第四章数据库的安全性..ppt

1、计算机安全性概论 数据库安全性控制 视图机制 审计（Audit） 数据加密 统计安全性 小结,第四章 数据库的安全性,数据库的特点之一是DBMS提供统一的数据保护功能来保证数据的安全性可靠性和正确有效，数据库的数据保护主要包括数据的安全性和数据的完整性。这一章我们讨论数据的安全性问题。,4.1 计算机安全性概述,数据安全性是指保护数据库以防止不合法的使用造成的数据泄露、更改或破坏。 数据库的安全性和计算机系统的安全性，包括操作系统、网络系统的安全性是紧密联系、相互支持的，因此在讨论数据库的安全性之前首先讨论一下计算机系统安全性问题。,4.1 计算机安全性概述,一、计算机系统的三类安全性问题 计

2、算机系统的安全性是指计算机系统建立和采取的各种安全保护措施，以保护计算机系统中的硬件、软件及数据，防止因偶然或恶意的原因使系统遭到破坏，数据遭到更改或泄露等。 计算机系统的安全性问题可分为技术安全类、管理安全类和政策法律类三类,4.1 计算机安全性概述,技术安全性 是指计算机系统中采用具有一定安全性的硬件、软件来实现对计算机系统及其所存数据的安全保护，当计算机系统受到无意或恶意的攻击时仍能保证系统正常运行，保证系统能的数据不增加、不丢失、不泄露。 管理安全性 是指由于管理不善导致的计算机设备和数据介质的物理破坏、丢失等软硬件意外故障以及场地的意外事故等安全问题。 政策法规 则是指政府部门建立的

3、有关计算机犯罪、数据安全保密的法律道德准则和政策法规、法令。,4.1 计算机安全性概述,二、计算机系统安全标准简介 在计算机安全技术方面逐步建立了一套可信标准。在目前各国所引用或制定的一系列安全标准中，最有影响的是TCSEC和CC,4.1 计算机安全性概述,二、计算机系统安全标准简介 TCSEC是1985年美国国防部（DoD）正式颁布的DoD可信计算机系统评估标准（Trusted Computer System Evaluation Criteria，简称TCSEC或DoD85）。 制定这个标准的目的主要有： 提供一种标准，使用户可以对其计算机系统内敏感信息安全操作的可信程度作评估。 给计算机

4、行业的制造商提供一种可循的指导规则，使其产品能够更好地满足敏感应用的安全需求。,4.1 计算机安全性概述,1991年4月美国NCSC（国家计算机安全中心）颁布了可信计算机系统评估标准关于可信数据库系统的解释（Trusted Database Interpretation，简称TDI），将TCSEC扩展到数据库管理系统。TDI中定义了数据库管理系统的设计与实现中需要满足和用以进行安全性级别评估的标准。 TDI/TCSEC标准从以下四个方面描述安全性级别划分标准：安全策略、责任、保证和文档。每个方面又细分为若干项。 TDI/TCSEC将系统划分为四组（division)七个等级，依次是D;C(C1

5、,C2)；B(B1,B2,B3);A（A1）。 安全级别之间具有一种偏序向下兼容的关系，即较高安全性级别提供的安全保护要包含较低级别的所有保护要求，同时提供更多或更完善的保护能力。,4.1 计算机安全性概述,D级 最低级别。如DOS就是操作系统中安全标准为D的典型例子。它具有操作系统的基本功能，如文件系统，进程调度等，但在安全方面几乎没有什么专门的机制来保障。 C1级 只提供非常初级的自主安全保护。能够实现对用户和数据的分离，进行自主存取控制（DAC），保护或限制用户权限的传播。 C2级 是安全产品的最低档次，提供受控的存取保护，即将C1级的DAC进一步细化，以个人身份注册负责，并实施审计和资

6、源隔离。如操作系统中Microsoft的Windows 2000。数据库产品有Oracle公司的Oracle7等,4.1 计算机安全性概述,B1级 标记安全保护。对系统的数据加以标记，并对标记的主体和客体实施强制存取控制（MAC）以及审计等安全机制。B1级能够较好地满足大型企业或一般政府部门对数据的安全需求，这一级别的产品才认为是真正意义上的安全产品。例如，操作系统方面有惠普公司的HPUX BLS release9.0.9等，数据库方面择优Qracle 公司的Trusted Oracle7 、Sybase公司的Secure SQL Sever11.0.6 B2级 结构化保护。建立形式化的安全策

