保障與安全數(shù)據(jù)庫安全

13數(shù)據(jù)庫安全

13.1數(shù)據(jù)庫安全概述

13.2數(shù)據(jù)庫安全策略與安全評價

13.3數(shù)據(jù)庫安全模型

13.4數(shù)據(jù)庫安全技術(shù)

13.5數(shù)據(jù)庫加密

13.6小結(jié)1精選ppt13.1數(shù)據(jù)庫安全概述

數(shù)據(jù)庫系統(tǒng)擔負著存儲和管理數(shù)據(jù)信息的任務(wù)。計算機系統(tǒng)的數(shù)據(jù)組織形式有兩種，一種是文件形式，一種是數(shù)據(jù)庫形式。文件組織形式的數(shù)據(jù)缺乏數(shù)據(jù)共享性，而數(shù)據(jù)庫組織形式的數(shù)據(jù)具有共享性、獨立性、一致性、完整性和可訪問控制，現(xiàn)已成為計算機系統(tǒng)存儲數(shù)據(jù)的主要形式。因為操作系統(tǒng)對數(shù)據(jù)庫文件沒有特殊的安全保護措施，數(shù)據(jù)庫的安全必須通過數(shù)據(jù)庫管理系統(tǒng)來實現(xiàn)。數(shù)據(jù)庫的安全性是指保護數(shù)據(jù)庫以防止不合法的使用所造成的數(shù)據(jù)泄漏、更改或破壞。

2精選ppt數(shù)據(jù)庫系統(tǒng)的組成數(shù)據(jù)庫系統(tǒng)，分成兩部分：一部分是數(shù)據(jù)庫，按一定的方式存取數(shù)據(jù)；另一部分是數(shù)據(jù)庫管理系統(tǒng)，為用戶及應(yīng)用程序提供數(shù)據(jù)訪問，并具有對數(shù)據(jù)庫進行管理、維護等多種功能。數(shù)據(jù)庫數(shù)據(jù)庫，就是若干數(shù)據(jù)的集合體。因此數(shù)據(jù)庫要由數(shù)據(jù)庫管理系統(tǒng)進行科學地組織和管理，以確保數(shù)據(jù)庫的安全性和完整性。13.1數(shù)據(jù)庫安全概述3精選ppt關(guān)系、層次和網(wǎng)狀型數(shù)據(jù)庫模型（1）關(guān)系結(jié)構(gòu)模型：把一些復雜的數(shù)據(jù)結(jié)構(gòu)歸結(jié)為簡單的二元關(guān)系(即二維表格形式)，按照關(guān)系運算理論(主要是三范式原則)組織與管理數(shù)據(jù)。（2）層次結(jié)構(gòu)模型：實質(zhì)上是一種有根節(jié)點的定向有序樹(在離散數(shù)學中“樹”被定義為一個無回路的連通圖)。（3）網(wǎng)狀結(jié)構(gòu)模型：按照網(wǎng)狀數(shù)據(jù)結(jié)構(gòu)建立的數(shù)據(jù)庫系統(tǒng)稱為網(wǎng)狀數(shù)據(jù)庫系統(tǒng)。13.1數(shù)據(jù)庫安全概述4精選ppt數(shù)據(jù)庫管理系統(tǒng)DBMS的主要職能

1）有正確的編譯功能，能正確執(zhí)行規(guī)定的操作。

2）能正確執(zhí)行數(shù)據(jù)庫命令。3）能保證數(shù)據(jù)的安全性、完整性，能抵御一定程度的物理破壞，能維護和提交數(shù)據(jù)庫內(nèi)容。

4）能識別用戶、分配授權(quán)和進行訪問控制。

5）順利執(zhí)行數(shù)據(jù)庫訪問，保證網(wǎng)絡(luò)通信功能。13.1數(shù)據(jù)庫安全概述5精選ppt

數(shù)據(jù)庫的特性（1）多用戶（2）高可用性（3）頻繁的更新（4）大文件（5）安全性與可靠性問題復雜13.1數(shù)據(jù)庫安全概述6精選ppt

問題的提出數(shù)據(jù)庫的一大特點是數(shù)據(jù)可以共享但數(shù)據(jù)共享必然帶來數(shù)據(jù)庫的安全性問題數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)共享不能是無條件的共享例：軍事秘密、國家機密、新產(chǎn)品實驗數(shù)據(jù)、市場需求分析、市場營銷策略、銷售計劃、客戶檔案、醫(yī)療檔案、銀行儲蓄數(shù)據(jù)13.1數(shù)據(jù)庫安全概述7精選ppt13.1數(shù)據(jù)庫安全概述

