第四章數(shù)據(jù)庫(kù)安全性

第四章數(shù)據(jù)庫(kù)安全性4.1數(shù)據(jù)庫(kù)安全性概述4.2數(shù)據(jù)庫(kù)安全性控制第四章數(shù)據(jù)庫(kù)安全性4.1計(jì)算機(jī)的安全性數(shù)據(jù)庫(kù)的安全性是指保護(hù)數(shù)據(jù)庫(kù)以防止不合法的使用所造成的數(shù)據(jù)泄露、更改或破壞。安全性問(wèn)題不是數(shù)據(jù)庫(kù)系統(tǒng)所獨(dú)有的，所有計(jì)算系統(tǒng)都有這個(gè)問(wèn)題。但數(shù)據(jù)庫(kù)中大量數(shù)據(jù)集中存放，而且為許多最終用戶直接共享，從而使安全性問(wèn)題更為突出。第四章數(shù)據(jù)庫(kù)安全性4.1計(jì)算機(jī)的安全性數(shù)據(jù)庫(kù)的安全性和計(jì)算機(jī)系統(tǒng)的安全性，是緊密聯(lián)系、相互支持的。包括計(jì)算機(jī)硬件、操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)等的安全性。第四章數(shù)據(jù)庫(kù)安全性4.1.1計(jì)算機(jī)系統(tǒng)的三類安全性問(wèn)題計(jì)算機(jī)系統(tǒng)安全性，是指為計(jì)算機(jī)系統(tǒng)建立和采取的各種安全保護(hù)措施，以保護(hù)計(jì)算機(jī)系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶然或惡意的原因使系統(tǒng)遭到破壞，數(shù)據(jù)遭到更改或泄露等。第四章數(shù)據(jù)庫(kù)安全性4.1.1計(jì)算機(jī)系統(tǒng)的三類安全性問(wèn)題計(jì)算機(jī)安全不僅涉及到計(jì)算機(jī)系統(tǒng)本身的技術(shù)問(wèn)題、管理問(wèn)題，還涉及法學(xué)、犯罪學(xué)、心理學(xué)的問(wèn)題。計(jì)算機(jī)系統(tǒng)的安全性問(wèn)題可分為三大類，即技術(shù)安全類、管理安全類和政策法律類。第四章數(shù)據(jù)庫(kù)安全性4.1.1計(jì)算機(jī)系統(tǒng)的三類安全性問(wèn)題技術(shù)安全是指計(jì)算機(jī)系統(tǒng)中采用具有一定安全性的硬件、軟件來(lái)實(shí)現(xiàn)對(duì)計(jì)算機(jī)系統(tǒng)及其所存數(shù)據(jù)的安全保護(hù)，當(dāng)計(jì)算機(jī)系統(tǒng)受到無(wú)意或惡意的攻擊時(shí)仍能保證系統(tǒng)正常運(yùn)行，保證系統(tǒng)內(nèi)的數(shù)據(jù)不增加、不丟失、不泄露。第四章數(shù)據(jù)庫(kù)安全性4.1.1計(jì)算機(jī)系統(tǒng)的三類安全性問(wèn)題管理安全是指由于管理不善導(dǎo)致的計(jì)算機(jī)設(shè)備和數(shù)據(jù)介質(zhì)的物理破壞、丟失等軟硬件意外故障以及場(chǎng)地的意外事故等安全問(wèn)題。政策法律則指政府部門建立的有關(guān)計(jì)算機(jī)犯罪、數(shù)據(jù)安全保密的法律道德準(zhǔn)則和政策法規(guī)、法令。4.1.2