7、略模型并对系统内的所有主体和客体实施自主存取控制DAC和强制存取控制MAC。,4.1 计算机安全性概述,B3级 安全域。该级的TCB（可信计算基础）必须满足访问监控器的要求，审计跟踪能力更强，并提供系统恢复过程。 A1级 验证设计，即提供B3级保护的同时给出系统的形式化设计说明和验证以确信各安全保护真正实现。,4.1 计算机安全性概述,CC是在上述各评估准则及具体实践基础上，通过相互总结和互补发展而来的。和早期的评估准则相比，CC只有结构开放、表达方式通用等特点。 CC提出了目前国际上公认的表述信息技术安全性的结构，即把对信息产品的安全要求分为安全功能要求和安全保证要求。 安全功能要求用以规范

8、产品和系统的安全行为，安全保证要求解决如何正确有效地实施这些功能。 安全功能要求和安全保证要求都以“类子类组件”的结构表达，组件是安全要求的最小构件块。,4.1 计算机安全性概述,CC的文本由三都分组成，三个部分相互依存，缺一不可。 第一部分是“简介和一般模型”。介绍CC中的有关术语、基本概念和一般模型以及与评估有关的一些框架，CC的附录部分主要介绍“保护轮廓”（Protection Profile ，简称PP）和“安全目标”（Security Target，简称ST）的基本内容。,4.1 计算机安全性概述,第二都分是安全功能要求，列出了一系列功能组件、子类和类。具体来说有11类，分别是安全审

9、计（FAU）、通信（FCO）、密码支持（FCS）、用户数据保护（FDP）、标识和鉴别（FIA）、安全管理（FMT）、隐私（FPR）、TSF保护（FPT）、资源利用（FRU）、TOE访问（FTA）、可信路径和通信（FTP）。 这11大类分为66个子类，由135个组件构成。,4.1 计算机安全性概述,第三部分是安全保证要求，列出了一系列保证组件、子类和类，包括7个类，分别是配置管理（ACM）、交付和运行（ADO）、开发（ADV）、指导性文档（AGD）、生命周期支持（ALC）、测试（ATE）、脆弱性评定（AVA）。 这7大类分为26个子类，由74个组件构成。 另外，第三部分中根据系统对安全保证要求的

10、支持情况提出了评估保证级（Evaluation Assurance Level ,EAL），并定义了保护轮廓PP和安全目标ST的评估准则，用于对PP和ST的评估。,4.1 计算机安全性概述,这三部分的有机结合具体体现在PP和ST中，CC提出的安全功能要求和安全保证要求都可以在具体的PP和ST中进一步细化和扩展，这种开放式的结构更适应信息安全技术的发展。CC的具体应用也是通过PP和ST这两种结构来实现的。,4.1 计算机安全性概述,PP用于表达一类产品或系统的用户需求，是CC在某一领域的具体化。CC针对不同领域产品的评估，就体现在开发该类产品的PP上，例如，针对操作系统产品的PP(OS PP)、

11、针对数据库产品的PP(DBMS PP)等。 CC并没有专门针对DBMS的解释。 DBMS PP 是CC在DBMS领域的具体化，相当于是对DBMS的解释。换句话说，CC的DBMSPP就相当于TCSEC的TDl。CC中规定了PP应包含的基本内容和格式，例如必须指明该PP符合哪一种评估保证级别，目前国外已开发多种不同EAL的DBMS PP。ST是对特定的一种产品进行描述，参加CC评估的产品必须提供自己的ST。,4.1 计算机安全性概述,PP的编制有助于提高安全保护的针对性和有效性。ST在PP的基础上，将安全要求进一步具体化，解决安全要求的具体实现。 通过PP和ST这两种结构，能够方便的将CC的安全性

