第07章数据库安全

1、计算机网络安全教程计算机网络安全教程重点内容：重点内容：l 数据库的安全特性数据库的安全特性l 数据库的访问控制数据库的访问控制l 数据库的完整性保护数据库的完整性保护l 数据库备份与恢复数据库备份与恢复l SQL ServerSQL Server的访问控制的访问控制计算机网络安全教程计算机网络安全教程数据库系统的安全机制主要有： 存取管理 存取管理是一套防止未授权用户访问数据库的方法、机制，目的在于控制数据的存取，并防止非授权用户对数据库的访问。 安全管理 安全管理指采取何种安全机制实现数据库操作管理权限分配，通常分为集中控制、分散控制两种方式。 数据库加密 数据库加密主要包括：库内加密（以

2、一条记录或记录的字段值为操作单位进行加密）、库外加密（以包含数据库结构和内容的整个数据库为操作单位进行加密）、硬件加密。 计算机网络安全教程计算机网络安全教程 存取管理 存取管理技术包括用户身份认证技术和存取控制技术两方面。 用户身份认证技术包括用户身份验证和用户身份识别技术。存取控制包括数据的浏览控制和修改控制。 浏览控制是为了保护数据的保密性，而修改控制是为了保护数据的正确性和提高数据的可信性。在数据资源共享的环境中，存取控制就显得非常重要。 存取控制限制了访问者和程序可以进行的操作，通过存取控制可以防止安全漏洞隐患。DBMS中对数据库的存取控制是建立在操作系统和网络安全机制的基础之上的。

3、 计算机网络安全教程计算机网络安全教程 安全管理 安全管理指采取何种安全管理机制实现数据库管理权限分配。安全管理分集中控制和分散控制两种方式。集中控制由单个授权者来控制系统的整个安全维护，分散控制则采用不同的管理程序控制数据库的不同部分来实现系统的安全维护。集中控制的安全管理可以更有效、更方便实现安全管理。 安全管理机制可采用数据库管理员、数据库安全员、数据库审计员各负其责，相互制约的方式，通过自主存取控制、强制存取控制实现数据库的安全管理。数据管理员必须专门负责每个特定数据的存取，DBMS必须强制执行这条原则，应避免多人或多个程序来建立新用户，确保每个用户或程序有唯一的注册账户来使用数据库。

4、安全管理员能从单一地点部署强大的控制、符合特定标准的评估，以及大量的用户账号、口令安全管理任务。 计算机网络安全教程计算机网络安全教程 数据库加密 对于一些重要部门或敏感领域的应用，仅有存取管理、安全管理是难以充分保证数据的安全性的，有必要对数据库中存储的重要数据进行加密处理，以强化数据存储的安全保护。 数据加密是防止数据库中数据泄露的有效手段，与传统的通信或网络加密技术相比，由于数据保存的时间要长得多，对加密强度的要求也更高。 由于数据库中数据是多用户共享，对加密和解密的时间要求也更高，以尽量避免对系统性能的影响。 计算机网络安全教程计算机网络安全教程 数据库的访问控制（Access Con

5、trol）是通过某种途径允许或限制用户访问能力及范围的一种方法。访问控制的目的是使用户只能进行经过授权的相关数据库操作。 访问控制系统一般包括：主体（Subject）：发出访问操作、存取要求的主动方，通常指用户或用户的某个进程。客体（Object）：被调用的程序或欲存取的数据。 安全访问政策：一套规则，用以确定一个主体是否对客体拥有访问能力。 数据库访问控制方式分为：自主访问控制、强制访问控制和基于角色的访问控制三种方式。 计算机网络安全教程计算机网络安全教程 自主访问控制 （DAC，Discretionary Access Control） DAC是基于用户身份或所属工作组来进行访问控制的一

6、种手段。具有某种访问特权的用户可以把该种访问许可传递给其他用户。 DAC允许使用者在没有系统管理员参与的情况下对他们所控制的对象进行权限修改，这就造成信息在移动过程中其访问权限关系会被改变。例如，用户A可将其对目标O的访问权限传递给用户B，从而使原来对O没有访问权限的B可以访问O。计算机网络安全教程计算机网络安全教程 强制访问控制 （MAC，Mandatory Access Control） MAC对于不同类型的信息采取不同层次的安全策略。MAC基于被访问对象的信任度进行权限控制，不同的信任度对应不同的访问权限。 MAC给每个访问主体和客体分级，指定其信任度。MAC通过比较主体和客体的信任度来

