数据库安全性讲义

回顾基础篇第一章：绪论第二章：数据模型第三章：关系数据库第四章：关系数据库标准语言SQL系统篇数据库系统中的数据是由DBMS统一管理和控制的，为了适应数据共享的环境，DBMS必须提供数据保护能力，以保证数据库中数据的安全可靠和正确有效。数据保护安全性完整性数据库恢复并发控制系统篇第5章数据库安全性第6章数据库完整性第7章数据库恢复技术第8章并发控制第五章数据库安全性

问题的提出数据库的一大特点是数据可以共享但数据共享必然带来数据库的安全性问题数据库系统中的数据共享不能是无条件的共享例：军事秘密、国家机密、新产品实验数据、市场需求分析、市场营销策略、销售计划、客户档案、医疗档案、银行储蓄数据数据库安全性（续）数据库中数据的共享是在DBMS统一的严格的控制之下的共享，即只允许有合法使用权限的用户访问允许他存取的数据数据库系统的安全保护措施是否有效是数据库系统主要的性能指标之一第五章数据库安全性5.1计算机安全性概论5.2数据库安全性控制5.3数据库存取控制方法5.4数据库角色5.5视图机制5.6审计5.7数据加密5.8统计数据库安全性5.1计算机系统的安全性概论什么是数据库的安全性数据库的安全性是指保护数据库，防止因用户非法使用数据库造成数据泄露、更改或破坏。数据库系统的安全性和计算机系统的安全性，包括操作系统、网络系统的安全性是紧密联系、相互支持的。什么是计算机系统安全性为计算机系统建立和采取的各种安全保护措施，以保护计算机系统中的硬件、软件及数据，防止其因偶然或恶意的原因使系统遭到破坏，数据遭到更改或泄露等。计算机系统的3类安全性问题（续）

三类计算机系统安全性问题技术安全类管理安全类政策法律类计算机系统的的三类安全性性问题（续））技术安全指计算机系统统中采用具有有一定安全性的硬件、软件来实现对计算机系统统及其所存数数据的安全保保护，当计算机系系统受到无意意或恶意的攻攻击时仍能保保证系统正常常运行，保证证系统内的数数据不增加、、不丢失、不不泄露。计算机系统的的三类安全性性问题（续））管理安全软硬件意外故故障、场地的的意外事故、、管理不善导导致的计算机机设备和数据据介质的物理理破坏、丢失失等安全问题题。计算机系统的的三类安全性性问题（续））政策法律类政府部门建立立的有关计算算机犯罪、数数据安全保密密的法律道德德准则和政策策法规、法令令。实际上，安全全性问题并不不是数据库系系统所独有的的，所有计算算机系统中都都存在这个问问题。在计算机系统统中，安全措措施是一级一一级层层设置置的，安全控控制模型如图图5.1所示示。图5.1安安全控制模型型用户标识和鉴定用户用户存取权限控制DBMS操作系统安全保护OS数据密码存储DB5.2数数据库安全性性控制根据图5.1的安全模型型，当用户进进入计算机系系统时，系统统首先根据输输入的用户标识进行行身份的鉴定定，只有合法的用用户才准许进进入系统。对已进入系统统的用户，DBMS还要要进行存取控控制，只允许用户户进行合法的的操作。DBMS是建建立在操作系系统之上的，，安全的操作系系统是数据库安全全的前提。操操作系统应能能保证数据库库中的数据必必须由DBMS访问，而而不允许用户户越过DBMS，直接通通过操作系统统访问。数据最最后可可以通通过密码的形式式存储储到数数据库库中。。5.2.1用用户户标识识和鉴鉴定（（IdentificationandAuthentication）数据库库系统统是不不允许许一个个未经经授权权的用用户对对数据据库进进行操操作的的。用户标标识和和鉴定定是系统统提供供的最最外层层的安安全保保护措措施，，其方方法是是由系系统提提供一一定的的方式式让用用户标标识自自己的的名字字或身身份，，系统统内部部记录录着所所有合合法用用户的的标识识，每每次用用户要要求进进入系系统时时，由由系统统进行行核实实，通通过鉴鉴定后后才提提供机机器的的使用用权。。用户标标识和和鉴定定的方方法有有多种种，为为了获获得更更强的的安全全性，，往往往是多多种方方法并并举，，常用的的方法法有以以下几几种：：1．