12、要求具体应用到信息产品的开发、生产、测试、评估和信息系统的集成、运行、评估、管理中。,4.1 计算机安全性概述,除了PP和ST之外，还有一个重要的结构是包。包是组件的特定组合，用来描述一组特定的安全功能和保证要求。评估保证级(EAL)是在CC第三部分中预先定义的由保证组件组成的保证包，每一保证包描述了一组特定的保证要求，对应着一种评估保证级别。 从EALl至EAL7共分为七级，按保证程度逐渐增高。,4.1 计算机安全性概述,目前有许多信息产品，操作系统如Windows2000、Sun Solaris 8等，数据库管理系统如Oracle9i、DB2 V8.2 、Sybase Adaptive S

13、ever Enterprise Vl2.5.2等，都已通过了CC的EAL4。,4.2 数据库安全性控制,在一般计算机系统中，安全措施是一级一级层层设置的。例如可以有如下的模型：,用户,DBMS,OS,DB,用户标识和鉴别 存取控制 操作系统安全保护 数据密码存储,计算机系统的安全模型,系统首先根据输入的用户标识进行用户身份鉴定，只有合法的用户才准许进入计算机系统。对已进入系统的用户，DBMS还要进行存取控制，只允许用户执行合法操作。操作系统一级也会有自己的保护措施。数据还可以以密码形式存储到数据库中。,4.2 数据库安全性控制,一、用户标识与鉴定（Identification Authenti

14、cation） 用户标识和鉴订是系统提供的最外层安全措施。其方法是由系统提供一定的方式让用户标识自己的名字或身份。每次用户要求进入系统时，由系统进行核对，通过鉴定后才提供机器使用权。 二、存取控制 数据库安全最重要的一点就是确保只授权给有资格的用户访问数据库的权限，同时令所有未被授权的人员无法接近数据，这主要是通过数据库系统的存取控制机制实现。,4.2 数据库安全性控制,存取控制机制主要包括两部分： 1. 定义用户权限，并将用户权限登记到数据字典中。 用户权限是指不同用户对于不同的数据对象允许执行的操作权限。系统必须提供适当的语言定义用户权限，这些定义经过编译后存放在数据字典中，被称作安全规则

15、或授权规则。 2. 合法权限检查，每当用户发出存取数据库的操作请求后，DBMS查找数据字典，根据安全规则进行合法权限检查，若用户的操作请求超出了定义的权限，系统将拒绝执行此操作。 用户权限定义和合法权限检查机制一起组成了DBMS的安全子系统。,4.2 数据库安全性控制,三、自主存取控制（DAC）方法 在自主存取控制方法中，用户对于不同的数据对象有不同的存取权限，不同的用户对同一对象也有不同的权限，而且用户还可以将其拥有的存取权限转授予其他用户。因此自主存取控制非常灵活。 大型的数据库管理系统几乎都支持自主存取控制，在SQL中用GRANT语句和REVOKE语句来实现。 用户权限是有两个要素组成的

16、：数据对象和操作类型。定义一个用户的存取权限就是要定义这个用户可以在那些数据对象上进行哪些类型的操作。在数据库系统中，定义存取权限称为授权（Authorization）。,4.2 数据库安全性控制,在非关系系统中，用户只能对数据进行操作，存取控制的数据对象也仅限于数据本身。 在关系系统中，DBA可以把建立、修改基本表的权限授予用户，用户获得此权限后可以建立和修改基本表、索引、视图。因此关系系统中存取控制的数据对象不仅有数据本身，如表、属性列等，还有模式、外模式、内模式等数据字典中的内容。,四 授权（Authorization）与回收语句 SQL语言用GRANT语句向用户授予操作权限，REVOK

17、E语句收回授予的权限 （一）、授权语句 GRANT语句的一般格式为： GRANT ,. ON TO ,. WITH GRANT OPTION;其语义为：将对指定操作对象的指定操作权限授予指定的用户。,4.2 数据库安全性控制,4.2 数据库安全性控制,接受权限的用户可以是一个或多个具体用户，也可以是PUBLIC即全体用户。 如果指定了WITH GRANT OPTION子句，则获得某种权限的用户还可以把这种权限再授予别的用户。如果没有指定WITH GRANT OPTION子句，则获得某种权限的用户只能使用该权限，但不能传播该权限。,例1把查询Student表权限授给用户U1 GRANT SELE

