新编数据库原理及应用课件

西藏大学工学院电信系数据库系统概论AnIntroductiontoDatabaseSystem第四章数据库安全性《数据库原理及应用》课件第四章第1页数据库安全性

问题提出数据库一大特点是数据能够共享数据共享必然带来数据库安全性问题数据库系统中数据共享不能是无条件共享例：军事秘密、国家机密、新产品试验数据、市场需求分析、市场营销策略、销售计划、客户档案、医疗档案、银行储蓄数据数据库安全性《数据库原理及应用》课件第四章第2页第四章数据库安全性4.1计算机安全性概述4.2数据库安全性控制4.3视图机制4.4审计（Audit）4.5数据加密4.6统计数据库安全性4.7小结《数据库原理及应用》课件第四章第3页4.1计算机安全性概述4.1.1计算机系统三类安全性问题4.1.2安全标准介绍《数据库原理及应用》课件第四章第4页4.1.1计算机系统三类安全性问题

计算机系统安全性为计算机系统建立和采取多种安全保护措施，以保护计算机系统中硬件、软件及数据，避免其因偶尔或歹意原因使系统遭到破坏，数据遭到更改或泄露等。《数据库原理及应用》课件第四章第5页计算机系统三类安全性问题（续）

三类计算机系统安全性问题技术安全类管理安全类政策法律类《数据库原理及应用》课件第四章第6页4.1计算机安全性概论4.1.1计算机系统三类安全性问题4.1.2安全标准介绍《数据库原理及应用》课件第四章第7页4.1.2安全标准介绍TCSEC标准CC标准《数据库原理及应用》课件第四章第8页安全标准介绍（续）信息安全标准发展历史

《数据库原理及应用》课件第四章第9页安全标准介绍（续）TCSEC/TDI标准基本内容TCSEC/TDI，从四个方面来描述安全性级别划分指标安全策略责任确保文档《数据库原理及应用》课件第四章第10页TCSEC/TDI安全级别划分TCSEC/TDI安全级别划分安全级别定义A1验证设计（VerifiedDesign）B3安全域（SecurityDomains）

B2构造化保护（StructuralProtection）

B1标识安全保护（LabeledSecurityProtection）

C2受控存取保护（ControlledAccessProtection）

C1自主安全保护（DiscretionarySecurityProtection）D最小保护（MinimalProtection）《数据库原理及应用》课件第四章第11页TCSEC/TDI安全级别划分（续）按系统可靠或可信程度逐渐增高各安全级别之间：偏序向下兼容《数据库原理及应用》课件第四章第12页TCSEC/TDI安全级别划分（续）B2以上系统还处于理论研究阶段应用多限于某些特殊部门，如军队等美国正在大力发展安全产品，试图将目前仅限于少数领域应用B2安全级别下放到商业应用中来，并逐渐成为新商业标准《数据库原理及应用》课件第四章第13页CCCC提出国际公认表述信息技术安全性构造把信息产品安全要求分为安全功能要求安全确保要求《数据库原理及应用》课件第四章第14页CC（续）CC文本组成介绍和一般模型安全功能要求安全确保要求《数据库原理及应用》课件第四章第15页CC（续）CC评定确保级划分评定确保级定义TCSEC安全级别（近似相称）EAL1功能测试（functionallytested）EAL2构造测试（structurallytested）C1EAL3系统地测试和检查（methodicallytestedandchecked）C2EAL4系统地设计、测试和复查（methodicallydesigned，tested，andreviewed）B1EAL5半形式化设计和测试（semiformallydesignedandtested）B2EAL6半形式化验证设计和测试（semiformallyverifieddesignandB3tested）EAL7形式化验证设计和测试（formallyverifieddesignandtested）A1《数据库原理及应用》课件第四章第16页第四章数据库安全性4.1计算机安全性概述4.2数据库安全性控制4.3视图机制4.4审计（Audit）4.5数据加密4.6统计数据库安全性4.7小结《数据库原理及应用》课件第四章第17页4.2数据库安全性控制概述非法使用数据库情况编写合法程序绕过DBMS及其授权机制直接或编写应用程序执行非授权操作通过数次合法查询数据库从中推导出某些保密数据《数据库原理及应用》课件第四章第18页数据库安全性控制概述（续）计算机系统中，安全措施是一级一级层层设置

