数据库加密与安全.ppt

1 第七章数据库加密与安全 2 数据库概念数据模型 3 数据库安全的要求数据库加密技术数据库安全策略 4 一数据库安全的要求 数据加密是否足够 若S中9501被删除即使是合法用户也会无意破坏数据建立完整性规则数据完整性 保证用户对数据进行操作时 不仅要保证数据是正确的 还要保证数据之间的关系是正确的 S SC 5 一数据库安全的要求 数据库多用户共享 如何跟踪对数据库的操作 审计能力能对数据库中的访问操作进行跟踪 保存记录下谁 何时 何地的访问被拒绝 因何拒绝 记录下数据库查询 密码利用率 终端动作 系统利用率 错误情况及重新启动和恢复等 如何保证用户只访问它所能访问的数据 访问控制保证用户仅访问那些允许他访问的数据 同时保证对不同的用户限制使用不同的访问模式 如只读 读写等 是否和普通的OS访问控制一样 限制推理 6 一数据库安全的要求 用户认证不允许一个未经授权的用户对数据库进行操作有效性授权用户能够最大限度地访问允许他访问的数据 同时避免访问被保护的数据 实时响应重要的系统应采取安全控制实时终端 专门处理各类报警信息 7 一数据库安全的要求 完整性安全性可恢复性 8 数据库安全系统实体安全环境安全 设备安全 媒体安全系统运行安全审计跟踪 分险分析 备份与恢复 灾难应急系统信息安全身份鉴别 访问控制 病毒防护 数据库加密 9 一数据库安全的要求 数据库安全标准1985年美国国防部正式颁布的 DoD可信计算机系统评估标准 TCSEC1991年4月美国国家计算机安全中心颁布了 可信计算机系统评估标准关于可信数据库系统的解释 简记为TDI 将TCSEC扩展到数据库管理系统 TDI中定义了数据库管理系统的设计与实现中需满足和用以进行安全性级别评估的标准 10 一数据库安全的要求 11 二数据库加密技术 1数据库加密的必要性2数据库加密的特点 技术要求 字段加密密钥动态管理合理处理数据不影响合法用户的操作 12 二数据库加密技术 3数据库加密方法数据库的数据组织方式可以有很多种类一个数据库表对应一个操作系统管理的文件整个数据库组织为一个大的文件 甚至可以是跨硬件设备文件卷的大文件 一些数据库管理系统将操作系统的功能接管过来 整个数据库管理系统包括了操作系统的文件系统功能 形成专用的数据库系统 13 3数据库加密方法库外加密由文件系统内对数据进行加 解密库外加密方式的优点对数据库管理系统DBMS的特殊要求比较少 实现上只要增加一个中间层次负责加解密数据即可 相对于其它方法 密钥的管理也简单得多 与操作系统内部文件加密的密钥管理基本相同 库外加密方式的缺点但是由于数据在查找是必须全部进行解密操作 因此往往需要付出较大的时空代价 14 3数据库加密方法库内加密经典的数据库三层模式数据库数据加密问题的核心就是在数据的各个层次的映射过程中增加一个加密映射层次 或者称之为加密模式 加密映射层次位于内模式和存储模式之间为好 加密单位或者粒度可以是表 记录 域或数据元素 显然所选择的加密粒度越精细 需要掌管的加密密钥的数量就愈大 密钥管理的难度和复杂性就越高 粒度细化 加密 解密的针对性比库外加密方式更强 所以原则上讲时空效率应当说是比较好的 有利于和数据存取访问控制机制 授权机制等数据库安全机制的结合 15 3数据库加密方法硬件加密硬件加密主要解决静态数据加密问题 16 4数据库加密算法数据长时间保存 运行中又要对数据进行反复操作 操作时机又是随机的 适用于数据库环境的特殊的数据库加密技术 1 子密钥数据库加密算法 2 秘密同态算法 17 经过加密的数据经得起来自OS和DBMS的攻击 另一方面 DBMS要完成对数据库文件的管理和使用 必须具有能够识别部分数据的条件 因此 只能对数据库中数据进行部分加密 下面列出一些不能加密的数据 索引字段不能加密关系运算的比较字段不能加密表间的连接码字段不能加密 18 二数据库加密技术 5数据库加密的不同层次1 操作系统 OS 层加密这种方式由于很难确认数据库文件中的数据关系 从而无法产生合理的密钥 也无法进行合理的密钥管理和使用 所以 在OS层对数据库文件进行加密 对于大型数据库来说 目前实现比较难 19 5数据库加密的不同层次2 DBMS内核层加密指数据在物理存取之前完成加 解密工作 优点加密功能强 并且加密功能几乎不会影响DBMS的功能 缺点是在服务器端进行加重了数据库服务器的负载 同时需要有DBMS和加密器 硬件或软件 之间的接口 20 5数据库加密的不同层次3 DBMS外层加密常用的方法是将数据库加密系统做成DBMS的一个外层工具 运算可以放在客户端进行 不会加重数据库服务器的负载并可实现网上传输加密 缺点是加密功能会受一些限制 21 三数据库安全策略 1异构数据库的安全分析异构环境的系统具有可扩展性 能管理分布或联邦数据库环境数据库在三个层次上异构平台层的异构性包括不同的计算机 操作系统或通信协议 同时各系统也会采用不同的编程语言和编译环境 系统层的异构性是指不同的数据库管理系统或文件系统它们基于不同的数据模型 提供不同的语言 数据语义层的异构是由于不同的数据库是独立设计的 不同的系统采用不同的方式去描述他们的数据即使相同的信息也可能采用不同的数据模式来表示因此不同的数据语义之间存在很大的差异 