18、CT ON TABLE Student TO U1 例2把对Student表和Course表的全部权限授予用户U2和U3 GRANT ALL PRIVILIGES ON TABLE Student, Course TO U2, U3 例3把对表SC的查询权限授予所有用户 GRANT SELECT ON TABLE SC TO PUBLIC,4.2 数据库安全性控制,例4把查询Student表和修改学生学号的权限授给用户U4 这里实际上要授予U4用户的是对基本表Student的SELECT权限和对属性列Sno的UPDATE权限。授予关于属性列的权限时必须明确指出相应属性列名。完成本授权操作的SQ

19、L语句为：GRANT UPDATE(Sno), SELECT ON TABLE Student TO U4,4.2 数据库安全性控制,例5把对表SC的INSERT权限授予U5用户，并允许他再将此权限授予其他用户 GRANT INSERT ON TABLE SC TO U5 WITH GRANT OPTION; 执行此SQL语句后，U5不仅拥有了对表SC的INSERT权限，还可以传播此权限，即由U5用户发上述GRANT命令给其他用户。 例如U5可以将此权限授予U6：GRANT INSERT ON TABLE SC TO U6 WITH GRANT OPTION 同样，U6还可以将此权限授予U7：

20、GRANT INSERT ON TABLE SC TO U7 因为U6未给U7传播的权限，因此U7不能再传播此权限。,4.2 数据库安全性控制,由上面的例子可以看到，GRANT语句可以一次向一个用户授权，如例1所示，这是最简单的一种授权操作； 也可以一次向多个用户授权，如例2、例3等所示； 还可以一次传播多个同类对象的权限，如例2所示； 甚至一次可以完成对基本表、视图和属性列这些不同对象的授权，如例4所示；,4.2 数据库安全性控制,（二）、收权语句 授予的权限可以由DBA或其他授权者用REVOKE语句收回，REVOKE语句的一般格式为： REVOKE ,. ON FROM ,.;,4.2 数

21、据库安全性控制,例7把用户U4修改学生学号的权限收回 REVOKE UPDATE(Sno) ON TABLE Student FROM U4; 例8收回所有用户对表SC的查询权限 REVOKE SELECT ON TABLE SC FROM PUBLIC;,4.2 数据库安全性控制,例9把用户U5对SC表的INSERT权限收回 REVOKE INSERT ON TABLE SC FROM U5; 在例5中，U5又将对SC表的INSERT权限授予了U6，而U6又将其授予了U7，执行此REVOKE语句后，DBMS在收回U5对SC表的INSERT权限的同时，还会自动收回U6和U7对SC表的INSER

22、T权限，即收回权限的操作会级联下去的。 但如果U6或U7还从其他用户处获得对SC表的INSERT权限，则他们仍具有此权限，系统只收回直接或间接从U5处获得的权限。,4.2 数据库安全性控制,（三）、创建数据库模式的权限 GRANT和REVOKE语句向用户授予或收回对数据的操作权限。对数据库模式的授权则由DBA在创建用户时实现。 CREATE USER语句一般格式如下: CREATE USER WITHDBA|RESOURCE|CONNECT,4.2 数据库安全性控制,对CREATE USER语句说明如下: 只有系统的超级用户才有权创建一个新的数据库用户。 新创建的数据库用户有三种权限:CONN

23、ECT、RESOURCE和DBA。 CREATE USER命令中如果没有指定创建的新用户的权限，默认该用户拥有CONNECT权限。拥有CONNECT权限的用户不能创建新用户，不能创建模式，也不能创建基本表;只能登录数据库。然后由DBA或其他用户授予他应有的权限，根据获得的授权情况他可以对数据库对象进行权限范围内的操作。,4.2 数据库安全性控制,对CREATE USER语句说明如下: 拥有RESOURCE权限的用户能创建基本表和视图，成为所创建对象的属主。但是不能创建模式，不能创建新的用户。数据库对象的属主可以使用GRANT语句把该对象上的存取权限授予其他用户。 拥有DBA权限的用户是系统中的

24、超级用户，可以创建新的用户、创建模式、创建基本表和视图等;DBA拥有对所有数据库对象的存取权限，还可以把这些权限授予一般用户。,4.2 数据库安全性控制,一个DBA用户可以拥有CREATE USER、CREATE SCHEMA和CREATE TABLE权限，一个RESOURCE用户可以拥有CREATE TABLE权限。 有关CREATE SCHEMA和CREATE TABLE的语句在第3章中已经讲解了。,4.2 数据库安全性控制,五、数据库角色 数据库角色是被命名的一组与数据库操作相关的权限，角色是权限的集合。因此，可以为一组具有相同权限的用户创建一个角色，使用角色来管理数据库权限可以简化授权

