數(shù)據(jù)庫安全(專題報告)

數(shù)據(jù)庫安全計算機(jī)科學(xué)與技術(shù)學(xué)院計算機(jī)系統(tǒng)安全性概論三類計算機(jī)系統(tǒng)安全性問題技術(shù)安全類管理安全類政策法律類計算機(jī)系統(tǒng)安全性概論可信計算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)為降低進(jìn)而消除對系統(tǒng)的安全攻擊，各國引用或制定了一系列安全標(biāo)準(zhǔn)TCSEC(桔皮書)TDI(紫皮書)可信計算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)1985年美國國防部（DoD）正式頒布《DoD可信計算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)》（簡稱TCSEC或DoD85）TCSEC又稱桔皮書TCSEC標(biāo)準(zhǔn)的目的

提供一種標(biāo)準(zhǔn)，使用戶可以對其計算機(jī)系統(tǒng)內(nèi)敏感信息安全操作的可信程度做評估。給計算機(jī)行業(yè)的制造商提供一種可循的指導(dǎo)規(guī)則，使其產(chǎn)品能夠更好地滿足敏感應(yīng)用的安全需求。可信計算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)1991年4月美國NCSC（國家計算機(jī)安全中心）頒布了《可信計算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)關(guān)于可信數(shù)據(jù)庫系統(tǒng)的解釋》（TrustedDatabaseInterpretation簡稱TDI）TDI又稱紫皮書。它將TCSEC擴(kuò)展到數(shù)據(jù)庫管理系統(tǒng)。TDI中定義了數(shù)據(jù)庫管理系統(tǒng)的設(shè)計與實(shí)現(xiàn)中需滿足和用以進(jìn)行安全性級別評估的標(biāo)準(zhǔn)。可信計算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)TDI/TCSEC標(biāo)準(zhǔn)的基本內(nèi)容TDI與TCSEC一樣，從四個方面來描述安全性級別劃分的指標(biāo)安全策略責(zé)任保證文檔TCSEC/TDI安全級別劃分安全級別定義A1驗(yàn)證設(shè)計（VerifiedDesign）B3安全域（SecurityDomains）

B2結(jié)構(gòu)化保護(hù)（StructuralProtection）

B1標(biāo)記安全保護(hù)（LabeledSecurityProtection）

C2受控的存取保護(hù)（ControlledAccessProtection）

C1自主安全保護(hù)（DiscretionarySecurityProtection）

D最小保護(hù)（MinimalProtection）可信計算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)四組(division)七個等級DC（C1，C2）B（B1，B2，B3）A（A1）按系統(tǒng)可靠或可信程度逐漸增高各安全級別之間具有一種偏序向下兼容的關(guān)系，即較高安全性級別提供的安全保護(hù)要包含較低級別的所有保護(hù)要求，同時提供更多或更完善的保護(hù)能力。

表示該級不提供對該指標(biāo)的支持；表示該級新增的對該指標(biāo)的支持；表示該級對該指標(biāo)的支持與相鄰低一級的等級一樣；表示該級對該指標(biāo)的支持較下一級有所增加或改動。

數(shù)據(jù)庫概述

數(shù)據(jù)庫的安全特性數(shù)據(jù)庫的保護(hù)

Oracle數(shù)據(jù)庫的安全性措施

云計算時代的數(shù)據(jù)庫安全

數(shù)據(jù)庫安全的發(fā)展趨勢數(shù)據(jù)庫的發(fā)展史數(shù)據(jù)庫數(shù)據(jù)庫是提供數(shù)據(jù)的基地，它能保存數(shù)據(jù)并能使用戶方便的訪問數(shù)據(jù)。ＤＢＭＳ數(shù)據(jù)庫管理系統(tǒng)(DBMS)通常由這三部分組成：數(shù)據(jù)庫定義語言(DDL)；數(shù)據(jù)操縱語言(DML)；數(shù)據(jù)庫管理例行程序；數(shù)據(jù)庫管理系統(tǒng)(DBMS)DBMS的功能有正確的編譯功能，能正確執(zhí)行規(guī)定的操作。能正確執(zhí)行數(shù)據(jù)庫命令。能保證數(shù)據(jù)的安全性、完整性，能抵御一定程度的物理破壞，能維護(hù)和提交數(shù)據(jù)庫內(nèi)容。能識別用戶、分配授權(quán)和進(jìn)行訪問控制，包括身份識別和驗(yàn)證。順利執(zhí)行數(shù)據(jù)庫訪問，保證網(wǎng)絡(luò)通信功能。