用用一个个用户名名或用用户标标识符符来标明明用户户的身身份，，系统统以此此来鉴鉴别用用户的的合法法性。。2．为为了进进一步步核实实用户户身份份，常常采用用用户名名与口口令（Password）相相结合合的方方法,系统统通过过核对对口令令判别别用户户身份份的真真伪。。3．通通过用用户名名和口口令来来鉴定定用户户的方方法简简单易易行，，但该该方法法在使使用时时，由由于用用户名名和口口令的的产生生和使使用比比较简简单，，也容容易被被窃取取，因此还还可采采用更更复杂杂的方方法。。例如，，每个用用户都都预先先约定定好一一个过过程或或者函函数，，鉴别别用户户身份份时，，系统统提供供一个个随机机数，，用户户根据据自己己预先先约定定的计计算过过程或或者函函数进进行计计算，，系统统根据据计算算结果果辨别别用户户身份份的合合法性性。例如，，让用用户记记住一一个表表达式式，如如T=X+2Y,系系统告告诉用用户X=1,Y=2,如如果用用户回回答T=5，则则证实实了该该用户户的身身份。。还可设设计复杂的的表达达式，以使使安全全性更更好。。系统每每次提提供不不同的的X，，Y值值，其其他人人可能能看到到的是是X、、Y的的值，，但不不能推推算出出确切切的变变换公公式T。5.2.2存存取取控制制存取控控制机机制的的功能能存取控控制机机制的的组成成定义存存取权权限检查存存取权权限用户权权限定定义和和合法法权检检查机机制一一起组组成了了DBMS的安安全子子系统统存取控控制（（续））定义存存取权权限在数据据库系系统中中，为为了保保证用用户只只能访访问他他有权权存取取的数数据，，必须须预先先对每每个用用户定定义存存取权权限。。检查存存取权权限对于通通过鉴鉴定获获得上上机权权的用用户（（即合合法用用户）），系系统根根据他他的存存取权权限定定义对对他的的各种种操作作请求求进行行控制制，确确保他他只执执行合合法操操作。。存取控控制（（续））常用存存取控控制方方法自主存存取控控制（DiscretionaryAccessControl，，简称称DAC））灵活强制存存取控控制（MandatoryAccessControl，简简称MAC））严格自主存存取控控制方方法同一用用户对对于不不同的的数据据对象象有不不同的的存取取权限限不同的的用户户对同同一对对象也也有不不同的的权限限用户还还可将将其拥拥有的的存取取权限限转授授给其其他用用户强制存存取控控制方方法每一个个数据据对象象被标标以一一定的的密级级每一个个用户户也被被授予予某一一个级级别的的许可可证对于任任意一一个对对象，，只有有具有有合法法许可可证的的用户户才可可以存存取5.3数数据据库存存取控控制方方法5.3.1用用户户权限限用户权权限由由两个个要素素组成成数据对对象操作类类型关系数数据库库系统统中存存取控控制的的对象象不仅仅有数数据本本身，，还有有数据据库模模式。。如表表5.1所所示：：表5.1类型数数据据对象象操操作类类型模式式模模式式建建立立、修修改、、删除除、检检索外模式式建建立立、修修改、、删除除、检检索内模式式建建立、、删除除、检检索数据据表表查查找找、插插入、、修改改、删删除属性列列查查找、、插入入、修修改、、删除除用户或或DBA把把授权权决定定告知知系统统SQL的GRANT和REVOKEDBMS把把授权权的结结果存存入数数据字字典当用户户提出出操作作请求求时，，DBMS根据据授权权定义义进行行检查查，以以决定定是否否执行行操作作请求求5.3.2授授权及及收权权GRANT语句句的一一般格格式：：GRANT<权限限>[,<权限限>]...[ON<对象象类型型><对对象名名>]TO<用用户>[,<用用户>]...[WITHGRANTOPTION];谁定义义？DBA和表表的建建立者者（即即表的的属主主）GRANT功能：：将对指指定操操作对对象的的指定定操作作权限限授予予指定定的用用户。