计算机系统安全模型

《数据库原理及应用》课件第四章第19页数据库安全性控制概述（续）数据库安全性控制常用办法顾客标识和判定存取控制视图审计密码存放《数据库原理及应用》课件第四章第20页4.2数据库安全性控制4.2.1顾客标识与鉴别4.2.2存取控制4.2.3自主存取控制办法4.2.4授权与回收4.2.5数据库角色4.2.6强制存取控制办法《数据库原理及应用》课件第四章第21页4.2.1顾客标识与鉴别顾客标识与鉴别（Identification&Authentication）系统提供最外层安全保护措施《数据库原理及应用》课件第四章第22页顾客标识与鉴别（续）顾客标识口令系统查对口令以鉴别顾客身份顾客名和口令易被窃取每个顾客预先商定好一种计算过程或者函数《数据库原理及应用》课件第四章第23页4.2数据库安全性控制4.2.1顾客标识与鉴别4.2.2存取控制4.2.3自主存取控制办法4.2.4授权与回收4.2.5数据库角色4.2.6强制存取控制办法《数据库原理及应用》课件第四章第24页4.2.2存取控制存取控制机制组成定义顾客权限合法权限检查顾客权限定义和合法权检查机制一起组成了DBMS安全子系统《数据库原理及应用》课件第四章第25页存取控制（续）常用存取控制办法自主存取控制（DiscretionaryAccessControl，简称DAC）C2级灵活强制存取控制（MandatoryAccessControl，简称MAC）B1级严格《数据库原理及应用》课件第四章第26页4.2数据库安全性控制4.2.1顾客标识与鉴别4.2.2存取控制4.2.3自主存取控制办法4.2.4授权与回收4.2.5数据库角色4.2.6强制存取控制办法《数据库原理及应用》课件第四章第27页4.2.3自主存取控制办法通过SQLGRANT语句和REVOKE语句实现顾客权限组成数据对象操作类型定义顾客存取权限：定义顾客能够在哪些数据库对象上进行哪些类型操作定义存取权限称为授权

《数据库原理及应用》课件第四章第28页自主存取控制办法（续）关系数据库系统中存取控制对象对象类型对象操作类型数据库模式CREATESCHEMA基本表CREATETABLE，ALTERTABLE模式视图CREATEVIEW索引CREATEINDEX数据基本表和视图SELECT，INSERT，UPDATE，DELETE，REFERENCES，ALLPRIVILEGES数据属性列SELECT，INSERT，UPDATE，REFERENCESALLPRIVILEGES关系数据库系统中存取权限

《数据库原理及应用》课件第四章第29页4.2数据库安全性控制4.2.1顾客标识与鉴别4.2.2存取控制4.2.3自主存取控制办法4.2.4授权与回收4.2.5数据库角色4.2.6强制存取控制办法《数据库原理及应用》课件第四章第30页4.2.4授权与回收一、GRANTGRANT语句一般格式：GRANT<权限>[,<权限>]...[ON<对象类型><对象名>]TO<顾客>[,<顾客>]...[WITHGRANTOPTION];语义：将对指定操作对象指定操作权限授予指定顾客

《数据库原理及应用》课件第四章第31页GRANT（续）发出GRANT：DBA数据库对象创建者（即属主Owner）拥有该权限顾客按受权限顾客

一种或多种详细顾客PUBLIC（全体顾客）《数据库原理及应用》课件第四章第32页WITHGRANTOPTION子句WITHGRANTOPTION子句:指定：能够再授予没有指定：不能传输不允许循环授权《数据库原理及应用》课件第四章第33页例题[例1]把查询Student表权限授给顾客U1GRANTSELECTONTABLEStudentTOU1;《数据库原理及应用》课件第四章第34页例题（续）[例2]把对Student表和Course表所有权限授予顾客U2和U3GRANTALLPRIVILIGES

ONTABLEStudent,CourseTOU2,U3;《数据库原理及应用》课件第四章第35页例题（续）[例3]把对表SC查询权限授予所有顾客GRANTSELECTONTABLESC TOPUBLIC;《数据库原理及应用》课件第四章第36页例题（续）[例4]把查询Student表和修改学生学号权限授给顾客U4

GRANTUPDATE(Sno),SELECT ONTABLEStudent TOU4;对属性列授权时必须明确指出对应属性列名《数据库原理及应用》课件第四章第37页例题（续）

[例5]把对表SCINSERT权限授予U5顾客，并允许他再将此权限授予其他顾客

GRANTINSERTONTABLESCTOU5

WITHGRANTOPTION;《数据库原理及应用》课件第四章第38页传输权限执行例5后，U5不但拥有了对表SCINSERT权限，还能够传输此权限：[例6]GRANTINSERTONTABLESCTOU6

WITHGRANTOPTION;同样，U6还能够将此权限授予U7：[例7]GRANTINSERTONTABLESCTOU7;

