第三章 数据库概述

数据库概述数据库安全概述数据库，分为两个部分来理解：一部分是数据库，指按一定的方式组织和存放数据另一部分是数据库管理系统（DatabaseManagementSystem,简称DBMS），为用户及应用程序提供数据访问界面，并具有对数据库进行管理、维护等多种功能数据库安全的两个层次数据库系统运行的安全，采取一系列措施保障DBMS的正常运行，如机房、硬件、操作系统等数据库系统的信息安全，保障数据库存放的信息的私有性，如认证、审计、访问控制等第一个层次的安全含义，主要侧重在保障数据的完整性或者数据安全的环境因素方面；第二个层次的安全，则更多和数据的私有性相关，侧重于怎样保证只有合法的，或经授权的用户才能访问到数据。数据库基本安全机制数据库系统安全在技术上可以依赖于两种方式：DBMS安全：本身提供的用户认证、基于角色访问控制、数据访问授权以及审计等管理措施应用程序安全：实现对数据库访问进行控制和管理DBMS通用的安全机制用户认证用户角色数据库授权数据库视图审计用户名＋口令证书数据库基本安全机制数据库系统安全在技术上可以依赖于两种方式：DBMS安全：本身提供的用户认证、基于角色访问控制、数据访问授权以及审计等管理措施应用程序安全：实现对数据库访问进行控制和管理DBMS通用的安全机制用户认证用户角色数据库授权数据库视图审计数据库登录权限类只能查阅部分数据库信息，不能改动数据库中的任何数据资源管理权限类创建数据库表、索引，在权限允许的范围内修改、查询数据库等数据库管理员权限类

具有数据库管理的全部权限不同的DBMS，可能对用户角色的定义不尽相同，权限划分的细致程度也远超过上面三种基本的类型

数据库基本安全机制数据库系统安全在技术上可以依赖于两种方式：DBMS安全：本身提供的用户认证、基于角色访问控制、数据访问授权以及审计等管理措施应用程序安全：实现对数据库访问进行控制和管理DBMS通用的安全机制用户认证用户角色数据库授权数据库视图审计基于角色的访问控制对数据对象的访问控制数据库级别、表级、行级、属性级访问控制的两个基本原则隔离原则：用户只能存取他所有的和已经取得授权的数据对象控制原则：用户只能按他所取得的数据存取方式存取数据，不能越权

存取权限Read,Update,Alter,Insert,Delete,Drop

数据库基本安全机制数据库系统安全在技术上可以依赖于两种方式：DBMS安全：本身提供的用户认证、基于角色访问控制、数据访问授权以及审计等管理措施应用程序安全：实现对数据库访问进行控制和管理DBMS通用的安全机制用户认证用户角色数据库授权数据库视图审计视图可以被看成是虚拟表或存储查询。通过定义不同的视图及有选择地授予视图上的权限，可以将用户、组或角色限制在不同的数据子集内将访问限制在基表中行的子集内将访问限制在基表中列的子集内将访问限制在基表中列和行的子集内将访问限制在符合多个基表联接的行内将访问限制在基表中数据的统计汇总内将访问限制在另一个视图的子集内或视图和基表组合的子集内数据库基本安全机制数据库系统安全在技术上可以依赖于两种方式：DBMS安全：本身提供的用户认证、基于角色访问控制、数据访问授权以及审计等管理措施应用程序安全：实现对数据库访问进行控制和管理DBMS通用的安全机制用户认证用户角色数据库授权数据库视图审计审计（Audit）是一种事后监督的手段，它用来监视用户对数据库施加的动作对数据对象的访问控制根据审计对象的区分，有两种方式的审计：用户审计：记下所有对自己表或视图进行访问的企图及每次操作的用户名、时间、操作代码等信息系统审计：记录系统一级命令以及数据对象的使用情况数据库加密加密机制对称密码系统vs公钥密码系统多级密钥结构：库名、表名、记录名和字段名加密范围索引字段一般不加密关系运算的比较字段一般不加密表间的连接码字段一般不加密加密对DBMS的影响无法实现对数据制约因素的定义密文数据的排序、分组和分类SQL语言中的内部函数将对加密数据失去作用DBMS的一些应用开发工具的使用受到限制主流数据库安全主流数据库包括：Oracle，SQLServer，Sybase国内安全数据库可信COBASE、达梦安全数据库、LOIS安全数据库、Softbase（南京大学）、OpenbaseSecure（东大阿尔派）着重于多级安全方面，引入了多级安全模型，传统的关系模型必须做出一定改进，各种逻辑数据对象被强制赋予安全标记属性强制访问控制的功能被大大加强，使得数据库系统的身份认证和访问控制机制更加严格Oracle的安全机制身份认证访问控制数据库审计Oracle的身份认证有两种方式：外部身份认证和DBMS认证

