数据库安全与安全数据库课件

数据库安全与安全数据库数据库安全与安全数据库1信息安全的基本概念信息安全可用性机密性完整性非否认性可控性威胁、脆弱性和攻击威胁是信息遭到破坏、更改和泄露的可能性脆弱性是可能被利用来侵害雄获系统内信息的任何弱点攻击是利用计算机系统的弱点来达到特定目的所故意进行的行为安全防卫策略预防和避免转移减少脆弱性实时检测非实时检测减少影响实时恢复非实时恢复可信计算基（TCB）计算机系统内负责执行安全策略的组合体包括硬件、固件和软件信息安全的基本概念信息安全安全防卫策略2安全机制标识和认证用户向系统出示自己的身份证明访问控制主体：以用户名义进行资源访问的进程、事务等实体客体：把被访问的资源使只有被授予相应访问权限的主体才能对客体进行相应的操作审计记录和察看所有与安全相关的时间客体重用保证可重用的客体（如磁盘、内存空间等）被释放后，重新分配之前应该清除其中数据，以防止其他主体从中获取残余机密数据可信路径保证使用终端的用户可以直接与可信计算基通信的机制安全机制标识和认证3数据库安全问题数据库的安全的价值现代信息系统中存储了大量的商业、保密信息网络和操作系统的安全是否是足够的？数据库的很多特征会破坏系统的安全存储过程数据库安全问题数据库的安全的价值4数据库安全威胁后果分类非授权的信息泄漏非授权的数据修改拒绝服务发生方式自然或以外灾害系统软硬件错误人为错误威胁的主体授权用户恶意代理数据库安全威胁后果分类5数据库安全需求防止非法数据访问防止推理保证数据库的完整保证数据的操作完整性数据的语义完整性审计和日志标识和认证机密数据管理多级保护界限数据库安全需求防止非法数据访问6数据库系统安全与操作系统安全数据库与操作系统的体系结构数据库与操作系统的安全需求不同数据库管理系统操作系统硬件数据库管理系统操作系统硬件数据库管理系统硬件数据库系统安全与操作系统安全数据库与操作系统的体系结构数据库7安全模型自主访问控制（discretionaryaccesscontrol,DAC）决定用户能否访问某数据对象的依据是系统中是否存在明确授权每个对象都有且仅有一个属主，他制定对象的保护策略强制访问控制（mandatoryaccesscontrol,MAC）所有的权限都归于系统集中管理，保证信息的流动始终处于系统的控制下主体和客体均有相应的安全属性，系统根据安全属性来控制主体对客体的访问安全模型自主访问控制（discretionaryacces8访问控制矩阵模型HRU模型Harrison、Ruzzo和Ullman在1976年提出的一种基本的自主访问控制模型基本操作赋予存储权限、删除存储权限、创建主体、创建客体、删除主体、删除客体、…O1O2S1读读、写S2读、写访问控制矩阵模型HRU模型O1O2S1读读、写S2读、写9基于角色的访问控制模型起始于20世纪90年代最早出现在1992年Ferraiolo和Kuhn的文章中RBAC的核心用户集（users）角色集（roles）对象集（objects）操作集（operaors）特权集（perm）会话集（sessions）基于角色的访问控制模型起始于20世纪90年代10基于角色的访问控制模型USERSROLES用户分配ObjectsOperatorsPERMS特权分配SESSIONSRBAC核心模型基于角色的访问控制模型USERSROLES用户分配Objec11基于角色的访问控制模型USERSROLES用户分配USERSROLESPERMS特权分配SESSIONS带角色继承的RBAC模型角色继承基于角色的访问控制模型USERSROLES用户分配USERS12多级安全数据库多级数据库管理系统体系结构高级运行结构可信主体结构集中式/核心式体系结构分布式/复制式体系结构完整性锁结构多级安全数据库多级数据库管理系统体系结构13高级运行结构单级DBMS的一种特殊运行