數(shù)據(jù)庫安全包含兩層含義：第一層是指系統(tǒng)運(yùn)行安全主要包括：法律、政策的保護(hù)，如用戶是否有合法權(quán)利，政策是否允許等物理控制安全，如機(jī)房加鎖等硬件運(yùn)行安全操作系統(tǒng)安全，如數(shù)據(jù)文件是否保護(hù)災(zāi)害、故障恢復(fù)避免和解除死鎖防止電磁信息泄漏數(shù)據(jù)庫安全的含義第二層是指數(shù)據(jù)庫系統(tǒng)信息安全主要包括：用戶口令鑒別用戶存取權(quán)限控制數(shù)據(jù)存取權(quán)限、方式控制審計跟蹤數(shù)據(jù)加密數(shù)據(jù)庫安全的含義數(shù)據(jù)庫系統(tǒng)的安全性要求安全問題注釋物理上的數(shù)據(jù)庫完整性預(yù)防數(shù)據(jù)庫數(shù)據(jù)物理方面的問題。如掉電，以及當(dāng)被災(zāi)禍破壞后能重構(gòu)數(shù)據(jù)庫邏輯上的數(shù)據(jù)庫完整性保持?jǐn)?shù)據(jù)的結(jié)構(gòu)。如一個字段的值的修改不至于影響其他字段元素的完整性包含在每個元素中的數(shù)據(jù)是準(zhǔn)確的可審計性能夠追蹤到誰訪問修改過數(shù)據(jù)的元素訪問控制允許用戶只訪問被批準(zhǔn)的數(shù)據(jù)，以及限制不同的用戶有不同的訪問模式，如讀或?qū)懹脩粽J(rèn)證確保每個用戶被正確地識別，既便于審計跟蹤，也為了限制對特定的數(shù)據(jù)進(jìn)行訪問可獲（用）性用戶一般可以訪問數(shù)據(jù)庫以及所有被批準(zhǔn)訪問的數(shù)據(jù)數(shù)據(jù)庫系統(tǒng)的安全框架

數(shù)據(jù)庫系統(tǒng)的安全除依賴自身內(nèi)部的安全機(jī)制外，還與外部網(wǎng)絡(luò)環(huán)境、應(yīng)用環(huán)境、從業(yè)人員素質(zhì)等因素息息相關(guān)。

因此，從廣義上講，數(shù)據(jù)庫系統(tǒng)的安全框架可以劃分為三個層次，分別為：網(wǎng)絡(luò)系統(tǒng)層次、操作系統(tǒng)層次、數(shù)據(jù)庫管理系統(tǒng)層次。網(wǎng)絡(luò)系統(tǒng)層次的安全

網(wǎng)絡(luò)系統(tǒng)是數(shù)據(jù)庫應(yīng)用的外部環(huán)境和基礎(chǔ)，數(shù)據(jù)庫系統(tǒng)要發(fā)揮其強(qiáng)大作用離不開網(wǎng)絡(luò)系統(tǒng)的支持，數(shù)據(jù)庫系統(tǒng)的用戶（如異地用戶、分布式用戶）也要通過網(wǎng)絡(luò)才能訪問數(shù)據(jù)庫的數(shù)據(jù)。所以，數(shù)據(jù)庫的安全首先依賴于網(wǎng)絡(luò)系統(tǒng)，網(wǎng)絡(luò)系統(tǒng)的安全是數(shù)據(jù)庫安全的第一道屏障，外部入侵首先就是從入侵網(wǎng)絡(luò)系統(tǒng)開始的。網(wǎng)絡(luò)系統(tǒng)層次的安全防范技術(shù)有很多種，主要有防火墻、入侵檢測技術(shù)等。操作系統(tǒng)層次的安全操作系統(tǒng)是大型數(shù)據(jù)庫系統(tǒng)的運(yùn)行平臺，為數(shù)據(jù)庫系統(tǒng)提供一定程度的安全保護(hù)。主要安全技術(shù)有操作系統(tǒng)安全策略、安全管理策略、數(shù)據(jù)安全等方面。其中操作系統(tǒng)安全策略用于配置本地計算機(jī)的安全設(shè)置，包括密碼策略、賬戶鎖定策略、審核策略、IP安全策略、用戶權(quán)利指派、加密數(shù)據(jù)的恢復(fù)代理及其他安全選項(xiàng)，具體可以體現(xiàn)在用戶賬戶、口令、訪問權(quán)限、審計等方面。安全管理策略是指網(wǎng)絡(luò)管理員對系統(tǒng)實(shí)施安全管理所采取的方法及策略。針對不同的操作系統(tǒng)、網(wǎng)絡(luò)環(huán)境，需要采取的安全管理策略一般也不盡相同，其核心是保證服務(wù)器的安全和分配好各類用戶的權(quán)限。數(shù)據(jù)安全主要包括：數(shù)據(jù)加密技術(shù)、數(shù)據(jù)備份、數(shù)據(jù)存儲的安全性、數(shù)據(jù)傳輸?shù)陌踩缘?。可以采用的技術(shù)很多，主要有Kerberos認(rèn)證，IPSec，SSL，TLS，VPN等技術(shù)。數(shù)據(jù)庫管理系統(tǒng)層次的安全當(dāng)前面兩個層次已經(jīng)被突破的情況下，數(shù)據(jù)庫管理系統(tǒng)在一定程度上能保障數(shù)據(jù)庫數(shù)據(jù)的安全。目前市場上流行的關(guān)系數(shù)據(jù)庫管理系統(tǒng)的安全性功能都很弱，所以，數(shù)據(jù)庫的安全不能得到保障，這就要求數(shù)據(jù)庫管理系統(tǒng)必須有一套強(qiáng)有力的安全機(jī)制。數(shù)據(jù)庫管理系統(tǒng)本身提供的用戶名/口令識別，視圖、使用權(quán)限控制，審計等管理措施，大型數(shù)據(jù)庫管理系統(tǒng)Oracle，Sybase，Ingress等均有此功能。應(yīng)用程序設(shè)置的控制管理，如使用較普遍的FoxBASE，F(xiàn)oxPro等。作為數(shù)據(jù)庫用戶，最關(guān)心自身數(shù)據(jù)資料的安全，特別是用戶的查詢權(quán)限問題數(shù)據(jù)庫安全的威脅對數(shù)據(jù)庫安全的威脅或侵犯大致可以包括蓄意的侵犯或敵意的攻擊特洛伊木馬與隱秘通道數(shù)據(jù)庫命名硬件或軟件的故障/錯誤導(dǎo)致的數(shù)據(jù)丟失偶然的、無意的侵犯或破壞人為的失誤破密