數(shù)據(jù)庫中數(shù)據(jù)的共享是在DBMS統(tǒng)一的嚴格的控制之下的共享，即只允許有合法使用權(quán)限的用戶訪問允許他存取的數(shù)據(jù)數(shù)據(jù)庫系統(tǒng)的安全保護措施是否有效是數(shù)據(jù)庫系統(tǒng)主要的性能指標之一數(shù)據(jù)庫是網(wǎng)絡(luò)系統(tǒng)的核心部分，有價值的數(shù)據(jù)資源都存放在其中，這些共享的數(shù)據(jù)資源既要面對必需的可用性需求，又要面對被篡改、損壞和被竊取的威脅。8精選ppt13.1數(shù)據(jù)庫安全概述13.1.1數(shù)據(jù)庫面臨的安全威脅（1）數(shù)據(jù)輸入或處理中的錯誤（2）硬件故障引起的信息破壞或丟失（3）軟件保護功能失效造成信息泄漏（4）非授權(quán)用戶的非法存取或篡改數(shù)據(jù)（5）授權(quán)者制定不正確、不安全的防護策略（6）操作者復制和泄漏機密、敏感的數(shù)據(jù)資料（7）系統(tǒng)設(shè)計者回避安全功能，安裝不安全的資料（8）應(yīng)用程序員設(shè)計、安裝了特洛伊木馬軟件（9）終端放置在不安全的環(huán)境中而被竊聽（10）終端使用者隱瞞自己身份，進行不正確的輸入（11）病毒侵入系統(tǒng)，破壞或修改了數(shù)據(jù)庫軟件9精選ppt13.1.2數(shù)據(jù)庫安全的重要性（主要原因）（1）在數(shù)據(jù)庫中，由于數(shù)據(jù)的冗余度小，數(shù)據(jù)庫一旦被修改，原來存儲的數(shù)據(jù)就被破壞，而且這些數(shù)據(jù)無法恢復。因此，必須加強數(shù)據(jù)庫恢復技術(shù)，當系統(tǒng)或程序出現(xiàn)故障后，能恢復數(shù)據(jù)庫。（2）由于大部分數(shù)據(jù)庫是聯(lián)機工作的，可以支持多個用戶同時存取，因此必須采取措施防止由此引起的破壞數(shù)據(jù)完整性的問題。（3）數(shù)據(jù)庫中保存著大量的數(shù)據(jù)，這些數(shù)據(jù)有多個用戶共享，而他們的職責和權(quán)力又有所不同，因此必須限制數(shù)據(jù)庫用戶，不允許他們訪問非授權(quán)數(shù)據(jù)，并嚴格控制用戶修改數(shù)據(jù)，以免造成其他用戶對數(shù)據(jù)訪問的正確性。（4）數(shù)據(jù)庫還涉及其他應(yīng)用軟件，因而數(shù)據(jù)庫的安全還涉及應(yīng)用軟件的安全與系統(tǒng)的安全。10精選ppt

13.1.3數(shù)據(jù)庫的保密性數(shù)據(jù)庫管理系統(tǒng)DBMS要求嚴格的用戶身份鑒別。為了進一步加強數(shù)據(jù)庫系統(tǒng)的安全性，必須對使用數(shù)據(jù)庫的時間和地點加以限制。在指定時間、指定終端上登錄上機的用戶進行身份標識（ID）和口令的鑒別是對操作系統(tǒng)身份鑒別的一種補充。數(shù)據(jù)庫管理系統(tǒng)的訪問控制分為兩類：任意訪問控制和強制訪問控制。（1）任意訪問控制可以通過控制矩陣進行。（2）在數(shù)據(jù)庫管理系統(tǒng)中，強制訪問控制也是通過與軍事安全類似的方法來實現(xiàn)。11精選ppt

13.1.4數(shù)據(jù)庫系統(tǒng)的安全需求

1.數(shù)據(jù)庫安全需求數(shù)據(jù)庫的安全性是指保護數(shù)據(jù)庫以防止不合法的使用所造成的數(shù)據(jù)泄漏、更改或破壞。對于數(shù)據(jù)庫的安全威脅，必須采取有效措施，以滿足其安全需求。（1）數(shù)據(jù)庫完整性（2）元素的完整性（3）可審計性（4）訪問控制（5）用戶認證（6）可獲用性12精選ppt表.1數(shù)據(jù)庫系統(tǒng)安全需求13精選ppt（1）數(shù)據(jù)庫的完整性

在物理完整性方面，要求從硬件或環(huán)境方面保護數(shù)據(jù)庫的安全，防止數(shù)據(jù)被破壞或不可讀。例如，應(yīng)該有措施解決掉電時數(shù)據(jù)不丟失不破壞的問題，存儲介質(zhì)損壞時數(shù)據(jù)的可利用性問題，還應(yīng)該有防止各種災害（如火災、地震等）對數(shù)據(jù)庫造成不可彌補的損失，應(yīng)該有災后數(shù)據(jù)庫快速恢復能力。數(shù)據(jù)庫的物理完整性和數(shù)據(jù)庫留駐的計算機系統(tǒng)硬件可靠性與安全性有關(guān)，也與環(huán)境的安全保障措施有關(guān)。

14精選ppt在邏輯完整性方面，要求保持數(shù)據(jù)庫邏輯結(jié)構(gòu)的完整性，需要嚴格控制數(shù)據(jù)庫的創(chuàng)立與刪除、庫表的建立、刪除和更改的操作，這些操作只能允許具有數(shù)據(jù)庫擁有者或系統(tǒng)管理員權(quán)限的人才能夠進行。邏輯完整性還包括數(shù)據(jù)庫結(jié)構(gòu)和庫表結(jié)構(gòu)設(shè)計的合理性，盡量減少字段與字段之間、庫表與庫表之間不必要的關(guān)聯(lián)，減少不必要的冗余字段，防止發(fā)生修改一個字段的值影響其他字段的情況。

（1）數(shù)據(jù)庫的完整性

15精選ppt元素完整性主要是指保持數(shù)據(jù)字段內(nèi)容的正確性與準確性。元素完整性需要由DBMS、應(yīng)用軟件的開發(fā)者和用戶共同完成。軟件開發(fā)者應(yīng)該在應(yīng)用程序中增加對字段值的錄入或更新的檢查驗證，例如應(yīng)該檢查輸入數(shù)據(jù)是否與字段類型、取值要求一致，例如性別的取值不應(yīng)該是“男”、“女”或其它代表男、女的特征值以外的結(jié)果，年齡字段的值不超過150、不低于0等；還需要檢查輸入值是否滿足字段之間的約束條件。

