第五講 安全性完整性2

第五講數(shù)據(jù)庫的安全性與完整性沈明玉第五講數(shù)據(jù)庫的安全性與完整性主要內(nèi)容：一、數(shù)據(jù)庫的安全性二、數(shù)據(jù)庫的完整性一、數(shù)據(jù)庫的安全性數(shù)據(jù)庫安全性概述數(shù)據(jù)庫安全性控制視圖機(jī)制安全審計(jì)數(shù)據(jù)加密一、數(shù)據(jù)庫的安全性1.1數(shù)據(jù)庫安全性概述數(shù)據(jù)庫安全性：是指保護(hù)數(shù)據(jù)庫以防止非法用戶的越權(quán)使用、竊取、更改或破壞數(shù)據(jù)。數(shù)據(jù)庫的安全性可以劃分為三個(gè)層次：

網(wǎng)絡(luò)系統(tǒng)的安全操作系統(tǒng)的安全數(shù)據(jù)庫管理系統(tǒng)的安全1.1數(shù)據(jù)庫安全性概述網(wǎng)絡(luò)系統(tǒng)的安全

這是數(shù)據(jù)庫的第一個(gè)安全屏障。目前網(wǎng)絡(luò)系統(tǒng)面臨的主要威脅有木馬程序、網(wǎng)絡(luò)欺騙、入侵和病毒等。操作系統(tǒng)安全本層次的安全問題主要來自網(wǎng)絡(luò)內(nèi)所使用操作系統(tǒng)的安全。例如Windows2003Server主要包括：操作系統(tǒng)本身的缺陷、對(duì)操作系統(tǒng)的安全配置、病毒的威脅三個(gè)方面。數(shù)據(jù)庫系統(tǒng)面臨的主要風(fēng)險(xiǎn)操作系統(tǒng)的風(fēng)險(xiǎn)

數(shù)據(jù)庫系統(tǒng)的安全性最終要靠操作系統(tǒng)和硬件設(shè)備所提供的環(huán)境，如果操作系統(tǒng)允許用戶直接存取數(shù)據(jù)庫文件，即使數(shù)據(jù)庫系統(tǒng)中采取了最可靠的安全措施也沒有用。管理的風(fēng)險(xiǎn)

主要指用戶的安全意識(shí)，對(duì)信息網(wǎng)絡(luò)安全的重視程度及相關(guān)的安全管理措施。1.1數(shù)據(jù)庫安全性概述用戶的風(fēng)險(xiǎn)主要表現(xiàn)在用戶賬號(hào)和對(duì)特定數(shù)據(jù)庫對(duì)象的操作權(quán)限。數(shù)據(jù)庫管理系統(tǒng)內(nèi)部的風(fēng)險(xiǎn)

DBMS廠商對(duì)源碼的控制、后門、安全機(jī)制等。1.1數(shù)據(jù)庫安全性概述數(shù)據(jù)庫安全技術(shù)的研究

數(shù)據(jù)加密技術(shù)用戶認(rèn)證技術(shù)訪問控制技術(shù)防注入(Injection)技術(shù)如：SQLInjection，利用某些數(shù)據(jù)庫的外部接口將用戶數(shù)據(jù)插入到實(shí)際的數(shù)據(jù)庫操作語言當(dāng)中，從而達(dá)到入侵?jǐn)?shù)據(jù)庫乃至操作系統(tǒng)的目的。1.1數(shù)據(jù)庫安全性概述1.2數(shù)據(jù)庫安全性控制非法使用數(shù)據(jù)庫的情況

編寫合法程序繞過DBMS及其授權(quán)機(jī)制；直接或編寫應(yīng)用程序執(zhí)行非授權(quán)操作；通過多次合法查詢數(shù)據(jù)庫從中推導(dǎo)出一些保密數(shù)據(jù)。