數(shù)據(jù)庫概述

數(shù)據(jù)庫的安全特性數(shù)據(jù)庫的保護(hù)

Oracle數(shù)據(jù)庫的安全性措施

數(shù)據(jù)庫安全的發(fā)展趨勢2數(shù)據(jù)庫的安全特性2.1．?dāng)?shù)據(jù)獨(dú)立性數(shù)據(jù)獨(dú)立于應(yīng)用程序之外。理論上數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)獨(dú)立性分為兩種：物理獨(dú)立性。數(shù)據(jù)庫的物理結(jié)構(gòu)的變化不影響數(shù)據(jù)庫的應(yīng)用結(jié)構(gòu)，從而也就不影響其相應(yīng)的應(yīng)用程序。這里的物理結(jié)構(gòu)是指數(shù)據(jù)庫的物理位置、物理設(shè)備等。邏輯獨(dú)立性。數(shù)據(jù)庫邏輯結(jié)構(gòu)的變化不會影響用戶的應(yīng)用程序。數(shù)據(jù)類型的修改、增加、改變各表之間的聯(lián)系都不會導(dǎo)致應(yīng)用程序的修改。

這兩種數(shù)據(jù)獨(dú)立性都要靠DBMS來實(shí)現(xiàn)。到目前為止，物理獨(dú)立性已經(jīng)能基本實(shí)現(xiàn)，但邏輯獨(dú)立性實(shí)現(xiàn)起來非常困難，數(shù)據(jù)結(jié)構(gòu)一旦發(fā)生變化，一般情況下，相應(yīng)的應(yīng)用程序都要作或多或少的修改。2.2數(shù)據(jù)安全性完整的數(shù)據(jù)庫對數(shù)據(jù)安全性采取了以下措施：將數(shù)據(jù)庫中需要保護(hù)的部分與其他部分相隔離。使用授權(quán)規(guī)則。這是數(shù)據(jù)庫系統(tǒng)經(jīng)常使用的一個辦法，數(shù)據(jù)庫給用戶ID號和口令、權(quán)限。當(dāng)用戶用此ID號和口令登錄后，就會獲得相應(yīng)的權(quán)限。不同的用戶或操作會有不同的權(quán)限。比如，對于一個表，某人有修改權(quán)，而其他人只有查詢權(quán)。將數(shù)據(jù)加密，以密碼的形式存于數(shù)據(jù)庫內(nèi)。2.3數(shù)據(jù)的完整性數(shù)據(jù)的完整性主要是指：防止數(shù)據(jù)庫中存在不符合語義的數(shù)據(jù)，防止錯誤信息的輸入和輸出。這一術(shù)語用來泛指與損壞和丟失相對的數(shù)據(jù)狀態(tài)。它通常表明數(shù)據(jù)在可靠性與準(zhǔn)確性上是可信賴的，同時也意味著數(shù)據(jù)有可能是無效的或不完整的。2.4

并發(fā)控制

如果數(shù)據(jù)庫應(yīng)用要實(shí)現(xiàn)多用戶共享數(shù)據(jù)，就可能在同一時刻多個用戶要存取數(shù)據(jù)，這種事件叫做并發(fā)事件。當(dāng)一個用戶取出數(shù)據(jù)進(jìn)行修改，修改存入數(shù)據(jù)庫之前如有其他用戶再取此數(shù)據(jù)，那么讀出的數(shù)據(jù)就是不正確的。這時就需要對這種并發(fā)操作施行控制，排除和避免這種錯誤的發(fā)生，保證數(shù)據(jù)的正確性。

2.5

故障恢復(fù)當(dāng)數(shù)據(jù)庫系統(tǒng)運(yùn)行時出現(xiàn)物理或邏輯上的錯誤時，如何盡快將它恢復(fù)正常，這就是數(shù)據(jù)庫系統(tǒng)的故障恢復(fù)功能。數(shù)據(jù)庫的故障主要包括：事務(wù)內(nèi)部的故障系統(tǒng)范圍內(nèi)的故障介質(zhì)故障計算機(jī)病毒與黑客等。事務(wù)內(nèi)部的故障

