权检查机制一起组成了DBMS的安全子系统27常用存取控制方法 自主存取控制（Discretionary Access Control ，简称DAC） 强制存取控制（Mandatory Access Control，简称 MAC）28自主存取控制（DAC） 同一用户对于不同的数据对象有不同的存取权限；不同的用户对同一对象也有不同的权限；用户还可将其拥有的存取权限转授给其他用户。29关系系统中的存取权限 定义方法 GRANT/REVOKE例:把查询student表的权限授给用户U1.Grant Select On Table Student To U1

10、例:把用户U4修改学生学号的权限收回.Revoke Update(Sno) On Table Student From U430检查存取权限 对于获得上机权后又进一步发出存取数据库操作的用户DBMS查找数据字典，根据其存取权限对操作的合法性进行检查若用户的操作请求超出了定义的权限，系统将拒绝执行此操作31强制存取控制（MAC） 强制存取控制(MAC)是指系统为保证更高程度的安全性，按照TDI/TCSEC标准中安全策略的要求，所采取的强制存取检查手段。MAC不是用户能直接感知或进行控制的。MAC适用于对数据有严格而固定密级分类的部门： 军事部门、 政府部门。 32主体与客体 在MAC中，DBMS

11、所管理的全部实体被分为主体和客体两大类。主体是系统中的活动实体，包括 DBMS所管理的实际用户、 代表用户的各进程。客体是系统中的被动实体，是受主体操纵的，包括： 文件、 基表、 索引、 视图。33敏感度标记对于主体和客体，DBMS为它们每个实例（值）指派一个敏感度标记（Label），主体的敏感度标记称为许可证级别（Clearance Level），客体的敏感度标记称为密级（Classification Level）。MAC机制就是通过对比主体的Label和客体的Label，最终确定主体是否能够存取客体34敏感度标记分成若干级别 绝密（Top Secret） 机密（Secret） 可信（Con

12、fidential） 公开（Public）35强制存取控制规则 当某一用户（或某一主体）以标记label注册入系统时，系统要求他对任何客体的存取必须遵循下面两条规则：（1）仅当主体的许可证级别大于或等于客体的密级时，该主体才能读取相应的客体；（2）仅当主体的许可证级别等于客体的密级时，该主体才能写相应的客体。36修正规则： 主体的许可证级别 得到的利益。56 数据库安全性实验57 王平托别人从国外新买了一款MP3,该MP3款式新颖，国内市场还没有上市。王平的好朋友张明见了非常喜欢，于是王平就将自己新买的MP3借给了张明。张明在使用这个MP3时被自己的好朋友赵玲看到，在赵玲的一再央求下，张明就把

13、该MP3又转借给了赵玲，但由于赵玲使用不当，该MP3被赵玲损坏。 案例158王平张明赵玲MP3MP3！？ 试分析出现该结果的原因在什么地方？我们应该采取什么方法杜绝该现象的发生？试用你学过的数据库安全性知识模拟该案例。 59 案例分析 原因： 方法： 模拟该案例：权限授予过程中MP3本身没有安全性标记。在MP3上贴上权限许可标识。 建立3个数据库用户（王平、张明、赵玲），其中王平是数据库的拥有者（即创建者）。60 授予权限Grant , On , To , With Grant Option 61 权限回收 Revoke , On , From , 62 相关知识 1.两种认证进程 Windo

14、ws认证进程 SQL Server认证进程63 两种认证模式 Windows认证模式 混合认证模式64 交换身份验证模式 右键单击要设置安全认证模式的服务器，在弹出的快捷菜单中选择“属性”。 选择“安全性”选项卡。652.登录账号 登录账号是基于服务器使用的用户名。为了访问SQL Server系统，用户必须提供正确的登录账号。这些登录账号既可以是Windows登录账号，也可以是SQL Server登录账号。66 登录账号的信息是系统级的信息，存储在master数据库的sysxlogins系统表中。 67 SQL Server有一个默认的登录账号sa。sa是系统管理员（System Admini

15、strator）的简称，是一个特殊的登录账号。该帐号在SQL Server系统中拥有全部的权限，即可移执行所有的操作。68 所有的Windows管理员Administrators也拥有SQL Server系统的全部权限，其对应的SQL Server系统中的登录账号分别是BuiltinAdministrators和Administrator。69 增加登录账号展开服务器，选择安全性/登录。 在右侧文件夹内容窗口中单击鼠标右键，在弹出的快捷菜单中选择“新建登录”命令。 在创建登录账号时，必须授权该帐号访问数据库的权限。70 拒绝登录账户 暂时禁止这个帐号的访问，过一段时间再恢复。 只能拒绝Wind

16、ows登录账号。71 对于永久拒绝访问的SQL Server用户，可以删除其登录账号。 在企业管理器窗口中，在要删除的账号上单击右键，选择“删除”命令。 删除登录账号723. 七种预定义的服务器角色 服务器角色是根据SQL Server的管理任务，以及这些任务相对的重要性等级来把具有SQL Server管理职能的用户划分成不同的用户组，每一组所具有的管理SQL Server的权限已被预定义。服务器角色适用于服务器范围内，并且其权限不能被修改。73 Sysadmin:可以在SQL Server 2000中做任何事情。 Serveradmin:管理SQL Server 2000服务器范围内的配置。

17、 Setupadmin:添加、删除连接服务器，建立数据库复制，管理扩展存储过程。74 Securityadmin:管理数据库登录。 Processadmin:管理SQL Server 2000进程。 Dbcreator:创建数据库，并对数据库进行修改。 Diskadmin:管理磁盘文件。754.数据库用户 数据库用户帐号是基于数据库使用的账号，与登录账号相对应。一个登录账号可以使用一个特定的或一个默认的数据库用户账号。 76 在SQL Server 系统的每一个数据库中，都有两个默认的用户账号：dbo和guest。Dbo用户表示是数据库的所有者，拥有在数据库中执行所有操作的权限。Guest用户

18、是一个特殊的用户帐号，它可以与任意的在该数据库中没有对应用户账号的登录账号对应。77 添加数据库用户 在企业管理器窗口中，展开要添加用户的数据库。 在“用户”上单击鼠标右键，选择“新建数据库用户”命令。78 删除数据库用户 在企业管理器中，选中“用户”图标则在右面的窗格中显示当前的所有用户，在右面的窗格中右击想要删除的数据库用户，则会弹出快捷菜单，然后选择“删除”命令，则会从当前数据库中删除该用户。 795.九种固定数据库角色 每个数据库都有一系列固定数据库角色。虽然每个数据库中都存在名称相同的角色，但各个角色的作用域只是在特定的数据库内。 80 db_owner 在数据库中有全部权限。 db_accessadmin 可以添加或删除用户 ID。 db_securityadmin 可以管理全部权限、对象所有权、角色和角色成员资格。 db_ddladmin 可以发出 ALL DDL，但不能发出 GRANT、REVOKE 或 DENY 语句。 81 视图 视图是从一个或多个表（或视图）导出