第6章數(shù)據(jù)庫(kù)安全

2023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)1第6章數(shù)據(jù)庫(kù)安全主講人：王弈E-mail：wangyi@2023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)2本章主要內(nèi)容數(shù)據(jù)庫(kù)安全問題數(shù)據(jù)庫(kù)安全控制數(shù)據(jù)庫(kù)安全研究的發(fā)展2023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)3數(shù)據(jù)庫(kù)安全問題數(shù)據(jù)庫(kù)安全的重要性

數(shù)據(jù)庫(kù)安全問題

2023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)4數(shù)據(jù)庫(kù)概念

1.關(guān)系、層次和網(wǎng)狀型數(shù)據(jù)庫(kù)模型（1）關(guān)系結(jié)構(gòu)模型：把一些復(fù)雜的數(shù)據(jù)結(jié)構(gòu)歸結(jié)為簡(jiǎn)單的二元關(guān)系(即二維表格形式)，按照關(guān)系運(yùn)算理論(主要是三范式原則)組織與管理數(shù)據(jù)。（2）層次結(jié)構(gòu)模型：實(shí)質(zhì)上是一種有根節(jié)點(diǎn)的定向有序樹(在離散數(shù)學(xué)中“樹”被定義為一個(gè)無回路的連通圖)。（3）網(wǎng)狀結(jié)構(gòu)模型：按照網(wǎng)狀數(shù)據(jù)結(jié)構(gòu)建立的數(shù)據(jù)庫(kù)系統(tǒng)稱為網(wǎng)狀數(shù)據(jù)庫(kù)系統(tǒng)。2023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)52．?dāng)?shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)由一些庫(kù)表組成，每張庫(kù)表由一些相關(guān)字段(也稱為域)組成，這些字段對(duì)應(yīng)著某個(gè)客觀實(shí)體的屬性集合。庫(kù)表是一張二維表，每張庫(kù)表內(nèi)可以存放多條記錄，表的每一行是一條記錄，表的每一列是一個(gè)字段，庫(kù)表的每一行每一列的交叉點(diǎn)是一個(gè)數(shù)據(jù)元素，它是一個(gè)字段在一條記錄中的取值。2023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)6

3．?dāng)?shù)據(jù)庫(kù)管理系統(tǒng)DBMSDBMS是專門負(fù)責(zé)數(shù)據(jù)庫(kù)管理和維護(hù)的計(jì)算機(jī)軟件系統(tǒng)。DBMS的主要職能包括：正確的編譯功能，能正確執(zhí)行規(guī)定的操作；正確執(zhí)行數(shù)據(jù)庫(kù)命令；保證數(shù)據(jù)的安全性、完整性，能抵御一定程度的物理破壞，能維護(hù)和提交數(shù)據(jù)庫(kù)內(nèi)容；能識(shí)別用戶、分配授權(quán)和進(jìn)行訪問控制，包括身份認(rèn)證。執(zhí)行數(shù)據(jù)庫(kù)訪問，保證網(wǎng)絡(luò)通信功能。2023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)72023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)81.數(shù)據(jù)庫(kù)安全的重要性

由于數(shù)據(jù)庫(kù)的重要地位體現(xiàn)在以下幾方面：1．保護(hù)敏感信息和數(shù)據(jù)資產(chǎn)2．計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的關(guān)鍵環(huán)節(jié)2023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)92.數(shù)據(jù)庫(kù)面臨的安全威脅

