第10章 數(shù)據(jù)庫系統(tǒng)安全

1、Network and Information Security1第第1010章章 數(shù)據(jù)庫系統(tǒng)安全數(shù)據(jù)庫系統(tǒng)安全第第1010章章 數(shù)據(jù)庫系統(tǒng)安全數(shù)據(jù)庫系統(tǒng)安全Network and Information Security2第第1010章章 數(shù)據(jù)庫系統(tǒng)安全數(shù)據(jù)庫系統(tǒng)安全數(shù)據(jù)庫是計算機(jī)科學(xué)的一個重要分支，任何信息管理的應(yīng)用都離不開數(shù)據(jù)庫的支持。隨著網(wǎng)絡(luò)的發(fā)展，數(shù)據(jù)庫已經(jīng)與網(wǎng)絡(luò)緊密地結(jié)合起來。數(shù)據(jù)庫系統(tǒng)安全的重要性不亞于網(wǎng)絡(luò)安全的重要性。數(shù)據(jù)庫系統(tǒng)的安全有它獨(dú)有的特點(diǎn)。本章將討論數(shù)據(jù)庫的安全問題。Network and Information Security3第第1010章章 數(shù)據(jù)庫系統(tǒng)安全數(shù)據(jù)

2、庫系統(tǒng)安全10.1數(shù)據(jù)庫安全概述數(shù)據(jù)庫安全概述 安全問題注釋物理上的數(shù)據(jù)庫完整性預(yù)防數(shù)據(jù)庫物理方面的問題，如掉電，以及當(dāng)被災(zāi)禍破壞后能重構(gòu)數(shù)據(jù)庫邏輯上的數(shù)據(jù)庫完整性保持?jǐn)?shù)據(jù)的結(jié)構(gòu)，比如：一個字段的值的修改不至于影響其他字段元素的完整性包含在每個元素中的數(shù)據(jù)都是準(zhǔn)確的可審計性能夠追蹤到誰訪問修改過數(shù)據(jù)的元素訪問控制允許用戶只訪問被批準(zhǔn)的數(shù)據(jù)，以及限制不同的用戶有不同的訪問模式，如讀或?qū)懹脩粽J(rèn)證確保每個用戶被正確地識別，既便于審計追蹤，也為了限制對特定的數(shù)據(jù)進(jìn)行訪問可獲（用）性用戶一般可以訪問數(shù)據(jù)庫以及所有被批準(zhǔn)訪問的數(shù)據(jù)Network and Information Security4第第101

3、0章章 數(shù)據(jù)庫系統(tǒng)安全數(shù)據(jù)庫系統(tǒng)安全10.1.1 數(shù)據(jù)庫安全技術(shù)(1)存取控制技術(shù)(2)隔離控制技術(shù)(3)加密技術(shù)(4)信息流向控制技術(shù)(5)推理控制技術(shù)(6) 數(shù)據(jù)備份技術(shù) Network and Information Security5第第1010章章 數(shù)據(jù)庫系統(tǒng)安全數(shù)據(jù)庫系統(tǒng)安全10.1.2 多級數(shù)據(jù)庫多級數(shù)據(jù)庫一般情況下，我們可以確定整個數(shù)據(jù)庫是敏感的(要求保密)或不敏感的(不要求保密)。細(xì)一點(diǎn)，可以確定庫中的某個基表(對于關(guān)系型數(shù)據(jù)庫)是敏感的或不敏感的。但有時情況卻復(fù)雜得多。Network and Information Security6第第1010章章 數(shù)據(jù)庫系統(tǒng)安全數(shù)據(jù)庫系

4、統(tǒng)安全姓名、部門和電話這三列是不需保密的，任何人都可以查詢。但是工資和績效考核卻是必須保密的(現(xiàn)在很多企業(yè)都搞所謂的“密薪制”)，這說明基表中只有部分字段是敏感的。姓名部門工資電話績效考核張三培訓(xùn)李四技術(shù)部25002171420良王五辦公室16002582322中趙六客戶服務(wù)部20002582254良Network and Information Security7第第1010章章 數(shù)據(jù)庫系統(tǒng)安全數(shù)據(jù)庫系統(tǒng)安全也許李四是一個特殊人物，他的所有情況都要保密，甚至他的存在都是一個秘密。趙六的電話也許很重要，不想被別人知道。這些數(shù)據(jù)的安全要求與工資與績效考核兩個字段的安全要

