数据库原理与技术第四章new

1、第四章第四章 数据库的安全性与完整性数据库的安全性与完整性计算机系统的安全性v计算机系统的安全性是指为计算机系统建立和采计算机系统的安全性是指为计算机系统建立和采取的各种安全保护措施，以保护计算机系统中的取的各种安全保护措施，以保护计算机系统中的硬件、软件和数据，防止其因偶然或恶意的原因硬件、软件和数据，防止其因偶然或恶意的原因使系统遭到破坏，数据遭到更改或泄漏等。使系统遭到破坏，数据遭到更改或泄漏等。计算机系统安全问题的分类v技术安全类技术安全类 技术安全是指计算机系统中采用具有一定安全性的硬件、软件来实现对计算机系统及其所存数据的安全保护，当计算机受到有意的或无意的攻击时仍能保证系统的正常

2、运行，保证系统内的数据不增加、不丢失、不泄露。v管理安全类管理安全类 技术安全之外的，诸如软硬件意外故障、场地的意外事故、管理不善导致的计算机设备和数据介质的物理破坏、丢失等安全问题视为管理安全。v政策法律类政策法律类 指政府部门建立的有关计算机犯罪、数据安全保密的法律道德准则和政策法规、法令。可信计算机评测标准v1985年，美国国防部制定了可信计算机评估标年，美国国防部制定了可信计算机评估标准准TCSEC（Trusted Computer System Evaluation Criteria)。1991年年4月，美国国月，美国国家计算机安全中心家计算机安全中心NCSC发布发布可信计算机系统可

3、信计算机系统评估标准关于数据库系统的解释评估标准关于数据库系统的解释TDI（Trusted Database Interpretation）,将将TCSEC扩展扩展到数据库管理系统。它们从安全策略、责任、保到数据库管理系统。它们从安全策略、责任、保证、文档四个方面描述了安全级别划分的指标。证、文档四个方面描述了安全级别划分的指标。可信计算机评测标准（续I）安全级别安全级别定定 义义A1验证设计（验证设计（Verified Design）B3安全域（安全域（Security Domain）B2结构化保护（结构化保护（Structural Protection）B1标记安全保护（标记安全保护（La

4、beled Security Protection）C2受控存取保护（受控存取保护（Controlled Access Protection）C1自主安全保护（自主安全保护（Discretionary Security Protection）D最小保护（最小保护（Minimal Protection）对数据库的安全威胁v原则上，凡是造成对数据库内存储数据的非授权原则上，凡是造成对数据库内存储数据的非授权访问访问读取，或非授权的写入读取，或非授权的写入增加、删除、修改增加、删除、修改等，都属于对数据库的数据安全造成了威胁或破等，都属于对数据库的数据安全造成了威胁或破坏。另一方面，凡是影响授权用户

5、以正常方式使坏。另一方面，凡是影响授权用户以正常方式使用数据库系统的数据服务的，也称之为造成侵犯，用数据库系统的数据服务的，也称之为造成侵犯，对数据库的安全形成了威胁或破坏。对数据库的安全形成了威胁或破坏。对数据库的安全威胁的分类v偶然地、无意地接触或修改偶然地、无意地接触或修改DBMS管理下的数据管理下的数据 自然的或意外的事故 硬件或软件的故障/错误导致数据丢失 人为的失误，如错误的输入和应用系统的不正常使用。对数据库的安全威胁的分类（I）v蓄意的侵犯和敌意的攻击蓄意的侵犯和敌意的攻击 授权用户可能滥用其权力 信息的非正常扩散-泄密 由授权读取的数据推论出不应访问的数据 对信息的非正常修改