數(shù)據(jù)庫系統(tǒng)安全模型一、數(shù)據(jù)庫的安全性1.2數(shù)據(jù)庫安全性控制

數(shù)據(jù)庫安全性控制的常用方法用戶標(biāo)識(shí)和鑒定訪問控制視圖審計(jì)數(shù)據(jù)加密1.用戶標(biāo)識(shí)與鑒別系統(tǒng)提供的最外層安全保護(hù)措施。用戶標(biāo)識(shí)：用來表明用戶的身份?？诹睿合到y(tǒng)核對(duì)口令以鑒別用戶身份。用戶名和口令易被竊取。每個(gè)用戶預(yù)先約定好一個(gè)計(jì)算過程或者函數(shù)1.2數(shù)據(jù)庫安全性控制2.訪問控制訪問控制機(jī)制的組成定義用戶權(quán)限合法權(quán)限檢查常用訪問控制方法自主訪問控制DAC：C2級(jí)、靈活強(qiáng)制訪問控制MAC：B1級(jí)、嚴(yán)格1.2數(shù)據(jù)庫安全性控制3.自主訪問控制方法DAC主體與客體直接關(guān)聯(lián)；主體的權(quán)限需要授權(quán)；具有授權(quán)資格的用戶均可實(shí)現(xiàn)授權(quán)。1.2數(shù)據(jù)庫安全性控制用戶權(quán)限設(shè)置通過SQL的GRANT語句和REVOKE語句實(shí)現(xiàn)。用戶權(quán)限組成：數(shù)據(jù)對(duì)象、操作類型定義用戶訪問權(quán)限：定義用戶可以在哪些數(shù)據(jù)庫對(duì)象上進(jìn)行哪些類型的操作。授權(quán)GRANT語句

GRANT<權(quán)限>[,<權(quán)限>]...[ON

<對(duì)象類型><對(duì)象名>]TO<用戶>[,<用戶>]…[WITHGRANTOPTION];1.2數(shù)據(jù)庫安全性控制關(guān)系數(shù)據(jù)庫系統(tǒng)中訪問控制對(duì)象關(guān)系數(shù)據(jù)庫系統(tǒng)中的存取權(quán)限

1.2數(shù)據(jù)庫安全性控制

誰可以發(fā)出GRANT：DBA、對(duì)象創(chuàng)建者（Owner）、擁有該權(quán)限的用戶?？山邮軝?quán)限的用戶：一個(gè)或多個(gè)具體用戶、PUBLIC（全體用戶）。WITHGRANTOPTION子句不允許循環(huán)授權(quán)：1.2數(shù)據(jù)庫安全性控制創(chuàng)建用戶

createuser<用戶名>identified<by口令>;授予用戶系統(tǒng)權(quán)限

grantcreatetable,createview,createsynonym,createsequence,createtrigger,createindex,createprocedureto<用戶|角色>[withadminoption];授予用戶對(duì)象權(quán)限grantselect,delete,update,inserton<表名>to用戶|角色|public[withgrantoption];1.2數(shù)據(jù)庫安全性控制安全性設(shè)置實(shí)例

1.創(chuàng)建新用戶u1,u2,u3,u4,u52.授予用戶u1,u2,u3,u4,u5權(quán)限connect3.授予用戶特定的對(duì)象權(quán)限1.2數(shù)據(jù)庫安全性控制[例1]將查詢Students表的select權(quán)限授給用戶U1。GRANTSELECTONtableStudentsTOU1;[例2]將對(duì)Students表和Course表的全部權(quán)限授予用戶U2和U3。GRANTALLPRIVILEGESONTABLEStudents,CourseTOU2,U3;[例3]將對(duì)表SC的查詢權(quán)限授予所有用戶。

GRANTSELECTONTABLESCTOPUBLIC;[例4]將查詢Students表和修改學(xué)生學(xué)號(hào)的權(quán)限授給用戶U4。

GRANTUPDATE(Sno),SELECTONTABLEStudentsTOU4;[例5]將SC的INSERT權(quán)限授予U5，并允許他將此權(quán)限授予其他用戶。

