第四章数据库安全性

第四章数据库安全性第一页，共三十九页，编辑于2023年，星期五数据库安全性问题的提出数据库的一大特点是数据可以共享数据共享必然带来数据库的安全性问题：因为数据库系统中的数据共享不能是无条件的共享例：军事秘密、国家机密、新产品实验数据、市场需求分析、市场营销策略、销售计划、客户档案、医疗档案、银行储蓄数据数据库中数据的共享是在DBMS统一的严格的控制之下的共享，即只允许有合法使用权限的用户访问允许他存取的数据数据库系统的安全保护措施是否有效是数据库系统主要的性能指标之一第二页，共三十九页，编辑于2023年，星期五数据库安全性（续）什么是数据库的安全性数据库的安全性是指保护数据库，防止因用户非法使用数据库造成数据泄露、更改或破坏。什么是数据的保密数据保密是指用户合法地访问到机密数据后能否对这些数据保密。通过制订法律道德准则和政策法规来保证。第三页，共三十九页，编辑于2023年，星期五目录计算机安全性概论数据库安全性控制视图机制审计数据加密统计数据库安全性第四页，共三十九页，编辑于2023年，星期五计算机安全性概论什么是计算机系统安全性为计算机系统建立和采取的各种安全保护措施，以保护计算机系统中的硬件、软件及数据，防止其因偶然或恶意的原因使系统遭到破坏，数据遭到更改或泄露等。计算机安全涉及问题计算机系统本身的技术问题计算机安全理论与策略计算机安全技术管理问题安全管理安全评价安全产品法学计算机安全法律犯罪学计算机犯罪与侦察安全监察心理学第五页，共三十九页，编辑于2023年，星期五计算机安全性概论（续）三类计算机系统安全性问题技术安全类指计算机系统中采用具有一定安全性的硬件、软件来实现对计算机系统及其所存数据的安全保护，当计算机系统受到无意或恶意的攻击时仍能保证系统正常运行，保证系统内的数据不增加、不丢失、不泄露。管理安全类软硬件意外故障、场地的意外事故、管理不善导致的计算机设备和数据介质的物理破坏、丢失等安全问题政策法律类政府部门建立的有关计算机犯罪、数据安全保密的法律道德准则和政策法规、法令第六页，共三十九页，编辑于2023年，星期五数据库安全性控制数据库安全性控制概述用户标识与鉴别存取控制自主存取控制方法强制存取控制方法第七页，共三十九页，编辑于2023年，星期五数据库安全性控制概述非法使用数据库的情况用户编写一段合法的程序绕过DBMS及其授权机制，通过操作系统直接存取、修改或备份数据库中的数据；直接或编写应用程序执行非授权操作；通过多次合法查询数据库从中推导出一些保密数据

例：某数据库应用系统禁止查询单个人的工资，但允许查任意一组人的平均工资。用户甲想了解张三的工资，于是他：首先查询包括张三在内的一组人的平均工资然后查用自己替换张三后这组人的平均工资从而推导出张三的工资破坏安全性的行为可能是无意的，故意的，恶意的。第八页，共三十九页，编辑于2023年，星期五数据库安全性控制概述（续）计算机系统中的安全模型数据库安全性控制的常用方法用户标识和鉴定存取控制视图审计密码存储应用OSDBMSDB

低

高安全性控制层次

方法：

用户标识和鉴定

操作系统安全保护存取控制审计、视图数据密码存储第九页，共三十九页，编辑于2023年，星期五用户标识与鉴别用户标识与鉴别(Identification&Authentication)系统提供的最外层安全保护措施基本方法系统提供一定的方式让用户标识自己的名字或身份；系统内部记录着所有合法用户的标识；每次用户要求进入系统时，由系统核对用户提供的身份标识；通过鉴定后才提供机器使用权。用户标识和鉴定可以重复多次用户名/口令简单易行，容易被人窃取第十页，共三十九页，编辑于2023年，星期五存取控制存取控制机制的功能存取控制机制的组成定义存取权限检查存取权限用户权限定义和合法权检查机制一起组成了DBMS的安全子系统定义存取权限在数据库系统中，为了保证用户只能访问他有权存取的数据，必须预先对每个用户定义存取权限，并将用户权限登记到数据字典中。检查存取权限对于通过鉴定获得上机权的用户（即合法用户），系统根据他的存取权限定义对他的各种操作请求进行控制，确保他只执行合法操作。第十一页，共三十九页，编辑于2023年，星期五存取控制（续）常用存取控制方法自主存取控制(DiscretionaryAccessControl，简称DAC)同一用户对于不同的数据对象有不同的存取权限不同的用户对同一对象也有不同的权限用户还可将其拥有的存取权限转授给其他用户强制存取控制(MandatoryAccessControl，简称MAC)每一个数据对象被标以一定的密级每一个用户也被授予某一个级别的许可证对于任意一个对象，只有具有合法许可证的用户才可以存取第十二页，共三十九页，编辑于2023年，星期五自主存取控制方法自主存取控制(DAC)大型数据库几乎都支持自主存取控制SQL标准也支持自主存取控制存取权限定义存取权限由两个要素组成数据对象数据本身—基本表中的数据、属性列上的数据数据库模式—数据库schema、基本表table、视图view、索引index操作类型不同的数据对象有不同的操作类型第十三页，共三十九页，编辑于2023年，星期五自主存取控制方法（续）数据对象

