数据库第11章安全管理

本篇主要介绍数据库管理系统所提供的一些内部功能，主要包括管理用户访问数据库的安全控制技术、多用户访问数据库时的事务与并发控制技术、用于数据库灾难恢复防止数据丢失的数据库恢复技术以及提高数据查询效率的查询处理与优化技术。具体内容如下：系统，介绍了该系统的安全控制机制以及如何在该系统中实现安全控制。第12章，事务与并发控制。介绍了事务的基本概念和四个特性，介绍了并发控制操作可能产生的问题，并讲解了并发控制的基本概念以及常用的控制方法和技术。第13章，数据库恢复技术。介绍了数据库系统故障种类，数据库恢复方法以及各种故障的恢复第14章，查询处理与优化。主要介绍了代数优化和物理优化两种优化技术。在代数优化部分，安全性对于任何使用数据库的用户来说都是至关重要的。数据库通常存储了大量的数据，这些数据可能是个人信息、客户清单或其他机密资料。如果有人未经授权非法侵入了数据库，并窃取了提供了完善的安全控制机制，它通过身份验证、数据库用户权限确认等一系列措施来保护数据库中的信息资源，以防止这些资源被破坏。户身份的确认和用户操作权限的管理等。11.1安全控制概述人们经常将数据库安全性问题与数据完整性问题混淆，但实际上这是两个不同的概念。安全性是指保护数据因防止不合法的使用而造成数据被泄露、更改和破坏；完整性是指数据的准确性和有或者可以简单地说：安全性确保用户被允许做其想做的事情；完整性确保用户所做的事情是正安全性问题并非数据库应用系统所独有，实际上在许多系统上都存在同样的问题。数据库中的安全控制是指：在数据库应用系统的不同层次提供对有意和无意损害行为的安全防范。在数据库中，对有意的非法活动可采用加密存、取数据的方法控制；对有意的非法操作可使用用户身份验证、限制操作权来控制；对无意的损坏可采用提高系统的可靠性和数据备份等方法来控数据库安全控制的目标是保护数据免受意外或故意的丢失、破坏或滥用。对数据库的破坏可能是某些使用人员恶意或无意进行的。这种危害可能是有形的，例如硬件、软件或数据的丢失，也可能是无形的，例如可靠度或客户信用度的丢失。数据库安全包括允许或禁止用户操作数据库及其对象，从而防止数据库被滥用或误用。数据库管理员（DBA）负责数据库系统的全部安全。因此，数据库系统的DBA必须能够识别最严重的危胁，并实施安全措施，采取合适的控制策略以最小化这些威胁。任何需要访问数据库系理需求和相关政策，为用户创建访问数据库的账户和密码。之后，当需要访问数据库时，用户可以所在的建筑和房屋。全面的数据库安全计划必须考虑下列情况：件、网络或应用程序的破坏会导致可用性的损失，这种损失会造成系统出现严重问题。损失可能导致企业失去竞争力。这些情况与人有关，所以必须集中精力减少这类活动发生的可能。例如，加强物理安全性的控制，使得非授权用户不能进入机房。另一个安全措施的例子是，通过安装防火墙防止通过外部通讯链路对数据库禁止访问的部分进行非法访问，以防止有意偷窃或欺诈操作程序，例如用户认证、统一的软件安装程序和硬件维护计划，也会因意外的损坏而带来威胁。数据库安全问题涉及很多方面，主要包括：我们主要讨论最后一类问题。数据库应数据库应数据库管操作用程序理系统系统加密存储与冗余..当用户要访问数据库数据时，应该首先进入数据库系统。用户进入数据库系统通常是通过数据库应用程序实现的，这时用户要向数据库应用程序提供其身份（用户名和密码然后数据库应用程序将用户的身份递交给数据库管理系统进行验证，只有合法的用户才能进入到下一步的操作。对于合法的用户，当其要在数据库中执行某个操作时，数据库管理系统还要验证此用户是否具有执行该操作的权限。如果有操作权限，才执行操作，否则拒绝执行用户的操作。在操作系统一级也可以有密存储，这样即使数据被人窃取，也很难读懂数据。另外，还可以将数据库文件保存多份，当出现意外情况时（如磁盘破损可以不至于丢失数据。授权是将访问数据库或数据库对象的权限授予用户的过程，具体授予哪些用户对数据库的哪些部分具有哪些操作权限是由一个企业的实际情况决定的。认证是一种鉴定用户身份的机制。换言之，认证是检验用户实际是否被准许操作数据库。