GRANTINSERTONTABLESCTOU5WITHGRANTOPTION;1.2數(shù)據(jù)庫安全性控制

撤銷（收回）權(quán)限

REVOKE<權(quán)限>[,<權(quán)限>]...[ON<對(duì)象類型><對(duì)象名>]FROM<用戶>[,<用戶>]...;[例6]把用戶U4修改學(xué)生學(xué)號(hào)的權(quán)限收回。

REVOKEUPDATE(Sno)ONTABLEStudentsFROMU4;[例7]收回所有用戶對(duì)表SC的查詢權(quán)限。

REVOKESELECTONTABLESCFROMPUBLIC;[例8]把用戶U5對(duì)SC表的INSERT權(quán)限收回。

REVOKEINSERTONTABLESCFROMU5CASCADE;1.2數(shù)據(jù)庫安全性控制創(chuàng)建用戶時(shí)初始角色授權(quán)

CREATEUSER<username>

［WITH］［DBA|RESOURCE|CONNECT］1.2數(shù)據(jù)庫安全性控制4.基于角色的訪問控制RBAC數(shù)據(jù)庫角色：被命名的一組與數(shù)據(jù)庫操作相關(guān)的權(quán)限。角色是權(quán)限的集合。可以為一組具有相同權(quán)限的用戶創(chuàng)建一個(gè)角色。簡(jiǎn)化授權(quán)的過程。角色的創(chuàng)建：CREATEROLE<角色名>；

給角色授權(quán)：

GRANT<權(quán)限>［，<權(quán)限>］…ON<對(duì)象類型>對(duì)象名

TO<角色>［，<角色>］…；1.2數(shù)據(jù)庫安全性控制將一個(gè)角色授予其他的角色或用戶：GRANT<角色1>［，<角色2>］…TO<角色3>［，<用戶1>］…［WITHADMINOPTION］；角色權(quán)限的收回：REVOKE<權(quán)限>［，<權(quán)限>］…ON<對(duì)象類型><對(duì)象名>FROM<角色>［，<角色>］…；1.2數(shù)據(jù)庫安全性控制5.強(qiáng)制訪問控制MAC保證更高程度的安全性。用戶不能直接感知或進(jìn)行控制。適用于對(duì)數(shù)據(jù)有嚴(yán)格而固定密級(jí)分類的部門。主體是系統(tǒng)中的活動(dòng)實(shí)體。

DBMS所管理的實(shí)際用戶代表用戶的各個(gè)進(jìn)程客體是系統(tǒng)中的被動(dòng)實(shí)體，是受主體操縱的。

文件、基本表、索引、視圖。1.2數(shù)據(jù)庫安全性控制敏感度標(biāo)記（Label）主體的敏感度標(biāo)記稱為許可證級(jí)別；客體的敏感度標(biāo)記稱為密級(jí)；強(qiáng)制存取控制規(guī)則

(1)僅當(dāng)主體的許可證級(jí)別大于或等于客體的密級(jí)時(shí)，該主體才能讀取相應(yīng)的客體；

(2)僅當(dāng)主體的許可證級(jí)別等于客體的密級(jí)時(shí)，該主體才能寫相應(yīng)的客體；修正規(guī)則：當(dāng)主體的許可證級(jí)別<=客體的密級(jí)時(shí)，

主體能寫客體。1.2數(shù)據(jù)庫安全性控制1.2數(shù)據(jù)庫安全性控制一、數(shù)據(jù)庫的安全性1.3視圖機(jī)制

作用：把要保密的數(shù)據(jù)對(duì)無權(quán)存取這些數(shù)據(jù)的用戶隱藏起來，對(duì)數(shù)據(jù)提供一定程度的安全保護(hù)。視圖的主要功能是提供數(shù)據(jù)獨(dú)立性，無法完全滿足要求；視圖間接實(shí)現(xiàn)了支持存取謂詞的用戶權(quán)限定義。1.3視圖機(jī)制視圖示例：