方式运行在安全操作系统的最高级所有用户都是最高级别完全依赖于操作系统的TCB没有数据内容的分级必须严格监控和管理用户的行为高级运行结构单级DBMS的一种特殊运行方式14可信主体结构多级（可信）DBMS可信操作系统高级别用户低级别用户高级别数据分片低级别数据分片可信主体结构多级（可信）DBMS可信操作系统高级别用户低级别15集中式/核心式体系结构高级别DBMS后端可信操作系统高级别用户低级别用户高级别数据分片低级别数据分片低级别DBMS后端集中式/核心式体系结构高级别DBMS可信操作系统高级别用户低16分布式/复制式体系结构高级别DBMS可信前端（TCB）高级别用户低级别用户高级数据低级数据低级别DBMS低级数据分布式/复制式体系结构高级别DBMS可信前端（TCB）高级别17完整性锁结构可信过滤层加密单元/安全操作系统高级别用户低级别用户非可信DBMS数据库非可信前端非可信前端完整性锁结构可信过滤层加密单元/安全操作系统高级别用户低级别18多级关系模型元组有安全标记，每个属性有安全标记RS(A1,A2,…,An)->RS(A1,C1,A2,C2…,An,Cn,TC)，AK为键卫星名任务目标安全级别探索者U科技探索UA火山UU旅行者U搜集情报SB国家SS秘密级视图卫星名任务目标安全级别探索者U科技探索UA火山UU旅行者UNULLUNULLUU公开级视图多级关系模型元组有安全标记，每个属性有安全标记卫星名任务目标19多级安全模型的主要问题原则上写下读实体与实例实体的标示多实例完整性约束多级安全模型的主要问题原则20多级关系模型插入操作后的关系卫星名任务目标安全级别探索者U科技探索UA火山UU旅行者U搜集情报SB国家SS旅行者U科技探索UB火山UU秘密级视图卫星名任务目标安全级别探索者U科技探索UA火山UU旅行者U科技探索UB火山UU公开级视图多级关系模型插入操作后的关系卫星名任务目标安全级别探索者U21多级关系完整性实体完整性AiAK=>t[ai]<>NULLAi,AjAK=>t[ci]=t[cj]AiAK=>t[ci]<t[cak]多实例完整性同一级别的元组间不存在多实例基本操作插入、删除、更新多级关系完整性实体完整性22数据库安全与安全数据库数据库安全与安全数据库23信息安全的基本概念信息安全可用性机密性完整性非否认性可控性威胁、脆弱性和攻击威胁是信息遭到破坏、更改和泄露的可能性脆弱性是可能被利用来侵害雄获系统内信息的任何弱点攻击是利用计算机系统的弱点来达到特定目的所故意进行的行为安全防卫策略预防和避免转移减少脆弱性实时检测非实时检测减少影响实时恢复非实时恢复可信计算基（TCB）计算机系统内负责执行安全策略的组合体包括硬件、固件和软件信息安全的基本概念信息安全安全防卫策略24安全机制标识和认证用户向系统出示自己的身份证明访问控制主体：以用户名义进行资源访问的进程、事务等实体客体：把被访问的资源使只有被授予相应访问权限的主体才能对客体进行相应的操作审计记录和察看所有与安全相关的时间客体重用保证可重用的客体（如磁盘、内存空间等）被释放后，重新分配之前应该清除其中数据，以防止其他主体从中获取残余机密数据可信路径保证使用终端的用户可以直接与可信计算基通信的机制安全机制标识和认证25数据库安全问题数据库的安全的价值现代信息系统中存储了大量的商业、保密信息网络和操作系统的安全是否是足够的？