（2）元素的完整性

16精選ppt數(shù)據(jù)庫管理系統(tǒng)DBMS對保證元素完整性方面起著重要作用，它用三種方式維護數(shù)據(jù)庫中數(shù)據(jù)元素的完整性。①字段檢查：可防止輸入數(shù)據(jù)時可能出現(xiàn)的錯誤。②訪問控制：提供訪問控制機制最大限度地減少未授權(quán)用戶對數(shù)據(jù)庫的修改，保護數(shù)據(jù)庫的完整性、真實性和一致性。17精選ppt③更改日志DBMS維護數(shù)據(jù)完整性的另一個有力措施是數(shù)據(jù)庫日志功能，該日志能夠記錄用戶每次登錄和訪問數(shù)據(jù)庫的情況以及數(shù)據(jù)庫記錄每次發(fā)生的改變，記錄內(nèi)容包括訪問用戶ID、修改日期、數(shù)據(jù)項修改前的值和修改后的值。利用該日志系統(tǒng)管理員可以撤消對數(shù)據(jù)庫的錯誤修改，可以把數(shù)據(jù)庫恢復到指定日期以前的狀態(tài)。

18精選ppt（3）可審計性

為了能夠跟蹤對數(shù)據(jù)庫的訪問，及時發(fā)現(xiàn)對數(shù)據(jù)庫的非法訪問和修改，需要對訪問數(shù)據(jù)庫的一些重要事件進行記錄，利用這些記錄可以協(xié)助維護數(shù)據(jù)庫的完整性，還可以幫助事后發(fā)現(xiàn)是哪一個用戶在什么時間影響過哪些值。如果這個用戶是一個黑客，審計日志可以記錄黑客訪問數(shù)據(jù)庫敏感數(shù)據(jù)的蹤跡和攻擊敏感數(shù)據(jù)的步驟。19精選ppt對于審計粒度與審計對象的選擇，需要考慮存儲空間的消耗問題。審計粒度是指在審計日志中將記錄到哪一個層次上的操作（事件），例如用戶登錄失敗與成功、通行字正確與錯誤、對數(shù)據(jù)庫、庫表、記錄、字段等的訪問成功與錯誤。但小粒度的審計又需要大量的存儲空間，這又是一般數(shù)據(jù)庫系統(tǒng)很難做到的。對于那些要求高度安全的系統(tǒng)來說，這種開銷是需要的。但審計日志也不見得完全反映用戶已經(jīng)從數(shù)據(jù)庫到底獲得了什么值，例如完成選取操作時，可以訪問一個記錄而并不把結(jié)果傳遞給用戶，但在另外的情況下，用戶可以通過間接訪問方式獲得敏感記錄的數(shù)據(jù)，用戶可能已經(jīng)得到了某些敏感數(shù)據(jù)，而在審計日志中卻很難反映出來。20精選ppt（4）訪問控制與用戶認證

和操作系統(tǒng)相比，數(shù)據(jù)庫的訪問控制的難度要大得多。在操作系統(tǒng)中，文件之間沒有關(guān)聯(lián)關(guān)系，但在數(shù)據(jù)庫中，不僅庫表文件之間有關(guān)聯(lián)，在庫表內(nèi)部記錄、字段都是相互關(guān)聯(lián)的。操作系統(tǒng)中控制的粒度是文件，數(shù)據(jù)庫中則需要控制到記錄和字段一級。操作系統(tǒng)中幾百個文件的訪問控制表的復雜性遠比同樣具有幾百個庫表文件，而每個庫表文件又有幾十個字段和數(shù)十萬條記錄的數(shù)據(jù)庫的訪問控制表的復雜性要小得多。21精選ppt由于訪問數(shù)據(jù)庫的用戶的安全等級是不同的，分配給他們的權(quán)限是不一樣的，為了保護數(shù)據(jù)的安全，數(shù)據(jù)庫被邏輯地劃分為不同安全級別數(shù)據(jù)的集合。有的數(shù)據(jù)允許所有用戶訪問，有的則要求用戶具備一定的權(quán)限。在DBMS中，用戶有數(shù)據(jù)庫的創(chuàng)建、刪除，庫表結(jié)構(gòu)的創(chuàng)建、刪除與修改，對記錄的查詢、增加、修改、刪除，對字段的值的錄入、修改、刪除等權(quán)限，DBMS必須提供安全策略管理用戶這些權(quán)限。

22精選ppt由于數(shù)據(jù)庫中的訪問目標數(shù)據(jù)庫、庫表、記錄與字段是相互關(guān)聯(lián)的，字段與字段的值之間、記錄與記錄之間也是具有某種邏輯關(guān)系的，存在通過推理從已知的記錄或字段的值間接獲取其他記錄或字段值的可能。而在操作系統(tǒng)中一般不存在這種推理泄漏問題，它所管理的目標（文件）之間并沒有邏輯關(guān)系。

23精選ppt這就使數(shù)據(jù)庫的訪問控制機制不僅要防止直接的泄漏，而且還要防止推理泄漏的問題，因而使數(shù)據(jù)庫訪問控制機制要比操作系統(tǒng)的復雜得多。限制推理訪問需要為防止推理而限制一些可能的推理路徑。通過這種方法限制可能的推理，也可能限制了合法用戶的正常查詢訪問，會使他們感到系統(tǒng)訪問效率不高甚至一些正常訪問被拒絕。

24精選pptDBMS是作為操作系統(tǒng)的一個應(yīng)用程序運行的，數(shù)據(jù)庫中的數(shù)據(jù)不受操作系統(tǒng)的用戶認證機制的保護，也沒有通往操作系統(tǒng)的可信路徑。DBMS必須建立自己的用戶認證機制。DBMS要求很嚴格的用戶認證功能，例如DBMS可能要求用戶傳遞指定的通行字和時間-日期檢查。DBMS的認證是在操作系統(tǒng)認證之后進行的，這就是說，用戶進入數(shù)據(jù)庫，一個用戶需要進行操作系統(tǒng)和DBMS兩次認證，增加了數(shù)據(jù)庫的安全性。