5、求是不一樣的。姓名部門工資電話績效考核張三培訓(xùn)李四技術(shù)部25002171420良王五辦公室16002582322中趙六客戶服務(wù)部20002582254良Network and Information Security8第第1010章章 數(shù)據(jù)庫系統(tǒng)安全數(shù)據(jù)庫系統(tǒng)安全1.一個元素的敏感度可能不同于同一記錄的其他元素或同一屬性的其他值。也就是說，一個元素的敏感度可能不同于同一行或同一列的其他元素。這要求應(yīng)該對每個元素單獨(dú)實(shí)行安全保護(hù)。2.敏感和不敏感兩種級別不足以描繪某些安全要求，需要多個安全級別。3.集合安全不同于單個元素的安全，如數(shù)據(jù)庫中的和、平均值。集合安全可能高于也

6、可能低于單個元素的安全。Network and Information Security9第第1010章章 數(shù)據(jù)庫系統(tǒng)安全數(shù)據(jù)庫系統(tǒng)安全數(shù)據(jù)庫加密的必要性數(shù)據(jù)庫加密的必要性雖然DBMS在操作系統(tǒng)的基礎(chǔ)上增加了不少安全措施，例如基于權(quán)限的訪問控制等，但操作系統(tǒng)和DBMS對數(shù)據(jù)庫文件本身仍然缺乏有效的保護(hù)措施，有經(jīng)驗的黑客會“繞道而行”，直接利用操作系統(tǒng)工具竊取或篡改數(shù)據(jù)庫文件內(nèi)容。這種隱患被稱為通向DBMS的“隱秘通道”，它所帶來的危害一般數(shù)據(jù)庫用戶難以覺察。分析和堵塞“隱秘通道”被認(rèn)為是B2級的安全技術(shù)措施。對數(shù)據(jù)庫中的敏感數(shù)據(jù)進(jìn)行加密處理，是堵塞這一“隱秘通道”的有效手段。10.2 10.2

7、 數(shù)據(jù)庫加密數(shù)據(jù)庫加密 Network and Information Security10第第1010章章 數(shù)據(jù)庫系統(tǒng)安全數(shù)據(jù)庫系統(tǒng)安全10.2.1 10.2.1 數(shù)據(jù)庫加密的基本要求數(shù)據(jù)庫加密的基本要求一般來說，一個良好的數(shù)據(jù)庫加密系統(tǒng)應(yīng)該滿足以下基本要求：1.支持各種粒度加密2.良好的密鑰管理機(jī)制3.合理處理數(shù)據(jù)4.不影響合法用戶的操作Network and Information Security11第第1010章章 數(shù)據(jù)庫系統(tǒng)安全數(shù)據(jù)庫系統(tǒng)安全10.2.2 10.2.2 數(shù)據(jù)庫加密的方式數(shù)據(jù)庫加密的方式1.操作系統(tǒng)層加密2.DBMS內(nèi)核層實(shí)現(xiàn)加密 3.DBMS外層實(shí)現(xiàn)加密 DBMS內(nèi)

8、核加密引擎客戶程序DBMS內(nèi)核加密引擎客戶程序Network and Information Security12第第1010章章 數(shù)據(jù)庫系統(tǒng)安全數(shù)據(jù)庫系統(tǒng)安全數(shù)據(jù)庫加密系統(tǒng)分成兩個功能獨(dú)立的主要部件：一個是加密字典及其管理程序，另一個是數(shù)據(jù)庫加/解密引擎Network and Information Security13第第1010章章 數(shù)據(jù)庫系統(tǒng)安全數(shù)據(jù)庫系統(tǒng)安全10.2.3 10.2.3 數(shù)據(jù)庫加密的方法及加密粒度數(shù)據(jù)庫加密的方法及加密粒度數(shù)據(jù)庫加密如果采用序列密碼，那么同步將成為一個大問題。當(dāng)需要對大片密文中的極小部分解密時，如何同步密文與密鑰呢？所以數(shù)據(jù)庫加密一般采用分組密碼。對于分

9、組密碼中常用的ECB和CBC兩種模式，又該如何確定呢？考慮到數(shù)據(jù)庫中會有大量相同的數(shù)據(jù)，比如性別、職務(wù)、年齡等信息，我們應(yīng)該采用CBC模式。對于在DBMS上實(shí)現(xiàn)的加密，加密的粒度可以細(xì)分為基表、記錄、字段或數(shù)據(jù)元素。Network and Information Security14第第1010章章 數(shù)據(jù)庫系統(tǒng)安全數(shù)據(jù)庫系統(tǒng)安全10.2.4 10.2.4 數(shù)據(jù)庫加密系統(tǒng)的密鑰管理數(shù)據(jù)庫加密系統(tǒng)的密鑰管理Network and Information Security15第第1010章章 數(shù)據(jù)庫系統(tǒng)安全數(shù)據(jù)庫系統(tǒng)安全10.3.1 10.3.1 統(tǒng)計數(shù)據(jù)庫的安全問題統(tǒng)計數(shù)據(jù)庫的安全問題 具體地說，