事務(wù)（Transaction）是指并發(fā)控制的單位，它是一個操作序列。在這個序列中的所有操作只有兩種行為，要么全都執(zhí)行，要么全都不執(zhí)行。因此，事務(wù)是一個不可分割的單位。事務(wù)用COMMIT語句提交給數(shù)據(jù)庫，用ROLLBACK語句撤銷已經(jīng)完成的操作事務(wù)內(nèi)部的故障多發(fā)生于數(shù)據(jù)的不一致性，主要表現(xiàn)為以下幾種：丟失修改。兩個事務(wù)T1和T2讀入同一數(shù)據(jù)，T2提交的結(jié)果破壞了T1提交的結(jié)果，T1對數(shù)據(jù)庫的修改丟失，造成數(shù)據(jù)庫中數(shù)據(jù)錯誤。不能重復(fù)讀。事務(wù)T1讀取某一數(shù)據(jù)，事務(wù)T2讀取并修改了同一數(shù)據(jù)，T1為了對讀取值進(jìn)行校對再讀取此數(shù)據(jù)，便得到了不同的結(jié)果。例如，T1讀取數(shù)據(jù)B=200，T2也讀取B并把它修改為300，那么T1再讀取數(shù)據(jù)B得到300，與第一次讀取的數(shù)值不一致?！芭K”數(shù)據(jù)的讀出，即不正確數(shù)據(jù)的讀出。T1修改某一數(shù)據(jù)，T2讀取同一數(shù)據(jù)，但T1由于某種原因被撤銷，則T2讀到的數(shù)據(jù)為“臟”數(shù)據(jù)。例如，T1讀取數(shù)據(jù)B值100修改為200，則T2讀取B值為200，但由于事務(wù)T1被撤銷，其所做的修改宣布無效，B值恢復(fù)為100，而T2讀到的數(shù)據(jù)是200，就與數(shù)據(jù)庫內(nèi)容不一致了。系統(tǒng)范圍內(nèi)的故障數(shù)據(jù)庫系統(tǒng)故障又稱為數(shù)據(jù)庫軟故障，是指系統(tǒng)突然停止運(yùn)行時造成的數(shù)據(jù)庫故障。如CPU故障、突然斷電、操作系統(tǒng)故障，這些故障不會破壞數(shù)據(jù)庫，但會影響正在運(yùn)行的所有事務(wù)，因?yàn)閿?shù)據(jù)庫緩沖區(qū)的內(nèi)容會全部丟失，運(yùn)行的事務(wù)非正常終止，從而造成數(shù)據(jù)庫處于一種不正確的狀態(tài)。這種故障對于一個需要不停運(yùn)行的數(shù)據(jù)庫來講，損失是不可估量的?；謴?fù)子系統(tǒng)必須在系統(tǒng)重新啟動時讓所有非正常終止事務(wù)ROLLBACK，把數(shù)據(jù)庫恢復(fù)到正確的狀態(tài)。介質(zhì)故障。

介質(zhì)故障又稱硬故障，主要指外存故障，如磁盤磁頭碰撞，瞬時的強(qiáng)磁場干擾。這類故障會破壞數(shù)據(jù)庫或部分?jǐn)?shù)據(jù)庫，并影響正在使用數(shù)據(jù)庫的所有事務(wù)。所以，這類故障的破壞性很大。計算機(jī)病毒與黑客

病毒發(fā)作后造成的數(shù)據(jù)庫數(shù)據(jù)的損壞必須要求操作者自己去恢復(fù)。對于黑客，更需要計算機(jī)數(shù)據(jù)庫加強(qiáng)安全管理。這種安全管理對于那些機(jī)密性的數(shù)據(jù)庫顯得尤為重要。

數(shù)據(jù)庫概述

數(shù)據(jù)庫的安全特性

數(shù)據(jù)庫的保護(hù)

Oracle數(shù)據(jù)庫的安全性措施

云計算時代的數(shù)據(jù)庫安全

數(shù)據(jù)庫安全的發(fā)展趨勢3數(shù)據(jù)庫的保護(hù)數(shù)據(jù)庫的保護(hù)是數(shù)據(jù)庫運(yùn)行過程中一個不可忽視的方面。數(shù)據(jù)庫系統(tǒng)必須建立自己的保護(hù)機(jī)制，提供數(shù)據(jù)保護(hù)功能。數(shù)據(jù)庫的保護(hù)主要包含數(shù)據(jù)庫的安全性、完整性、并發(fā)控制和數(shù)據(jù)庫恢復(fù)等內(nèi)容。3.1數(shù)據(jù)庫的安全性安全性問題是所有計算機(jī)系統(tǒng)共有的問題，并不是數(shù)據(jù)庫系統(tǒng)特有的，但由于數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)量龐大且多用戶存取，安全性問題就顯得尤其突出。由于安全性問題有系統(tǒng)問題與人為問題，所以一方面用戶可以從法律、政策、倫理、道德等方面控制約束人們對數(shù)據(jù)庫的安全使用；另一方面還可以從物理設(shè)備、操作系統(tǒng)等方面加強(qiáng)保護(hù)，保證數(shù)據(jù)庫的安全；另外，也可以從數(shù)據(jù)庫本身實(shí)現(xiàn)數(shù)據(jù)庫的安全性保護(hù)。計算機(jī)系統(tǒng)安全模型數(shù)據(jù)庫安全性常用技術(shù)用戶標(biāo)識和鑒定存取控制視圖審計數(shù)據(jù)庫加密3.1.1用戶標(biāo)識和鑒定用戶標(biāo)識與鑒別（Identification&Authentication）系統(tǒng)提供的最外層安全保護(hù)措施基本方法：☆系統(tǒng)提供一定的方式讓用戶標(biāo)識自己的名字或身份；☆系統(tǒng)內(nèi)部記錄著所有合法用戶的標(biāo)識；☆每次用戶要求進(jìn)入系統(tǒng)時，由系統(tǒng)核對用戶提供的身份標(biāo)識；☆通過鑒定后才提供機(jī)器使用權(quán)☆用戶標(biāo)識和鑒定可以重復(fù)多次用戶標(biāo)識自己的名字或身份方法1：用戶名/口令簡單易行，但容易被人竊取方法2：每個用戶預(yù)先約定好一個計算過程或者函數(shù)系統(tǒng)提供一個隨機(jī)數(shù)用戶根據(jù)自己預(yù)先約定的計算過程或者函數(shù)進(jìn)行計算系統(tǒng)根據(jù)用戶計算結(jié)果是否正確鑒定用戶身份3.1.2存取控制存取控制機(jī)制的組成定義存取權(quán)限檢查存取權(quán)限用戶權(quán)限定義和合法權(quán)檢查機(jī)制一起組成了DBMS的安全子系統(tǒng)常用存取控制方法自主存取控制（DiscretionaryAccessControl，簡稱DAC）

