數(shù)據(jù)庫(kù)安全性

1、第九章數(shù)據(jù)庫(kù)安全性數(shù)據(jù)庫(kù)安全性 保護(hù)數(shù)據(jù)庫(kù)防止惡意破壞和非法的存取保護(hù)數(shù)據(jù)庫(kù)防止惡意破壞和非法的存取 防范對(duì)象是非法用戶(hù)和非法操作防范對(duì)象是非法用戶(hù)和非法操作數(shù)據(jù)庫(kù)完整性數(shù)據(jù)庫(kù)完整性 防止錯(cuò)誤信息的輸入和輸出所造成的無(wú)效操作和防止錯(cuò)誤信息的輸入和輸出所造成的無(wú)效操作和錯(cuò)誤結(jié)果錯(cuò)誤結(jié)果 防范對(duì)象是不合語(yǔ)義的數(shù)據(jù)防范對(duì)象是不合語(yǔ)義的數(shù)據(jù)兩者密切相關(guān)兩者密切相關(guān)要點(diǎn)要點(diǎn) 數(shù)據(jù)庫(kù)安全性的概念數(shù)據(jù)庫(kù)安全性的概念 數(shù)據(jù)庫(kù)安全性控制技術(shù)數(shù)據(jù)庫(kù)安全性控制技術(shù) 問(wèn)題的提出問(wèn)題的提出 數(shù)據(jù)庫(kù)的一大特點(diǎn)是數(shù)據(jù)庫(kù)的一大特點(diǎn)是數(shù)據(jù)可以共享數(shù)據(jù)可以共享，但數(shù)據(jù)共享，但數(shù)據(jù)共享必然帶來(lái)數(shù)據(jù)庫(kù)的安全性問(wèn)題必然帶來(lái)數(shù)據(jù)庫(kù)的安全

2、性問(wèn)題 數(shù)據(jù)庫(kù)系統(tǒng)中的數(shù)據(jù)共享是在數(shù)據(jù)庫(kù)系統(tǒng)中的數(shù)據(jù)共享是在DBMS統(tǒng)一的統(tǒng)一的嚴(yán)格嚴(yán)格的控制之下的共享的控制之下的共享，即只允許有合法使用權(quán)限的，即只允許有合法使用權(quán)限的用戶(hù)訪問(wèn)允許他存取的數(shù)據(jù)用戶(hù)訪問(wèn)允許他存取的數(shù)據(jù) 數(shù)據(jù)庫(kù)系統(tǒng)的安全保護(hù)措施是否有效是數(shù)據(jù)庫(kù)系數(shù)據(jù)庫(kù)系統(tǒng)的安全保護(hù)措施是否有效是數(shù)據(jù)庫(kù)系統(tǒng)統(tǒng)主要的性能指標(biāo)之一主要的性能指標(biāo)之一 數(shù)據(jù)庫(kù)的安全性和數(shù)據(jù)庫(kù)的安全性和計(jì)算機(jī)系統(tǒng)的安全計(jì)算機(jī)系統(tǒng)的安全是緊密聯(lián)系、是緊密聯(lián)系、互相支持的互相支持的什么是數(shù)據(jù)庫(kù)的安全性什么是數(shù)據(jù)庫(kù)的安全性 數(shù)據(jù)庫(kù)的安全性是指保護(hù)數(shù)據(jù)庫(kù)，防止因用數(shù)據(jù)庫(kù)的安全性是指保護(hù)數(shù)據(jù)庫(kù)，防止因用戶(hù)非法使用數(shù)據(jù)庫(kù)造成數(shù)據(jù)泄

3、露、更改或破戶(hù)非法使用數(shù)據(jù)庫(kù)造成數(shù)據(jù)泄露、更改或破壞。壞。什么是數(shù)據(jù)的保密什么是數(shù)據(jù)的保密 數(shù)據(jù)保密是指用戶(hù)合法地訪問(wèn)到機(jī)密數(shù)據(jù)后數(shù)據(jù)保密是指用戶(hù)合法地訪問(wèn)到機(jī)密數(shù)據(jù)后能否對(duì)這些數(shù)據(jù)保密。能否對(duì)這些數(shù)據(jù)保密。 通過(guò)制訂法律道德準(zhǔn)則和政策法規(guī)來(lái)保證。通過(guò)制訂法律道德準(zhǔn)則和政策法規(guī)來(lái)保證。計(jì)算機(jī)系統(tǒng)安全性計(jì)算機(jī)系統(tǒng)安全性 為計(jì)算機(jī)系統(tǒng)建立和采取的各種安全保護(hù)措施，為計(jì)算機(jī)系統(tǒng)建立和采取的各種安全保護(hù)措施，以保護(hù)計(jì)算機(jī)系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止以保護(hù)計(jì)算機(jī)系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等到更改或泄露等