6、 敌对方的攻击，内部的或外部的非授权用户从不同渠道进行攻击。 敌对方对软件和硬件的蛮力破坏 绕过DBMS直接对数据进行读写 病毒、特洛伊木马、天窗 通过各种途径干扰DBMS的正常工作状态，使之在正当用户提出数据请求时，不能正常提供服务。数据库的安全性v数据库的安全性是指保护数据库以防止不合法的数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄漏、更改和破坏。它包括两使用所造成的数据泄漏、更改和破坏。它包括两个方面的含义：个方面的含义： 向授权用户提供可靠的信息服务。 同时，拒绝非授权的对数据的存取访问请求，保证数据库管理下的数据的可用性、完整性和一致性，进而保护数据库所有者和使用者的

7、合法权益。数据库安全性控制管理、技术、操作 多个方面物理、网络、系统、应用 多个层次设计、构建、运行、维护 整个周期安全数据库安全性控制v数据库安全控制涉及多个方面，它可分为内部安数据库安全控制涉及多个方面，它可分为内部安全控制和外部安全控制。全控制和外部安全控制。 内部安全控制由计算机系统的软硬件实现。它必须与管理系统物理存取的适当的外部安全控制相配合。 外部安全控制解决内部安全控制不能解决的问题外部安全控制v实体安全控制实体安全控制 划定安全区域，设置安全屏障和建立安全控制 评估安全风险，将涉密设备和材料放置在不同的安全区域v人员、组织安全控制人员、组织安全控制 建立安全管理机构和相应安全

8、评估、管理制度 明确组织间的访问安全关系 明确组织内的安全角色和责任 建立人员聘用和考察制度，通过合同条款和保密协议，明确每个人的安全保密责任 建立责任追究制度外部安全控制v过程安全控制过程安全控制 确定业务操作过程的安全需求 制订访问控制规则，并明确个人用户（或组用户）的权限 建立访问管理制度，确定用户、特权、密码等的管理措施和操作过程规定 明确用户在密码使用和设备安全等方面的责任 建立监测和审查制度 建立安全事故管理制度数据库安全性控制v数据库系统的安全保护是由多个层次的构成的。数据库系统的安全保护是由多个层次的构成的。本章只涉及由数据库本身提供的安全机制。本章只涉及由数据库本身提供的安全

9、机制。DBMSOSDB用户标识和鉴别网络系统安全保护存取控制操作系统安全保护数据加密用户标识与鉴别v用户标识和鉴别是系统提供的最外层安全保护措用户标识和鉴别是系统提供的最外层安全保护措施。标识是指系统采用一定的方式标识其用户或施。标识是指系统采用一定的方式标识其用户或应用程序的名字或身份。鉴别是指系统在用户或应用程序的名字或身份。鉴别是指系统在用户或应用程序登录时判断其是否为合法的授权用户。应用程序登录时判断其是否为合法的授权用户。应用系统、网络系统、操作系统、应用系统、网络系统、操作系统、DBMS都可以都可以进行用户标识和鉴别，通常的做法是采用用户名进行用户标识和鉴别，通常的做法是采用用户名

10、和口令。和口令。存取控制v存取控制确保合法用户按照指定的权限使用存取控制确保合法用户按照指定的权限使用DBMS和访问数据，而非法用户或不具有相关权和访问数据，而非法用户或不具有相关权限的用户则不能。限的用户则不能。v存取控制机制主要包括两个部分：存取控制机制主要包括两个部分： 定义用户权限，并将用户权限记录到数据字典中，形成安全规则或授权规则。其中，用户权限是指不同的用户对于不同的数据对象允许执行的操作权限。 合法权限检查，每当用户发出数据库操作请求后，DBMS根据数据字典中的安全规则进行合法权限检查，决定是否接受用户的操作请求。 用户权限定义和合法权限检查机制一起组成了DBMS的安全子系统。

11、DAC与MACv存取控制可以分为：存取控制可以分为： 自主存取控制(discretionary access control，简称DAC)。用户对于不同的数据对象拥有不同的存取权限，不同的用户对同一对象也有不同的权限，而且用户还可以将其拥有的权限转授给其他用户。 强制存取控制(mandatory access control，简称MAC)。每一个数据对象被标以一定的密级，每一个用户也被授予某一个级别的许可证。对于任一个对象，只有具有合法许可证的用户才可以存取。自主存取控制方法v用户权限由两个要素组成，数据对象和操作类用户权限由两个要素组成，数据对象和操作类型。定义一个用户的存取权限就是要定义这

