数据库的安全性概述

第4章数据库的安全性主讲：杨莎Email:cyoung1026@163.com学习目标通过本章学习，要求掌握：计算机安全评估标准DAC与MAC授权与回收语句视图的保护机制审计功能数据加密的基本术语

问题的提出数据库的一大特点是数据可以共享但数据共享必然带来数据库的安全性问题数据库系统中的数据共享不能是无条件的共享例：军事秘密、国家机密、新产品实验数据、市场需求分析、市场营销策略、销售计划、客户档案、医疗档案、银行储蓄数据第4章数据库安全性数据库的安全性问题数据库安全性（续）什么是数据库的安全性数据库的安全性是指保护数据库，防止因用户非法使用数据库造成数据泄露、更改或破坏。什么是数据的保密数据保密是指用户合法地访问到机密数据后能否对这些数据保密。通过制订法律道德准则和政策法规来保证。目录计算机安全性概述1数据库安全性控制2视图机制3审计4数据加密54.1计算机安全性概论4.1.1计算机系统的三类安全性问题4.1.2可信计算机系统评测标准4.1.1计算机系统的三类安全性问题什么是计算机系统安全性为计算机系统建立和采取的各种安全保护措施，以保护计算机系统中的硬件、软件及数据，防止其因偶然或恶意的原因使系统遭到破坏，数据遭到更改或泄露等。计算机系统的三类安全性问题（续）三类计算机系统安全性问题技术安全类管理安全类政策法律类4.1计算机安全性概论4.1.1计算机系统的三类安全性问题4.1.2可信计算机系统评测标准4.1.2可可信信计算算机系系统评评测标标准为降低低进而而消除除对系系统的的安全全攻击击，各各国引引用或或制定定了一一系列列安全全标准准TCSEC(桔皮书书)CC标准准可信信计计算算机机系系统统评评测测标标准准（（续续））1985年美美国国国国防防部部（（DoD）正正式式颁颁布布《DoD可信信计计算算机机系系统统评评估估标标准准》（简简称称TCSEC或DoD85）TCSEC又称称桔皮皮书书TCSEC标准准的的目目的的提供供一一种种标标准准，，使使用用户户可可以以对对其其计计算算机机系系统统内内敏敏感感信信息息安安全全操操作作的的可可信信程程度度做做评评估估。。给计计算算机机行行业业的的制制造造商商提提供供一一种种可可循循的的指指导导规规则则，，使使其其产产品品能能够够更更好好地地满满足足敏敏感感应应用用的的安安全全需需求求。。可信信计计算算机机系系统统评评测测标标准准（（续续））TDI/TCSEC标准准的的基基本本内内容容TDI与TCSEC一样样，，从从四个个方方面面来描描述述安安全全性性级级别别划划分分的的指指标标安全全策策略略责任任保证证文档档TCSEC/TDI安全全级级别别划划分分可信信计计算算机机系系统统评评测测标标准准（（续续））安全级别