它核实连接到数据库的人（用户）或程序的身份。认证最简单的形式是与数据库连接时提供的用户名和密码。操作系统和数据库广泛使用的是基于口令的认证。对于更多的安全模式，特别是在网络环境下，也使用其它的认证模式，例如，挑战-应答系统、数字签名等。用特定口令的用户可能被授权能够读取数据库中的任何数据，但不一定能够修改数据库中的任何数现在的DBMS通常采用自主存取控制和强制存取控制两种方法来解决数据库安全系统的访问控数据单元或数据对象包括从整个数据库到某个元组的某个部分。有固定的关于哪些用户对哪些对象具有哪些存取权限的限制。例如，用户U1能操作数据A但不能操作数据B，而U2能操作数据B但不能操作数据A，这在自主存取控制方式下是允制存取控制在本质上具有分层的特点，且相对比较严格。例如，如果用户U1能操作数据A但不能操作数据B，则说明数据B的密级高于数据A，因此不存在用户U2能操作数据B但不管采用自主存取控制方法还是强制存取控制方法，所有有关哪些用户可以对哪些数据进行哪（拒绝）语句来实现的。权限管理是数据库管理系统的管理员（DBA）的职责。DBA依照数据的实际应用情况将合适的不同的数据库管理系统对自主存取控制的实现方式不尽相同，下面我们介绍SQLServer数据库管理系统支持的自主存取控制方法。权限种类通常情况下，将数据库中的权限划分为两类。一类是对数据库管理系统进行维护的权限，另一类是对数据库中的对象和数据进行操作的权限。对数据库中的对象和数据进行操作的权限又分为两这类权限称为对象权限。对象权限是用户在已经创建好的对象上行使的权限，主要包括：数据库用户的分类数据库中的用户按其操作权限的不同可分为如下三类：系统管理员在数据库服务器上具有全部的权限，包括对服务器的配置和管理权限，也包括对全部数据库的操作权限。当用户以系统管理员身份进行操作时，系统不对其权限进行检验。每个数据装好之后可以授予其他用户具有系统管理员的权限。（2）数据库对象拥有者创建数据库对象的用户即为数据库对象拥有者。数据库对象拥有者对其所拥有的对象具有全部普通用户只具有对数据库数据的增、删、改、查权限。在数据库管理系统中，权限一般分为对象权限、语句权限和隐含权限三种，其中语句权限和对象权限是可以被授予数据库用户的权限，隐含权限是用户自动具有的权限。权限管理语句用于权限管理的语句主要有如下三个，这三个语句均可用于语句权限管理和对象权限管理。GRANT对象权限名[,…]ON{表名|视图名|存储过程名}TO用户名[,…]示获得该权限的用户还可以把其权限授给其他用户，即该用户同时还具有转授权。如果没有指执行GRANT语句的用户可以是DBA，也可以是数据库对象拥有者，或者是拥有转授权限的用REVOKE对象权限名[,…]ON{表名|视图名|存储过程名}FROM用户名[,…]DENY对象权限名[,…]ON{表名|视图名|存储过程名}GRANTSELECTONStudentTOuser1GRANTSELECT,INSERTONSCTOuser1GRANTINSERTONStudentTOuser1WITHGRANTOPTIONREVOKESELECTONSCFROMuser1DENYUPDATEONSCTOuser1GRANT语句权限名[,…]TO用户名[,…]REVOKE语句权限名[,…]FROM用户名[,…]DENY语句权限名[,…]TO用户名[,…]GRANTCREATETABLETOuser1GRANTCREATETABLE,CREATEVIEWTOuser2REVOKECREATETABLEFROMuser1例9．拒绝user1具有创建视图的权限。DENYCREATEVIEWTOuser1主”的，因此，用户可以自由地决定将数据的存取权限授予何人、决定是否将“授权”权限授予其些数据存取权限转授给了用户U2，U1的意图是只允许U2本人操作这些要求并不能得到保证，因为U2一旦获得对数据的访问权限，就可以获得自己权限内的数据的副本，然后在不征得U1同意的情况下传播数据副本。造成这一问题的根本原因在于，这种机制仅仅通过对数据的存取权限来进行安全控制，而数据本身并没有安全性标记。