C2級

靈活強(qiáng)制存取控制（MandatoryAccessControl，簡稱MAC）B1級嚴(yán)格自主存取控制方法同一用戶對于不同的數(shù)據(jù)對象有不同的存取權(quán)限不同的用戶對同一對象也有不同的權(quán)限用戶還可將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶自主存取控制方法定義方法GRANT/REVOKEGRANT功能：將對指定操作對象的指定操作權(quán)限授予指定的用戶。GRANT語句的一般格式：GRANT<權(quán)限>[,<權(quán)限>]...[ON<對象類型><對象名>,<對象類型><對象名>]TO<用戶>[,<用戶>]...[WITHGRANTOPTION];SQL收回權(quán)限的功能REVOKE語句的一般格式為：REVOKE<權(quán)限>[,<權(quán)限>]...[ON<對象類型><對象名>，<對象類型><對象名>]FROM<用戶>[,<用戶>]...;功能：從指定用戶那里收回對指定對象的指定權(quán)限強(qiáng)制存取控制方法每一個數(shù)據(jù)對象被標(biāo)以一定的密級每一個用戶也被授予某一個級別的許可證對于任意一個對象，只有具有合法許可證的用戶才可以存取強(qiáng)制存取控制方法主體與客體在MAC中，DBMS所管理的全部實(shí)體被分為主體和客體兩大類主體是系統(tǒng)中的活動實(shí)體DBMS所管理的實(shí)際用戶代表用戶的各進(jìn)程客體是系統(tǒng)中的被動實(shí)體，是受主體操縱的文件基表索引視圖對于主體和客體，DBMS為它們每個實(shí)例（值）指派一個敏感度標(biāo)記（Label）強(qiáng)制存取控制方法強(qiáng)制存取控制規(guī)則當(dāng)某一用戶（或某一主體）以標(biāo)記label注冊入系統(tǒng)時，系統(tǒng)要求他對任何客體的存取必須遵循下面兩條規(guī)則：（1）僅當(dāng)主體的許可證級別大于或等于客體的密級時，該主體才能讀取相應(yīng)的客體；（2）僅當(dāng)主體的許可證級別等于客體的密級時，該主體才能寫相應(yīng)的客體。3.1.3視圖機(jī)制視圖機(jī)制把要保密的數(shù)據(jù)對無權(quán)存取這些數(shù)據(jù)的用戶隱藏起來。視圖機(jī)制更主要的功能在于提供數(shù)據(jù)獨(dú)立性，其安全保護(hù)功能太不精細(xì)，往往遠(yuǎn)不能達(dá)到應(yīng)用系統(tǒng)的要求。視圖機(jī)制與授權(quán)機(jī)制配合使用:首先用視圖機(jī)制屏蔽掉一部分保密數(shù)據(jù);然后在視圖上面再進(jìn)一步定義存取權(quán)限;間接實(shí)現(xiàn)了支持存取謂詞的用戶權(quán)限定義3.1.4審計什么是審計啟用一個專用的審計日志（AuditLog）將用戶對數(shù)據(jù)庫的所有操作記錄在上面DBA可以利用審計日志中的追蹤信息，找出非法存取數(shù)據(jù)的人C2以上安全級別的DBMS必須具有審計功能審計功能的可選性審計很費(fèi)時間和空間DBA可以根據(jù)應(yīng)用對安全性的要求，靈活地打開或關(guān)閉審計功能。強(qiáng)制性機(jī)制:用戶識別和鑒定、存取控制、視圖預(yù)防監(jiān)測手段:審計技術(shù)3.1.5數(shù)據(jù)庫加密數(shù)據(jù)庫加密的特點(diǎn)：數(shù)據(jù)庫密碼系統(tǒng)應(yīng)采用公開密鑰。因?yàn)閿?shù)據(jù)庫的數(shù)據(jù)是共享的，有權(quán)限的用戶隨時需要使用密鑰來查詢數(shù)據(jù)。因此，數(shù)據(jù)庫密碼系統(tǒng)宜采用公開密鑰的加密方法。在實(shí)際應(yīng)用時一般采用改進(jìn)的分組加密算法，使其符合數(shù)據(jù)庫加密的要求。數(shù)據(jù)庫加密的特點(diǎn)多級密鑰結(jié)構(gòu)。數(shù)據(jù)庫關(guān)系運(yùn)算中參與運(yùn)算的最小單位是字段，查詢路徑依次是庫名、表名、記錄名和字段名。因此，字段是最小的加密單位。也就是說當(dāng)查得一個數(shù)據(jù)后，該數(shù)據(jù)所在的庫名、表名、記錄名、字段名都應(yīng)是知道的。對應(yīng)的庫名、表名、記錄名、字段名都應(yīng)該具有自己的子密鑰，這些子密鑰組成了一個能夠隨時加、解密的公開密鑰。加密體制加密算法不同層次的加密?？梢栽谌齻€不同層次實(shí)現(xiàn)對數(shù)據(jù)庫數(shù)據(jù)的加密，這三個層次分別是OS層、DBMS內(nèi)核層和DBMS外層。在OS層加密。在OS層無法辨認(rèn)數(shù)據(jù)庫文件中的數(shù)據(jù)關(guān)系，從而無法產(chǎn)生合理的密鑰，對密鑰合理的管理和使用也很難。所以，對大型數(shù)據(jù)庫來說，在OS層對數(shù)據(jù)庫文件進(jìn)行加密很難實(shí)現(xiàn)。在DBMS內(nèi)核層實(shí)現(xiàn)加密在DBMS內(nèi)核層實(shí)現(xiàn)加密

