安全生产_数据库系统安全培训教材

第10章数据库系统安全 数据库是计算机科学的一个重要分支 任何信息管理的应用都离不开数据库的支持 随着网络的发展 数据库已经与网络紧密地结合起来 数据库系统安全的重要性不亚于网络安全的重要性 数据库系统的安全有它独有的特点 第10章数据库系统安全 NetworkandInformationSecurity 10 1数据库安全概述 第10章数据库系统安全 NetworkandInformationSecurity 1 存取控制技术 2 隔离控制技术 3 加密技术 4 信息流向控制技术 5 推理控制技术 6 数据备份技术 第10章数据库系统安全 NetworkandInformationSecurity 10 1 1数据库安全技术 一般情况下 我们可以确定整个数据库是敏感的 要求保密 或不敏感的 不要求保密 细一点 可以确定库中的某个基表 对于关系型数据库 是敏感的或不敏感的 但有时情况却复杂得多 第10章数据库系统安全 NetworkandInformationSecurity 10 1 2多级数据库 姓名 部门和电话这三列是不需保密的 任何人都可以查询 但是工资和绩效考核却是必须保密的 现在很多企业都搞所谓的 密薪制 这说明基表中只有部分字段是敏感的 第10章数据库系统安全 NetworkandInformationSecurity 也许李四是一个特殊人物 他的所有情况都要保密 甚至他的存在都是一个秘密 赵六的电话也许很重要 不想被别人知道 这些数据的安全要求与工资与绩效考核两个字段的安全要求是不一样的 第10章数据库系统安全 NetworkandInformationSecurity 1 一个元素的敏感度可能不同于同一记录的其他元素或同一属性的其他值 这要求应该对每个元素单独实行安全保护 2 敏感和不敏感两种级别不足以描绘某些安全要求 需要多个安全级别 3 集合安全不同于单个元素的安全 如数据库中的和 平均值 集合安全可能高于也可能低于单个元素的安全 第10章数据库系统安全 NetworkandInformationSecurity 数据库安全特点 虽然DBMS在操作系统的基础上增加了不少安全措施 例如基于权限的访问控制等 但操作系统和DBMS对数据库文件本身仍然缺乏有效的保护措施 有经验的黑客会 绕道而行 直接利用操作系统工具窃取或篡改数据库文件内容 被称为通向DBMS的 隐秘通道 它所带来的危害一般数据库用户难以觉察 分析和堵塞 隐秘通道 被认为是B2级的安全技术措施 对数据库中的敏感数据进行加密处理 是堵塞这一 隐秘通道 的有效手段 10 2数据库加密 第10章数据库系统安全 NetworkandInformationSecurity 80 的计算机犯罪来自系统内部 在传统的数据库系统中 数据库管理员的权力至高无上 他既负责各项系统管理工作 例如资源分配 用户授权 系统审计等 又可以查询数据库中的一切信息 为此 可采用技术手段来削弱系统管理员的权力 如采用多权分立的策略 除了系统管理员以外 增加安全员和审计员 使系统管理员 安全员和审计员之间相互牵制 制约 实现数据库加密以后 各用户 或用户组 的数据由用户用自己的密钥加密 数据库管理员没有密钥无法进行正常解密 从而保证了用户信息的安全 另外 通过加密 数据库的部分内容成为密文 从而能减少因介质失窃或丢失而造成的损失 数据库加密对于企业内部安全管理 也是不可或缺的 一般来说 一个良好的数据库加密系统应该满足以下基本要求 1 支持各种粒度加密2 良好的密钥管理机制3 合理处理数据4 不影响合法用户的操作 第10章数据库系统安全 NetworkandInformationSecurity 10 2 1数据库加密的基本要求 1 操作系统层加密2 DBMS内核层实现加密3 DBMS外层实现加密 第10章数据库系统安全 NetworkandInformationSecurity 10 2 2数据库加密的方式 数据库加密系统分成两个功能独立的主要部件 一个是加密字典及其管理程序 另一个是数据库加 解密引擎 第9章数据库系统安全 通过调用数据加 解密引擎实现对数据库数据的加密 解密及数据转换等功能 用户对数据库信息具体的加密要求以及参数信息保存在加密字典中 优点 首先 系统对数据库的最终用户是完全透明的 系统 可以根据需要进行明文和密文的转换工作 其次 加密系统完全独立于数据库应用系统 无须改动数据库应用系统就能实现数据加密功能 第三 加 解密处理在客户端进行 不会影响数据库服务器的效率 数据库加 解密引擎是数据库加密系统的核心部件 它位于客户程序与数据库服务器之间 负责在后台完成数据库信息的加 解密处理 对操作人员来说是透明的 数据加 解密引擎没有操作界面 在需要时由操作系统自动加载并驻留在内存中 数据库加密如果采用序列密码 那么同步将成为一个大问题 需要对大片密文中的极小部分解密时 