DB04数据库教学市公开课金奖市赛课一等奖课件

1、第4章 数据库安全性问题提出数据库一大特点是数据能够共享数据共享必定带来数据库安全性问题数据库系统中数据共享不能是无条件共享例： 军事秘密、国家机密、新产品试验数据、 市场需求分析、市场营销策略、销售计划、 客户档案、医疗档案、银行储蓄数据数据库安全性第1页计算机安全性概述数据库安全性控制视图机制审计（Audit） 数据加密统计数据库安全性第4章 数据库安全性第2页4.1 计算机安全性概述 计算机系统三类安全性问题 安全标准介绍第3页4.1.1 计算机系统三类安全性问题 计算机系统安全性为计算机系统建立和采取各种安全保护办法，以保护计算机系统中硬件、软件及数据，预防其因偶然或恶意原因使系统遭到

2、破坏，数据遭到更改或泄露等。第4页三类计算机系统安全性问题技术安全类管理安全类政策法律类4.1.1 计算机系统三类安全性问题 第5页4.1.2 安全标准介绍信息安全标准发展历史 第6页4.1.2 安全标准介绍TCSEC/TDI标准基本内容TCSEC/TDI，从四个方面来描述安全性级别划分指标：安全策略责任确保文档第7页安 全 级 别 定 义 A1验证设计（Verified Design） B3安全域（Security Domains） B2结构化保护（Structural Protection） B1标识安全保护（Labeled Security Protection） C2受控存取保护(Co

3、ntrolled Access Protection) C1自主安全保护(Discretionary Security Protection) D最小保护（Minimal Protection）按系统可靠或可信程度逐步增高各安全级别之间：偏序向下兼容4.1.2 安全标准介绍TCSEC/TDI安全级别划分第8页B2以上系统还处于理论研究阶段应用多限于一些特殊部门，如军队等美国正在大力发展安全产品，试图将当前仅限于少数领域应用B2安全级别下放到商业应用中来，并逐步成为新商业标准4.1.2 安全标准介绍第9页国际信息技术安全通用评定准则(Common Criteria for Information

4、 Technology Security Evaluation,简称CC)是美国、英国、法国、德国、荷兰、加拿大六国历经20多年制订评定信息安全产品和系统安全特征基础准则,它不但提出了信息安全评定模型和标准,而且还对信息安全产品和系统安全功效需求和安全确保要求做出了明确规. 4.1.2 安全标准介绍第10页4.1.2 安全标准介绍 CC评定确保级划分 评定确保级定义TCSEC安全级别EAL1功效测试(functionally tested)EAL2结构测试(structurally tested)C1EAL3系统地测试和检验(methodically tested and checked)C2

5、EAL4系统地设计、测试和复查(methodically designed， tested， and reviewed)B1EAL5半形式化设计和测试(semiformally designed and tested)B2EAL6半形式化验证设计和测试(semiformally verified design and B3Tested)EAL7形式化验证设计和测试(formally verified design and tested)A1第11页4.2 数据库安全性控制概述非法使用数据库情况编写正当程序绕过DBMS及其授权机制直接或编写应用程序执行非授权操作经过屡次正当查询数据库从中推导出一

6、些保密数据第12页计算机系统中，安全办法是一级一级层层设置计算机系统安全模型 4.2 数据库安全性控制概述第13页数据库安全性控制惯用方法用户标识和判定存取控制视图审计密码存放4.2 数据库安全性控制概述第14页4.2.1 用户标识与判别用户标识与判别 （Identification & Authentication）系统提供最外层安全保护办法用户标识口令系统查对口令以判别用户身份 用户名和口令易被窃取每个用户预先约定好一个计算过程或者函数第15页4.2.2 存取控制存取控制机制组成定义用户权限，并将用户权限登记到数据字典中正当权限检验 用户权限定义和正当权限检验机制一起组成了DBMS安全子系

7、统第16页惯用存取控制方法自主存取控制（Discretionary Access Control ，简称DAC） C2级 灵活强制存取控制（Mandatory Access Control，简称 MAC）B1级严格4.2.2 存取控制第17页4.2.3 自主存取控制方法经过 SQL GRANT 语句和 REVOKE 语句实现用户权限组成数据对象操作类型定义用户存取权限：定义用户能够在哪些数据库对象上进行哪些类型操作定义存取权限称为授权 第18页4.2.3 自主存取控制方法关系数据库系统中存取控制对象 关系数据库系统中存取权限 对象类型对象操 作 类 型数据库模式CREATE SCHEMA基本表