25、的过程。 在SQL中首先用CREATE ROLE语句创建角色，然后用GRANT语句给角色授权。,4.2 数据库安全性控制,(一)、角色的创建 创建角色的SQL语句格式是 CREATE ROLE 刚刚创建的角色是空的，没有任何内容。可以用GRANT为角色授权。 (二)、给角色授权 GRANT ，ON 对象名TO ， DBA和用户可以利用GRANT语句将权限授予某一个或几个角色。,4.2 数据库安全性控制,(三)、将一个角色授子其他的角色或用户 GRANT，TO，WITH ADMIN OPTION 该语句把角色授予某用户，或授予另一个角色。这样，一个角色(例如角色3)所拥有的权限就是授予它的全部角

26、色(例如角色1和角色2)所包含的权限的总和。 授予者或者是角色的创建者，或者拥有在这个角色上的ADMIN OPTION。 如果指定了WITH ADMIN OPTION子句，则获得某种权限的角色或用户还可以把这种权限再授予其他的角色。 一个角色包含的权限包括直接授予这个角色的全部权限加上其他角色授予这个角色的全部权限。,4.2 数据库安全性控制,(四)、角色权限的收回 REVOKE ， ON FROM ， 用户可以回收角色的权限，从而修改角色拥有的权限。 REVOKE动作的执行者或者是角色的创建者，或者拥有在这个(些)角色上的ADMIN OPTION。,4.2 数据库安全性控制,例11通过角色来

27、实现将一组权限授予一个用户。步骤如下 1.首先创建一个角色Rl： CREATE ROLE Rl 2.然后使用GRANT语句，使角色Rl拥有Student表的SELECT、UPDATE、INSERT权限 GRANT SELECT，UPDATE，INSERT ON TABLE Student TO R1 3.将这个角色授予王平，张明，赵玲。使他们具有角色Rl所包含的全部权限 GRANT Rl TO 王平，张明，赵玲 4.当然，也可以一次性的通过R1来回收王平的这3个权限 REVOKE Rl FROM 王平,4.2 数据库安全性控制,例12 角色的权限修改 GRANT DELETE ON TABLE

28、 Student TO Rl 使角色Rl在原来的基础上增加了Student表的DELETE权限。 例13 收回R1对Student表的查询权限 REVOKE SELECT ON TABLE Student FROM Rl 可以看出，通过角色的使用可以使自主授权的执行更加灵活、方便。,4.2 数据库安全性控制,4.2 数据库安全性控制,自主存取控制能够通过授权机制有效地控制其他用户对敏感数据的存取，但仍可能造成数据的“无意泄露”。 造成这一问题的根本原因就在于这种机制仅仅通过对数据的存取权限来进行安全控制，而数据本身并无标记。要解决这一问题，就需要对系统控制下的所有主客体实施强制存取策略。,4.

29、2 数据库安全性控制,六、强制存取控制（MAC）方法 在强制存取方法中，每一个数据对象被标以一定的密级，每一个用户也被授予某一级别的许可证。对于任一对象，只有具有合法许可证的用户才可以存取。强制存取控制因此比较严格。 MAC适用于那些对数据有严格而固定密级分类的部门，例如军事部门或政府部门。 在MAC中，DBMS所管理的全部实体被分为主体和客体两大类。 主体是系统中的活动实体，既包括DBMS所管理的实际用户，也包括代表用户的各进程。 客体是系统中被动的实体，是受主体操纵的，包括文件、基表、索引、视图等。,4.2 数据库安全性控制,对于主体和客体，DBMS为它们每个实例（值）指派一个敏感度标记（

30、Label）。 敏感度标记（Label）被分成若干级别，例如绝密（Top Secret）、机密（Secret）、可信（Confidential）、公开（Public）等。 主体的敏感度标记称为许可证级别（Clearance Level），客体的敏感度标记称为密级（Classification Level）。MAC机制就是通过对比主体的Level和客体的Level，最终确定主体是否能够存取客体。,4.2 数据库安全性控制,当某一用户（或某一主体）以标记Label注册入系统时，系统要求他对任何客体的存取必须遵守如下规则： 仅当主体的许可证级别大于或等于客体的密级时，该主体才能读取客体。 仅当主体的