4、三類(lèi)安全性問(wèn)題三類(lèi)安全性問(wèn)題 技術(shù)安全類(lèi)技術(shù)安全類(lèi) 管理安全類(lèi)管理安全類(lèi) 政策法律類(lèi)政策法律類(lèi)技術(shù)安全類(lèi)技術(shù)安全類(lèi) 指計(jì)算機(jī)系統(tǒng)中采用具有一定安全性的硬件、軟指計(jì)算機(jī)系統(tǒng)中采用具有一定安全性的硬件、軟件來(lái)實(shí)現(xiàn)對(duì)計(jì)算機(jī)系統(tǒng)及其所存數(shù)據(jù)的安全保護(hù)，件來(lái)實(shí)現(xiàn)對(duì)計(jì)算機(jī)系統(tǒng)及其所存數(shù)據(jù)的安全保護(hù)，當(dāng)計(jì)算機(jī)系統(tǒng)受到無(wú)意或惡意的攻擊時(shí)仍能保證當(dāng)計(jì)算機(jī)系統(tǒng)受到無(wú)意或惡意的攻擊時(shí)仍能保證系統(tǒng)正常運(yùn)行，保證系統(tǒng)內(nèi)的數(shù)據(jù)不增加、不丟系統(tǒng)正常運(yùn)行，保證系統(tǒng)內(nèi)的數(shù)據(jù)不增加、不丟失、不泄露。失、不泄露。管理安全管理安全 軟硬件意外故障、場(chǎng)地的意外事故、管理不善導(dǎo)軟硬件意外故障、場(chǎng)地的意外事故、管理不善導(dǎo)致的計(jì)算機(jī)設(shè)備和數(shù)

5、據(jù)介質(zhì)的物理破壞、丟失等致的計(jì)算機(jī)設(shè)備和數(shù)據(jù)介質(zhì)的物理破壞、丟失等安全問(wèn)題安全問(wèn)題政策法律類(lèi)政策法律類(lèi) 政府部門(mén)建立的有關(guān)計(jì)算機(jī)犯罪、數(shù)據(jù)安全保密政府部門(mén)建立的有關(guān)計(jì)算機(jī)犯罪、數(shù)據(jù)安全保密的法律道德準(zhǔn)則和政策法規(guī)、法令的法律道德準(zhǔn)則和政策法規(guī)、法令計(jì)算機(jī)系統(tǒng)本身的技術(shù)問(wèn)題計(jì)算機(jī)系統(tǒng)本身的技術(shù)問(wèn)題 計(jì)算機(jī)安全理論與策略，計(jì)算機(jī)安全技術(shù)計(jì)算機(jī)安全理論與策略，計(jì)算機(jī)安全技術(shù)管理問(wèn)題管理問(wèn)題 安全管理，安全評(píng)價(jià)，安全產(chǎn)品安全管理，安全評(píng)價(jià)，安全產(chǎn)品法學(xué)法學(xué) 計(jì)算機(jī)安全法律計(jì)算機(jī)安全法律犯罪學(xué)犯罪學(xué) 計(jì)算機(jī)犯罪與偵察，安全監(jiān)察計(jì)算機(jī)犯罪與偵察，安全監(jiān)察心理學(xué)心理學(xué)為降低進(jìn)而消除對(duì)系統(tǒng)的安全攻擊，各國(guó)引用

6、或制為降低進(jìn)而消除對(duì)系統(tǒng)的安全攻擊，各國(guó)引用或制定了一系列安全標(biāo)準(zhǔn)定了一系列安全標(biāo)準(zhǔn) TCSEC (桔皮書(shū)桔皮書(shū)) TDI (紫皮書(shū)紫皮書(shū))1985年美國(guó)國(guó)防部（年美國(guó)國(guó)防部（DoD）正式頒布）正式頒布 DoD可信可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn) 簡(jiǎn)稱(chēng)簡(jiǎn)稱(chēng)TCSEC或或DoD85，TCSEC又稱(chēng)又稱(chēng)桔皮書(shū)桔皮書(shū)TCSEC標(biāo)準(zhǔn)的目的標(biāo)準(zhǔn)的目的 提供一種標(biāo)準(zhǔn)，使提供一種標(biāo)準(zhǔn)，使用戶(hù)用戶(hù)可以對(duì)其計(jì)算機(jī)系統(tǒng)內(nèi)可以對(duì)其計(jì)算機(jī)系統(tǒng)內(nèi)敏感信息安全操作的可信程度做評(píng)估。敏感信息安全操作的可信程度做評(píng)估。 給計(jì)算機(jī)行業(yè)的給計(jì)算機(jī)行業(yè)的制造商制造商提供一種可循的指導(dǎo)規(guī)提供一種可循的指導(dǎo)規(guī)則，使其產(chǎn)品能夠更