安全標(biāo)準(zhǔn)簡(jiǎn)介安全標(biāo)準(zhǔn)計(jì)算機(jī)以及信息安全技術(shù)方面有一系列的安全標(biāo)準(zhǔn)，最有影響的當(dāng)推TCSEC和CC這兩個(gè)標(biāo)準(zhǔn)。TCSEC又稱橘皮書(shū)1991年4月美國(guó)NCSC（國(guó)家計(jì)算機(jī)安全中心）頒布了《可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則關(guān)于可信數(shù)據(jù)庫(kù)系統(tǒng)的解釋》（TrustedDatabaseInterpretation，簡(jiǎn)稱TDI，即紫皮書(shū)），將TCSEC擴(kuò)展到數(shù)據(jù)庫(kù)管理系統(tǒng)。TDI中定義了數(shù)據(jù)庫(kù)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)中需滿足和用以進(jìn)行安全性級(jí)別評(píng)估的標(biāo)準(zhǔn)。CC提出了目前國(guó)際上公認(rèn)的表述信息技術(shù)安全性的結(jié)構(gòu)，即把對(duì)信息產(chǎn)品的安全要求分為安全功能要求和安全保證要求。4.2

數(shù)據(jù)庫(kù)安全性控制的常用方法

應(yīng)用DBMSOS

DB低高安全性控制層次方法：

用戶標(biāo)識(shí)和鑒別

數(shù)據(jù)庫(kù)安全保護(hù)操作系統(tǒng)安全保護(hù)

數(shù)據(jù)密碼存儲(chǔ)計(jì)算機(jī)系統(tǒng)中的安全模型4.2數(shù)據(jù)庫(kù)安全性控制的常用方法用戶標(biāo)識(shí)和鑒定（Identification&Authentication）系統(tǒng)提供的最外層安全保護(hù)措施存取控制訪問(wèn)權(quán)限通過(guò)視圖調(diào)整授權(quán)定義可向用戶授權(quán)數(shù)據(jù)庫(kù)特定部分的用戶視圖審計(jì)追蹤信息，重現(xiàn)導(dǎo)致數(shù)據(jù)庫(kù)現(xiàn)有狀況的一系列事件密碼存儲(chǔ)使用加密技術(shù)保護(hù)機(jī)密數(shù)據(jù)4.2.1用戶標(biāo)識(shí)與鑒定用戶標(biāo)識(shí)和鑒別是系統(tǒng)提供的最外層安全性保護(hù)措施。其方法是由系統(tǒng)提供一定的方式讓用戶標(biāo)識(shí)自己的名字或身份。每次用戶要求進(jìn)入系統(tǒng)時(shí)，由系統(tǒng)進(jìn)行核對(duì)，通過(guò)鑒定后才提供機(jī)器使用權(quán)。對(duì)于獲得上機(jī)權(quán)的用戶若要使用數(shù)據(jù)庫(kù)時(shí)數(shù)據(jù)庫(kù)管理系統(tǒng)還要進(jìn)行用戶標(biāo)識(shí)和鑒定。用戶標(biāo)識(shí)和鑒定的方法有很多種，常用的方法有：用戶標(biāo)識(shí)用一個(gè)用戶名或者用戶標(biāo)識(shí)號(hào)來(lái)標(biāo)明用戶身份。系統(tǒng)內(nèi)部記錄著所有合法用戶的標(biāo)識(shí)，系統(tǒng)鑒別此用戶是否是合法用戶，若是，則可以進(jìn)入下一步的核實(shí)；若不是，則不能使用系統(tǒng)。4.2.1用戶標(biāo)識(shí)與鑒定口令為了進(jìn)一步核實(shí)用戶，系統(tǒng)常常要求用戶輸入口令。