第四章数据库安全性

第四章数据库安全性1数据库安全性数据库的一大特点是数据可以共享，然而有些数据库系统中的数据（军事秘密、国家机密、新产品实验数据、市场需求分析、市场营销策略、销售计划、客户档案、医疗档案、银行储蓄数据等）的共享不能是无条件的共享。因此，对数据库中数据共享的限制带来数据库的安全性问题。计算机安全性概述数据库安全性控制视图机制审计（Audit）数据加密统计数据库安全性2计算机安全性概述数据库系统安全性与计算机系统安全性紧密联系，相互支持。计算机系统安全性是指为计算机系统建立和采取的各种安全保护措施，以保护计算机系统中的硬件、软件及数据，防止其因偶然或恶意的原因使系统遭到破坏，数据遭到更改或泄露等。内容

计算机安全性包括计算机安全理论与策略、计算机安全技术、安全管理、安全评价、安全产品以及计算机犯罪与侦察、计算机安全法律、安全监察等。分类计算机系统安全性问题包括3类。

技术安全类：计算机系统内部采用具有一定安全性的硬件、软件来实现对系统的保护；管理安全类：系统责任/所有方防止因管理不善导致系统的设备和数据介质的物理破坏、丢失等软硬件意外故障以及场地的意外事故；政策法律类：社会/国家等政府部门建立的法律道德准则和政策、法令、法规等。3计算机安全性概述安全标准

计算机安全性问题越来越得到人们的重视，对各种计算机及其相关产品、信息系统的安全性要求越来越高。为此在计算机安全技术方面逐步建立了一套可信机选几系统的概念和标准，以规范和指导安全计算机系统部件的生产，比较准确地测定产品的安全性能指标。安全标准发展过程4我国2001年采用为国家标准计算机安全性概述安全标准

计算机以及信息安全技术方面有一系列的安全标准，最有影响的是TCSEC和CC。

TCSEC标准TCSEC是指1985年美国国防部正式颁布的《DoD可信计算机系统评估准则》。1991年4月美国NCSC（美国计算机安全中心）颁布了《可信计算机系统评估准则关于可信数据库系统的解释》（简称TDI），将TCSEC扩展到数据库管理系统。TDI中定义了数据库管理系统的设计与实现中需要满足和用以进行安全性级别评估的标准。TCSEC/TDI从安全策略、责任、保证、文档等四个方面来描述安全性级别划分的指标。同时根据计算机系统对各项指标的支持情况，将系统划分为四组七个等级，依次是D、C（C1，C2）、B（B1，B2，B3）、A（A1）。按系统可靠或可信程度逐渐增高。B2以上的系统还处于理论研究阶段，应用多限于一些特殊的部门，如军队等。美国正在大力发展安全产品，试图将目前仅限于少数领域应用的B2安全级别下放到商业应用中来，并逐步成为新的商业标准。5计算机安全性概述CC标准提出国际公认的表述信息技术安全性的结构，即把信息产品的安全要求分为安全功能要求和安全保证要求。安全功能要求解决如何正确有效的实施这些功能；安全保障要求用以规范产品和系统的安全行为。CC文本由三部分组成：

简介和一般模型，介绍CC中的有关术语、基本概念和一般模型以及与评估有关的一些框架；

安全功能要求，列出一系列功能组件、子类和类。具体包括11大类，66个子类，135个组件，涵盖审计、密码支持、通信、数据保护等。

安全保证要求，列出了一系列保证组件、子类和类。具体包括7大类，26个子类，74个组件，涵盖配置管理、开发、生命周期支持、测试、脆弱性评定等。

目前有许多信息产品，操作系统如Windows2000、SunSolaris8等，数据库管理系统如Oracle9i、DB2V8.2、SybaseAdaptiveServerEnterpeiseV12.5.2等，都已通过了CC的EAL4。6数据库安全性数据库的一大特点是数据可以共享，然而有些数据库系统中的数据（军事秘密、国家机密、新产品实验数据、市场需求分析、市场营销策略、销售计划、客户档案、医疗档案、银行储蓄数据等）的共享不能是无条件的共享。因此，对数据库中数据共享的限制带来数据库的安全性问题。计算机安全性概述数据库安全性控制视图机制审计（Audit）数据加密统计数据库安全性7数据库安全性控制计算机系统安全模型8用户要求进入计算机系统时，系统首先根据输入的用户标识进行用户身份鉴定，只有合法用户才准许进入计算机系统。数据库安全性控制计算机系统安全模型9操作系统设置一级安全保护措施数据库安全性控制计算机系统安全模型10常见的非法使用数据库的情况：编写合法程序绕过DBMS及其授权机制；直接或编写应用程序执行非授权操作；通过多次合法查询数据库从中推导出一些保密数据。数据库安全性控制计算机系统安全模型11除了OS的安全屏障外，DBMS为加强DB的安全性，亦建立有独立的安全体系，不允许用户绕过DBMS安全体系而直接访问DB，OS的用户要想访问DBMS，必须由DBA设置成DBMS的用户。数据库安全性控制的常用方法：