7、好地滿(mǎn)足敏感應(yīng)用的安全則，使其產(chǎn)品能夠更好地滿(mǎn)足敏感應(yīng)用的安全需求。需求。1991年年4月美國(guó)月美國(guó)NCSC（國(guó)家計(jì)算機(jī)安全中心）（國(guó)家計(jì)算機(jī)安全中心）頒布了頒布了可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)關(guān)于可信可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)關(guān)于可信數(shù)據(jù)庫(kù)系統(tǒng)的解釋數(shù)據(jù)庫(kù)系統(tǒng)的解釋 簡(jiǎn)稱(chēng)簡(jiǎn)稱(chēng)TDI，又稱(chēng)，又稱(chēng)紫皮書(shū)紫皮書(shū) 它將它將TCSEC擴(kuò)展到數(shù)據(jù)庫(kù)管理系統(tǒng)擴(kuò)展到數(shù)據(jù)庫(kù)管理系統(tǒng) 定義了數(shù)據(jù)庫(kù)管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)中需定義了數(shù)據(jù)庫(kù)管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)中需滿(mǎn)足和用以進(jìn)行安全性級(jí)別評(píng)估的標(biāo)準(zhǔn)滿(mǎn)足和用以進(jìn)行安全性級(jí)別評(píng)估的標(biāo)準(zhǔn)TDI與與TCSEC一樣，從一樣，從四個(gè)方面四個(gè)方面來(lái)描述安全來(lái)描述安全性級(jí)別劃分的指標(biāo)性級(jí)別劃分的指

8、標(biāo) 安全策略安全策略 責(zé)任責(zé)任 保證保證 文檔文檔每個(gè)方面又細(xì)分為若干項(xiàng)每個(gè)方面又細(xì)分為若干項(xiàng) 教材教材P284安安 全全 級(jí)級(jí) 別別 定定 義義A1驗(yàn)證設(shè)計(jì)（驗(yàn)證設(shè)計(jì)（Verified Design） B3安全域（安全域（Security Domains） B2結(jié)構(gòu)化保護(hù)（結(jié)構(gòu)化保護(hù)（Structural Protection） B1標(biāo)記安全保護(hù)（標(biāo)記安全保護(hù)（Labeled Security Protection） C2受控的存取保護(hù)受控的存取保護(hù)（Controlled Access Protection） C1自主安全保護(hù)自主安全保護(hù)（Discretionary Security Pro

9、tection） D最小保護(hù)（最小保護(hù)（Minimal Protection）四組七個(gè)等級(jí)四組七個(gè)等級(jí)按系統(tǒng)可靠或可信按系統(tǒng)可靠或可信程度逐漸增高程度逐漸增高各安全級(jí)別之間具各安全級(jí)別之間具有一種偏序向下兼有一種偏序向下兼容的關(guān)系，即較高容的關(guān)系，即較高安全性級(jí)別提供的安全性級(jí)別提供的安全保護(hù)要包含較安全保護(hù)要包含較低級(jí)別的所有保護(hù)低級(jí)別的所有保護(hù)要求，同時(shí)提供更要求，同時(shí)提供更多或更完善的保護(hù)多或更完善的保護(hù)能力。能力。D級(jí)級(jí) 將一切不符合更高標(biāo)準(zhǔn)的系統(tǒng)均歸于將一切不符合更高標(biāo)準(zhǔn)的系統(tǒng)均歸于D組組 典型例子：典型例子：DOS是安全標(biāo)準(zhǔn)為是安全標(biāo)準(zhǔn)為D的操作系統(tǒng)的操作系統(tǒng) DOS在安全性方面幾

10、乎沒(méi)有什么專(zhuān)門(mén)的機(jī)制來(lái)保障在安全性方面幾乎沒(méi)有什么專(zhuān)門(mén)的機(jī)制來(lái)保障C1級(jí)級(jí) 非常初級(jí)的自主安全保護(hù)非常初級(jí)的自主安全保護(hù) 能夠?qū)崿F(xiàn)對(duì)用戶(hù)和數(shù)據(jù)的分離，進(jìn)行自主存取控制能夠?qū)崿F(xiàn)對(duì)用戶(hù)和數(shù)據(jù)的分離，進(jìn)行自主存取控制（DAC），保護(hù)或限制用戶(hù)權(quán)限的傳播。），保護(hù)或限制用戶(hù)權(quán)限的傳播。C2級(jí)級(jí) 安全產(chǎn)品的最低檔次安全產(chǎn)品的最低檔次 提供受控的存取保護(hù)，將提供受控的存取保護(hù)，將C1級(jí)的級(jí)的DAC進(jìn)一步細(xì)化，以個(gè)進(jìn)一步細(xì)化，以個(gè)人身份注冊(cè)負(fù)責(zé)，并實(shí)施審計(jì)和資源隔離人身份注冊(cè)負(fù)責(zé)，并實(shí)施審計(jì)和資源隔離 達(dá)到達(dá)到C2級(jí)的產(chǎn)品在其名稱(chēng)中往往不突出級(jí)的產(chǎn)品在其名稱(chēng)中往往不突出“安安全全”(Security)這一特