操作类型数据库(模式)createdatabase(schema)

基本表

createtable,altertable

视图

createview

索引

createindex基本表和视图

select,insert,update,delete,referencesallprivileges

属性列

select,insert,update,referencesallprivileges数据库模式数据本身关系数据库中的存取权限第十四页，共三十九页，编辑于2023年，星期五授权与回收授权命令

grant<表级权限>

on{表名|视图名}

to{用户[，用户]…|public}

[withgrantoption]表级权限包括：select,update,insert,delete,index,alter,drop,resource等以及它们的总和all，其中对select,update可指定列名withgrantoption表示获得权限的用户可以把权限再授予其它用户发出该grant语句的可以是DBA，也可是此表的创建者，也可是拥有该权限用户第十五页，共三十九页，编辑于2023年，星期五授权与回收(例)例1:把查询Student表的权限授给用户U1GrantselectonStudenttoU1例2:把对Student表和Course表的全部操作权限授予所有用户GrantallprivilegesonStudent,Coursetopublic例3:把查询Student表和修改学生学号的权限授给用户U2Grantupdate(Sno),selectonstudenttoU2例4:把对表Student的insert权限授予U3用户，并允许将此权限再授予其他用户GrantinsertonStudenttoU3withgrantoption第十六页，共三十九页，编辑于2023年，星期五授权与回收(续)回收权限

revoke<表级权限>on{表名|视图名}

from{用户[，用户]…|public}[cascade|restrict]

收回权限用cascade时，则若该用户已将权限授予其它用户，则也一并收回。例Revokeupdate(Sno)onStudentfromU2;RevokeinsertonStudentfromU3cascade;第十七页，共三十九页，编辑于2023年，星期五创建数据库模式的权限数据的操作授权与数据库模式授权的区别Grant和revoke语句用于向用户授予或收回对数据的操作权限，而对数据库模式的授权则由DBA在创建用户时实现创建用户语句一般格式Createuser<username>[with][DBA|resource|connect]说明：只有系统的超级用户才有权创建新的用户新建用户有三种权限：connect、resource和DBA第十八页，共三十九页，编辑于2023年，星期五创建数据库模式的权限（续）权限与可执行操作创建用户命令中若没指定建新用户的权限，默认该用户拥有connect权限。不能创建新用户、不能创建模式、不能创建基本表；只能登录数据库Resource权限能创建基本表和视图不能创建模式，也不能创建新的用户DBA权限的用户是系统中的超级用户，拥有一切权限，还可以把这些权限授予一般用户。第十九页，共三十九页，编辑于2023年，星期五数据库角色角色是一组相关权限的结合，即将多个不同的权限集合在一起就形成了角色用户权限用户权限角色第二十页，共三十九页，编辑于2023年，星期五数据库角色（续）第二十一页，共三十九页，编辑于2023年，星期五数据库角色（续）角色的创建Createrole<rolename>给角色授权Grant<权限>[,<权限>]…on<对象类型><对象名>to<角色>[,<角色>]将角色授予其它角色或用户Grant<角色1>[,<角色2>]… to<角色3>[,<用户>][withadminoption]角色权限的收回Revoke<权限>[,<权限>]…On<对象类型><对象名>From<角色>[,<角色>]示例

CreateroleR1Grantselect,update,insertonStudenttoR1GrantR1 tozheng,zhang,wangwithadminoptionRevokeselectOnStudentfromR1RevokeR1fromzheng第二十二页，共三十九页，编辑于2023年，星期五自主存取控制小结自主存取控制小结定义存取权限用户检查存取权限DBMS授权粒度数据对象粒度：数据库、表、属性列、行数据值粒度授权粒度越细，授权子系统就越灵活，能够提供的安全性就越完善。但另一方面，因数据字典变大变复杂，系统定义与检查权限的开销也会相应地增大。第二十三页，共三十九页，编辑于2023年，星期五自主存取控制小结（续）自主存取控制优缺点优点能够通过授权机制有效地控制其他用户对敏感数据的存取缺点可能存在数据的“无意泄露”原因：这种机制仅仅通过对数据的存取权限来进行安全控制，而数据本身并无安全性标记。解决：对系统控制下的所有主客体实施强制存取控制策略第二十四页，共三十九页，编辑于2023年，星期五强制存取控制方法什么是强制存取控制强制存取控制(MAC)是指系统为保证更高程度的安全性，按照安全策略的要求，所采取的强制存取检查手段。MAC适用于对数据有严格而固定密级分类的部门军事部门政府部门在MAC中，DBMS所管理的全部实体被分为主体和客体两大类主体是系统中的活动实体