為了保密起見(jiàn)，用戶在終端上輸入的口令不顯示在屏幕上。系統(tǒng)核對(duì)口令以鑒別用戶身份。通過(guò)用戶名和口令來(lái)鑒定用戶的方法簡(jiǎn)單易行，但用戶名與口令容易被人竊取，因此還可以用更復(fù)雜的方法。例如每個(gè)用戶都預(yù)先約定好一個(gè)計(jì)算過(guò)程或者函數(shù)，鑒別用戶身份時(shí)，系統(tǒng)提供一個(gè)隨機(jī)數(shù)，用戶根據(jù)自己預(yù)先約定的計(jì)算過(guò)程或者函數(shù)進(jìn)行計(jì)算，系統(tǒng)根據(jù)用戶計(jì)算結(jié)果是否正確進(jìn)一步確定用戶身份。用戶可以約定比較簡(jiǎn)單的計(jì)算過(guò)程或函數(shù)以便計(jì)算起來(lái)方便；也可以約定比較復(fù)雜的計(jì)算過(guò)程或函數(shù)，以便安全性更好。4.2.1用戶標(biāo)識(shí)和鑒定SQLServer提供兩種不同的方法來(lái)驗(yàn)證用戶進(jìn)入服務(wù)器。用戶可以根據(jù)自己的網(wǎng)絡(luò)配置決定使用其中一種。Windows驗(yàn)證NT以上O.S.：允許SQLServer使用O.S.的用戶名和口令SQLServer驗(yàn)證用戶傳給服務(wù)器的登錄信息與系統(tǒng)表syslogins中的信息進(jìn)行比較。如果兩個(gè)口令匹配，SQLServer允許用戶訪問(wèn)服務(wù)器。如果不匹配，SQLServer不允許訪問(wèn)，并且用戶會(huì)從服務(wù)器上收到一個(gè)出錯(cuò)信息4.2.2存取控制數(shù)據(jù)庫(kù)安全最重要的一點(diǎn)就是確保只授權(quán)給有資格的用戶訪問(wèn)數(shù)據(jù)庫(kù)的權(quán)限，同時(shí)令所有未被授權(quán)的人員無(wú)法接近數(shù)據(jù)，這主要通過(guò)數(shù)據(jù)庫(kù)系統(tǒng)的存取控制機(jī)制實(shí)現(xiàn)。4.2.2存取控制存取控制機(jī)制主要包括兩部分：1.定義用戶權(quán)限，并將用戶權(quán)限登記到數(shù)據(jù)字典中。DBMS提供適當(dāng)?shù)恼Z(yǔ)言來(lái)定義用戶權(quán)限，這些定義經(jīng)過(guò)編譯后存放在數(shù)據(jù)字典中，被稱做安全規(guī)則或授權(quán)規(guī)則。2.合法權(quán)限檢查當(dāng)用戶發(fā)出存取數(shù)據(jù)庫(kù)的操作請(qǐng)求后，DBMS查找數(shù)據(jù)字典，根據(jù)安全規(guī)則進(jìn)行合法權(quán)限檢查，若用戶的操作請(qǐng)求超出了定義的權(quán)限，系統(tǒng)將拒絕執(zhí)行此操作。4.2.2存取控制兩類方法（1）在自主存取控制方法中，用戶對(duì)于不同的數(shù)據(jù)庫(kù)對(duì)象有不同的存取權(quán)限，不同的用戶對(duì)同一對(duì)象也有不同的權(quán)限，而且用戶還可將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶。因此自主存取控制非常靈活。（2）在強(qiáng)制存取控制方法中，每一個(gè)數(shù)據(jù)庫(kù)對(duì)象被標(biāo)以一定的密級(jí)，每一個(gè)用戶也被授予某一個(gè)級(jí)別的許可證。對(duì)于任意一個(gè)對(duì)象，只有具有合法許可證的用戶才可以存取。強(qiáng)制存取控制相對(duì)比較嚴(yán)格。4.2.3