12、个型。定义一个用户的存取权限就是要定义这个用户可以在哪些数据对象上进行哪些类型的操用户可以在哪些数据对象上进行哪些类型的操作，在数据库系统中称之为授权。作，在数据库系统中称之为授权。数据对象数据对象操作类型操作类型数据库数据库模式模式基本表基本表视图视图索引索引建立、修改、检索建立、修改、检索建立、修改、检索建立、修改、检索建立、修改、检索建立、修改、检索建立、删除建立、删除数据数据表或视图表或视图属性列属性列查找、插入、删除、修改查找、插入、删除、修改查找、插入、删除、修改查找、插入、删除、修改SQL的数据控制v当数据库管理员建立了一个新用户之后当数据库管理员建立了一个新用户之后,必须授予必

13、须授予它一定的权限它一定的权限,该用户才能使用数据库。在数据库该用户才能使用数据库。在数据库系统中可以授予用户两类权限：系统中可以授予用户两类权限： 用户级权限 用户级权限是数据库管理员为每个用户授予的特定权限。这种权限与整个数据库相关，与数据库中具体的关系无关。这种权限是对用户使用整个数据库的权限的限定。 关系级权限 关系级权限是数据库管理员或数据库对象的拥有者为用户授予的与关系或视图有关的权限。这种权限是对用户使用关系和视图的权限的限定。角色与用户组v为了管理数据库特权的方便，数据库还支持角色为了管理数据库特权的方便，数据库还支持角色和用户组的概念。和用户组的概念。 角色是一组权限的集合，

14、可以把它授予用户或其他角色。当把某个角色授予用户（或角色）或从用户（或角色）处收回时，就同时授予或收回了该角色代表的全部权限。 用户组是一组具有相同特性用户的集合。在授权或收回权限时，可以以用户组为单位进行。用户级权限与角色的授予与收回v在SQL语言中，通过Grant语句为用户授予用户级权限或角色，其语法格式为：Grant | ,| To |public ,| With Grant Optionv其中，public指数据库中的全部用户。With Grant Option则允许被授权的用户将指定的用户级权限或角色授予其他用户。用户级权限与角色的授予与收回v为用户授予用户级权限为用户授予用户级权限

15、 Grant Create Session to SCOTT;v为用户授予角色为用户授予角色 Grant Connect to SCOTT;v将权限授予角色将权限授予角色 Grant Create table to Student_role;v将角色授予角色将角色授予角色 Grant Resource to Student_role;v将角色授予用户组将角色授予用户组 Grant Student_role to PUBLIC;Oracle默认的角色北京航空航天大学软件开发环境重点实验室拥有的权限拥有的权限操作操作Create UserCreate SchemaCreate Table登录数据库

16、，执行查询和更新DBARESOURCECONNECT需要授权才可以执行用户级权限与角色的授予与收回v当要取消一个用户或角色的权限时，可以使用REVOKE语句将其收回：Revoke | ,| From |public ,|v例：取消用户例：取消用户SCOTTSCOTT的的Create TableCreate Table权限。权限。 Revoke Create Table From SCOTT;授权管理v多重授权多重授权v循环授权循环授权北京航空航天大学软件开发环境重点实验室U1U2U3U1U2U3x关系级权限的授予与收回v每一个用户都拥有自己定义的数据库对象如（基本表、视图等），除了他自己和拥有

17、DBA权限的用户以外，其他用户都不能访问这些数据库对象。如果想和其他用户共享其中一部分数据库对象，就必须将这些数据库对象上的部分或全部权限授予其他用户。其语法格式为：v Grant ALL| , On | , | To , | public With Grant Option关系级权限的授予与收回v授予用户Liming在Student表上的Select和Insert权限。 Grant Select , Update On Student To Liming With Grant Option;vLiming授予用户SCOTT在Student表的Sno列上的Update权限。 Grant Upd