11、色這一特色 典型例子典型例子 操作系統(tǒng)：操作系統(tǒng)：Microsoft的的Windows NT 3.5，數(shù)字設(shè)備公，數(shù)字設(shè)備公司的司的Open VMS VAX 6.0和和6.1 數(shù)據(jù)庫(kù)：數(shù)據(jù)庫(kù)：Oracle公司的公司的Oracle 7，Sybase公司的公司的 SQL Server 11.0.6B1級(jí)級(jí) 標(biāo)記安全保護(hù)。標(biāo)記安全保護(hù)?！鞍踩踩?Security)或或“可信的可信的”(Trusted)產(chǎn)品。產(chǎn)品。 對(duì)系統(tǒng)的數(shù)據(jù)加以標(biāo)記，對(duì)標(biāo)記的主體和客體實(shí)施強(qiáng)制對(duì)系統(tǒng)的數(shù)據(jù)加以標(biāo)記，對(duì)標(biāo)記的主體和客體實(shí)施強(qiáng)制存取控制（存取控制（MAC）、審計(jì)等安全機(jī)制）、審計(jì)等安全機(jī)制 典型例子典型例子 操作系

12、統(tǒng)：數(shù)字設(shè)備公司的操作系統(tǒng)：數(shù)字設(shè)備公司的SEVMS VAX Version 6.0，惠普公司的惠普公司的HP-UX BLS release 9.0.9+ 數(shù)據(jù)庫(kù)：數(shù)據(jù)庫(kù)：Oracle公司的公司的Trusted Oracle 7，Sybase公司公司的的Secure SQL Server version 11.0.6，Informix公司的公司的Incorporated INFORMIX-OnLine / Secure 5.0B2級(jí)級(jí) 結(jié)構(gòu)化保護(hù)結(jié)構(gòu)化保護(hù) 建立形式化的安全策略模型并對(duì)系統(tǒng)內(nèi)的所有主體和客建立形式化的安全策略模型并對(duì)系統(tǒng)內(nèi)的所有主體和客體實(shí)施體實(shí)施DAC和和MAC。 經(jīng)過(guò)認(rèn)證的

13、經(jīng)過(guò)認(rèn)證的B2級(jí)以上的安全系統(tǒng)非常稀少級(jí)以上的安全系統(tǒng)非常稀少 典型例子典型例子 操作系統(tǒng)：只有操作系統(tǒng)：只有Trusted Information Systems公司的公司的Trusted XENIX一種產(chǎn)品一種產(chǎn)品 標(biāo)準(zhǔn)的網(wǎng)絡(luò)產(chǎn)品：只有標(biāo)準(zhǔn)的網(wǎng)絡(luò)產(chǎn)品：只有Cryptek Secure Communications公司的公司的LLC VSLAN一種產(chǎn)品一種產(chǎn)品 數(shù)據(jù)庫(kù)：沒(méi)有符合數(shù)據(jù)庫(kù)：沒(méi)有符合B2標(biāo)準(zhǔn)的產(chǎn)品標(biāo)準(zhǔn)的產(chǎn)品B3級(jí)級(jí) 安全域安全域 該級(jí)的該級(jí)的TCB必須滿(mǎn)足訪問(wèn)監(jiān)控器的要求，審計(jì)跟必須滿(mǎn)足訪問(wèn)監(jiān)控器的要求，審計(jì)跟蹤能力更強(qiáng)，并提供系統(tǒng)恢復(fù)過(guò)程。蹤能力更強(qiáng)，并提供系統(tǒng)恢復(fù)過(guò)程。A1級(jí)級(jí)