要解决这个问题，就需要对系统控制下的所有主客体实施强制存取控制策略。在强制存取控制中，DBMS将全部实体划分为主体和客体两大类。体是系统中的被动实体，是受主体操纵的，包括文件、基本表、索引、视图等。对于主体和客体，最终确定主体是否能够存取客体。当某一用户（或某一主体）以标记Label注册到系统时，系统要求他对任何客体的存取必须遵（1）仅当主体的许可证级别大于或等于客体的密级时，该主体才能读取相应的客体。（2）仅当主体的许可证级别等于客体的密级时，该主体才能写相应的客体。在某些系统中，第二条规则与这里的规则（2）有些差别。这些系统规定：仅当主体的许可证级别小于或等于客体的密级时，该主体才能写相应的客体，即用户可以为写入的数据对象赋予高于自己的许可证级别的密级。这样数据一旦被写入，该用户自己也不能再读取该数据对象了。这两种规则的共同点是它们均禁止了拥有高许可证级别的主体更新低密级的数据对象，从而防止了敏感数据强制存取控制是对数据本身进行密级标记，无论数据如何被复制，标记与数据是一个不可分的较高安全性级别提供的安全保护要保护较低级别的所有保护，因此，在实现强制存取控制时首先要进行的数据操作进行自主存取控制检查，通过后再对要存取的数据库对象进行强制存取控制检查，只有通过了强制存取控制检查的数据库对象方可存取。强制安全模式本质上是分层次的，它与自主安全模式相比更严格，它强调自主访问控制机制的核心。买的所有系统都必须支持这样的控制，这就促使各大DBMS厂商竞相提供这样的支持。美国国防部了这些要求在数据库系统中的相应解释。A类级别依次增高。D类提供最小（minimal）控制，即存取权限由数据对象的所有者决定。.C1子类对所有权与存取权限加以区分，虽然它允许用户拥有自己的私有要求安全策略的非形式化说明。隐蔽通道的例子有：从合法查询的结果中推断出不合法查询的结果；通过合法的计算推（3）验证保护：A类要求安全机制是可靠的且足够支持对指定的安全策略给出严格的数学证有些DBMS产品提供B1级强制存取控制及C2级自主存取控制。支持强制存取控制的DBMS审计跟踪实质上是一种特殊的文件或数据库，系统在上面自动记录下用户对常规数据的所有操审计跟踪对数据库安全有辅助作用。例如，如果发现银行账户的余额错误，银行希望追溯所有对该账户的修改信息，从而发现发生错误的修改以及执行该修改的人员。那么，银行就可以使用审计跟踪来追溯这些人员进行的所有修改，从而找到错误。许多DBMS提供内嵌机制来创建审计跟踪，也可以使用系统定义的用户名和时间变量来定义适当的用于修改操作的触发器，从而创建审计跟踪。防火墙是用来防止来自专业网的非法访问或对专用网的非法访问而设计的一个系统。防火墙可以用硬件实现，也可以用软件实现，甚至可以通过软硬件结合来实现。它们通常用于阻止未授网的信息并阻塞不符合安全标准的信息。以下是数据库安全中常用的防火墙技术：(a)数据包过滤：数据包过滤查看每一个进入或离开网络的数据包，并根据用户定义的规则接(b)应用级网关：将安全机制应用到指定的应用，例如：文件传输协议（FTP）、远程登录服务器。这是一种非常有效的安全机制。一旦连接建立，数据包就可以在主机间传送而不需要进一步的检查。(d)代理服务器：代理服务器截获所有进入或离开网络的消息。代理服务器有效地隐匿了真正11.5统计数据库的安全性统计数据库提供基于各种不同标准的统计信息或汇总数据，而统计数据库安全系统是用于控制对统计数据库的访问。统计数据库允许用户查询聚合类型的信息，如：总和、平均值、数量、在统计数据库中存在着特殊的安全性问题，即可能存在隐藏的信息通道，使得可以从合法的的统计数据库的安全性机制就失效了。为了解决这个问题，可以规定任何查询至少要涉及N个记假设第一个查询的结果是X，第二个查询的结果是Y，由于A知道自己的工资是Z，因此他可以计算出职工B的工资=Y–(X–Z)。这个例子的关键之处在于两个查询之间有很多重复的数据项（即其他N个职工的工资因此可以再规定任意两个查询的相交数据项不能超过M个，这样就不容易获得其他人的数据了。