18、ate(Sno) On Student To SCOTT;v将Student表上的全部权限授予全体用户。 Grant ALL On Student To PUBLIC;关系级权限的授予与收回v回收权限回收权限 Revoke ALL| , On | , | From ,|PUBLIC 例：收回Liming对Student表的全部权限Revoke ALL On Student From Liming; 收回权限时，若该用户已将权限授予其它用户，则也一并收回。用户权限定义表用户名用户名数据对象名数据对象名允许的操作类型允许的操作类型王平王平关系关系StudentSELECT张明霞张明霞关系关系Stu

19、dentUPDATE张明霞张明霞关系关系CourseALL张明霞张明霞Sc.GradeUPDATE张明霞张明霞Sc.SnoSELECT张明霞张明霞Sc.CnoSELECT利用视图实现安全控制v为不同的用户定义不同的视图，可以将用户对数为不同的用户定义不同的视图，可以将用户对数据的访问限制在一定的范围内。据的访问限制在一定的范围内。v例：限制王平只能检索例：限制王平只能检索Student表中计算机系学表中计算机系学生的学号和姓名。生的学号和姓名。 Create View CS_Student As Select Sno, Sname From Student Where Sdept = CS;

20、Grant Select On CS_Student To Wangping;强制存取方法v主体主体 是系统中的活动实体，既包括是系统中的活动实体，既包括DBMS所所管理的实际用户，也包括代表用户的各进程。管理的实际用户，也包括代表用户的各进程。v客体客体 是系统中的被动实体，是受主体操纵的，是系统中的被动实体，是受主体操纵的，包括文件、基本表、索引、视图等包括文件、基本表、索引、视图等v对于主体和客体，对于主体和客体，DBMS为他们每个实例（值）为他们每个实例（值）指定一个敏感度标记。敏感度表被分为若干级指定一个敏感度标记。敏感度表被分为若干级别，如绝密、机密、可信、公开等。主体的敏别，如绝

21、密、机密、可信、公开等。主体的敏感度标记称为许可证级别，客体的敏感度标记感度标记称为许可证级别，客体的敏感度标记称为密级。称为密级。强制存取方法v当某一主体以某一许可证级别注册入系统时，系当某一主体以某一许可证级别注册入系统时，系统要求他对任何客体的存取必须遵循如下规则：统要求他对任何客体的存取必须遵循如下规则： 仅当主体的许可证级别大于或等于客体的密级时，该主体才能读取相应的客体； 仅当主体的许可证级别等于客体的密级时，该主体才能写相应的客体；审计和数据加密v审计功能把用户对数据库的所有操作都自动记录审计功能把用户对数据库的所有操作都自动记录下来放入审计日志中。下来放入审计日志中。DBA可以

22、利用审计跟踪的可以利用审计跟踪的信息，重现导致数据库现有状况的一系列事件，信息，重现导致数据库现有状况的一系列事件，找出非法存取数据的人、时间和内容等。找出非法存取数据的人、时间和内容等。v数据加密数据加密 是防止数据库中数据在存储和传输中失是防止数据库中数据在存储和传输中失密的有效手段。加密的基本思想是根据一定的算密的有效手段。加密的基本思想是根据一定的算法将原始数据（明文）变换为不可识别的格式法将原始数据（明文）变换为不可识别的格式（密文），从而使得不知道解密算法的人无法获（密文），从而使得不知道解密算法的人无法获知数据的内容。知数据的内容。统计数据库安全性v统计数据库中的数据分为两类，一