數(shù)據(jù)庫(kù)的安全主要受到以下因素的威脅：1．硬件故障與災(zāi)害破壞2．?dāng)?shù)據(jù)庫(kù)系統(tǒng)/應(yīng)用軟件的漏洞和黑客攻擊3．人為錯(cuò)誤4．管理漏洞5．不掌握數(shù)據(jù)庫(kù)核心技術(shù)6．隱私數(shù)據(jù)的泄漏問題2023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)10泄漏類型除了數(shù)據(jù)本身，和數(shù)據(jù)相關(guān)的其他信息同樣具有敏感性。準(zhǔn)確數(shù)據(jù)：泄漏了敏感數(shù)據(jù)的準(zhǔn)確值，最嚴(yán)重的暴露——安全性被徹底破壞。范圍：知道敏感數(shù)據(jù)的范圍，而不知道其準(zhǔn)確值。部分泄漏了敏感數(shù)據(jù)。否定結(jié)果：知道某個(gè)數(shù)據(jù)的值不是××。存在性：與數(shù)據(jù)的具體值無關(guān)，而是知道數(shù)據(jù)本身是否存在。大概值：能確定某個(gè)域是某個(gè)數(shù)值的概率。安全與精確度安全性角度——透露的數(shù)據(jù)越少越好。用戶查詢角度——保護(hù)所有敏感的數(shù)據(jù)，而盡可能揭示不敏感的數(shù)據(jù)。安全與精確度的理想結(jié)合：維護(hù)完善的機(jī)密性與最大的精確性?！獙?shí)現(xiàn)非常困難。圖示：安全與精確度隱藏的不能泄露的數(shù)據(jù)不能通過查詢推理出的數(shù)據(jù)可以通過推理查詢出的數(shù)據(jù)一查訊就可以透露的數(shù)據(jù)最敏感數(shù)據(jù)最低敏感數(shù)據(jù)盡可能安全隱藏揭示數(shù)據(jù)盡可能精確推理推理問題（inferenceproblem）：是一種通過非敏感數(shù)據(jù)推斷或推導(dǎo)敏感數(shù)據(jù)的方法。它是數(shù)據(jù)庫(kù)的一個(gè)弱點(diǎn)。直接從數(shù)據(jù)庫(kù)確定敏感數(shù)據(jù)的方法直接攻擊間接攻擊聚集直接攻擊直接攻擊是指用戶試圖通過直接查詢敏感域，根據(jù)產(chǎn)生的少量記錄決定敏感數(shù)據(jù)域的值。最成功的技術(shù)：形成一個(gè)與數(shù)據(jù)項(xiàng)精確匹配的查詢。NameSexRaceAidFinesDrugsDormadamMC5000451holmbailMB000greychinFA3000200westdewitMB1000353greyearartFC2000951holmfeinFC1000150westgroffMC400003westhillFB5000102holmkochFC001westliuFA0102greymajorMC200002grey直接攻擊直接攻擊指用戶通過直接查詢敏感域，根據(jù)產(chǎn)生的少量記錄確定敏感域的值。成功技術(shù)：形成一個(gè)與數(shù)據(jù)項(xiàng)精確匹配的查詢。例子：

ListNamewhereSex=M?Drugs=1揭示了記錄adam，Drugs=1。這是一個(gè)明顯的直接攻擊的例子。直接攻擊例子：比較隱蔽的查詢

ListNamewhere(Sex=M?Drugs=1)? (Sex≠M(fèi)?