8、CREATE TABLE，ALTER TABLE模式视图CREATE VIEW索引CREATE INDEX数据基本表和视图SELECT，INSERT，UPDATE，DELETE，REFERENCES，ALL PRIVILEGES数据属性列SELECT，INSERT，UPDATE， REFERENCESALL PRIVILEGES第19页4.2.4 授权与回收一、GRANTGRANT语句普通格式： GRANT ,. ON TO ,. WITH GRANT OPTION;语义：将对指定操作对象指定操作权限授予指定用户 第20页发出GRANT：DBA数据库对象创建者（即属主Owner）拥有该权限用户

9、接收权限用户 一个或多个详细用户PUBLIC（全体用户） 4.2.4 授权与回收第21页4.2.4 授权与回收WITH GRANT OPTION子句:指定：能够再授予没有指定：不能传输不允许循环授权第22页例1 把查询Student表权限授给用户U1GRANT SELECT ON TABLE Student TO U1;4.2.4 授权与回收例2 把对Student表和Course表全部权限授予用户U2和U3GRANT ALL PRIVILIGES ON TABLE Student, Course TO U2, U3;第23页例3 把对表SC查询权限授予全部用户GRANT SELECT ON

10、TABLE SC TO PUBLIC;4.2.4 授权与回收第24页例4 把查询Student表和修改学生学号权限授给用户U4 GRANT UPDATE(Sno), SELECT ON TABLE Student TO U4;对属性列授权时必须明确指出对应属性列名 4.2.4 授权与回收第25页例5 把对表SCINSERT权限授予U5用户，并允许他再将此权限授予其它用户 GRANT INSERT ON TABLE SC TO U5 WITH GRANT OPTION;4.2.4 授权与回收第26页执行例5后，U5不但拥有了对表SCINSERT权限，还能够传输此权限：例6 GRANT INSER

11、T ON TABLE SC TO U6 WITH GRANT OPTION; 一样，U6还能够将此权限授予U7： 例7 GRANT INSERT ON TABLE SC TO U7;但U7不能再传输此权限。 4.2.4 授权与回收第27页 下表是执行了例1到例7语句后，学生-课程数据库中用户权限定义表 授权用户名被授权用户名数据库对象名允许操作类型能否转授权DBAU1关系StudentSELECT不能DBAU2关系StudentALL不能DBAU2关系CourseALL不能DBAU3关系StudentALL不能DBAU3关系CourseALL不能DBAPUBLIC关系SCSELECT不能DBA

12、U4关系StudentSELECT不能DBAU4属性列Student.SnoUPDATE不能DBAU5关系SCINSERT能U5U6关系SCINSERT能U6U7关系SCINSERT不能4.2.4 授权与回收第28页二、REVOKE授予权限能够由DBA或其它授权者用REVOKE语句收回REVOKE语句普通格式为： REVOKE ,. ON FROM ,.;4.2.4 授权与回收第29页例8 把用户U4修改学生学号权限收回REVOKE UPDATE(Sno)ON TABLE Student FROM U4;4.2.4 授权与回收例9 收回全部用户对表SC查询权限REVOKE SELECT ON

13、TABLE SC FROM PUBLIC; 第30页例10 把用户U5对SC表INSERT权限收回REVOKE INSERT ON TABLE SC FROM U5 CASCADE ;将用户U5INSERT权限收回时候必须级联（CASCADE）收回 系统只收回直接或间接从U5处取得权限 4.2.4 授权与回收第31页4.2.4 授权与回收执行例8到例10语句后，学生-课程数据库中用户权限定义表授权用户名被授权用户名数据库对象名允许操作类型能否转授权DBAU1关系StudentSELECT不能DBAU2关系StudentALL不能DBAU2关系CourseALL不能DBAU3关系StudentA