(1)操操作权权限对象对象类型操作权限属性列TABLESELECT,INSERT,UPDATE,DELETE,ALLPRIVILEGES视图TABLESELECT,INSERT,UPDATE,DELETE,ALLPRIVILEGES基本表TABLESELECT,INSERT,UPDATE,DELETE,ALLPRIVILEGES数据库DATABASECREATETABLE(2)用用户的的权限限建表（（CREATETABLE）的的权限限:属属于DBADBA授予予-->普普通用用户基本表表或视视图的的属主主拥有有对该该表或或视图图的一一切操操作权权限接受权权限的的用户户:一个或或多个个具体体用户户PUBLIC（（全体体用户户）(3)WITHGRANTOPTION子句句指定了WITHGRANTOPTION子子句:获得某种权权限的用户户还可以把把这种权限限再授予别的用户。。没有指定WITHGRANTOPTION子句:获得某种权权限的用户户只能使用用该权限，，不能传播该权限例题例1把查询Student表权限限授给用户户U1GRANTSELECTON[TABLE]StudentTOU1;11-934班execsp_addrole‘‘r_test’//添加角色色r_testgrantallonstudenttor_test//为为角色r_test授权execsp_addlogin‘‘l_test','123','学生_教教学','Simplifiedchinese‘//添加加登陆用户户名l_testexecsp_grantdbaccess‘l_test','U1‘//为登录录l_test在在数据库库”学生_教学”中中添加安全全账户U1execsp_addrolemember'r_test','U1‘//添加U1为为角色r_test的成成员grantselect,updateoncoursetou1withgrantoptionEXECsp_revokedbaccess'u_test'--从数据据库pubs中中删除安全全账户EXECsp_droplogin'l_test'--删除登登录l_testEXECsp_droprole'r_test'--删除角角色r_test例题（续））例2把对对Student表表的全部权权限授予用用户U2和和U3GRANTALLPRIVILEGESON[TABLE]StudentTOU2,U3;例4例题（续））例3把对对表SC的的查询权限限授予所有有用户GRANTSELECTON[TABLE]SCTOPUBLIC;例题（续））例4把查查询Student表和修改改学生学号号的权限授授给用户U4GRANTUPDATE(Sno),SELECTON[TABLE]StudentTOU4;例题（续））例5把对对表SC的的INSERT权限限授予U5用户，并并允许他再再将此权限限授予其他他用户GRANTINSERTON[TABLE]SCTOU5WITHGRANTOPTION;传播权限执行例5后后，U5不不仅拥有了了对表SC的INSERT权权限，还可可以传播此此权限：GRANTINSERTON[TABLE]SCTOU6WITHGRANTOPTION;同样，U6还可以将将此权限授授予U7：：GRANTINSERTON[TABLE]SCTOU7;但U7不能能再传播此此权限。U5-->U6-->U7SQL收回回权限的功功能REVOKE语句的的一般格式式为：REVOKE<权权限>[,<权限>]...[ON<对象类型型><对对象名>]FROM<用户>[,<用用户>]...;功能：从指指定用户那里收回对对指定对象的指定权限例题例7把用用户U4修修改学生学学号的权限限收回REVOKEUPDATE(Sno)ON[TABLE]StudentFROMU4;例题（续））例8收回回所有用户户对表SC的查询权权限REVOKESELECTON[TABLE]SCFROMPUBLIC;例题（续））例9把用用户U5对对SC表的的INSERT权限限收回REVOKEINSERTON[TABLE]SCFROMU5;5.4数据库库角色数据库角色色是被命名名的一组与与数据库操操作相关的的权限，角角色是权限限的集合。。