10、統(tǒng)計數(shù)據(jù)庫是這樣一種數(shù)據(jù)庫；從庫中取得的信息是關(guān)于一實(shí)體集子集的匯總信息。統(tǒng)計數(shù)據(jù)庫只為提供統(tǒng)計數(shù)據(jù)所用，如人口普查數(shù)據(jù)庫就是這樣。在統(tǒng)計數(shù)據(jù)庫中，除了禁止非法存取等一般安全問題外，還存在特殊的安全問題。保護(hù)統(tǒng)計數(shù)據(jù)庫的目的是，由該數(shù)據(jù)庫發(fā)布統(tǒng)計信息時，保證不會使其中受保護(hù)的具體信息泄露。10.3 10.3 統(tǒng)計數(shù)據(jù)庫的安全統(tǒng)計數(shù)據(jù)庫的安全 Network and Information Security16第第1010章章 數(shù)據(jù)庫系統(tǒng)安全數(shù)據(jù)庫系統(tǒng)安全一般的統(tǒng)計數(shù)據(jù)庫有下面幾種統(tǒng)計信息類型：1.計數(shù)：count(c)，求滿足特征表達(dá)式c的記錄個數(shù)。2.求和：sum(c,a)，求滿足特征表達(dá)式

11、c的記錄中字段a的和。3.求平均值：average(c,a)，求滿足特征表達(dá)式c的記錄中字段a的平均值。4.求最大值：max(c,a)，求滿足特征表達(dá)式c的記錄中字段a的最大值。5.求最小值：min(c,a)，求滿足特征表達(dá)式c的記錄中字段a的最小值。Network and Information Security17第第1010章章 數(shù)據(jù)庫系統(tǒng)安全數(shù)據(jù)庫系統(tǒng)安全 用戶通過一些統(tǒng)計數(shù)據(jù)庫允許的合法查詢，可以得到本來對他保密的信息?？梢姡y(tǒng)計數(shù)據(jù)庫遠(yuǎn)不是安全保密的，而且，前面介紹的一般數(shù)據(jù)庫的訪問控制并不能解決統(tǒng)計數(shù)據(jù)庫的泄密問題，因為它主要是限制用戶的存取權(quán)力，用戶只能對數(shù)據(jù)庫中的一部分?jǐn)?shù)據(jù)進(jìn)

12、行訪問。而在統(tǒng)計數(shù)據(jù)庫中，保密的目標(biāo)應(yīng)該是防止用戶通過一系列“合法”的統(tǒng)計查詢，使“不合法”的要求得到滿足，也就是防止用戶從一系列查詢中推理出某些秘密信息，這時我們要實(shí)行的控制稱為“推理控制”。Network and Information Security18第第1010章章 數(shù)據(jù)庫系統(tǒng)安全數(shù)據(jù)庫系統(tǒng)安全10.3.2 10.3.2 安全性與精確度安全性與精確度全部統(tǒng)計信息S發(fā)布統(tǒng)計信息R泄露統(tǒng)計信息D非機(jī)密統(tǒng)計信息P機(jī)密統(tǒng)計信息機(jī)密統(tǒng)計信息統(tǒng)計數(shù)據(jù)庫Network and Information Security19第第1010章章 數(shù)據(jù)庫系統(tǒng)安全數(shù)據(jù)庫系統(tǒng)安全10.3.3 10.3.3 對

13、統(tǒng)計數(shù)據(jù)庫的攻擊方式對統(tǒng)計數(shù)據(jù)庫的攻擊方式1.小查詢集和大查詢集攻擊2.跟蹤器攻擊3.插入和刪除攻擊4.對線性系統(tǒng)的攻擊Network and Information Security20第第1010章章 數(shù)據(jù)庫系統(tǒng)安全數(shù)據(jù)庫系統(tǒng)安全10.3.4 10.3.4 統(tǒng)計數(shù)據(jù)庫的安全措施統(tǒng)計數(shù)據(jù)庫的安全措施第一類：對統(tǒng)計數(shù)據(jù)庫的查詢加以限制。 1.限制查詢集的大小2.單元隱蔽3.最大階控制4.數(shù)據(jù)庫分割第二類：數(shù)據(jù)攪亂方式。Network and Information Security21第第1010章章 數(shù)據(jù)庫系統(tǒng)安全數(shù)據(jù)庫系統(tǒng)安全10.4.1 10.4.1 WebWeb數(shù)據(jù)庫概述數(shù)據(jù)庫概述由于