23、类是微数据描统计数据库中的数据分为两类，一类是微数据描述现实世界的实体、概念或事件的数据；另一类述现实世界的实体、概念或事件的数据；另一类是统计或综合数据，是对微数据进行综合处理而是统计或综合数据，是对微数据进行综合处理而得到的结果数据。统计数据库只为用户提供统计得到的结果数据。统计数据库只为用户提供统计数据，不允许用户访问微数据。但微数据有时可数据，不允许用户访问微数据。但微数据有时可以通过一组统计数据推导出来。统计数据库安全以通过一组统计数据推导出来。统计数据库安全性的目的就是防止用户访问或推导出统计数据库性的目的就是防止用户访问或推导出统计数据库的微数据。的微数据。统计数据库安全性v例：

24、例： 关系PERSON(NAME, SSN, INCOME, ADDRESS, CITY, STATE, ZIP, SEX, LAST_DEGREE)为人口统计数据库中的一个关系。 假设已知王兰获博士学位，居住在黑龙江省哈尔滨市，现要查询其收入，首先执行： SELECT COUNT(*) FROM PERSON WHERE LAST_DEGREE = PH.D AND SEX = F AND CITY = 哈尔滨 AND STATE = 黑龙江;统计数据库安全性 若返回结果为1，则在执行以下查询： SELECT AVG(INCOME) FROM PERSON WHERE LAST_DEGREE

25、 = PH.D AND SEX = F AND CITY = 哈尔滨 AND STATE = 黑龙江； 就可获得王兰的收入。统计数据库安全性v为防止用户推导出统计数据库的微数据，可以采为防止用户推导出统计数据库的微数据，可以采取以下方法：取以下方法： 对统计结果的大小加以控制，将其限制在某一范围之内。这样可以减小使用统计查询推导微数据的可能性。 禁止在相同元组集合上重复执行一系列统计查询。 在统计查询结果中加入噪声，为推导微数据制造困难。完整性v数据库的完整性是指数据的正确性和相容性。数据库的完整性是指数据的正确性和相容性。其中，正确性是指数据应具有合法的类型，如其中，正确性是指数据应具有合法

26、的类型，如数值型的字段只能含有数值型的字段只能含有09，不能包含其它，不能包含其它符号；更进一步，数据还应在有效的取值范围符号；更进一步，数据还应在有效的取值范围之内，如一年最多只有之内，如一年最多只有12个月，不能出现个月，不能出现13个月。相容性是指表示同一个事实的两个数据个月。相容性是指表示同一个事实的两个数据应该相同，如一个人不应当存在两个年龄。数应该相同，如一个人不应当存在两个年龄。数据库能否保持完整性关系到数据库系统是否能据库能否保持完整性关系到数据库系统是否能够真实的反映现实世界，因此维护数据库的完够真实的反映现实世界，因此维护数据库的完整性十分重要。整性十分重要。完整性与安全性

27、v数据库的完整性与安全性是两个不同的概念。前数据库的完整性与安全性是两个不同的概念。前者是为了防止数据库中存在不符合语义的数据，者是为了防止数据库中存在不符合语义的数据，防止错误信息的输入和输出，即所谓的垃圾进垃防止错误信息的输入和输出，即所谓的垃圾进垃圾出所造成的无效操作和错误结果。而后者是保圾出所造成的无效操作和错误结果。而后者是保护数据库防止恶意的破坏和非法存取。也就是说，护数据库防止恶意的破坏和非法存取。也就是说，安全性防范的是非法用户和非法操作，完整性措安全性防范的是非法用户和非法操作，完整性措施的防范对象是不合语义的数据。施的防范对象是不合语义的数据。完整性约束条件v施加在数据库数

28、据之上的语义约束条件称为数据施加在数据库数据之上的语义约束条件称为数据库完整性约束条件。数据库系统依据完整性约束库完整性约束条件。数据库系统依据完整性约束条件进行完整性检查。条件进行完整性检查。v完整性约束条件作用的对象可以是关系、元组、完整性约束条件作用的对象可以是关系、元组、列三种。其中列约束主要是列的类型、取值范围、列三种。其中列约束主要是列的类型、取值范围、精度等约束条件。元组的约束是元组中各个字段精度等约束条件。元组的约束是元组中各个字段间联系的约束。关系的约束是若干元组间、关系间联系的约束。关系的约束是若干元组间、关系集合上以及关系之间的联系的约束。集合上以及关系之间的联系的约束。