外部身份认证使用OracleDBMS以外的系统对用户身份予以认证，DBMS信任这种认证的结果“外部系统”通常指的是操作系统好处：无需输入帐号、口令，避免口令信息因传输、存储不当而引发泄露DBMS认证传统的帐号、口令方式的认证OracleDBMS在系统表空间中保存已有用户的帐号、口令等信息，并以此为依据认证用户的身份

Oracle的安全机制身份认证访问控制数据库审计Oracle全面实现了RBAC机制，按其应用范围可分为：系统级权限对整体数据库的各种操作以及对某类群体对象的使用权，通常由数据库管理员负责授权提供了90多种系统级权限，如创建会话（SESSION）、创建表（TABLE）、创建用户（USER）等

对象级权限对数据库单一对象的使用权，通常由该对象的拥有者负责授权

Oracle的安全机制身份认证访问控制数据库审计SQLServer的安全机制SQLServer的身份认证机制与Oracle有显著区别它引入了“登录ID”的概念，将登录身份和具体的用户身份剥离开来从登录到访问数据，要经过两次身份认证登录认证在DBMS身份认证模式下，访问者必须提供一个有效的登录ID和口令才能继续向前有三种模式：WindowsNT集成认证、SQLServer认证和二者的混和认证访问数据库认证当访问者通过上述验证后，登录ID必须与目标数据库中的某个用户ID相联系，才可以拥有相应的访问权限SQLServer登录认证模式配置登录ID与用户ID的关联SQLServer的访问控制SQLServer检测用户ID是否具有访问服务器中特定对象的权限这种权限由管理员直接赋予用户ID或者某个角色，可以细化到字段的粒度赋予用户对象级权限赋予用户字段级权限常见的数据库攻击与防范－SQL注入攻击攻击者提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQLInjection，即SQL注入攻击。途径：主要通过基于Web的应用程序进行原因：程序员在编码时，没有考虑对来自客户端的输入数据的合法性进行判断，使得应用程序存在安全隐患难于发现：从正常WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙都不会对SQL注入发出警报，如果管理员没有查看IIS日志的习惯，可能被入侵很长时间都不会发觉

SQL注入攻击的原理第一步：判断是否存在SQL注入漏洞第二步：判断数据库类型第三步：实施攻击从客户端提交特殊的代码，Web应用程序如果没做严格检查就将其形成SQL命令发送给数据库，则从数据库的返回信息中攻击者可以获得程序及服务器的信息，从而进一步获得其它资料

SQL注入攻击的原理第一步：判断是否存在SQL注入漏洞第二步：判断数据库类型第三步：实施攻击SQL注入攻击的原理第一步：判断是否存在SQL注入漏洞第二步：判断数据库类型第三步：实施攻击假设SQLServer的出错提示是：“将nvarchar值‘dbo’转换数据类型为int的列时发生语法错误”可以获知，“dbo”正是Web应用程序登录SQLServer时使用的用户名

SQL注入攻击的原理第一步：判断是否存在SQL注入漏洞第二步：判断数据库类型第三步：实施攻击熟练的黑客可以通过SQL注入窃取敏感数据、篡改数据、破坏数据，甚至以数据库系统为桥梁进一步入侵服务器操作系统，从而带来更为巨大的破坏SQL注入攻击的原理第一步：判断是否存在SQL注入漏洞第二步：判断数据库类型第三步：实施攻击SQL注入的防范SQL注入漏洞可谓是“千里之堤，溃于蚁穴”配置IIS，不将数据库错误的页面返回给客户端这样将给攻击者判断是否存在SQL注入漏洞带来困难；Web应用程序不使用管理员帐号连接数据库这样即便遭到SQL注入攻击，也有可能因为权限不够而使得数据库拒绝一些命令去掉数据库不需要的函数、存储过程如SQLServer中的xp_cmdshell检查输入参数对于数字型的参数，如果检测到非数字的量，则停止执行；对于字符串型的参数，要严格检查敏感关键字，如exec、insert、delete、update、xp_cmdshell等对于输入的字符串型参数，可以使用转义方式，让数据库将其真正理解为字符串，而不是有效的SQL命令这些都与具体的程序设计语言相关，如PHP中的sql_escape_string（）等。ASP.NET+SQLServer提供了参数化的变量赋值形式数据库恢复事务事务是用户定义的一个数据库操作序列，这些操作要么全做，要么全不做，是一个不可分割的工作单位。在关系数据库中，一个事务可以是一条SQL语句，一组SQL语句或整个程序。数据库恢复是基于事务的数据库恢复技术恢复机制涉及两个关键问题：如何建立冗余数据，和如何