Sex≠F)?(Dorm=ayres)上述查詢的結(jié)果：揭示了記錄adam，Drugs=1。將主要查詢目的隱藏在一個(gè)復(fù)雜的查詢邏輯中，而實(shí)際的查詢目的不變。查詢匹配的記錄為0無該宿舍直接攻擊一種防御直接攻擊的策略：“n個(gè)數(shù)據(jù)項(xiàng)超過k％”規(guī)則——數(shù)量很少的數(shù)據(jù)占一個(gè)分類比例很大時(shí)，查詢結(jié)果不能公布。間接攻擊背景：只發(fā)布統(tǒng)計(jì)信息，而不泄漏個(gè)人數(shù)據(jù)和信息。典型攻擊種類和攻擊計(jì)數(shù)攻擊平均值攻擊追蹤攻擊線性系統(tǒng)的脆弱性和（sum）攻擊從一個(gè)已知的和推理單個(gè)值。holmgreywestTotalM50003000400012000F70000400011000Total120003000800023000按寢室和性別查詢的資助和推出住在grey的任何女生都沒有收到資助Liu（住在grey）沒有受到資助計(jì)數(shù)攻擊通過和總數(shù)（和：sum）結(jié)合，可以獲得更多的個(gè)人信息。holmgreywestTotalM1315F2136Total34411按寢室和性別查詢的學(xué)生計(jì)數(shù)男生人數(shù)＝1男生的總資助數(shù)為5000＋住在holm的男生（只有1個(gè)人）adam得到資助5000人名（Name）可以通過普通查詢得到，敏感度低平均值攻擊根據(jù)數(shù)據(jù)的平均值計(jì)算出某個(gè)精確值。攻擊成功的前提條件：要計(jì)算的數(shù)據(jù)在平均值的交集中。屬性1的最大值屬性1的最小值屬性2的最大值屬性2的最小值屬性1和屬性2的平均值例子NameSexDrugsAidbaileyM00dewittM31000majorsM22000groffM34000adamsM15000liuF20majorsM22000hillF25000q=median(AIDwhereSEX=M)p=median(AIDwhereDRUGS=2)R=median(AIDwhere(DRUGS=2)?(SEX=M))追蹤攻擊（trackerattack）通過使用額外的、產(chǎn)生更少結(jié)果的查詢欺騙DBMS，從而找到想要的數(shù)據(jù)。進(jìn)行兩次查詢，一次查詢結(jié)果比另一次增加了一些記錄，去掉重復(fù)記錄，留下不同的記錄（想要統(tǒng)計(jì)的記錄）?！皀個(gè)數(shù)據(jù)項(xiàng)超過k％”規(guī)則可以不公開查詢結(jié)果，但是無法判斷兩次查詢的“間隙”部分。例子q=count((SEX=F)?(RACE=C)?DORM=holm)q=1拒絕查詢abccount(a)=6count(a?┐(b?c))=5count(a)-count(a?┐(b?c))=6-5=1q=count(a?b?c)?q=count(a)-count(a?┐(b?c))count((SEX=F))-count((RACE≠c)?(DORM)≠holm)線性系統(tǒng)的脆弱性運(yùn)用邏輯和代數(shù)知識(shí)前提：數(shù)據(jù)庫(kù)中數(shù)據(jù)分布的特點(diǎn)。結(jié)果：得到一系列的查詢結(jié)果。查詢q1=c1+c2+c3+c4+c5q2=c1+c2+c4q3=c3+c4q4=c4+c5q5=c2+c5每個(gè)查詢qi沒有泄露任何一個(gè)ci的值解上述線性方程組，得到每個(gè)ci的取值。控制統(tǒng)計(jì)推理攻擊兩種防止推理攻擊的方法：查詢控制：針對(duì)直接攻擊對(duì)單個(gè)數(shù)據(jù)項(xiàng)進(jìn)行控制禁止查詢：不提供敏感數(shù)據(jù)隱藏：提供的結(jié)果接近但不是精確的實(shí)際數(shù)據(jù)值。控制統(tǒng)計(jì)推理攻擊有限響應(yīng)禁止組合結(jié)果隨機(jī)樣本隨機(jī)數(shù)擾亂查詢分析有限響應(yīng)禁止根據(jù)“n個(gè)數(shù)據(jù)項(xiàng)超過k％”規(guī)則，當(dāng)結(jié)果中出現(xiàn)上述情形時(shí)，僅將其在顯示結(jié)果中刪除不能阻止推理攻擊的進(jìn)行。解決方法：制造一點(diǎn)混淆阻止攻擊。例子：按寢室和性別查詢的學(xué)生計(jì)數(shù)holmgreywestTotalM1315F2136Total34411holmgreywestTotalM－3－5F2－36Total34411泄露太多信息，不允許被查詢?nèi)匀豢梢酝ㄟ^F=Total－M或者M(jìn)=Total－F獲得例子：按寢室和性別查詢的學(xué)生計(jì)數(shù)holmgreywestTotalM1315F2136Total34411holmgreywestTotalM1315F2136Total34411解決方案一該數(shù)據(jù)所在行和列各增加一禁止查詢單元，進(jìn)行置亂。后果：在數(shù)據(jù)很少的表中，所有的單元都被禁止查詢。解決方案二將總數(shù)Total禁止查詢禁止查詢禁止查詢禁止查詢禁止查詢禁止查詢組合結(jié)果組合行或列的查詢結(jié)果，以保護(hù)敏感數(shù)據(jù)。sexDruguse0123M1112F2220sexDruguse0or12or3M23F42透露太多信息將2列組合，產(chǎn)生敏感性低的結(jié)果隨機(jī)樣本查詢的結(jié)果不是來自整個(gè)數(shù)據(jù)庫(kù)，而是從數(shù)據(jù)庫(kù)的隨機(jī)樣本中獲得。樣本要選擇得足夠大，使得查詢結(jié)果近似整個(gè)數(shù)據(jù)庫(kù)的結(jié)果。為了防止重復(fù)相同查詢，進(jìn)而求平均的攻擊。相同查詢選取的采用相同樣本。隨機(jī)數(shù)擾亂用一個(gè)小的錯(cuò)誤ε對(duì)數(shù)據(jù)庫(kù)中的精確值x作擾亂。ε可正可負(fù)。其結(jié)果和隨機(jī)樣本類似，但是更加簡(jiǎn)單，因?yàn)榇鎯?chǔ)ε并不復(fù)雜。查詢分析分析檢查查詢的含義，然后決定是否提供查詢結(jié)果。實(shí)現(xiàn)復(fù)雜，維護(hù)困難。推理問題的小結(jié)至今沒有完善的解決方法。三種控制推理問題的思路禁止明顯的敏感數(shù)據(jù)：實(shí)現(xiàn)簡(jiǎn)單，但是經(jīng)常容易選錯(cuò)要禁止的數(shù)據(jù)，從而造成數(shù)據(jù)庫(kù)可用性下降。追蹤用戶已知的數(shù)據(jù)：可能實(shí)現(xiàn)最大的安全性，但是實(shí)現(xiàn)代價(jià)很昂貴。而且沒有考慮到兩個(gè)用戶將已知結(jié)果組合，以及一個(gè)用戶以多種身份查詢的情形。偽裝數(shù)據(jù)：可以限制通過精確值進(jìn)行邏輯和代數(shù)運(yùn)算的統(tǒng)計(jì)攻擊。但是結(jié)果不精確，甚至?xí)霈F(xiàn)不一致的情況。數(shù)據(jù)庫(kù)安全控制數(shù)據(jù)庫(kù)的安全需求和安全策略數(shù)據(jù)庫(kù)安全存取控制數(shù)據(jù)庫(kù)完整性控制數(shù)據(jù)庫(kù)的備份與恢復(fù)推理控制與隱通道分析（提前）數(shù)據(jù)庫(kù)可生存性控制數(shù)據(jù)庫(kù)隱私保護(hù)2023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)382023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)39