7、决定一个主体能否访问某个客体，具体遵循以下两条规则： 其一，仅当主体的信任度大于或等于客体的信任度时，主体才能对客体进行读操作，即所谓的“向下读取规则”； 其二，仅当主体的信任度小于或等于客体的信任度时，主体才能对客体进行写操作，即所谓的“向上写入规则”。 计算机网络安全教程计算机网络安全教程 基于角色的访问控制 （RBAC，Role-Based Access Control） RBAC中，引入角色（Role）这一重要概念。所谓角色，就是一个或一群用户在组织内可执行操作的集合。角色可以根据组织中不同的工作任务创建，然后根据用户的职责分配角色，用户可以轻松地进行角色转换。 RBAC根据用户在组织

8、内所处的角色进行访问授权与控制。只有系统管理员有权定义和分配角色。用户与客体无直接联系，只有通过角色才享有该角色所对应的权限，从而访问相应的客体。 RBAC的主要优点在于授权管理的便利性，一旦一个RBAC系统建立起来后，主要的管理工作即为分配或取消用户的角色。RBAC的另一优点在于系统管理员在比较抽象的层次上控制访问权限，与企业通常的业务管理相类似。 计算机网络安全教程计算机网络安全教程 数据库的加密一般通常分为三种方式： 库外加密：库外加密乃针对文件I/O操作或操作系统而言。数据库管理系统与操作系统的接口方式有三种：一是直接利用文件系统的功能；二是利用操作系统的I/O模块；三是直接调用存储管

9、理。 库内加密：从关系数据库的对象组成出发，可考虑库内加密的思想。关系型数据库的关键术语有：表、记录、字段，可以针对这几方面形成对应的加密方法。 硬件加密：硬件加密是指在物理存储器与数据库系统之间加上一层硬件作为中间层，加密和解密的工作都由添加的硬件完成。计算机网络安全教程计算机网络安全教程 数据库的完整性是指数据库中数据的正确性和相容性。 例如，某包含学生信息的数据库中：学生的学号必须唯一，不能与其他人重复；性别只能是男或女；本科学生年龄的取值范围为14-30的整数；学生所在的系必须是学校已开设的系。 需要注意区分的是，数据库的完整性和安全性是数据库安全保护的两个不同方面。 数据库的安全性用

10、于保护数据库防止恶意的破坏和非法的存取，数据库的完整性用于保护数据库以防止合法用户无意中造成的破坏，即防止数据库中存在不符合语义的数据，或者说防止数据库中存在不正确的数据。 计算机网络安全教程计算机网络安全教程 数据完整性约束 域完整性。对表字段取值进行约束，规定一个给定域的有效入口，包括数据类型、取值范围、格式、精度等的规定。实现域完整性可以通过“Check约束”、Foreign约束”、“Default约束”、“Not Null约束”等来实施。 实体完整性。以表记录为单位进行约束，规定一个表中的每一行必须是唯一的。数据库设计者需要指定一个表中的一列或一组列作为它的主键，表中的每行必须含有一个

11、唯一的主键。主键不能为空值，且不能与表中已有行的主键值相同。可以通过列的Identity属性、主键约束、惟一性约束等来实现。计算机网络安全教程计算机网络安全教程 数据完整性约束 参照完整性。在关系数据库中，实体与实体之间的关联同样采用关系模式来描述，通过引用对应实体的关系模式的主键，来表示对应实体之间的关联。参照完整性约束又称为引用完整性约束，是指两个表的主键和外键的数据要对应一致。可以通过“外键约束”、“触发器”、“存储过程”等来实施。 用户定义完整性。以上三种数据完整性约束能够实现数据库中大部分数据完整性，但某些约束条件不能用它们来实现。例如，入学时间不能晚于毕业时间。实现诸如此类的数据完

12、整性保护，需要开发者自己通过创建存储过程和触发器、规则等来实现。 计算机网络安全教程计算机网络安全教程 数据库备份目的在于建立冗余数据 数据库备份技术，应针对不同故障类型设置相应机制，以保障数据的有效恢复。为避免数据库灾难，必须采取容错措施，使损失降至最低。 容错有硬件容错、软件容错两种方式。 硬件容错是采取双系统方案，即同一个数据库系统在两个计算机系统中同时运行，数据操作在两个系统中同步，两个系统有一定的空间距离，这样，只有两个系统同时损坏才会导致数据库损坏。 软件容错是采取备份与恢复方案，即在数据库正常工作时，做出一个数据库结构与数据的完整拷贝，也就是做出数据库的备份，以便数据库遭到破坏时