14、 驗(yàn)證設(shè)計(jì)，即提供驗(yàn)證設(shè)計(jì)，即提供B3級(jí)保護(hù)的同時(shí)給出系統(tǒng)的形級(jí)保護(hù)的同時(shí)給出系統(tǒng)的形式化設(shè)計(jì)說(shuō)明和驗(yàn)證以確信各安全保護(hù)真正實(shí)現(xiàn)式化設(shè)計(jì)說(shuō)明和驗(yàn)證以確信各安全保護(hù)真正實(shí)現(xiàn)B2以上的系統(tǒng)以上的系統(tǒng) 還處于理論研究階段還處于理論研究階段 應(yīng)用多限于一些特殊的部門(mén)如軍隊(duì)等應(yīng)用多限于一些特殊的部門(mén)如軍隊(duì)等 美國(guó)正在大力發(fā)展安全產(chǎn)品，試圖將目前僅限于美國(guó)正在大力發(fā)展安全產(chǎn)品，試圖將目前僅限于少數(shù)領(lǐng)域應(yīng)用的少數(shù)領(lǐng)域應(yīng)用的B2安全級(jí)別下放到商業(yè)應(yīng)用中來(lái)，安全級(jí)別下放到商業(yè)應(yīng)用中來(lái)，并逐步成為新的商業(yè)標(biāo)準(zhǔn)。并逐步成為新的商業(yè)標(biāo)準(zhǔn)。不支持不支持新增支持新增支持支持同相鄰低一級(jí)支持同相鄰低一級(jí)支持較下一級(jí)有增加或

15、改動(dòng)支持較下一級(jí)有增加或改動(dòng)計(jì)算機(jī)系統(tǒng)的安全模型計(jì)算機(jī)系統(tǒng)的安全模型 應(yīng)用應(yīng)用DBMSOS DB 低低 高高安全性控制層次安全性控制層次 方法：方法： 用戶(hù)標(biāo)識(shí)用戶(hù)標(biāo)識(shí)和鑒定和鑒定 存取控制存取控制審計(jì)審計(jì)視圖視圖 操作系統(tǒng)操作系統(tǒng) 安全保護(hù)安全保護(hù) 密碼存儲(chǔ)密碼存儲(chǔ)用戶(hù)編寫(xiě)一段合法的程序繞過(guò)用戶(hù)編寫(xiě)一段合法的程序繞過(guò)DBMS及其授權(quán)機(jī)制，及其授權(quán)機(jī)制，通過(guò)操作系統(tǒng)直接存取、修改或備份數(shù)據(jù)庫(kù)中的數(shù)通過(guò)操作系統(tǒng)直接存取、修改或備份數(shù)據(jù)庫(kù)中的數(shù)據(jù)；據(jù)；直接或編寫(xiě)應(yīng)用程序執(zhí)行非授權(quán)操作；直接或編寫(xiě)應(yīng)用程序執(zhí)行非授權(quán)操作；通過(guò)多次合法查詢(xún)數(shù)據(jù)庫(kù)從中推導(dǎo)出一些保密數(shù)據(jù)通過(guò)多次合法查詢(xún)數(shù)據(jù)庫(kù)從中推導(dǎo)出一些

16、保密數(shù)據(jù) 例：某數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)禁止查詢(xún)單個(gè)人的工資，但允許例：某數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)禁止查詢(xún)單個(gè)人的工資，但允許查任意一組人的平均工資。用戶(hù)甲想了解張三的工資，查任意一組人的平均工資。用戶(hù)甲想了解張三的工資，于是他于是他?破壞安全性的行為可能是無(wú)意的，故意的，惡意的破壞安全性的行為可能是無(wú)意的，故意的，惡意的用戶(hù)標(biāo)識(shí)和鑒定用戶(hù)標(biāo)識(shí)和鑒定存取控制存取控制視圖視圖審計(jì)審計(jì)密碼存儲(chǔ)密碼存儲(chǔ)Identification & Authentication, 系統(tǒng)提供的最外層系統(tǒng)提供的最外層安全保護(hù)措施安全保護(hù)措施基本方法基本方法 系統(tǒng)提供一定的方式讓用戶(hù)標(biāo)識(shí)自己的名字或身份；系統(tǒng)提供一定的方式讓用戶(hù)標(biāo)識(shí)自己的

