《数据库安全性》PPT课件.ppt

数据库系统概论AnIntroductiontoDatabaseSystem第四章数据库安全性,数据库安全性,问题的提出数据库的一大特点是数据可以共享数据共享必然带来数据库的安全性问题数据库系统中的数据共享不能是无条件的共享例：军事秘密、国家机密、新产品实验数据、市场需求分析、市场营销策略、销售计划、客户档案、医疗档案、银行储蓄数据,数据库安全性,数据库中数据的共享是在DBMS统一的严格的控制之下的共享，即只允许有合法使用权限的用户访问允许他存取的数据数据库系统的安全保护措施是否有效是数据库系统主要的性能指标之一,数据库安全性,什么是数据库的安全性数据库的安全性是指保护数据库，防止因用户非法使用数据库造成数据泄露、更改或破坏。数据的保密数据保密是指用户合法的访问到机密数据后能否对这些数据保密。通过制定法律道德准则和政策法规来保证。,第四章数据库安全性,4.1计算机安全性概述4.2数据库安全性控制4.3视图机制4.4审计（Audit）4.5数据加密4.6统计数据库安全性4.7小结,4.1计算机安全性概述,4.1.1计算机系统的三类安全性问题4.1.2安全标准简介,4.1.1计算机系统的三类安全性问题,计算机系统安全性为计算机系统建立和采取的各种安全保护措施，以保护计算机系统中的硬件、软件及数据，防止其因偶然或恶意的原因使系统遭到破坏，数据遭到更改或泄露等。,计算机系统的三类安全性问题（续）,三类计算机系统安全性问题技术安全类管理安全类政策法律类,4.1计算机安全性概论,4.1.1计算机系统的三类安全性问题4.1.2安全标准简介TCSECCC,美国的TCSEC1983年美国国防部首次公布了可信计算机系统评估准则（TCSEC）以用于对操作系统的评估，这是IT历史上的第一个安全评估标准，1985年公布了第二版。TCSEC为业界所熟知的名字“桔皮书”则是因其封面的颜色而得来。TCSEC所列举的安全评估准则主要是针对美国政府的安全要求，着重点是基于大型计算机系统的机密文档处理方面的安全要求。CC被接纳为国际标准后，美国已停止了基于TCSEC的评估工作。,美国颁布的TCSEC把数据安全级别划分为四类七级：D级：无安全保护的系统。Cl级：具有主体、客体及主客体分离、身份鉴别、数据完整性、自主访问控制功能的系统；核心是自主访问控制。C2级：满足C1级全部功能，且具有审计功能的系统；核心是审计功能。目前国内使用的系统大部分符合此标准。,B1级：满足C2级全部功能，且具有标记及强制访问控制功能的系统；核心是强制访问控制。国际上有部分系统符合此标准，国内基本上没有满足此标准的系统；满足此标准的系统可称为可信系统或安全系统。B2级：满足B1级全部功能，且具有形式化安全模型与隐蔽通道功能的系统；核心是形式化安全模型。目前国内外均无满足此标准的系统。,B3级：满足B2级全部功能，且具有访问监控器功能的系统；核心是访问监控器。目前国内外均无满足此标准的系统。A级：更高的形式化要求。目前国内外均无满足此标准的系统。,目前市面上常用软件经过权威机构的评测，确定了其安全级别。如Oracle,Sybase,informix,SQLServer等数据库系统软件符合C1或C2级安全要求；Windows,Unix操作系统符合Cl或C2级安全要求。市场上大部分系统软件都处于C1或C2级安全级别。此外，美国有符合Bl级的军用版本Oracle数据库系统和WinNT操作系统。国内有一些符合B1级的安全原型DBMS：如OpenBASE,Cobase等。,国际通用准则CC(ISO/IEC15408-1999)国际信息技术安全性评估通用准则（简称为通用准则，CC）是北美和欧盟联合以开发一个统一的国际互认的安全标准的结果，是在美国、加拿大、欧洲等国家和地区分别自行推出的评估标准及具体实践的基础上，通过相互间的总结和互补发展起来的。,1996年，六国七方（英国、加拿大、法国、德国、荷兰、NSA国家安全局和NIST国家标准技术研究所）公布了CC的1.0版，1998年，六国七方又公布了CC的2.0版。CC取代了TCSEC、ITSEC,及CTCPEC，是事实上的国际安全评估标准。1999年，CC被国际标准化组织（ISO）批准成为国际标准(ISO/IEC15408-19999)并正式颁布发行，其对应的CC版本为2.1版。,CC作为评估信息技术产品和系统安全性的国际性通用准则，是信息技术安全性评估结果国际互认的基础，遍及世界各地的众多组织现在均已实施了CC。互认通过签署互认协定(MRA)来实现，产品在一个MRA成员国评估通过就可被其他的成员国所接受，从而避免重复的评估行为。对于其他国家来讲，只要能够证明他们能够实现MRA中的互认所要求的极其严格的技术与程序上的条件，就可寻求加入MRA。Windows2000、SunSolaris8、Oracle9i、DB2V8.2等都已通过了CC的EAL4(B1)。