25精選ppt（5）保密性與可用性

DBMS除了通過訪問控制機制對數(shù)據(jù)庫中的敏感數(shù)據(jù)加強防護外，還可以通過加密技術(shù)對庫中的敏感數(shù)據(jù)加密。但加密雖然可以防止對數(shù)據(jù)的惡意訪問，也顯著地降低了數(shù)據(jù)庫訪問效率。數(shù)據(jù)庫中數(shù)據(jù)并不是任何時候都可以訪問。例如，一個用戶在更新幾個字段時，其他的用戶對這幾個字段的訪問請求便被禁止。當更新完畢時，其他用戶對這些字段的訪問即可獲得。26精選ppt

2.操作系統(tǒng)的安全需求（1）操作系統(tǒng)應(yīng)能防止對數(shù)據(jù)庫管理系統(tǒng)和用戶程序的非法修改（2）操作系統(tǒng)應(yīng)能保護存儲器中的數(shù)據(jù)不被非法修改（3）操作系統(tǒng)應(yīng)能保護數(shù)據(jù)庫，使其中的數(shù)據(jù)安全、完整（4）操作系統(tǒng)應(yīng)能認證數(shù)據(jù)庫的合法用戶，當非法用戶進入時能及時報警（5）操作系統(tǒng)應(yīng)能正確地進行物理I/O操作3.數(shù)據(jù)庫管理系統(tǒng)的需求（1）有正確的編譯功能，能正確地進行規(guī)定的操作（2）能提供正確的系統(tǒng)變量值，能正確地執(zhí)行命令文件（3）能保證數(shù)據(jù)的安全性和完整性，能抵御物理破壞，能維護數(shù)據(jù)庫邏輯的完整性，能恢復數(shù)據(jù)庫中的內(nèi)容（4）能進行用戶識別和訪問控制（5）可用性27精選ppt13.1.5數(shù)據(jù)庫的完整性技術(shù)

前面已經(jīng)介紹了數(shù)據(jù)庫的安全需求問題，下面研究數(shù)據(jù)庫管理系統(tǒng)DBMS防止數(shù)據(jù)丟失或被破壞的辦法，保證數(shù)據(jù)庫完整性、元素完整性和元素準確性（元素值是正確的）的技術(shù)。但所有的解決辦法都不是絕對的，因為任何控制都不能阻止一個有權(quán)用戶有意、無意對數(shù)據(jù)庫中數(shù)據(jù)的破壞。

28精選ppt（1）兩階段提交為了保證數(shù)據(jù)更新結(jié)果的正確性，必須防止在數(shù)據(jù)更新過程中發(fā)生處理程序中斷或出現(xiàn)錯誤。假定需要修改的數(shù)據(jù)是一個長字段，里面存放著幾十個字節(jié)的字符串。如果當僅更新了其中部分字節(jié)時，更新程序或硬件發(fā)生了中斷，結(jié)果該字段的內(nèi)容只被修改了一部分，另一部分仍然為舊值，這種錯誤不容易被發(fā)現(xiàn)。對于同時更新多個字段的情況發(fā)生的問題更加微妙，可能看不出一個字段有明顯錯誤。解決這個問題的辦法是在DBMS中采用兩階段提交（更新）技術(shù)。

29精選ppt第一階段稱為準備階段。

在這一階段中，DBMS收集為完成更新所需要的信息和其他資源，其中可能包括收集數(shù)據(jù)、打開文件、封鎖其他用戶、計算最終的結(jié)果等處理，總之為最后的更新作好準備，但不對數(shù)據(jù)庫作實際的改變。這個階段即使發(fā)生問題，也不影響數(shù)據(jù)庫的正確性。

30精選ppt第二階段的工作是對需要更新的字段進行真正的修改，這種修改是永久性的。在第二階段中，在真正進行提交之前不對數(shù)據(jù)庫采取任何行動。由于如果第二階段出問題，數(shù)據(jù)庫中可能是不完整的數(shù)據(jù)。因此一旦第二階段的更新活動出現(xiàn)任何問題，該階段的活動也需要重復，DBMS會自動將本次提交對數(shù)據(jù)庫執(zhí)行的所有操作都撤消，并恢復到本次修改之前的狀態(tài)，這樣數(shù)據(jù)庫又是完整的了。

31精選ppt上述第一階段和第二階段在數(shù)據(jù)庫管理中合稱為一個“事務(wù)”

（Transaction），所謂事務(wù)是指一組邏輯操作單元,使數(shù)據(jù)從一種狀態(tài)變換到另一種狀態(tài)。為確保數(shù)據(jù)庫中數(shù)據(jù)的一致性,數(shù)據(jù)的操縱應(yīng)當是離散的成組的邏輯單元:當它全部完成時,數(shù)據(jù)的一致性可以保持,而當這個單元中的一部分操作失敗,整個事務(wù)應(yīng)全部視為錯誤,所有從起始點以后的操作應(yīng)全部回退到開始狀態(tài)。

32精選ppt（2）并發(fā)訪問控制

數(shù)據(jù)庫系統(tǒng)通常支持多用戶同時訪問數(shù)據(jù)庫，DBMS需要提供一種因共享數(shù)據(jù)產(chǎn)生沖突的解決的辦法。如果這些用戶不同時訪問同一條記錄，則用戶之間不存在任何問題。當他們同時從一個數(shù)據(jù)項讀數(shù)據(jù)的時候，也不存在相互影響，各自都可以獲取正確的數(shù)據(jù)；但當多個用戶同時讀寫同一個字段的時候，將有可能發(fā)生沖突。DBMS提供解決沖突的機制，例如加鎖/解鎖就是一種解決沖突的辦法。

33精選ppt解決這個問題辦法是DBMS要把整個查詢與更新兩個階段作為一個不可分割的基本操作，把這種可以保持數(shù)據(jù)庫完整性的基本操作定義為一個“事務(wù)”。根據(jù)一個事務(wù)處理的原則，在老李的取款操作沒有完成之前，不考慮接受第二個人的取款請求