如何同步密文与密钥呢 非对称加密 所以数据库加密一般采用分组密码 对于分组密码中常用的ECB和CBC两种模式 又该如何确定呢 考虑到数据库中会有大量相同的数据 比如性别 职务 年龄等信息 我们应该采用CBC模式 对于在DBMS上实现的加密 加密粒度可以细分为基表 记录 字段或数据元素 第10章数据库系统安全 NetworkandInformationSecurity 10 2 3数据库加密的方法及加密粒度 10 2 4数据库加密系统的密钥管理 第10章数据库系统安全 NetworkandInformationSecurity 当一用户访问数据库时 密钥管理中心利用某种技术对用户进行身份认证 如果是合法用户 则允许访问 密钥管理中心根据用户的权限取出相应的数据密钥 根据用户的请求对有关数据进行加解密处理 其中密钥的产生应满足下列条件 1 在产生大量密钥的过程中 产生重复密钥的概率要尽可能的低 2 从一个数据项的密钥推导出另一个数据项的密钥在计算上是不可行的 这样 即使部分密钥泄露 其他密钥也是安全的 3 即使知道一些明文值的统计分布 要从密文中获取未知明文 在计算上是不可行的 10 3 1统计数据库的安全问题具体地说 统计数据库是这样一种数据库 从库中取得的信息是关于一实体集子集的汇总信息 统计数据库只为提供统计数据所用 如人口普查数据库就是这样 在统计数据库中 除了禁止非法存取等一般安全问题外 还存在特殊的安全问题 保护统计数据库的目的是 由该数据库发布统计信息时 保证不会使其中受保护的具体信息泄露 10 3统计数据库的安全 第10章数据库系统安全 NetworkandInformationSecurity 一般的统计数据库有下面几种统计信息类型 1 计数 count c 求满足特征表达式c的记录个数 2 求和 sum c a 求满足特征表达式c的记录中字段a的和 3 求平均值 average c a 求满足特征表达式c的记录中字段a的平均值 4 求最大值 max c a 求满足特征表达式c的记录中字段a的最大值 5 求最小值 min c a 求满足特征表达式c的记录中字段a的最小值 第10章数据库系统安全 NetworkandInformationSecurity 题库分析人如果想知道第三章各题的分值 他直接查询将会被拒绝 但他可以先查询count 章 3 得到结果为2 他再查询sum 章 3 分值 得到结果12 他再查询max 章 3 分值 得到结果10 现在他已知道第三章有两道题 一道10分 一道2分 用户通过一些统计数据库允许的合法查询 可以得到本来对他保密的信息 统计数据库远不是安全保密的 而且 前面介绍的一般数据库的访问控制并不能解决统计数据库的泄密问题 因为它主要是限制用户的存取权力 用户只能对数据库中的一部分数据进行访问 在统计数据库中 保密的目标应该是防止用户通过一系列 合法 的统计查询 使 不合法 的要求得到满足 也就是防止用户从一系列查询中推理出某些秘密信息 这时我们要实行的控制称为 推理控制 第10章数据库系统安全 NetworkandInformationSecurity 10 3 2安全性与精确度 第10章数据库系统安全 NetworkandInformationSecurity 设S为全部统计信息 P为非机密统计信息子集 R为发布的子集 D是由R 也包括R在内的统计信息 泄露的统计信息子集 发布R子集的目的是 全部非机密统计信息在R内或可由R求得 当D P时 精确度 发布的统计信息包含了全部非机密统计信息 因而可认为发布的统计信息保证了精确度 精确度保证了最大限度地使用统计信息 而安全性则保证了秘密统计信息的秘密 如果满足条件D P 安全性 则不会因R而使秘密统计信息泄露 可以看出 安全性与精确度的要求正好是相反的 二者都满足的条件是D P 要做到既保证安全性 又保证精确度 即D P 是非常困难的 1 小查询集和大查询集攻击2 跟踪器攻击3 插入和删除攻击4 对线性系统的攻击 第10章数据库系统安全 NetworkandInformationSecurity 10 3 3对统计数据库的攻击方式 1 小查询集和大查询集攻击 现假设用户的外部知识使其知道数据库内第i个记录满足特征表达式c 如果用户以统计信息count c 查询数据库 并得到回答count c 1 则该用户能够确定该查询集只含一个记录 即第i个记录 此时 用户利用统计信息sum c a 的查询 可求得第i个记录的字段a的值 也可以以统计信息count candd 查询数据库内第i个记录是否满足特征表达式d 若值为0则说明不满足 值为1则说明满足 甚至在查询集记录个数不唯一的情况下 这类攻击有时仍然是可行的 假设已知第i个记录满足c 且count c 1 如果count candd count c 则第i个记录当然也满足d 如果count candd count c 