14、Web的易用性、實(shí)用性，它很快占據(jù)了Internet服務(wù)的主導(dǎo)地位，已經(jīng)成為使用最為廣泛、最有前途、最有魅力的信息傳播技術(shù)。不過，Web服務(wù)只是提供了Internet上信息交互的平臺。隨著Internet技術(shù)的興起與發(fā)展和Web技術(shù)的蓬勃發(fā)展，人們已不滿足于只在Web瀏覽器上獲取靜態(tài)的信息，人們需要通過它發(fā)表意見、查詢數(shù)據(jù)，甚至進(jìn)行網(wǎng)上購物,這就迫切需要實(shí)現(xiàn)動態(tài)的Web信息服務(wù)。10.4 10.4 WebWeb數(shù)據(jù)庫的安全數(shù)據(jù)庫的安全 Network and Information Security22第第1010章章 數(shù)據(jù)庫系統(tǒng)安全數(shù)據(jù)庫系統(tǒng)安全10.4.2 10.4.2 常用的幾種常用的幾

15、種WebWeb數(shù)據(jù)庫數(shù)據(jù)庫當(dāng)前比較流行的Web數(shù)據(jù)庫主要有：1.SQL Server2.MySQL3.Oracle這3種數(shù)據(jù)庫適應(yīng)性強(qiáng)，性能優(yōu)異，容易使用，在國內(nèi)得到了廣泛的應(yīng)用。Network and Information Security23第第1010章章 數(shù)據(jù)庫系統(tǒng)安全數(shù)據(jù)庫系統(tǒng)安全9.4.3 9.4.3 WebWeb數(shù)據(jù)庫安全簡介數(shù)據(jù)庫安全簡介(1) 突破客房端腳本的限制 (2)對SQL語句的攻擊程序中的SQL查詢語句（以ASP.net為例，username.Text與passwd.Text是用戶名與口令兩個文本框的值）可能是：sql=select * from user wher

16、e username= + username.Text + and passwd= + passwd.Text + ;執(zhí)行的時候就是：select * from user where username=cheng and passwd=1234Network and Information Security24第第1010章章 數(shù)據(jù)庫系統(tǒng)安全數(shù)據(jù)庫系統(tǒng)安全根據(jù)返回的數(shù)據(jù)集是否為空來判斷是否能夠登錄。如果攻擊者在passwd文本框里輸入的不是1234，而是1111 or 1=1，SQL語句就成為：select * from user where username=cheng and passwd

17、=1111 or 1=1 由于1=1恒為真，即使口令不對也沒關(guān)系，這條語句肯定能返回數(shù)據(jù)集。實(shí)際上，用戶名對不對也沒有關(guān)系。這就是著名且古老的1=1攻擊。安全的辦法是在程序中增加對單引號等特殊字符的過濾。 Network and Information Security25第第1010章章 數(shù)據(jù)庫系統(tǒng)安全數(shù)據(jù)庫系統(tǒng)安全(3) 利用多SQL語句執(zhí)行漏洞s e l e c t * f r o m b o o k w h e r e bookname=linux入門如果我們輸入的不是linux入門而是linux入門;delete book -，則執(zhí)行語句變?yōu)椋簊elect * from book w

18、here bookname=linux入門;delete book -其中-的作用是把最后一個單引號注釋掉，從而構(gòu)成對表的刪除。(4) 包含文件泄露Network and Information Security26第第1010章章 數(shù)據(jù)庫系統(tǒng)安全數(shù)據(jù)庫系統(tǒng)安全在進(jìn)行SQL Server數(shù)據(jù)庫的安全配置之前，首先你必須對操作系統(tǒng)進(jìn)行安全配置，保證你的操作系統(tǒng)處于安全狀態(tài)。然后對你要使用的操作數(shù)據(jù)庫軟件（程序）進(jìn)行必要的安全審核，比如對ASP、PHP等腳本，這是很多基于數(shù)據(jù)庫的WEB應(yīng)用常出現(xiàn)的安全隱患。對于腳本主要是一個過濾問題，需要過濾一些類似單引號的特殊字符，防止破壞者構(gòu)造惡意的SQL語句。接著，安裝SQL Server后請打上最新補(bǔ)丁。 10.5 10.5 SQL ServerSQL Server數(shù)據(jù)庫的安數(shù)