這種加密是指數(shù)據(jù)在物理存取之前完成加/解密工作。這種加密方式的優(yōu)點(diǎn)是加密功能強(qiáng)，并且加密功能幾乎不會影響DBMS的功能，可以實(shí)現(xiàn)加密功能與數(shù)據(jù)庫管理系統(tǒng)之間的無縫耦合。其缺點(diǎn)是加密運(yùn)算在服務(wù)器端進(jìn)行，加重了服務(wù)器的負(fù)載，而且DBMS和加密器之間的接口需要DBMS開發(fā)商的支持。在DBMS外層實(shí)現(xiàn)加密在DBMS外層實(shí)現(xiàn)加密。

比較實(shí)際的做法是將數(shù)據(jù)庫加密系統(tǒng)做成DBMS的一個外層工具，根據(jù)加密要求自動完成對數(shù)據(jù)庫數(shù)據(jù)的加/解密處理。采用這種加密方式進(jìn)行加密，加/解密運(yùn)算可在客戶端進(jìn)行，它的優(yōu)點(diǎn)是不會加重數(shù)據(jù)庫服務(wù)器的負(fù)載并且可以實(shí)現(xiàn)網(wǎng)上傳輸?shù)募用?，對?shù)據(jù)庫的最終用戶是完全透明的，不會影響數(shù)據(jù)庫服務(wù)器的效率。缺點(diǎn)是加密功能會受到一些限制，與數(shù)據(jù)庫管理系統(tǒng)之間的耦合性稍差。數(shù)據(jù)庫加密的范圍經(jīng)過加密的數(shù)據(jù)庫須經(jīng)得起來自O(shè)S和DBMS的攻擊；另一方面，DBMS要完成對數(shù)據(jù)庫文件的管理和使用，必須具有能夠識別部分?jǐn)?shù)據(jù)的條件。因此，只能對數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行部分加密。數(shù)據(jù)庫加密的范圍數(shù)據(jù)庫中不能加密的部分包括：索引字段不能加密。為了達(dá)到迅速查詢的目的，數(shù)據(jù)庫文件需要建立一些索引，它們的建立和應(yīng)用必須是明文狀態(tài)，否則將失去索引的作用。關(guān)系運(yùn)算的比較字段不能加密。DBMS要組織和完成關(guān)系運(yùn)算，參與并、差、積、商、投影、選擇和連接等操作的數(shù)據(jù)一般都要經(jīng)過條件篩選，這種“條件”選擇項(xiàng)必須是明文，否則DBMS將無法進(jìn)行比較篩選。表間的連接碼字段不能加密。數(shù)據(jù)模型規(guī)范化以后，數(shù)據(jù)庫表之間存在著密切的聯(lián)系，這種相關(guān)性往往是通過“外部編碼”聯(lián)系的，這些編碼若加密就無法進(jìn)行表與表之間的連接運(yùn)算。