29、完整性约束条件v涉及这三类对象的完整性约束又可分为静态约涉及这三类对象的完整性约束又可分为静态约束和动态约束。束和动态约束。 静态约束是指数据库每一确定状态（在某一时刻数据库中的所有数据实例构成了数据库的一个状态）时，数据对象所应满足的约束条件，它是反映数据库状态合理性的约束。 动态约束是指数据库从一种状态转变为另一种状态时，新、旧值之间所应满足的约束条件，它是反映数据库状态变迁的约束。静态约束v固有约束固有约束 指数据模型固有的约束，如关系的属性应当是原子的。v隐含约束隐含约束 指隐含于数据模式的约束，一般用DDL语句说明，并存于数据字典中。如实体完整性约束。v显式约束显式约束 指固有约束，

30、隐含约束之外，依赖于数据的语义和应用，需要显式定义的完整性约束。静态约束v静态列级约束是对一个列的取值域的说明，包括：静态列级约束是对一个列的取值域的说明，包括： 对数据类型的约束（包括数据的类型、长度、单位、精度等） 如：Sname char（10） 对数据格式的约束 如日期的格式为：YYYY-MM-DD 对取值范围或取值集合的约束 如Sex的取值必须为：男或女 对空值的约束 其他约束静态约束v静态元组约束规定了组成一个元组的各个列之间静态元组约束规定了组成一个元组的各个列之间的约束关系。的约束关系。 如：教师关系中有职称和工资属性，规定职称为教授的教师工资不得低于1000元v静态关系约束规

31、定了一个关系的若干元组或者若静态关系约束规定了一个关系的若干元组或者若干关系之间常常存在的各种联系或约束。包括：干关系之间常常存在的各种联系或约束。包括： 实体完整性约束 参照完整性约束 函数依赖 统计约束动态约束v动态列级约束是修改列定义或列值时应满足的约动态列级约束是修改列定义或列值时应满足的约束条件，包括：束条件，包括： 修改列定义时的约束 如不能在包含null的列上定义 not null约束。 修改列值时的约束 如工资只能增长，不能降低v动态元组约束指修改元组值时元组中各个字段间动态元组约束指修改元组值时元组中各个字段间需要满足的约束。需要满足的约束。 如规定调整后的工资不能低于原工资

32、（1+工龄/20）动态约束v动态关系约束是加在关系变化前后状态上的限制动态关系约束是加在关系变化前后状态上的限制条件。条件。 如在工商银行和建设银行的账户A和B之间转账，要求New A + New B = Old A + Old B北京航空航天大学软件开发环境重点实验室数据库的完整性控制机制v为保护数据库的完整性，防止错误的数据进入数为保护数据库的完整性，防止错误的数据进入数据库，数据库提供了完整性控制机制。它包括三据库，数据库提供了完整性控制机制。它包括三个方面的功能：个方面的功能： 定义功能，提供定义完整性约束条件的机制。 检查功能，检查用户发出的操作请求是否违背了完整性约束条件。 违约响应，若违背了完整性约束条件，则采取一定措施来保证数据的完整性。完整性检查的时机v立即执行约束是指在执行用户事务的过程中，立即执行约束是指在执行用户事务的过程中，在一条语句执行完后立即进行完整性约束的检在一条语句执行完后立即进行完整性约束的检查。若违背了完整性约束，系统将拒绝该操作。查。若违背了完整性约束，系统将拒绝该操作。v延迟执行约束是指在整个用户事务执行完毕后，延迟执行约束是指在整个用户事务执行完毕后，再进行完整性约束的检查，若正确方允许提交再进行完整性约束的检查，若正确方允许提交事务。若违背了完整性约束，系统将拒绝整个事务。若违背了完整性约束，系统