17、名字或身份； 系統(tǒng)內(nèi)部記錄著所有合法用戶(hù)的標(biāo)識(shí)；系統(tǒng)內(nèi)部記錄著所有合法用戶(hù)的標(biāo)識(shí)； 每次用戶(hù)要求進(jìn)入系統(tǒng)時(shí)，由系統(tǒng)核對(duì)用戶(hù)提供的身份標(biāo)每次用戶(hù)要求進(jìn)入系統(tǒng)時(shí)，由系統(tǒng)核對(duì)用戶(hù)提供的身份標(biāo)識(shí)；識(shí)； 通過(guò)鑒定后才提供機(jī)器使用權(quán)。通過(guò)鑒定后才提供機(jī)器使用權(quán)。 用戶(hù)標(biāo)識(shí)和鑒定可以重復(fù)多次用戶(hù)標(biāo)識(shí)和鑒定可以重復(fù)多次常用方法常用方法 用戶(hù)名用戶(hù)名/口令口令 簡(jiǎn)單易行，容易被人竊取簡(jiǎn)單易行，容易被人竊取 每個(gè)用戶(hù)預(yù)先約定好一個(gè)計(jì)算過(guò)程或者函數(shù)每個(gè)用戶(hù)預(yù)先約定好一個(gè)計(jì)算過(guò)程或者函數(shù) 系統(tǒng)提供一個(gè)隨機(jī)數(shù)系統(tǒng)提供一個(gè)隨機(jī)數(shù) 用戶(hù)根據(jù)自己預(yù)先約定的計(jì)算過(guò)程或者函數(shù)進(jìn)用戶(hù)根據(jù)自己預(yù)先約定的計(jì)算過(guò)程或者函數(shù)進(jìn)行計(jì)算行計(jì)算

18、 系統(tǒng)根據(jù)用戶(hù)計(jì)算結(jié)果是否正確鑒定用戶(hù)身份系統(tǒng)根據(jù)用戶(hù)計(jì)算結(jié)果是否正確鑒定用戶(hù)身份存取控制機(jī)制的功能存取控制機(jī)制的功能 確保只授權(quán)給有資格的用戶(hù)訪問(wèn)確保只授權(quán)給有資格的用戶(hù)訪問(wèn)DB的權(quán)限，的權(quán)限，同時(shí)令所有未被授權(quán)的人員無(wú)法接近數(shù)據(jù)同時(shí)令所有未被授權(quán)的人員無(wú)法接近數(shù)據(jù)存取控制機(jī)制的組成存取控制機(jī)制的組成 定義存取權(quán)限定義存取權(quán)限 檢查存取權(quán)限檢查存取權(quán)限用戶(hù)權(quán)限定義和合法權(quán)檢查機(jī)制一起組成了用戶(hù)權(quán)限定義和合法權(quán)檢查機(jī)制一起組成了DBMS的安全子系統(tǒng)的安全子系統(tǒng)定義存取權(quán)限定義存取權(quán)限 在數(shù)據(jù)庫(kù)系統(tǒng)中，為了保證用戶(hù)只能訪問(wèn)在數(shù)據(jù)庫(kù)系統(tǒng)中，為了保證用戶(hù)只能訪問(wèn)他有權(quán)存取的數(shù)據(jù)，必須預(yù)先對(duì)每個(gè)用戶(hù)他

19、有權(quán)存取的數(shù)據(jù)，必須預(yù)先對(duì)每個(gè)用戶(hù)定義存取權(quán)限。定義存取權(quán)限。檢查存取權(quán)限檢查存取權(quán)限 對(duì)于通過(guò)鑒定獲得上機(jī)權(quán)的用戶(hù)（即合法對(duì)于通過(guò)鑒定獲得上機(jī)權(quán)的用戶(hù)（即合法用戶(hù)），系統(tǒng)根據(jù)他的存取權(quán)限定義對(duì)他用戶(hù)），系統(tǒng)根據(jù)他的存取權(quán)限定義對(duì)他的各種操作請(qǐng)求進(jìn)行控制，確保他只執(zhí)行的各種操作請(qǐng)求進(jìn)行控制，確保他只執(zhí)行合法操作。合法操作。自主存取控制自主存取控制 DAC （Discretionary Access Control ），）， C2級(jí)，級(jí)， 靈活靈活 同一用戶(hù)對(duì)于不同的數(shù)據(jù)對(duì)象有不同的存取權(quán)限，不同同一用戶(hù)對(duì)于不同的數(shù)據(jù)對(duì)象有不同的存取權(quán)限，不同的用戶(hù)對(duì)同一對(duì)象也有不同的權(quán)限，用戶(hù)還可將其擁有的用

20、戶(hù)對(duì)同一對(duì)象也有不同的權(quán)限，用戶(hù)還可將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶(hù)的存取權(quán)限轉(zhuǎn)授給其他用戶(hù)強(qiáng)制存取控制強(qiáng)制存取控制 MAC（Mandatory Access Control），）， B1級(jí)，嚴(yán)格級(jí)，嚴(yán)格 每一個(gè)數(shù)據(jù)對(duì)象被標(biāo)以一定的密級(jí)，每一個(gè)用戶(hù)也被授每一個(gè)數(shù)據(jù)對(duì)象被標(biāo)以一定的密級(jí)，每一個(gè)用戶(hù)也被授予某一個(gè)級(jí)別的許可證，對(duì)于任意一個(gè)對(duì)象，只有具有予某一個(gè)級(jí)別的許可證，對(duì)于任意一個(gè)對(duì)象，只有具有合法許可證的用戶(hù)才可以存取合法許可證的用戶(hù)才可以存取定義存取權(quán)限定義存取權(quán)限 存取權(quán)限：存取權(quán)限： 存取權(quán)限由兩個(gè)要素組成（數(shù)據(jù)對(duì)象，存取權(quán)限由兩個(gè)要素組成（數(shù)據(jù)對(duì)象，操作類(lèi)型）操作類(lèi)型） 關(guān)系系統(tǒng)中的