數(shù)據(jù)庫加密對數(shù)據(jù)庫管理系統(tǒng)原有功能的影響。數(shù)據(jù)庫數(shù)據(jù)加密以后，DBMS的一些功能將無法使用。無法實(shí)現(xiàn)對數(shù)據(jù)制約因素的定義。Sybase數(shù)據(jù)庫系統(tǒng)的規(guī)則定義了數(shù)據(jù)之間的制約因素。數(shù)據(jù)一旦加密，DBMS將無法實(shí)現(xiàn)這一功能，而且，值域的定義也無法進(jìn)行。值得注意的是，數(shù)據(jù)庫中的每個字段的類型、長度都有具體的限定。數(shù)據(jù)加密時，數(shù)值類型的數(shù)據(jù)只能在數(shù)值范圍內(nèi)加密，日期和字符類型的數(shù)據(jù)也都只能在各自的類型范圍內(nèi)加密，密文長度也不能超過字段限定的長度，否則DBMS將無法接受這些加密過的數(shù)據(jù)。密文數(shù)據(jù)的排序、分組和分類。select語句中的groupby，orderby，having子句分別完成分組、排序、分類等操作。這些子句的操作對象如果是加密數(shù)據(jù)，那么解密后的明文數(shù)據(jù)將失去原語句的分組、排序、分類作用，顯然這不是用戶所需要的。SQL語言中的內(nèi)部函數(shù)將對加密數(shù)據(jù)失去作用。DBMS對各種類型數(shù)據(jù)均提供了一些內(nèi)部函數(shù)，這些函數(shù)不能直接作用于加密數(shù)據(jù)。DBMS的一些應(yīng)用開發(fā)工具的使用受到限制。3.2數(shù)據(jù)庫中數(shù)據(jù)的完整性數(shù)據(jù)完整性包括數(shù)據(jù)的正確性、有效性和一致性。數(shù)據(jù)類型與值域的約束關(guān)鍵字約束數(shù)據(jù)聯(lián)系的約束3.3數(shù)據(jù)庫并發(fā)控制目前，多數(shù)數(shù)據(jù)庫都是大型多用戶數(shù)據(jù)庫，所以數(shù)據(jù)庫中的數(shù)據(jù)資源必須是共享的。為了充分利用數(shù)據(jù)庫資源，應(yīng)允許多個用戶并行操作數(shù)據(jù)庫。數(shù)據(jù)庫必須能對這種并行操作進(jìn)行控制，即并發(fā)控制，以保證數(shù)據(jù)在不同的用戶使用時的一致性。并發(fā)控制的主要方法是封鎖技術(shù)（Locking）。當(dāng)某事務(wù)修改數(shù)據(jù)時，將數(shù)據(jù)封鎖，這樣在這個事務(wù)讀取和修改數(shù)據(jù)時，其他的事務(wù)就不能對數(shù)據(jù)進(jìn)行讀取和修改，直到此事務(wù)解除封鎖。3.4數(shù)據(jù)庫的恢復(fù)恢復(fù)也稱為重載或重入，是指當(dāng)磁盤損壞或數(shù)據(jù)庫崩潰時，通過將備份的內(nèi)容轉(zhuǎn)儲或卸載，使數(shù)據(jù)庫返回到原來狀態(tài)的過程。數(shù)據(jù)庫的恢復(fù)辦法周期性地（如三天一次）對整個數(shù)據(jù)庫進(jìn)行轉(zhuǎn)儲，把它復(fù)制到備份介質(zhì)中（如磁帶中），作為后備副本，以備恢復(fù)之用。靜態(tài)轉(zhuǎn)儲是指轉(zhuǎn)儲期間不允許對數(shù)據(jù)庫進(jìn)行任何存取、修改活動動態(tài)轉(zhuǎn)儲是指在存儲期間允許對數(shù)據(jù)庫進(jìn)行存取或修改對數(shù)據(jù)庫的每次修改，都記下修改前后的值，寫入“運(yùn)行日志”數(shù)集中。它與后備副本結(jié)合，可有效地恢復(fù)數(shù)據(jù)庫。利用日志文件恢復(fù)事務(wù)登記日志文件（logging）事務(wù)運(yùn)行過程中，系統(tǒng)把事務(wù)開始、事務(wù)結(jié)束（包括COMMIT和ROLLBACK）以及對數(shù)據(jù)庫的插入、刪除、修改等每一個操作作為一個log記錄存放到日志文件中。登記的次序嚴(yán)格按并行事務(wù)執(zhí)行的時間次序。同時遵循“先寫日志文件”的規(guī)則。事務(wù)恢復(fù)從頭掃描日志文件，找出哪些事務(wù)在故障發(fā)生時已經(jīng)結(jié)束，哪些事務(wù)尚未結(jié)束。對尚未結(jié)束的事務(wù)進(jìn)行撤銷（也稱為UNDO）處理，對已經(jīng)結(jié)束的事務(wù)進(jìn)行重做（REDO）處理總之，利用轉(zhuǎn)儲和日志文件可以有效地恢復(fù)數(shù)據(jù)庫。當(dāng)數(shù)據(jù)庫本身被破壞時（如硬盤故障和病毒破壞）可重裝轉(zhuǎn)儲的后備副本，然后運(yùn)行日志文件，執(zhí)行事務(wù)恢復(fù)，這樣就可以重建數(shù)據(jù)庫；當(dāng)數(shù)據(jù)庫本身沒有被破壞，但內(nèi)容已經(jīng)不可靠時（如發(fā)生事務(wù)故障和系統(tǒng)故障）可利用日志文件恢復(fù)事務(wù)，從而使數(shù)據(jù)庫回到某一正確狀態(tài)。這時不必重裝后備副本。3.5死鎖、活鎖和可串行化死鎖與活鎖某個事務(wù)永遠(yuǎn)處于等待狀態(tài)稱為活鎖。解決活鎖的最常見方法是對事務(wù)進(jìn)行排隊，按“先入先出”的原則進(jìn)行調(diào)度。兩個或兩個以上的事務(wù)永遠(yuǎn)無法結(jié)束，彼此都在等待對方解除封鎖，結(jié)果造成事務(wù)永遠(yuǎn)等待，這種封鎖叫死鎖。造成事務(wù)永遠(yuǎn)等待的死鎖過程時刻事務(wù)1事務(wù)2t1讀取數(shù)據(jù)A（對A進(jìn)行封鎖）t2讀取數(shù)據(jù)B（對B進(jìn)行封鎖）t3讀取數(shù)據(jù)B（等待）t4讀取數(shù)據(jù)A（等待）解決死鎖問題的主要方法每個事務(wù)一次就將所有要使用的數(shù)據(jù)全部加鎖，否則就不能執(zhí)行。預(yù)先規(guī)定一個封鎖順序，所有的事務(wù)都必須按這個順序?qū)?shù)據(jù)執(zhí)行封鎖。不預(yù)防死鎖的發(fā)生，而是讓系統(tǒng)用某種方法判斷當(dāng)前系統(tǒng)中是否有死鎖現(xiàn)象。如果發(fā)生死鎖再設(shè)法解除，使事務(wù)再繼續(xù)運(yùn)行可串行化并行事務(wù)執(zhí)行時，系統(tǒng)的調(diào)度是隨機(jī)的，因此，需要一個尺度去判斷事務(wù)執(zhí)行的正確性。當(dāng)并行操作的結(jié)果與串行操作的結(jié)果相同時，我們就認(rèn)為這個并行事務(wù)處理結(jié)果是正確的。這個并行操作調(diào)度稱為可串行化調(diào)度?？纱谢遣⑿惺聞?wù)正確性的準(zhǔn)則。這個準(zhǔn)則規(guī)定，一個給定的交叉調(diào)度，當(dāng)且僅當(dāng)它是可串行化的，才認(rèn)為是正確的。時標(biāo)技術(shù)時標(biāo)技術(shù)是避免因出現(xiàn)數(shù)據(jù)不一致而造成的破壞數(shù)據(jù)庫完整性的另外一種方法。由于它不是采用封鎖的方法，所以，不會產(chǎn)生死鎖的問題。時標(biāo)和封鎖技術(shù)之間的基本區(qū)別是：封鎖是使一組事務(wù)的并發(fā)執(zhí)行（即交叉執(zhí)行）同步，使它等價于這些事務(wù)的某一串行操作；時標(biāo)法也是使一組事務(wù)的交叉執(zhí)行同步，但是它等價于這些事務(wù)的一個特定的串行執(zhí)行，即由時標(biāo)的時序所確定的一個執(zhí)行。如果發(fā)生沖突，則通過撤銷并重新啟動一個事務(wù)解決。如果事務(wù)重新啟動，則賦予新的時標(biāo)。攻擊數(shù)據(jù)庫的常用方法突破Script的限制對SQL口令的突破利用多語句執(zhí)行漏洞SQLServer的安裝漏洞數(shù)據(jù)庫的利用數(shù)據(jù)庫掃描工具