定义A1验证设计（VerifiedDesign）B3安全域（SecurityDomains）

B2结构化保护（StructuralProtection）

B1标记安全保护（LabeledSecurityProtection）

C2受控的存取保护（ControlledAccessProtection）

C1自主安全保护（DiscretionarySecurityProtection）

D最小保护（MinimalProtection）可信信计计算算机机系系统统评评测测标标准准（（续续））四组组(division)七个个等等级级DC（C1，C2）B（B1，B2，B3）A（A1）按系系统统可可靠靠或或可可信信程程度度逐渐渐增增高高各安安全全级级别别之之间间具具有有一一种种偏偏序序向下下兼兼容容的关关系系，，较高高安安全全性性级级别别提提供供的的安安全全保保护护要要包包含含较较低低级级别别的的所所有有保保护护要要求求，，同同时时提提供供更更多多或或更更完完善善的的保保护护能能力力。。可信信计计算算机机系系统统评评测测标标准准（（续续））D级：：最最小小保保护护级级将一一切切不不符符合合更更高高标标准准的的系系统统均均归归于于D组典型型例例子子：：DOS是安安全全标标准准为为D的操操作作系系统统DOS在安安全全性性方方面面几几乎乎没没有有什什么么专专门门的的机机制制来来保保障障可信信计计算算机机系系统统评评测测标标准准（（续续））C1级：：自自主主安安全全保保护护非常常初初级级的的自自主主安安全全保保护护能够够实实现现对对用用户户和和数数据据的的分分离离，，进进行行自自主主存存取取控控制制（（DAC），，保保护护或或限限制制用用户户权权限限的的传传播播。。可信信计计算算机机系系统统评评测测标标准准（（续续））C2级：：受受控控的的存存取取保保护护安全全产产品品的的最最低低档档次次提供供受受控控的的存存取取保保护护，，将将C1级的DAC进一步细细化，以以个人身身份注册册负责，，并实施施审计和和资源隔隔离达到C2级的产品品在其名名称中往往往不突突出“安安全”(Security)这一特色色可信计算算机系统统评测标标准（续续）典型例子子操作系统统Microsoft的WindowsNT3.5，数字设备备公司的的OpenVMSVAX6.0和6.1数据库Oracle公司的Oracle7Sybase公司的SQLServer11.0.6可信计算算机系统统评测标标准（续续）B1级：标记记安全保保护标记安全全保护。。“安全全”(Security)或“可信信的”(Trusted)产品。对系统的的数据加加以标记记，对标标记的主主体和客客体实施施强制存存取控制制（MAC）、审计计等安全全机制可信计算算机系统统评测标标准（续续）典型例子子操作系统统数字设备备公司的的SEVMSVAXVersion6.0惠普公司司的HP-UXBLSrelease4.0.9+数据库Oracle公司的TrustedOracle7Sybase公司的SecureSQLServerversion11.0.6Informix公司的IncorporatedINFORMIX-OnLine/Secure5.0可信计算算机系统统评测标标准（续续）B2级：结构构化保护护结构化保保护建立形式式化的安安全策略略模型并并对系统统内的所所有主体体和客体体实施DAC和MAC。经过认证证的B2级以上的的安全系系统非常常稀少可信计算算机系统统评测标标准（续续）典型例子子操作系统统只有TrustedInformationSystems公司的TrustedXENIX一种产品品标准的网网络产品品只有CryptekSecureCommunications公司的LLCVSLAN一种产品品数据库没有符合合B2标准的产产品可信计算算机系统统评测标标准（续续）B3级：安全全域级安全域。。该级的TCB必须满足足访问监监控器的的要求，，审计跟跟踪能力力更强，，并提供供系统恢恢复过程程。可信计算算机系统统评测标标准（续续）A1级：验证证设计验证设计计，即提提供B3级保护的的同时给给出系统统的形式式化设计计说明和和验证以以确信各各安全保保护真正正实现。。可信计算算机系统统评测标标准（续续）B2以上的系系统还处于理理论研究究阶段应用多限限于一些些特殊的的部门如如军队等美国正在在大力发发展安全全产品，，试图将将目前仅仅限于少少数领域域应用的的B2安全级别别下放到到商业应应用中来来，并逐逐步成为为新的商商业标准准。目录录计算机安全性概述1数据库安全性控制2视图机制3审计4数据加密54.2数数据据库安全全性控制制数据库访访问原理理主体访问控制实施功能访问控制决策功能客体提交访问请求提出访问请求请求决策决策数据库安安全性控控制（con.）非法使用用数据库库的情况况用户编写写一段合合法的程程序绕过过DBMS及其授权权机制，，通过操操作系统统直接存存取、修修改或备备份数据据库中的的数据；；直接或编编写应用用程序执执行非授授权操作作；数据库安安全性控控制（con.）通过多次次合法查查询数据据库从中中推导出出一些保保密数据据例：某数数据库应应用系统统禁止查查询单个个人的工工资，但但允许查查任意一一组人的的平均工工资。用用户甲想想了解张张三的工工资，于于是他：：首先查询询包括张张三在内内的一组组人的平平均工资资然后查用用自己替替换张三三后这组组人的平平均工资资从而推导导出张三三的工资资破坏安全全性的行行为可能能是无意意的，故故意的，，恶意的的。计算机系系统中的的安全模模型方法：