數(shù)據(jù)庫(kù)的安全需求和安全策略1.數(shù)據(jù)庫(kù)的安全需求(C.P.Pfleeger《SecurityinComputing》)物理完整性邏輯完整性元素正確性可審計(jì)性訪問控制身份認(rèn)證可用性國(guó)標(biāo)《計(jì)算機(jī)信息安全等級(jí)保護(hù)數(shù)據(jù)庫(kù)系統(tǒng)技術(shù)要求》保密性完整性可用性可控性可存活性隱私性2023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)402023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)41

（1）保密性DBMS除了通過訪問控制機(jī)制對(duì)數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)加強(qiáng)防護(hù)外，還可以通過加密技術(shù)對(duì)庫(kù)中的敏感數(shù)據(jù)加密。但加密雖然可以防止對(duì)數(shù)據(jù)的惡意訪問，也顯著地降低數(shù)據(jù)庫(kù)訪問效率。2023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)42

（2）數(shù)據(jù)庫(kù)的完整性在物理完整性方面，要求從硬件或環(huán)境方面保護(hù)數(shù)據(jù)庫(kù)的安全，防止數(shù)據(jù)被破壞或不可讀。例如，應(yīng)該有措施解決掉電時(shí)數(shù)據(jù)不丟失不破壞的問題，存儲(chǔ)介質(zhì)損壞時(shí)數(shù)據(jù)的可利用性問題，還應(yīng)該有防止各種災(zāi)害（如火災(zāi)、地震等）對(duì)數(shù)據(jù)庫(kù)造成不可彌補(bǔ)的損失，應(yīng)該有災(zāi)后數(shù)據(jù)庫(kù)快速恢復(fù)能力。數(shù)據(jù)庫(kù)的物理完整性和數(shù)據(jù)庫(kù)留駐的計(jì)算機(jī)系統(tǒng)硬件可靠性與安全性有關(guān)，也與環(huán)境的安全保障措施有關(guān)。2023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)43