34精選ppt并發(fā)訪問的另一個問題是讀與寫之間的沖突，當一個用戶正在更新一個字段的值的時候，另一個用戶恰好進來讀該字段的值，則第二個用戶完全有可能獲取一個僅部分被更新的數(shù)據(jù)。防止這種問題發(fā)生，DBMS為讀、寫用戶分別定義了“讀鎖”和“寫鎖”，當某一記錄或數(shù)據(jù)元素被加了“讀鎖”，其他用戶只能對目標進行讀操作，同時也分別給目標加上各自的“讀鎖”，而目標一旦被加了“讀鎖”，要對其進行寫操作的用戶只能等待，若目標即沒有“寫鎖”，也沒有“讀鎖”，寫操作用戶在進行寫操作之前，首先對目標加“寫鎖”，有了“寫鎖”的目標，任何用戶不得進行讀、寫操作。這樣在第一個用戶開始更新時將該字段（或一條記錄）加寫鎖，在更新操作結(jié)束之后再解鎖。在封鎖期間，另一個用戶禁止一切讀、寫操作35精選ppt（3）觸發(fā)器DBMS提供觸發(fā)器（triger）功能，用于監(jiān)視正在輸入或修改的值是否破壞數(shù)據(jù)庫的完整性。觸發(fā)器可以檢查正在輸入的數(shù)據(jù)是否與數(shù)據(jù)庫其他部分保持一致，或者與特定字段的屬性是否一致。觸發(fā)器可以完成以下功能：

36精選ppt1）檢查取值類型與范圍

觸發(fā)器檢查每個字段的輸入數(shù)據(jù)的類型與該字段的類型是否一致，例如，是否向字符類型的字段輸入數(shù)值型的值，若不一致則拒絕寫入；范圍比較則是檢查輸入數(shù)據(jù)是在該字段允許的范圍內(nèi)，例如，成績的分類是“優(yōu)秀”、“良好”、“及格”、“不及格”，如果當前輸入的是“中等”，則拒絕寫入。

37精選ppt2）依據(jù)狀態(tài)限制

狀態(tài)限制是指為保證整個數(shù)據(jù)庫的完整性而設(shè)置的一些限制，數(shù)據(jù)庫的值在任何時候都不應(yīng)該違反這些限制。如果某時刻數(shù)據(jù)庫的狀態(tài)不滿足限制條件，就意味著數(shù)據(jù)庫的某些值存在錯誤。

在前面談到的兩階段更新過程中的提交標志，該標志在提交階段一開始就被設(shè)置，在提交階段結(jié)束時被清除。DBMS可以利用提交標志作為一種限制，它的置位表示數(shù)據(jù)庫處于不完整狀態(tài)，此時應(yīng)拒絕用戶訪問。

38精選ppt3）依據(jù)業(yè)務(wù)限制

業(yè)務(wù)限制是指對數(shù)據(jù)庫進行修改必須滿足數(shù)據(jù)庫存儲內(nèi)容的業(yè)務(wù)要求，作出相應(yīng)的限制。例如對于有名額限制的錄取數(shù)據(jù)庫，當向數(shù)據(jù)庫增加新的錄取人員時，必須滿足名額還有空缺這一限制條件。

39精選ppt業(yè)務(wù)限制和字段之間取值關(guān)聯(lián)的問題與具體業(yè)務(wù)內(nèi)容情況相關(guān)，其中包括許多常識性知識，徹底檢查這一類的不一致性，需要在程序中增加一些常識性推理功能，既檢查程序需要有一些“智能”處理能力。簡單的范圍檢查可以在多數(shù)DBMS中實現(xiàn)，而更為復雜的狀態(tài)和業(yè)務(wù)限制則需要有用戶編寫專門的檢測程序，供DBMS在每次檢查活動中調(diào)用。

40精選ppt13.1.6數(shù)據(jù)庫系統(tǒng)安全的含義

（1）系統(tǒng)運行安全系統(tǒng)運行安全包括：法律、政策的保護，如用戶是否有合法權(quán)利，政策是否允許等；物理控制安全，如機房加鎖等；硬件運行安全；操作系統(tǒng)安全，如數(shù)據(jù)文件是否保護等；災害、故障恢復；死鎖的避免和解除；電磁信息泄漏防止。（2）系統(tǒng)信息安全系統(tǒng)信息安全包括：用戶口令字鑒別；用戶存取權(quán)限控制；數(shù)據(jù)存取權(quán)限、方式控制；審計跟蹤；數(shù)據(jù)加密。41精選ppt13.2數(shù)據(jù)庫安全策略與安全評價

13.2.1數(shù)據(jù)庫的安全策略1.傳統(tǒng)的數(shù)據(jù)庫文件安全策略傳統(tǒng)的數(shù)據(jù)庫文件安全主要通過以下三個途徑來實現(xiàn):（1）依靠操作系統(tǒng)的訪問控制功能實現(xiàn)（2）采用用戶身份認證實現(xiàn)（3）通過對數(shù)據(jù)庫加密來實現(xiàn)2.數(shù)據(jù)庫文件安全技術(shù)的局限性（1）安全技術(shù)的主要不足①首先，數(shù)據(jù)庫文件的安全性完全依賴于操作系統(tǒng)，當系統(tǒng)配置不當時，安全根本得不到保證；其次，當數(shù)據(jù)庫文件在目錄或計算機間移動時，這種保護不復存在②數(shù)據(jù)庫文件的安全完全依賴于基于密碼校驗的身份認證③數(shù)據(jù)庫文件一般都很大，因此，采用這種技術(shù)進行加密和解密的時間代價很大42精選ppt