应用DBMSOS

DB

低

高安全性控制层次用户标识和鉴定

存取控制审计视图

操作系统安全保护

密码存储数据库安安全性控控制概述述（续））数据库安安全性控控制的常常用方法法用户标识识和鉴定定存取控制制视图审计密码存储储访问控制制4.2.1用用户标标识与鉴鉴别用户标识识与鉴别别（Identification&Authentication）系统提供供的最外外层安全全保护措措施4.2.1用用户标识识与鉴别别基本方法法用户标识识口令系统核对对口令以以鉴别用用户身份份用户名和和口令易易被窃取取每个用户户预先约约定好一一个计算算过程或或者函数数4.2.2存存取控控制存取控制制机制的的功能存取控制制机制的的组成定义存取取权限检查存取取权限用户权限限定义和和合法权权检查机机制一起起组成了了DBMS的安全子子系统存取控制制（续））定义存取取权限在数据库库系统中中，为了了保证用用户只能能访问他他有权存存取的数数据，必必须预先先对每个个用户定定义存取取权限。。检查存取取权限对于通过过鉴定获获得上机机权的用用户（即即合法用用户），，系统根根据他的的存取权权限定义义对他的的各种操操作请求求进行控控制，确确保他只只执行合合法操作作。存取控制制（续））常用存取取控制方方法自主存取取控制（DiscretionaryAccessControl，简称DAC）C2级灵活强制存取取控制（MandatoryAccessControl，简称MAC）B1级严格4.2.3自自主存存取控制制方法通过SQL的GRANT语句和REVOKE语句实现现用户权限限组成数据对象象操作类型型定义用户户存取权权限：定定义用户户可以在在哪些数数据库对对象上进进行哪些些类型的的操作定义存取取权限称称为授权自主存取取控制方方法（续续）关系系统统中的存存取权限限类型数据对象象 操作作类型模式式模模式式建建立、修修改、删删除、检检索外模式建建立立、修改改、删除除、检索索内模式建建立、、删除、、检索数据据表表查查找、、插入、、修改、、删除属性列查查找、、插入、、修改、、删除4.2.4授授权与回回收一、GRANTGRANT语句的一般般格式：GRANT<权限>[,<权限>]...[ON<对象类型><对象名>]TO<用户>[,<用户>]...[WITHGRANTOPTION];语义：：将对指定定操作对象象的指定操操作权限授授予指定的的用户GRANT（con.）发出GRANT：DBA数据库对对象创建者者（即属主主Owner）拥有该权权限的用户户接受权限的的用户一个或多多个具体用用户PUBLIC（全体用户户）WITHGRANTOPTION子句指定了WITHGRANTOPTION子句:获得某种权权限的用户户还可以把把这种权限限再授予别的用户。。没有指定WITHGRANTOPTION子句:获得某种权权限的用户户只能使用用该权限，，不能传播该权限例题例1把查询Student表权限授给给用户U1GRANTSELECTONTABLEStudentTOU1;例题（续））例2把对Student表和Course表的全部权权限授予用用户U2和U3GRANTALLPRIVILEGESONTABLEStudent,CourseTOU2,U3;例题（续））例3把对表SC的查询权限限授予所有有用户GRANTSELECTONTABLESCTOPUBLIC;例题（续））例4把查询Student表和修改学学生学号的的权限授给给用户U4GRANTUPDATE(Sno),SELECTONTABLEStudentTOU4;例题（续））例5把对表SC的INSERT权限授予U5用户，并允允许他再将将此权限授授予其他用用户GRANTINSERTONTABLESCTOU5WITHGRANTOPTION;传播权限执行例5后，U5不仅拥有了了对表SC的INSERT权限，还还可以传播播此权限：GRANTINSERTONTABLESCTOU6WITHGRANTOPTION;同样，U6还可以将此此权限授予予U7：GRANTINSERTONTABLESCTOU7;但U7不能再传播播此权限。。U5-->U6-->U7例题（续））例6DBA把在数据库库S_C中建立表的权限授予予用户U8GRANTCREATETABONDATABASES_CTOU8;授权与回收收（con.）二、REVOKE语句的一般般格式为：：REVOKE<权限>[,<权限>]...[ON<对象类型><对象名>]FROM<用户>[,<用户>]...;功能：从指指定用户那里收回对对指定对象的指定权限例题例7把用户U4修改学生学学号的权限限收回REVOKEUPDATE(Sno)ONTABLEStudentFROMU4;例题（续）例8收回所有用户户对表SC的查询权限REVOKESELECTONTABLESCFROMPUBLIC;例题（续）例9把用户U5对SC表的INSERT权限收回REVOKEINSERTONTABLESCFROMU5CASCADE;将用户U5的INSERT权限收回的时时候必须级联联（CASCADE）收回系统只收收回直接或间间接从U5处获得的权限限;4.2.5强强制存取取控制方法什么是强制存存取控制强制存取控制制(MAC)是指系统为保保证更高程度度的安全性，，按照TDI/TCSEC标准中安全策策略的要求，，所采取的强强制存取检查查手段。MAC不是用户能直直接感知或进进行控制的。。