13、能够恢复数据库。 计算机网络安全教程计算机网络安全教程 数据库备份方法有四种： 完全数据库备份 增量数据库备份 事务日志备份 及数据库文件与文件组备份 数据库备份的原理在于建立数据冗余。 建立冗余数据的方式是进行数据转储和登记日志文件。 数据转储在时间上可分为静态转储、动态转储，在空间上可分为海量转储和增量转储。 计算机网络安全教程计算机网络安全教程 完善的数据库备份，应做好充分的准备工作，包括以下内容： 确定备份频率。 确定备份内容。 确定使用的介质。 确定备份负责人。 确定联机备份或脱机备份。 确定是否使用硬件备份。 确定备份存储地点。 确定备份存储的期限。 计算机网络安全教程计算机网络安

14、全教程 完善的数据库备份，应做好充分的准备工作，包括以下内容： 确定备份频率。 确定备份内容。 确定使用的介质。 确定备份负责人。 确定联机备份或脱机备份。 确定是否使用硬件备份。 确定备份存储地点。 确定备份存储的期限。 计算机网络安全教程计算机网络安全教程 数据库恢复，就是把数据库由存在故障的状态转变为无故障状态的过程。 根据出现故障的原因，数据库恢复分为实例恢复、介质恢复两种类型。 实例恢复是当数据库实例出现失效后，数据库系统进行的恢复。 介质恢复是当存放数据库的介质出现故障时所做的恢复。 计算机网络安全教程计算机网络安全教程 装载（Restore）物理备份与恢复（Recover）物理备

15、份是介质恢复的手段。 装载物理备份是将备份考回到磁盘，恢复物理备份是利用重做日志（即Redo日志，物理备份的一部分）修改磁盘上的数据文件（物理备份的另一部分），从而恢复数据库的过程。如下图所示。 计算机网络安全教程计算机网络安全教程 根据数据库的恢复程度，可将数据库恢复方法分为两种类型：完全恢复、不完全恢复。 完全恢复。指将数据库恢复到失效时的状态。这种恢复是通过装载数据库备份，再合并所有的Redo日志实现的。 不完全恢复。将数据库恢复到数据库失败前的某一时刻数据库的状态。这种恢复是通过装载数据库备份，再合并部分Redo日志实现的。不完全恢复是在完全恢复无法实现，或不需要完全恢复时进行的恢复操

16、作。导致完全恢复无法实现的典型原因是，部分Redo日志损坏，使得恢复操作无法继续。 计算机网络安全教程计算机网络安全教程 操作系统级别的安全防护。 SQL Server级别的安全防护。 SQL Server数据库级别的安全防护。 SQL Server数据库对象级别的安全防护。 计算机网络安全教程计算机网络安全教程 SQL Server有三种身份认证模式，即Windows身份认证模式、SQL Server身份认证模式、混合模式。 Windows身份认证模式。Windows身份认证模式是指SQL Server服务器通过使用Windows当前登录用户的权限来控制用户对SQL Server服务器的登录

17、及访问权限。这种模式也称为集成身份认证模式。 SQL Server身份认证模式。SQL Server身份认证模式要求用户必须输入有效的SQL Server登录用户名、口令。这个登录账号独立于操作系统的用户账号。 混合模式。这种模式下，如果用户在登录时提供了SQL Server的登录用户名口令，则系统将使用SQL Server身份验证对其进行验证。如果没有提供SQL Serverd 登录帐号或请求进行Windows身份验证，则使用Windows身份验证对其进行验证。计算机网络安全教程计算机网络安全教程 SQL Server的访问控制机制采用的RBAC方式。 NIST（National Insti

18、tute of Standards and Technology，美国国家标准与技术研究院）颁布的标准RBAC模型由4个部件模型组成，这4个部件模型分别是： 基本模型RBAC0（Core RBAC） 角色分级模型RBAC1（Hierarchal RBAC） 角色限制模型RBAC2（Constraint RBAC） 统一模型RBAC3（Combines RBAC） RBAC模型如下图计算机网络安全教程计算机网络安全教程 数据库安全审计系统是通过对网络数据的采集、分析、识别，实时监控网络中数据库的所有访问操作，发现各种违规数据库操作行为，及时报警，实现数据库安全事件的准确跟踪定位，保障数据库系统安全。 根据美国国防部TCSEC/TDI标准中关于安全策略的要求，数据库审计是数据库系统达到C2级以上安全级别必不可少的一项功能。 数据库安全审计系统首先收集来自用户的事件，当用户进