CREATEVIEWCS_StudentASSELECT*FROMStudentWHERESdept='CS'；

GRANTSELECTONCS_StudentTO王平；

GRANTALLPRIVILIGESONCS_StudentTO張明；一、數(shù)據(jù)庫的安全性1.4安全審計(jì)什么是審計(jì)？審計(jì)日志(AuditLog)：將用戶對(duì)數(shù)據(jù)庫的所有操作記錄在上面；DBA利用審計(jì)日志：找出非法存取數(shù)據(jù)的人、時(shí)間和內(nèi)容；C2以上安全級(jí)別的DBMS必須具有。1.4安全審計(jì)審計(jì)的分類：用戶級(jí)審計(jì)針對(duì)自己創(chuàng)建的數(shù)據(jù)庫表或視圖進(jìn)行審計(jì)；記錄所有用戶對(duì)這些表或視圖的一切成功和（或）不成功的訪問要求以及各種類型的SQL操作。系統(tǒng)級(jí)審計(jì)DBA設(shè)置；監(jiān)測(cè)成功或失敗的登錄要求；監(jiān)測(cè)GRANT和REVOKE操作以及其他數(shù)據(jù)庫級(jí)權(quán)限下的操作。審計(jì)SQL語句

AUDIT語句：設(shè)置審計(jì)功能

NOAUDIT語句：取消審計(jì)功能審計(jì)設(shè)置示例

AUDITALTER，UPDATEONSC；

NOAUDITALTER，UPDATEONSC；1.4安全審計(jì)一、數(shù)據(jù)庫的安全性1.5數(shù)據(jù)加密對(duì)數(shù)據(jù)庫中存儲(chǔ)的重要數(shù)據(jù)進(jìn)行加密處理，以實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)的安全保護(hù)。數(shù)據(jù)加密以后，在數(shù)據(jù)庫表中存儲(chǔ)的是密文，系統(tǒng)管理員也不能見到明文，提高了關(guān)鍵數(shù)據(jù)的安全性。由于數(shù)據(jù)庫系統(tǒng)在操作系統(tǒng)下都是以文件形式進(jìn)行管理的，因此入侵者可以直接利用操作系統(tǒng)的漏洞竊取數(shù)據(jù)庫文件，或者直接利用OS工具來非法偽造、篡改數(shù)據(jù)庫文件內(nèi)容。數(shù)據(jù)加密可對(duì)敏感數(shù)據(jù)進(jìn)行保護(hù)。1.5數(shù)據(jù)加密數(shù)據(jù)庫加密的層次OS層加密：在OS層無法辨認(rèn)數(shù)據(jù)庫中的數(shù)據(jù)關(guān)系，從而無法產(chǎn)生合理的密鑰，對(duì)密鑰的管理和使用也很難。DBMS內(nèi)核層加密：在物理存取之前完成數(shù)據(jù)的加/解密工作。優(yōu)點(diǎn)是加密功能強(qiáng)，可以實(shí)現(xiàn)加密功能與數(shù)據(jù)庫管理系統(tǒng)之間的無縫耦合。缺點(diǎn)是加密運(yùn)算在服務(wù)器端進(jìn)行，加重了服務(wù)器的負(fù)載，需要DBMS開發(fā)商的支持。DBMS外層加密：將數(shù)據(jù)庫加密系統(tǒng)做成DBMS的一個(gè)外層工具，根據(jù)加密要求自動(dòng)完成對(duì)數(shù)據(jù)庫數(shù)據(jù)的加/解密處理。優(yōu)點(diǎn)是不會(huì)加重?cái)?shù)據(jù)庫服務(wù)器的負(fù)載且可以實(shí)現(xiàn)網(wǎng)上的密文傳輸，缺點(diǎn)是加密功能會(huì)受到一些限制，與數(shù)據(jù)庫管理系統(tǒng)之間的耦合性稍差。DBMS外層加密原理數(shù)據(jù)庫加密系統(tǒng)分成兩個(gè)功能獨(dú)立的部件：加密字典管理程序、數(shù)據(jù)庫加/解密引擎。