自主存取控制（DAC）方法SQL的GRANT語(yǔ)句和REVOKE語(yǔ)句來(lái)實(shí)現(xiàn)。用戶權(quán)限是由兩個(gè)要素組成的：數(shù)據(jù)庫(kù)對(duì)象和操作類型。定義一個(gè)用戶的存取權(quán)限就是要定義這個(gè)用戶可以在哪些數(shù)據(jù)庫(kù)對(duì)象上進(jìn)行哪些類型的操作。在數(shù)據(jù)庫(kù)系統(tǒng)中，定義存取權(quán)限稱為授權(quán)。4.2.4授權(quán)(Authorization)與回收誰(shuí)定義？DBA和表的建立者（即表的屬主）如何定義？SQL語(yǔ)句：GRANT-將對(duì)指定操作對(duì)象的指定操作權(quán)限授予指定的用戶REVOKE-從指定用戶那里收回對(duì)指定對(duì)象的指定權(quán)限4.2.4授權(quán)與回收GRANT語(yǔ)句的一般格式:grant<權(quán)限>[,<權(quán)限>]…[on<對(duì)象類型><對(duì)象名>]to<用戶>[,<用戶>…][withgrantoption];例子:把查詢Students表的權(quán)限授給用戶wang

grantselectonStudentstowang;4.2.4授權(quán)與回收withgrantoption子句例子:把對(duì)表SC的查詢權(quán)限、修改成績(jī)權(quán)限授給wang和zhang,并允許wang和zhang將該權(quán)限授予他人

grant

select,update(Grade)

on

SC

towang,zhang

withgrantoption;DBA、對(duì)象的建立者和經(jīng)過(guò)withgrantoption授權(quán)的用戶可以把他們對(duì)該對(duì)象具有的操作權(quán)限授予其它的合法用戶USER1USER2USER3USER44.2.5授權(quán)與回收授出的權(quán)限可以由DBA或其他的授權(quán)者收回revoke

<權(quán)限>[,<權(quán)限>]…[on<對(duì)象類型><對(duì)象名>]from<用戶>[,<用戶>…]例子:把用戶wang和zhang修改成績(jī)的權(quán)限收回

revokeupdate(Grade)

on

SCfromwang,zhang;授權(quán)回收操作是級(jí)聯(lián)的USER1USER2USER3USER44.2.6數(shù)據(jù)庫(kù)角色（Role）如果要給成千上萬(wàn)個(gè)雇員授權(quán)，將面臨很大的管理難題，每次有雇員到來(lái)或者離開(kāi)時(shí)，就得有人分配或去除可能與數(shù)百?gòu)埍砘蛞晥D有關(guān)的權(quán)限。這項(xiàng)任務(wù)不但耗時(shí)，而且容易出錯(cuò)。一個(gè)相對(duì)簡(jiǎn)單有效的解決方案就是定義數(shù)據(jù)庫(kù)角色。數(shù)據(jù)庫(kù)角色是被命名的一組與數(shù)據(jù)庫(kù)操作相關(guān)的權(quán)限，即一組相關(guān)權(quán)限的集合?？梢詾橐唤M具有相同權(quán)限的用戶創(chuàng)建一個(gè)角色。使用角色來(lái)管理數(shù)據(jù)庫(kù)權(quán)限可以簡(jiǎn)化授權(quán)的過(guò)程。4.2.6