21、存取權(quán)限：類(lèi)型關(guān)系系統(tǒng)中的存取權(quán)限：類(lèi)型數(shù)據(jù)對(duì)象數(shù)據(jù)對(duì)象操作類(lèi)型操作類(lèi)型模模 式式模模 式式外模式外模式內(nèi)模式內(nèi)模式建立、修改、檢索建立、修改、檢索建立、修改、檢索建立、修改、檢索建立、修改、檢索建立、修改、檢索數(shù)數(shù) 據(jù)據(jù)表表屬性列屬性列查找、插入、修改、刪除查找、插入、修改、刪除查找、插入、修改、刪除查找、插入、修改、刪除定義方法：定義方法：GRANT/REVOKE 例例: 一張授權(quán)表一張授權(quán)表 用戶(hù)名用戶(hù)名 數(shù)據(jù)對(duì)象名數(shù)據(jù)對(duì)象名 允許的操作類(lèi)型允許的操作類(lèi)型 王王 平平 關(guān)系關(guān)系Student SELECT 張明霞張明霞 關(guān)系關(guān)系Student UPDATE 張明霞張明霞 關(guān)系關(guān)系Cour

22、se ALL 張明霞張明霞 SC. Grade UPDATE 張明霞張明霞 SC. Sno SELECT 張明霞張明霞 SC. Cno SELECT檢查存取權(quán)限檢查存取權(quán)限 對(duì)于獲得上機(jī)權(quán)后又進(jìn)一步發(fā)出存取數(shù)據(jù)庫(kù)操作的對(duì)于獲得上機(jī)權(quán)后又進(jìn)一步發(fā)出存取數(shù)據(jù)庫(kù)操作的用戶(hù)用戶(hù) DBMS查找數(shù)據(jù)字典，根據(jù)其存取權(quán)限對(duì)操作查找數(shù)據(jù)字典，根據(jù)其存取權(quán)限對(duì)操作的合法性進(jìn)行檢查的合法性進(jìn)行檢查 若用戶(hù)的操作請(qǐng)求超出了定義的權(quán)限，系統(tǒng)將若用戶(hù)的操作請(qǐng)求超出了定義的權(quán)限，系統(tǒng)將拒絕執(zhí)行此操作拒絕執(zhí)行此操作 授權(quán)粒度：指可以定義的數(shù)據(jù)對(duì)象的范圍授權(quán)粒度：指可以定義的數(shù)據(jù)對(duì)象的范圍 它是衡量授權(quán)機(jī)制是否靈活的一個(gè)重要

23、指標(biāo)它是衡量授權(quán)機(jī)制是否靈活的一個(gè)重要指標(biāo) 授權(quán)定義中數(shù)據(jù)對(duì)象的粒度越細(xì)，即可以定義的授權(quán)定義中數(shù)據(jù)對(duì)象的粒度越細(xì)，即可以定義的數(shù)據(jù)對(duì)象的范圍越小，授權(quán)子系統(tǒng)就越靈活，但數(shù)據(jù)對(duì)象的范圍越小，授權(quán)子系統(tǒng)就越靈活，但系統(tǒng)定義與檢查權(quán)限的開(kāi)銷(xiāo)會(huì)相應(yīng)增大系統(tǒng)定義與檢查權(quán)限的開(kāi)銷(xiāo)會(huì)相應(yīng)增大 能否提供與數(shù)據(jù)值有關(guān)的授權(quán)反映了授權(quán)子系統(tǒng)能否提供與數(shù)據(jù)值有關(guān)的授權(quán)反映了授權(quán)子系統(tǒng)精巧程度精巧程度 關(guān)系數(shù)據(jù)庫(kù)中授權(quán)的數(shù)據(jù)對(duì)象粒度關(guān)系數(shù)據(jù)庫(kù)中授權(quán)的數(shù)據(jù)對(duì)象粒度 數(shù)據(jù)庫(kù)，數(shù)據(jù)庫(kù)， 表，表， 屬性列，屬性列， 行行實(shí)現(xiàn)與數(shù)據(jù)值有關(guān)的授權(quán)實(shí)現(xiàn)與數(shù)據(jù)值有關(guān)的授權(quán) 利用存取謂詞利用存取謂詞 存取謂詞可以很復(fù)雜存取謂詞可以很