加密字典用來保存用戶對(duì)數(shù)據(jù)庫信息的加密要求與基礎(chǔ)信息，通過調(diào)用數(shù)據(jù)加/解密引擎實(shí)現(xiàn)對(duì)數(shù)據(jù)庫表的加密、解密及數(shù)據(jù)轉(zhuǎn)換等功能。加/解密處理在后臺(tái)完成，對(duì)數(shù)據(jù)庫服務(wù)器是透明的。數(shù)據(jù)庫加/解密引擎由三大模塊組成：加/解密處理模塊、用戶接口模塊和數(shù)據(jù)庫接口模塊。優(yōu)點(diǎn)：①對(duì)最終用戶完全透明，管理員可根據(jù)需要進(jìn)行明文和密文的轉(zhuǎn)換；②加密系統(tǒng)完全獨(dú)立于數(shù)據(jù)庫應(yīng)用系統(tǒng)；③加解密處理在客戶端進(jìn)行，不會(huì)影響數(shù)據(jù)庫服務(wù)器的效率。

（分析：存在的問題！）1.5數(shù)據(jù)加密數(shù)據(jù)庫安全性練習(xí)1.創(chuàng)建角色r_oper，并授予其connect權(quán)限。2.將下列對(duì)象權(quán)限授予r_oper:dept表的select,insert,delete,update;majors表的全部權(quán)限；(allprivileges)students,sc,course表的select權(quán)限。3.新建用戶u10,將角色權(quán)限r(nóng)_oper授予用戶u10。4.撤銷（收回）用戶u10的所有權(quán)限。5.刪除用戶u10。二、數(shù)據(jù)庫的完整性完整性概述實(shí)體完整性的定義與處理參照完整性的定義與處理用戶定義完整性的定義與處理完整性約束命名子句觸發(fā)器（Trigger）二、數(shù)據(jù)庫的完整性2.1完整性概述數(shù)據(jù)庫的完整性：數(shù)據(jù)的正確、有效和相容。完整性控制：采取有效手段，控制數(shù)據(jù)的取值，防止出現(xiàn)不符合應(yīng)用語義的數(shù)據(jù)。DBMS對(duì)完整性控制的支持：完整性約束規(guī)則的定義；完整性檢查（數(shù)據(jù)更新時(shí)）；違約處理（視不同情況）。2.2實(shí)體完整性的定義與處理定義：通過基本表中定義主碼實(shí)現(xiàn)。檢查與處理：

插入或?qū)χ鞔a列進(jìn)行更新操作時(shí)，RDBMS按照實(shí)體完整性規(guī)則自動(dòng)進(jìn)行檢查。包括：1）

檢查主碼值是否唯一，如果不唯一則拒絕插入或修改。2）

檢查主碼的各個(gè)屬性是否為空，只要有一個(gè)為空就拒絕插入或修改。二、數(shù)據(jù)庫的完整性2.3參照完整性的定義與處理定義：通過基本表中定義外碼實(shí)現(xiàn)。檢查與處理：

二、數(shù)據(jù)庫的完整性2.3參照完整性的定義與處理【例】

顯式說明參照完整性的違約處理示例。

CREATETABLESC(SnoCHAR(9)NOTNULL，CnoCHAR(4)NOTNULL,GradeSMALLINT,

PRIMARYKEY（Sno，Cno），

FOREIGNKEY(Sno)REFERENCESStudent(Sno) ONDELETECASCADE/*級(jí)聯(lián)刪除SC表中相應(yīng)的元組*/ONUPDATECASCADE，/*級(jí)聯(lián)更新SC表中相應(yīng)的元組*/FOREIGNKEY(Cno)REFERENCESCourse(Cno) ONDELETENOACTION/*刪除course元組造成不一致時(shí)拒絕刪除*/ONUPDATECASCADE/*級(jí)聯(lián)更新SC表中相應(yīng)的元組*/)；2.4用戶定義完整性的定義與處理定義：在創(chuàng)建基本表時(shí)定義。列值非空（NOTNULL）列值唯一（UNIQUE）檢查列值是否滿足一個(gè)布爾表達(dá)式（CHECK）檢查與處理：更新數(shù)據(jù)時(shí)，RDBMS檢查相關(guān)的約束條件是否被滿足，如果不滿足則操作被拒絕執(zhí)行。二、數(shù)據(jù)庫的完整性【例1】實(shí)體完整性約束定義。createtabletest(idnumberprimarykey,namevarchar2(20));【例2】參照完整性約束定義。createtabletest2(d_idchar(10)primarykey,f_idnumber,foreignkey(f_id)referencestest(id)ondeletesetnull);//Oracle不支持onupdatecascade【例3】用戶定義的完整性。createtabletest3(p_idchar(10)primarykey,namevarchar2(20)uniquenotnull,sexchar(2)check(sexin('男','女')));2.5完整性約束命名子句CONSTRAINT<完整性約束條件名>［PRIMARYKEY短語|FOREIGNKEY短語|CHECK短語］；［例］CREATETABLEStudent(SnoNUMERIC(6)