（2）實例--Access97/2000數(shù)據(jù)庫的安全問題Access97/2000提供了用戶身份認證和數(shù)據(jù)庫文件加密等技術(shù)。在實際應(yīng)用中，用戶一般采用給數(shù)據(jù)庫添加密碼（用戶身份認證）來限制非法用戶的訪問。Access97/2000身份認證技術(shù)所存在的安全隱患在如下幾個方面：①密碼數(shù)據(jù)區(qū)可以被還原②密碼可以被破解③密碼容易被猜測④數(shù)據(jù)庫文件頭可以重新構(gòu)造43精選ppt

3.數(shù)據(jù)庫安全新策略新的數(shù)據(jù)庫文件安全技術(shù)應(yīng)具有以下的特點:（1）安全性不受操作系統(tǒng)平臺影響（2）加密內(nèi)容的適量（3）采用先進的加密技術(shù)（4）加密和數(shù)據(jù)壓縮結(jié)合（5）身份認證陷阱（6）數(shù)據(jù)庫文件反復制的能力4.建立數(shù)據(jù)庫安全性策略（1）系統(tǒng)安全性策略①管理數(shù)據(jù)庫用戶②用戶身份確認③操作系統(tǒng)安全性44精選ppt

（2）數(shù)據(jù)的安全性策略①一般用戶的安全性a.密碼的安全性b.權(quán)限管理②終端用戶的安全性（3）數(shù)據(jù)庫管理者安全性策略①保護sys和system用戶的連接②保護管理者與數(shù)據(jù)庫的連接③使用角色對管理者權(quán)限進行管理45精選ppt

（4）應(yīng)用程序開發(fā)者的安全策略①應(yīng)用程序開發(fā)者及其權(quán)限②應(yīng)用程序開發(fā)者的環(huán)境.應(yīng)用程序開發(fā)者不應(yīng)與終端用戶競爭數(shù)據(jù)庫資源.程序開發(fā)者不能損害數(shù)據(jù)庫其他應(yīng)用產(chǎn)品③free和controlled應(yīng)用程序開發(fā)a.freedevelopmentb.controlleddevelopment④應(yīng)用程序開發(fā)者的角色和權(quán)限⑤加強應(yīng)用程序開發(fā)者的空間限制a.開發(fā)者可以創(chuàng)建table或index的表空間b.在每一個表空間中，開發(fā)者所擁有的空間份額46精選ppt

5.安全策略的實現(xiàn)

數(shù)據(jù)庫文件反復制能力實現(xiàn)的基本思想如下:（1）數(shù)據(jù)庫管理系統(tǒng)在存儲數(shù)據(jù)庫文件時，用本地計算機的一些硬件信息及用戶密碼加密數(shù)據(jù)庫文件的文件特征說明部分和字段說明部分（2）數(shù)據(jù)庫管理系統(tǒng)在打開數(shù)據(jù)庫文件時，自動調(diào)用本地計算機的一些硬件信息及用戶密碼，解密數(shù)據(jù)庫文件的文件特征說明部分和字段說明部分（3）如果用戶要復制數(shù)據(jù)庫文件，則在關(guān)閉數(shù)據(jù)庫文件時，進行相應(yīng)的設(shè)置使數(shù)據(jù)庫管理系統(tǒng)不進行上述兩個過程這一安全策略的采用，可使數(shù)據(jù)庫文件具有下述安全性：（1）密碼不可能被猜解（2）密碼很難被破解（3）可以避免非法用戶還原密碼數(shù)據(jù)區(qū)或重構(gòu)數(shù)據(jù)庫文件頭（4）數(shù)據(jù)庫文件的安全與操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)無關(guān)47精選ppt

13.2.2數(shù)據(jù)庫的安全評價（1）完整性（2）可信性（3）系統(tǒng)靈活性（4）用戶方便性（5）篡改檢測（6）降低管理成本（7）便于安全管理員使用48精選ppt13.3數(shù)據(jù)庫安全模型

數(shù)據(jù)庫系統(tǒng)信息安全性依賴于兩個層次:①數(shù)據(jù)庫管理系統(tǒng)本身提供的用戶名/口令字識別、視圖、使用權(quán)限控制、審計等管理措施②靠應(yīng)用程序設(shè)置的控制管理作為數(shù)據(jù)庫用戶，最關(guān)心自身數(shù)據(jù)資料的安全，特別是用戶的查詢權(quán)限問題。對此，目前一些大型數(shù)據(jù)庫管理系統(tǒng)提供了以下幾種主要手段：1.用戶分類不同類型的用戶授予不同的數(shù)據(jù)管理權(quán)限。一般將權(quán)限分為三類：數(shù)據(jù)庫登錄權(quán)限類、資源管理權(quán)限類和數(shù)據(jù)庫管理員權(quán)限類。2.數(shù)據(jù)分類：建立視圖。3.審計功能：監(jiān)視各用戶對數(shù)據(jù)庫施加的動作。有兩種方式的審計，即用戶審計和系統(tǒng)審計。

49精選ppt13.4數(shù)據(jù)庫安全技術(shù)