另外还有一些其他方法用于解决统计数据库的安全性问题，但无论采用什么安全机制能会存在绕过这些机制的途径。好的安全性措施应该使得那些试图破坏安全的人所花费的代价远远超过它们所能得到的利益，这也是整个数据库安全机制设计的目标。可以采用数据加密技术。数据加密是防止数据库中的数据在存储和传输过程中失密的手段。加密的基本思想是根据一从而使不知道解密算法的人无法知道数据的内容。数据加密一般是对数据进行编码和置换，从而使人不能读懂数据。在加密方法中，用特殊算法对数据进行编码，使得任何没有解密密钥的人都不能读懂数据。数据加密技术可以防止某些尝试避开系统的验证而直接访问数据所带来的威胁。下面是数据库安全中经常使用的一些加密方法：在简单替换法中，纯文本中的每一个字母都被转换为字母表中该字母的后一个字母（称为直接Welldone.上面的可读纯文本信息将被加密（转换为密文）为：xfmmaepof.来破解编码。但如果检验大量的文字，通过统计字母出现的频率还是可以很容易地破解密码的。多字母替换法使用加密密钥。假设希望加密消息“Welldone”。给出的加密密钥，比如是（1）密钥在纯文本下面并与之对齐，不断重复直到纯文本被完全“覆盖”。在这个例子中，我们将Welldonesafetysaf把纯文本字符在字母表中的位置加上密钥字符在字母表中的位置。将结果除以27，然后余数分开保存。在上边所举的例子中，纯文本的第一个字母“W”在字母表中的第23个位置，而多字母替换方法也属于比较简单的加密方法，但它能够保护更高级别的数据。11.7SQLServer提供的安全控制在SQLServer数据库管理系统提供的自主存取控制模式中，用户访问数据库数据要经过三个安全认证过程。第一个过程，确认用户是否是数据库服务器的合法用户（具有登录名，有连接到数据数据库服务器②③①③用户在登录到数据库服务器后，是不能访问任何用户数据库的，因此需要第二步认证，让用户成为某个数据库中的合法的用户。用户成为数据库合法用户之后，对数据库中的用户数据还是没有任何操作权限，因此需要第三步认证，授予用户具有合适的操作权限。下面我们介绍在SQLServerServer将通过Windows操作系统来获得用户信息，并对登录名和密码进行重新验证。密码，系统会从用户登录到Windows操作系统时提供的用户名和密码中查找当前用户的登录信息，SQLServer2008数据库管理系统一般推荐使用Windows身份验证模式，因为这种安全模式能够与Windows操作系统的安全系统集成在一起，以提供更多的安全功能。混合身份验证模式允许Windows授权用户和SQL授权用户登录到SQLServer数据库服务器。如果希望允许非Windows操作系统的用户也能登录到SQLServer数据库服务器上，则应该选择混合身份验证模式。如果在混合身份验证模式下选择使用SQL授权用户登录SQLServer数据库服务器，则用户必须提供登录名和密码两部分内容，因为SQLServer必须要用这两部分内容来验证用户的合法具中设置。具体方法是：在要设置身份验证模式的SQLServer实例上右击鼠标，在弹出的菜单中选择“属性”命令，弹出“服务器属性”窗口，在该窗口左边的“选择页”上，单击“安全性”选项，（1）以系统管理员身份连接到SSMS，在SSMS的对象资源管理器中，依次展开“安全性”“登录名”节点。在“登录名”节点上右击鼠标，在弹出的菜单中选择“新建登录名”命令，弹出新建登录窗口，弹出新建登录窗口，如图11-5所示。（3）在“密码”和“确认密码”文本框中输入该登录名的密码。中间几个复选框的说明如下。①强制实施密码策略表示对该登录名强制实施密码策略，这样可强制用户的密码具有一定的复杂性。在Windows②强制密码过期对该登录名强制实施密码过期策略。必须先选中“强制实施密码策略”才能启用此复选框。③用户在下次登录时必须更改密码我们这里去掉“强制实施密码策略”复选框，然后单击“确定”按钮，完成对登录名的建立。对应的登录名的孤立的数据库用户。所示的删除登录名窗口。钮。我们这里单击“确定”按钮，系统会弹出图11-7所示的提示窗口，该窗口提示用户，删除登录名并不会删除对应的数据库用户。