则不能确定第i个记录是否满足d 2 跟踪器攻击 利用所谓 跟踪器 的手段 也可使统计数据库泄密 跟踪器有多种 假设用户已知第i个记录唯一满足特征表达式c 如果想通过统计查询sum c a 求得第i个记录的字段a的值 在系统实施了查询集控制后 由于查询集过小将遭拒绝 故用户不能直接得到结果 但是 如果特征表达式c可由多个表达式组合而成 即将c分成c1 c2 使得c c1 c2 同时 count c1 和count c2 都大小适中 不受限 此时 由于count c1 和count c2 均不受查询集限制 所以用户可用count c count c1 count c2 来验证count c 1 然后可利用sum c a sum c1 a sum c2 a 来求得第i个记录的字段a的值 3 插入和删除攻击 插入和删除攻击是攻击者通过插入自己所知的假记录来观察统计信息的变化情况 从而分析出秘密信息 例如 如果查询集过小 用户可以将一些满足条件的假记录插入统计数据库 使得查询集变大 从而使查询得以进行 只需从查询集中除去那些假记录的信息 即可得到真实信息 显然 如果要求只对统计信息有查询权的用户不能插入或删除记录 或虽然能够插入删除 但对数据库出现的变化加以控制 则插入删除攻击并不会构成严重威胁 4 对线性系统的攻击 可以对统计数据库进行多次相关的查询 把查询条件 查询结果和秘密信息构成一个线性方程组 通过解线性方程组的方法来求得秘密信息 第一类 对统计数据库的查询加以限制 1 限制查询集的大小2 单元隐蔽 能够帮助用户推导出秘密信息的有关统计信息单元应该隐去 3 最大阶控制 如果一个统计查询恰好涉及到m个互不相同的属性 那么这样的统计称为m阶统计 所谓最大阶控制就是要限制m的值 4 数据库分割 将数据库分割成一个个记录组 规定用户只能以这些记录组作为基本单元进行统计查询 亦即同一记录组中的数据 或者全部在查询集中 或者全部不在其中 第9章数据库系统安全 NetworkandInformationSecurity 10 3 4统计数据库的安全措施 第二类 数据搅乱方式 对统计数据库的几种查询限制方式是以限制用户的统计查询要求为代价的 有时会影响正常用户的使用 数据搅乱方式的原理与此则完全不相同 所谓数据搅乱 就是系统在发布统计信息之前 使统计值发生变化 当然 搅乱的目的是使用户无法从统计值中推断出秘密信息 而不能破坏整个数据库数据的统计规律 10 4 1Web数据库概述由于Web的易用性 实用性 它很快占据了Internet服务的主导地位 已经成为使用最为广泛 最有前途 最有魅力的信息传播技术 不过 Web服务只是提供了Internet上信息交互的平台 随着Internet技术的兴起与发展和Web技术的蓬勃发展 人们已不满足于只在Web浏览器上获取静态的信息 人们需要通过它发表意见 查询数据 甚至进行网上购物 这就迫切需要实现动态的Web信息服务 10 4Web数据库的安全 第10章数据库系统安全 NetworkandInformationSecurity 当前比较流行的Web数据库主要有 1 SQLServer2 MySQL3 Oracle这3种数据库适应性强 性能优异 容易使用 在国内得到了广泛的应用 第10章数据库系统安全 NetworkandInformationSecurity 10 4 2常用的几种Web数据库 1 突破客户端脚本的限制 2 对SQL语句的攻击程序中的SQL查询语句 以ASP net为例 username Text与passwd Text是用户名与口令两个文本框的值 可能是 sql select fromuserwhereusername username Text andpasswd passwd Text 执行的时候就是 select fromuserwhereusername cheng andpasswd 1234 第10章数据库系统安全 NetworkandInformationSecurity 9 4 3Web数据库安全简介 根据返回的数据集是否为空来判断是否能够登录 如果攻击者在passwd文本框里输入的不是1234 而是1111 or 1 1 SQL语句就成为 select fromuserwhereusername cheng andpasswd 1111 or 1 1 由于 1 1 恒为真 即使口令不对也没关系 这条语句肯定能返回数据集 实际上 用户名对不对也没有关系 这就是著名且古老的1 1攻击 安全的办法是在程序中增加对单引号等特殊字符的过滤 第10章数据库系统安全 NetworkandInformationSecurity 3 利用多SQL语句执行漏洞select frombookwherebookname linux入门 如果我们输入的不是linux入门而是linux入门 deletebook 则执行语句变为 select fromb