MAC适用于对数据据有严格而固固定密级分类类的部门军事部门政府部门强制存取控制制方法（续））主体与客体在MAC中，DBMS所管理的全部部实体被分为为主体和客体体两大类主体是系统中的活活动实体DBMS所管理的实际际用户代表用户的各各进程客体是系统中的被被动实体，是是受主体操纵纵的文件基表索引视图强制存取控制制方法（续））敏感度标记对于主体和客客体，DBMS为它们每个实实例（值）指指派一个敏感感度标记（Label）敏感度标记分分成若干级别别绝密（TopSecret）机密（Secret）可信（Confidential）公开（Public）强制存取控制制方法（续））主体的敏感度度标记称为许许可证级别（（ClearanceLevel）客体的敏感度度标记称为密密级（ClassificationLevel）MAC机制就是通过过对比主体的的Label和客体的Label，最终确定主主体是否能够够存取客体强制存取控制制规则依据主体和客客体的安全级级别，MAC中主体对客体体的访问有四四种方式：向下读（ReadDown，rd）主体安全级别别高于客体的的安全级别时时允许的读操操作向上读（ReadUp，ru）主体安全级别别低于客体的的安全级别时时允许的读操操作向下写（WriteDown，wd）主体安全级别别高于客体的的安全级别时时允许的写操操作向上写（WriteUp，wr）主体安全级别别低于客体的的安全级别时时允许的写操操作目录计算机安全性概述1数据库安全性控制2视图机制3审计4数据加密54.3视视图机制视图机制把要要保密的数据据对无权存取取这些数据的的用户隐藏起起来，视图机制更主主要的功能在在于提供数据独立立性，其安全保护护功能太不精精细，往往远远不能达到应应用系统的要要求。视图机制（续续）视图机制与授授权机制配合合使用首先用视图机机制屏蔽掉一一部分保密数数据视图上面再进进一步定义存存取权限间接实现了支支持存取谓词词的用户权限限定义视图机制（续续）例：王平只能能检索计算机机系学生的信信息先建立计算机机系学生的视视图CS_StudentCREATEVIEWCS_StudentASSELECTFROMStudentWHERESdept='CS'；视图机制（续续）在视图上进一一步定义存取取权限GRANTSELECTONCS_StudentTO王平；目录计算机安全性概述1数据库安全性控制2视图机制3审计4数据加密54.4审审计什么是审计启用一个专用用的审计日志志（AuditLog）将用户对数据据库的所有操操作记录在上上面DBA可以利用审计计日志中的追追踪信息找出非法存取取数据的人C2以上安全级别别的DBMS必须具有审计计功能审计（续）审计功能的可可选性审计很费时间间和空间DBA可以根据应用用对安全性的的要求，灵活活地打开或关关闭审计功能能。审计（续）强制性机制:用户识别和鉴鉴定、存取控控制、视图预防监测手段段:审计技术目录计算机安全性概述1数据库安全性控制2视图机制3审计4数据加密54.5数数据加密数据加密防止数据库中中数据在存储储和传输中失失密的有效手手段加密的基本思思想根据一定的算算法将原始数数据（术语为为明文，Plaintext）变换为不可可直接识别的的格式（术语语为密文，Ciphertext）不知道解密算算法的人无法法获知数据的的内容数据加密（续续）加密方法替换方法使用密钥（EncryptionKey）将明文中的的每一个字符符转换为密文文中的一个字字符置换方法将明文的字符符按不同的顺顺序重新排列列混合方法现代加密技术术对称加密：如如数据加密标标准（DataEncryptionStandard，简称DES）不对称加密：：如RSA9、静静夜夜四四无无邻邻，，荒荒居居旧旧业业贫贫。。。。12月月-2212月月-22Thursday,December29,202210、雨雨中中黄黄叶叶树树，，灯灯下下白白头头人人。。。。13:55:1813:55:1813:5512/29/20221:55:18PM11、以以我我独独沈沈久久，，愧愧君君相相见见频频。。。。12月月-2213:55:1813:55Dec-2229-Dec-2212、故人人江海海别，，几度度隔山山川。。。13:55:1813:55:1813:55Thursday,December29,202213、乍见翻疑疑梦，相悲悲各问年。。。12月-2212月-2213:55:1813:55:18December29,202214、他乡生生白发，，旧国见见青山。。。29十十二月20221:55:18下午午13:55:1812月-2215、比不了得就就不比，得不不到的就不要要。。。十二月221:55下下午12月-2213:55December29,202216、行行动动出出成成果果，，工工作作出出财财富富。。。。2022/12/2913:55:1813:55:1829December202217、做做前前，，能能够够环环视视四四周周；；做做时时，，你你只只能能或或者者最最好好沿沿着着以以脚脚为为起起点点的的射射线线向向前前。。。。1:55:18下下午午1:55下下午午13:55:1812月月-229、没有失败，，只有暂时停停止成功！。。12月-2212月-22Thursday,December29,202210、很多事情努努力了未必有有结果，但是是不努力却什什么改变也没没有。。13:55:1813:55:1813:5512/29/20221:55:18PM11、成功功就是是日复复一日日那一一点点点小小小努力力的积积累。。。12月月-2213:55:1913:55Dec-2229-Dec-2212、世间成成事，不不求其绝绝对圆满满，留一一份不足足，可得得无限完完美。。。13:55:1913:55:1913:55Thursday,December29,202213、不知香积寺寺，数里入云云峰。。12