數(shù)據(jù)庫概述

數(shù)據(jù)庫的安全特性數(shù)據(jù)庫的保護(hù)

Oracle數(shù)據(jù)庫的安全性措施

云計算時代的數(shù)據(jù)庫安全

數(shù)據(jù)庫安全的發(fā)展趨勢4Oracle數(shù)據(jù)庫的安全性措施ORACLE的安全措施:用戶標(biāo)識和鑒定授權(quán)和檢查機(jī)制審計技術(shù)用戶通過觸發(fā)器靈活定義自己的安全性措施4.1ORACLE的用戶標(biāo)識和鑒定ORACLE允許用戶重復(fù)標(biāo)識三次如果三次仍未通過，系統(tǒng)自動退出

4.2ORACLE的授權(quán)與檢查機(jī)制ORACLE授權(quán)和檢查機(jī)制的特色ORACLE的權(quán)限包括系統(tǒng)權(quán)限和數(shù)據(jù)庫對象的權(quán)限采用非集中式的授權(quán)機(jī)制每個用戶授予與回收自己創(chuàng)建的數(shù)據(jù)庫對象的權(quán)限D(zhuǎn)BA負(fù)責(zé)授予與回收系統(tǒng)權(quán)限，也可以授予與回收所有數(shù)據(jù)庫對象的權(quán)限允許重復(fù)授權(quán)，即可將某一權(quán)限多次授予同一用戶，系統(tǒng)不會出錯允許無效回收，即用戶不具有某權(quán)限，但回收此權(quán)限的操作仍是成功的。4.3ORACLE的審計技術(shù)審計分類用戶級審計系統(tǒng)級審計用戶級審計由用戶設(shè)置用戶針對自己創(chuàng)建的數(shù)據(jù)庫表或視圖進(jìn)行審計審計內(nèi)容所有用戶對這些表或視圖的一切成功和／或不成功的訪問要求所有用戶對這些表或視圖的各類SQL操作系統(tǒng)級審計DBA設(shè)置審計對象和內(nèi)容成功或失敗的登錄要求GRANT和REVOKE操作其他數(shù)據(jù)庫級權(quán)限下的操作4.4用戶定義的安全性措施用數(shù)據(jù)庫級觸發(fā)器定義用戶級安全性例：規(guī)定只能在工作時間內(nèi)更新Student表可以定義如下觸發(fā)器：CREATEORREPLACE

TRIGGERsecure_studentBEFOREINSERTORUPDATEORDELETEONStudent

BEGINIF(TO_CHAR(sysdate,'DY')IN('SAT','SUN'))OR(TO_NUMBER(sysdate,'HH24')NOTBETWEEN8AND17)THEN

RAISE_APPLICATION_ERROR(-20506,'Youmayonlychangedataduringnormalbusinesshours.')ENDIF;END;

觸發(fā)器存放在數(shù)據(jù)字典中用戶每次對Student表執(zhí)行INSERT、UPDATE或DELETE自動觸發(fā)該觸發(fā)器系統(tǒng)檢查當(dāng)時的系統(tǒng)時間，如是周六或周日，或者不是8點(diǎn)至17點(diǎn)，系統(tǒng)會拒絕執(zhí)行用戶的更新操作，并提示出錯信息。5云計算時代的數(shù)據(jù)庫安全在云計算時代，信息的海量規(guī)模及快速增長為傳統(tǒng)的數(shù)據(jù)庫技術(shù)帶來了巨大的沖擊，主要挑戰(zhàn)在于新的數(shù)據(jù)庫應(yīng)具備如下特性：支持快速讀寫、快速響應(yīng)以提升用戶的滿意度支撐PB級數(shù)據(jù)與百萬級流量的海量信息處理能力具