22 23 三数据库安全策略 1异构数据库的安全分析每个结点服务器还能自治实行集中式安全管理和访问控制 对自己创建的用户 规则 客体进行安全管理 如由DBA或安全管理员执行本部门 本地区 或整体的安全策略 授权特定的管理员管理各组应用程序 用户 规则和数据库 因此访问控制和安全管理尤为重要 数据库安全问题在异构环境下变得更加复杂 24 1异构数据库的安全分析异构环境的数据库安全策略有 1 全局范围的身份验证 2 全局的访问控制 以支持各类局部访问控制 3 全局完整性控制 4 网络安全管理 包括网络信息加密 网络入侵防护和检测等 5 审计技术 6 数据库及应用系统安全 如自动的应用系统集成 对象管理等 7 复杂的口令管理技术 包括数据库中多个事务的口令同步 异构数据库间的口令同步 如Oracle和Unix口令 用户初始的口令更新 强制口令更新 口令可用性 口令的时间限制 口令的历史管理 口令等级设置等 25 8 口令安全漏洞检查和系统终止 包括检查系统终止前登录失败的次数 系统终止前登录成功与登录失败间的时间间隔 跟踪企图登录的站点地址 9 口令加密 审计技术 包括发现口令漏洞 记录口令历史 记录对表 行 列的访问 记录应用系统的访问等 26 2三权分立的安全机制传统数据库管理机制使得DBA权力过于集中 存在安全隐患 多级安全代理模型在安全管理方面采用三权分立的安全管理体制 把系统管理员分为数据库管理员DBA 负责自主存取控制及系统维护与管理方面的工作数据库安全管理员SSO负责强制存取控制数据库审计员Auditor负责系统的审计 各行其责 相互制约 可靠地保证数据库的安全性 27 4自主访问与强制访问控制自主访问控制就是对主体 用户 访问客体 数据库对象 的操作权限实施控制 目的就是要保证用户只能存取他有权存取的数据 当用户拥有数据库对象上的某些操作权限及相应的转授权时 可以自由地把这些操作权限部分或全部转授给其他用户 从而使得其他用户也获得在这些数据库对象上的使用权限 强制访问控制是通过给主体 用户 和客体 数据对象 指定安全级 并根据安全级匹配规则来确定某主体是否被准许访问某客体 28 5隐通道分析技术自主和强制访问控制限制了系统中的信息只能由低安全级主体向高安全级主体流动 低安全级主体仍然可以通过其他方式获得高安全级主体的信息 隐通道就是其中的一种 隐通道是系统的一个用户以违反系统安全策略的方式传送信息给另一用户的机制 它往往通过系统原本不用于数据传送的系统资源来传送信息 并且这种通信方式往往不被系统的访问控制机制所检测和控制 29 5隐通道分析技术U1是普通级别 U2是绝密级信息流从U1流向U2设U1建有关系员工基本表 姓名 身份证号 性别 年龄 学历 其最低安全级别是普通 最高是绝密 U1将查询表的权限授权给U2 若U2在表上建立视图V1 假设U1删除表时 会有 关系上视图不为空的 出错信息 U1可推断出有一高级用户在员工基本表上建有视图 U2可以通过调节员工基本表上是否建立视图向U1发送机密信息 形成存储隐通道 由于U2可以查询U1看不到的信息 这时通过隐通道U1就看到了 30 5隐通道分析技术隐通道包括存储隐通道与定时隐通道 隐通道的发送者和接收者之间事先约定好某种编码方式 并使用系统正常操作 如果隐通道的发送者直接或间接地修改资源属性 另一主体 接收者 直接或间接地读取这个属性的变化时 这个隐通道就是存储隐通道 如果一个隐通道是一个主体 通过调整系统资源 如CPU 的使用时间影响了另一个主体实际的响应时间 从而发送信息给另一主体时 这个隐通道是定时隐通道 尽管高安全级的用户有可能利用隐通道传送信息给低安全级的用户 但隐通道的主要潜在威胁是它有可能被特洛伊木马所利用 31 附加 web数据库安全 SQL注入攻击 攻击者把SQL命令插入到web表单的输入域或页面请求的查询字符串 欺骗服务器执行恶意的SQL命令 Sql select fromuserwherename userName 正常情况下在输入框中输入alice 则userName为alice这样该语句为Select fromuserwherename alice 32 Sql select fromuserwherename userName 正常情况下在输入框中输入alice 则userName为alice这样该语句为Select fromuserwherename alice 33 Sql select fromuserwherename userName 攻击 在输入框中输入alice or 1 1select fromuserwherename alice or 1 1 这个查询的效果是什么 User表的全部数据称为1 1攻击 34 Select frombookWherebookname 入门 若输入框中输入入门 dropbook Select frombookWherebookname 入门 dropbook 35 防治 1 普通用户与系统管理员用户的权限要有严格的区分 终端用户 即应用软件的使用者 没有必要给他们数据库对象的建立 删除等权限 36 2