（2）數(shù)據(jù)庫(kù)的完整性在邏輯完整性方面，要求保持?jǐn)?shù)據(jù)庫(kù)邏輯結(jié)構(gòu)的完整性，需要嚴(yán)格控制數(shù)據(jù)庫(kù)的創(chuàng)立與刪除、庫(kù)表的建立、刪除和更改的操作，這些操作只能允許具有數(shù)據(jù)庫(kù)擁有者或系統(tǒng)管理員權(quán)限的人才能夠進(jìn)行。邏輯完整性還包括數(shù)據(jù)庫(kù)結(jié)構(gòu)和庫(kù)表結(jié)構(gòu)設(shè)計(jì)的合理性，盡量減少字段與字段之間、庫(kù)表與庫(kù)表之間不必要的關(guān)聯(lián)，減少不必要的冗余字段，防止發(fā)生修改一個(gè)字段的值影響其他字段的情況。2023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)44

（2）數(shù)據(jù)庫(kù)的完整性在元素完整性方面，元素完整性主要是指保持?jǐn)?shù)據(jù)字段內(nèi)容的正確性與準(zhǔn)確性。元素完整性需要由DBMS、應(yīng)用軟件的開發(fā)者和用戶共同完成。（3）可用性

確保數(shù)據(jù)庫(kù)中的數(shù)據(jù)不因人為和自然原因?qū)κ跈?quán)用戶不可用。2023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)45（4）可控性對(duì)數(shù)據(jù)操作和數(shù)據(jù)庫(kù)事件的監(jiān)控屬性。（5）可存活性數(shù)據(jù)庫(kù)系統(tǒng)在遭受攻擊或發(fā)生錯(cuò)誤的情況下，能夠繼續(xù)提供核心服務(wù)并及時(shí)恢復(fù)全部服務(wù)。（6）隱私性保護(hù)使用主題的個(gè)人隱私不被泄露和濫用。2023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)462023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)472.數(shù)據(jù)庫(kù)的安全策略

數(shù)據(jù)庫(kù)的安全策略是指導(dǎo)信息安全的高級(jí)準(zhǔn)則，即組織、管理、保護(hù)和處理敏感信息的法律、規(guī)章及方法的集合。它包括安全管理策略和訪問控制策略。安全機(jī)制是用來實(shí)現(xiàn)和執(zhí)行各種安全策略的功能的集合，這些功能可以由硬件、軟件或固件來實(shí)現(xiàn)。數(shù)據(jù)庫(kù)的安全策略可以分為：按實(shí)際要求決定粒度大小策略款策略或嚴(yán)策略最小特權(quán)策略與內(nèi)容有關(guān)的訪問控制策略上下文相關(guān)的訪問控制策略與歷史有關(guān)的訪問控制按存取類型控制策略2023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)482023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)49數(shù)據(jù)庫(kù)安全存取控制

用戶認(rèn)證

訪問控制加密存儲(chǔ)2023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)501.用戶認(rèn)證

用戶認(rèn)證通過核對(duì)用戶的名字或身份(ID)，決定該用戶對(duì)系統(tǒng)的使用權(quán)。數(shù)據(jù)庫(kù)系統(tǒng)不允許一個(gè)未經(jīng)授權(quán)的用戶對(duì)數(shù)據(jù)庫(kù)進(jìn)行操作。DBMS認(rèn)證在操作系統(tǒng)認(rèn)證之后進(jìn)行。（兩次認(rèn)證）2．訪問控制數(shù)據(jù)庫(kù)的訪問控制難度遠(yuǎn)大于操作系統(tǒng)。訪問控制的粒度可以到字段、記錄級(jí)別。字段、記錄、數(shù)據(jù)表之間關(guān)聯(lián)度高，控制復(fù)雜。數(shù)據(jù)庫(kù)內(nèi)數(shù)據(jù)記錄，表的數(shù)量龐大，控制規(guī)模遠(yuǎn)大于操作系統(tǒng)的訪問控制規(guī)模。2023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)51數(shù)據(jù)庫(kù)中常用的訪問控制方法（1）

DAC和MAC在商業(yè)數(shù)據(jù)庫(kù)DBMS系統(tǒng)中采用DAC，軍事安全中采用MAC。（2）RBAC屬于中立型訪問控制模型，既可以實(shí)現(xiàn)DAC也可以實(shí)現(xiàn)MAC，但是無法實(shí)現(xiàn)對(duì)未知用戶的訪問控制和委托授權(quán)。在網(wǎng)絡(luò)環(huán)境下使用受限。2023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)522023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)53