數(shù)據(jù)庫的安全技術(shù)主要有五種:口令保護、數(shù)據(jù)加密、數(shù)據(jù)庫加密、數(shù)據(jù)驗證和訪問控制。1.口令保護口令設(shè)置是信息系統(tǒng)安全的第一道屏障,因此口令安全尤其重要。對數(shù)據(jù)庫的不同功能塊應(yīng)設(shè)置不同的口令，對存取它的用戶應(yīng)設(shè)置不同的口令級別，各種模塊等之間的口令應(yīng)彼此獨立，并且應(yīng)將口令表進行加密，以保護數(shù)據(jù)安全?，F(xiàn)在，有一種口令管理方式能在最大限度上確保使用者是合法用戶。這種口令管理方式稱為零知識證明，簡稱零式方式。這種方式對一個真正的被授權(quán)用戶來說，其口令不可能被冒充、復制或破壞。零方式的關(guān)鍵是必須有一個絕對可靠的數(shù)據(jù)庫系統(tǒng)安全管理員，當一個用戶將進入系統(tǒng)時，安全員需對其身份進行驗證。其具體工作步驟如下：50精選ppt13.4數(shù)據(jù)庫安全技術(shù)其具體工作步驟如下：（1）用戶獲取一個隨機數(shù)，并使其與自己所持的密鑰一并處理，將結(jié)果傳送給數(shù)據(jù)庫安全管理員（2）數(shù)據(jù)庫安全管理員獲取一個隨機數(shù)，并將此數(shù)字傳送給用戶（3）用戶將此隨機數(shù)同自己的密鑰一并處理，并將其結(jié)果再一次傳送給數(shù)據(jù)庫安全管理員（4）數(shù)據(jù)庫安全管理員檢查這個回答是否正確。若正確，則減少對用戶真實身份一半的懷疑；如果不正確，則停止用戶的進一步活動51精選ppt2.數(shù)據(jù)加密對數(shù)據(jù)加密的體制和方法很多,主要的有DES算法和RSA算法。DES算法的主要特點是為數(shù)據(jù)發(fā)送者和數(shù)據(jù)接收者提供相同的56位加上8位奇偶校驗位共64位的密鑰，并進行64位數(shù)據(jù)塊加密計算，得到長度為64位的密文輸出，輸出的每一位都必須由明文的每一位和64位密鑰的每一位聯(lián)合確定。RSA算法的特點是加密密鑰和解密密鑰是不同的，但彼此間有密切聯(lián)系。52精選ppt

3.數(shù)據(jù)庫加密數(shù)據(jù)庫的加密方式很多，可以是軟件加密，也可以是硬件加密。軟件加密可以采用庫外加密，也可以采用庫內(nèi)加密。硬件加密是在物理存儲器與數(shù)據(jù)庫文件之間加以硬件裝置，使之與實際的數(shù)據(jù)庫脫離，加密時只對磁盤上的數(shù)據(jù)加密。4.數(shù)據(jù)驗證數(shù)據(jù)驗證是指在數(shù)據(jù)處理中,對數(shù)據(jù)的正確性、完整性進行檢查驗證，主要方法如下：（1）檢查錄入數(shù)據(jù)的原始憑證（2）錄入數(shù)據(jù)的安全控制（3）數(shù)據(jù)的類別檢查

53精選ppt檢查錄入數(shù)據(jù)項目的類型與規(guī)定的類型是否相符，其中包括以下幾項：①空白檢查②數(shù)值型數(shù)據(jù)檢查③正負檢查④數(shù)據(jù)的合理性檢查⑤數(shù)據(jù)的界限檢查⑥合計檢查⑦平衡檢查⑧校驗位檢查

54精選ppt5.數(shù)據(jù)庫的訪問控制數(shù)據(jù)庫系統(tǒng)可以允許數(shù)據(jù)庫管理員和有特定訪問權(quán)限的用戶有選擇地、動態(tài)地把訪問權(quán)限授予其他用戶。如果需要，還可以收回這種權(quán)利。其權(quán)利存在一張訪問控制表中。當一個新的用戶需要訪問數(shù)據(jù)庫資源時，首先由數(shù)據(jù)庫管理人員或數(shù)據(jù)庫擁有者對該用戶進行注冊，給該用戶分配一個口令，并授予其訪問相應(yīng)系統(tǒng)資源的權(quán)力。然后，由該用戶輸入注冊口令。若口令正確，就可以使用該數(shù)據(jù)庫資源。未經(jīng)授權(quán)，任何用戶都不能使用該數(shù)據(jù)庫資源。為了增強數(shù)據(jù)庫的安全性，可以隨時更改用戶的口令。55精選ppt13.5數(shù)據(jù)庫加密

13.5.1數(shù)據(jù)庫加密的必要性對于一些重要部門或敏感領(lǐng)域的應(yīng)用,僅靠上述這些措施難以保證數(shù)據(jù)的安全性,某些用戶尤其是一些內(nèi)部用戶仍可能非法獲取用戶名、口令或其他方法越權(quán)使用數(shù)據(jù)庫，甚至可以直接打開數(shù)據(jù)庫文件來竊取或篡改信息。因此，有必要對數(shù)據(jù)庫中存儲的重要數(shù)據(jù)進行加密處理，以實現(xiàn)數(shù)據(jù)存儲的安全保護。

13.5.2基本要求根據(jù)研究，數(shù)據(jù)庫加密系統(tǒng)應(yīng)滿足以下基本要求：1.字段加密2.密鑰動態(tài)管理3.合理處理數(shù)據(jù)4.不影響合法用戶的操作5.不同層次實現(xiàn)數(shù)據(jù)庫加密56精選ppt

13.5.3數(shù)據(jù)庫加密系統(tǒng)的有關(guān)問題1.數(shù)據(jù)庫加密系統(tǒng)本身的安全性數(shù)據(jù)庫加密系統(tǒng)首先要解決系統(tǒng)本身的安全性問題,可以采用以下措施:（1）在用戶進入系統(tǒng)時進行兩級安全控制（2）防止非法復制（3）安全的數(shù)據(jù)抽取方式2.數(shù)據(jù)庫加密系統(tǒng)的功能部件數(shù)據(jù)庫加密系統(tǒng)分成兩個功能獨立的主要部件:一個是加密字典管理程序,另一個是數(shù)據(jù)庫加密解密引擎。數(shù)據(jù)庫加密系統(tǒng)將用戶對數(shù)據(jù)庫信息具體的加密要求記載在加密字典中，加密字典是數(shù)據(jù)庫加密系統(tǒng)的基礎(chǔ)信息。加密字典管理程序管理加密字典的程序，是數(shù)據(jù)庫管理員變更加密要求的工具。57精選ppt