用户标识和鉴定

存取控制

视图

审计

密码存储用户标识与鉴别用户标识与鉴别是系统提供的最外层安全保护措施。是由用户提供一定的方式让用户标识自己的名字或身份，每次用户要求进入系统时，由系统进行核对通过鉴定后才提供机器使用权。

实现方法：

用户标识：用用户名或ID号来标明用户身份，系统内部记录着所有合法用户的标识，系统鉴别此用户是否是合法用户，若是，则可以进入下一步的核实；若不是，则不能使用系统。口令：系统要求用户输入口令，系统核对口令以进一步核实用户身份。此时需要防止口令与用户名被窃取。12存取控制数据库系统的存取控制机制就是确保只授权给有资格的用户访问数据库的权限，同时令所有未授权的人员无法接近数据。

存取控制机制的组成

定义用户权限，并将用户权限登记到数据字典中。DBMS系统提供适当的语言来定义用户权限，这些定义经过编译后存放在数据字典中，DBMS的功能是保证这些定义的执行。合法权限检查。

当用户发出存取数据库的操作请求后，DBMS查找数据字典，根据安全规则进行合法权限检查，若用户的请求超出定义的权限，系统将拒绝此操作。常用的存取控制方法

自主存取控制。强制存取控制。13数据库安全子系统存取控制——自主存取控制方法自主存取控制方法即是DBA拥有对数据库中所有对象的所有权限，并可根据实际情况将不同的权限授予不同的用户。用户可以“自主”地决定将数据的操作权限授予何人、决定是否也将“授权”的权限授予别人。

理解

用户对自己建立的基本表和视图拥有全部的操作权限，对于不同的数据库对象有不同的存取权限，不同的用户对同一对象也有不同的权限；

用户还可将其拥有的某些权限转授给其他用户，被授权的用户如果有“继续授权”的许可，还可以把获得的权限再授予其他用户。

所有授予出去的权力在必要时可以收回。

实现方法GRANT：授权REVOKE：回收CREATEUSER：数据库模式权限数据库角色管理14自主存取控制方法——GRANT

GRANT语句的一般格式为：GRANT<权限>[,<权限>]...[ON<对象类型><对象名>]TO<用户>[,<用户>]...[WITHGRANTOPTION];语义：将对指定操作对象的指定操作权限授予指定的用户，即定义用户可以在哪些数据库对象上进行哪些类型的操作。其中：发出该语句的可以是DBA，也可以使该数据库对象的创建者，也可以使已经拥有该权限的用户。

<权限>：用户对某一数据对象的操作权力。用户权限由数据库对象和操作类型组成。定义存取权限称为授权。

<用户>：接受权限的用户可以是一个或多个具体用户，也可以是PUBLIC，即全体用户。

WITHGRANTOPTION子句:指定了该子句则可以再授予给其他用户，否则不能传播。15自主存取控制方法——GRANT16对象类型对象操作类型数据库模式模式CREATESCHEMA基本表CREATETABLE，ALTERTABLE视图CREATEVIEW索引CREATEINDEX数据基本表和视图SELECT，INSERT，UPDATE，DELETE，REFERENCES，ALLPRIVILEGES属性列SELECT，INSERT，UPDATE，REFERENCESALLPRIVILEGES关系数据库系统中的存取权限自主存取控制方法——GRANT例1：把查询Student表权限授给用户U1GRANTSELECTONTABLEStudentTOU1;例2：把查询Student表和修改学生学号的权限授给用户U4

GRANTUPDATE(Sno),SELECT ONTABLEStudent TOU4;例3：把对表SC的INSERT权限授予U5用户，并允许他再将此权限授予其他用户

GRANTINSERTONTABLESCTOU5WITHGRANTOPTION;17自主存取控制方法——REVOKE

REVOKE语句的一般格式为：

REVOKE<权限>[,<权限>]...[ON<对象类型><对象名>]FROM<用户>[,<用户>]...[RESTRICT|CASCADE];语义：将对指定操作对象的指定操作权限收回。其中：发出该语句的可以是DBA，也可以使该数据库对象的创建者，也可以使已经拥有该权限的用户。