数据库的很多特征会破坏系统的安全存储过程数据库安全问题数据库的安全的价值26数据库安全威胁后果分类非授权的信息泄漏非授权的数据修改拒绝服务发生方式自然或以外灾害系统软硬件错误人为错误威胁的主体授权用户恶意代理数据库安全威胁后果分类27数据库安全需求防止非法数据访问防止推理保证数据库的完整保证数据的操作完整性数据的语义完整性审计和日志标识和认证机密数据管理多级保护界限数据库安全需求防止非法数据访问28数据库系统安全与操作系统安全数据库与操作系统的体系结构数据库与操作系统的安全需求不同数据库管理系统操作系统硬件数据库管理系统操作系统硬件数据库管理系统硬件数据库系统安全与操作系统安全数据库与操作系统的体系结构数据库29安全模型自主访问控制（discretionaryaccesscontrol,DAC）决定用户能否访问某数据对象的依据是系统中是否存在明确授权每个对象都有且仅有一个属主，他制定对象的保护策略强制访问控制（mandatoryaccesscontrol,MAC）所有的权限都归于系统集中管理，保证信息的流动始终处于系统的控制下主体和客体均有相应的安全属性，系统根据安全属性来控制主体对客体的访问安全模型自主访问控制（discretionaryacces30访问控制矩阵模型HRU模型Harrison、Ruzzo和Ullman在1976年提出的一种基本的自主访问控制模型基本操作赋予存储权限、删除存储权限、创建主体、创建客体、删除主体、删除客体、…O1O2S1读读、写S2读、写访问控制矩阵模型HRU模型O1O2S1读读、写S2读、写31基于角色的访问控制模型起始于20世纪90年代最早出现在1992年Ferraiolo和Kuhn的文章中RBAC的核心用户集（users）角色集（roles）对象集（objects）操作集（operaors）特权集（perm）会话集（sessions）基于角色的访问控制模型起始于20世纪90年代32基于角色的访问控制模型USERSROLES用户分配ObjectsOperatorsPERMS特权分配SESSIONSRBAC核心模型基于角色的访问控制模型USERSROLES用户分配Objec33基于角色的访问控制模型USERSROLES用户分配USERSROLESPERMS特权分配SESSIONS带角色继承的RBAC模型角色继承基于角色的访问控制模型USERSROLES用户分配USERS34多级安全数据库多级数据库管理系统体系结构高级运行结构可信主体结构集中式/核心式体系结构分布式/复制式体系结构完整性锁结构多级安全数据库多级数据库管理系统体系结构35高级运行结构单级DBMS的一种特殊运行方式运行在安全操作系统的最高级所有用户都是最高级别完全依赖于操作系统的TCB没有数据内容的分级必须严格监控和管理用户的行为高级运行结构单级DBMS的一种特殊运行方式36可信主体结构多级（可信）DBMS可信操作系统高级别用户低级别用户高级别数据分片低级别数据分片可信主体结构多级（可信）DBMS可信操作系统高级别用户低级别37集中式/核心式体系结构高级别DBMS后端可信操作系统高级别用户低级别用户高级别数据分片低级别数据分片低级别DBMS后端集中式/核心式体系结构高级别DBMS可信操作系统高级别用户低38分布式/复制式体系结构高级别DBMS可信前端（TCB）高级别用户低级别用户高级数据低级数据低级别DBMS低级数据分布式/复制式体系结构高级别DBMS可信前端（TCB）高级别39完整性锁结构可信过滤层加密单元/安全操作系统高级别用户低级别用户非可信DBMS数据库非可信前端非可信前端完整性锁结构可信过滤层加密单元/安全操作系统高级别用户低级别40多级关系模型元组有安全标记，每个属性有安全标记RS(A1,A2,…,An)->RS(A1,C1,A2,C2…,An,Cn,TC)，AK为键卫星名任务目标安全级别探索者U科技探索UA火山UU旅行者U搜集情报SB国家SS秘密级视图卫星名任务目标安全级别探索者U科技探索UA火山UU旅行者UNULLUNULLUU公开级视图多级关系模型元组有安全标记，每个属性有安全标记卫星名任务目标41多级安全模型的主要问题原则上写下读实体与实例实体的标示多实例完整性约束多级安全模型的主要问题原则42多级关系模型插入操作后的关系卫星名任务目标安全级别探索者U科技探