（3）視圖機(jī)制（數(shù)據(jù)庫(kù)目前采用的機(jī)制）有了視圖機(jī)制，就可以在設(shè)計(jì)數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)時(shí)，對(duì)不同的用戶定義不同的視圖，使機(jī)密數(shù)據(jù)不出現(xiàn)在不應(yīng)看到這些數(shù)據(jù)的用戶視圖上。即通過定義不同的視圖及有選擇地授予視圖上的權(quán)限，可以將用戶、組或角色限制在不同的數(shù)據(jù)子集內(nèi)。（4）基于證書的訪問控制利用PKI和PMI技術(shù)進(jìn)行訪問控制，缺點(diǎn)是在跨安全域的訪問中收到限制。（5）信任管理1996年提出，用于WEB環(huán)境下訪問控制?；诠€密碼體制實(shí)現(xiàn)。（6）數(shù)字版權(quán)管理DMR主要針對(duì)客戶端的數(shù)據(jù)內(nèi)容進(jìn)行權(quán)限管理，只解決了訪問控制中的部分問題。2023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)54（7）訪問控制新技術(shù)UCON將傳統(tǒng)訪問控制技術(shù)（封閉環(huán)境，服務(wù)器端資源）、信任管理（開放網(wǎng)絡(luò)環(huán)境，服務(wù)器端資源）和數(shù)字版權(quán)管理（開放網(wǎng)絡(luò)環(huán)境，客戶端資源）統(tǒng)一在一個(gè)框架下，解決所有問題域下的訪問控制問題。將要保護(hù)的數(shù)字資源與其所處的系統(tǒng)環(huán)境相分離（主機(jī)、網(wǎng)絡(luò)），實(shí)現(xiàn)對(duì)數(shù)字資源的連續(xù)保護(hù)。UCON擴(kuò)展了訪問控制的概念，定義了授權(quán)、義務(wù)和條件三個(gè)決定性因素。2023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)552023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)56

3．加密存儲(chǔ)（1）數(shù)據(jù)庫(kù)加密方式：庫(kù)內(nèi)加密、庫(kù)外加密庫(kù)內(nèi)加密：在DBMS內(nèi)核實(shí)現(xiàn)，加、解密對(duì)用戶和應(yīng)用透明。缺點(diǎn)：系統(tǒng)負(fù)擔(dān)大、密鑰管理風(fēng)險(xiǎn)大庫(kù)外加密：在DBMS之外進(jìn)行，DBMS管理密文。優(yōu)點(diǎn)：減輕DBMS和服務(wù)器的負(fù)擔(dān)、密鑰與密文分別存放提高安全性、可以實(shí)現(xiàn)網(wǎng)上端到端的加密傳輸。缺點(diǎn)：影響數(shù)據(jù)庫(kù)的部分功能。（2）影響數(shù)據(jù)庫(kù)加密的關(guān)鍵因素加密粒度加密算法密鑰管理2023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)572023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)58數(shù)據(jù)庫(kù)的完整性控制數(shù)據(jù)庫(kù)的完整性是指數(shù)據(jù)的正確性和相容性。它包括：物理完整性、邏輯完整性、元素取值的準(zhǔn)確性與正確性。數(shù)據(jù)的完整性和安全性是兩個(gè)不同的概念。前者是為了防止數(shù)據(jù)庫(kù)中存在不符合語義的數(shù)據(jù)，防止錯(cuò)誤信息的輸入和輸出，而后者是保護(hù)數(shù)據(jù)庫(kù)防止惡意的破壞和非法的存取。DBMS中檢查數(shù)據(jù)是否滿足完整性條件的機(jī)制稱為完整性檢查。提供定義完整性約束條件的機(jī)制提供完整性檢查的方法違約處理2023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)59數(shù)據(jù)庫(kù)的完整性保證的具體方法