,我国的安全评估标准为提高我国计算机信息系统安全保护水平，1999年9月国家质量技术监督局发布了国家标准GB17859-1999计算机信息安全保护等级划分准则，它是建立安全等级保护制度、实施安全等级管理的重要基础性标准。该标准是我国计算机信息系统保护等级系列标准的第一部分，其他数十个相关标准的制订工作还正在紧张进行。该标准的制定参照了美国的TCSEC。,该标准共分为五级与美国TCSEC标准的对应关系如下：第一级：用户自主保护级C1级第二级：系统审计保护级C2级第三级：安全标记保护级B1级第四级：结构化保护级B2级第五级：访问验证保护级B3级,自从CC1.0版公布后，我国相关部门就一直密切关注着它的发展情况，并对该版本做了大量的研究工作。2001年3月，国家质量技术监督局正式颁布了援引CC的国家标准GB/T18336-2001信息技术安全技术信息技术安全性评估准则。,第四章数据库安全性,4.1计算机安全性概述4.2数据库安全性控制4.3视图机制4.4审计（Audit）4.5数据加密4.6统计数据库安全性4.7小结,4.2数据库安全性控制概述,非法使用数据库的情况编写合法程序绕过DBMS及其授权机制直接或编写应用程序执行非授权操作通过多次合法查询数据库从中推导出一些保密数据,数据库安全性控制概述（续）,计算机系统中，安全措施是一级一级层层设置,计算机系统的安全模型,数据库的安全性级别,环境级：计算机系统的机房和设备应加以保护，防止有人进行物理破坏。职员级：工作人员应清正廉洁，正确授予用户访问数据库的权限。OS级：应防止未经授权的用户从OS处访问数据库。网络级：由于大多数DBS都允许用户通过网络进行远程访问，因此网络软件内部的安全性是很重要的。DBS级：DBS的职责是检查用户的身份是否合法及使用数据库的权限是否正确。,数据库安全性控制概述（续）,数据库安全性控制的常用方法用户标识和鉴定存取控制视图审计密码存储,4.2.1用户标识与鉴别,用户标识与鉴别（Identification语义：将对指定操作对象的指定操作权限授予指定的用户,GRANT（续）,发出GRANT：DBA数据库对象创建者（即属主Owner）拥有该权限的用户按受权限的用户一个或多个具体用户PUBLIC（全体用户）,WITHGRANTOPTION子句,WITHGRANTOPTION子句:指定：可以再授予没有指定：不能传播不允许循环授权,例题,例1把查询Student表权限授给用户U1GRANTSELECTONTABLEStudentTOU1;,例题（续）,例2把对Student表和Course表的全部权限授予用户U2和U3GRANTALLPRIVILIGESONTABLEStudent,CourseTOU2,U3;,例题（续）,例3把对表SC的查询权限授予所有用户GRANTSELECTONTABLESCTOPUBLIC;,例题（续）,例4把查询Student表和修改学生学号的权限授给用户U4GRANTUPDATE(Sno),SELECTONTABLEStudentTOU4;对属性列的授权时必须明确指出相应属性列名,例题（续）,例5把对表SC的INSERT权限授予U5用户，并允许他再将此权限授予其他用户GRANTINSERTONTABLESCTOU5WITHGRANTOPTION;,传播权限,执行例5后，U5不仅拥有了对表SC的INSERT权限，还可以传播此权限：例6GRANTINSERTONTABLESCTOU6WITHGRANTOPTION;同样，U6还可以将此权限授予U7：例7GRANTINSERTONTABLESCTOU7;但U7不能再传播此权限。,传播权限（续）,下表是执行了例1到例7的语句后，学生-课程数据库中的用户权限定义表,授权与回收（续）,二、REVOKE授予的权限可以由DBA或其他授权者用REVOKE语句收回REVOKE语句的一般格式为：REVOKE,.ONFROM,.;,REVOKE（续）,例8把用户U4修改学生学号的权限收回REVOKEUPDATE(Sno)ONTABLEStudentFROMU4;,REVOKE（续）,例9收回所有用户对表SC的查询权限REVOKESELECTONTABLESCFROMPUBLIC;,REVOKE（续）,例10把用户U5对SC表的INSERT权限收回REVOKEINSERTONTABLESCFROMU5CASCADE;将用户U5的INSERT权限收回的时候必须级联（CASCADE）收回系统只收回直接或间接从U5处获得的权限,REVOKE（续）,执行例8到例10的语句后，学生-课程数据库中的用户权限定义表,小结:SQL灵活的授权机制,DBA：拥有所有对象的所有权限不同的权限授予不同的用户用户：拥有自己建立的对象的全部的操作权限GRANT：授予其他用户被授权的用户“继续授权”许可：再授予所有授予出去的权力在必要时又都可用REVOKE语句收回,授权与回收（续）,三、创建数据库