DBMS所管理的实际用户代表用户的各进程客体是系统中的被动实体，是受主体操纵的文件、基表、索引、视图第二十五页，共三十九页，编辑于2023年，星期五强制存取控制方法（续）敏感度标记对于主体和客体，DBMS为它们每个实例（值）指派一个敏感度标记（Label）敏感度标记分成若干级别绝密（TopSecret）机密（Secret）可信（Confidential）公开（Public）主体的敏感度标记称为许可证级别（ClearanceLevel）客体的敏感度标记称为密级（ClassificationLevel）MAC机制就是通过对比主体的Label和客体的Label，最终确定主体是否能够存取客体第二十六页，共三十九页，编辑于2023年，星期五强制存取控制方法（续）强制存取控制规则当某一用户（或某一主体）以标记label注册入系统时，系统要求他对任何客体的存取必须遵循下面两条规则：仅当主体的许可证级别大于或等于客体的密级时，该主体才能读取相应的客体；仅当主体的许可证级别等于客体的密级时，该主体才能写相应的客体。强制存取控制的特点MAC是对数据本身进行密级标记无论数据如何复制，标记与数据是一个不可分的整体只有符合密级标记要求的用户才可以操纵数据从而提供了更高级别的安全性第二十七页，共三十九页，编辑于2023年，星期五MAC与DACDAC与MAC共同构成DBMS的安全机制先进行DAC检查，通过DAC检查的数据对象再由系统进行MAC检查，只有通过MAC检查的数据对象方可存取。DAC+MAC安全检查示意图

SQL语法分析&语义检查DAC检查MAC检查继续安全检查第二十八页，共三十九页，编辑于2023年，星期五视图机制视图机制把要保密的数据对无权存取这些数据的用户隐藏起来主要的功能在于提供数据独立性，其安全保护功能太不精细，往往远不能达到应用系统的要求。视图机制与授权机制配合使用首先用视图机制屏蔽掉一部分保密数据视图上面再进一步定义存取权限间接实现了支持存取谓词的用户权限定义例：王平只能检索计算机系学生的信息1、先建立计算机系学生的视图CS_StudentCREATEVIEWCS_StudentASSELECTFROMStudentWHERESdept='CS'；

2、在视图上进一步定义存取权

GRANTSELECTONCS_StudentTO王平；

第二十九页，共三十九页，编辑于2023年，星期五数据加密数据加密防止数据库中数据在存储和传输中失密的有效手段加密的基本思想根据一定的算法将原始数据（术语为明文，Plaintext）变换为不可直接识别的格式（术语为密文，Ciphertext）不知道解密算法的人无法获知数据的内容加密方法

替换方法使用密钥（EncryptionKey）将明文中的每一个字符转换为密文中的一个字符置换方法将明文的字符按不同的顺序重新排列混合方法美国1977年制定的官方加密标准：数据加密标准（DataEncryptionStandard，简称DES）第三十页，共三十九页，编辑于2023年，星期五数据加密（续）DBMS中的数据加密有些数据库产品提供了数据加密例行程序有些数据库产品本身未提供加密程序，但提供了接口数据加密功能通常也作为可选特征，允许用户自由选择数据加密与解密是比较费时的操作数据加密与解密程序会占用大量系统资源应该只对高度机密的数据加密第三十一页，共三十九页，编辑于2023年，星期五审计审计就是对指定用户在数据库中的操作情况进行监控和记录，用以审查用户的相关活动数据被非授权用户删除，用户越权管理，权限管理不正确，用户获得不应有的系统权限等监视和收集关于指定数据库获得的数据哪些表经常被修改，用户共执行了多少次I/O操作等，为优化提供依据第三十二页，共三十九页，编辑于2023年，星期五审计审计级别语句级只审定某种类型的SQL语句权限级只审计某个系统权限的使用情况实体级只对一个指定模式上的实体的指定语句进行审计第三十三页，共三十九页，编辑于2023年，星期五审计审计类别按语句执行成功与否只审计成功语句(wheneversuccessful)只审计不成功语句(whenevernotsuccessful)不论成功与否都进行审计按语句执行次数会话审计(bysession)语句每执行一次就审计一次存取方式审计(byassess)多次执行的同一语句只审计一次第三十四页，共三十九页，编辑于2023年，星期五语句级审计语法

Audit[NoAudit]<SQL语句或选项>[by用户名][bySession|Access][Whenever[NOT]Successful说明：选项：代表某一类SQL语句by用户名：只审计特定用户的SQL语句bySession：按会话方式审计byAccess：按存取方式审计WheneverSuccessful：只审计成功语句WheneverNotS