1．設(shè)置觸發(fā)器

觸發(fā)器可以完成以下功能：（1）檢查取值類型與范圍：檢查每個(gè)字段輸入數(shù)據(jù)的類型與該字段的類型是否一致。（2）依據(jù)狀態(tài)限制：指為保證整個(gè)數(shù)據(jù)庫(kù)的完整性而設(shè)置的一些限制，數(shù)據(jù)庫(kù)的值在任何時(shí)候都不應(yīng)該違反這些限制。（3）依據(jù)業(yè)務(wù)限制：指為了使數(shù)據(jù)庫(kù)的修改滿足數(shù)據(jù)庫(kù)存儲(chǔ)內(nèi)容的業(yè)務(wù)要求，而作出相應(yīng)的限制。2023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)60

2．兩階段提交為了保證數(shù)據(jù)更新結(jié)果的正確性，必須防止在數(shù)據(jù)更新過程中發(fā)生處理程序中斷或出現(xiàn)錯(cuò)誤。解決這個(gè)問題的辦法是在DBMS中采用兩階段提交(更新)技術(shù)。第一階段稱為準(zhǔn)備階段。第二階段為提交階段，其工作是對(duì)需要更新的字段進(jìn)行真正地修改，這種修改是永久性的。兩階段更新意向階段收集需要更新的資源不進(jìn)行更新操作該階段可以重復(fù)無數(shù)次提交階段做提交標(biāo)記更新數(shù)據(jù)庫(kù)清除提交標(biāo)記該階段可以執(zhí)行無數(shù)次舉例說明假定數(shù)據(jù)庫(kù)中包含某公司的辦公用品清單。公司中心倉(cāng)庫(kù)存有各種辦公用品，和各部門的辦公用品申請(qǐng)單。各部門有預(yù)算清單中心倉(cāng)庫(kù)管理員需要監(jiān)控現(xiàn)有供應(yīng)量，以便在現(xiàn)存的供應(yīng)品不足時(shí)定貨。假設(shè)會(huì)計(jì)部先申請(qǐng)50箱文件夾，現(xiàn)有107箱庫(kù)存，當(dāng)庫(kù)存小于100箱時(shí)，需要定貨。執(zhí)行步驟倉(cāng)庫(kù)核對(duì)數(shù)據(jù)庫(kù)中是否有50箱文件夾，若沒有，拒絕請(qǐng)求，事務(wù)結(jié)束。若庫(kù)存充足，從數(shù)據(jù)庫(kù)中扣除50箱（107－50＝57）。倉(cāng)庫(kù)向會(huì)計(jì)部的辦公用品預(yù)算收取50箱的文件夾的費(fèi)用。查看庫(kù)存，若低于100箱，生成定貨提示。準(zhǔn)備交貨，把50箱文件夾送到會(huì)計(jì)部。分析故障出在第一步結(jié)束時(shí)，整個(gè)事務(wù)可以重新開始，不受影響。故障出在2－4步時(shí)，會(huì)導(dǎo)致數(shù)據(jù)庫(kù)中的值不一致。而且不能重新進(jìn)行事務(wù)，這會(huì)導(dǎo)致重復(fù)扣款或重復(fù)收費(fèi)或重復(fù)送貨。兩階段更新操作意向階段檢查數(shù)據(jù)庫(kù)中commit_flag值。若該值已經(jīng)設(shè)置，則意向階段不再執(zhí)行。比較庫(kù)存的文件夾箱數(shù)和需求量，若需求量大于庫(kù)存，停止。計(jì)算tclips=onhand-requisition獲得budget，目前應(yīng)獲得會(huì)計(jì)部的辦公品預(yù)算。計(jì)算tbudget=budget-cost，cost指50箱文件夾的成本。檢查tclips是否低于定貨界限，若是，設(shè)置treorder=true,否則設(shè)置treorder=false。提交階段在數(shù)據(jù)庫(kù)中設(shè)置commit_flag標(biāo)志。復(fù)制tclips到數(shù)據(jù)庫(kù)中的clips。復(fù)制treorder到數(shù)據(jù)庫(kù)中的reorder。準(zhǔn)備向會(huì)計(jì)部發(fā)送文件夾的通知。在日志中標(biāo)明已完成事務(wù)。清除commit_flag標(biāo)志。分析意向階段如果出錯(cuò)，可以重復(fù)執(zhí)行無數(shù)次。進(jìn)入提交階段時(shí)，先設(shè)置commit_flag，此后數(shù)據(jù)庫(kù)將不再執(zhí)行意向階段的任何步驟。提交階段如果出錯(cuò)，可以重復(fù)執(zhí)行無數(shù)次。若事務(wù)操作結(jié)束而未清除commit_flag標(biāo)志時(shí)，系統(tǒng)出錯(cuò)，則通過向前檢查日志的方法，將已經(jīng)提交，但沒有清除commit_flag標(biāo)志的事務(wù)找出來，清除commit_flag標(biāo)志。2023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)68