31、许可证级别等于客体的密级时，该主体才能写相应客体。 对于第二条规则在某些系统中规定：仅当主体的许可证级别小于或等于客体的密级时，该主体才能写相应客体，即用户可以为写入的数据对象赋予高于自己的许可证级别的密级。这样一旦数据被写入，该用户自己也不能再读该数据对象了。,4.2 数据库安全性控制,写规则禁止了拥有高许可证级别的主体更新密级低的数据对象。 强制存取控制（MAC）是对数据本身进行密级标记，无论数据如何复制，标记与数据是一个不可分的整体，只有复合密级标记要求的用户才可以操纵数据，从而提供了更高级别的安全性。,4.2 数据库安全性控制,因较高安全性级别提供的安全保护要包含较低级别的所有保护要求

32、，因此在实现MAC时要首先实现DAC，即DAC与MAC共同构成DBMS的安全机制。系统首先进行DAC检查，对通过DAC检查的允许存取的数据对象再由系统自动进行MAC检查，只有通过MAC检查的数据对象方可存取。,SQL语法分析语义检查,DAC检查 MAC检查,继续语义检查,安全检查,DAC+MAC安全检查示意图,4.3 视图机制,进行存取权限控制时可以为不同的用户定义不同的视图，把数据对象限制在一定的范围内，也就是说，通过视图机制把要保密的数据对无权存取的用户隐藏起来，从而自动地对数据提供一定程度的安全保护。 例如只允许王平检索计算机系学生的信息，则可以先建立计算机系学生的视 图，然后把对视图的

33、查询权限授予王平。 CREATE VIEW CS_Student AS SELECT FROM Student WHERE Sdept”CS”； GRANT SELECT ON CS_Student To 王平；,4.4审计（Audit）,审计功能把用户对数据库的所有操作自动记录下来放入审计日志（Audit Log）中。DBA可以利用审计跟踪的信息，重现导致数据库现状的一系列事件，找出非法存取数据的人、时间和内容等。 审计通常是很费时间和空间的，所以DBMS往往都将其作为可选特征，允许DBA根据应用对安全性要求灵活地打开或关闭审计功能。审计功能一般主要用于安全性要求较高的部门。 审计一般可分为

34、用户级审计和系统级审计。用户审计是任何用户可设置的审计，主要是用户针对自己创建的数据库表或视图进行审计，记录所有用户对这些表或视图的一切成功和（或）不成功的访问要求以及各种类型的SQL操作。,4.4审计（Audit）,系统级审计只能由DBA设置，用以监测成功或失败的登录要求、监测GRANT和REVOKE操作以及其他数据库级权限下的操作。 AUDIT语句用来设置审计功能，NOAUDlT语句取消审计功能。 例15 对修改SC表结构或修改SC表数据的操作进行审计。 AUDIT ALTER，UPDATE ON SC 例16 取消对SC表的一切审计。 NOAUDIT ALTER，UPDATE ON SC

35、 审计设置以及审计内容一般都存放在数据字典中。必须把审计开关打开(即把系统参数audit_trail设为true)，才可以在系统表SYS_AUDITTRAIL中查看审计信息。,4.5 数据加密,对于高度敏感数据，例如财务数据、军事数据、国家机密，除以上安全性措施外，还可以采用数据加密技术。 数据加密是防止数据库中数据在存取和传输中失密的有效手段。加密的基本思想是根据一定的算法将原始数据（术语为明文，Plain text)变换为不可直接识别的格式（术语为密文，Cipher text)，从而使得不知道解密算法的人无法获知数据内容。 加密方法有两种，一种是替换法，该方法使用密匙（Encryption Key）将明文中的每个字符转换为密文中的一个字符。另一种方法是置换法，该方法仅将明文的字符按不同的顺序重新排列。 单独使用这两种方法的任意一种都是不够安全的。但是将这两种方法结合起来就能提供相当高的安全程度。,4.5 数据加密,采用这种结合算法的例子是美国1977年制定的官方加密标准，数据加密标准(Data Encryption Standard，简称D