在此窗口中单击“确定”按钮，删除NewUser登录名。11.9数据库用户数据库用户是数据库级别上的主体。用户在具有了登录名之后，他只能连接到SQLServer数据库服务器上，并不具有访问任何用户数据库的权限，只有成为了数据库的合法用户后，才能访问此数据库。本节介绍如何对数据库用户进行管理。数据库用户一般都来自服务器上已有的登录名，让登录名成为数据库用户的操作称为“映一个登录名可以映射为多个数据库中的用户，这种映射关系为同一服务器上不同数据库的权限管理带来了很大的方便。管理数据库用户的过程实际上就是建立登录名与数据库用户之间的映射关系的（1）以系统管理员身份连接到SSMS，在SSMS工具的“对象资源管理器”中，展开要建立数据库用（2）展开“安全性”节点，在其下的“用户”节点上右击鼠标，在弹出的菜单上选择“新建用户”（3）在图11-8所示窗口中，在“用户名”文本框中可以输入一个与登录名对应的数据库用户名；在“登录名”部分指定将要成为此数据库用户的登录名，可以通过单击“登录名”文本框右边的按钮，来查找某个存在的登录名。（4）在图11-9所示窗口中，单击“浏览”按钮，弹出如图11-10所示的“查找对象”窗口。（5）在图11-10所示窗口中，选中“[SQL_User1]”前的复选框，表示让该登录账户成为Students数据库中的用户。单击“确定”按钮关闭“查找对象”窗口，回到“选择登录名”窗口，这时该窗（6）在图11-11所示窗口上单击“确定”按钮，关闭该窗口，回到新建数据库用户窗口。在此窗口上再次单击“确定”按钮关闭该窗口，完成数据库用户的建立。这时展开Students数据库下的“安全性”“用户”节点，可以看到SQL_User1已注意：一定要清楚服务器登录名与数据库用户是两个完全不同的概念。具有登录名的用户可以登录到SQLServer实例上，而且只局限在实例上进行操作。而数据库用户则是登录名以什么样的身份在该数据库中进行操作，是登录名在具体数据库中的映射，这个映射名（数据库用户名）可以和登录从当前数据库中删除一个用户，实际就是解除了登录名和数据库用户之间的映射关系，但并不影响登录名的存在。删除数据库用户之后，其对应的登录名仍然存在。工具删除数据库用户的方法。（1）以系统管理员身份连接到SSMS，在SSMS工具“Students”“安全性”“类似的“删除对象”窗口。在窗口中单击“确定”按钮，可删除此用户。11.10权限管理在现实生活中，每个单位的职工都有一定的工作职能以及相应的配套权限。在数据库中也是一当登录名成为数据库中的合法用户之后，除了具有一些系统视图的查询权限之外，并不对数据库中的用户数据和对象具有任何操作权限，因此，下一步就需要为数据库中的用户授予数据库数据询（在工具栏上单击“数据库引擎查询”，弹出“连接到服务器引擎”窗口，在此窗口中将“身SELECT*FROMStudent这个实验表明，在授权之前数据库用户在数据库中对用户数据是没有任何操作权限的。的“安全对象”窗口。口中可以选择要添加的对象类型。默认是添加“特定对象”类。择对象”窗口。在这个窗口中可以通过选择对象类型来对对象进行筛选。口。在这个窗口中可以选择要授予权限的对象类型。这时在该窗口的“选择这些对象类型”列表框中会列出所选的“表”对象类型。窗口中列出了当前可以被授权的全部表。这里我们选中“Student”和“Course”前边的复选框（如（6）在“查找对象”窗口中指定好要授权的表之后，单击“确定”按钮，回到“选择对象”窗口，（7）在图11-19所示窗口上，单击“确定”按钮，回时该窗口形式如图11-20所示。现在可以在这个窗口上对选择的对象授予相关的权限。.选中“具有授予权”表示在授权时同时授予该权限的转授权，即该用户可以将其获得的权至此，完成了对数据库用户的授权。此时，以SQL_User1身份再次执行代码：SELECT*FROMStudent这次会执行成功，系统将返回执行的结果。在授予SQL_User1用户权限之前，我们先以该用户建立一个新的数据库引擎查询，然后输入并CREATETableTeachers(Tidchar(6),Tna