使用角色来来管理数据据库权限可可以简化授授权的过程程。在SQL语语言中首首先用CREATEROLE语句句创建角色色，然后用用GRANT语句句给角色授授权。1．角色色的创建创建角色的的SQL语语句格式式是：execsp_addrole'r_test'2．给角角色授权GRANT<权限限>[,<权限限>]…ON<对象类类型>对对象名TO<角角色>[,<角色色>]…3．将一一个角色授授予其他角角色或用户户execsp_addrolemember<角色1>,<角色>或或<用用户>例11.通过角色来来实现将一一组权限授授予一个用用户。步骤骤：

l、、首先创建建一个角色色Rlexecsp_addrole'R1';2、然后使使用GRANT语句句给角色R1授权：：GRANTSELECT,UPDATE,INSERTON[TABLE]StudentTOR1;3、将这个个角色授予予U1。使使他们具有有角色R1所包含的的全部权限限。execsp_addrolemember‘R1','U1'5.5视视图机制制视图机制把把要保密的的数据对无无权存取这这些数据的的用户隐藏藏起来，视图机制更更主要的功功能在于提提供数据独独立性，其其安全保护护功能太不不精细，往往往远不能能达到应用用系统的要要求。视图机制（（续）视图机制与与授权机制制配合使用用:首先用视图图机制屏蔽蔽掉一部分分保密数据据视图上面再再进一步定定义存取权权限视图机制（（续）例：王平只只能检索计计算机系学学生的信息息先建立计算算机系学生生的视图CS_StudentCREATEVIEWCS_StudentASSELECT*FROMStudentWHERESdept='CS'；视图机制（（续）在视图上进进一步定义义存取权限限GRANTSELECTONCS_StudentTO王平平；5.6审审计什么是审计计启用一个专专用的审计计日志（AuditLog）将用户对对数据库库的所有有操作记记录在上上面DBA可可以利用用审计日日志中的的追踪信信息找出非法法存取数数据的人人审计（续续）审计功能能的可选选性审计很费费时间和和空间DBA可可以根据据应用对对安全性性的要求求，灵活活地打开开或关闭闭审计功功能。5.7数数据据加密数据加密密防止数据据库中数数据在存存储和传传输中失失密的有有效手段段加密的基基本思想想根据一定定的算法法将原始始数据（（术语为为明文，，Plaintext）变变换为不不可直接接识别的的格式（（术语为为密文，，Ciphertext））不知道解解密算法法的人无无法获知知数据的的内容数据加密密（续））加密方法法替换方法法使用密钥钥（EncryptionKey）将明明文中的的每一个个字符转转换为密密文中的的一个字字符置换方法法将明文的的字符按按不同的的顺序重重新排列列混合方法法美国1977年年制定的的官方加加密标准准：数据据加密标标准（DataEncryptionStandard，，简称DES））数据加密密（续））DBMS中的数数据加密密有些数据据库产品品提供了了数据加加密例行行程序有些数据据库产品品本身未未提供加加密程序序，但提提供了接接口数据加密密（续））数据加密密功能通通常也作作为可选选特征，，允许用用户自由由选择数据加密密与解密密是比较较费时的的操作数据加密密与解密密程序会会占用大大量系统统资源应该只对对高度机机密的数数据加密密5.8统统计计数据库库安全性性统计数据据库的特特点允许用户户查询聚集类型的信信息（例例如合计计、平均均值等））不允许查查询单个记录信息息例：允许查询询“程序序员的平平均工资资是多少少？”不允许查查询“程程序员张张勇的工工资？””应该避免免用户从从合法的的查询中中推导出出不合法法的信息息统计数据据库安全全性（续续）例1：下面两个个查询都都是合法法的：1．本公公司共有有多少女女高级程程序员？？2．本公公司女高高级程序序员的工工资总额额是多少少？