但U7不能再传输此权限。

《数据库原理及应用》课件第四章第39页传输权限（续）下表是执行了［例1］到［例7］语句后，学生-课程数据库中顾客权限定义表授权顾客名被授权顾客名数据库对象名允许操作类型能否转授权DBAU1关系StudentSELECT不能DBAU2关系StudentALL不能DBAU2关系CourseALL不能DBAU3关系StudentALL不能DBAU3关系CourseALL不能DBAPUBLIC关系SCSELECT不能DBAU4关系StudentSELECT不能DBAU4属性列Student.SnoUPDATE不能DBAU5关系SCINSERT能U5U6关系SCINSERT能U6U7关系SCINSERT不能《数据库原理及应用》课件第四章第40页授权与回收（续）二、REVOKE授予权限能够由DBA或其他授权者用REVOKE语句收回REVOKE语句一般格式为：REVOKE<权限>[,<权限>]...[ON<对象类型><对象名>]FROM<顾客>[,<顾客>]...;《数据库原理及应用》课件第四章第41页REVOKE（续）[例8]把顾客U4修改学生学号权限收回 REVOKEUPDATE(Sno) ONTABLEStudent FROMU4;《数据库原理及应用》课件第四章第42页REVOKE（续）[例9]收回所有顾客对表SC查询权限 REVOKESELECT ONTABLESC FROMPUBLIC;

《数据库原理及应用》课件第四章第43页REVOKE（续）[例10]把顾客U5对SC表INSERT权限收回

REVOKEINSERT ONTABLESC FROMU5CASCADE;将顾客U5INSERT权限收回时候必须级联（CASCADE）收回系统只收回直接或间接从U5处取得权限

《数据库原理及应用》课件第四章第44页REVOKE（续）

执行［例8］到［例10］语句后，学生-课程数据库中顾客权限定义表授权顾客名被授权顾客名数据库对象名允许操作类型能否转授权DBAU1关系StudentSELECT不能DBAU2关系StudentALL不能DBAU2关系CourseALL不能DBAU3关系StudentALL不能DBAU3关系CourseALL不能DBAU4关系StudentSELECT不能《数据库原理及应用》课件第四章第45页小结:SQL灵活授权机制DBA：拥有所有对象所有权限不一样权限授予不一样顾客顾客：拥有自己建立对象所有操作权限GRANT：授予其他顾客被授权顾客“继续授权”许可：再授予所有授予出去权力在必要时又都可用REVOKE语句收回《数据库原理及应用》课件第四章第46页授权与回收（续）三、创建数据库模式权限DBA在创建顾客时实现CREATEUSER语句格式CREATEUSER<username>［WITH］［DBA|RESOURCE|CONNECT］《数据库原理及应用》课件第四章第47页授权与回收（续）拥有权限可否执行操作CREATEUSERCREATESCHEMACREATETABLE登录数据库执行数据查询和操纵DBA能够能够能够能够RESOURCE不能够不能够不能够不能够CONNECT不能够不能够不能够能够，但必须拥有对应权限权限与可执行操作对照表

《数据库原理及应用》课件第四章第48页4.2数据库安全性控制4.2.1顾客标识与鉴别4.2.2存取控制4.2.3自主存取控制办法4.2.4授权与回收4.2.5数据库角色4.2.6强制存取控制办法《数据库原理及应用》课件第四章第49页4.2.5数据库角色数据库角色：被命名一组与数据库操作有关权限角色是权限集合能够为一组具有相同权限顾客创建一种角色简化授权过程《数据库原理及应用》课件第四章第50页数据库角色一、角色创建CREATEROLE<角色名>二、给角色授权

GRANT<权限>［，<权限>］…ON<对象类型>对象名TO<角色>［，<角色>］…《数据库原理及应用》课件第四章第51页数据库角色三、将一种角色授予其他角色或顾客GRANT<角色1>［，<角色2>］…TO<角色3>［，<顾客1>］…［WITHADMINOPTION］四、角色权限收回REVOKE<权限>［，<权限>］…ON<对象类型><对象名>FROM<角色>［，<角色>］…《数据库原理及应用》课件第四章第52页数据库角色（续）[例11]通过角色来实现将一组权限授予一种顾客。步骤如下：1.首先创建一种角色R1CREATEROLER1；2.然后使用GRANT语句，使角色R1拥有Student表SELECT、UPDATE、INSERT权限GRANTSELECT，UPDATE，INSERTONTABLEStudentTOR1；《数据库原理及应用》课件第四章第53页数据库角色（续）3.将这个角色授予王平，张明，赵玲。使他们具有角色R1所包括所有权限GRANTR1TO王平，张明，赵玲；4.能够一次性通过R1来回收王平这3个权限REVOKER1FROM王平；《数据库原理及应用》课件第四章第54页数据库角色（续）[例12]角色权限修改GRANTDELETEONTABLEStudentTOR1《数据库原理及应用》课件第四章第55页数据库角色（续）[例13]