模式的权限DBA在创建用户时实现CREATEUSER语句格式CREATEUSERWITHDBA|RESOURCE|CONNECT,授权与回收（续）,权限与可执行的操作对照表,4.2.5数据库角色,数据库角色：被命名的一组与数据库操作相关的权限角色是权限的集合可以为一组具有相同权限的用户创建一个角色简化授权的过程,数据库角色,一、角色的创建CREATEROLE二、给角色授权GRANT，ON对象名TO，,数据库角色,三、将一个角色授予其他的角色或用户GRANT，TO，WITHADMINOPTION四、角色权限的收回REVOKE，ONFROM，,把角色授予某用户，或授予另一个角色,数据库角色（续）,例11授予角色R1拥有Student表的SELECT、UPDATE、INSERT权限，将这个角色授予王平，张明，赵玲用户，使他们具有R1所包含的全部权限，最后通过R1来回收王平的这3个权限。步骤如下：1.首先创建一个角色R1CREATEROLER1；2.使用GRANT语句，使R1拥有Student表的SELECT、UPDATE、INSERT权限GRANTSELECT，UPDATE，INSERTONTABLEStudentTOR1；,数据库角色（续）,3.将这个角色授予王平，张明，赵玲。使他们具有角色R1所包含的全部权限GRANTR1TO王平，张明，赵玲；4.可以一次性通过R1来回收王平的这3个权限REVOKER1FROM王平；,数据库角色（续）,例12角色的权限修改GRANTDELETEONTABLEStudentTOR1例13REVOKESELECTONTABLEStudentFROMR1；,复习,数据库安全性控制的常用方法用户标识和鉴定存取控制自主存取控制（简称DAC）授权：GRANT,.ONTO,.WITHGRANTOPTION;回收：REVOKE,.ONFROM,.;强制存取控制（简称MAC）,自主存取控制缺点,可能存在数据的“无意泄露”原因：这种机制仅仅通过对数据的存取权限来进行安全控制，而数据本身并无安全性标记解决：对系统控制下的所有主客体实施强制存取控制策略,4.2.6强制存取控制方法,强制存取控制（MAC)系统为保证更高程度的安全性所采取的强制存取手段用户能不能直接感知或进行控制适用于对数据有严格而固定密级分类的部门军事部门政府部门,强制存取控制方法（续）,在MAC中，DBMS所管理的全部实体分为主体和客体。主体是系统中的活动实体DBMS所管理的实际用户代表用户的各进程客体是系统中的被动实体，是受主体操纵的文件基表索引视图,强制存取控制方法（续）,敏感度标记（Label）绝密（TopSecret）机密（Secret）可信（Confidential）公开（Public）主体的敏感度标记称为许可证级别（ClearanceLevel）客体的敏感度标记称为密级（ClassificationLevel）,强制存取控制方法（续）,强制存取控制规则(1)仅当主体的许可证级别大于或等于客体的密级时，该主体才能读取相应的客体(2)仅当主体的许可证级别等于客体的密级时，该主体才能写相应的客体,强制存取控制方法（续）,规则的共同点禁止了拥有高许可证级别的主体更新低密级的数据对象,例：假设要对关系变量S进行MAC控制，为简化起见，假设要控制存取的数据单元是元组，则每个元组标以密级，如下表（4=绝密，3=机密，2=秘密）,假设用户U1和U2的许可证级别分别为3和2，则：,U1能查询元组S1和S2，修改元组S2;U2能查询元组S1，修改元组S1,强制存取控制的特点：,MAC是对数据本身进行密级标记无论数据如何复制，标记与数据是一个不可分的整体只有符合密级标记要求的用户才可以操纵数据从而提供了更高级别的安全性,MAC与DAC,DAC与MAC共同构成DBMS的安全机制实现MAC时要首先实现DAC原因：较高安全性级别提供的安全保护要包含较低级别的所有保护,强制存取控制方法（续）,DAC+MAC安全检查示意图SQL语法分析2.用户李勇对两个表有INSERT、DELETE权力Grantinsert,deleteOn职工，部门To李勇;3.用户刘星对职工表有SELECT权力，对工资字段具有更新权力Grantselect,update(工资)On职工To刘星;,4.用户张新具有修改这两个表的结构的权力GrantaltertableOn职工，部门To张新;5.用户周平具有对两个表所有权力（读、插、改、删除数据），并具有给其他用户授权的权力GrantallpriviligesOn职工，部门To周平Withgrantoption;,6.用户杨兰具有从每个部门职工中SELECT最高工资、最低工资、平均工资的权力，他不能查看每个人的工资首先建立一个视图：Createview部门工资Asselect部门.名称，MAX(工资)，MIN(工资)，AVG(工资)From职工，部门Where职工.部门号=部门.部门号Group