數(shù)據(jù)庫(kù)角色（Role）角色示例createrolehihihigrantselectonstudenttohihihisp_addrolememberhihihi,userli4.2.6強(qiáng)制存取控制（MAC）方法在MAC中，DBMS所管理的全部實(shí)體被分為主體和客體兩大類。主體是系統(tǒng)中的活動(dòng)實(shí)體，既包括DBMS所管理的實(shí)際用戶，也包括代表用戶的各進(jìn)程?？腕w是系統(tǒng)中的被動(dòng)實(shí)體，是受主體操縱的，包括文件、基表、索引、視圖等等。對(duì)于主體和客體，DBMS為它們每個(gè)實(shí)例（值）指派一個(gè)敏感度標(biāo)記（Label）。4.2.6強(qiáng)制控制敏感度標(biāo)記被分成若干級(jí)別，例如絕密(TopSecret)、機(jī)密(Secret)、可信(Confidential)、公開(kāi)(Public)等。主體的敏感度標(biāo)記稱為許可證級(jí)別(ClearanceLevel)，客體的敏感度標(biāo)記稱為密級(jí)（ClassificationLevel）。MAC機(jī)制就是通過(guò)對(duì)比主體的Label和客體的Label，最終確定主體是否能夠存取客體。當(dāng)某一用戶（或一主體）以標(biāo)記label注冊(cè)入系統(tǒng)時(shí)，系統(tǒng)要求他對(duì)任何客體的存取必須遵循如下規(guī)則：(1)僅當(dāng)主體的許可證級(jí)別大于或等于客體的密級(jí)時(shí)，該主體才能讀取相應(yīng)的客體；(2)僅當(dāng)主體的許可證級(jí)別等于客體的密級(jí)時(shí)，該主體才能寫(xiě)相應(yīng)的客體。4.3視圖機(jī)制視圖機(jī)制把要保密的數(shù)據(jù)對(duì)無(wú)權(quán)存取這些數(shù)據(jù)的用戶隱藏起來(lái)，從而自動(dòng)地對(duì)數(shù)據(jù)提供一定程度的安全保護(hù)4.3視圖機(jī)制在實(shí)際應(yīng)用中通常是視圖機(jī)制與授權(quán)機(jī)制配合使用，首先用視圖機(jī)制屏蔽掉一部分保密數(shù)據(jù)，然后在視圖上面再進(jìn)一步定義存取權(quán)限這時(shí)視圖機(jī)制實(shí)際上間接實(shí)現(xiàn)了支持存取謂詞的用戶權(quán)限定義4.3視圖機(jī)制例如：USER1只能檢索計(jì)算機(jī)系學(xué)生的信息(1)先建立計(jì)算機(jī)系學(xué)生的視圖CS_StudentCREATEVIEWCS_StudentASSELECT*FROMStudentWHERESdept=‘CS’；(2)在視圖上進(jìn)一步定義存取權(quán)限GRANTSELECTONCS_StudentTOUSER1；4.4審計(jì)審計(jì)功能把用戶對(duì)數(shù)據(jù)庫(kù)的所有操作自動(dòng)記錄下來(lái)放入審計(jì)日志（AuditLog）中。DBA可以利用審計(jì)日志中的追蹤信息，重現(xiàn)導(dǎo)致數(shù)據(jù)庫(kù)現(xiàn)有狀況的一系列事件，以找出非法存取數(shù)據(jù)的人、時(shí)間和內(nèi)容等。C2以上安全級(jí)別的DBMS必須具有審計(jì)功能4.4審計(jì)審計(jì)很費(fèi)時(shí)間和空間，所以DBMS往往都將其作為可選特征。DBA可以根據(jù)應(yīng)用對(duì)安全性的要求，靈活地打開(kāi)或關(guān)閉審計(jì)功能。審計(jì)功能一般主要用于安全性要求較高的部門。當(dāng)數(shù)據(jù)相當(dāng)敏感，或者對(duì)數(shù)據(jù)的處理極為重要時(shí)，就必須使用審計(jì)技術(shù)。4.4審計(jì)審計(jì)一般可以分為用戶級(jí)審計(jì)是任何用戶可設(shè)置的審計(jì)，主要是針對(duì)自己創(chuàng)建的數(shù)據(jù)庫(kù)表或視圖進(jìn)行審計(jì)，記錄所有用戶對(duì)這些表或視圖的一切成功和（或）不成功的訪問(wèn)要求以及各種類型的SQL操作系統(tǒng)級(jí)審計(jì)只能由DBA設(shè)置，用以監(jiān)測(cè)成功或失敗的登錄要求、監(jiān)測(cè)Grant和Revoke操作以及其他數(shù)據(jù)庫(kù)級(jí)權(quán)限下的操作4.5

數(shù)據(jù)加密數(shù)據(jù)加密是防止數(shù)據(jù)庫(kù)中數(shù)據(jù)在存儲(chǔ)和傳輸中失密的有效手段。根據(jù)一定的算法將原始數(shù)據(jù)（術(shù)語(yǔ)為明文，Plaintext）變換為不可直接識(shí)別的格式（術(shù)語(yǔ)為密文，Ciphertext）不知道解密算法的人無(wú)法獲知數(shù)據(jù)的內(nèi)容4.5

數(shù)據(jù)加密替換方法使用密鑰（EncryptionKey）將明文中的每一個(gè)字符轉(zhuǎn)換為密文中的一個(gè)字符置換方法將明文的字符按不同的順序重新排列這兩種方法結(jié)合能提供相當(dāng)高的安全程度

4.6

統(tǒng)計(jì)數(shù)據(jù)庫(kù)安全性一般地，統(tǒng)計(jì)數(shù)據(jù)庫(kù)允許用戶查詢聚集類型的信息（例如合計(jì)、平均值等），但是不允許查詢單個(gè)記錄信息。例如，查詢“程序員的平均工資是多少？”是合法的，但是查詢“程序員張勇的工資是多少？”是不允許的。在統(tǒng)計(jì)數(shù)據(jù)庫(kù)中存在著特殊的安全性