REVOKESELECTONTABLEStudentFROMR1；

《数据库原理及应用》课件第四章第56页4.2数据库安全性控制4.2.1顾客标识与鉴别4.2.2存取控制4.2.3自主存取控制办法4.2.4授权与回收4.2.5数据库角色4.2.6强制存取控制办法《数据库原理及应用》课件第四章第57页自主存取控制缺陷也许存在数据“无意泄露”原因：这种机制仅仅通过对数据存取权限来进行安全控制，而数据本身并无安全性标识处理：对系统控制下所有主客体实行强制存取控制策略

《数据库原理及应用》课件第四章第58页4.2.6强制存取控制办法强制存取控制（MAC)确保更高程度安全性顾客能不能直接感知或进行控制适用于对数据有严格而固定密级分类部门

军事部门政府部门《数据库原理及应用》课件第四章第59页强制存取控制办法（续）主体是系统中活动实体DBMS所管理实际顾客代表顾客各进程客体是系统中被动实体，是受主体操纵文献基表索引视图《数据库原理及应用》课件第四章第60页强制存取控制办法（续）敏感度标识（Label）绝密（TopSecret）机密（Secret）可信（Confidential）公开（Public）主体敏感度标识称为许可证级别（ClearanceLevel）客体敏感度标识称为密级（ClassificationLevel）《数据库原理及应用》课件第四章第61页强制存取控制办法（续）强制存取控制规则(1)仅当主体许可证级别大于或等于客体密级时，该主体才能读取对应客体(2)仅当主体许可证级别等于客体密级时，该主体才能写对应客体修正规则主体许可证级别<=客体密级

主体能写客体《数据库原理及应用》课件第四章第62页强制存取控制办法（续）规则共同点严禁了拥有高许可证级别主体更新低密级数据对象《数据库原理及应用》课件第四章第63页MAC与DACDAC与MAC共同组成DBMS安全机制实现MAC时要首先实现DAC原因：较高安全性级别提供安全保护要包括较低级别所有保护《数据库原理及应用》课件第四章第64页强制存取控制办法（续）DAC+MAC安全检查示意图

SQL语法分析&语义检查

DAC检查安全检查MAC检查

继续先进行DAC检查，通过DAC检查数据对象再由系统进行MAC检查，只有通过MAC检查数据对象方可存取。《数据库原理及应用》课件第四章第65页第四章数据库安全性4.1计算机安全性概述4.2数据库安全性控制4.3视图机制4.4审计（Audit）4.5数据加密4.6统计数据库安全性4.7小结《数据库原理及应用》课件第四章第66页4.3视图机制把要保密数据对无权存取这些数据顾客隐藏起来，对数据提供一定程度安全保护

主要功能是提供数据独立性，无法完全满足要求间接实现了支持存取谓词顾客权限定义《数据库原理及应用》课件第四章第67页视图机制（续）[例14]建立计算机系学生视图，把对该视图SELECT权限授于王平，把该视图上所有操作权限授于张明先建立计算机系学生视图CS_Student

CREATEVIEWCS_StudentASSELECT*FROMStudentWHERESdept='CS'；《数据库原理及应用》课件第四章第68页视图机制（续）在视图上深入定义存取权限GRANTSELECTONCS_StudentTO王平；

GRANTALLPRIVILIGESONCS_StudentTO张明；《数据库原理及应用》课件第四章第69页4.2数据库安全性控制4.1计算机安全性概述4.2数据库安全性控制4.3视图机制4.4审计（Audit）4.5数据加密4.6统计数据库安全性4.7小结《数据库原理及应用》课件第四章第70页4.4审计什么是审计审计日记（AuditLog）将顾客对数据库所有操作统计在上面DBA利用审计日记找出非法存取数据人、时间和内容C2以上安全级别DBMS必须具有《数据库原理及应用》课件第四章第71页审计（续）审计分为顾客级审计针对自己创建数据库表或视图进行审计统计所有顾客对这些表或视图一切成功和（或）不成功访问要求以及多种类型SQL操作系统级审计DBA设置监测成功或失败登录要求监测GRANT和REVOKE操作以及其他数据库级权限下操作《数据库原理及应用》课件第四章第72页审计（续）AUDIT语句：设置审计功能NOAUDIT语句：取消审计功能《数据库原理及应用》课件第四章第73页审计（续）［例15］对修改SC表构造或修改SC表数据操作进行审计AUDITALTER，UPDATEONSC；［例16］取消对SC表一切审计