加密字典管理程序通過數(shù)據(jù)庫加密解密引擎實現(xiàn)對數(shù)據(jù)庫表的加密、解密及數(shù)據(jù)轉(zhuǎn)換等功能，它作為一個特殊客戶來使用數(shù)據(jù)庫加密解密引擎。數(shù)據(jù)庫加密解密引擎是數(shù)據(jù)庫加密系統(tǒng)的核心部件，負責在后臺完成數(shù)據(jù)庫信息的加/解密處理，對應(yīng)用開發(fā)人員和操作人員透明。58精選ppt

13.5.4加密技術(shù)1.數(shù)據(jù)加密標準數(shù)據(jù)加密標準(DES)主要采用替換和移位的方法加密。它用56位密鑰對64位二進制數(shù)據(jù)塊進行加密，每次加密可對64位的輸入數(shù)據(jù)進行16輪編碼，經(jīng)一系列替換和移位后，輸入的64位原始數(shù)據(jù)轉(zhuǎn)換成完全不同的64位輸出數(shù)據(jù)。DES算法僅使用最大為64位的標準算術(shù)和邏輯運算，運算速度快，密鑰生產(chǎn)容易，適合于在當前大多數(shù)計算機上用軟件方法實現(xiàn)，同時也適合于在專用芯片上實現(xiàn)。DES主要的應(yīng)用范圍如下：（1）計算機網(wǎng)絡(luò)通信（2）電子資金傳送系統(tǒng)（3）保護用戶文件（4）用戶識別59精選ppt

2.國際數(shù)據(jù)加密算法類似于DES,IDEA算法也是一種數(shù)據(jù)塊加密算法,它包含了一系列加密輪次,每輪加密都使用從完整的加密密鑰中生成的一個子密鑰。與DES的不同之處是，它采用軟件實現(xiàn)和采用硬件實現(xiàn)同樣快速。

3.CLIPPER加密芯片CLIPPER芯片主要用于商業(yè)活動的計算機通信網(wǎng)。NSA同時也在著手進行政府和軍事通信網(wǎng)中數(shù)據(jù)加密芯片的研究，并作為CLIPPER的換代產(chǎn)品。它除了具有CLIPPER的全部功能外，還將實現(xiàn)美國數(shù)字簽名標準（DSS）和保密的哈稀函數(shù)標準以及用純噪聲源產(chǎn)生隨機數(shù)據(jù)的算法等。

4.公開密鑰密碼體制

公開密鑰密碼體制下，加密密鑰不等于解密密鑰。加密密鑰可對外公開，使任何用戶都可將傳送給此用戶的信息用公開密鑰加密發(fā)送，而該用戶唯一保存的私人密鑰是保密的，也只有它能將密文復原、解密。雖然解密密鑰理論上可由加密密鑰推算出來，但這種算法設(shè)計在實際上不可能，或者雖然能夠推算出，但要花費很長的時間而成為不可行的。所以將加密密鑰公開也不會危害密鑰的安全。60精選ppt

13.5.5加密算法應(yīng)用于數(shù)據(jù)庫加密的加密算法稱為數(shù)據(jù)庫加密。目前常見的加密算法可分為以下三類：1.序列密碼體制2.分組密碼體制3.公開密鑰體制

13.5.6密鑰1.多級密鑰結(jié)構(gòu)2.密鑰加密體制3.密鑰的安全保護

61精選ppt13.6小結(jié)

本章首先介紹了給數(shù)據(jù)安全帶來威脅的各種因素，面對這些威脅，必須采取有效措施以滿足數(shù)據(jù)庫完整性、元素的完整性、可審計性、訪問控制、用戶認證、可獲用性等方面的安全需求。還介紹了數(shù)據(jù)庫的安全策略、數(shù)據(jù)庫的安全評價、數(shù)據(jù)庫的安全技術(shù)，由于數(shù)據(jù)庫系統(tǒng)提供的基本安全技術(shù)對于一些重要部門或敏感領(lǐng)域的應(yīng)用仍是難以完全保證數(shù)據(jù)的安全性，因此，本章最后對數(shù)據(jù)庫加密做了簡單說明。62精選ppt數(shù)據(jù)庫的備份與恢復 1數(shù)據(jù)庫的備份 2數(shù)據(jù)庫的恢復63精選ppt1數(shù)據(jù)庫的備份（1）．冷備份：冷備份是在沒有最終用戶訪問它的情況下關(guān)閉數(shù)據(jù)庫，并將其備份。（2）．熱備份：熱備份是在數(shù)據(jù)庫正在被寫入的數(shù)據(jù)更新時進行。熱備份嚴重依賴日志文件。（3）．邏輯備份：邏輯備份使用軟件技術(shù)從數(shù)據(jù)庫提取數(shù)據(jù)并將結(jié)果寫入一個輸出文件。64精選ppt2數(shù)據(jù)庫恢復數(shù)據(jù)庫的恢復

恢復也稱為重載或重入，是指當磁盤損壞或數(shù)據(jù)庫崩潰時，通過轉(zhuǎn)儲或卸載的備份重新安裝數(shù)據(jù)庫的過程。 1．恢復技術(shù)的種類 恢復技術(shù)大致可以分為如下三種：（1）單純以備份為基礎(chǔ)的恢復技術(shù) 周期性地把磁盤上的數(shù)據(jù)庫復制或轉(zhuǎn)儲到磁帶上。（2）以備份和運行日志為基礎(chǔ)的恢復技術(shù) 系統(tǒng)運行日志用于記錄數(shù)據(jù)庫運行的情況，一般包括三個內(nèi)容：前像（BeforeImage，簡稱BI）、后像（AfterImage，簡稱AI）和事務(wù)狀態(tài)。65精選ppt數(shù)據(jù)庫恢復 所謂的前像是指數(shù)據(jù)庫