CONSTRAINTC1CHECK(SnoBETWEEN90000AND99999)，

SnameCHAR(20)CONSTRAINTC2NOTNULL，

SageNUMBER(3)CONSTRAINTC3CHECK(Sage<30)，

SsexCHAR(2)CONSTRAINTC4CHECK(SsexIN('男'，'女'))，

CONSTRAINTStudentKeyPRIMARYKEY(Sno))；二、數(shù)據(jù)庫的完整性2.5完整性約束命名子句通過命名子句修改完整性定義［例］修改表Student中的約束條件。ALTERTABLEStudentDROPCONSTRAINTC1;

ALTERTABLEStudentADDCONSTRAINTC1CHECK(SnoBETWEEN900000AND999999)；

ALTERTABLEStudentDROPCONSTRAINTC3;ALTERTABLEStudentADDCONSTRAINTC3CHECK(Sage<40)；2.6觸發(fā)器（Trigger）

觸發(fā)器是由一系列SQL語句組成的動(dòng)作體，當(dāng)對(duì)數(shù)據(jù)庫做修改（包括插入、刪除和更新）時(shí)，它自動(dòng)被系統(tǒng)執(zhí)行。

設(shè)置觸發(fā)器機(jī)制必須滿足的兩個(gè)條件：

①指明什么條件下觸發(fā)器被執(zhí)行，即觸發(fā)條件；

②指明觸發(fā)器執(zhí)行的動(dòng)作是什么，即觸發(fā)什么。二、數(shù)據(jù)庫的完整性觸發(fā)器的利弊可以進(jìn)行更為復(fù)雜的檢查和操作，具有更精細(xì)和更強(qiáng)大的數(shù)據(jù)控制能力，能夠保證數(shù)據(jù)庫的一致性；檢測(cè)和維護(hù)觸發(fā)器需要很大的開銷，降低了數(shù)據(jù)庫增、刪、改的效率！2.6觸發(fā)器（Trigger）定義觸發(fā)器

CREATETRIGGER<觸發(fā)器名>{BEFORE|AFTER}<觸發(fā)事件>ON<表名>FOREACH{ROW|STATEMENT}

［WHEN<觸發(fā)條件>］

<觸發(fā)動(dòng)作體>；

了解：T-SQL與PL/SQL的差異！2.6觸發(fā)器（Trigger）說明:1）創(chuàng)建者：表的擁有者2）

觸發(fā)器名3）

表名：觸發(fā)器的目標(biāo)表4）

觸發(fā)事件：INSERT、DELETE、UPDATE5）

觸發(fā)器類型行級(jí)觸發(fā)器（FOREACHROW）語句級(jí)觸發(fā)器（FOREACHSTATEMENT）2.6觸發(fā)器（Trigger）［例］定義一個(gè)BEFORE行級(jí)觸發(fā)器，為教師表Teachers定義完整性規(guī)則“講師的工資不得低于3000元，如果低于3000元，自動(dòng)改為3000元”。

CREATETRIGGERInsert_Or_Update_SalBEFOREINSERTORUPDATEONTeachers--觸發(fā)事件是插入或更新操作FOREACHROW--行級(jí)觸發(fā)器BEGIN--定義觸發(fā)動(dòng)作體，是PL/SQL過程塊IF(:new.Job=‘講師')AND(:new.Sal<3000)T