CASCADE：级联。不同产品默认为RESTRICT还是CASCADE有差别，此处为RESTRICT。例如：把用户U4修改学生学号的权限收回

REVOKEUPDATE(Sno) ONTABLEStudent FROMU4;18自主存取控制方法——创建数据库模式的权限

DBA对数据库模式的授权在创建用户时由语句CREATEUSER语句实现。一般格式为：CREATEUSER<username>

［WITH］［DBA|RESOURCE|CONNECT］

这里：只有系统的超级用户才有权创建一个新的数据库用户。新创建的数据库用户有三种权限：CONNECT、RESOURCE和DBA（超级用户，拥有对所有数据库对象的存取权限）。如果没有明确指定权限，则默认该用户拥有CONNECT权限。

CONNECT

：只能登录数据库而没有创建数据库对象的权限；RESOURCE：能创建基本表和视图，不能创建模式和新用户；DBA：超级用户，拥有对所有数据库对象的存取权限。19自主存取控制方法——创建数据库模式的权限20拥有的权限可否执行的操作CREATEUSERCREATESCHEMACREATETABLE/VIEW登录数据库执行数据查询和操纵DBA可以可以可以可以RESOURCE不可以不可以可以可以CONNECT不可以不可以不可以可以，但必须拥有相应权限权限与可执行的操作对照表是授予最终用户的典型权利一般是授予开发人员的一般是授予管理人员的自主存取控制方法——数据库角色数据库角色是被命名的一组与数据库操作相关的权限，角色是权限的集合。可以为一组具有相同权限的用户创建一个角色，使用角色来管理数据库权限可以简化授权的过程。

角色创建CREATEROLE<角色名>

这里：刚刚创建的角色是空的。给角色授权

GRANT<权限>［，<权限>］…ON<对象类型>对象名

TO<角色>［，<角色>］…

这里：DBA和用户可以将权限授予某一个或某几个用户。

21自主存取控制方法——数据库角色将一个角色授予其他的角色或用户GRANT<角色1>［，<角色2>］…TO<角色3>［，<用户1>］…/**/［WITHADMINOPTION］

这里：角色3的权限是直接授予的全部权限加上角色1、2等的权限之和；

WITHADMINOPTION子句表示获得某种权限的角色或用户还可以把这种权限再授予其他的角色；

角色可以授予某用户或另一个角色。角色权限的收回REVOKE<权限>［，<权限>］［，<角色>］…ON<对象类型><对象名>FROM<角色>［，<角色>］…其中：REVOKE动作的执行者或者是角色的创建者，或者是拥有在这个角色上的ADMINOPTION。22自主存取控制方法——数据库角色例如：通过角色来实现将一组权限授予一个用户。步骤如下：

创建角色R1CREATEROLER1；使用GRANT语句使角色R1拥有Student表的SELECT、UPDATE、INSERT权限

GRANTSELECT，UPDATE，INSERTONTABLEStudentTOR1；将这个角色授予王平，张明，赵玲。使他们具有角色R1所包含的全部权限

GRANTR1TO王平，张明，赵玲；可以一次性通过R1来回收王平的这3个权限

REVOKER1FROM王平；23存取控制——自主存取控制方法自主存取控制方法能够通过授权机制有效地控制对敏感数据的存取。但是一方面由于用户对数据的存取权限是“自主的”，用户可以自由地决定将数据的存取权限授予他人；另一方面由于这种机制仅仅通过对数据的存取权限来进行安全控制，而数据本身并无安全性标记，存在数据的“无意泄露”的可能。因此需要对系统控制下的所有主客体实施强制存取控制策略。24存取控制——强制存取控制方法强制存取控制方法是指系统为保证更高程度的安全性，按照TDI/TCSEC标准中安全策略的要求，对每一个数据库对象标以一定的密级，每一个用户被授予某一个级别的许可证。对于任意一个对象，只有具有合法许可证的用户才可以存取。这种强制存取检查手段适用于那些对数据有严格而固定密级分类的部门。

MAC中DBMS的实体

主体：主体是系统中的活动实体，包括DBMS所管理的实际用户、代表用户的各进程等。

客体是系统中的被动实体，是受主体操纵的文件、基表、索引和视图等。敏感度标记（Label）对于主体和客体系统为它们的每个实例（值）指派一个敏感度标记（Label）。包括绝密（TopSecret）、机密（Secret）、可信（Confidential）、公开（Public）。主体的敏感度标记称为许可证级别（ClearanceLevel），客体的敏感度标记称为密级（ClassificationLevel）。25存取控制——强制存取控制方法强制存取控制规则