24、復(fù)雜 可以引用系統(tǒng)變量，如終端設(shè)備號(hào)，系統(tǒng)時(shí)可以引用系統(tǒng)變量，如終端設(shè)備號(hào)，系統(tǒng)時(shí)鐘等，實(shí)現(xiàn)與時(shí)間地點(diǎn)有關(guān)的存取權(quán)限，這鐘等，實(shí)現(xiàn)與時(shí)間地點(diǎn)有關(guān)的存取權(quán)限，這樣用戶(hù)只能在某段時(shí)間內(nèi)，某臺(tái)終端上存取樣用戶(hù)只能在某段時(shí)間內(nèi)，某臺(tái)終端上存取有關(guān)數(shù)據(jù)有關(guān)數(shù)據(jù) 例：規(guī)定例：規(guī)定“教師只能在每年教師只能在每年1月份和月份和7月份星期一月份星期一至星期五上午至星期五上午8點(diǎn)到下午點(diǎn)到下午5點(diǎn)處理學(xué)生成績(jī)數(shù)據(jù)點(diǎn)處理學(xué)生成績(jī)數(shù)據(jù)”。例：擴(kuò)充后的授權(quán)表例：擴(kuò)充后的授權(quán)表 用戶(hù)名用戶(hù)名 數(shù)據(jù)對(duì)象名數(shù)據(jù)對(duì)象名 允許的操作類(lèi)型允許的操作類(lèi)型 存取謂詞存取謂詞王平王平 關(guān)系關(guān)系Student SELECT Sdept=

25、CS 張明霞張明霞 關(guān)系關(guān)系Student UPDATE Sname= 張明霞張明霞 張明霞張明霞 關(guān)系關(guān)系 Course ALL 空空機(jī)制：機(jī)制： 定義存取權(quán)限：定義存取權(quán)限：用戶(hù)用戶(hù) 檢查存取權(quán)限：檢查存取權(quán)限：DBMS優(yōu)點(diǎn)：優(yōu)點(diǎn)：能夠通過(guò)授權(quán)機(jī)制有效地控制其他用戶(hù)對(duì)敏能夠通過(guò)授權(quán)機(jī)制有效地控制其他用戶(hù)對(duì)敏感數(shù)據(jù)的存取感數(shù)據(jù)的存取缺點(diǎn)：缺點(diǎn)：可能存在數(shù)據(jù)的可能存在數(shù)據(jù)的“無(wú)意泄露無(wú)意泄露”原因：原因：這種機(jī)制僅僅通過(guò)對(duì)數(shù)據(jù)的存取權(quán)限來(lái)進(jìn)行這種機(jī)制僅僅通過(guò)對(duì)數(shù)據(jù)的存取權(quán)限來(lái)進(jìn)行安全控制，而數(shù)據(jù)本身并無(wú)安全性標(biāo)記。安全控制，而數(shù)據(jù)本身并無(wú)安全性標(biāo)記。 解決：解決：對(duì)系統(tǒng)控制下的所有主客體實(shí)施強(qiáng)

26、制存取控對(duì)系統(tǒng)控制下的所有主客體實(shí)施強(qiáng)制存取控制策略制策略強(qiáng)制存取控制強(qiáng)制存取控制(MAC)： 指系統(tǒng)為保證更高程度的安全性，按照指系統(tǒng)為保證更高程度的安全性，按照TDI/TCSEC標(biāo)準(zhǔn)中安全策略的要求，所采取的標(biāo)準(zhǔn)中安全策略的要求，所采取的強(qiáng)制存取檢查手段強(qiáng)制存取檢查手段 MAC不是用戶(hù)能直接感知或進(jìn)行控制的不是用戶(hù)能直接感知或進(jìn)行控制的 MAC適用于對(duì)數(shù)據(jù)有嚴(yán)格而固定密級(jí)分類(lèi)的部適用于對(duì)數(shù)據(jù)有嚴(yán)格而固定密級(jí)分類(lèi)的部門(mén)門(mén) 軍事部門(mén)，軍事部門(mén)， 政府部門(mén)政府部門(mén) 在在MAC中，中，DBMS所管理的全部實(shí)體被分所管理的全部實(shí)體被分為主體和客體兩大類(lèi)為主體和客體兩大類(lèi) 主體主體是系統(tǒng)中的活動(dòng)實(shí)體是系統(tǒng)中的活動(dòng)實(shí)體 DBMS所管理的實(shí)際用戶(hù)所管理的實(shí)際用戶(hù)