3．糾錯(cuò)與恢復(fù)許多DBMS提供數(shù)據(jù)庫(kù)數(shù)據(jù)的糾錯(cuò)功能，主要方法是采用冗余的辦法，下面介紹幾種冗余糾錯(cuò)的技術(shù)：（1）附加校驗(yàn)糾錯(cuò)碼（2）使用鏡像技術(shù)（3）恢復(fù)（用日志執(zhí)行恢復(fù)操作）2023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)694.數(shù)據(jù)庫(kù)的并發(fā)控制

數(shù)據(jù)庫(kù)系統(tǒng)通常支持多用戶同時(shí)訪問數(shù)據(jù)庫(kù)，為了有效地利用數(shù)據(jù)庫(kù)資源，可能多個(gè)程序或一個(gè)程序的多個(gè)進(jìn)程并行地運(yùn)行，這就是數(shù)據(jù)庫(kù)的并發(fā)操作。當(dāng)多個(gè)用戶同時(shí)讀寫同一個(gè)字段的時(shí)候，會(huì)存取不正確的數(shù)據(jù)，或破壞數(shù)據(jù)庫(kù)數(shù)據(jù)的一致性。數(shù)據(jù)不一致總是由兩個(gè)因素造成：一是對(duì)數(shù)據(jù)的修改，二是并發(fā)操作的發(fā)生。2023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)70并發(fā)操作帶來的數(shù)據(jù)不一致性包括三類：1．丟失修改(LostUpdate)2．不可重復(fù)讀(Non-RepeableRead)3．讀“臟”數(shù)據(jù)(DirtyRead)5.審計(jì)監(jiān)視和記錄用戶對(duì)數(shù)據(jù)庫(kù)所施加的各種操作機(jī)制。審計(jì)粒度與對(duì)象的選擇：時(shí)間、空間消耗問題。審計(jì)日志不一定能反映實(shí)際訪問情況，因此在決定需要記錄哪些操作時(shí)需要斟酌。2023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)716.可信記錄保持在記錄的生命周期內(nèi)保證記錄無法被刪除、隱藏或篡改，并且無法恢復(fù)或推測(cè)已被刪除的記錄。重點(diǎn)防止內(nèi)部人員惡意篡改和銷毀記錄。主要技術(shù)：一次寫入多次讀取可信索引可信遷移可信刪除2023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)722023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)73數(shù)據(jù)庫(kù)的備份與恢復(fù)數(shù)據(jù)庫(kù)管理系統(tǒng)必須具有把數(shù)據(jù)庫(kù)從錯(cuò)誤狀態(tài)恢復(fù)到某一已知的正確狀態(tài)(亦稱為一致狀態(tài)或完整狀態(tài))的功能，這就是數(shù)據(jù)庫(kù)的恢復(fù)。數(shù)據(jù)庫(kù)系統(tǒng)所采用的恢復(fù)技術(shù)是否行之有效，不僅對(duì)系統(tǒng)的可靠程度起著決定性作用，而且對(duì)系統(tǒng)的運(yùn)行效率也有很大影響，是衡量系統(tǒng)性能優(yōu)劣的重要指標(biāo)。2023/2/5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)(第2版)74

1．故障的種類（1）事務(wù)內(nèi)部的故障事務(wù)沒有達(dá)到預(yù)期的終點(diǎn)例如：運(yùn)算溢出、并發(fā)事務(wù)死鎖等（2）系統(tǒng)故障造成系統(tǒng)停止運(yùn)轉(zhuǎn)的任何事件例如：硬件錯(cuò)誤，停電，操作系統(tǒng)故障等又被稱為“軟故障”（3）介質(zhì)故障被稱為“硬故障”指外存故障，例如：磁盤損壞，磁頭碰撞，電磁干擾等。（4）人為破壞黑客攻擊，計(jì)算