仅当主体的许可证级别大于或等于客体的密级时，该主体才能读取相应的客体；

仅当主体的许可证级别等于客体的密级时，该主体才能写相应的客体。

修正规则主体的许可证级别<=客体的密级主体能写客体这两个规则的共同点（看写分离）在于：

禁止了拥有高许可证级别的主体更新低密级的数据对象

禁止了拥有低许可证级别的主体看高密级的数据对象在复制时，标记与数据不可分，即标记随数据走且始终有效（只有持有原系统DBMS颁发的许可证，才可以按上述规则查看数据，否则不能），这样提供了更高级别的安全性。26两种存取控制方法DAC与MAC共同构成DBMS的安全机制。实现MAC时要首先实现DAC，较高安全性级别提供的安全保护要包含较低级别的所有保护。DAC+MAC安全检查如下图所示。27SQL语法分析&语义检查DAC检查MAC检查继续语义检查安全检查先进行DAC检查，通过DAC检查的数据对象再由系统进行MAC检查，只有通过MAC检查的数据对象方可存取。数据库安全性数据库的一大特点是数据可以共享，然而有些数据库系统中的数据（军事秘密、国家机密、新产品实验数据、市场需求分析、市场营销策略、销售计划、客户档案、医疗档案、银行储蓄数据等）的共享不能是无条件的共享。因此，对数据库中数据共享的限制带来数据库的安全性问题。计算机安全性概述数据库安全性控制视图机制审计（Audit）数据加密统计数据库安全性28视图机制视图机制即是把要保密的数据对无权存取这些数据的用户隐藏起来，对数据提供一定程度的安全保护。

主要功能

提供数据独立性；

间接实现了支持存取谓词的用户权限定义实现方法

为不同的用户定义不同的视图，把数据对象限制在一定的范围内。例如：建立计算机系学生的视图，把对该视图的SELECT权限授于王平，把该视图上的所有操作权限授于张明。

建立计算机系学生的视图CS_StudentCREATEVIEWCS_StudentASSELECT*FROMStudentWHERESdept='CS'；29在视图上进一步定义存取权限

GRANTSELECTONCS_StudentTO王平；

GRANTALLPRIVILEGESONCS_StudentTO张明；数据库安全性数据库的一大特点是数据可以共享，然而有些数据库系统中的数据（军事秘密、国家机密、新产品实验数据、市场需求分析、市场营销策略、销售计划、客户档案、医疗档案、银行储蓄数据等）的共享不能是无条件的共享。因此，对数据库中数据共享的限制带来数据库的安全性问题。计算机安全性概述数据库安全性控制视图机制审计（Audit）

数据加密统计数据库安全性30审计任何系统的安全保护措施都不是完美无缺的。审计功能把用户对数据库的所有操作自动记录下来放入审计日志中。DBA可以利用审计跟踪的信息，重现导致数据库现有状况的一系列事件，找出非法存取数据的人、时间和内容等。是DBMS达到C2以上安全级别必不可少的一项指标。

分类

用户级审计。用户自己设置的、针对用户自己创建的数据库表或视图的审计，记录所有用户对这些表或视图的一切成功和（或）不成功的访问要求以及各种类型的SQL操作。

系统级审计。由DBA设置，监测成功或失败的登录要求，监测GRANT和REVOKE操作以及其他数据库级权限下的操作。31审计实现方法审计功能的运行代价比较大，所以产品中一般将其作为可选特征（即可以开启或关闭）。

AUDIT语句：设置/开启审计功能。

NOAUDIT语句：取消审计功能。例如：对修改SC表结构或修改SC表数据的操作进行审计

AUDITALTER，UPDATEONSC；例如：取消对SC表的一切审计

NOAUDITALTER，UPDATEONSC；32数据库安全性数据库的一大特点是数据可以共享，然而有些数据库系统中的数据（军事秘密、国家机密、新产品实验数据、市场需求分析、市场营销策略、销售计划、客户档案、医疗档案、银行储蓄数据等）的共享不能是无条件的共享。因此，对数据库中数据共享的限制带来数据库的安全性问题。计算机安全性概述数据库安全性控制视图机制审计（Audit）数据加密统计数据库安全性33数据加密对于高度敏感性数据，还可以采取数据加密技术。加密的基本思想是根据一定的算法将原始数据变换为不可直接识别的格式，从而使得不知道解密算法的人无法获知数据的内容。数据加密是防止数据库中数据在存储和传输中失密的有效手段。

加密方法

替换方