14、LL不能DBAU3关系CourseALL不能DBAU4关系StudentSELECT不能第32页DBA：拥有全部对象全部权限不一样权限授予不一样用户用户：拥有自己建立对象全部操作权限GRANT：授予其它用户被授权用户“继续授权”许可：再授予全部授予出去权力在必要时又都可用REVOKE语句收回4.2.4 授权与回收小结：SQL灵活授权机制第33页4.2.4 授权与回收三、创建数据库模式权限 DBA在创建用户时实现CREATE USER语句格式 CREATE USER WITHDBA | RESOURCE | CONNECT第34页4.2.4 授权与回收拥有权限可否执行操作CREATE USERC

15、REATE SCHEMACREATE TABLE登录数据库 执行数据查询和操纵DBA能够能够能够能够RESOURCE不能够不能够不能够不能够CONNECT不能够不能够不能够能够，但必须拥有对应权限权限与可执行操作对照表 第35页4.2.5 数据库角色数据库角色：被命名一组与数据库操作相关权限角色是权限集合 可认为一组具有相同权限用户创建一个角色简化授权过程第36页用户权限角色UPDATE ON JOBSINSERT ON JOBS SELECT ON JOBS CREATE TABLECREATE SESSIONHR_CLERKHR_MGRABC4.2.5 数据库角色第37页一、角色创建CRE

16、ATE ROLE 二、给角色授权 GRANT ， ON 对象名 TO ，4.2.5 数据库角色第38页三、将一个角色授予其它角色或用户GRANT ，TO ， WITH ADMIN OPTION 四、角色权限收回 REVOKE ，ON FROM ，4.2.5 数据库角色第39页例11经过角色来实现将一组权限授予一个用户。步骤以下：1. 首先创建一个角色 R1 CREATE ROLE R1；2. 然后使用GRANT语句，使角色R1拥有Student表SELECT、UPDATE、INSERT权限 GRANT SELECT，UPDATE，INSERT ON TABLE Student TO R1；4.

17、2.5 数据库角色第40页3. 将这个角色授予王平，张明，赵玲。使他们含有角色R1所包含全部权限 GRANT R1 TO 王平，张明，赵玲；4. 能够一次性经过R1往返收王平这3个权限 REVOKE R1 FROM 王平；4.2.5 数据库角色第41页例12 角色权限修改 GRANT DELETE ON TABLE Student TO R14.2.5 数据库角色例13 REVOKE SELECT ON TABLE Student FROM R1； 第42页4.2.6 强制存取控制方法可能存在数据“无意泄露”原因：这种机制仅仅经过对数据存取权限来进行安全控制，而数据本身并无安全性标识处理：对系

18、统控制下全部主客体实施强制存取控制策略自主存取控制缺点第43页强制存取控制（MAC)确保更高程度安全性用户不能直接感知或进行控制适合用于对数据有严格而固定密级分类部门军事部门政府部门4.2.6 强制存取控制方法第44页主体是系统中活动实体DBMS所管理实际用户代表用户各进程客体是系统中被动实体，是受主体操纵文件基表索引视图4.2.6 强制存取控制方法第45页4.2.6 强制存取控制方法敏感度标识（Label）绝密（Top Secret）机密（Secret）可信（Confidential）公开（Public）主体敏感度标识称为许可证级别（Clearance Level）客体敏感度标识称为密级（C

19、lassification Level）第46页强制存取控制规则 (1)仅当主体许可证级别大于或等于客体密级时，该主体才能读取对应客体 (2)仅当主体许可证级别等于客体密级时，该主体才能写对应客体修正规则主体许可证级别 =客体密级 主体能写客体4.2.6 强制存取控制方法规则共同点禁止了拥有高许可证级别主体更新低密级数据对象第47页4.2.6 强制存取控制方法DAC与MAC共同组成DBMS安全机制实现MAC时要首先实现DAC原因：较高安全性级别提供安全保护要包含较低级别全部保护MAC与DAC第48页4.2.6 强制存取控制方法DAC + MAC安全检验示意图先进行DAC检验，经过DAC检验数据对象再由系统进行MAC检验，只有经过MAC检验数据对象方可存取。DAC 检 查MAC 检 查安全检验SQL语法分析 & 语义检验继续语义检验第49页4.3 视图机制把要保密数据对无权存取这些数据用户隐藏起来，对数据提供一定程度安全保护 例14 建立计算机系学生视图，把对该视图