如果第一一个查询询的结果果是“1”，那么第二二个查询询的结果果显然就就是这个个程序员员的工资资数。规则1：：任何查查询至少少要涉及及N(N足够大大)个以上的的记录11-712班班统计数据据库安全全性（续续）例2：用户A发发出下面面两个合合法查询询：1．用户户A和其其他N个个程序员员的工资资总额是是多少？？2．用户户B和其其他N个个程序员员的工资资总额是是多少？？若第一个个查询的的结果是是X，第第二个查查询的结结果是Y，由于用户户A知道道自己的的工资是是Z，那么他可可以计算算出用户户B的工工资=Y-(X-Z)。原因：两个查询询之间有有很多重重复的数数据项规则2：：任意两两个查询询的相交交数据项项不能超超过M个个统计数据据库安全全性（续续）可以证明明，在上上述两条条规定下下，如果果想获知知用户B的工资资额A至至少需要要进行1+(N-2)/M次次查询规则3：：任一用户户的查询询次数不不能超过过1+(N-2)/M缺点：如果两个个用户合合作查询询就可以以使这一一规定失失效统计数据据库安全全性（续续）数据库安安全机制制的设计计目标：：试图破坏坏安全的的人所花花费的代代价>>得得到的利利益9.5小小结结随着计算算机网络络的发展展，数据据的共享享日益加加强，数数据的安安全保密密越来越越重要DBMS是管理理数据的的核心，，因而其其自身必必须具有有一整套套完整而而有效的的安全性性机制。。实现数据据库系统统安全性性的技术术和方法法有多种种，最重重要的是是存取控制制技术和审计技术。自主存取取控制功功能一般般是通过过SQL的GRANT语句句和REVOKE语句句来实现现的。下课了。。。。休息一会会儿。。。。认9、静夜四无邻邻，荒居旧业业贫。。12月-2212月-22Thursday,December29,202210、雨雨中中黄黄叶叶树树，，灯灯下下白白头头人人。。。。13:55:0713:55:0713:5512/29/20221:55:07PM11、以以我我独独沈沈久久，，愧愧君君相相见见频频。。。。12月月-2213:55:0713:55Dec-2229-Dec-2212、故人人江海海别，，几度度隔山山川。。。13:55:0713:55:0713:55Thursday,December29,202213、乍见见翻疑疑梦，，相悲悲各问问年。。。12月月-2212月月-2213:55:0813:55:08December29,202214、他他乡乡生生白白发发，，旧旧国国见见青青山山。。。。29十十二二月月20221:55:08下下午午13:55:0812月月-2215、比比不不了了得得就就不不比比，，得得不不到到的的就就不不要要。。。。。十二二月月221:55下下午午12月月-2213:55December29,202216、行动出成果果，工作出财财富。。2022/12/2913:55:0813:55:0829December202217、做前前，能能够环环视四四周；；做时时，你你只能能或者者最好好沿着着以脚脚为起起点的的射线线向前前。。。1:55:08下下午1:55下下午午13:55:0812月月-229、没没有有失失败败，，只只有有暂暂时时停停止止成成功功！！。。12月月-2212月月-22Thursday,December29,202210、很多多事情情努力力了未未必有有结果果，但但是不不努力力却什什么改改变也也没有有。。。13:55:0813:55:0813:5512/29/20221:55:08PM11、成功就是日日复一日那一一点点小小努努力的积累。。。12月月-2213:55:0813:55Dec-2229-Dec-2212、世间成事，，不求其绝对对圆满，留一一份不足，可可得无限完美美。。13:55:0813:55:0813:55Thursday,December29,202213、不知香香积寺，，数里入入云峰。。。12月-2212月-2213:55:0813:55:08December29,202214、意意志志坚坚强强的的人人能能把把世世界界放放